Guarded host windows 10 что это

Где находится процесс Compressed Memory в Windows 10 Anniversary Edition?

В Windows 10 реализован процесс сжатия страниц данных вместо их записи в файл подкачки, Memory Compression. Изначально эта память была просто частью процесса System, что вызывало вопрос, почему System использует так много памяти. В сборке 1511 процесс System был переименован, чтобы отразить тот факт, что он также содержит память, которая используется для хранилища сжатых страниц (System и память для сжатых данных), однако эта ситуация изменилась в версии Anniversary (сборка 1607). Сейчас существует отдельный процесс Memory Compression, но он скрыт в менеджере задач Task Manager. Для просмотра процесса нужно использовать другой инструмент, команду Get-Process в PowerShell:

PS C:WINDOWSsystem32> Get-Process
   -Name "Memory Compression"

Количество памяти, которая используется для сжатия, также показано как величина Compressed на вкладке Memory в разделе Performance в Task Manager. Если вы проведете курсором по области распределения памяти в менеджере задач, то увидите количество памяти, которое удалось сэкономить посредством сжатия (см. экран 1). В моей системе установлен большой объем памяти, поэтому у меня незначительный объем сжатой памяти.

Экран 1. Просмотр объема сжатой памяти

Каким образом мультиплексор SDNv2 MUX оптимизирует внутренний трафик East-West при балансировке нагрузки?

В решение сетевой виртуализации Software Defined Network v2 Windows Server 2016 (SDNv) включен новый компонент — мультиплексор балансировки нагрузки Software Load Balancer MUX, который работает как точка входа для запросов. Далее данные направляются на виртуальный коммутатор VMSwitch на хосте Hyper-V, где располагается адрес VM DIP, цель запроса. Когда балансировщик нагрузки является внутренним, это означает, что трафик идет горизонтально, «с востока на запад» (то есть оставаясь внутри центра обработки данных, в противоположность вертикальному трафику, «север-юг», который идет наружу или извне центра обработки данных), и выполняется дополнительная оптимизация. Для трафика «восток-запад», как только начальный пакет пересылается через MUX (который имеет VIP-адрес балансировщика нагрузки), MUX отсылает на VMSwitch, который является хостом исходной виртуальной машины, инструкцию перенаправления. Таким образом, все последующие пакеты, направленные по целевому адресу, теперь будут обходить MUX и отсылаться на коммутатор VMSwitch хоста Hyper-V, содержащего VM DIP.

Что такое NTOWF?

NTOWF расшифровывается как NT One Way Function и является функцией, которая используется для создания хеш-значения паролей пользователей при применении протокола NTLM. Когда говорят о NTOWF, имеют в виду хеш пароля пользователя.

Как мне использовать параметр SET в SCVMM 2016?

Чтобы задействовать параметр SET вместо обычной LBFO при создании группы из адаптеров, просто укажите тип группы «Встроенная» (Embedded), при настройке режима входящего соединения Uplink при создании логического коммутатора Logical Switch (см. экран 2).

Экран 2. Выбор встроенной группы адаптеров

Можно ли установить SCVMM 2016 на Windows Server 2012 R2?

Нет. Диспетчер SCVMM 2016 требует наличия версии Windows Server 2016. Его можно установить в режиме развертывания Server with Desktop или Server Core, но не Nano Server. SCVMM может использовать Nano Server как сервер библиотеки и как хост экземпляров виртуальных машин.

Почему в режиме Server with Desktop Experience в Windows Server 2016 отсутствует браузер Edge?

Существует три режима развертывания Windows Server 2016:

• Nano Server;
• Server Core;
• Server with Desktop Experience.

Nano Server работает с вариантом обслуживания CBB (Current Branch for Business), с появляющимися пару раз в год новыми сборками, тогда как Server Core и Server with Desktop Experience используют вариант обслуживания LTSB (Long Term Servicing Branch), который является более традиционной моделью обновления (в течение первых пяти лет при помощи новых версий и дополнительный период поддержки пять лет).

Что касается корпоративной редакции Windows 10 Enterprise, то в LTSB браузер Edge вместе с магазином приложений Windows Store и универсальными приложениями удалены, поскольку все они часто обновляются по Интернету, а это противоречит самой идее обслуживания в варианте LTSB. Поскольку Server with Desktop Experience обслуживается по варианту LTSB, он следует тем же правилам и также не имеет в своем составе Edge, Windows Store и т. д.

Является ли BASH частью Windows Server 2016?

В версии Windows 10 Anniversary Update реализована поддержка BASH, что стимулирует разработчиков приложений создавать, переносить и тестировать код Linux напрямую на Windows. Однако создание таких приложений не нацелено на их развертывание в производственных условиях, оно предназначено только для написания кода. Таким образом, на сегодня BASH не является частью Windows Server 2016.

Как мне получить конкретный IP-адрес на моей системе при помощи кода PowerShell?

Если у вас несколько IP-адресов в машине, то, зная часть IP-адреса, например подсеть, вы можете получить подробную информацию об IP с помощью следующего кода:

Get-NetIPAddress | where {$_.IPAddress -like "10.7*"}
   | ft IPAddress, InterfaceAlias, InterfaceIndex -AutoSize

Применимы ли максимальные новые размеры виртуальных машин поколения Generation 2 в Windows Server 2016 к виртуальным машинам поколения Generation 1?

Нет. Новые пределы виртуальных процессоров в 240 vCPU и 12 Тбайт памяти применимы только к виртуальным машинам Generation 2. Ограничения на максимальное количество в 64 vCPU и 1 Тбайт оперативной памяти, которые предусмотрены в версии 2012 R2, все еще применимы к виртуальным машинам Generation 1 в Windows Server 2016 Hyper-V.

Могу ли я обновить пробную версию Windows Server 2016 до официальной версии RTM?

