VMware Workstation ve Device / Credential Guard uyumlu değildir

Geçen yıl sorunsuz bir şekilde VMware çalıştırıyorum, bugün VM'mden birini başlatmak ve bir hata mesajı almak için açtım, ekran görüntüsüne bakın.

Bağlantıyı takip ettim ve adımlardan geçtim, 4. adımda "mountvol" kullanarak bir birim bağlamam gerekiyor. Kullanarak bir birimi monte etmeye çalıştığımda , 2GB'lık bir bölüm oluşturduğumu ve hala aynı mesajı verdiğimi mountvol X: \\?\Volume{5593b5bd-0000-0000-0000-c0f373000000}\söylemeye devam ediyor The directory is not empty..

Sorularım:

Boş olmasına rağmen boş olmayan birimi nasıl monte edebilirim?

Bu Aygıt / Kimlik Bilgisi Koruması neden kendini otomatik olarak etkinleştirdi ve ondan nasıl kurtulabilirim veya devre dışı bırakabilirim.

CMD:

Device / Credential Guard, Windows 10'u çok daha güvenli hale getirmek için güvenli bir çekirdek barındıran Hyper-V tabanlı bir Sanal Makine / Sanal Güvenli Moddur .

... VSM örneği, normal işletim sistemi işlevlerinden ayrılır ve bu modda bilgi okuma girişimleriyle korunur. Hiper yönetici donanımın bu bellek sayfalarına farklı şekilde davranmasını istediğinden, korumalar donanım desteklidir. Bu, aynı ana bilgisayardaki iki sanal makinenin birbiriyle etkileşim kuramaması için aynı yöntemdir; bellekleri bağımsızdır ve her bir VM'nin yalnızca kendi verilerine erişebilmesini sağlamak için donanımı düzenlenmiştir.

Buradan, artık güvenliğe duyarlı işlemleri yürütebileceğimiz korumalı bir modumuz var. Yazım sırasında, burada bulunabilecek üç yeteneği destekliyoruz: Yerel Güvenlik Yetkilisi (LSA) ve Çekirdek Modu Kod Bütünlüğü (KMCI) biçimindeki Kod Bütünlüğü denetimi işlevleri ve hiper yönetici kod bütünlüğü denetimi adı verilen kendisinin Hiper Yönetici Kod Bütünlüğü (HVCI).

Bu yetenekler VSM'deki Trustlets tarafından ele alındığında, Ana İşletim Sistemi onlarla basitçe standart kanallar ve işletim sistemi içindeki yetenekler aracılığıyla iletişim kurar. Bu Trustlet'e özgü iletişime izin verilirken, Ana Bilgisayar İşletim Sistemindeki kötü niyetli kodların veya kullanıcıların VSM'deki verileri okumaya veya değiştirmeye teşebbüs etmeleri, bu yapılandırılmamış bir sisteme göre önemli ölçüde daha zor olacak ve bu da güvenlik avantajı sağlayacaktır.

LSA'yı VSM'de çalıştırmak, LSA işleminin (LSASS) Ana Bilgisayar İşletim Sisteminde kalmasına neden olur ve özel, ek bir LSA örneği (LSAIso adı verilen - LSA İzole anlamına gelir) oluşturulur. Bu, LSA ile doğrudan iletişim gerektiren hizmetler veya yetenekler için bile mükemmel eski ve geriye dönük uyumluluk sunarak, LSA'ya yapılan tüm standart çağrıların hala başarılı olmasına izin vermek içindir. Bu bağlamda, Ana Bilgisayar İşletim Sisteminde kalan LSA örneğini, yalıtılmış sürümle öngörülen şekillerde basitçe iletişim kuran bir "proxy" veya "saplama" örneği olarak düşünebilirsiniz.

Ve Hyper-V ve VMware , VMware'in Sürüm 15.5.5'ten başlayarak Hyper-V ile birlikte var olmak için Hyper-V Platformunu kullandığı 2020 yılına kadar aynı anda çalışmadı .

VMware Workstation, 15.5.5 sürümünden önce nasıl çalışır?

VMware Workstation geleneksel olarak, CPU'ya doğrudan erişimin yanı sıra CPU'nun yerleşik sanallaştırma desteğine (Intel'in VT-x ve AMD'nin AMD-V) erişimini gerektiren ayrıcalıklı modda çalışan bir Sanal Makine İzleyicisi (VMM) kullanmıştır. Bir Windows ana bilgisayarı Sanallaştırma Tabanlı Güvenlik ("VBS") özelliklerini etkinleştirdiğinde, Windows donanım ile Windows arasına Hyper-V'ye dayalı bir hiper yönetici katmanı ekler. VMware'in geleneksel VMM'sini çalıştırmaya yönelik herhangi bir girişim başarısız olur çünkü Hyper-V'nin içinde VMM'nin artık donanımın sanallaştırma desteğine erişimi yoktur.

