Device guard windows 10 как отключить

Настройка Credential Guard

В этой статье описывается настройка Credential Guard с помощью Microsoft Intune, групповая политика или реестра.

Включение по умолчанию

Начиная с Windows 11 версии 22H2 Credential Guard по умолчанию включен на устройствах, соответствующих требованиям. По умолчанию используется без блокировки UEFI, что позволяет администраторам при необходимости удаленно отключить Credential Guard.

Если Credential Guard или VBS отключены до обновления устройства до Windows 11 версии 22H2 или более поздней, включение по умолчанию не перезаписывает существующие параметры.

Хотя состояние Credential Guard по умолчанию изменилось, системные администраторы могут включить или отключить его с помощью одного из методов, описанных в этой статье.

Сведения об известных проблемах, связанных с включением по умолчанию, см. в разделе Credential Guard: известные проблемы.

Устройства под управлением Windows 11 Pro/Pro Edu 22H2 или более поздней версии могут автоматически включать безопасность на основе виртуализации (VBS) и (или) Credential Guard, если они соответствуют другим требованиям для включения по умолчанию и ранее запускали Credential Guard. Например, если Credential Guard был включен на корпоративном устройстве, которое позже было понижено до Pro.

Чтобы определить, находится ли устройство Pro в этом состоянии, проверка, существует ли следующий раздел реестра: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret . В этом сценарии, если вы хотите отключить VBS и Credential Guard, следуйте инструкциям, чтобы отключить безопасность на основе виртуализации. Если вы хотите отключить только Credential Guard, не отключая VBS, используйте процедуры для отключения Credential Guard.

Включение Credential Guard

Credential Guard необходимо включить перед присоединением устройства к домену или перед первым входом пользователя домена. Если Credential Guard включен после присоединения к домену, секреты пользователя и устройства уже могут быть скомпрометированы.

Чтобы включить Credential Guard, можно использовать:

• Microsoft Intune/MDM
• Групповая политика
• Реестр

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Настройка Credential Guard с помощью Intune

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

Категория	Имя параметра	Значение
Device Guard	Credential Guard	Выберите один из вариантов: — Включена блокировка UEFI — Включено без блокировки

Если вы хотите удаленно отключить Credential Guard, выберите параметр Включено без блокировки.

Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

Вы также можете настроить Credential Guard с помощью профиля защиты учетных записей в безопасности конечных точек. Дополнительные сведения см. в статье Параметры политики защиты учетных записей для безопасности конечных точек в Microsoft Intune.

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP политики DeviceGuard.

Параметр
Имя параметра: включение безопасности на основе виртуализации OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Тип данных: int Значение: 1
Имя параметра: Конфигурация Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Тип данных: int Значение: Включена блокировка UEFI: 1 Включено без блокировки: 2

После применения политики перезапустите устройство.

Настройка Credential Guard с помощью групповой политики

Чтобы настроить устройство с помощью групповой политики, используйте локальный редактор групповая политика. Чтобы настроить несколько устройств, присоединенных к Active Directory, создайте или измените объект групповой политики и используйте следующие параметры:

Путь к групповой политике	Параметр групповой политики	Значение
Конфигурация компьютера\Административные шаблоны\Система\Device Guard	Включение безопасности на основе виртуализации	Включено и выберите один из параметров, перечисленных в раскрывающемся списке Конфигурация Credential Guard : — Включена блокировка UEFI — Включено без блокировки

Если вы хотите удаленно отключить Credential Guard, выберите параметр Включено без блокировки.

После применения политики перезапустите устройство.

Настройка Credential Guard с параметрами реестра

Чтобы настроить устройства с помощью реестра, используйте следующие параметры:

Параметр
Путь к ключу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Имя ключа: EnableVirtualizationBasedSecurity Тип: REG_DWORD Значение: 1 (для включения безопасности на основе виртуализации)
Путь к ключу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Имя ключа: RequirePlatformSecurityFeatures Тип: REG_DWORD Значение: 1 (для использования безопасной загрузки) 3 (для использования безопасной загрузки и защиты DMA)
Путь к ключу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Имя ключа: LsaCfgFlags Тип: REG_DWORD Значение: 1 (для включения Credential Guard с блокировкой UEFI) 2 (для включения Credential Guard без блокировки)

Перезапустите устройство, чтобы применить изменение.