Да. Если вы работаете в режиме установки сервера с возможностями рабочего стола Server with Desktop Experience, то Windows Server 2016 можно обновить с пробной версии до RTM при помощи ключа. Но это невозможно, если вы работаете в режиме установки Server Core или Nano Server. Процесс подробно описан в статье по адресу: https://technet.microsoft.com/en-us/windows-server-docs/get-started/supported-upgrade-paths? f=255&MSPPError=-2147217396.

Я сохранил ключи восстановления OneDrive BitLocker для OneDrive, но как мне их получить?

Недавно у меня был такой случай, и я обратился к OneDrive, но не смог найти действующие ключи. Как выяснилось, нужно было пройти на веб-страницу, где показаны все ключи. Она доступна по этому адресу: https://onedrive.live.com/RecoveryKey.

Я настроил в системе использование защиты учетных данных в удаленном режиме Prefer Remote Credential Guard, но теперь она не соединяется с удаленными системами. Почему не происходит возврата к обычной аутентификации?

Групповая политика Computer Configuration — Administrative Templates — System — Credentials Delega­tion — Restrict delegation of credentials to remote servers действует не совсем так, как вы себе это представляете. Одной из настроек является Prefer Remote Credential Guard, которую многие воспринимают как «попробуйте защиту Remote Credential Guard, и если у вас не получается, то используйте обычную аутентификацию», но данная политика на самом деле означает другое. Настройка Prefer Remote Credential Guard в действительности означает выбор Remote Credential Guard, а не администратора с ограниченными правами Restricted Admin. И если ни один из вариантов не невозможен, то соединение попросту даст сбой.

Restricted Admin подсоединял пользователя к удаленному серверу, не отсылая его учетные данные на удаленный хост, а все последующие соединения с удаленными службами из удаленной сессии выполнялись как с объектом «компьютер» сервера, что вызывает проблемы, если объект «компьютер» не имел разрешений на использование этих удаленных ресурсов.

Может ли служба KMS сервера Windows Server 2012 R2 активировать хосты Windows Server 2016?

Будет выпущено обновление для Windows Server 2012 R2, которое даст ему возможность активировать хосты версии 2016, но вам потребуются обновленные ключи для версии 2016.

Как мне экспортировать избранное из Edge?

Edge сохраняет избранное содержимое в хранилище Extensible Storage Engine (ESE, которое расположено в папке %localappdata%PackagesMicrosoft.MicrosoftEdge_8wekyb3d8bbweACMicrosoftEdgeUserDefaultDataStoreDatanouser1120712-0049DBStorespartan.edb. В Edge нет встроенной функции экспорта. Но в материале по адресу: http://www.emmet-gray.com/Articles/EdgeManage.html вы можете найти инструмент, который экспортирует содержимое базы данных в файл формата HTML. Его вы можете впоследствии импортировать в любой браузер. Этот файл позволит вам структурировать избранное содержимое и другие типы действий с вашим избранным содержимым. Чтобы использовать этот инструмент, необходимо закрыть Edge.

Как мне заставить удаленные сессии использовать масштабирование с RDCMan на мониторах HDI?

RDCMan представляет собой великолепную утилиту для управления и подключения к нескольким удаленным экземплярам. Однако, когда используется монитор HDI, например типа 4 К, масштабирование не происходит, поэтому текст и значки в удаленной сессии очень маленькие. Решение этой проблемы очень простое:

1. Откройте папку, где находится RDCMan.exe, то есть C:Program Files (x86)MicrosoftRemote Desktop Connection Manager.
2. Щелкнув правой кнопкой мыши по RDCMan.exe, откройте контекстное меню и выберите Properties.
3. Выберите вкладку Compatibility.
4. Уберите флажок у параметра Disable display scaling on high DPI settings (см. экран 3).
5. Нажмите ОК.

Экран 3. Включение масштабирования

Когда я использую Remote Credential Guard, может ли клиент RDP быть в другом домене, а не в том, где находится сервер?

Да. Единственным требованием является наличие доверительных отношений между доменами.

У меня несколько мониторов, которые соединены через DisplayPort. После того как они побывают в режиме энергосбережения, все окна оказываются переставленными. Что делать?

Недавно я установил новую систему с графической картой и несколькими мониторами 4К. После того как мои мониторы перешли в режим энергосбережения, спустя некоторое время все окна, которые у меня были открыты, были переставлены и появились на случайных местах. Я испробовал много решений и немало времени потратил на решение этой проблемы. И вот какой план в результате сработал:

• откройте редактор реестра;
• перейдите в раздел HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlGraphicsDriversConfiguration;
• удалите все подразделы;
• перезагрузите компьютер.

После перезагрузки все работает, но, если вы поменяли места мониторов или изменили главный дисплей, вам придется повторить настройки. Также, если выполняется обновление основного графического драйвера, вам придется заново выполнить эти шаги. Хоть это и не идеальный вариант, но какое-никакое решение, которое, как я выяснил, работает.

Какой тип идентификационных данных можно защитить при помощи Remote Credential Guard?

В версии RTM защита учетных данных удаленного режима Remote Credential Guard может обезопасить следующие типы учетных данных:

• пользовательские пароли (так как они никогда не отсылаются на удаленную систему, однако никакие учетные данные, которые вводятся при работе в удаленной сессии, не будут защищены);
• NTOWF из NTLM;
• билеты длительного действия и билеты сессии TGT от Kerberos (но билеты сессии Kerberos Service Ticket не защищены).

Этот тип защиты похож на систему защиты, которую предлагает Credential Guard на локальном компьютере, исключая тот факт, что Credential Guard защищает и хранящиеся учетные данные домена за счет использования Credential Manager.

Могу ли я использовать контейнеры на Windows 10, и если да, то какой именно тип?

