VMware Workstation và Device / Credential Guard không tương thích

Tôi đã chạy VMware trong năm qua không có vấn đề gì, hôm nay tôi đã mở nó để khởi động một trong các máy ảo của mình và nhận được thông báo lỗi, hãy xem ảnh chụp màn hình.

Tôi đã làm theo liên kết và thực hiện các bước, ở bước 4, tôi cần gắn một ổ đĩa bằng cách sử dụng "mountvol". Khi tôi cố gắng gắn một ổ đĩa bằng cách sử dụng mountvol X: \\?\Volume{5593b5bd-0000-0000-0000-c0f373000000}\nó, nó vẫn thông báo rằng The directory is not empty.tôi thậm chí đã tạo một phân vùng với 2GB và vẫn có thông báo tương tự.

Những câu hỏi của tôi:

Làm thế nào tôi có thể gắn ổ đĩa không trống mặc dù nó có?

Tại sao thiết bị / Bảo vệ thông tin đăng nhập này tự động bật và làm cách nào để tôi có thể loại bỏ hoặc tắt nó.

CMD:

Device / Credential Guard là Chế độ bảo mật ảo / Máy ảo dựa trên Hyper-V có chứa một nhân an toàn để làm cho Windows 10 an toàn hơn nhiều.

... cá thể VSM được tách biệt khỏi các chức năng của hệ điều hành bình thường và được bảo vệ bằng cách cố gắng đọc thông tin trong chế độ đó. Các biện pháp bảo vệ được phần cứng hỗ trợ, vì hypervisor yêu cầu phần cứng xử lý các trang bộ nhớ đó theo cách khác nhau. Đây là cách tương tự để hai máy ảo trên cùng một máy chủ không thể tương tác với nhau; bộ nhớ của chúng độc lập và phần cứng được điều chỉnh để đảm bảo mỗi máy ảo chỉ có thể truy cập dữ liệu của chính nó.

Từ đây, bây giờ chúng ta có một chế độ được bảo vệ, nơi chúng ta có thể chạy các hoạt động nhạy cảm về bảo mật. Tại thời điểm viết bài, chúng tôi hỗ trợ ba khả năng có thể nằm ở đây: Cơ quan bảo mật cục bộ (LSA) và các chức năng kiểm soát tính toàn vẹn của mã dưới dạng Tính toàn vẹn của mã chế độ nhân (KMCI) và bản thân kiểm soát toàn vẹn mã hypervisor, được gọi là Tính toàn vẹn của mã Hypervisor (HVCI).

Khi các khả năng này được Trustlets xử lý trong VSM, Host OS chỉ cần giao tiếp với chúng thông qua các kênh tiêu chuẩn và các khả năng bên trong OS. Mặc dù giao tiếp dành riêng cho Trustlet này được cho phép, nhưng việc có mã độc hại hoặc người dùng trong Hệ điều hành máy chủ cố gắng đọc hoặc thao tác dữ liệu trong VSM sẽ khó hơn đáng kể so với hệ thống không được định cấu hình này, mang lại lợi ích bảo mật.

Chạy LSA trong VSM, khiến chính quá trình LSA (LSASS) vẫn ở trong Hệ điều hành máy chủ và một phiên bản đặc biệt, bổ sung của LSA (được gọi là LSAIso - viết tắt của LSA Isolated) được tạo. Điều này cho phép tất cả các lệnh gọi tiêu chuẩn tới LSA vẫn thành công, cung cấp tính tương thích ngược và kế thừa tuyệt vời, ngay cả đối với các dịch vụ hoặc khả năng yêu cầu giao tiếp trực tiếp với LSA. Về mặt này, bạn có thể coi phiên bản LSA còn lại trong Hệ điều hành máy chủ như một phiên bản 'proxy' hoặc 'sơ khai' chỉ giao tiếp với phiên bản biệt lập theo những cách được chỉ định.

