Server Admin Авторский блог системного администратора
Несколько месяцев с момента покупки нового ноута и установки на него лицензионной Windows 11 Pro я мучался и страдал (не сильно) от одной досадной ошибки. Я не мог подключиться по RDP с именем учётной записи Администратор, написанной по-русски. При этом на сервере, куда подключался, в журнале появлялась запись о том, что произошла неудачная попытка подключения из-за неверных учётных данных.
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Введение
Пару раз я с наскока пытался решить эту проблему и оба раза терпел неудачу. В интернете почти нет информации по этой ошибке, а у большинства всё в порядке. Тем не менее, есть тема на oszone, где люди обсуждали эту же проблему, так что я убедился, что не один с ней. Мне не помогли советы, что указаны там. Пришлось разбираться самостоятельно.
По косвенным признаком было ясно, что проблема в современной системе защиты Windows и её компонентов: Credential Guard и Virtualization-Based security. Основная проблема в том, что простого способа отключить эти защиты нет. А степень защищённости этих защит зависит от конкретного железа. Где-то есть возможность остановить эти службы через настройки групповой политики, где-то через правку реестра, а где-то через правку раздела UEFI, так как во время загрузки настройки защиты восстанавливаются из него.
Как вы уже могли догадаться, у меня был третий вариант, поэтому никакие другие советы мне не помогли. Мой ноутбук соответствует следующим требованиям:
- Поддержка системы безопасности на основе виртуализации
- Безопасная загрузка
- TPM 1.2 или 2.0
- Блокировка UEFI
- Расширения виртуализации в CPU
Благодаря этому я был очень сильно защищён и отключить Credential Guard без правки UEFI мне было нельзя.
Полное отключение Credential Guard в Windows 11
Рассказываю, как я в итоге отключил эту злополучную защиту. Для начала показываю, как проверить её статус. Открываем консоль powershell и вводим команду:
> (Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
Ответ 0 — выключена, 1 — включена. У меня она всегда была включена, что бы я ни делал в настройках или реестре. Я часа два возился с ноутом и перепробовал просто всё. Хоть систему сноси. Настолько всё это мне надоело. Причём не сказать, что прям сильно мне досаждало, несколько месяцев обходился. Раздражало то, что я не могу решить проблему.
✅В итоге что помогло:
- Открываем локальные групповые политики и идём в раздел:
Конфигурация компьютера ⇨ Административные шаблоны ⇨ Система ⇨ Device Guard ⇨ Включить средство обеспечения безопасности на основе виртуализации. Ставим состояние Отключена. - Идём в реестр и убеждаемся, что установлены следующие параметры: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags и HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags. Значения должны быть 0, тип — REG_DWORD. Если параметров нет, создайте их.
- Открываем CMD с правами администратора и правим EFI с помощью bcdedit:
> mountvol X: /s
> copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
> bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
> bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
> bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
> bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
> bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
> mountvol X: /d
После этого перезагружаем систему. В момент загрузки перед стартом ОС у вас спросят, действительно ли вы хотите отключить Credential Guard. В течении 10-ти секунд надо нажать F3, иначе система загрузится без изменения и придётся заново править EFI.
Заключение
Вот такие приключения у меня были с Windows 11. Пришлось разбираться самому. Нигде в интернете не видел, чтобы кто-то занимался правкой EFI. Скорее всего проблема именно с русской версией винды и возможностями ноута. Мне тут просто не повезло.
Убил несколько часов на бодание с такой же проблемой. В какой-то момент перестало работать подключение по RDP к серверу терминалов WS2012R2 с нового мини-ПК с W11P 23H2 (сборка 22631.3447, установлены все обновления на 11.04.24). Не работает ни из-под админской учётки, ни из-под пользовательской. При этом доступ к расшаренным на сервере папкам работает прекрасно и в соответствии с правами, данными на нём текущему пользователю мини-ПК (на сервере заведены пользователи с такими же именами и паролями). Доступ под теми же пользователями с другого кома работает, в журнале событий сервера несколько раз в секунду регистрируются странные попытки авторизации с незаполненными полями данных, ну и изредка отказы:
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 3
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: Иван Иванов
Домен учетной записи: S
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xC000006D
Подсостояние: 0xC000006A
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -
Сведения о сети:
Имя рабочей станции: GEEKOMMINIAIR11
Сетевой адрес источника: -
Порт источника: -
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.
Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
Перепробовал несколько найденных в сети способов победить проблему – не помогло. И тут я на интуитивном уровне вспоминаю, что накануне включил какой-то новый компонент ОС, которого раньше не встречал – ну, знаете, как обычно: вдруг это что-то полезное, а я и не в курсе? Снял галку напротив "Application Guard в Microsoft Defender", перезагрузился, и доступ к серверу терминалов заработал. Если вдруг кто не в курсе, где её искать, то Панель управления\Все элементы панели управления\Программы и компоненты\Включение или отключение компонентов Windows.
Спасибо, спаситель!
Всё получилось по инструкции, большое спасибо за информацию
Спасибо автору - помогло. А то уже думал на xp возвращаться
Windows 11 Корпоративная, помогло решение ниже, без правки EFI
http://forum.oszone.net/post-3013257.html#post3013257
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard]
"EnableVirtualizationBasedSecurity"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LsaCfgFlags"=dword:00000000
Не помогло. Есть два ноута с одинаковыми windows 11, на одном все нормально, на другом не работает, постоянно пишет что неверные логин\пароль. Это единственный ноут на котором не работает, подключался с десятка устройств все норм было. Мистика какая-то, в логах ничего нет..
Проверьте ещё раз внимательно то, что я предлагаю сделать. Тоже долго мучался и разбирался в проблеме. В итоге решил именно так.
Спасибо, но.
Завести на том сервере учетную запись admin\administrator с нужными правами - это слишком просто?
У меня там были другие учётки для администраторов, поэтому проблема и решалась так долго. Мне хотелось разобраться, в чём конкретно проблема. К тому же баг с этой защитой встречается не только в этой ситуации, но и во многих других.
Владимир, приветствую!
я могу ошибаться, кажется у яндекс сегодня последний день бесплатный почтовых ящиков для юр. лиц. в связи с этим у меня к вам вопрос: много к вам обращений по созданию почтовых серверов, востребована услуга?
2) давно не был на вашем сайте , у вас есть публичный телеграм канал?
3) кажется вы собирались строить дом - фото дома в студию )), нее просто интересно это стиль хайтек-минимализм или дом-торт? ))