VMware Workstation dan Device / Credential Guard tidak kompatibel

Saya telah menjalankan VMware selama setahun terakhir tidak ada masalah, hari ini saya membukanya untuk memulai salah satu VM saya dan mendapatkan pesan kesalahan, lihat tangkapan layar.

Saya mengikuti link tersebut dan melalui langkah-langkahnya, pada langkah 4 saya perlu me-mount volume menggunakan "mountvol". ketika saya mencoba memasang volume yang menggunakannya mountvol X: \\?\Volume{5593b5bd-0000-0000-0000-c0f373000000}\terus mengatakan The directory is not empty.saya bahkan membuat partisi dengan 2GB dan masih pesan yang sama.

Pertanyaan saya:

Bagaimana saya bisa me-mount volume yang tidak kosong sekalipun?

Mengapa Device / Credential Guard ini aktif secara otomatis dan bagaimana saya bisa menghapusnya atau menonaktifkannya.

CMD:

Device / Credential Guard adalah Mesin Virtual / Mode Aman Virtual berbasis Hyper-V yang menghosting kernel aman untuk membuat Windows 10 jauh lebih aman.

... instans VSM dipisahkan dari fungsi sistem operasi normal dan dilindungi oleh upaya membaca informasi dalam mode tersebut. Perlindungannya dibantu oleh perangkat keras, karena hypervisor meminta perangkat keras memperlakukan halaman memori tersebut secara berbeda. Ini adalah cara yang sama untuk dua mesin virtual pada host yang sama tidak dapat berinteraksi satu sama lain; memorinya independen dan perangkat keras diatur untuk memastikan setiap VM hanya dapat mengakses datanya sendiri.

Dari sini, kami sekarang memiliki mode terlindungi di mana kami dapat menjalankan operasi sensitif keamanan. Pada saat penulisan, kami mendukung tiga kemampuan yang terdapat di sini: Otoritas Keamanan Lokal (LSA), dan fungsi kontrol Integritas Kode dalam bentuk Integritas Kode Mode Kernel (KMCI) dan kontrol integritas kode hypervisor itu sendiri, yang disebut Hypervisor Code Integrity (HVCI).

Ketika kemampuan ini ditangani oleh Trustlets di VSM, OS Host hanya berkomunikasi dengan mereka melalui saluran standar dan kemampuan di dalam OS. Meskipun komunikasi khusus Trustlet ini diizinkan, memiliki kode jahat atau pengguna di OS Host yang mencoba membaca atau memanipulasi data di VSM akan jauh lebih sulit daripada di sistem tanpa konfigurasi ini, memberikan manfaat keamanan.

Menjalankan LSA di VSM, menyebabkan proses LSA itu sendiri (LSASS) tetap ada di OS Host, dan instance tambahan khusus dari LSA (disebut LSAIso - singkatan dari LSA Isolated) dibuat. Ini untuk memungkinkan semua panggilan standar ke LSA tetap berhasil, menawarkan kompatibilitas legacy dan mundur yang sangat baik, bahkan untuk layanan atau kemampuan yang memerlukan komunikasi langsung dengan LSA. Dalam hal ini, Anda dapat menganggap instance LSA yang tersisa di OS Host sebagai instance 'proxy' atau 'stub' yang hanya berkomunikasi dengan versi terisolasi dengan cara yang ditentukan.

Dan Hyper-V dan VMware tidak bekerja pada waktu yang sama hingga tahun 2020 , ketika VMware menggunakan Platform Hyper-V untuk hidup berdampingan dengan Hyper-V yang dimulai dengan Versi 15.5.5 .

Bagaimana cara kerja VMware Workstation sebelum versi 15.5.5?

VMware Workstation secara tradisional telah menggunakan Virtual Machine Monitor (VMM) yang beroperasi dalam mode istimewa yang membutuhkan akses langsung ke CPU serta akses ke dukungan virtualisasi bawaan CPU (Intel VT-x dan AMD-V AMD). Ketika host Windows mengaktifkan fitur Keamanan Berbasis Virtualisasi ("VBS"), Windows menambahkan lapisan hypervisor berdasarkan Hyper-V antara perangkat keras dan Windows. Setiap upaya untuk menjalankan VMM tradisional VMware gagal karena berada di dalam Hyper-V, VMM tidak lagi memiliki akses ke dukungan virtualisasi perangkat keras.