Và Hyper-V và VMware đã không hoạt động giống nhau cho đến năm 2020 , khi VMware sử dụng Nền tảng Hyper-V để cùng tồn tại với Hyper-V bắt đầu từ Phiên bản 15.5.5 .

VMware Workstation hoạt động như thế nào trước phiên bản 15.5.5?

VMware Workstation theo truyền thống đã sử dụng Màn hình máy ảo (VMM) hoạt động ở chế độ đặc quyền yêu cầu quyền truy cập trực tiếp vào CPU cũng như quyền truy cập vào hỗ trợ ảo hóa tích hợp của CPU (VT-x của Intel và AMD-V của AMD). Khi máy chủ Windows bật các tính năng Bảo mật dựa trên ảo hóa (“VBS”), Windows sẽ thêm một lớp siêu giám sát dựa trên Hyper-V giữa phần cứng và Windows. Bất kỳ nỗ lực nào để chạy VMM truyền thống của VMware đều không thành công vì ở bên trong Hyper-V, VMM không còn quyền truy cập vào hỗ trợ ảo hóa của phần cứng.

Giới thiệu Trình theo dõi mức người dùng

Để khắc phục sự cố tương thích Hyper-V / Host VBS này, nhóm nền tảng của VMware đã tái cấu trúc lại Hypervisor của VMware để sử dụng các API WHP của Microsoft. Điều này có nghĩa là thay đổi VMM của chúng tôi để chạy ở cấp người dùng thay vì ở chế độ đặc quyền, cũng như sửa đổi nó để sử dụng các API WHP để quản lý việc thực thi của khách thay vì sử dụng trực tiếp phần cứng bên dưới.

Điều này có nghĩa gì với bạn?

VMware Workstation / Player hiện có thể chạy khi Hyper-V được kích hoạt. Bạn không còn phải lựa chọn giữa việc chạy VMware Workstation và các tính năng của Windows như WSL, Device Guard và Credential Guard. Khi Hyper-V được bật, chế độ ULM sẽ tự động được sử dụng để bạn có thể chạy VMware Workstation bình thường. Nếu bạn hoàn toàn không sử dụng Hyper-V, VMware Workstation đủ thông minh để phát hiện điều này và VMM sẽ được sử dụng.

yêu cầu hệ thống

Để chạy Máy trạm / Trình phát bằng API Windows Hypervisor, phiên bản Windows 10 bắt buộc tối thiểu là Windows 10 20H1 bản dựng 19041.264. Phiên bản tối thiểu của VMware Workstation / Player là 15.5.5.

Để tránh lỗi, hãy cập nhật Windows 10 của bạn lên Phiên bản 2004 / Bản dựng 19041 (Bản cập nhật Mai 2020) và sử dụng ít nhất VMware 15.5.5 .

Có một cách tốt hơn nhiều để xử lý vấn đề này. Thay vì loại bỏ hoàn toàn Hyper-V, bạn chỉ cần thực hiện khởi động thay thế để tạm thời vô hiệu hóa nó khi bạn cần sử dụng VMWare. Như hình ở đây ...

http://www.hanselman.com/blog/SwitchEasilyBetweenVirtualBoxAndHyperVWithABCDEditBootEntryInWindows81.aspx

C:\>bcdedit /copy {current} /d "No Hyper-V" 
The entry was successfully copied to {ff-23-113-824e-5c5144ea}. 

C:\>bcdedit /set {ff-23-113-824e-5c5144ea} hypervisorlaunchtype off 
The operation completed successfully.

lưu ý: ID được tạo từ lệnh đầu tiên là những gì bạn sử dụng trong lệnh thứ hai. Đừng chỉ chạy nó nguyên văn.

Khi khởi động lại, bạn sẽ chỉ thấy một menu có hai tùy chọn ...

• Windows 10
• Không có Hyper-V

Vì vậy, việc sử dụng VMWare sau đó chỉ cần khởi động lại và chọn tùy chọn No Hyper-V.

Nếu bạn muốn xóa mục khởi động một lần nữa. Bạn có thể sử dụng tùy chọn / xóa cho bcdedit.

