Защита устройства Windows 10, как отключить

Обновлено: 21.11.2024

Microsoft уделяет большое внимание безопасности в Windows 10. Они представили так много инструментов, включая Device Guard, Credential Guard и Центр безопасности Windows, что определение роли каждого из них может немного запутать.< /p>

Тот факт, что корпорация Майкрософт также меняет названия одних и отказывается от поддержки других, также усиливает неопределенность. Мы здесь не для того, чтобы развеять всю возможную путаницу.

В этом блоге мы сосредоточимся на Device Guard. Device Guard доступен в выпусках Windows Enterprise и Education для Windows 10, а также в Server 2016 и 2019. Давайте расскажем, что делает Device Guard, как его включить, кому следует его использовать и какие существуют альтернативы.

Безопасность на основе виртуализации

И Device Guard, и Credential Guard зависят от так называемого виртуального безопасного режима (VSM). Вы можете не думать о виртуализации как об инструменте безопасности, но суть виртуализации заключается в сегментации.

Виртуальная машина отделяется от аппаратного обеспечения ее постоянного хоста, а ее внутренние процессы изолируются от процессов других виртуальных машин (ВМ). VSM основан на той же концепции и использует традиционный гипервизор для защиты рабочего стола.

В VSM определенные процессы и связанная с ними память изолируются от основной операционной системы.

Подумайте об этом как о пузыре, расположенном над гипервизором, где вредоносный код может работать независимо от операционной системы хоста и оборудования под ним.

В коробке есть Microsoft AppLocker, и он может многое предложить; если вы заботитесь о том, чтобы поддерживать его с большим уходом и кормлением. Но даже в этом случае AppLocker не решает главную проблему администраторов, а именно удаление прав локального администратора. Кроме того, AppLocker вообще не работает с компьютерами Windows Professional; только Windows Ultimate.

Как включить Device Guard в Windows 10

Чтобы включить Device Guard, нам сначала нужно включить гипервизор Hyper-V на нашем компьютере с Windows 10. (Конечно, имейте в виду, что ваше оборудование должно поддерживать виртуализацию, чтобы гипервизор работал. Возможно, перед этим шагом вам придется внести изменения в BIOS.)

Гипервизор включается с помощью апплета «Программы и компоненты» на панели управления. Эта операция может оказаться сложной для всего парка устройств Windows. Однако это не обязательно. Используя PolicyPak Features Manager для Windows, вы можете по своему желанию добавлять или удалять классические и дополнительные функции Windows 10. Поскольку PolicyPak интегрируется с групповой политикой, все, что вам нужно сделать, — это создать объект групповой политики и создать политику, как показано ниже.

Обратите внимание, что до версии 1609 вам нужно было включить функцию "Изолированный пользовательский режим". Это больше не нужно. Просто выберите функцию гипервизора, и все! На снимке экрана ниже мы выбрали функцию Hyper-V Hypervisor с помощью PolicyPak, и она мгновенно применяется на всех целевых машинах.

Вы можете посмотреть видеодемонстрацию управления функциями PolicyPak для Windows здесь.

Мы обнаружили, что вы используете блокировщик рекламы. Иногда это может повлиять на работу нашего видеопроигрывателя.
Для лучшего просмотра внесите пакет политик в белый список в своем блокировщике рекламы.

Как настроить Device Guard

Теперь, когда у нас включен гипервизор, мы можем перейти к Device Guard. Device Guard — это группа ключевых функций, предназначенных для защиты компьютерных систем от вредоносных программ. Это часть того, что Microsoft называет безопасностью на основе виртуализации. Начиная с Windows 10 версии 1709, Device Guard разделяется на две отдельные функции: управление приложениями в Защитнике Windows и защита целостности кода на основе виртуализации.
Вы можете использовать групповую политику для развертывания настроек Device Guard, создав объект групповой политики и выбрав Конфигурация компьютера > Административные шаблоны > Система > Device Guard.

Как развернуть Device Guard с помощью PolicyPak

Вы также можете использовать диспетчер административных шаблонов PolicyPak для развертывания Device Guard или любого параметра ADMX. Существует несколько преимуществ использования диспетчера административных шаблонов PolicyPak по сравнению с групповой политикой, например, возможность использования таргетинга на уровне элементов.Вы также можете экспортировать и импортировать настройки для устройств, которые не могут быть локальными или управляться MDM. PolicyPak обновляет шаблоны ADMX, как только Microsoft выпускает их, поэтому у вас есть доступ ко всем настройкам. На скриншоте ниже я включил безопасную загрузку с защитой DMA. Я также включил параметр «Блокировка EUFI», чтобы предотвратить удаленное отключение параметра целостности кода.