Memperkenalkan Monitor Tingkat Pengguna

Untuk memperbaiki masalah kompatibilitas Hyper-V / Host VBS ini, tim platform VMware merancang ulang Hypervisor VMware untuk menggunakan API WHP Microsoft. Ini berarti mengubah VMM kami agar berjalan di tingkat pengguna alih-alih dalam mode istimewa, serta memodifikasinya untuk menggunakan API WHP untuk mengelola eksekusi tamu alih-alih menggunakan perangkat keras yang mendasarinya secara langsung.

Apa artinya ini bagi Anda?

VMware Workstation / Player sekarang dapat berjalan saat Hyper-V diaktifkan. Anda tidak lagi harus memilih antara menjalankan VMware Workstation dan fitur Windows seperti WSL, Device Guard, dan Credential Guard. Ketika Hyper-V diaktifkan, mode ULM secara otomatis akan digunakan sehingga Anda dapat menjalankan VMware Workstation secara normal. Jika Anda tidak menggunakan Hyper-V sama sekali, VMware Workstation cukup pintar untuk mendeteksi ini dan VMM akan digunakan.

Persyaratan sistem

Untuk menjalankan Workstation / Player menggunakan Windows Hypervisor API, versi Windows 10 minimum yang diperlukan adalah Windows 10 20H1 build 19041.264. Versi minimum VMware Workstation / Player adalah 15.5.5.

Untuk menghindari kesalahan, perbarui Windows 10 Anda ke Versi 2004 / Build 19041 (Pembaruan Mai 2020) dan gunakan setidaknya VMware 15.5.5 .

Ada cara yang jauh lebih baik untuk menangani masalah ini. Daripada menghapus Hyper-V sama sekali, Anda cukup membuat boot alternatif untuk menonaktifkannya sementara saat Anda perlu menggunakan VMWare. Seperti yang ditunjukkan di sini ...

http://www.hanselman.com/blog/SwitchEasilyBetweenVirtualBoxAndHyperVWithABCDEditBootEntryInWindows81.aspx

C:\>bcdedit /copy {current} /d "No Hyper-V" 
The entry was successfully copied to {ff-23-113-824e-5c5144ea}. 

C:\>bcdedit /set {ff-23-113-824e-5c5144ea} hypervisorlaunchtype off 
The operation completed successfully.

catatan: ID yang dihasilkan dari perintah pertama adalah apa yang Anda gunakan pada perintah kedua. Jangan hanya menjalankannya kata demi kata.

Saat Anda memulai ulang, Anda hanya akan melihat menu dengan dua opsi ...

• Windows 10
• Tidak ada Hyper-V

Jadi menggunakan VMWare hanya masalah me-reboot dan memilih opsi No Hyper-V.

Jika Anda ingin menghapus entri boot lagi. Anda dapat menggunakan opsi / delete untuk bcdedit.

Pertama, dapatkan daftar entri boot saat ini ...

C:\>bcdedit /v

Ini mendaftar semua entri dengan ID mereka. Salin ID yang relevan, lalu hapus seperti ini ...

C:\>bcdedit /delete {ff-23-113-824e-5c5144ea}

Seperti yang disebutkan di komentar, Anda perlu melakukan ini dari prompt perintah yang ditinggikan, bukan PowerShell. Di PowerShell, perintah akan error.

update: Anda dapat menjalankan perintah ini di PowerShell, jika kurung kurawal di-escape dengan backtick (`). Seperti itu ...

C:\WINDOWS\system32> bcdedit /copy `{current`} /d "No Hyper-V"

Saya masih tidak yakin bahwa Hyper-V adalah The Thing untuk saya, bahkan dengan uji coba dan kesengsaraan Docker tahun lalu dan saya kira Anda tidak ingin terlalu sering beralih, jadi daripada membuat boot baru dan mengonfirmasi boot default atau menunggu waktu tunggu dengan setiap boot saya mengaktifkan permintaan di konsol dalam mode admin oleh

bcdedit /set hypervisorlaunchtype off

Alasan lain untuk posting ini - untuk menyelamatkan Anda dari sakit kepala: Anda pikir Anda mengaktifkan Hyper-V dengan argumen "on" lagi? Nggak. Terlalu sederhana untuk MiRKoS..t. Ini otomatis !

Selamat bersenang-senang!
G.