Đầu tiên, lấy danh sách các mục khởi động hiện tại ...

C:\>bcdedit /v

Điều này liệt kê tất cả các mục nhập có ID của họ. Sao chép ID có liên quan, sau đó xóa nó như vậy ...

C:\>bcdedit /delete {ff-23-113-824e-5c5144ea}

Như đã đề cập trong các nhận xét, bạn cần thực hiện việc này từ dấu nhắc lệnh nâng cao, không phải powershell. Trong powershell, lệnh sẽ bị lỗi.

cập nhật: Có thể chạy các lệnh này trong powershell, nếu dấu ngoặc nhọn được thoát bằng backtick (`). Như vậy ...

C:\WINDOWS\system32> bcdedit /copy `{current`} /d "No Hyper-V"

Tôi vẫn không tin rằng Hyper-V là The Thing đối với tôi, ngay cả với những thử nghiệm và gian nan của Docker năm ngoái và tôi đoán bạn sẽ không muốn chuyển đổi thường xuyên, vì vậy thay vì tạo một khởi động mới và xác nhận mặc định khởi động hoặc chờ hết thời gian chờ mỗi lần khởi động, tôi bật theo yêu cầu trong bảng điều khiển ở chế độ quản trị viên bằng cách

bcdedit /set hypervisorlaunchtype off

Một lý do khác cho bài đăng này - giúp bạn đỡ đau đầu: Bạn nghĩ rằng bạn lại bật Hyper-V với đối số "bật"? Không. Quá đơn giản cho MiRKoS..t. Nó tự động !

Chúc vui vẻ!
G.

Để làm cho nó siêu dễ dàng:

1. Chỉ cần tải xuống tập lệnh này trực tiếp từ Microsoft.

2. Chạy Powershell của bạn với tư cách quản trị viên và sau đó thực hiện các lệnh sau:

   • Để xác minh xem DG / CG có được bật hay không DG_Readiness.ps1 -Ready
   • Để tắt DG / CG. DG_Readiness.ps1 -Disable

Đối với những người có thể gặp phải sự cố này với các thay đổi gần đây đối với máy tính của bạn liên quan đến Hyper-V, bạn cần phải tắt nó trong khi sử dụng VMWare hoặc VirtualBox. Chúng không làm việc cùng nhau. Windows Sandbox và WSL 2 cần bật Hyper-V Hypervisor, tính năng này hiện đang phá vỡ VMWare. Về cơ bản, bạn sẽ cần chạy các lệnh sau để bật / tắt dịch vụ Hyper-V trong lần khởi động lại tiếp theo.

Để tắt Hyper-V và làm cho VMWare hoạt động, trong PowerShell với tư cách Quản trị viên:

bcdedit /set hypervisorlaunchtype off

Để bật lại Hyper-V và phá vỡ VMWare ngay bây giờ, trong PowerShell với tư cách Quản trị viên:

bcdedit /set hypervisorlaunchtype auto

Bạn sẽ cần khởi động lại sau đó. Tôi đã viết một tập lệnh PowerShell sẽ chuyển đổi điều này cho bạn và xác nhận nó bằng các hộp thoại. Nó thậm chí còn tự nâng cấp thành Quản trị viên bằng cách sử dụng kỹ thuật này để bạn có thể chỉ cần nhấp chuột phải và chạy tập lệnh để nhanh chóng thay đổi chế độ Hyper-V của mình. Nó có thể dễ dàng được sửa đổi để khởi động lại cho bạn, nhưng cá nhân tôi không muốn điều đó xảy ra. Lưu tệp này dưới dạng hypervisor.ps1 và đảm bảo rằng bạn đã chạy Set-ExecutionPolicy RemoteSignedđể có thể chạy các tập lệnh PowerShell.

