Для обеспечения дополнительной защиты учетных данных пользователя в последних версиях Windows используется специальная функция Credential Guard, являющееся частью общей системы безопасности. Используя технологию виртуализации, она сохраняет данные авторизации в отдельных контейнерах, получить доступ к которым могут только привилегированные системные приложения. Механизм защиты Credential Guard впервые появился в Windows 10 Enterprise и Windows Server 2016.
Сегодня он также используется в Windows 11 Pro.
В отличие от Windows 10, в которой функция активируется при включении компонента Hyper-V, в Windows 11 она включена по умолчанию, если, конечно, система соответствует требованиям. К последним относятся поддержка VBS, безопасной загрузки, Unified Extensible Firmware Interface, наличие 64-битного процессора, доверенного платформенного модуля версии 1.2 или 2.0 и Hyper-V. К сожалению, будучи включенной, Credential Guard может вызывать проблемы в работе сторонних систем виртуализации, таких как VirtualBox или VMware, а также при подключении ПК к удаленному рабочему столу по RDP.
В таких случаях Credential Guard можно отключить, правда, тут есть одна небольшая проблема.
При поддержке Credential Guard функция будет доступна в подразделе «Безопасность устройства» → «Изоляция ядра», но ни отключить, ни включить ее вы не сможете по причине отсутствия переключателя.
Для деактивации Credential Guard в Windows 11 или 10 необходимо использовать редактор локальных групповых политик либо редактор реестра.
Локальные политики
Откройте редактор локальных групповых политики командой gpedit.msc и перейдите в раздел «Конфигурация компьютера» → «Административные шаблоны» → «Система» → «Device Guard». Справа вы увидите политику «Включить средство обеспечения безопасности на основе виртуализации», откройте ее настройки двойным по ней кликом.
Активируйте радиокнопку «Отключено» и сохраните настройки.
Обновите политики, выполнив в запущенной с правами администратора командной строке или PowerShell команду gpupdate /force.
Редактор реестра
Откройте редактор Regedit одноименной командой, разверните:
HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard
И создайте в правой колонке новый DWORD-параметр,
с именем EnableVirtualizationBasedSecurity со значением 0. Если параметр уже существует, измените его значение на 0.
Затем перейдите к разделу HKLM\SYSTEM\CurrentControlSet\Control\Lsa, создайте в правой колонке новый DWORD-параметр,
LsaCfgFlags и оставьте его значение неизмененным, то есть 0.
Чтобы настройки вступили в силу, перезагрузите компьютер.
В результате применения этого твика Credential Guard будет отключен
Проверить статус функции Credential Guard можно либо в оснастке «Сведения о системе», либо выполнив в PowerShell команду:
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
Если защита на основе виртуализации отключена, команда вернет значение 0, если включена, ответом будет 1.
Загрузка...
Добавить комментарий