Untuk membuatnya sangat mudah:

1. Unduh saja skrip ini langsung dari Microsoft.

2. Jalankan Powershell Anda sebagai admin, lalu jalankan perintah berikut:

   • Untuk memverifikasi apakah DG / CG diaktifkan DG_Readiness.ps1 -Ready
   • Untuk Menonaktifkan DG / CG. DG_Readiness.ps1 -Disable

Bagi mereka yang mungkin mengalami masalah ini dengan perubahan terbaru pada komputer Anda yang melibatkan Hyper-V, Anda harus menonaktifkannya saat menggunakan VMWare atau VirtualBox. Mereka tidak bekerja sama. Windows Sandbox dan WSL 2 membutuhkan Hyper-V Hypervisor, yang saat ini merusak VMWare. Pada dasarnya, Anda harus menjalankan perintah berikut untuk mengaktifkan / menonaktifkan layanan Hyper-V pada reboot berikutnya.

Untuk menonaktifkan Hyper-V dan membuat VMWare berfungsi, di PowerShell sebagai Admin:

bcdedit /set hypervisorlaunchtype off

Untuk mengaktifkan kembali Hyper-V dan merusak VMWare untuk saat ini, di PowerShell sebagai Admin:

bcdedit /set hypervisorlaunchtype auto

Anda harus melakukan boot ulang setelah itu. Saya telah menulis skrip PowerShell yang akan mengaktifkan ini untuk Anda dan mengonfirmasinya dengan kotak dialog. Itu bahkan mengangkat diri ke Administrator menggunakan teknik ini sehingga Anda dapat mengklik kanan dan menjalankan skrip untuk mengubah mode Hyper-V Anda dengan cepat. Ini dapat dengan mudah dimodifikasi untuk reboot untuk Anda juga, tetapi saya pribadi tidak ingin itu terjadi. Simpan ini sebagai hypervisor.ps1 dan pastikan Anda telah menjalankannya Set-ExecutionPolicy RemoteSignedsehingga Anda dapat menjalankan skrip PowerShell.

# Get the ID and security principal of the current user account
$myWindowsID = [System.Security.Principal.WindowsIdentity]::GetCurrent();
$myWindowsPrincipal = New-Object System.Security.Principal.WindowsPrincipal($myWindowsID);

# Get the security principal for the administrator role
$adminRole = [System.Security.Principal.WindowsBuiltInRole]::Administrator;

# Check to see if we are currently running as an administrator
if ($myWindowsPrincipal.IsInRole($adminRole))
{
    # We are running as an administrator, so change the title and background colour to indicate this
    $Host.UI.RawUI.WindowTitle = $myInvocation.MyCommand.Definition + "(Elevated)";
    $Host.UI.RawUI.BackgroundColor = "DarkBlue";
    Clear-Host;
}
else {
    # We are not running as an administrator, so relaunch as administrator

    # Create a new process object that starts PowerShell
    $newProcess = New-Object System.Diagnostics.ProcessStartInfo "PowerShell";

    # Specify the current script path and name as a parameter with added scope and support for scripts with spaces in it's path
    $newProcess.Arguments = "-windowstyle hidden & '" + $script:MyInvocation.MyCommand.Path + "'"

    # Indicate that the process should be elevated
    $newProcess.Verb = "runas";

    # Start the new process
    [System.Diagnostics.Process]::Start($newProcess);

    # Exit from the current, unelevated, process
    Exit;
}

Add-Type -AssemblyName System.Windows.Forms


$state = bcdedit /enum | Select-String -Pattern 'hypervisorlaunchtype\s*(\w+)\s*'


if ($state.matches.groups[1].ToString() -eq "Off"){

    $UserResponse= [System.Windows.Forms.MessageBox]::Show("Enable Hyper-V?" , "Hypervisor" , 4)

    if ($UserResponse -eq "YES" ) 
    {

        bcdedit /set hypervisorlaunchtype auto
        [System.Windows.Forms.MessageBox]::Show("Enabled Hyper-V. Reboot to apply." , "Hypervisor")

    } 

    else 

    { 

        [System.Windows.Forms.MessageBox]::Show("No change was made." , "Hypervisor")
        exit

    }

} else {

    $UserResponse= [System.Windows.Forms.MessageBox]::Show("Disable Hyper-V?" , "Hypervisor" , 4)

    if ($UserResponse -eq "YES" ) 
    {

        bcdedit /set hypervisorlaunchtype off
        [System.Windows.Forms.MessageBox]::Show("Disabled Hyper-V. Reboot to apply." , "Hypervisor")

