Device Guard legt VPN lahm

[xrated2 15]

Problem war, mein VPN hat sich nicht mehr automatisch angemeldet. Unter rasphone war die Option "Automatisch eigenen Windows-Anmeldenamen und Kennwort verwenden" ausgegraut.

War schon kurz davor den Laptop neu zu installieren, weil löschen und neu hinzufügen der VPN Verbindung nichts brachte bis ich das gefunden habe:

 

https://learn.microsoft.com/en-us/answers/questions/1101135/w11-22h2-add-vpnconnection-usewinlogoncredential-n

When enabled, it prevents the existing windows login from being passed to the VPN connection so users are propmted for credentials and it does not automatically connect and this feature also prevents the saving of cached credentials on RDP connections where the login must be specifically entered.

 

Ich weiß nicht warum mir das erst jetzt aufgefallen ist, weil 22H2 schon länger aktiv sein müsste aber anscheinend läuft dieser Device Guard nicht auf allen Laptops automatisch. Bei nagelneuen Thinkpad E14 G6 taucht der nämlich unter Systeminformation / Virtualisierungsbasierte Sicherheit, nicht auf. Da steht dann unter ausgeführte Dienste: Durch Hypervisor erzwungene Codeintegrität.

 

Habe jetzt Device Guard über GPO deaktiviert:

Computer Configuration\Administrative Templates\System\Device Guard

Turn On Virtualization Based Security Disabled

[MurdocX 932]

Hi @xrated2,

 

so ganz kann ich das Problem noch nicht verstehen. Das machst die Nachvollziehbarkeit der Lösung auch schwierig für mich. Könntest du das nochmal detaillierter ausführen? Bspw. VPN-Software Hersteller, Verbindungstyp, Warum "Automatisch Anmelden". Das macht es dann einfacher zu verstehen.

 

VG,

Jan

[xrated2 15]

Es handelt sich um ein SSTP VPN von MS das zwecks Always On (meldet sich automatisch an nach dem einloggen in Windows) eben automatisch die Anmeldedaten von Windows verwendet um sich anzumelden. Genau diese Übernahme vom Passwort geht mit Device Guard nicht mehr.

[MurdocX 932]

Hi,

 

Microsoft dokumentiert hier einige Ausschlüsse bzgl. Credential Guard und Wifi/VPN-Authentifizierungen.

Considerations and known issues when using Credential Guard | Microsoft Learn

 

Zitat

For WiFi and VPN connections, it's recommended to move from MSCHAPv2-based connections (such as PEAP-MSCHAPv2 and EAP-MSCHAPv2), to certificate-based authentication (such as PEAP-TLS or EAP-TLS).

 

VG,

Jan

[xrated2 15]

Es steht auch geschrieben das die Funktion erst unter Enterprise möglich wäre, es handelt sich aber um 11 Pro.

[MurdocX 932]

vor 9 Stunden schrieb xrated2:

Es steht auch geschrieben das die Funktion erst unter Enterprise möglich wäre, es handelt sich aber um 11 Pro.

Technisch geht das auch bei einer PRO-Edition, abhängig der Lizenzierung.

Der zitierte Text im ersten Post bezieht sich auf den Credential Guard, nicht auf HVCI. Deshalb bin ich davon ausgegangen, dass der CredGuard aktiv ist. 

 

Wenn HVCI Probleme macht, kann das auf eine Treiberinkompatibilität hindeuten, da diese dieses Feature unterstützten müssen.

 

Was wirklich konfiguriert wurde und auch wirklich läuft, kann mit msinfo32.exe nachgeschaut werden.

[xrated2 15]

Ist nicht Credential Guard zuständig für das weiterreichen der Anmeldeinformationen an rasphone? (Checkbox automatisch Anmeldenamen....)

 

Weiß jetzt leider nicht mehr an welchem Gerät das war aber es stand Device Guard und Hypervisor in der Liste.

 

Auf jeden Fall funktioniert es ja jetzt ohne Device Guard.