Kullanıcı Düzeyi İzleyiciye Giriş

Bu Hyper-V / Host VBS uyumluluk sorununu gidermek için, VMware'in platform ekibi, Microsoft'un WHP API'lerini kullanmak için VMware'in Hiper yöneticisini yeniden tasarladı. Bu, VMM'imizi ayrıcalıklı mod yerine kullanıcı düzeyinde çalışacak şekilde değiştirmenin yanı sıra, temeldeki donanımı doğrudan kullanmak yerine bir misafirin yürütülmesini yönetmek için WHP API'lerini kullanacak şekilde değiştirmek anlamına gelir.

Bu sizin için ne ifade ediyor?

VMware Workstation / Player artık Hyper-V etkinleştirildiğinde çalışabilir. Artık VMware Workstation çalıştırmak ve WSL, Device Guard ve Credential Guard gibi Windows özellikleri arasında seçim yapmak zorunda değilsiniz . Hyper-V etkinleştirildiğinde, VMware Workstation'ı normal şekilde çalıştırabilmeniz için ULM modu otomatik olarak kullanılacaktır. Hyper-V'yi hiç kullanmıyorsanız, VMware Workstation bunu algılayacak kadar akıllıdır ve VMM kullanılacaktır.

sistem gereksinimleri

İş İstasyonu / Oynatıcıyı Windows Hiper Yönetici API'lerini kullanarak çalıştırmak için gerekli minimum Windows 10 sürümü Windows 10 20H1 yapı 19041.264'tür. VMware Workstation / Player minimum sürümü 15.5.5'tir.

Hatayı önlemek için Windows 10'unuzu Sürüm 2004 / Derleme 19041'e (Mai 2020 Güncellemesi) güncelleyin ve en az VMware 15.5.5 kullanın .

Bu sorunu halletmenin çok daha iyi bir yolu var. Hyper-V'yi tamamen kaldırmak yerine, VMWare kullanmanız gerektiğinde geçici olarak devre dışı bırakmak için alternatif önyükleme yaparsınız. Burada gösterildiği gibi ...

http://www.hanselman.com/blog/SwitchEasilyBetweenVirtualBoxAndHyperVWithABCDEditBootEntryInWindows81.aspx

C:\>bcdedit /copy {current} /d "No Hyper-V" 
The entry was successfully copied to {ff-23-113-824e-5c5144ea}. 

C:\>bcdedit /set {ff-23-113-824e-5c5144ea} hypervisorlaunchtype off 
The operation completed successfully.

not: İlk komuttan üretilen kimlik, ikinci komutta kullandığınız şeydir. Sadece kelimesi kelimesine çalıştırmayın.

Yeniden başlattığınızda, iki seçenekli bir menü göreceksiniz ...

• Windows 10
• Hyper-V yok

Dolayısıyla, VMWare kullanmak sadece yeniden başlatma ve Hyper-V Yok seçeneğini seçme meselesidir.

Bir önyükleme girişini yeniden kaldırmak istiyorsanız. Bcdedit için / delete seçeneğini kullanabilirsiniz.

İlk önce, mevcut önyükleme girişlerinin bir listesini alın ...

C:\>bcdedit /v

Bu, tüm girişleri kimlikleriyle listeler. İlgili kimliği kopyalayın ve ardından bu şekilde kaldırın ...

C:\>bcdedit /delete {ff-23-113-824e-5c5144ea}

Yorumlarda belirtildiği gibi, bunu powershell'den değil, yükseltilmiş bir komut isteminden yapmanız gerekir. Powershell'de komut hata verecektir.

update: Küme parantezlerinden backtick (`) ile öncelenirse, bu komutları powershell'de çalıştırmak mümkündür. Böyle ...

C:\WINDOWS\system32> bcdedit /copy `{current`} /d "No Hyper-V"

Geçen yılın Docker denemelerinde ve sıkıntılarında bile Hyper-V'nin benim için The Thing olduğuna hala ikna olmadım ve sanırım yeni bir önyükleme oluşturmak ve önyükleme varsayılanını onaylamak yerine çok sık geçiş yapmak istemeyeceksiniz. Yönetici modunda isteğe bağlı olarak konsolda açtığım her açılışta zaman aşımını bekliyorum

bcdedit /set hypervisorlaunchtype off

Bu yazının bir başka nedeni - sizi biraz baş ağrısından kurtarmak için: Hyper-V'yi tekrar "açık" argümanıyla açtığınızı mı düşündünüz? Hayır! MiRKoS..t için çok basit. Bu var oto !