# Get the ID and security principal of the current user account
$myWindowsID = [System.Security.Principal.WindowsIdentity]::GetCurrent();
$myWindowsPrincipal = New-Object System.Security.Principal.WindowsPrincipal($myWindowsID);

# Get the security principal for the administrator role
$adminRole = [System.Security.Principal.WindowsBuiltInRole]::Administrator;

# Check to see if we are currently running as an administrator
if ($myWindowsPrincipal.IsInRole($adminRole))
{
    # We are running as an administrator, so change the title and background colour to indicate this
    $Host.UI.RawUI.WindowTitle = $myInvocation.MyCommand.Definition + "(Elevated)";
    $Host.UI.RawUI.BackgroundColor = "DarkBlue";
    Clear-Host;
}
else {
    # We are not running as an administrator, so relaunch as administrator

    # Create a new process object that starts PowerShell
    $newProcess = New-Object System.Diagnostics.ProcessStartInfo "PowerShell";

    # Specify the current script path and name as a parameter with added scope and support for scripts with spaces in it's path
    $newProcess.Arguments = "-windowstyle hidden & '" + $script:MyInvocation.MyCommand.Path + "'"

    # Indicate that the process should be elevated
    $newProcess.Verb = "runas";

    # Start the new process
    [System.Diagnostics.Process]::Start($newProcess);

    # Exit from the current, unelevated, process
    Exit;
}

Add-Type -AssemblyName System.Windows.Forms


$state = bcdedit /enum | Select-String -Pattern 'hypervisorlaunchtype\s*(\w+)\s*'


if ($state.matches.groups[1].ToString() -eq "Off"){

    $UserResponse= [System.Windows.Forms.MessageBox]::Show("Enable Hyper-V?" , "Hypervisor" , 4)

    if ($UserResponse -eq "YES" ) 
    {

        bcdedit /set hypervisorlaunchtype auto
        [System.Windows.Forms.MessageBox]::Show("Enabled Hyper-V. Reboot to apply." , "Hypervisor")

    } 

    else 

    { 

        [System.Windows.Forms.MessageBox]::Show("No change was made." , "Hypervisor")
        exit

    }

} else {

    $UserResponse= [System.Windows.Forms.MessageBox]::Show("Disable Hyper-V?" , "Hypervisor" , 4)

    if ($UserResponse -eq "YES" ) 
    {

        bcdedit /set hypervisorlaunchtype off
        [System.Windows.Forms.MessageBox]::Show("Disabled Hyper-V. Reboot to apply." , "Hypervisor")

    } 

    else 

    { 

        [System.Windows.Forms.MessageBox]::Show("No change was made." , "Hypervisor")
        exit

    }

}

giải pháp đơn giản nhất cho sự cố này là tải xuống "Công cụ sẵn sàng cho phần cứng của Device Guard và Credential Guard" để sửa lỗi không tương thích:

• https://www.microsoft.com/en-us/download/details.aspx?id=53337
• Giải nén zip
• Bạn sẽ thấy :

• thực thi "DG_Readiness_Tool_v3.6.ps1" với PowerShell

• Bây giờ bạn sẽ có thể bật nguồn máy ảo của mình bình thường.

Tôi không biết tại sao nhưng phiên bản 3.6 của DG_Readiness_Tool không hoạt động với tôi. Sau khi tôi khởi động lại, sự cố máy tính xách tay của tôi vẫn tiếp diễn. Tôi đang tìm kiếm giải pháp và cuối cùng tôi đã xem phiên bản 3.7 của công cụ và lần này vấn đề đã biến mất. Tại đây bạn có thể tìm thấy tập lệnh powershell mới nhất:

DG_Readiness_Tool_v3.7

Tôi cũng đã đấu tranh rất nhiều với vấn đề này. Các câu trả lời trong chủ đề này hữu ích nhưng không đủ để giải quyết lỗi của tôi. Bạn sẽ cần phải tắt Hyper-V và Bảo vệ thiết bị như các câu trả lời khác đã đề xuất. Thông tin thêm về điều đó có thể được tìm thấy tại đây .

Tôi bao gồm những thay đổi cần thiết phải thực hiện ngoài các câu trả lời được cung cấp ở trên. Liên kết cuối cùng đã giúp tôi là cái này .

