VMware Workstation et Device/Credential Guard ne sont pas compatibles

Question

J'utilise VMware depuis un an sans problème, aujourd'hui je l'ai ouvert pour démarrer une de mes VM et j'ai eu un message d'erreur, voir la capture d'écran.

J'ai suivi le lien et les étapes, à l'étape 4 je dois monter un volume en utilisant "mountvol". Lorsque j'essaie de monter un volume en utilisant mountvol X: \\?\Volume{5593b5bd-0000-0000-0000-c0f373000000}\ il n'arrête pas de dire The directory is not empty. J'ai même créé une partition de 2 Go et toujours le même message.

Mes questions :

Comment puis-je monter le volume qui n'est pas vide alors qu'il l'est ?

Pourquoi ce Device/Credential Guard s'est-il activé automatiquement et comment puis-je m'en débarrasser ou le désactiver ?

CMD :

Answer 1

Il existe une bien meilleure façon de traiter cette question. Plutôt que de supprimer complètement Hyper-V, il suffit de faire un démarrage alternatif pour le désactiver temporairement lorsque vous avez besoin d'utiliser VMWare. Comme indiqué ici...

http://www.hanselman.com/blog/SwitchEasilyBetweenVirtualBoxAndHyperVWithABCDEditBootEntryInWindows81.aspx

C:\>bcdedit /copy {current} /d "No Hyper-V" 
The entry was successfully copied to {ff-23-113-824e-5c5144ea}. 

C:\>bcdedit /set {ff-23-113-824e-5c5144ea} hypervisorlaunchtype off 
The operation completed successfully.

note : L'ID généré par la première commande est celui que vous utilisez dans la seconde. Ne l'exécutez pas mot pour mot.

Quand vous redémarrez, vous verrez alors un menu avec deux options...

• Windows 10
• Pas de Hyper-V

Pour utiliser VMWare, il suffit donc de redémarrer et de choisir l'option "No Hyper-V".

Si vous voulez supprimer à nouveau une entrée de démarrage. Vous pouvez utiliser l'option /delete pour bcdedit.

D'abord, obtenez une liste des entrées de démarrage actuelles...

C:\>bcdedit /v

Cette liste énumère toutes les entrées avec leurs identifiants. Copiez l'ID correspondant, puis supprimez-le comme suit...

C:\>bcdedit /delete {ff-23-113-824e-5c5144ea}

Comme indiqué dans les commentaires, vous devez effectuer cette opération à partir d'une invite de commande élevée, et non de powershell. Dans powershell, la commande provoquera une erreur.

mise à jour : Il est possible d'exécuter ces commandes dans powershell, si les accolades sont échappées avec le backtick (`). Comme ça...

C:\WINDOWS\system32> bcdedit /copy `{current`} /d "No Hyper-V"

Answer 2

Device/Credential Guard est une machine virtuelle/mode virtuel sécurisé basé sur Hyper-V. qui héberge un noyau sécurisé pour rendre Windows 10 beaucoup plus sûr.

...l'instance VSM est séparée des fonctions normales du système d'exploitation. fonctions du système d'exploitation et est protégée contre les tentatives de lecture des informations dans ce mode. Les protections sont assistées par le matériel, car l'hyperviseur demande au matériel de traiter ces pages de mémoire différemment. demande au matériel de traiter ces pages de mémoire différemment. Ce site de la même manière que deux machines virtuelles sur le même hôte ne peuvent pas interagir l'une avec l'autre ; leur mémoire est indépendante et le matériel pour s'assurer que chaque VM ne peut accéder qu'à ses propres données.

A partir de là, nous avons maintenant un mode protégé où nous pouvons exécuter la sécurité opérations sensibles à la sécurité. Au moment de la rédaction, nous supportons trois capacités qui peuvent résider ici : l'autorité de sécurité locale (LSA), et les fonctions de contrôle de l'intégrité du code sous la forme de Kernel Mode Code (KMCI) et le contrôle d'intégrité du code de l'hyperviseur lui-même, qui est appelé Hypervisor Code Integrity (HVCI).

Lorsque ces capacités sont gérées par des Trustlets dans VSM, le système d'exploitation hôte hôte communique simplement avec eux par le biais de canaux et de standard à l'intérieur du système d'exploitation. Bien que cette communication spécifique aux Trustlets est autorisée, la tentative de lecture ou de manipulation des données dans VSM par un code ou un utilisateur malveillant du système d'exploitation hôte sera signifiée par un signal sonore. hôte tentent de lire ou de manipuler les données de VSM sera beaucoup plus difficile que sur un système non configuré, ce qui constitue un avantage en termes de sécurité.

L'exécution de LSA dans le VSM fait que le processus LSA lui-même (LSASS) reste dans le VSM. l'OS hôte et une instance supplémentaire spéciale de LSA (appelée LSAIso). - qui signifie LSA isolé) est créée. Ceci afin de permettre à tous les appels standard à LSA de continuer à fonctionner, ce qui offre une excellente et une excellente rétrocompatibilité, même pour les services ou les capacités qui qui nécessitent une communication directe avec LSA. À cet égard, on peut penser l'instance LSA restante dans l'OS hôte comme une instance "proxy" ou qui communique simplement avec la version isolée de la manière prescrite. manière prescrite.

Et Hyper-V et VMware n'ont pas travaillé en même temps jusqu'à 2020 , lorsque VMware a utilisé Hyper-V Platform pour coexister avec Hyper-V en commençant par Version 15.5.5 .

Comment fonctionne VMware Workstation avant la version 15.5.5 ?

VMware Workstation utilise traditionnellement un moniteur de machine virtuelle (VMM) qui fonctionne en mode privilégié et qui nécessite un accès direct au CPU ainsi qu'un accès à la prise en charge intégrée de la virtualisation du CPU (VT-x d'Intel et AMD-V d'AMD). Lorsqu'un hôte Windows active les fonctions de sécurité basées sur la virtualisation ("VBS"), Windows ajoute une couche de couche hyperviseur basée sur Hyper-V entre le matériel et Windows. Toute tentative d'exécuter le VMM traditionnel de VMware échoue parce qu'étant à l'intérieur d'Hyper-V, le VMM ne peut plus être utilisé. Hyper-V, le VMM n'a plus accès au support de virtualisation du matériel. du matériel.

Présentation du moniteur de niveau d'utilisateur

Pour résoudre ce problème de compatibilité Hyper-V/Host VBS, la plateforme VMware de VMware a réarchitecturé l'hyperviseur de VMware pour utiliser les API WHP de Microsoft. Cela signifie que nous devons modifier notre VMM pour qu'il s'exécute au niveau de l'utilisateur au lieu de s'exécuter en mode mode privilégié, ainsi que de le modifier pour qu'il utilise les API WHP afin de gérer l'exécution d'un invité au lieu d'utiliser directement le matériel sous-jacent. directement.

Qu'est-ce que cela signifie pour vous ?

VMware Workstation/Player peut désormais s'exécuter lorsque Hyper-V est activé. Vous n'avez plus à choisir entre exécutant VMware Workstation et Windows comme WSL, Device Guard et Credential Guard. Lorsque Hyper-V est activé, le mode ULM sera automatiquement utilisé afin que vous puissiez exécuter VMware Workstation normalement. Si vous n'utilisez pas du tout Hyper-V, VMware Workstation est suffisamment intelligent pour le détecter et le VMM sera utilisé.

Configuration requise

Pour exécuter Workstation/Player à l'aide des API de l'hyperviseur Windows, l'option minimale requise est Windows 10 20H1 build 19041.264. 19041.264. La version minimale de VMware Workstation/Player est 15.5.5.

Pour éviter cette erreur, mettez à jour votre Windows 10 à la version 2004/Build 19041 (mise à jour Mai 2020). et utiliser au moins VMware 15.5.5 .

Answer 3

Je ne suis toujours pas convaincu qu'Hyper-V est la chose pour moi, même avec les essais et tribulations de Docker de l'année dernière et je suppose que vous ne voudrez pas changer très fréquemment, donc plutôt que de créer un nouveau démarrage et de confirmer le démarrage par défaut ou d'attendre le délai d'attente à chaque démarrage, je change à la demande dans la console en mode administrateur en

bcdedit /set hypervisorlaunchtype off

Une autre raison de cet article : vous épargner des maux de tête : Vous pensiez encore allumer Hyper-V avec l'argument "on" ? Non. Trop simple pour MiRKoS..t. C'est auto !

Amusez-vous bien !
G.

Answer 4

Pour que ce soit super facile :

1. Juste télécharger ce script directement auprès de Microsoft.

2. Exécutez votre Powershell en tant qu'administrateur, puis exécutez les commandes suivantes :

   • Pour vérifier si DG/CG est activé DG_Readiness.ps1 -Ready
   • Pour désactiver le DG/CG. DG_Readiness.ps1 -Disable

Answer 5

J'ai aussi beaucoup lutté avec cette question. Les réponses dans ce fil de discussion ont été utiles mais n'ont pas suffi à résoudre mon erreur. Vous devrez désactiver Hyper-V et Device guard comme les autres réponses l'ont suggéré. Vous trouverez plus d'informations à ce sujet dans aquí .

J'inclus les modifications à apporter en plus des réponses fournies ci-dessus. Le lien qui m'a finalement aidé est le suivant este .

Ma réponse va résumer uniquement la différence entre le reste des réponses (c'est-à-dire la désactivation de Hyper-V et de Device guard) et les étapes suivantes :

1. Si vous avez utilisé la stratégie de groupe, désactivez le paramètre de stratégie de groupe que vous avez que vous avez utilisé pour activer Windows Defender Credential Guard (Computer Configuration -> Modèles d'administration -> Système -> Device Guard -> Activer la sécurité basée sur la virtualisation).

2. Supprimez les paramètres de registre suivants :

   HKEY_LOCAL_MACHINE \System\CurrentControlSet\Control\LSA\LsaCfgFlags HKEY_LOCAL_MACHINE \Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity HKEY_LOCAL_MACHINE \Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

   Important : Si vous supprimez manuellement ces paramètres de registre, assurez-vous de supprimer tous. Si vous ne les supprimez pas tous, l'appareil risque de se mettre en mode récupération de BitLocker.

3. Supprimez les variables EFI de Windows Defender Credential Guard à l'aide des éléments suivants bcdedit. A partir d'une invite de commande élevée (démarrage en mode administrateur), tapez les commandes suivantes :

    mountvol X: /s
   
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
   
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
   
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
   
    mountvol X: /d

4. Redémarrez le PC.

5. Acceptez l'invitation à désactiver Windows Defender Credential Guard.

6. Vous pouvez également désactiver la sécurité basée sur la virtualisation. pour désactiver Windows Defender Credential Guard.