Полную демонстрацию диспетчера административных шаблонов PolicyPak можно посмотреть здесь.

Любой, кто работал с шаблонами групповой политики, знает, какие возможности детализации они обеспечивают при развертывании политик. Диспетчер шаблонов PolicyPak также дает вам точную возможность таргетинга для политик административных шаблонов. Поскольку VBS использует дополнительную вычислительную мощность, я буду требовать минимальной скорости обработки для целевых устройств. Я также выберу Операционную систему в качестве одного из элементов таргетинга и укажу нужную ОС и номер версии.

Теперь давайте включим Application Control. Короче говоря, вы должны сначала создать политику целостности кода на «золотом компьютере». Затем вы используете PowerShell, чтобы создать политику, преобразовать ее в двоичный файл и указать путь к файлу политики целостности кода в функции управления приложениями Защитника Windows.

Контроль приложений — это жесткое приложение для внесения в белый список, которое обеспечивает запуск только доверенных приложений. В то время как AppLocker также выполняет белые списки, Application Control более надежен, поскольку он защищен VSM и, таким образом, поддерживается цепочкой доверия от оборудования до ядра. Однако проблема с белым списком заключается в том, что приложения приходят и уходят.
Каждый раз, когда в организации внедряется новое приложение, золотой компьютер необходимо модифицировать, а необходимые процессы повторять для создания нового списка приложений. Этот процесс требует значительного количества усилий и времени, затрачиваемого на рутинные задачи. По этой причине вам, вероятно, потребуется полный набор функций Device Guard только на компьютерах с критически важными приложениями и службами, таких как компьютеры в цехах, банкоматы и кассовые системы, в которых среда рабочего стола редко меняется.
Другим примером могут быть студенческие ноутбуки для индивидуальной программы K12. Конечно, как уже упоминалось, Device Guard доступен только в версиях Enterprise и Education, поэтому, если вы используете версию Pro, это не вариант.

Альтернатива Device Guard

Включение в белый список кажется прекрасным способом гарантировать, что только доверенные приложения могут работать, но это непрактично. В любом случае есть лучший способ. PolicyPak по крайней мере Privilege Manager не позволяет обычным пользователям запускать несанкционированные приложения, тем самым предотвращая запуск вредоносных программ и «неизвестных программ». Методология проста. PolicyPak Least Privilege Manager лишает обычных пользователей прав локального администратора. Элементы, для которых требуются права администратора, затем запускаются с повышенными привилегиями. После лишения прав администратора PolicyPak Least Privilege Manager можно настроить так, чтобы он просто блокировал все элементы, которые не были «должным образом установлены» администратором; это называется политикой PolicyPak SecureRun™, как показано ниже.

Если функция SecureRunTM включена, PolicyPak Least Privilege Manager проверяет, кому принадлежит исполняемый файл, MSI, сценарий или файл Java JAR. Когда пользователи загружают файлы из Интернета или копируют их с USB-накопителя и т. д., они владеют файлом, как показано здесь.

Но SecureRun™ определяет список пользователей, которым разрешено устанавливать программное обеспечение. См. список по умолчанию на снимке экрана ниже.

И любое приложение, не установленное членом списка, запрещено. В этом примере SCCM установил Adobe Acrobat, поэтому он принадлежит СИСТЕМЕ. Но пользователь скачал Malware.BAT и в результате был автоматически заблокирован.

Больше никаких "золотых компьютеров". Больше не нужно постоянно обновлять список доверенных приложений. Всего одна политика, которую вы установили и забыли. Более того, PolicyPak Least Privilege Manager также поддерживает многие другие операционные системы и выпуски.

Профессиональная, Корпоративная и Максимальная версии Windows 7
Профессиональная и корпоративная версии Windows 8
Любой выпуск Windows 10 (Pro, Enterprise, Education)
Server 2008 R2 и более поздние версии

Вы можете посмотреть полную видеодемонстрацию PolicyPak SecureRunTM здесь.

Дальнейшие шаги

В Windows значительно улучшена безопасность рабочего стола. В то время как предпосылка безопасности на основе виртуализации эффективна для изоляции вредоносного кода от ОС, функции управления приложениями Device Guard болезненны и неудобны для развертывания и обслуживания с течением времени. У Microsoft есть много доступных инструментов безопасности. Некоторые лучше других.

В PolicyPak мы стремимся повысить эффективность управления политиками, защитить рабочий стол и упростить работу администратора. Это лежит в основе всего набора компонентов решения PolicyPak.