Вы можете включить Credential Guard, задав записи реестра в параметре автоматической установки FirstLogonCommands .

Проверка включения Credential Guard

Проверка запуска диспетчера LsaIso.exe задач не рекомендуется для определения того, работает ли Credential Guard. Вместо этого используйте один из следующих методов:

• Сведения о системе
• PowerShell
• Просмотр событий

Сведения о системе

Вы можете использовать сведения о системе , чтобы определить, работает ли Credential Guard на устройстве.

1. Нажмите кнопку Пуск, введите msinfo32.exe и выберите Сведения о системе.
2. Выбор сводки по системе
3. Убедитесь, что Credential Guard отображается рядом с пунктом Запущенные службы безопасности на основе виртуализации.

PowerShell

Вы можете использовать PowerShell, чтобы определить, работает ли Credential Guard на устройстве. В сеансе PowerShell с повышенными привилегиями используйте следующую команду:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning 

Команда создает следующие выходные данные:

• 0: Credential Guard отключен (не выполняется)
• 1: Credential Guard включен (выполняется)

Средство просмотра событий

Регулярно проверяйте устройства с включенным Credential Guard, используя политики аудита безопасности или запросы WMI.
Откройте Просмотр событий ( eventvwr.exe ), перейдите к Windows Logs\System и отфильтруйте источники событий для WinInit:

Код события

Описание

Credential Guard (LsaIso.exe) was started and will protect LSA credentials. 

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0** 

• Первая переменная: 0x1 или 0x2 означает, что Credential Guard настроен для запуска. 0x0 означает, что он не настроен для запуска.
• Вторая переменная: 0 означает, что она настроена для запуска в режиме защиты. 1 означает, что он настроен для запуска в тестовом режиме. Эта переменная всегда должна иметь значение 0.

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running; continuing without Credential Guard. 

Credential Guard (LsaIso.exe) failed to launch: [error code] 

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code] 

Следующее событие указывает, используется ли TPM для защиты ключей. Путь: Applications and Services logs > Microsoft > Windows > Kernel-Boot

Код события

Описание

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0. 

Если вы работаете с TPM, значение маски PCR доверенного платформенного модуля отличается от 0.

Отключение Credential Guard

Существуют различные варианты отключения Credential Guard. Выбранный параметр зависит от того, как настроен Credential Guard:

• Credential Guard, работающий на виртуальной машине, может быть отключен узлом
• Если Credential Guard включен с блокировкой UEFI, выполните процедуру, описанную в разделе Отключение Credential Guard с блокировкой UEFI.
• Если Credential Guard включен без блокировки UEFI или в рамках автоматического включения в обновлении Windows 11 версии 22H2, используйте один из следующих параметров, чтобы отключить его:
  • Microsoft Intune/MDM
  • Групповая политика
  • Реестр

  Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

  Отключение Credential Guard с помощью Intune

  Если Credential Guard включен с помощью Intune и без блокировки UEFI, отключение того же параметра политики отключает Credential Guard.

  Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

  Категория	Имя параметра	Значение
  Device Guard	Credential Guard	Отключено

  Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

  Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP политики DeviceGuard.

  Параметр
  Имя параметра: Конфигурация Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Тип данных: int Значение: 0

  После применения политики перезапустите устройство.

  Отключение Credential Guard с помощью групповой политики

  Если Credential Guard включен через групповая политика и без блокировки UEFI, отключение того же параметра групповой политики отключает Credential Guard.

  Чтобы настроить устройство с помощью групповой политики, используйте локальный редактор групповая политика. Чтобы настроить несколько устройств, присоединенных к Active Directory, создайте или измените объект групповой политики и используйте следующие параметры:

  Путь к групповой политике	Параметр групповой политики	Значение
  Конфигурация компьютера\Административные шаблоны\Система\Device Guard	Включение безопасности на основе виртуализации	Отключено

  После применения политики перезапустите устройство.

