VMware Workstation 与 Device/Credential Guard 不兼容解决方案
一,禁用 Windows 保护者凭据保护 (能力不足,被 Microsoft文档 绕的云里雾里的,最后以失败告终,在此权当记录步骤)
00 使用程序和功能添加基于虚拟化的安全功能
Win + R gpedit.msc 打开 组策略管理控制台
- 从组策略管理控制台转到计算机配置->管理模板->系统->设备防护。
- 双击"打开基于虚拟化的安全性",然后单击"启用"选项。
- 在"选择平台安全级别"框中,选择"安全启动"或"安全启动"和"DMA 保护"。
- 在凭据防护配置框中,单击"使用 UEFI 锁定启用",然后单击"确定"。如果希望能够远程关闭 Windows 防御器凭据防护,请选择"启用"而不锁定。
01 使用 DISM 将基于虚拟化的安全功能添加到脱机映像
通过运行以下命令添加 Hyper-V 虚拟机管理程序
dism /image: /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
通过运行以下命令添加隔离用户模式功能:
dism /image: /Enable-Feature /FeatureName:IsolatedUserMode
吼吼吼,下方有提示
在 Windows 10 版本 1607 及更高版本中,隔离用户模式功能已集成到核心操作系统中。因此,不再需要在上述步骤 3 中运行该命令。
我笑了
02 启用基于虚拟化的安全性和 Windows 防御器凭据防护
- 打开注册表编辑器。
- 启用基于虚拟化的安全性:
- 转到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard.
- 添加新的 DWORD 值,名为" EnableVirtualizationBasedSecurity "。将此注册表设置的值设置为 1 以启用基于虚拟化的安全性,并将其设置为 0 以禁用它。
- 添加新的 DWORD 值名为" RequirePlatformSecurityFeatures "。将此注册表设置的值设置为 1,以便仅使用安全启动,或将其设置为 3 以使用安全引导和 DMA 保护。
- 启用 Windows 保护者凭据保护:
- 转到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA.
- 添加新的 DWORD 值名为LsaCfgFlags。将此注册表设置的值设置为 1,以启用具有 UEFI 锁的 Windows Defender 凭据防护,将其设置为 2 以启用无锁的 Windows Defender 凭据防护,并将其设置为 0 以禁用它。
- 关闭注册表编辑器。
03 使用 Windows 防御器设备防护和 Windows 防御器凭据保护硬件就绪工具启用 Windows 防御者凭据防护
下载Windows 防御器设备保护和 Windows 防御者凭据保护硬件准备工具 启用 Windows 防御者凭据防护。
在非英语操作系统上运行 Windows Defender 设备防护和 Windows Defender 凭据防护硬件就绪工具时,在脚本中更改为改为,以便该工具正常工作。这是一个已知的问题。$OSArch = $(gwmi win32_operatingsystem).OSArchitecture$OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower()
以管理员身份运行PowerShell,cd至 DG_Readiness_Tool.ps1 文件目录下
DG_Readiness_Tool.ps1 -Enable -AutoReboot
命令改成
.\DG_Readiness_Tool_v3.6.ps1 -Enable -AutoReboot
官方文档的说法
限制
- Windows 客户端计算机的默认执行策略。
- 允许单个命令,但不允许脚本。
- 防止运行所有脚本文件,包括格式和配置文件 ()、模块脚本文件 () 和 PowerShell 配置文件 ()。
.ps1xml.psm1.ps1
可以直接在PowerShell中复制粘贴运行.psl
04 查看 Windows 防御者凭据保护性能
开启虚拟机试试
嘿!此路不通
二,禁用Device Guard或Credential Guard (这个操作快捷多了)
00 使用组策略禁止 Windows 防御者凭据保护
01 打开控制面板==>程序程序和功能==>启用或者关闭windows功能,找到Hyper-V将其禁止 (取消勾选),选择不重新启动。
03 以管理员身份运行命令提示符执行命令
bcdedit /set hypervisorlaunchtype off 重启,运行虚拟机即可。
如果想要恢复Hyper-V启动,运行
bcdedit /set hypervisorlaunchtype auto