关闭 win10 “内核隔离”“内存完整性”DG的方法和工具

JAYSIR

更新了多个方法关闭DG，还有工具版本，基本就是官方手册的翻译和搬运了 ，前面赘述可以不用看，直接看底部解决方法就好了。建议使用工具关闭，简单省事。

-----------------------------------------
废话开始
-----------------------------------------
升级了windwos10 RS4 专业版。现在开启DG不需要策略组和开启Hyper-V里面手动设置，直接进入安全中心，名字叫做内核隔离，很形象。而且和vmware是兼容的（更正下好像还是和vm不兼容，我之前只是安装vm没运行，有同学表示不兼容），联想到微软最近和卡巴的对话，感觉微软是想搞死这些杀毒软件啊。




开启后发现就变成这样


没错，没法关闭了。不得不说一句，WD的占用实在是太高了！！！特别占CPU，有时候新下载一个程序直接40%的CPU占用。界面都有点卡顿，实在是无法忍受。于是我换回了老斯基，但是。

老斯基更新很及时，已经在官网公布RS4开启DG会导致一些功能无法运行，包括启发分析！！！(刚看了下已经更新了，以链接内容为准吧。)参考：https://support.kaspersky.com/13609

1. If Device Guard is enabled in Windows 10, some features in Kaspersky Anti-Virus 2018 will be restricted:
   
2. 
   
3. Windows 10 RS1 / RS2 / RS3
   
4. Protection against screen lockers.
   
5. Protection against cryptoviruses.
   
6. Windows 10 RS4
   
7. Clipboard protection
   
8. Browser protection from keyboard and mouse input emulators (input spoofing).
   
9. Protection against remote management applications.
   
10. Browser protection (management through API, protection from attacks to browser windows that use dangerous messages, protection from message queue management).
    
11. Heuristic Analysis (emulation of the startup of malicious applications).
    
12. If UMCI mode is enabled in Windows, Kaspersky Anti-Virus 2018 does not detect screen lockers.

复制代码

更多功能里面的虚拟机没有打开，策略组里面的DG也是默认未配置的，这和之前版本的DG开启方法不同。此前可以按照vmware官网的方法来关闭。

网上搜索了下，发现了好几个有同样疑问的同学，但是没有解决简单的方法。
--------------------------------
废话完毕
--------------------------------





实际上可以通过注册表、Group Policy关闭，但是比较麻烦，龙大在下面有分享了方法。


查看Windows Defender Credential Guard是否在运行(下面提供的工具也能查看，可以忽略)：
1. run或cmd运行：msinfo32.exe
2. 点击：System Summary
3. 看 Virtualization-based security 服务是否在运行，我的是 Not enabled



如果Credential Guard已启用UEFI锁定，则组策略无法关闭，需要用到其它方法，因为设置会保留在EFI（固件）变量中，并且需要机器上有物理存在才能按功能键接受更改。
如果Credential Guard在未使用UEFI锁的情况下启用，则可以使用组策略将其关闭。

使用组策略关闭：
1. 在组策略管理控制台中，转到计算机配置 - >管理模板 - >系统 - >设备防护。
2. 双击打开基于虚拟化的安全性，然后单击启用选项。
3. 在“选择平台安全级别”框中，选择“安全启动”或“安全启动和DMA保护”。
4. 在Credential Guard配置框中，单击使用UEFI锁启用，然后单击确定。 如果希望能够远程关闭Windows Defender Credential Guard，请选择“无锁定启用”。


--------------------------------------------
使用工具来关闭DG（简单省事，推荐）：
好在微软提供了关闭DG的工具，一条命令关闭DG，实际测试有效。



首先你需要下载上面的工具并解压，右键点击开始按钮选择powershell 管理员， cd进入解压目录，输入：

1. Set-ExecutionPolicy RemoteSigned

复制代码

来允许运行脚本，根据提示输入：y。然后输入：


关闭的命令是：

1. ./DG_Readiness_Tool_v3.4.ps1 -Disable -AutoReboot

复制代码

3.5是，自行更换版本号  DG_Readiness_Tool_v3.5.ps1  ，后续同理：

1. ./DG_Readiness_Tool_v3.5.ps1 -Disable -AutoReboot

复制代码

开启的命令就是：

1. <div>./DG_Readiness_Tool_v3.5.ps1 -Enable -AutoReboot</div><div></div>

复制代码

之后会自动重启系统，提示你按“WIN”“F3”关闭DG，或按“ESC”取消。


检查DG是否还在运行：

1. ./DG_Readiness_Tool_v3.5.ps1 -Ready

复制代码

----------------------------------
如果Credential Guard已启用UEFI锁定，则组策略无法关闭，需要用到以下方法，因为设置会保留在EFI（固件）变量中，并且需要机器上有物理存在才能按功能键接受更改。

手动关闭 Windows Defender Credential Guard（还是工具方便）：

1. 在策略组里面关掉Credential Guard设置，

1. (Computer Configuration -> Administrative Templates -> System -> Device Guard -> Turn on Virtualization Based Security).