  Отключение Credential Guard с параметрами реестра

  Если Credential Guard включен без блокировки UEFI и без групповая политика, достаточно изменить разделы реестра, чтобы отключить его.

  Параметр
  Путь к ключу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Имя ключа: LsaCfgFlags Тип: REG_DWORD Значение: 0
  Путь к ключу: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard Имя ключа: LsaCfgFlags Тип: REG_DWORD Значение: 0

  Удаление этих параметров реестра может не отключать Credential Guard. Для них должно быть задано значение 0.

  Перезапустите устройство, чтобы применить изменение.

  Сведения об отключении безопасности на основе виртуализации (VBS) см. в разделе Отключение безопасности на основе виртуализации.

  Отключение Credential Guard с блокировкой UEFI

  Если Credential Guard включена с блокировкой UEFI, выполните эту процедуру, так как параметры сохраняются в переменных EFI (встроенного ПО).

  Для этого сценария требуется физическое присутствие на компьютере, чтобы нажать функциональную клавишу, чтобы принять изменения.

  1. Выполните действия, описанные в разделе Отключение Credential Guard.
  2. Удалите переменные EFI Credential Guard с помощью bcdedit. В командной строке с повышенными привилегиями введите следующие команды:

  mountvol X: /s copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y bcdedit /create /d "DebugTool" /application osloader bcdedit /set path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set bootsequence bcdedit /set loadoptions DISABLE-LSA-ISO bcdedit /set device partition=X: mountvol X: /d 

  Отключение Credential Guard для виртуальной машины

  На узле можно отключить Credential Guard для виртуальной машины с помощью следующей команды:

  Set-VMSecurity -VMName -VirtualizationBasedSecurityOptOut $true 

  Отключение безопасности на основе виртуализации

  Если отключить безопасность на основе виртуализации (VBS), вы автоматически отключите Credential Guard и другие функции, использующие VBS.

  Другие функции безопасности, кроме Credential Guard, зависят от VBS. Отключение VBS может иметь непреднамеренные побочные эффекты.

  Используйте один из следующих параметров, чтобы отключить VBS:

  • Microsoft Intune/MDM
  • Групповая политика
  • Реестр

  Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

  Отключение VBS с помощью Intune

  Если VBS включена через Intune и без блокировки UEFI, отключение того же параметра политики отключает VBS.

  Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

  Категория	Имя параметра	Значение
  Device Guard	Включение безопасности на основе виртуализации	Отключено

  Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

  Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP политики DeviceGuard.

  Параметр
  Имя параметра: включение безопасности на основе виртуализации OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Тип данных: int Значение: 0

  После применения политики перезапустите устройство.

  Отключение VBS с помощью групповой политики

  Настройте политику, используемую для включения параметра VBS в Значение Отключено.

  Чтобы настроить устройство с помощью групповой политики, используйте локальный редактор групповая политика. Чтобы настроить несколько устройств, присоединенных к Active Directory, создайте или измените объект групповой политики и используйте следующие параметры:

  Путь к групповой политике	Параметр групповой политики	Значение
  Конфигурация компьютера\Административные шаблоны\System\Device Guard\Включить безопасность на основе виртуализации	Включение безопасности на основе виртуализации	Отключено

  После применения политики перезагрузите устройство.

  Отключение VBS с параметрами реестра

  Удалите следующие разделы реестра:

  Параметр
  Путь к ключу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Имя ключа: EnableVirtualizationBasedSecurity
  Путь к ключу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Имя ключа: RequirePlatformSecurityFeatures

  Если вы вручную удалите параметры реестра, убедитесь, что они все удалены. В противном случае устройство может перейти к восстановлению BitLocker.

  Перезапустите устройство, чтобы применить изменение.

  Если Credential Guard включена с блокировкой UEFI, переменные EFI, хранящиеся в встроенном ПО, должны быть очищены с помощью команды bcdedit.exe . В командной строке с повышенными привилегиями выполните следующие команды:

  bcdedit /set loadoptions DISABLE-LSA-ISO,DISABLE-VBS bcdedit /set vsmlaunchtype off 

  Дальнейшие действия

  • Ознакомьтесь с рекомендациями и примером кода для повышения безопасности и надежности среды с помощью Credential Guard в статье Дополнительные меры по устранению рисков .
  • Ознакомьтесь с рекомендациями и известными проблемами при использовании Credential Guard

  Обратная связь

  Были ли сведения на этой странице полезными?

