Windows 11 не подключается по RDP пользователем Администратор

Несколько месяцев с момента покупки нового ноута и установки на него лицензионной Windows 11 Pro я мучался и страдал (не сильно) от одной досадной ошибки. Я не мог подключиться по RDP с именем учётной записи Администратор, написанной по-русски. При этом на сервере, куда подключался, в журнале появлялась запись о том, что произошла неудачная попытка подключения из-за неверных учётных данных.

Углубленный онлайн-курс по MikroTik

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном онлайн-курcе по администрированию MikroTik. Автор курcа – сертифицированный тренер MikroTik Дмитрий Скоромнов. Более 40 лабораторных работ по которым дается обратная связь. В три раза больше информации, чем в MTCNA.

Введение

Пару раз я с наскока пытался решить эту проблему и оба раза терпел неудачу. В интернете почти нет информации по этой ошибке, а у большинства всё в порядке. Тем не менее, есть тема на oszone, где люди обсуждали эту же проблему, так что я убедился, что не один с ней. Мне не помогли советы, что указаны там. Пришлось разбираться самостоятельно.

По косвенным признаком было ясно, что проблема в современной системе защиты Windows и её компонентов: Credential Guard и Virtualization-Based security. Основная проблема в том, что простого способа отключить эти защиты нет. А степень защищённости этих защит зависит от конкретного железа. Где-то есть возможность остановить эти службы через настройки групповой политики, где-то через правку реестра, а где-то через правку раздела UEFI, так как во время загрузки настройки защиты восстанавливаются из него.

Как вы уже могли догадаться, у меня был третий вариант, поэтому никакие другие советы мне не помогли. Мой ноутбук соответствует следующим требованиям:

  • Поддержка системы безопасности на основе виртуализации
  • Безопасная загрузка
  • TPM 1.2 или 2.0
  • Блокировка UEFI
  • Расширения виртуализации в CPU

Благодаря этому я был очень сильно защищён и отключить Credential Guard без правки UEFI мне было нельзя.

Полное отключение Credential Guard в Windows 11

Рассказываю, как я в итоге отключил эту злополучную защиту. Для начала показываю, как проверить её статус. Открываем консоль powershell и вводим команду:

> (Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Ответ 0 — выключена, 1 — включена. У меня она всегда была включена, что бы я ни делал в настройках или реестре. Я часа два возился с ноутом и перепробовал просто всё. Хоть систему сноси. Настолько всё это мне надоело. Причём не сказать, что прям сильно мне досаждало, несколько месяцев обходился. Раздражало то, что я не могу решить проблему.

✅В итоге что помогло:

  1. Открываем локальные групповые политики и идём в раздел:
    Конфигурация компьютера ⇨ Административные шаблоны ⇨ Система ⇨ Device Guard ⇨ Включить средство обеспечения безопасности на основе виртуализации. Ставим состояние Отключена.
  2. Идём в реестр и убеждаемся, что установлены следующие параметры: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags и HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags. Значения должны быть 0, тип — REG_DWORD. Если параметров нет, создайте их.
  3. Открываем CMD с правами администратора и правим EFI с помощью bcdedit:
> mountvol X: /s
> copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
> bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
> bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
> bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
> bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
> bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
> mountvol X: /d

После этого перезагружаем систему. В момент загрузки перед стартом ОС у вас спросят, действительно ли вы хотите отключить Credential Guard. В течении 10-ти секунд надо нажать F3, иначе система загрузится без изменения и придётся заново править EFI.

Полное отключение Credential Guard в Windows 11 через UEFI

Заключение

Вот такие приключения у меня были с Windows 11. Пришлось разбираться самому. Нигде в интернете не видел, чтобы кто-то занимался правкой EFI. Скорее всего проблема именно с русской версией винды и возможностями ноута. Мне тут просто не повезло.

Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Автор Zerox

Владимир, системный администратор, автор сайта. Люблю настраивать сервера, изучать что-то новое, делиться знаниями, писать интересные и полезные статьи. Открыт к диалогу и сотрудничеству. Если вам интересно узнать обо мне побольше, то можете послушать интервью. Запись на моем канале - https://t.me/srv_admin/425 или на сайте в контактах.