İyi eğlenceler!
G.

Bunu çok kolaylaştırmak için:

1. Sadece bu script indir doğrudan Microsoft'tan.

2. Powershell'inizi yönetici olarak çalıştırın ve ardından aşağıdaki komutları yürütün:

   • DG / CG'nin etkin olup olmadığını doğrulamak için DG_Readiness.ps1 -Ready
   • DG / CG'yi Devre Dışı Bırakmak İçin. DG_Readiness.ps1 -Disable

Bilgisayarınızda Hyper-V içeren son değişikliklerle bu sorunla karşılaşabilecek olanlar için, VMWare veya VirtualBox kullanırken bunu devre dışı bırakmanız gerekir. Birlikte çalışmıyorlar. Windows Sandbox ve WSL 2, şu anda VMWare'i bozan Hyper-V Hypervisor'a ihtiyaç duyar. Temel olarak, bir sonraki yeniden başlatmada Hyper-V hizmetlerini etkinleştirmek / devre dışı bırakmak için aşağıdaki komutları çalıştırmanız gerekir.

Hyper-V'yi devre dışı bırakmak ve VMWare'i çalıştırmak için, PowerShell'de Yönetici olarak:

bcdedit /set hypervisorlaunchtype off

Hyper-V'yi yeniden etkinleştirmek ve şimdilik VMWare'i kırmak için, PowerShell'de Yönetici olarak:

bcdedit /set hypervisorlaunchtype auto

Bundan sonra yeniden başlatmanız gerekecek. Bunu sizin için değiştirecek ve iletişim kutuları ile onaylayacak bir PowerShell betiği yazdım. Hyper-V modunuzu hızlı bir şekilde değiştirmek için sadece sağ tıklayıp betiği çalıştırabilmeniz için bu tekniği kullanarak kendi kendini Yönetici olarak yükseltir . Sizin için yeniden başlatmak için kolayca değiştirilebilir, ancak şahsen bunun olmasını istemedim. Bunu hypervisor.ps1 olarak kaydedin ve Set-ExecutionPolicy RemoteSignedPowerShell betiklerini çalıştırabilmek için çalıştırdığınızdan emin olun .

# Get the ID and security principal of the current user account
$myWindowsID = [System.Security.Principal.WindowsIdentity]::GetCurrent();
$myWindowsPrincipal = New-Object System.Security.Principal.WindowsPrincipal($myWindowsID);

# Get the security principal for the administrator role
$adminRole = [System.Security.Principal.WindowsBuiltInRole]::Administrator;

# Check to see if we are currently running as an administrator
if ($myWindowsPrincipal.IsInRole($adminRole))
{
    # We are running as an administrator, so change the title and background colour to indicate this
    $Host.UI.RawUI.WindowTitle = $myInvocation.MyCommand.Definition + "(Elevated)";
    $Host.UI.RawUI.BackgroundColor = "DarkBlue";
    Clear-Host;
}
else {
    # We are not running as an administrator, so relaunch as administrator

    # Create a new process object that starts PowerShell
    $newProcess = New-Object System.Diagnostics.ProcessStartInfo "PowerShell";

    # Specify the current script path and name as a parameter with added scope and support for scripts with spaces in it's path
    $newProcess.Arguments = "-windowstyle hidden & '" + $script:MyInvocation.MyCommand.Path + "'"

    # Indicate that the process should be elevated
    $newProcess.Verb = "runas";

    # Start the new process
    [System.Diagnostics.Process]::Start($newProcess);

    # Exit from the current, unelevated, process
    Exit;
}

Add-Type -AssemblyName System.Windows.Forms


$state = bcdedit /enum | Select-String -Pattern 'hypervisorlaunchtype\s*(\w+)\s*'


if ($state.matches.groups[1].ToString() -eq "Off"){

    $UserResponse= [System.Windows.Forms.MessageBox]::Show("Enable Hyper-V?" , "Hypervisor" , 4)

    if ($UserResponse -eq "YES" ) 
    {

        bcdedit /set hypervisorlaunchtype auto
        [System.Windows.Forms.MessageBox]::Show("Enabled Hyper-V. Reboot to apply." , "Hypervisor")

    } 

    else 

    { 

        [System.Windows.Forms.MessageBox]::Show("No change was made." , "Hypervisor")
        exit