  Отключаем Device Guard в Windows 10

  При использовании виртуальных машин, например VirtualBox или VMware Workstation, может появляться ошибка, где сообщается о ее несовместимости с компонентом Device/Credential Guard. Помочь проблему может отключение Device Guard, причем сделать это можно несколькими способами.

  Способ 1: «Панель управления»

  Сначала используйте наиболее простой и безопасный способ – через «Панель управления» и раздел с программами и компонентами:

  1. Запустите «Панель управления», отыскав средство через строку системного поиска.
  2. В качестве просмотра разделов выберите мелкие или крупные значки, затем перейдите в «Программы и компоненты».
  3. На панели слева кликните по строке «Включение или отключение компонентов Windows».
  4. В появившемся окне отключите компонент «Application Guard в Microsoft Defender», сняв отметку. Помимо него, также рекомендуется выключить «Hyper-V» и «Песочница Windows», чтобы ошибка с совместимостью с виртуальной машиной была исправлена.

  Способ 2: Редактирование локальной групповой политики

  Device Guard также отключается через «Редактор локальной групповой политики», но способ подойдет только для Windows 10 редакций Pro и Enterprise. Если у вас «Домашняя» редакция операционки, переходите к другим пунктам.

  Одновременно зажмите клавиши «Win + R», затем пропишите gpedit.msc и нажмите на кнопку «ОК».

  

• На панели слева перейдите по следующему пути: «Административные шаблоны – Система – Device Guard». Дважды щелкните ЛКМ в центральной части окна по пункту «Включить средство обеспечения безопасности на основе виртуализации».
• В новом окне отметьте пункт «Отключено» и сохраните настройки.

Чтобы новые параметры вступили в силу, перезагрузите компьютер.

Способ 3: Внесение изменений в реестре

Другой вариант – это ручное редактирование системного реестра. Но прежде чем это делать, лучше создайте точку восстановления, чтобы была возможность откатить состояние системы, если что-то пойдет не так.

Читайте также: Инструкция по созданию точки восстановления Windows 10

1. Запустите «Редактор реестр». Для этого через диалоговое окно «Выполнить» выполните команду regedit .
2. Разверните ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity и в центральной части окна дважды кликните по параметру «Enabled». В открывшемся окне в качестве значения задайте «0» и сохраните настройки.

После этого останется перезагрузить компьютер и проверить не пропала ли ошибка, связанная с Device Guard.

Способ 4: «Командная строка»

Также можете попытаться отключить устройство через «Командную строку», запущенную с расширенными правами:

Отыщите консоль через поисковую строку на нижней панели и выберите запуск от имени администратора.



В интерфейсе окна вставьте команду bcdedit /set hypervisorlaunchtype off и нажмите на клавишу «Enter», чтобы выполнить ее.



Чтобы снова включить Device Guard, достаточно использовать команду bcdedit /set hypervisorlaunchtype auto .

Как отключить Virtualization Based Security (VBS) в Windows 11 и Windows 10



Безопасность на основе виртуализации, Virtualization based security или VBS — функция Windows 11 и Windows 10, предотвращающая выполнение потенциально опасного кода в памяти компьютера, изолируя его. Функция полезная, но по некоторым отзывам её отключение может повысить производительность в играх, а некоторые программы могут не запускаться, если она включена.

В этой инструкции описаны способы отключить безопасность на основе виртуализации. Далее рассмотрено отключение Virtualization Based Security в редакторе локальной и групповой политики, а также альтернативные методы, если отключение этими способами не помогло.