    } 

    else 

    { 

        [System.Windows.Forms.MessageBox]::Show("No change was made." , "Hypervisor")
        exit

    }

}

solusi paling sederhana untuk masalah ini adalah mengunduh "Alat kesiapan perangkat keras Penjaga Perangkat dan Penjaga Kredensial" untuk memperbaiki ketidakcocokan:

• https://www.microsoft.com/en-us/download/details.aspx?id=53337
• Buka kompres zip
• Anda akan menemukan :

• jalankan "DG_Readiness_Tool_v3.6.ps1" dengan PowerShell

• Sekarang Anda seharusnya dapat menyalakan mesin virtual Anda secara normal.

Saya tidak tahu mengapa tetapi DG_Readiness_Tool versi 3.6 tidak berfungsi untuk saya. Setelah saya restart masalah laptop saya masih berlanjut. Saya sedang mencari solusi dan akhirnya saya menemukan versi 3.7 dari alat tersebut dan masalah kali ini hilang. Di sini Anda dapat menemukan skrip PowerShell terbaru:

DG_Readiness_Tool_v3.7

Saya juga berjuang keras dengan masalah ini. Jawaban di utas ini sangat membantu tetapi tidak cukup untuk menyelesaikan kesalahan saya. Anda perlu menonaktifkan Hyper-V dan Device guard seperti yang disarankan jawaban lain. Info lebih lanjut tentang itu dapat ditemukan di sini .

Saya termasuk perubahan yang perlu dilakukan selain jawaban yang diberikan di atas. Tautan yang akhirnya membantu saya adalah ini .

Jawaban saya hanya akan meringkas perbedaan antara jawaban lainnya (yaitu Menonaktifkan Hyper-V dan Device guard) dan langkah-langkah berikut:

1. Jika Anda menggunakan Kebijakan Grup, nonaktifkan pengaturan Kebijakan Grup yang Anda gunakan untuk mengaktifkan Penjaga Kredensial Pertahanan Windows (Konfigurasi Komputer -> Template Administratif -> Sistem -> Penjaga Perangkat -> Nyalakan Keamanan Berbasis Virtualisasi).

2. Hapus pengaturan registri berikut ini:

   HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ LSA \ LsaCfgFlags HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ DeviceGuard \ EnableVirtualizationBasedSecurity HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ DeviceGuard \ RequirePlatformSecurityFeatures

   Penting: Jika Anda menghapus pengaturan registri ini secara manual, pastikan untuk menghapus semuanya. Jika Anda tidak menghapus semuanya, perangkat mungkin masuk ke pemulihan BitLocker.

3. Hapus variabel Windows Defender Credential Guard EFI dengan menggunakan bcdedit. Dari prompt perintah yang ditinggikan (mulai dalam mode admin), ketik perintah berikut:

    mountvol X: /s
   
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
   
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
   
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
   
    mountvol X: /d
   

4. Mulai ulang PC.

5. Terima permintaan untuk menonaktifkan Windows Defender Credential Guard.

6. Atau, Anda dapat menonaktifkan fitur keamanan berbasis virtualisasi untuk mematikan Penjaga Kredensial Windows Defender.

SOLUSI CEPAT SETIAP LANGKAH:

Memperbaiki kesalahan dalam VMware Workstation pada Windows 10 host Transport (VMDB) kesalahan -14: Sambungan pipa telah rusak.

Hari ini kita akan memperbaiki kesalahan VMWare pada komputer windows 10.

1. Di kotak JALANKAN, ketik "gpedit" lalu Goto [ERROR LIHAT POINT 3]

1- Konfigurasi Komputer 2- Template Administratif 3- Sistem - Penjaga Perangkat: JIKA TIDAK ADA PENJAGA PERANGKAT: (UNDUH https://www.microsoft.com/en-us/download/100591 instal "c:\Program Files (x86)\Microsoft Group Policy\Windows 10 November 2019 Update (1909)\PolicyDefinitions" COPY ini ke c:\windows\PolicyDefinitions) 4- Aktifkan Berbasis Virtualisasi Keamanan. Sekarang klik dua kali itu dan "Nonaktifkan"

2. Buka Command Prompt sebagai Administrator dan ketik gpupdate / force berikut [JANGAN LAKUKAN JIKA ANDA TIDAK MEMILIKI DEVICE GUARD LAINNYA AKAN LAGI]

3. Buka Peninjau Suntingan Registri, sekarang Pergi ke HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard. Tambahkan nilai DWORD baru bernama EnableVirtualizationBasedSecuritydan setel ke 0 untuk menonaktifkannya. Berikutnya Pergi ke HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA. Tambahkan nilai DWORD baru bernama LsaCfgFlagsdan setel ke 0 untuk menonaktifkannya.