Версия Windows 10 Anniversary и более новые версии поддерживают контейнеры и дают разработчикам возможность строить и тестировать приложения внутри контейнера, который будет использоваться в рабочей среде. Контейнеры на самом деле интегрируются с Visual Studio, предоставляя простой опыт проектирования и тестирования. Единственными типами контейнера, поддерживаемыми Windows 10, являются контейнеры Hyper-V Containers (которые используют автоматическую управляемую виртуальную машину для размещения экземпляра контейнера, запущенного на экземпляре Nano Server), а не контейнеры Windows Containers. Это не означает, что вы должны использовать Hyper-V Containers в рабочей среде, поскольку рабочей средой для ваших контейнеров будет хост Windows Server 2016. Но у вас есть выбор, использовать Windows Containers или Hyper-V Containers в зависимости от требуемого уровня локализации ошибок. Windows Containers предусматривает локализацию на уровне пользовательского режима User Mode, а Hyper-V Containers — локализацию на уровне режима ядра.

Как мне создать виртуальные машины, которые могут воспользоваться лицензией Hybrid Use Benefit?

Лицензии типа Hybrid Use Benefit (HUB) доступны для использования теми, у кого есть корпоративные соглашения, Enterprise Agreements, и подписка Software Assurance. Эти лицензии позволяют задействовать расположенные в локальной сети Windows Server со службами Azure. Результатом являются одинаковые затраты на виртуальные машины Windows — они такие же, как и на виртуальные машины Linux (поскольку отсутствует плата за лицензию Windows Server).

Чтобы активировать лицензирование HUB при создании новых виртуальных машин, нужно задать тип лицензирования при помощи PowerShell (-LicenseType Windows_Server) или шаблонов JSON («licenseType»: «Windows_Server» как часть свойств). Этот процесс описан в документе по адресу: https://azure.microsoft.com/en-us/documentation/articles/virtual-machines-windows-hybrid-use-benefit-licensing/.

Если у вас имеются виртуальные машины в Azure, то на сегодня не существует способа конвертировать их с лицензированием HUB через коммутатор, однако это, возможно, будет доступно со временем. На данный момент единственным способом достичь этого является удаление виртуальной машины при сохранении ее хранилища данных, а затем создание новой виртуальной машины с нужными параметрами, с использованием хранилища данных от предыдущей машины.

Использует ли Windows Server 2016 сжатую память?

Нет. Технология «сжатой памяти», или Compressed Memory, существует в Windows Server 2016, поскольку он имеет общее ядро кода с Windows 10, которая включает в себя функцию Compressed Memory. Но эта функция в Windows Server 2016 блокирована.

Существует ли хороший бесплатный инструмент для редактирования шаблонов Azure JSON?

Если вы используете приложение «Блокнот», то самый лучший вариант — это использование приложения VS Code, которое Microsoft предоставляет бесплатно. Кроме того, оно имеет расширения для менеджера ресурсов Azure Resource Manager и фрагменты кода JSON, которые вы можете использовать при просмотре и редактировании JSON.

1. Загрузите VS Code по адресу: https://code.visualstudio.com.
2. После установки выберите значок Extensions (значок квадрата), установите модуль, а затем активируйте расширение инструментов менеджера ресурсов Azure Resource Manager Tools.
3. Добавьте фрагменты кода JSON с сайта https://github.com/Azure/azure-xplat-arm-tooling/blob/master/VSCode/armsnippets.json в VS Code через меню File — Preferences — User Snippets — JSON. Перед закрывающей скобкой «}» просто вставьте все содержимое.

Эти шаги подробно описаны в статье по адресу: https://azure.microsoft.com/en-us/documentation/articles/resource-manager-vs-code/. Изучив эту информацию, вы получите отличный опыт работы с просмотром и редактированием кода JSON. Если вы хотите создать файл JSON с нуля, то при работе с VS Code это будет трудно сделать. Программа Visual Studio с подключением Azure API имеет больше хороших мастеров настройки и процессов для создания нового шаблона, однако в большинстве случаев лучше начать с одного из опубликованных шаблонов JSON, которые доступны по адресу: https://github.com/Azure/azure-quickstart-templates. Кроме того, вы можете выгрузить код JSON для существующей Resource Group, как это описано в статье по адресу: http://windowsitpro.com/azure/create-json-file-existing-resource-group-azure.

Как мне удалить информацию о том, что файл был загружен из Интернета?

Существует два способа. Первый: в приложении «Проводник» щелкните правой кнопкой мыши на файле, выберите пункт «Свойства» и на вкладке общих свойств General нажмите кнопку разблокировки Unblock в разделе Security.

Второй способ: загрузите утилиту Streams по адресу: https://technet.microsoft.com/en-us/sysinternals/streams.aspx и используйте команду Streams -s -d для удаления.

Каким образом Windows узнает, что файл загружен из Интернета?

Существует много компонентов Windows, которые негативно реагируют на файлы, загруженные из Интернета. Способ, посредством которого Windows узнает об этом, связан с наличием у файлов альтернативного потока данных, alternate data stream (ADS), которые содержат идентификатор Zone.Identifier. Этот идентификатор сигнализирует о том, что файл загружен из Интернета. Чтобы просмотреть ADS, используйте переключатель/r вместе с командой просмотра каталога dir. Например:

C:Temp>dir /r MSLogoHistory.png
                               Volume in drive C is Windows
                              Volume Serial Number is CA5B-5BBB
                             
                               Directory of C:Temp
                             
                            10/13/2016  10:09 AM  25,312 MSLogoHistory.png
                                     26 MSLogoHistory.png:Zone.Identifier:$DATA

Вы даже можете просмотреть содержимое идентификатора, используя такую строку:

notepad MSLogoHistory.png: Zone.Identifier

У меня есть соединение ExpressRoute с полосой 10 Гбит/с, но я могу получить только 2 Гбит/с на виртуальную сеть даже при использовании шлюза высокой производительности High Performance Gateway. Как мне получить увеличенную полосу пропускания?