Как отключить безопасность на основе виртуализации в редакторе локальной групповой политики или редакторе реестра

Основной способ отключения Virtualization Based Security — настройка соответствующей политики в Windows. Если у вас установлена Pro или Enterprise версия системы, можно использовать редактор локальной групповой политики:

1. Нажмите правой кнопкой мыши по кнопке «Пуск», выберите пункт «Выполнить», введите gpedit.msc и нажмите Enter.
2. В редакторе локальной групповой политики перейдите к разделу «Конфигурация компьютера» — «Административные шаблоны» — «Система» — «Device Guard». Дважды кликните по пункту «Включить средство обеспечение безопасности на основе виртуализации» в правой панели.
3. Установите значение «Отключено» и примените настройки.
4. Перезагрузите компьютер.

В случае, если на вашем компьютере установлена домашняя редакция Windows, можно использовать редактор реестра:

1. Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter.
2. Перейдите к разделу реестра

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard



• Нажмите правой кнопкой мыши в пустом месте правой панели редактора реестра и создайте новый параметр DWORD с именем EnableVirtualizationBasedSecurity и установите значение 0 для него.
• При наличии такого параметра, дважды нажмите по нему и измените значение на 0.
• Перезагрузите компьютер.

В результате функция VBS будет отключена. Если несмотря на это какая-то программа требует отключить Virtualization Based Security для своей работы, используйте далее описанные методы.

Дополнительные методы отключения Virtualization Based Security

Если предыдущий вариант не помог, и какая-то программа при запуске требует отключить VBS, можно использовать дополнительные подходы. Учитывайте, что при их использовании также будут отключены другие встроенные функции виртуализации Windows 11 и Windows 10 (на базе Hyper-V):

Запустите командную строку от имени администратора, введите команду

bcdedit /set hypervisorlaunchtype off



и нажмите Enter. После этого перезагрузите компьютер.

• Откройте окно «Программы и компоненты» в панели управления или с помощью Win+R — appwiz.cpl, нажмите «Включение или отключение компонентов Windows» слева, отключите компоненты «Application Guard в Microsoft Defender», «Hyper-V», «Платформа виртуальной машины», нажмите «Ок» и перезагрузите компьютер после удаления компонентов.

Обычно один из этих способов помогает решить проблемы, связанные с включенной функцией безопасности на основе виртуализации. Если вам требуется узнать текущий статус функции, вы можете нажать клавиши Win+R, ввести команду msinfo32 и нажать Enter.

В разделе «Сведения о системе» внизу списка вы найдете пункт «Безопасность на основе виртуализации» с нужной информацией.

А вдруг и это будет интересно:

• Лучшие бесплатные программы для Windows
• Как открыть Свойства системы Windows 11 и 10
• Как отключить или удалить Связь с телефоном в Windows 11 и 10
• Ошибка 0xc000001d при запуске игры или программы — как исправить?
• Ключ восстановления BitLocker в Windows — способы посмотреть
• User OOBE Broker — что это за процесс в Windows 11 и 10

• Windows 11
• Windows 10
• Android
• Загрузочная флешка
• Лечение вирусов
• Восстановление данных
• Установка с флешки
• Настройка роутера
• Всё про Windows
• В контакте
• Одноклассники

Михаил 31.01.2023 в 21:18

• Dmitry 01.02.2023 в 09:53

Semdevmaster / DeviceGuardDisable.txt

Clone via HTTPS Clone with Git or checkout with SVN using the repository’s web address.

Learn more about clone URLs

Disable Device Guard on Windows 10

This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters. Learn more about bidirectional Unicode characters

1)Скачать официальный скрипт отключения Device Guard

https://www.microsoft.com/en-us/download/details.aspx?id=53337

2)Распаковываем архив в корень системного диска

3)Далее нужно разрешить в PowerShell выполнение сценариев (Всё запускаем от Админа)

Set-ExecutionPolicy Unrestricted (жмём Y)

4)Заходим в папку со скриптом и пишем туда .\DG_Readiness_Tool_v3.6.ps1 -Disable -AutoReboot

5)Компьютер будет перезагружен и появится экран для отключения Device Guard

6)Восстанавливаем запрет на выполнение сценариев в PowerShell

Set-ExecutionPolicy Restricted (жмём Y)

7)Иногда нужно ещё отключить Hyper-V role (Пишем в консоли)

bcdedit /set hypervisorlanunchtype off (и перезагружаем комп)

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment