Windows 10 中 VMware 要求禁用 Device Guard 问题

今天在打开虚拟机的时候，突然出现下面这个错误。网上给了很多教程，基本上都是禁用 Device Guard 和关闭 Hyper-v，博主按照其方法操作，依旧出现下面错误。后来经过不懈努力，终于找到解决办法，这里分享一下。

去访问提示中的链接。

下面直接给出访问图中网址获取到的内容（后面附上译文）。

---

Purpose：

This article provides steps to disable Credential Guard or Device Guard for a Windows 10 Enterprise host.

 

Cause

This issue occurs because Device Guard or Credential Guard is incompatible with Workstation.

 

Resolution

To disable Device Guard or Credential Guard:

1. Disable the group policy setting that was used to enable Credential Guard.
   • On the host operating system, click Start > Run, type gpedit.msc, and click Ok. The Local group Policy Editor opens.
   • Go to Local Computer Policy > Computer Configuration > Administrative Templates > System > Device Guard > Turn on Virtualization Based Security.
   • Select Disabled.
2. Go to Control Panel > Uninstall a Program > Turn Windows features on or off to turn off Hyper-V.
3. Select Do not restart.
4. Delete the related EFI variables by launching a command prompt on the host machine using an Administrator account and run these commands:
   

   mountvol X: /s
   copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
   bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
   bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
   mountvol X: /d

   Note: Ensure X is an unused drive, else change to another drive.
5. Restart the host.
6. Accept the prompt on the boot screen to disable Device Guard or Credential Guard.

---

 

译文：

---

 

目的

本文提供了为Windows 10 Enterprise主机禁用Credential Guard或Device Guard的步骤。

 

原因

出现此问题是因为Device Guard或Credential Guard与Workstation不兼容。

 

解决方案

要禁用 Device Guard 或 Credential Guard：

1. 禁用用于启用Credential Guard的组策略设置。
   • 在主机操作系统上，单击 Start > Run，键入gpedit.msc，然后单击确定。本地组策略编辑器打开。
   • 转到本地计算机策略 > 计算机配置 > 管理模板>系统 > 设备防护 > 打开基于虚拟化的安全性。
   • 选择禁用。
2. 转到控制面板 > 卸载程序 > 打开或关闭 Windows 功能以关闭 Hyper-V。
3. 选择不重启。
4. 通过使用管理员帐户在主机上启动命令提示符并运行以下命令来删除相关的EFI变量：
   

   mountvol X：/ s 
   copy％WINDIR％\ System32 \ SecConfig.efi X：\ EFI \ Microsoft \ Boot \ SecConfig.efi / Y 
   bcdedit / create {0cb3b571-2f2e-4343-a879-d86a476d7215} / d“DebugTool”/ application osloader 
   bcdedit / set {0cb3b571-2f2e-4343-a879-d86a476d7215} path“\ EFI \ Microsoft \ Boot \ SecConfig.efi “ 
   bcdedit / set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} 
   bcdedit / set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO，DISABLE-VBS 
   bcdedit / set {0cb3b571-2f2e -4343-a879-d86a476d7215}设备分区= X：
   mountvol X：/ d 

   注：确保 X 是一个未使用的驱动器，否则更改为另一个驱动器。
5. 重新启动主机。
6. 接受启动屏幕上的提示以禁用 Device Guard 或 Credential Guard。

按照上述方法，博主成功解决问题。

 

---

2020-05-09 18:42:30

今天在一台新的机器上安装VMware WorkStation Pro15.5.2后，发现按照上述方法仍不能解决。

而后关闭Windows安全中心里面【设备安全性】->【内核隔离】->【内核完整性】，解决问题。