В октябре 2016 года Microsoft выпустила новый вариант шлюза, который называется шлюз Ultra. Он дает возможность создавать соединение до 10 Гбит/с на одну виртуальную сеть.

Я использую Azure Site Recovery. Как мне задать параметры виртуальных машин, созданных посредством ASR, чтобы использовать гибридное развертывание Hybrid Use Benefit при лицензировании?

Чтобы использовать лицензирование Hybrid Use Benefit (HUB) для виртуальных машин, требуется особый коммутатор. Чтобы задать параметры для виртуальных машин, созданных при помощи Azure Site Recovery, вам нужно использовать такой код:

Set-AzureRmSiteRecoveryReplicationProtectedItem
   -ReplicationProtectedItem $ProtectedItem
   -LicenseType WindowsServer

Другие полезные коды PowerShell, которые связаны с приведенным выше, таковы:

• Найти хранилище сайта восстановления Azure — Get-AzureRmRecoveryServicesVault/Get-AzureRmSiteRecoveryVault.
• Настроить хранилище контекста — Set-AzureRmSiteRecoveryVaultSettings -ASRVault/-ARSVault.
• Получить список инфраструктур в хранилище — Get-AzureRmSiteRecoveryFabric.
• Получить список защищенных контейнеров Protection Containers для инфраструктуры — Get- AzureRmSiteRecoveryProtectionContainer -Fabric $FabricObject.
• Получить список защищенных машин в защищенном контейнере — Get-AzureRmSiteRecoveryReplicationProtectedItem -ProtectionContainer $ProtectionContainerObject.

Как проверить, существует ли организационное подразделение Organization Unit в каталоге Active Directory, используя PowerShell?

Самый простой способ проверить, существует ли организационное подразделение, это воспользоваться интерфейсом ADSI и LDAP. Создайте переменную $path, которая представляет полностью определенное имя OU, а затем проверьте, существует ли оно, используя такой код:

[string] $Path = "OU=Labs,OU=NA,DC=savilltech,DC=net"
                              if(![adsi]::Exists("LDAP://$Path"))
                              {
                              }

В данном примере будет выполнен следующий за оператором IF код, если OU не существует.

Существует ли простой способ запустить команду на каждом узле кластера?

PowerShell делает процесс выполнения команд на удаленных системах очень простым, а само управление в дистанционном режиме активируется по умолчанию в версии Windows Server 2012 и последующих. Для запуска команды PowerShell на каждом узле кластера используйте представленный ниже код (заменив имя кластера и ту команду PowerShell, которую вы хотите запустить: показанная в примере команда открывает порт Hyper-V Replica):

$clusname = "savdalhv16clus"
             $servers = Get-ClusterNode -Cluster $clusname
             foreach ($server in $servers)
             {
                 Invoke-Command -ComputerName $server.Name -ScriptBlock `
                 {Enable-Netfirewallrule -DisplayName `
                 "Hyper-V Replica HTTP Listener (TCP-In)"}
             }

Как мне управлять Windows 10, используя групповую политику Group Policy или систему управления мобильными устройствами Mobile Device Management («мобильное устройство управления»)?

Выпустив Windows 10, компания Microsoft стандартизировала операционную систему на всех платформах, включая настольные компьютеры, телефоны, устройства HoloLens, Surface Hub, встраиваемые устройства класса IoT и даже Xbox. В рамках этой стратегии решение для управления мобильными устройствами (MDM) является частью платформы Windows 10. Это означает, что оно может быть использовано в Windows 10 в таких версиях, как Pro и Enterprise.

Windows 10 теперь стандартизирует управление с помощью диспетчера настройки Common Device Configurator, применяемого всеми платформами управления, которые впоследствии используют провайдеров MDM Configuration Service Providers (CSP), для того чтобы определить сделанные настройки. Посредник WMI Bridge дает возможность инструментам типа диспетчера настроек Configuration Manager использовать данные от MDM CSP.

При выборе между групповой политикой и стандартным решением управления типа System Center Configuration Manager (SCCM) или решением типа Mobile Device Management, наподобие Intune, следует учесть, какую службу каталогов вы используете, AD или Azure AD.

Если системы присоединены к AD, то вам нужно задействовать групповую политику Group Policy и инструменты типа SCCM.

Если системы присоединены к Azure AD или применяются учетные данные Azure AD для регистрации, то вам нужно использовать решения типа MDM.

Я пытаюсь обновить компьютер с Server Core до версии Windows Server 2016, но окно настройки в какой-то момент становится пустым, и я не могу продолжать. Что делать?

Если вы видите то, что показано на экране 4, во время процесса обновления до Windows Server 2016 Server Core, то вы не сможете продолжать процесс обновления. Для устранения этой ошибки нужно перезапустить процесс установки (а не продолжать его с момента последней попытки), но при вызове setup.exe добавить переключатель «/compat ignorewarning», например:

setup.exe/compat ignorewarning

Экран 4. Пустое окно диалога настройки

Это избавит вас от появления пустого экрана во время процесса

Я пытаюсь выполнить аттестацию в Host Guardian Server, но у меня ничего не получается, потому что проверка целостности кода гипервизора не активирована. Что предпринять?

