telegram
🕓03.11.2020 🛡️Безопасность 👨‍🎓

Device Guard: Что это такое и как включить или отключить

Device Guard - использует виртуализацию для изоляции секретов и тем самым обеспечивает защиту от взлома. Это гарантирует, что только привилегированное системное программное обеспечение может получить доступ к таким данным как хэши паролей NTLM и учетные данные домена. Credential Guard создает виртуальный контейнер и хранит все важные данные в нем, что не позволяет получить доступ к этим токенам на уровне системы без специальных прав авторизации. Примечательно то, что Credential Guard можно развернуть на виртуальной машине как Hyper-V.

К примеру, если хакер взломал и получил доступ к Windows 10, то он мог получить и доступ к хэшу, который используется для шифрования учетных записей, так как хэш храниться в локальной ОЗУ без защиты. В Credential Guard хэш храниться в виртуальном контейнере, и даже, если система будет скомпрометирована, то хакер не получит доступ к этому хэшу.

Ограничение на использование Device Guard

  1. Поддержка виртуализации 64x битным процессором.
  2. Безопасная загрузка.
  3. Чип на материнской плате TPM версии 1.0 или 2.0.
  4. Включенный Hyper-V.
  5. Доступно в Windows 10 Education, Enterprise и Windows Server 2016.

В документации Microsoft вы можете обнаружить, что Credential Guard поддерживается в Windows 10, что означает Pro и Home. Я сам запутался, и дело в том, что документация не правильная и требует правок. На github есть обсуждение на эту тему, и функция Credential Guard как бы есть, но она не шифрует данные в виртуальном контейнере, т.е. она не работает. Обратите внимание на это сообщение и это.

Как включить и отключить Device Guard

В групповых политиках перейдите "Конфигурация компьютера" > "Административные шаблоны" > "Система" > "Device Guard" > справа выберите "Включить средство обеспечения безопасности на основе виртуализации".

Device Guard Как включить

Ошибка несовместимости с Credential Guard сторонних виртуальных машин

Иногда, пользователи могут видеть ошибку "VMware Workstation и устройства Device/Credential Guard несовместимы. VMware Workstation можно запустить после отключения Device/Credential Guard" при использовании сторонних виртуальных машин как VirtualBox или VMware Workstation.

VMware Workstation и устройства Device Credential Guard несовместимы. VMware Workstation можно запустить после отключения Device Credential Guard

Способ 1. В этом случае нужно отключить несколько компонентов как Aplication Guard, Hyper-V и песочница Windows. Также, посмотрите не включен ли Credential Guard в групповых политиках, указанном выше способом.

отключение компонентов вирутализации

Способ 2. Если выше способ не помог и виртуальные машины выдают ошибку на несовместимость Credential Guard, то откройте редактор реестра и перейдите по пути:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
  • Нажмите два раза по Enabled и установите значение 0.
  • Перезагрузите ПК.

HypervisorEnformedCodeIntegrity

Если после перезапуска Windows, ошибка появляется, то запустите командную строку от имени администратора и введите:

  • bcdedit /set hypervisorlaunchtype off

Если хотите вернуть команду по умолчанию, то введите bcdedit /set hypervisorlaunchtype auto

bcdedit /set hypervisorlaunchtype off