Câu trả lời của tôi sẽ chỉ tóm tắt sự khác biệt giữa các câu trả lời còn lại (tức là Tắt Hyper-V và Bảo vệ thiết bị) và các bước sau:

1. Nếu bạn đã sử dụng Chính sách Nhóm, hãy tắt cài đặt Chính sách Nhóm mà bạn đã sử dụng để bật Bảo vệ Thông tin Đăng nhập của Bộ bảo vệ Windows (Cấu hình Máy tính -> Mẫu Quản trị -> Hệ thống -> Bảo vệ Thiết bị -> Bật Bảo mật Dựa trên Ảo hóa).

2. Xóa các cài đặt đăng ký sau:

   HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ LSA \ LsaCfgFlags HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ DeviceGuard \ EnableVirtualizationBasedSecurity HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ DeviceformuresGuard \ Yêu cầu bảo mật

   Quan trọng: Nếu bạn xóa các cài đặt đăng ký này theo cách thủ công, hãy đảm bảo xóa tất cả. Nếu bạn không xóa tất cả, thiết bị có thể chuyển sang trạng thái khôi phục BitLocker.

3. Xóa các biến EFI của Windows Defender Credential Guard bằng cách sử dụng bcdedit. Từ dấu nhắc lệnh nâng cao (bắt đầu ở chế độ quản trị), nhập các lệnh sau:

    mountvol X: /s
   
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
   
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
   
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
   
    mountvol X: /d
   

4. Khởi động lại PC.

5. Chấp nhận lời nhắc tắt Bảo vệ thông tin xác thực của Bộ bảo vệ Windows.

6. Ngoài ra, bạn có thể tắt các tính năng bảo mật dựa trên ảo hóa để tắt Bảo vệ thông tin xác thực của Bộ bảo vệ Windows.

GIẢI PHÁP NHANH CHÓNG MỖI BƯỚC:

Đã sửa lỗi trong VMware Workstation trên Windows 10 host Transport (VMDB) lỗi -14: Kết nối đường ống đã bị hỏng.

Hôm nay chúng tôi sẽ sửa lỗi VMWare trên máy tính windows 10.

1. Trong hộp RUN, nhập "gpedit" rồi Goto [XEM LỖI ĐIỂM 3]

1- Cấu hình máy tính 2- Mẫu quản trị 3- Hệ thống - Bảo vệ thiết bị: NẾU KHÔNG CÓ THIẾT BỊ BẢO VỆ: (TẢI XUỐNG https://www.microsoft.com/en-us/download/100591 cài đặt "c:\Program Files (x86)\Microsoft Group Policy\Windows 10 November 2019 Update (1909)\PolicyDefinitions" BẢN SAO này lên c:\windows\PolicyDefinitions) 4- Bật dựa trên ảo hóa Bảo vệ. Bây giờ nhấp đúp vào đó và "Tắt"

2. Mở Command Prompt với tư cách là Quản trị viên và nhập gpupdate / force sau [KHÔNG LÀM NẾU BẠN KHÔNG CÓ THIẾT BỊ BẢO VỆ NẾU BẠN KHÔNG CÓ THIẾT BỊ BẢO VỆ NÓ SẼ LẠI LẠI]

3. Mở Registry Editor, bây giờ Đi tới HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard. Thêm một giá trị DWORD mới được đặt tên EnableVirtualizationBasedSecurityvà đặt nó thành 0 để tắt nó. Tiếp theo Đi tới HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA. Thêm một giá trị DWORD mới được đặt tên LsaCfgFlagsvà đặt nó thành 0 để tắt nó.

