Device Guard: Что это и как включить или отключить на Windows

В современном мире компьютерная безопасность является одной из ключевых проблем. Хакеры и другие злоумышленники постоянно ищут возможности проникнуть в системы и получить доступ к важной информации. В таких условиях функции защиты и обороны становятся крайне важными. Одним из таких инструментов защиты является Device Guard.

Device Guard – это компонент в Windows 10, который позволяет предотвратить выполнение вредоносного программного обеспечения на устройстве. Он работает вместе с Windows Defender, который обнаруживает и блокирует известные вредоносные компоненты и программы-шпионы. Device Guard позволяет запускать только те приложения, которые были доверены системой или управляемыми политиками.

Так как Device Guard выполняет свои функции на уровне операционной системы, он совместим только с устройствами, поддерживающими виртуализацию. Для работы Device Guard необходимо включить опцию Virtualization Based Security и использовать HypervisorLaunchType настройки. Во время работы Device Guard все сторонние компоненты политик отключаются и будут применены только управляемые политики, установленные на устройство.

Что такое Device Guard

Device Guard основан на технологии виртуализации Hyper-V, что позволяет запускать приложения в изолированной виртуальной среде, без возможности влияния на основную операционную систему. Это обеспечивает дополнительный уровень защиты при работе с непроверенными или потенциально опасными приложениями.

Для управления Device Guard используется Windows Defender Device Guard Manager, который позволяет конфигурировать политики и требования к приложениям, задавать доверенные пути и требования для развертывания и управления приложениями.

Чтобы включить или отключить Device Guard, нужно выполнить следующие действия:

Как	Введение
1	Откройте Windows Defender Device Guard Manager.
2	Выберите пункт «Настройка развертывания и управления приложениями».
3	Щелкните «Настроить Device Guard».
4	Выберите требования для развертывания и управления приложениями.
5	Нажмите «Запустить».
6	Примените настройки и перезагрузите компьютер.

Путь к журналу Device Guard также можно найти в папке %windir%\ccm\logs\DeviceGuardHandler.log. В этом журнале отображается информация о примененных политиках и ошибках, которые могут возникнуть в процессе развертывания или управления Device Guard.

Теперь вы понятно знаете, что такое Device Guard и как включить или отключить его на компьютере под управлением Windows.

Как включить Device Guard на Windows

Проверка требований и возможность развертывания

Перед включением Device Guard на вашем компьютере необходимо выполнить несколько предварительных требований:

• Убедитесь, что у вас установлена операционная система Windows 10 Enterprise или Windows 10 Pro с функцией Hyper-V.
• Проверьте, что на вашем компьютере поддерживается SLAT (Second Level Address Translation), NX bit (No eXecute), Secure Boot и UEFI.
• Проверьте, что ваш компьютер поддерживает функцию виртуализации.
• Убедитесь, что на вашем компьютере установлены все необходимые обновления и исправления для Windows 10.

Если ваше оборудование соответствует этим требованиям, вы можете приступить к включению Device Guard.

Включение Device Guard через Local Group Policy Editor

Чтобы включить Device Guard через Local Group Policy Editor, выполните следующие действия:

1. Нажмите сочетание клавиш Win + R, введите gpedit.msc и нажмите Enter для открытия Local Group Policy Editor.
2. При необходимости прочитайте и ознакомьтесь с текущими политиками перед введением новых.
3. Выберите «Конфигурация компьютера» → «Административные шаблоны» → «Система».
4. В списке политик найдите «Включить управление приложениями высшего уровня Device Guard» и дважды щелкните на нем.
5. В окне настроек выберите «Включено» и нажмите «Применить» и «ОК».
6. Перезапустите компьютер для применения изменений.

После включения Device Guard на вашем компьютере будет создан новый путь к управлению приложениями. Затем вы сможете развернуть политику параметризованного создания или создать новую политику.

Важно отметить, что Device Guard может быть отключен с помощью Local Group Policy Editor путем выбора опции «Отключено» вместо «Включено» в настройках политики управления приложениями высшего уровня.