10 комментариев

  1. Владислав

    Убил несколько часов на бодание с такой же проблемой. В какой-то момент перестало работать подключение по RDP к серверу терминалов WS2012R2 с нового мини-ПК с W11P 23H2 (сборка 22631.3447, установлены все обновления на 11.04.24). Не работает ни из-под админской учётки, ни из-под пользовательской. При этом доступ к расшаренным на сервере папкам работает прекрасно и в соответствии с правами, данными на нём текущему пользователю мини-ПК (на сервере заведены пользователи с такими же именами и паролями). Доступ под теми же пользователями с другого кома работает, в журнале событий сервера несколько раз в секунду регистрируются странные попытки авторизации с незаполненными полями данных, ну и изредка отказы:

    Учетной записи не удалось выполнить вход в систему.

    Субъект:
    ИД безопасности: NULL SID
    Имя учетной записи: -
    Домен учетной записи: -
    Код входа: 0x0

    Тип входа: 3

    Учетная запись, которой не удалось выполнить вход:
    ИД безопасности: NULL SID
    Имя учетной записи: Иван Иванов
    Домен учетной записи: S

    Сведения об ошибке:
    Причина ошибки: Неизвестное имя пользователя или неверный пароль.
    Состояние: 0xC000006D
    Подсостояние: 0xC000006A

    Сведения о процессе:
    Идентификатор процесса вызывающей стороны: 0x0
    Имя процесса вызывающей стороны: -

    Сведения о сети:
    Имя рабочей станции: GEEKOMMINIAIR11
    Сетевой адрес источника: -
    Порт источника: -

    Сведения о проверке подлинности:
    Процесс входа: NtLmSsp
    Пакет проверки подлинности: NTLM
    Промежуточные службы: -
    Имя пакета (только NTLM): -
    Длина ключа: 0

    Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

    В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

    В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

    Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.

    Перепробовал несколько найденных в сети способов победить проблему – не помогло. И тут я на интуитивном уровне вспоминаю, что накануне включил какой-то новый компонент ОС, которого раньше не встречал – ну, знаете, как обычно: вдруг это что-то полезное, а я и не в курсе? Снял галку напротив "Application Guard в Microsoft Defender", перезагрузился, и доступ к серверу терминалов заработал. Если вдруг кто не в курсе, где её искать, то Панель управления\Все элементы панели управления\Программы и компоненты\Включение или отключение компонентов Windows.

  2. Спасибо, спаситель!

  3. Дмитрий

    Всё получилось по инструкции, большое спасибо за информацию

  4. Спасибо автору - помогло. А то уже думал на xp возвращаться

  5. Андрей

    Windows 11 Корпоративная, помогло решение ниже, без правки EFI

    http://forum.oszone.net/post-3013257.html#post3013257

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard]
    "EnableVirtualizationBasedSecurity"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
    "LsaCfgFlags"=dword:00000000

  6. Не помогло. Есть два ноута с одинаковыми windows 11, на одном все нормально, на другом не работает, постоянно пишет что неверные логин\пароль. Это единственный ноут на котором не работает, подключался с десятка устройств все норм было. Мистика какая-то, в логах ничего нет..

    • Проверьте ещё раз внимательно то, что я предлагаю сделать. Тоже долго мучался и разбирался в проблеме. В итоге решил именно так.

  7. Спасибо, но.
    Завести на том сервере учетную запись admin\administrator с нужными правами - это слишком просто?

    • У меня там были другие учётки для администраторов, поэтому проблема и решалась так долго. Мне хотелось разобраться, в чём конкретно проблема. К тому же баг с этой защитой встречается не только в этой ситуации, но и во многих других.

      • Владимир, приветствую!
        я могу ошибаться, кажется у яндекс сегодня последний день бесплатный почтовых ящиков для юр. лиц. в связи с этим у меня к вам вопрос: много к вам обращений по созданию почтовых серверов, востребована услуга?
        2) давно не был на вашем сайте , у вас есть публичный телеграм канал?
        3) кажется вы собирались строить дом - фото дома в студию )), нее просто интересно это стиль хайтек-минимализм или дом-торт? ))

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Нажимая кнопку "Отправить комментарий" Я даю согласие на обработку персональных данных.
Используешь Telegram? Подпишись на канал автора →
This is default text for notification bar