ことの発端は、7月11日を境に、VirtualBOXのゲストOSが起動しなかったことから始まります。
ちょうど、それと同時期に、Intelのイーサネットドライバも変えたので、
最初はドライバの不具合と思ったのですね。
ところが、VMWareも起動しなくなり、これはおかしい。と。
VirtualBOXは、終了することもできず、完全に暴走状態に。
VMWareにはエラー表示が出ていたので、これを手掛かりに対策を開始しましたよ。
まずは、こちらから。
https://kb.vmware.com/s/article/2146361
ここに書いてあるのは、マイクロソフトのホームページ:
Manage Windows Defender Credential Guard
https://docs.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-manage
を読んで理解してください。
そのうえでを試してみてください。
ということなのですが、結論から言うと、結局、全部行わないと駄目なようです。
初めのほうには、グループポリシーとWindowsの機能だけでよさそうに書いてありますが、
結局、レジストリまでいじって初めて解決となりました。
以下、抜粋です。だれか、ツールを作ってくれないかなぁ。
Windows Defender Credential Guardを無効にする
Windows Defender Credential Guardを無効にするには、次の一連の手順、またはDevice GuardとCredential Guardのハードウェア準備ツールを使用できます 。 UEFIロックを使用して認証情報ガードを有効にした場合は、設定がEFI(ファームウェア)変数に保持されるので、次の手順を使用する必要があります。 UEFIロックなしで資格情報保護が有効になっていた場合は、グループポリシーを使用して無効にできます。
グループポリシーを使用した場合は、Windows Defender Credential Guardを有効にするために使用したグループポリシー設定を無効にします( [コンピュータの構成] - > [ 管理用テンプレート] - > [ システム] - > [ デバイスガード] - > [仮想化ベースセキュリティを有効にする] )。
グループポリシーの処理を強制するために、管理者権限のコマンドプロンプトで、
gpupdate /force
を実行します
次のレジストリ設定を削除します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
仮想化ベースのセキュリティも無効にしたい場合は、次のレジストリ設定を削除します。
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
重要
これらのレジストリ設定を手動で削除する場合は、必ずすべて削除してください。 それらすべてを削除しないと、デバイスはBitLockerの回復に入る可能性があります。
bcdeditを使用して、Windows Defender Credential Guard EFI変数を削除します。 昇格したコマンドプロンプトで、次のコマンドを入力します。
mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d
PCを再起動してください。
Windows Defender Credential Guardを無効にするためのプロンプトを受け入れます。
または、仮想化ベースのセキュリティ機能を無効にして、Windows Defender Credential Guardを無効にすることもできます。
注意
PCは、EFSで暗号化されたファイルなどのコンテンツを復号化するために、ドメインコントローラに1回アクセスできる必要があります。 Windows Defender Credential Guardと仮想化ベースのセキュリティの両方を無効にする場合は、仮想化ベースのセキュリティグループポリシーとレジストリ設定をすべて無効にした後で、次のbcdeditコマンドを実行します。
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off
注意
Azure IaaS VMを使用している場合、資格情報保護とデバイス保護は現在サポートされていません。 これらのオプションは、将来の第2世代仮想マシンで利用可能になる予定です。
仮想化ベースのセキュリティとWindows Defender Device Guardの詳細については、「 Windows Defender Device Guard展開ガイド 」を参照してください。
#### Windows Defender Device GuardおよびWindows Defender Credential Guardハードウェアレディネスツールを使用してWindows Defender Credential Guardを無効にする
Windows Defender Device GuardおよびWindows Defender Credential Guardハードウェアレディネスツールを使用して、Windows Defender Credential Guardを無効にすることもできます 。
DG_Readiness_Tool_v3.6.ps1 -Disable -AutoReboot
重要
英語以外のオペレーティングシステムでWindows Defender Device GuardおよびWindows Defender Credential Guardハードウェア準備ツールを実行する場合は、スクリプト内で*$OSArch = $(gwmi win32_operatingsystem).OSArchitectureを$OSAch = $((gwmi win32_operatingsystem).OSArchitecture).tolower()ツールを動作させるために、代わりに$OSAch = $((gwmi win32_operatingsystem).OSArchitecture).tolower()を使用してください。 これは既知の問題です。