Теперь вы знаете, как включить Device Guard на Windows 10 через Local Group Policy Editor. Управление безопасностью вашего компьютера будет более эффективным с использованием данной функции.

Как отключить Device Guard на Windows

1. Откройте Панель управления и щелкните на «Система и безопасность».

2. Введите «Device Guard» в поле поиска и выберите «Device Guard: Enable/Disable Device Guard».

3. Появится окно «Device Guard and Credential Guard Wizard».

4. В этом окне вы можете выбрать, хотите ли вы отключить Device Guard или Credential Guard. Чтобы отключить Device Guard, выберите «Disable».

5. Нажмите «Next», чтобы применить изменения.

6. После завершения настройки будет создана политика группы, в которой будет переименованы определенные папки или файлы. Эти изменения позволят отключить функцию Device Guard.

7. После завершения настройки запускайте компьютер заново.

Важно помнить, что отключение Device Guard может повлиять на безопасность вашей системы, поскольку это фукнция защиты компьютера от вредоносного программного обеспечения. Убедитесь, что вы понимаете последствия перед отключением данной функции.

Что такое Credential Guard

Credential Guard использует виртуализацию, чтобы создать изолированную среду для хранения учетных данных. Подобно другим функциям управления доступом, таким как Device Guard, она предоставляет дополнительный уровень защиты для компьютеров и устройств, особенно при работе в средах, где присутствуют клиенты, сервисы или приложения, работающие с конфиденциальными учетными данными.

Для чего нужен Credential Guard?

Credential Guard защищает от атак, направленных на получение учетных данных пользователей. Когда Credential Guard включен, учетные данные хранятся в изолированной виртуальной машине, недоступной даже для привилегированных процессов операционной системы. Это позволяет предотвратить доступ к учетным данным даже при наличии компрометации системы.

Credential Guard также защищает учетные данные в процессе развертывания и управления политиками безопасности. Все изменения политик Credential Guard должны быть подтверждены центральным элементом управления, тем самым гарантируя, что только доверенные пользователи или администраторы имеют доступ к изменению политик.

Как включить или отключить Credential Guard

Включение или отключение Credential Guard зависит от версии операционной системы. Для Windows 10 Enterprise и Windows Server 2016 Credential Guard включен по умолчанию и не может быть отключен. Однако, в Windows 10 Pro и Home editions, возможность включить или отключить Credential Guard зависит от наличия поддерживаемого оборудования и совместимости приложений.

Если у вас есть подходящая версия Windows и совместимое оборудование, чтобы включить Credential Guard, выполните следующие действия:

1. Запустите Group Policy Management Editor, открыв политику компьютера (Computer Configuration) -> Windows Components -> System -> Device Guard.
2. Выберите элемент политики «Turn on Virtualization Based Security».
3. Установите флажок «Enabled» для активации Credential Guard.

Чтобы отключить Credential Guard, можно просто установить флажок «Disabled» в политике.

Прежде чем включить Credential Guard, рекомендуется проверить журнал политик безопасности в папке «C:\Windows\CCM\Logs\DeviceGuard\Handler.log» на предмет ошибок и предупреждений, а также учесть возможные проблемы совместимости с другими установленными приложениями.

Credential Guard — это функция управления доступом, которая обеспечивает дополнительный уровень защиты для учетных данных пользователей в операционных системах Windows 10 и Windows Server 2016. Включение или отключение Credential Guard зависит от версии операционной системы, наличия совместимого оборудования и совместимости приложений. Включение Credential Guard осуществляется через политики безопасности, а отключение может быть выполнено путем изменения соответствующей политики.

При развертывании или управлении Credential Guard важно убедиться, что система и приложения совместимы с этой функцией, и проверить журнал политик безопасности на предмет ошибок. Выбор включения или отключения Credential Guard в основном зависит от уровня безопасности, требуемого в конкретной среде и от понимания того, как эта функция повышает защиту учетных данных пользователей.