    }

} else {

    $UserResponse= [System.Windows.Forms.MessageBox]::Show("Disable Hyper-V?" , "Hypervisor" , 4)

    if ($UserResponse -eq "YES" ) 
    {

        bcdedit /set hypervisorlaunchtype off
        [System.Windows.Forms.MessageBox]::Show("Disabled Hyper-V. Reboot to apply." , "Hypervisor")

    } 

    else 

    { 

        [System.Windows.Forms.MessageBox]::Show("No change was made." , "Hypervisor")
        exit

    }

}

bu sorun için en basit çözüm, uyumsuzluğu düzeltmek için "Device Guard ve Credential Guard donanım hazırlık aracı" nı indirmektir:

• https://www.microsoft.com/en-us/download/details.aspx?id=53337
• Zip sıkıştırmasını açın
• bulacaksın :

• PowerShell ile "DG_Readiness_Tool_v3.6.ps1" çalıştırın

• Artık sanal makinenizi normal şekilde açabilmelisiniz.

Neden bilmiyorum ama DG_Readiness_Tool'un 3.6 sürümü benim için çalışmadı. Yeniden başlattıktan sonra dizüstü bilgisayar sorunum hala devam etti. Çözüm arıyordum ve sonunda aracın 3.7 sürümüyle karşılaştım ve bu sefer sorun ortadan kalktı. Burada en son powershell betiğini bulabilirsiniz:

DG_Readiness_Tool_v3.7

Ben de bu sorunla çok uğraştım. Bu konudaki cevaplar yardımcı oldu, ancak hatamı çözmek için yeterli değildi. Diğer yanıtların önerdiği gibi Hyper-V ve Aygıt korumasını devre dışı bırakmanız gerekecektir. Bununla ilgili daha fazla bilgiyi burada bulabilirsiniz .

Yukarıda verilen cevaplara ek olarak yapılması gereken değişiklikleri de ekliyorum. Sonunda bana yardımcı bağlantı oldu bu .

Cevabım, yalnızca yanıtların geri kalanı (yani, Hyper-V ve Aygıt korumasını devre dışı bırakma) ile aşağıdaki adımlar arasındaki farkı özetleyecektir:

1. Grup İlkesi kullandıysanız, Windows Defender Kimlik Bilgileri Korumasını etkinleştirmek için kullandığınız Grup İlkesi ayarını devre dışı bırakın (Bilgisayar Yapılandırması -> Yönetim Şablonları -> Sistem -> Aygıt Koruması -> Sanallaştırma Tabanlı Güvenliği Aç).

2. Aşağıdaki kayıt defteri ayarlarını silin:

   HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ LSA \ LsaCfgFlags HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ DeviceGuard \ EnableVirtualizationBasedSecurity HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ DeviceGuard \ RequirePlatformSecurity

   Önemli: Bu kayıt defteri ayarlarını manuel olarak kaldırırsanız, hepsini sildiğinizden emin olun. Hepsini kaldırmazsanız, cihaz BitLocker kurtarmaya gidebilir.

3. Windows Defender Credential Guard EFI değişkenlerini bcdedit kullanarak silin. Yükseltilmiş bir komut isteminden (yönetici modunda başlayın), aşağıdaki komutları yazın:

    mountvol X: /s
   
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
   
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
   
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
   
    mountvol X: /d
   

4. Bilgisayarı yeniden başlatın.

5. Windows Defender Credential Guard'ı devre dışı bırakma istemini kabul edin.

6. Alternatif olarak, Windows Defender Credential Guard'ı kapatmak için sanallaştırma tabanlı güvenlik özelliklerini devre dışı bırakabilirsiniz.

HER ADIMDA HIZLI ÇÖZÜM:

Windows 10 Host Transport (VMDB) üzerinde VMware Workstation'daki hata düzeltildi hatası -14: Boru bağlantısı kesildi.

Bugün bir Windows 10 bilgisayarında VMWare hatasını düzelteceğiz.

1. RUN kutusuna "gpedit" yazıp Goto [ERROR SEE POINT 3]

1- Bilgisayar Yapılandırma 2- Yönetim Şablonları 3- Sistemi - Cihaz Guard: Hayır CİHAZI GUARD (YÜKLE https://www.microsoft.com/en-us/download/100591 bu yükleme "c:\Program Files (x86)\Microsoft Group Policy\Windows 10 November 2019 Update (1909)\PolicyDefinitions" KOPYA için c:\windows\PolicyDefinitions) Sanallaştırma Bazlı ile 4- aç Güvenlik. Şimdi buna çift tıklayın ve "Devre Dışı Bırak"

2. Komut İstemi'ni Yönetici olarak açın ve aşağıdaki gpupdate / force komutunu yazın [CİHAZ KORUMASINIZ YOKSA TEKRAR GİTECEKSENİZ YAPMAYIN]

3. Kayıt Defteri Düzenleyicisini açın, şimdi gidin HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard. Adlandırılmış yeni bir DWORD değeri ekleyin EnableVirtualizationBasedSecurityve devre dışı bırakmak için 0 olarak ayarlayın. Sonraki Git HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA. Adlandırılmış yeni bir DWORD değeri ekleyin LsaCfgFlagsve devre dışı bırakmak için 0 olarak ayarlayın.