ちょうど、それと同時期に、Intelのイーサネットドライバも変えたので、
最初はドライバの不具合と思ったのですね。
ところが、VMWareも起動しなくなり、これはおかしい。と。
VirtualBOXは、終了することもできず、完全に暴走状態に。
VMWareにはエラー表示が出ていたので、これを手掛かりに対策を開始しましたよ。
まずは、こちらから。
https://kb.vmware.com/s/article/2146361
ここに書いてあるのは、マイクロソフトのホームページ:
Manage Windows Defender Credential Guard
https://docs.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-manage
を読んで理解してください。
そのうえでを試してみてください。
ということなのですが、結論から言うと、結局、全部行わないと駄目なようです。
初めのほうには、グループポリシーとWindowsの機能だけでよさそうに書いてありますが、
結局、レジストリまでいじって初めて解決となりました。
以下、抜粋です。だれか、ツールを作ってくれないかなぁ。
Windows Defender Credential Guardを無効にする
Windows Defender Credential Guardを無効にするには、次の一連の手順、またはDevice GuardとCredential Guardのハードウェア準備ツールを使用できます 。 UEFIロックを使用して認証情報ガードを有効にした場合は、設定がEFI(ファームウェア)変数に保持されるので、次の手順を使用する必要があります。 UEFIロックなしで資格情報保護が有効になっていた場合は、グループポリシーを使用して無効にできます。
グループポリシーを使用した場合は、Windows Defender Credential Guardを有効にするために使用したグループポリシー設定を無効にします( [コンピュータの構成] - > [ 管理用テンプレート] - > [ システム] - > [ デバイスガード] - > [仮想化ベースセキュリティを有効にする] )。
グループポリシーの処理を強制するために、管理者権限のコマンドプロンプトで、
gpupdate /force
を実行します
次のレジストリ設定を削除します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
仮想化ベースのセキュリティも無効にしたい場合は、次のレジストリ設定を削除します。
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
重要
これらのレジストリ設定を手動で削除する場合は、必ずすべて削除してください。 それらすべてを削除しないと、デバイスはBitLockerの回復に入る可能性があります。
bcdeditを使用して、Windows Defender Credential Guard EFI変数を削除します。 昇格したコマンドプロンプトで、次のコマンドを入力します。
mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d
PCを再起動してください。
Windows Defender Credential Guardを無効にするためのプロンプトを受け入れます。
または、仮想化ベースのセキュリティ機能を無効にして、Windows Defender Credential Guardを無効にすることもできます。
注意
PCは、EFSで暗号化されたファイルなどのコンテンツを復号化するために、ドメインコントローラに1回アクセスできる必要があります。 Windows Defender Credential Guardと仮想化ベースのセキュリティの両方を無効にする場合は、仮想化ベースのセキュリティグループポリシーとレジストリ設定をすべて無効にした後で、次のbcdeditコマンドを実行します。
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off
注意
Azure IaaS VMを使用している場合、資格情報保護とデバイス保護は現在サポートされていません。 これらのオプションは、将来の第2世代仮想マシンで利用可能になる予定です。
仮想化ベースのセキュリティとWindows Defender Device Guardの詳細については、「 Windows Defender Device Guard展開ガイド 」を参照してください。
#### Windows Defender Device GuardおよびWindows Defender Credential Guardハードウェアレディネスツールを使用してWindows Defender Credential Guardを無効にする
Windows Defender Device GuardおよびWindows Defender Credential Guardハードウェアレディネスツールを使用して、Windows Defender Credential Guardを無効にすることもできます 。
DG_Readiness_Tool_v3.6.ps1 -Disable -AutoReboot
重要
英語以外のオペレーティングシステムでWindows Defender Device GuardおよびWindows Defender Credential Guardハードウェア準備ツールを実行する場合は、スクリプト内で*$OSArch = $(gwmi win32_operatingsystem).OSArchitectureを$OSAch = $((gwmi win32_operatingsystem).OSArchitecture).tolower()ツールを動作させるために、代わりに$OSAch = $((gwmi win32_operatingsystem).OSArchitecture).tolower()を使用してください。 これは既知の問題です。