Ташриф Шариф — разработчик программного обеспечения, ставший техническим писателем. Он обнаружил свой интерес к технологиям после того, как случайно прочитал технический журнал. Теперь он пишет обо всем, что связано с технологиями, от Windows до iOS и потоковых сервисов. Подробнее

Для решения различных проблем с ПК мы рекомендуем Restoro PC Repair Tool:
Это программное обеспечение устраняет распространенные компьютерные ошибки, защищает вас от потери файлов, вредоносных программ, сбоев оборудования и оптимизирует работу вашего ПК для достижения максимальной производительности. Решите проблемы с ПК и удалите вирусы за 3 простых шага:

Загрузите Restoro PC Repair Tool, который поставляется с запатентованными технологиями (патент доступен здесь).
Нажмите «Начать сканирование», чтобы найти проблемы Windows, которые могут вызывать проблемы с ПК.
Нажмите «Исправить все», чтобы устранить проблемы, влияющие на безопасность и производительность вашего компьютера.

В этом месяце Restoro скачали 0 читателей.

Профессиональная версия Windows поставляется с Hyper-V, внутренним решением Microsoft для виртуальных машин, встроенным в Windows. Однако если вы включите Hyper-V, он также активирует Credential Guard в Защитнике Windows.

Что делать, если вы хотите отключить Credential Guard в Windows 10?

Возможно, вам потребуется отключить Credential Guard, чтобы убедиться, что другие решения для виртуальных машин, такие как VMware, работают нормально, что невозможно при запущенном Credential Guard.

В этой статье мы расскажем вам, как отключить Credential Guard в Windows 10 для запуска VMware и Hyper-V.

1. Отключить Credential Guard из панели управления

Включить Hyper-V

Примечание. Если у вас уже включен Hyper-V, перейдите ко второму шагу ниже.

Отключить Credential Guard

Нажмите клавишу Windows + R, чтобы открыть «Выполнить».
Введите gpedit.msc и нажмите OK. Откроется редактор групповой политики.
В редакторе групповой политики перейдите в следующую папку:
Конфигурация компьютера -> Административные шаблоны -> Система -> Device Guard
Выберите Device Guard.
На правой панели дважды щелкните политику «Включить безопасность на основе виртуализации».
В новом диалоговом окне выберите параметр «Отключено/не настроено».
Нажмите "ОК", чтобы сохранить изменения.
Закройте редактор групповой политики.
Перезагрузите компьютер, чтобы применить изменения.
После перезапуска вы можете без проблем работать как с Hyper-V, так и с VMware.

Если проблема не устранена, снова откройте окно компонентов Windows, начиная с шага 1, а затем отмените выбор Hyper-V и перезагрузите компьютер.

2. Отключить Hyper-V с помощью команды PowerShell

Если вы получаете сообщение «Проигрыватель WMware и устройство/Credential Guard несовместимы. VMware Player можно запустить после отключения ошибки Device/Credential Guard; первый метод должен помочь.
Однако, если проблема не устранена, вы можете отключить Hyper-V с помощью команды PowerShell.
Нажмите правой кнопкой мыши "Пуск" и выберите "Windows PowerShell (Admin)".
В окне PowerShell введите следующую команду, чтобы отключить Hyper-V.
bcdedit /set hypervisorlaunchtype off
Теперь попробуйте перезапустить VMware и проверьте, устранена ли ошибка.

Включить Hyper-V с помощью PowerShell

Если вы хотите включить Hyper-V, используйте следующую команду.
bcdedit / установить автоматический тип запуска гипервизора
Это активирует Hyper-V на вашем компьютере.

Первый способ отключения Credential Guard рекомендуется, если вы хотите запускать на своем компьютере виртуальные машины Hyper-V и VMware.

Однако команда PowerShell может отключить Hyper-V без необходимости устанавливать или удалять его из компонентов Windows.

СВЯЗАННЫЕ ИСТОРИИ, КОТОРЫЕ МОЖЕТ ПОНРАВИТЬСЯ:

Как создать виртуальный коммутатор Hyper-V [Пошаговое руководство]
Как экспортировать виртуальную машину в VMware
Вот как добавить сетевой адаптер в виртуальную машину Windows 10 Hyper-V

По-прежнему возникают проблемы? Исправьте их с помощью этого инструмента:

Device Guard позволяет заблокировать систему, чтобы запускать только доверенные приложения. Выполните следующие действия, чтобы включить Device Guard в Windows 10.