4. Di kotak RUN, ketik Aktifkan atau nonaktifkan fitur Windows, sekarang hapus centang Hyper-V dan mulai ulang sistem.

5. Buka command prompt sebagai administrator dan ketik perintah berikut

    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader

    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"

    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS

    bcdedit /set hypervisorlaunchtype off

Sekarang, Restart sistem Anda

Jika Anda adalah seseorang yang mempertahankan prompt perintah "Jalankan sebagai administrator" yang disesuaikan terbuka atau jendela baris perintah PowerShell setiap saat, Anda dapat secara opsional mengatur alias / makro berikut untuk menyederhanakan menjalankan perintah yang disebutkan oleh @ gue22 hanya dengan menonaktifkan hypervisor hyper-v saat perlu menggunakan pemutar vmware atau workstation, lalu mengaktifkannya kembali setelah selesai.

doskey hpvEnb = choice /c:yn /cs /d n /t 30 /m "Are you running from elevated command prompt" ^& if not errorlevel 2 ( bcdedit /set hypervisorlaunchtype auto ^& echo.^&echo now reboot to enable hyper-v hypervisor )
doskey hpvDis = choice /c:yn /cs /d n /t 30 /m "Are you running from elevated command prompt" ^& if not errorlevel 2 ( bcdedit /set hypervisorlaunchtype off ^& echo.^&echo now reboot to disable hyper-v hypervisor )
doskey bcdL = bcdedit /enum ^& echo.^&echo now see boot configuration data store {current} boot loader settings

Dengan cara di atas, Anda cukup mengetik perintah "hpvenb" [hypervisor diaktifkan saat boot], "hpvdis" [hypervisor dinonaktifkan saat boot] dan "bcdl" [daftar perangkat konfigurasi boot] untuk menjalankan perintah aktif, nonaktif, daftar.

Nah Boys and Girls setelah membaca catatan rilis untuk build 17093 di larut malam, saya telah menemukan titik perubahan yang memengaruhi VMware Workstation VM saya yang menyebabkan mereka tidak berfungsi, itu adalah pengaturan Isolasi Inti di bawah Keamanan Perangkat di bawah keamanan windows (nama baru untuk halaman pembela windows) dalam pengaturan .

Secara default itu dihidupkan, namun ketika saya mematikannya dan memulai ulang komputer saya semua VM VMware saya kembali berfungsi dengan benar. Mungkin opsi berdasarkan perangkat dapat digabungkan dalam versi berikutnya untuk memungkinkan kami menguji masing-masing perangkat / tanggapan Aplikasi untuk memungkinkan isolasi inti aktif atau nonaktif per perangkat atau Aplikasi sesuai kebutuhan.

Berikut adalah instruksi yang tepat agar semua orang bisa mengikutinya.

• Pertama unduh alat kesiapan perangkat keras Penjaga Perangkat dan Penjaga Kredensial dari tautan ini: https://www.microsoft.com/en-us/download/details.aspx?id=53337
• ekstrak konten folder zip ke beberapa lokasi seperti: C: \ guard_tool
• Anda akan memiliki file seperti ini menyalin nama file dari file ekstensi ps1 dalam kasus saya v3.6 jadi akan menjadi: DG_Readiness_Tool_v3.6.ps1

• Selanjutnya klik pada menu start dan cari PowerShell lalu klik kanan padanya dan jalankan sebagai Administrator.

• Setelah itu Anda akan melihat terminal warna biru masukkan perintah cd C: \ guard_tool , ganti jalur setelah cd dengan lokasi alat yang Anda ekstrak
• Sekarang masukkan perintah:. \ DG_Readiness_Tool_v3.6.ps1 -Disable
• Setelah itu sistem reboot
• Ketika sistem Anda merestartnya, sistem waktu boot akan menampilkan pemberitahuan dengan latar belakang hitam untuk memverifikasi bahwa Anda ingin menonaktifkan fitur-fitur ini jadi tekan F3 untuk konfirmasi.
• lakukan +1 jika membantu :)