Как включить Credential Guard на Windows

Для обеспечения дополнительного уровня защиты в Windows 10 и Windows Server 2016 можно использовать функцию Credential Guard. Эта функция позволяет защитить учетные данные пользователя, предотвратив их доступ для злоумышленников и вредоносного программного обеспечения.

Для включения Credential Guard, если он не был предварительно настроен при развертывании операционной системы, вам необходимо выполнить следующие шаги:

1. Убедитесь в поддержке оборудования и операционной системы.

Прежде чем включить Credential Guard, убедитесь, что ваше оборудование поддерживает виртуализацию и включена функция Hyper-V. Также убедитесь, что вы используете Windows 10 Pro, Enterprise или Education в качестве операционной системы.

2. Создайте групповую политику для включения Credential Guard.

Для включения Credential Guard вам необходимо создать и настроить групповую политику. Путь к этой политике следующий: Локальный компьютер\Конфигурация компьютера\Административные шаблоны\Система\Управление учетными данными Использование функции Credential Guard. Внесите необходимые изменения в настройки этой политики.

3. Включите Credential Guard с помощью командной строки.

Вы можете включить Credential Guard с помощью командной строки, используя следующую команду: gpupdate /force && shutdown -r -t 0. Эта команда обновляет групповую политику и перезапускает компьютер, чтобы изменения вступили в силу.

4. Проверка включения Credential Guard.

Вы можете проверить, включен ли Credential Guard, перейдя в раздел «Учетные данные» в настройках управления учетными данными. Если функция Credential Guard включена, появляется предупреждение о несовместимости с интерфейсами виртуализации, такими как VMWare и VirtualBox.

Включение Credential Guard на Windows добавляет дополнительный уровень защиты для вашей системы и учетных данных. Если вы используете управляемое развертывание и групповые политики управления клиентом, то Credential Guard будет автоматически включен при развертывании.

Как отключить Credential Guard на Windows

В ранее поддерживаемых операционных системах Windows 10 и Windows Server 2016 компонент Credential Guard был введен Microsoft для улучшения защиты учетных данных. Однако, если у вас возникла необходимость отключить Credential Guard в связи с несовместимостью с другими приложениями или системами управления, вы можете легко сделать это с помощью политик группового управления. Здесь мы посмотрим, как отключить Credential Guard на Windows.

Для отключения Credential Guard необходимо создать и развернуть политику группового управления. Чтобы это сделать, следуйте этим шагам:

1. Откройте меню «Пуск» и выполните поиск по запросу «gpedit.msc» для открытия окна «Локальные групповые политики».
2. Перейдите к папке «Компьютерная конфигурация» -> «Административные шаблоны» -> «Система» -> «Управление Учетными Записями» и дважды щелкните на политике «Мониторинг безопасности: Использовать Провайдеры слежения для мониторинга событий безопасности».
3. Выберите «Отключено» и нажмите «ОК».
4. Откройте папку «Компьютерная конфигурация» -> «Административные шаблоны» -> «Система» -> «Управление Учетными Записями» и дважды щелкните на политике «Мониторинг безопасности: Конфигурирование автоматического восстановления приложений и компонентов».
5. Выберите «Отключено» и нажмите «ОК».

После того, как вы настроите эти политики группового управления, перезагрузите компьютер, чтобы изменения вступили в силу.

После этого Credential Guard будет отключен на вашем компьютере. Учтите, что после отключения Credential Guard некоторые функции операционной системы могут работать медленнее или иметь ограничения в использовании. Будьте внимательны и обратитесь к документации операционной системы для подробной информации о влиянии отключения Credential Guard.

Отключение Credential Guard or Device Guard в Windows 10 Pro SL

В Windows 10 Pro SL существует возможность отключить Credential Guard или Device Guard при необходимости. Это особенно полезно в случаях, когда у клиентов возникают проблемы с несовместимостью или ограничением в развертывании определенных служб и приложений.

Отключение Credential Guard:

Для отключения Credential Guard на Windows 10 Pro SL выполните следующие шаги:

1. Откройте окно CMD с правами администратора.
2. Введите команду reg add HKLMSYSTEMCurrentControlSetControlLsa /v LsaCfgFlags /t REG_DWORD /d 0 /f и нажмите Enter.
3. Перезагрузите компьютер, чтобы изменения вступили в силу.

