关闭 win10 “内核隔离”“内存完整性”DG的方法和工具

文章正文
发布时间:2024-09-26 07:58

本帖最后由 JAYSIR 于 2018-7-11 10:18 编辑

更新了多个方法关闭DG,欧博abg还有工具版本,基本就是官方手册的翻译和搬运了 ,前面赘述可以不用看,直接看底部解决方法就好了。建议使用工具关闭,简单省事。

-----------------------------------------
废话开始
-----------------------------------------
升级了windwos10 RS4 专业版。现在开启DG不需要策略组和开启Hyper-V里面手动设置,直接进入安全中心,名字叫做内核隔离,很形象。而且和vmware是兼容的(更正下好像还是和vm不兼容,欧博官网我之前只是安装vm没运行,有同学表示不兼容),联想到微软最近和卡巴的对话,感觉微软是想搞死这些杀毒软件啊。






开启后发现就变成这样


没错,没法关闭了。

不得不说一句,WD的占用实在是太高了!!!特别占CPU,有时候新下载一个程序直接40%的CPU占用。界面都有点卡顿,实在是无法忍受。于是我换回了老斯基,欧博但是。

老斯基更新很及时,已经在官网公布RS4开启DG会导致一些功能无法运行,包括启发分析!!!(刚看了下已经更新了,以链接内容为准吧。)参考:https://support.kaspersky.com/13609

If Device Guard is enabled in Windows 10, some features in Kaspersky Anti-Virus 2018 will be restricted:


Windows 10 RS1 / RS2 / RS3

Protection against screen lockers.

Protection against cryptoviruses.

Windows 10 RS4

Clipboard protection

Browser protection from keyboard and mouse input emulators (input spoofing).

Protection against remote management applications.

Browser protection (management through API, protection from attacks to browser windows that use dangerous messages, protection from message queue management).

Heuristic Analysis (emulation of the startup of malicious applications).

If UMCI mode is enabled in Windows, Kaspersky Anti-Virus 2018 does not detect screen lockers.

复制代码


更多功能里面的虚拟机没有打开,策略组里面的DG也是默认未配置的,这和之前版本的DG开启方法不同。此前可以按照vmware官网的方法来关闭。

网上搜索了下,发现了好几个有同样疑问的同学,但是没有解决简单的方法。
--------------------------------
废话完毕
--------------------------------





实际上可以通过注册表、Group Policy关闭,欧博娱乐但是比较麻烦,龙大在下面有分享了方法。


查看Windows Defender Credential Guard是否在运行(下面提供的工具也能查看,可以忽略):
1. run或cmd运行:msinfo32.exe
2. 点击:System Summary
3. 看 Virtualization-based security 服务是否在运行,我的是 Not enabled



如果Credential Guard已启用UEFI锁定,则组策略无法关闭,需要用到其它方法,因为设置会保留在EFI(固件)变量中,并且需要机器上有物理存在才能按功能键接受更改。
如果Credential Guard在未使用UEFI锁的情况下启用,则可以使用组策略将其关闭。

使用组策略关闭:
1. 在组策略管理控制台中,转到计算机配置 - >管理模板 - >系统 - >设备防护。
2. 双击打开基于虚拟化的安全性,然后单击启用选项。
3. 在“选择平台安全级别”框中,选择“安全启动”或“安全启动和DMA保护”。
4. 在Credential Guard配置框中,单击使用UEFI锁启用,然后单击确定。 如果希望能够远程关闭Windows Defender Credential Guard,请选择“无锁定启用”。


--------------------------------------------
使用工具来关闭DG(简单省事,推荐):
好在微软提供了关闭DG的工具,一条命令关闭DG,实际测试有效。



首先你需要下载上面的工具并解压,右键点击开始按钮选择powershell 管理员, cd进入解压目录,输入:

Set-ExecutionPolicy RemoteSigned

复制代码

来允许运行脚本,根据提示输入:y。然后输入:


关闭的命令是:

./DG_Readiness_Tool_v3.4.ps1 -Disable -AutoReboot

复制代码

3.5是,自行更换版本号  DG_Readiness_Tool_v3.5.ps1  ,后续同理:

./DG_Readiness_Tool_v3.5.ps1 -Disable -AutoReboot

复制代码


开启的命令就是:

<div>./DG_Readiness_Tool_v3.5.ps1 -Enable -AutoReboot</div><div></div>

复制代码

之后会自动重启系统,提示你按“WIN”“F3”关闭DG,或按“ESC”取消。


检查DG是否还在运行:

./DG_Readiness_Tool_v3.5.ps1 -Ready

复制代码



----------------------------------
如果Credential Guard已启用UEFI锁定,则组策略无法关闭,需要用到以下方法,因为设置会保留在EFI(固件)变量中,并且需要机器上有物理存在才能按功能键接受更改。

手动关闭 Windows Defender Credential Guard(还是工具方便):

1. 在策略组里面关掉Credential Guard设置,

(Computer Configuration -> Administrative Templates -> System -> Device Guard -> Turn on Virtualization Based Security).

复制代码



2.删除如下的注册表:(如果手动删除这些注册表设置,请确保将其全部删除。如果不全部删除它们,设备可能会进入BitLocker恢复!)

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

复制代码




3.使用bcdedit删除Windows Defender Credential Guard EFI变量。从已提升权限的的命令提示符处,键入以下命令:

mountvol X: /s


copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y


bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader


bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"


bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}


bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO


bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:


mountvol X: /d

复制代码


4. 重启电脑
5. 接受提示关闭Windows Defender Credential Guard.
6. 或者可以通过禁用“基于虚拟化安全功能”来关闭Windows Defender Credential Guard。

PC必须一次性访问域控制器来解密内容,例如用EFS加密的文件。如果要关闭Windows Defender Credential Guard和基于虚拟化的安全性,请在关闭所有基于虚拟化的安全组策略和注册表设置后运行以下bcdedit命令:bcdedit / set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS

复制代码















 

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分 参与人数 3经验 +20 分享 +2 人气 +3 理由

屁颠屁颠
  + 20   + 2   + 1   版区有你更精彩: )  

dongwenqi
      + 1   版区有你更精彩: )  

HEMM
      + 1   表示默认即可,绝不开!微软自己都没把握。  

查看全部评分

首页
评论
分享
Top