Вы можете выполнить тестирование своего хоста Hyper-V на готовность к аттестации, чтобы использовать защищенные виртуальные машины, применив следующие команды:

#Verify on the guarded host
                              Get-HgsTrace -RunDiagnostics
                              #Attempt attestation on the guarded host
                              Get-HgsClientConfiguration

Ниже представлен пример выполнения в безопасной среде (за исключением того, что у меня есть только одна система HGS и вследствие этого нет избыточности):

PS C:> Get-HgsTrace -RunDiagnostics
                              Overall Result: Warning
                              savdalhv07: Warning
                              Best Practices: Warning
                              Resolves Service Hostname to Multiple Addresses:
                              Warning
                              >>> DNS server at 10.7.173.10 cannot resolve
                              "hgs.savtechhgs.net" to multiple IP

                              >>> addresses. The recommended configuration
                              is to have multiple HGS servers
                              >>> available at "hgs.savtechhgs.net"
                              for high availability.
                              >>> DNS server at 10.7.173.11
                              cannot resolve "hgs.savtechhgs.net to multiple IP
                              >>> addresses. The recommended configuration
                              is to have multiple HGS servers
                              >>> available at "hgs.savtechhgs.net"
                              for high availability.

                              Traces have been stored at "C:Users
                              administrator.SAVILLTECHAppData
                              LocalTemp2HgsDiagnostics-
                              20160820-093352".
                              PS C:> Get-HgsClientConfiguration

                              IsHostGuarded : True
                              Mode : HostGuardianService
                              KeyProtectionServerUrl :
                              http://hgs.savtechhgs.net/KeyProtection
                              AttestationServerUrl : http://hgs.savtechhgs.net/
                              Attestation
                              AttestationOperationMode : Tpm
                              AttestationStatus : Passed
                              AttestationSubstatus : NoInformation

Однако, если система выдает ошибки, связанные с проверкой целостности Hyper-V Code Integrity, которая не активирована, убедитесь, что включена функция защиты на базе виртуализации Virtualization Based Security. Просмотреть эту информацию вы можете с помощью команды, показанной ниже, а кроме того, проверьте значение EnableVirtualizationBasedSecurity, которое должно равняться 1:

PS C:> Get-ItemProperty HKLM:SYSTEMCurrentControlSet
ControlDeviceGuard

                              RequireMicrosoftSignedBootChain : 1
                              EnableVirtualizationBasedSecurity : 1
                              Locked : 0
                              RequirePlatformSecurityFeatures : 3
                              PSPath : Microsoft.PowerShell.CoreRegistry::
                              HKEY_LOCAL_MACHINESYSTEM
                              CurrentControlSetControlDeviceGuard
                              PSParentPath : Microsoft.PowerShell.Core
                              Registry::HKEY_LOCAL_MACHINESYSTEM
                              CurrentControlSetControl
                              PSChildName : DeviceGuard
                              PSDrive : HKLM
                              PSProvider : Microsoft.PowerShell.CoreRegistry

Если значение не равно 1, то у вас, возможно, есть локальная политика, которая отключает проверку целостности гипервизора (по умолчанию настройка политики не выполняется и она не нужна, однако если политика настроена на отключение проверки, она вызовет проблемы).

1. Откройте gpedit.msc.
2. Перейдите по маршруту Computer Configuration («Настройка компьютера»), Administrative Templates («Административные шаблоны»), System («Система»), Device Guard («Защита устройства»).
3. Дважды щелкните мышью по Turn on Virtualization Based Security («Включить защиту на базе виртуализации»).
4. Убедитесь, что параметр Virtualization Based Protection of Code Integrity выставлен в значение Enabled without lock (есть еще Credential Guard Configuration, но оно не рекомендуется) (см. экран 5).
5. Нажмите ОК.

Экран 5. Включение защиты целостности

Эти действия должны включить проверку целостности гипервизора.

Система выдает ошибку при аутентификации на Windows Azure Pack на портале абонента и портале управления с номером 500 и более детализированную ошибку JWT10329. Что делать?

Убедитесь, что у вас имеется обновленный сертификат на сервере ADFS. Сертификаты можно просмотреть на портале управления ADFS в разделе Service — Certificates. Если у сертификата истек срок действия, сделайте запрос на получение нового сертификата, используйте действие Set Service Communications Certificate для обновления сертификата, а затем примените PowerShell для обновления. Код PowerShell, представленный в листинге 1, выводит список сертификатов с их содержимым и настраивает сертификат так, чтобы SSL мог его использовать.

Следующий шаг: убедитесь, что параметры настройки ADFS на сервере WAP верны. Измените строку подключения для своего сервера SQL с именем сервера ADFS. Запуск команды, показанной в листинге 2, исправляет ошибки аутентификации WAP по ADFS для моей рабочей среды.

Программа iTunes автоматически запускается в Windows 10, как это прекратить?

Такое происходит, когда в Windows 10 запускается служба Plex. Для устранения этой проблемы выполните следующие шаги:

1. Откройте приложение iTunes.
2. В меню Edit выберите Preferences.
3. Выберите Advanced.
4. Включите режим Share iTunes Library XML with other applications.
5. Нажмите ОК.

Листинг 1. Список сертификатов

PS C:> dir cert:localmachinemy
            Directory: Microsoft.PowerShell.SecurityCertificate::localmachinemy
            Thumbprint Subject
            ---------- -------
            085F0D04CEB4A3CC95232FDCDCB83BE2F16F9199
            CN=savdaladfs01.savilltech.net
            PS C:> Set-AdfsSslCertificate -Thumbprint 085F0D04CEB4A3C
            C95232FDCDCB83BE2F16F9
            199
            PS C:> Get-AdfsSslCertificate
            HostName PortNumber CertificateHash
            -------- ---------- ---------------
            localhost 443 085F0D04CEB4A3CC95232FDCDCB83...
            savdaladfs01.savilltech.net 443 085F0D04CEB4A3CC95232FD
            CDCB83...
            savdaladfs01.savilltech.net 49443 085F0D04CEB4A3CC95232F
            DCDCB83...
            EnterpriseRegistration.savillt... 443 085F0D04CEB4A3CC95232
            FDCDCB83...