Отключение Device Guard:

Для отключения Device Guard на Windows 10 Pro SL выполните следующие шаги:

1. Откройте Групповую политику управления на компьютере. Чтобы это сделать, нажмите клавиши Windows + R, введите «gpedit.msc» и нажмите Enter.
2. Перейдите к разделу «Конфигурация компьютера» > «Административные шаблоны» > «Система» > «Отключение политики Device Guard».
3. В окне «Отключение политики Device Guard» выберите «Включено», а затем щелкните «Применить» и «ОК».
4. Перезагрузите компьютер, чтобы изменения вступили в силу.

После отключения Credential Guard или Device Guard убедитесь, что политики безопасности вашей системы соответствуют потребностям вашего устройства и строгим требованиям безопасности. Также следует помнить, что они могут оказывать влияние на другие службы и функции операционной системы.

Преимущества использования Device Guard

Вступление

Device Guard — это новая функция в операционной системе Windows, которая обеспечивает уровень безопасности выше, чем в предыдущих версиях. С помощью Device Guard вы можете создавать и управлять списком доверенных приложений на вашем компьютере, что помогает предотвратить установку и запуск нежелательного или вредоносного программного обеспечения.

Принцип работы

Основанный на технологии виртуализации, Device Guard позволяет вам запускать только те приложения, которые прошли проверку на цифровую подпись и находятся в списке доверенных. Это делает вашу операционную систему более защищенной от вредоносного программного обеспечения и хакеров.

Приемущества использования Device Guard

1. Элементы эффективного управления доступом: Device Guard предоставляет вам более точный контроль над запуском приложений на вашем компьютере. Вы можете создавать и настраивать списки разрешенных приложений через Group Policy или PowerShell.

2. Усиленная защита от хакеров: Device Guard позволяет блокировать запуск нежелательного программного обеспечения и защищает ваш компьютер от вредоносного кода, который может нанести вред вашим данным и программам.

Развертывание и использование

С помощью Device Guard, вы можете включить его на своем компьютере. Для этого вам придется следовать определенной последовательности действий. Началом будет создание политики группы с функцией Device Guard, перед тем как включить его на вашем компьютере.

Для развертывания Device Guard, выполните следующие действия:

Шаг 1: Войдите в политику группы на вашем клиенте, USB открыть файлы в папке «windir\ccm\logs\DeviceGuardHandler.log» для чтения настроек Device Guard, которые применены в вашей организации.

Шаг 2: Зайдите в командную строку и с помощью команды «hypervisorlaunchtype», узнайте, включен ли Hyper-V на вашем компьютере. Включение Hyper-V требуется для работы в режиме Code Integrity.

Шаг 3: Перед созданием и использованием Device Guard, убедитесь, что ваше ПО настроено для использования разделенного ядра или чтобы все приложения, которые вы хотите запустить, находятся в модуле User Mode.

Шаг 4: Создайте политику группы, в которой будет задана конфигурация Device Guard, включая список разрешенных приложений.

Шаг 5: Разверните настройки Device Guard через развертывание политики группы или развертывание инструкций.

После развертывания Device Guard, вы сможете настроить список разрешенных приложений, которые будут запускаться на вашем компьютере, а остальные будут заблокированы. Это позволяет повысить безопасность и защитить ваши данные и систему от вредоносного кода и хакеров.

Недостатки использования Device Guard

Хотя Device Guard обеспечивает надежную защиту устройства, возможны некоторые недостатки при его использовании.

Ограничения со стороны операционной системы

Device Guard можно запускать только на рабочих станциях Windows 10 Pro или Enterprise, на которых ранее были развернуты определенные политики управления на уровне клиента. Если компьютер находится в домене, для развертывания и управления политиками необходимо использовать инструменты Active Directory Group Policy или System Center Configuration Manager. Также следует отметить, что Device Guard не поддерживается на виртуальных системах.