4. ÇALIŞTIR kutusuna Windows özelliklerini aç veya kapat yazın, şimdi Hyper-V'nin işaretini kaldırın ve sistemi yeniden başlatın.

5. Yönetici olarak komut istemini açın ve aşağıdaki komutları yazın

    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader

    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"

    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS

    bcdedit /set hypervisorlaunchtype off

Şimdi, sisteminizi yeniden başlatın

Açık, özelleştirilmiş bir "Yönetici olarak çalıştır" komut istemini veya powershell komut satırı penceresini her zaman koruyan biriyseniz, yalnızca hyper-v hipervizörünü devre dışı bırakmak için @ gue22 tarafından belirtilen komutların yürütülmesini basitleştirmek için isteğe bağlı olarak aşağıdaki takma adları / makroları ayarlayabilirsiniz. vmware oynatıcı veya iş istasyonunu kullanmanız gerektiğinde ve tamamlandığında yeniden etkinleştirdiğinizde.

doskey hpvEnb = choice /c:yn /cs /d n /t 30 /m "Are you running from elevated command prompt" ^& if not errorlevel 2 ( bcdedit /set hypervisorlaunchtype auto ^& echo.^&echo now reboot to enable hyper-v hypervisor )
doskey hpvDis = choice /c:yn /cs /d n /t 30 /m "Are you running from elevated command prompt" ^& if not errorlevel 2 ( bcdedit /set hypervisorlaunchtype off ^& echo.^&echo now reboot to disable hyper-v hypervisor )
doskey bcdL = bcdedit /enum ^& echo.^&echo now see boot configuration data store {current} boot loader settings

Yukarıdakileri yerine getirerek, açma, kapama, liste komutlarını yürütmek için "hpvenb" [hiper yönetici önyükleme sırasında etkinleştirilir], "hpvdis" [hipervizör devre dışı bırakılır] ve "bcdl" [önyükleme yapılandırma aygıtları listesi] komutlarını yazarsınız.

Well Boys and Girls, gecenin erken saatlerinde 17093 yapısının sürüm notlarını okuduktan sonra, VMware Workstation VM'min çalışmamasına neden olan değişim noktasını buldum, Aygıt Güvenliği altındaki Çekirdek İzolasyon ayarları. ayarlarda Windows güvenliği (Windows savunma sayfası için yeni ad) .

Varsayılan olarak açıktır, ancak kapatıp bilgisayarımı yeniden başlattığımda tüm VMware VM'lerim düzgün çalışmaya devam etti. Temel izolasyonun her cihaz veya Uygulama için gerektiği gibi açık veya kapalı olmasına izin vermek için ayrı cihazları / Uygulama yanıtlarını test etmemize izin vermek için bir cihaza göre seçeneği bir sonraki yapıya dahil edilebilir.

İşte herkesin takip edebilmesi için uygun talimatlar.

• İlk olarak Device Guard ve Credential Guard donanım hazırlık aracını bu bağlantıdan indirin: https://www.microsoft.com/en-us/download/details.aspx?id=53337
• zip klasörü içeriğini aşağıdaki gibi bir konuma çıkarın : C: \ guard_tool
• Benim durumumda ps1 uzantı dosyasının bu kopya dosya adı gibi dosyalara sahip olacaksınız, yani şu olacak: DG_Readiness_Tool_v3.6.ps1

• Ardından, başlat menüsüne tıklayın ve powershell'i arayın ve ardından sağ tıklayın ve Yönetici olarak çalıştırın.

• Bundan sonra mavi renkli terminalin cd C: \ guard_tool komutuna girdiğini göreceksiniz , cd'den sonraki yolu aracın çıkardığınız konumuyla değiştirin
• Şimdi şu komutu girin :. \ DG_Readiness_Tool_v3.6.ps1 -Disable
• Bu yeniden başlatma sisteminden sonra
• Sisteminiz yeniden başlatılırken, önyükleme zamanı sistemi bu özellikleri devre dışı bırakmak istediğinizi doğrulamak için siyah arka planla bildirim gösterecektir, bu nedenle onaylamak için F3'e basın.
• yardımcı olduysa +1 yapın :)