Листинг 2. Исправление ошибок WAP

Import-Module -Name MgmtSvcConfig

$ConnectionString = 'Data Source=savdalsql01;Initial Catalog=Microsoft.MgmtSvc.Config;User ID=sa;Password=Pa55word'

Set-MgmtSvcRelyingPartySettings -Target Tenant -MetadataEndpoint "https://savdaladfs01.savilltech.net/FederationMetadata/2007-06/FederationMetadata.xml" -ConnectionString $ConnectionString

Set-MgmtSvcRelyingPartySettings -Target Admin -MetadataEndpoint 'https://savdaladfs01.savilltech.net/FederationMetadata/2007-06/FederationMetadata.xml' -ConnectionString $ConnectionString

Set-MgmtSvcIdentityProviderSettings -Target Membership -MetadataEndpoint 'https://savdaladfs01.savilltech.net/FederationMetadata/2007-06/FederationMetadata.xml' -ConnectionString $ConnectionString #-DisableCertificateValidation

Set-MgmtSvcIdentityProviderSettings -Target Windows -MetadataEndpoint 'https://savdaladfs01.savilltech.net/FederationMetadata/2007-06/FederationMetadata.xml' -ConnectionString $ConnectionString #-DisableCertificateValidation

Прежде всего, авторский пост написан на английском языке  программным менеджером Амитабхом Тамхане, и Райеном Пуффером, программным менеджером по продуктам Windows Server.

«Host Guardian Service” (HGS) новая серверная роль представленная в Windows Server 2016. HGS предоставляет Аттестацию и защиту ключом, которая позволяет Hyper-V запускать ВМ работающих с помощью экранирования ВМ. Хост Hyper-V,  теперь так же известный  как «Охраняемый хост», проходит аттестацию, для подтверждения достоверности своей конфигурации. После получения положительного ответа, Key Protection предоставляет транспортный ключ (Transport Key, TK), необходимый для разблокировки и запуска экранированных ВМ.

Экранированные Вм защищают данные ВМ, а так же их состояние с помощью vTPM устройств, которые позволяют BitLocker шифровать диски ВМ. vTPM устройство шифруется с помощью транспортного ключа. HGS является критичным компонентом безопасности, который защищает транспортный ключ. Кроме того, присутствуют значительные улучшения безопасности некоторых компонентов (включая Hyper-V), которые повышают уровень безопасности экранированных ВМ.

Установка роли HGS

Большую часть настройки нужно выполнить в PowerShell. Что бы установить эту роль, зайдите в Диспетчер сервера и выберите Host Guardin Service.

Для PowerShell:

Install-WindowsFeature HostGuardianServiceRole -IncludeManagementTools

Конфигурация сервера

После установки роли, необходимо настроить сервер для обеспечения его полной функциональности. Вся настройка проходит с помощью PowerShell.

первым шагом станет настройка AD леса. Каждый узел в кластере HGS является DC для этого приватного домена. Нужно убедиться, что сервер HGS не находится в домене перед выполнением команды ниже:

$safepass = ConvertTo-SecureString -String "YouAdminPassword" -AsPlainText -Force
Install-HgsServer -hgsDomainName "DomainName.com" -SafeModeAdministratorPassword $safepass -Restart

После установки домена, приходит время для настройки HGS кластера и веб сервера для ключей защиты и аттестации. Вам потребуется 2 сертификата (1 для подписи, 1 для шифрования), чтобы выполнить этот шаг.

$safepass = ConvertTo-SecureString -String "YourPass" -AsPlainText -Force
Initialize-HgsServer -LogDirectory C:PFX -HgsServiceName HGS -Http -TrustTpm -SigningCertificatPath 
C:PFXHgs_Signer.pfx -SigningCertificatePassword $safepass -EncryptionCertificatePath C:PFXHs_Encrypt.pfx -EncryptionCertificatePassword $safepass

«HgsServiceName» будет использоваться для регистрации имени в локальном DNS.
«TrustTpm»  указывает режим работы сервиса аттестации. Если ваша хост машина не соответствует требованиям к оборудованию необходимым для работы TPM аттестации, вы можете использовать аттестацию с помощью AD, указав параметр «-TrustActiveDirectory»

Последние 4 параметра указываются для сертификата подписи и шифрования. Сертификаты предоставляются в качестве ссылки на файл защищённые паролем PFX, содержащие публичные и частные ключи каждого сертификата. Эти сертификаты используются службой защиты ключей в HGS для расшифровки ключей от экранированных ВМ. Владельцы экранированных ВМ могут использовать открытые ключи для авторизации, необходимой для запуска ВМ. Если вы тестируете эту роль в пределах тестовой лаборатории, используйте самозаверающие сертификаты, что бы быстрее приступить к работе. Для создания самощаверяющих сертификатов и их экспорта в PFX используйте cmdlet New-SelfSignedCertificate и  Export-PfxCertificate.

При использовании HSM сертификатов с поддержкой или без поддержки экспорта сертификатов из PKI, вы указывает отпечаток сертификата pfx-файл и пароль при запуске Initialize-HgsServer.

Валидация вашей конфигурации

После настройки HGS, вы можете запустить диагностику, чтобы убедиться в правильности проделанной работы. Если возникают какие-либо вопросы, вы должны предпринять дополнительные меры:

get-HgsTrace -RunDiagnostics
Overall Result: Pass

Авторизация охраняемого хоста

Прежде чем узел Hyper-V можно будет запустить с экранированными ВМ, HGS должен быть настроен политикой аттестации, который необходим для определения, является ли узел «жизнеспособным» и разрешено ли запрашивать ключи для экранированной ВМ.

Для подтверждения модуля TPM, охраняемый хост TPM 2.0 должен быть получен и добавлен в список авторизируемых узлов HGS. На каждом узле должен быть выполнен cmdlet  Get—PlatformIdentifier, чтобы создать XML содержащий  EKpub и EKcert.