Одной из интересных функций Windows является Device Guard. Эта функция специально разработана для предприятий, где безопасность и контроль являются главным требованием. При правильном включении и настройке он позволяет администраторам ограничивать систему запуском только доверенных приложений. Хорошо то, что администраторы могут устанавливать правила, называемые политиками целостности кода, чтобы определять, что представляет собой доверенные приложения. Если приложение не входит в список доверенных, оно не запустится, что бы вы ни делали.

Поскольку Device Guard представляет собой комбинацию аппаратных и программных функций безопасности и работает в защищенном контейнере гипервизора вместе с ядром Windows, обойти ограничения очень сложно. Итак, в этом кратком руководстве позвольте мне показать, как включить Device Guard и отключить его при необходимости.

Требования

Требования к оборудованию. У Microsoft есть замечательная страница со списком всех конкретных требований к оборудованию. Взгляните на него.
Требования к программному обеспечению: Должна использоваться версия Windows Enterprise или Education. Если вы используете другие версии, например Home или Pro, ваша система несовместима.

Действия по включению Device Guard (GPO)

Чтобы включить функцию защиты устройства, достаточно просто и понятно. Помните, что ваша система должна соответствовать всем вышеперечисленным требованиям.

<р>3. Теперь Windows внесет необходимые изменения. Перезагрузите Windows, чтобы применить изменения.

Конфигурация компьютера → Административные шаблоны → Система → Device Guard

<р>6. На правой панели найдите и дважды щелкните объект групповой политики «Включить безопасность на основе виртуализации».

Если вам когда-либо понадобится дополнительная информация о том, что делает каждый параметр, взгляните на левую панель. Он подробно расскажет вам, что делает каждый вариант.

После включения Device Guard необходимо настроить политики. Я рекомендую вам начать работу с этого руководства Microsoft.

Действия по отключению

Если вы хотите отключить функцию Device Guard, просто выберите «Отключено» или «Не настроено» в окне свойств политики (см. шаг 7).

Вот и все. Надеюсь, это поможет. Если вы застряли или вам нужна помощь, оставьте комментарий ниже, и я постараюсь помочь как можно больше. Если вам понравилась эта статья, узнайте, как включить защиту от программ-вымогателей в Windows 10, чтобы защитить ваши данные от программ-вымогателей.

Я пытаюсь установить программное обеспечение, но мне нужно отключить "Device Guard" в моем Surface Pro, прежде чем я смогу это сделать.

Расскажите, как это сделать.

Эта тема заблокирована. Вы можете подписаться на вопрос или проголосовать за него как полезный, но вы не можете отвечать в этой теме.

Сообщить о нарушении

Домогательство – это любое поведение, направленное на то, чтобы побеспокоить или расстроить человека или группу людей. К угрозам относятся любые угрозы самоубийства, насилия или причинения вреда другому человеку. Любой контент на тему для взрослых или неуместный для веб-сайта сообщества. Любое изображение, ссылка или обсуждение наготы. Любое поведение, которое является оскорбительным, грубым, вульгарным, оскверняет или демонстрирует неуважение. Любое поведение, которое может нарушать лицензионные соглашения с конечными пользователями, включая предоставление ключей продукта или ссылок на пиратское программное обеспечение. Незапрашиваемая массовая рассылка или массовая реклама. Любые ссылки на вирусы, шпионское ПО, вредоносное ПО или фишинговые сайты или их пропаганда. Любой другой неприемлемый контент или поведение, как это определено Условиями использования или Кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другим жестоким обращением с детьми или их эксплуатацией.

Ответы (2) 

Device Guard — это набор аппаратных и операционных технологий, которые при совместной настройке позволяют предприятиям «блокировать» систему и разрешать запуск только разрешенных приложений или программ. При этом лучше всего обратиться к местному ИТ-персоналу, чтобы узнать, как изменить настройки Device Guard, чтобы разрешить запуск вашего программного обеспечения на Surface Pro.

Если вы местный ИТ-специалист своей организации, я рекомендую вам сообщить о своей проблеме на наших форумах TechNet. TechNet — это сообщество ИТ-специалистов, которые делятся и обсуждают проблемы, связанные с ИТ, и способы их решения. Нажмите на эту ссылку, чтобы перейти на веб-страницу, а затем либо найдите похожие темы, либо создайте новую тему, чтобы сообщество могло обсудить вашу проблему.

Если у вас есть дополнительные вопросы, дайте мне знать, ответив в этой теме. Таким образом, я получу уведомление и отвечу вам, как только смогу.

Сообщить о нарушении

Читайте также: