Určuje, jestli je povolené zabezpečení na základě virtualizace.
Zabezpečení na základě virtualizace využívá hypervisor Windows a zajišťuje podporu pro služby zabezpečení. Vyžaduje zabezpečené spouštění a může se volitelně povolit pomocí ochran DMA. Ochrany DMA vyžadují hardwarovou podporu a povolí se jenom na správně nakonfigurovaných zařízeních.
Ochrana integrity kódu na základě virtualizace
Toto nastavení umožňuje ochranu integrity kódu v režimu jádra na základě virtualizace. Pokud je toto nastavení povolené, vynucuje se ochrana paměti v režimu jádra a ověřovací cesta integrity kódu je chráněná funkcí zabezpečení na základě virtualizace.
Možnost Zakázáno vzdáleně vypne ochranu integrity kódu na základě virtualizace, pokud byla dříve zapnutá pomocí možnosti Povoleno bez uzamčení.
Možnost Povoleno s uzamčením UEFI zajistí, že ochranu integrity kódu na základě virtualizace nebude možné zakázat vzdáleně. Aby se funkce zakázala, bude nutné, aby fyzicky přítomný uživatel nastavil zásadu skupiny na možnost Zakázáno a odebral bezpečnostní funkci z každého jednotlivého počítače. Jenom tak se vymaže konfigurace trvale uložená v UEFI.
Možnost Povoleno bez uzamčení umožní vzdálené zakázání ochrany integrity kódu na základě virtualizace pomocí zásad skupiny.
Při použití možnosti Nenakonfigurováno zůstane nastavení této zásady nedefinované. Zásady skupiny nezapíšou nastavení této zásady do registru, takže nemá žádný vliv na počítače ani skupiny. Aktuální nastavení registru se nezmění.
Možnost Vyžadovat tabulku atributů paměti UEFI povolí ochranu integrity kódu na základě virtualizace pouze na zařízeních s firmwarovou podporou tabulky atributů paměti UEFI. Zařízení bez tabulky atributů paměti UEFI můžou obsahovat firmware, který není kompatibilní s ochranou integrity kódu na základě virtualizace, což může v některých případech vést k chybám, ztrátě dat nebo nekompatibilitě s určitými připojitelnými kartami. Při nenastavení této možnosti by cílová zařízení měla být otestována, aby byla zaručena kompatibilita.
Upozornění: Všechny ovladače v systému musí být s touto funkcí kompatibilní, jinak může dojít k selhání systému. Zajistěte, aby bylo toto nastavení zásad nasazené jenom do počítačů, o kterých se ví, že jsou kompatibilní.
Ochrana Credential Guard
Toto nastavení umožňuje uživatelům zapnout Ochranu Credential Guard se zabezpečením na základě virtualizace, která slouží k ochraně přihlašovacích údajů.
Možnost Zakázáno vzdáleně vypne Ochranu Credential Guard, pokud byla předtím zapnutá pomocí možnosti Povoleno bez uzamčení.
Možnost Povoleno s uzamčením UEFI zajistí, že Ochranu Credential Guard nebude možné zakázat vzdáleně. Aby se funkce zakázala, bude nutné, aby fyzicky přítomný uživatel nastavil zásadu skupiny na možnost Zakázáno a odebral bezpečnostní funkci z každého jednotlivého počítače. Jenom tak se vymaže konfigurace trvale uložená v UEFI.
Možnost Povoleno bez uzamčení umožní vzdálené zakázání Ochrany Credential Guard pomocí zásad skupiny. Na zařízeních s tímto nastavením musí běžet přinejmenším Windows 10 (verze 1511).
Při použití možnosti Nenakonfigurováno zůstane nastavení této zásady nedefinované. Zásady skupiny nezapíšou nastavení této zásady do registru, takže nemá žádný vliv na počítače ani skupiny. Aktuální nastavení registru se nezmění.
Zabezpečené spouštění
Toto nastavení umožňuje nakonfigurovat Zabezpečené spouštění pro zabezpečení spouštěcího řetězce.
Výchozí je nastavení Nenakonfigurováno, což konfiguraci této funkce umožňuje uživatelům s oprávněním správce.
Možnost Povoleno zapne Zabezpečené spouštění na podporovaném hardwaru.
Možnost Zakázáno vypne Zabezpečené spouštění bez ohledu na podporu hardwaru.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | EnableVirtualizationBasedSecurity |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | RequirePlatformSecurityFeatures |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | RequirePlatformSecurityFeatures |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HVCIMATRequired |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | ConfigureSystemGuardLaunch |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | ConfigureSystemGuardLaunch |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | ConfigureSystemGuardLaunch |
Value Type | REG_DWORD |
Value | 2 |