$out = Get-PlatformIdentifier -Name "Host1"
$out.InnerXml > C:Host1_EKpub.xml

Скопируйте файл на HGS  сервер и добавьте его с помощью cmdlet

Add-HgsAttestationTpmHost:

Add-HgsAttestationTpmHost -Name "Host1" -Path C:Host1_EKpub.xml

Аттестация с помощью AD

Для доверенного администратора аттестации, охраняемая принимающей стороной ожидает, что является участником группы безопасности AD. Используйте Add-HgsAttestationHostGroup:

$adminSid = "S-1-5-32-544"
Add-HgsAttestationHostGroup -Name HostGroup1 -Identifier $adminSid

Add-HgsAttestationCIPolicy

На эталонный узел, который полностью настроен, на нём установлено все необходимое ПО, выполните cmdlet New-CIPolicy, чтобы создать политику целостности кода. Эта политика будет применена к каждой машине с такой же конфигурацией, и будет использоваться для предотвращения несанкционированного ПО на хост. Вам необходимо будет создать политику для каждой уникального компьютера или ПО в вашем дата-центре. После создания, вы будете иметь политику целостности кода, которая будет храниться в двоичном файле и иметь расширение p7b. Скопируйте этот файл на ваш сервер HGS и добавьте его в сервис аттестации:

Add-HgsAttestationCIPolicy -Name "CIPolicy1" -Path C:SIPolicy.p7b

Get-HgsAttestationBaselinePolicy

Далее, для каждой уникальной конфигурации оборудования в вашем ЦОД необходимо собрать базовую политику TPM. Этот файл будет содержать в себе информацию о UEFI до той точки, где управление передаётся в загрузчик ОС. Это даёт HGS подтверждение, что система не была подвержена атаке и в ней не находится руткит.

Что бы захватить политику, выполните следующую команду на эталоном хосте:

Get-HgsAttestationBaseLinePolicy -Path C:tcglog.bin

Скопируйте файл на HGS сервер и зарегистрируйте его:

Add-HgsAttestationTpmPolicy -Name "TpmPolicy1" -Path C:Tcglog.bin

Конфигурация клиентов

Остался заключительный шаг настройки каждого охраняемого хоста. Выполните приведённую ниже команду для каждого хоста, который нужно охранять:

Set-HgsClientConfiguration -KeyProtectionServerUrl "http://hgs.domainname.com/KeyProtection"
--AttestationServerUrl "http://hgs.domainname.com/Attestation"

Device Guard в Windows 10 – это микропрограмма, которая не позволяет загружать не прошедшие проверку подлинности, неподписанные, неавторизованные программы, а также операционные системы. Мы уже говорили о том, что нам нужна операционная система, которая выполняет самопроверку того, что все подается на него и загружается в оперативную память для выполнения. Зависимость только от программного обеспечения для защиты от вредоносных программ не является мудрой вещью в наши дни, хотя у нас не так много вариантов. Антивредоносное ПО – это отдельное приложение, которое необходимо загрузить в память, прежде чем оно начнет сканирование приложений, загружаемых в память.

Ранее мы говорили о том, что Windows 8.1 – это антивирусная операционная система. Он действует на себя и на другие приложения, чтобы определить, являются ли они подлинными приложениями, необходимыми компьютеру, задолго до загрузки интерфейса, так что уровень безопасности добавляется к компьютерам, на которых он запускается. Короче говоря, он предоставляет Trusted Boot , службу защиты от вредоносного ПО во время загрузки, чтобы держать вредоносное ПО в страхе. Но авторы вредоносных программ умны и могут использовать определенные методы, чтобы обойти эту проверку. Поэтому Microsoft добавила еще одну функцию, которая обещает более жесткие меры защиты от вредоносного ПО во время загрузки.

Device Guard в Windows 10

В связи с растущими проблемами безопасности Microsoft теперь предлагает встроенное ПО, которое будет работать на аппаратном уровне во время и даже перед загрузкой, чтобы позволить загружать только правильно подписанные приложения и сценарии. Это называется Windows Device Guard , и OEM-производители с радостью готовы установить его на компьютеры, которые они производят.

Device Guard – одна из главных функций безопасности Microsoft в Windows 10. OEM-производители, такие как Acer, Fujitsu, HP, NCR, Lenovo, PAR и Toshiba, также одобрили ее.

Device Guard – это комбинация аппаратных и программных функций безопасности, которые при совместном конфигурировании блокируют устройство, чтобы оно могло запускать только доверенные приложения. Он использует новую систему безопасности на основе виртуализации в Windows 10, чтобы изолировать службу целостности кода от самого ядра Windows, позволяя службе использовать сигнатуры, определенные вашей корпоративной политикой, чтобы помочь определить, что заслуживает доверия.

Основная функция Device Guard в Windows 10 заключается в проверке каждого процесса, загружаемого в память, на выполнение до и во время процесса загрузки. Он будет проверять подлинность, основываясь на надлежащих сигнатурах приложений, и будет предотвращать загрузку в память любого процесса, которому не хватает надлежащей подписи.

Device Guard от Microsoft использует технологию, встроенную на аппаратном уровне, а не на программном уровне, которая может пропустить обнаружение вредоносного ПО. Он также использует виртуализацию для обеспечения правильного процесса принятия решений, который сообщит компьютеру, что разрешать и что предотвращать загрузку в память. Эта изоляция предотвратит вредоносное ПО, даже если злоумышленник полностью контролирует системы, в которых установлена ​​защита. Они могут попытаться, но не смогут выполнить код, поскольку у Guard есть свои собственные алгоритмы, которые блокируют выполнение вредоносных программ.

Говорит Microsoft:

Это дает ему значительное преимущество по сравнению с традиционными антивирусными технологиями и технологиями контроля приложений, такими как AppLocker, Bit9 и другие, которые могут быть изменены администратором или вредоносным ПО.