Требования к созданию политики

Настройка политик Device Guard может быть сложной задачей для обычного пользователя. Чтобы настроить политики, необходимо вручную создать подходящий файл политики и поместить его в папку на компьютере. Путь к папке для развертывания политики должен быть указан в групповой политике или с помощью инструмента командной строки DG_Policy.cmd. Кроме того, развертывание политики может потребовать знания командных файлов и установщика пакетов для создания подписанного и переименованного файла политики.

Ограничения приложений от сторонних разработчиков

Использование Device Guard ограничивает выполнение приложений от сторонних разработчиков, так как требует наличия подписи установщика и подписанного исполняемого файла. Это может снизить удобство использования операционной системы и ограничить выбор приложений, которые можно запускать.

Ограничения управления системами, которые используют функцию мониторинга целостности приложений (AppLocker)

Если на компьютере включен и настроен AppLocker для управления выполнением приложений, политика Device Guard может вступить в конфликт с политикой AppLocker. В этом случае можно использовать конфигурационный файл политики Device Guard, чтобы разрешить выполнение приложений, которые запрещены политикой AppLocker. Однако, использование обоих политик может привести к сложностям в управлении приложениями и повысить риск возникновения ошибок или конфликтов в политиках.

Недостатки использования Device Guard
Ограничения со стороны операционной системы
Требования к созданию политики
Ограничения приложений от сторонних разработчиков
Ограничения управления системами, которые используют функцию мониторинга целостности приложений (AppLocker)

Решение проблем при включении Device Guard

При включении функции Device Guard на системах Windows могут возникать некоторые проблемы. В этом разделе описаны наиболее распространенные проблемы и их решения.

1. Ошибки при установке или использовании Device Guard

Если вы получаете ошибки при попытке установить или использовать Device Guard, убедитесь, что ваша операционная система Windows 10 обладает следующими требованиями:

• Windows 10 Pro, Enterprise или Education редакция;
• Процессор с поддержкой виртуализации и включенной функцией SLAT (второе уровень адресации таблиц страниц);
• DisableSecureBootPolicy политика устанавливается на «Разрешить» или «Не настроено».

2. HypervisorLaunchType не настроена или несовместима

Device Guard использует гипервизор для запуска защищенных приложений. Если у вас не установлено или неправильно настроено значение HypervisorLaunchType, Device Guard может не работать правильно. Чтобы исправить эту проблему, выполните следующие действия:

1. Откройте командную строку от имени администратора;
2. Введите команду «bcdedit /set hypervisorlaunchtype auto» и нажмите Enter;
3. Перезагрузите компьютер и проверьте работу Device Guard.

3. Ограничение запуска приложений не работает

Если ограничение запуска приложений не работает при включении Device Guard, убедитесь, что следующие политики управления установлены:

• Virtualization-Based Security (VBS) — настроена на «Включить»;
• Windows Defender Application Control (WDAC) — настроена на «Включить»;
• Secure Boot — установлена политика совместимости на «Включить»;
• Trusted Platform Module (TPM) — включен и поддерживается вашей системой.

4. Проблемы с запуском виртуальных клиентов

Если у вас возникли проблемы с запуском виртуальных клиентов, выполните следующие действия:

• Убедитесь, что ваша операционная система и используемая виртуализация поддерживают запуск защищенных виртуальных клиентов;
• Проверьте, правильно ли настроены политики управления и обеспечивают запуск защищенных виртуальных клиентов;
• Обновите графические драйверы и вручную запустите виртуальные клиенты с помощью доступной функции автоустановщика.

Если при включении Device Guard на Windows возникают трудности или проблемы, следуйте указанным решениям. При правильной настройке и использовании Device Guard вы сможете повысить уровень защиты вашей системы и приложений.

Видео:

Не отображается Защита от вирусов и угроз в Защитнике Windows 10. Исправление.

Не отображается Защита от вирусов и угроз в Защитнике Windows 10. Исправление. by 54321nyck 49,935 views 2 years ago 1 minute, 10 seconds