复制代码

2.删除如下的注册表：（如果手动删除这些注册表设置，请确保将其全部删除。如果不全部删除它们，设备可能会进入BitLocker恢复！）

1. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
   
2. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
   
3. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

复制代码

3.使用bcdedit删除Windows Defender Credential Guard EFI变量。从已提升权限的的命令提示符处，键入以下命令：

1. mountvol X: /s
   
2. 
   
3. copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
   
4. 
   
5. bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
   
6. 
   
7. bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
   
8. 
   
9. bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
   
10. 
    
11. bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    
12. 
    
13. bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    
14. 
    
15. mountvol X: /d

复制代码

4. 重启电脑
5. 接受提示关闭Windows Defender Credential Guard.
6. 或者可以通过禁用“基于虚拟化安全功能”来关闭Windows Defender Credential Guard。

1. PC必须一次性访问域控制器来解密内容，例如用EFS加密的文件。如果要关闭Windows Defender Credential Guard和基于虚拟化的安全性，请在关闭所有基于虚拟化的安全组策略和注册表设置后运行以下bcdedit命令：bcdedit / set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO，DISABLE-VBS

复制代码

驭龙

hez2010 发表于 2018-3-31 12:48
关闭这个东西只需要把C:\Windows\System32\CodeIntegrity里面的SIPolicy.p7b文件删掉然后重启就好了，注意 ...

不，那个是WDAC规则，是用户自己设置的，全新安装不会有这规则，而且删除了只是关闭WDAC，但VBS还是处在运行状态

xiaronghui

谢谢楼主，已解决。
收到微软提问的答复，不知道管不管用，不想再折腾了，如下：
Yu-Shi 回复了你在 Microsoft Community 中的问题“win10 安全中心 内核隔离 开启后 找不到关闭的方法。”。
您好！
我们了解到您关于Windows 10 Windows Defender出现问题，
您可以尝试以下方案进行操作，看看是否可以解决这个问题：
1、Windows10系统下，右键点击开始图标，在弹出的选项框中点击“运行”，或者按住键盘的Windows+R快捷组合键，调出“运行”命令窗口。

2、在弹出的“运行”命令对话窗口中的输入命令栏中输入“regedit.exe”命令。然后再点击“确定”按钮。

3、点击确定按钮后，这个时候会打开“注册表编辑器”对话窗口。

4、在注册表编辑器对话窗口中，依次展开并定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System”选项。

5、在System选项的右侧窗格，找到“Enable SmartScreen”选项，并点击鼠标右键，在弹出的选项菜单中点击“删除”。

6、随后在弹出“确认数值删除”对话框中，点击“是”即可。

7、重新回到SmartScreen设置界面，关闭SmartScreen即可。

HEMM

不好奇，不作死！默认不开启就让它凉着~
嘻嘻，微软珍素霸气惹！
反正我开了也没用，微软表示老旧硬件还开干嘛？赶紧购买全套新硬件来配合，升级啊升级啊，分分钟淘汰你~
BUG10作死3的WD已经可以了，作死4的WD......等体验了再说吧，反正还有作死5后浪拍死沙滩惹，高潮是一波又一波的，正式测试作死版和预览崩溃作死版交替更新，让你的系统完美无瑕~

wohaofan1200

总感觉着内核隔离跟360的核晶防御原理差不多

JAYSIR

HEMM 发表于 2018-3-30 17:38
不好奇，不作死！默认不开启就让它凉着~
嘻嘻，微软珍素霸气惹！
反正我开了也没用，微软表示老旧硬件还 ...

其实我没太理解为甚么安全中心里面开启了却不能关闭，还需要“你的管理员”来关闭。我竟然不是我电脑的管理员。这个东西应该还是面向企业的，只是给专业版配置了很费解。

aboringman

JAYSIR 发表于 2018-3-30 20:05
其实我没太理解为甚么安全中心里面开启了却不能关闭，还需要“你的管理员”来关闭。我竟然不是我电 ...

DG跟其他杀软冲突导致某些功能失常，正常状况下谁会去开它呢。【如果是默认打开就是作死】

JAYSIR

aboringman 发表于 2018-3-30 20:32
DG跟其他杀软冲突导致某些功能失常，正常状况下谁会去开它呢。【如果是默认打开就是作死】

不知道家庭版有没有，万一不知情打开了不会关就麻烦了

cloud01

这个是否影响ESET 的功能和其中的HIPS呢？照理说ESET和微软关系不错。

qingwei248

感谢大佬发帖 我就是在远景发帖求助的那个。
已经成功关闭了这个功能
特意注册了一个卡饭的号等了两个小时来感谢。谢谢！

晚上九点

楼主cd进入解压目录是什么意思呀

欧阳宣

DG本来就是做了一些本来杀软要做的事，冲突就算现在没有以后也难以避免吧。都升级了pro再去关闭，那和家庭版装卡巴也没区别了。