4. Trong hộp RUN, nhập Bật hoặc tắt các tính năng của Windows, bây giờ bỏ chọn Hyper-V và khởi động lại hệ thống.

5. Mở dấu nhắc lệnh với tư cách quản trị viên và nhập các lệnh sau

    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader

    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"

    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS

    bcdedit /set hypervisorlaunchtype off

Bây giờ, khởi động lại hệ thống của bạn

Nếu bạn là người duy trì cửa sổ dòng lệnh "Run as administrator" được tùy chỉnh mở hoặc cửa sổ dòng lệnh powershell mọi lúc, bạn có thể tùy chọn thiết lập các bí danh / macro sau để đơn giản hóa việc thực thi các lệnh được đề cập bởi @ gue22 để đơn giản là vô hiệu hóa siêu giám sát hyper-v khi cần sử dụng trình phát vmware hoặc máy trạm và sau đó bật lại khi hoàn tất.

doskey hpvEnb = choice /c:yn /cs /d n /t 30 /m "Are you running from elevated command prompt" ^& if not errorlevel 2 ( bcdedit /set hypervisorlaunchtype auto ^& echo.^&echo now reboot to enable hyper-v hypervisor )
doskey hpvDis = choice /c:yn /cs /d n /t 30 /m "Are you running from elevated command prompt" ^& if not errorlevel 2 ( bcdedit /set hypervisorlaunchtype off ^& echo.^&echo now reboot to disable hyper-v hypervisor )
doskey bcdL = bcdedit /enum ^& echo.^&echo now see boot configuration data store {current} boot loader settings

Với phần trên, bạn chỉ cần gõ lệnh "hpvenb" [hypervisor được kích hoạt khi khởi động], "hpvdis" [hypervisor bị vô hiệu hóa khi khởi động] và "bcdl" [boot configuration devices list] để thực hiện các lệnh bật, tắt danh sách.

Vâng các chàng trai và cô gái sau khi đọc qua các ghi chú phát hành cho bản dựng 17093 trong vài giờ nhỏ của đêm, tôi đã tìm thấy điểm thay đổi ảnh hưởng đến máy ảo VMware Workstation của tôi khiến chúng không hoạt động, đó là cài đặt Core Isolation trong Device Security trong bảo mật cửa sổ (tên mới cho trang bảo vệ cửa sổ) trong cài đặt .

Theo mặc định, nó được bật, tuy nhiên khi tôi tắt và khởi động lại máy tính của mình, tất cả các máy ảo VMware của tôi lại tiếp tục hoạt động bình thường. Có lẽ tùy chọn theo thiết bị có thể được tích hợp trong bản dựng tiếp theo để cho phép chúng tôi kiểm tra phản hồi của từng thiết bị / Ứng dụng để cho phép bật hoặc tắt tính năng cách ly cốt lõi cho mỗi thiết bị hoặc Ứng dụng theo yêu cầu.

Dưới đây là hướng dẫn thích hợp để mọi người có thể làm theo.

• Đầu tiên hãy tải xuống công cụ sẵn sàng cho phần cứng Device Guard và Credential Guard từ liên kết này: https://www.microsoft.com/en-us/download/details.aspx?id=53337
• giải nén nội dung thư mục zip vào một số vị trí như: C: \ Guard_tool
• bạn sẽ có các tệp như tên tệp sao chép này của tệp mở rộng ps1 trong trường hợp của tôi là v3.6, vì vậy nó sẽ là: DG_Readiness_Tool_v3.6.ps1

• Tiếp theo nhấp vào menu bắt đầu và tìm kiếm powershell, sau đó nhấp chuột phải vào nó và chạy với tư cách Quản trị viên.

• Sau đó, bạn sẽ thấy dòng lệnh màu xanh lam, nhập lệnh cd C: \ Guard_tool , thay thế đường dẫn sau cd bằng vị trí đã trích xuất của công cụ
• Bây giờ hãy nhập lệnh:. \ DG_Readiness_Tool_v3.6.ps1-Tắt
• Sau đó khởi động lại hệ thống
• Khi hệ thống của bạn đang khởi động lại, hệ thống sẽ hiển thị thông báo với nền đen để xác minh rằng bạn muốn tắt các tính năng này, vì vậy hãy nhấn F3 để xác nhận.
• thực hiện +1 nếu nó hữu ích :)