Device Guard против антивирусного программного обеспечения

Пользователям Windows по-прежнему необходимо установить на свои устройства программное обеспечение для защиты от вредоносных программ, если вредоносное ПО происходит из других источников. Единственное, от чего Windows Device Guard защитит вас, – это вредоносная программа, которая пытается загрузиться в память во время загрузки, прежде чем антивирусная программа сможет защитить вас.

Поскольку новый Device Guard может не иметь доступа к макросам в документах и ​​вредоносных программах на основе сценариев, Microsoft заявляет, что пользователям придется использовать программное обеспечение для защиты от вредоносных программ в дополнение к Guard. В Windows теперь есть встроенная антивирусная программа под названием Защитник Windows. Вы можете зависеть от этого или использовать стороннее вредоносное ПО для лучшей защиты.

Разрешает ли Device Guard другие операционные системы?

Windows Guard позволяет обрабатывать только предварительно утвержденные приложения во время загрузки. ИТ-разработчики могут разрешить все приложения доверенному поставщику или настроить его для проверки каждого приложения на утверждение. Независимо от конфигурации, Windows Guard разрешит запуск только утвержденных приложений. В большинстве случаев утвержденные заявки будут определены подписью разработчика приложения.

Это дает поворот к параметрам загрузки. Те операционные системы, которые не имеют проверенных цифровых подписей, не будут загружены Windows Guard для загрузки.Однако для того, чтобы получить какое-либо приложение или ОС для получения сертификата, не требуется много усилий.

Необходимое аппаратное и программное обеспечение для Device Guard

Чтобы использовать Device Guard, вам необходимо установить и настроить следующее аппаратное и программное обеспечение:

1. Windows 10. Device Guard работает только с устройствами под управлением Windows 10.
2. UEFI. Он включает функцию Secure Boot, которая помогает защитить целостность вашего устройства в самой прошивке.
3. Надежный ботинок. Это архитектурное изменение, которое помогает защитить от руткит-атак.
4. Безопасность на основе виртуализации. Контейнер, защищенный Hyper-V, который изолирует чувствительные процессы Windows 10. T
5. Инспектор пакетов. Инструмент, который поможет вам создать каталог файлов, которые требуют подписи для классических приложений Windows.

Вы можете прочитать больше об этом на TechNet.

Потратьте некоторое время, чтобы прочитать о защите корпоративных данных в Windows 10.

Device Guard позволяет заблокировать систему для запуска только доверенных приложений. Выполните следующие действия, чтобы включить Device Guard в Windows 10.

Одной из интересных функций Windows является Device Guard. Эта функция специально разработана для предприятий, где безопасность и контроль являются главными требованиями. Когда он включен и настроен правильно, он позволяет администраторам ограничивать систему запуском только доверенного приложения. Хорошо то, что администраторы могут устанавливать правила, называемые политиками целостности кода, для определения того, что составляет доверенные приложения. Если приложение не находится в списке доверенных, оно не будет работать, что бы вы ни делали.

Поскольку Device Guard представляет собой комбинацию аппаратных и программных функций безопасности и работает в защищенном контейнере гипервизора вместе с ядром Windows, очень сложно обойти ограничения. Итак, в этом кратком руководстве я покажу, как включить Device Guard и отключить его при необходимости.

Требования

Чтобы включить и использовать защиту устройства, вы должны соответствовать определенным требованиям к аппаратному и программному обеспечению. Они заключаются в следующем.

• Требования к оборудованию: У Microsoft есть отличная страница со списком всех конкретных требований к оборудованию. Взгляните на это.
• Требования к программному обеспечению: Должна использоваться версия Windows Enterprise или Education. Если вы используете другие версии, такие как Home или Pro, ваша система несовместима.

Шаги по включению Device Guard (GPO)

Шаги по включить функцию защиты устройства довольно просто и понятно. Помните, что ваша система должна соответствовать всем перечисленным выше требованиям.

1. Первое, что нам нужно сделать, это включить гипервизор Hyper-V. Для этого откройте меню «Пуск», выполните поиск по запросу « Включение или отключение компонентов Windows » и щелкните результат поиска.

2. На панели «Функции Windows» прокрутите вниз, разверните «Hyper-V → Hyper-V Platform» и установите флажок «Hyper-V Hypervisor» . Нажмите кнопку « Ok », чтобы сохранить изменения.

3. Теперь Windows внесет необходимые изменения. Перезагрузите Windows, чтобы изменения вступили в силу.

4. Затем откройте меню «Пуск», найдите « gpedit.msc » и щелкните результат поиска, чтобы открыть редактор групповой политики.

5. В редакторе групповой политики перейдите в следующую папку.

Конфигурация компьютера → Административные шаблоны → Система → Device Guard

6 . На правой панели найдите и дважды щелкните объект групповой политики « Включить безопасность на основе виртуализации ».

7. В окне свойств выберите вариант « Включено ». Это действие активирует от трех до четырех дополнительных параметров на панели «Параметры».

8. В доступных раскрывающихся меню выберите соответствующие параметры .

Если вам когда-нибудь понадобится дополнительная информация о том, что делает каждый параметр, взгляните на левую панель. Он подробно расскажет вам, что делает каждый параметр.

9. По завершении настройки нажмите кнопки « Применить » и « Ok ».

10. Перезагрузите Windows .

После включения Device Guard вам необходимо настроить политики. Я рекомендую вам начать работу с этого руководства Microsoft.

Действия по отключению

Если вы хотите отключить функцию Device Guard, просто выберите «Отключено» или «Не настроено» »В окне свойств политики (см. Шаг 7).

Вот и все. Надеюсь, это поможет. Если вы застряли или вам нужна помощь, прокомментируйте ниже, и я постараюсь помочь в максимально возможной степени. Если вам понравилась эта статья, узнайте, как включить защиту от программ-вымогателей в Windows 10, чтобы защитить ваши данные от программ-вымогателей.