Καθορίζει αν είναι ενεργοποιημένη η Ασφάλεια βάσει λειτουργίας αναπαράστασης.
Η Ασφάλεια βάσει λειτουργίας αναπαράστασης χρησιμοποιεί τον Υπερεπόπτη των Windows, ώστε να παρέχει υποστήριξη στις υπηρεσίες ασφάλειας. Η Ασφάλεια βάσει λειτουργίας αναπαράστασης απαιτεί ασφαλή εκκίνηση και μπορεί να ενεργοποιηθεί προαιρετικά με χρήση μέτρων προστασίας DMA. Τα μέτρα προστασίας DMA απαιτούν υποστήριξη υλικού και ενεργοποιούνται μόνο σε συσκευές οι παράμετροι των οποίων έχουν ρυθμιστεί σωστά.
Προστασία ακεραιότητας κώδικα βάσει λειτουργίας αναπαράστασης
Αυτή η ρύθμιση ενεργοποιεί την προστασία της ακεραιότητας κώδικα λειτουργίας πυρήνα βάσει λειτουργίας αναπαράστασης. Όταν αυτή η ρύθμιση ενεργοποιηθεί, επιβάλλονται μέτρα προστασίας μνήμης λειτουργίας πυρήνα και η διαδρομή επικύρωσης ακεραιότητας κώδικα προστατεύεται από τη δυνατότητα ασφαλείας βάσει λειτουργίας αναπαράστασης.
Η επιλογή "Απενεργοποιημένη" απενεργοποιεί απομακρυσμένα την προστασία ακεραιότητας κώδικα βάσει λειτουργίας αναπαράστασης, αν προηγουμένως είχε ενεργοποιηθεί με την επιλογή "Ενεργοποιημένη χωρίς κλείδωμα".
Η επιλογή "Ενεργοποιημένη με κλείδωμα UEFI" διασφαλίζει ότι δεν είναι δυνατή η απομακρυσμένη απενεργοποίηση της προστασίας ακεραιότητας κώδικα βάσει λειτουργίας αναπαράστασης. Για να απενεργοποιήσετε τη δυνατότητα, πρέπει να ορίσετε την πολιτική ομάδας σε "Απενεργοποιημένη", καθώς και να καταργήσετε τη λειτουργικότητα ασφαλείας από κάθε υπολογιστή με χρήστη που είναι φυσικά παρών προκειμένου να γίνει εκκαθάριση της μόνιμης ρύθμισης παραμέτρων στο UEFI.
Η επιλογή "Ενεργοποιημένη χωρίς κλείδωμα" επιτρέπει την απομακρυσμένη απενεργοποίηση της προστασίας ακεραιότητας κώδικα βάσει λειτουργίας αναπαράστασης με χρήση πολιτικής ομάδας.
Η επιλογή "Χωρίς ρύθμιση παραμέτρων" αφήνει τη ρύθμιση πολιτικής ακαθόριστη. Η πολιτική ομάδας δεν εγγράφει τη ρύθμιση πολιτικής στο μητρώο και συνεπώς δεν έχει καμία επίδραση σε υπολογιστές ή χρήστες. Εάν υπάρχει μια τρέχουσα ρύθμιση στο μητρώο δεν θα τροποποιηθεί.
Η επιλογή "Να απαιτείται πίνακας χαρακτηριστικών μνήμης UEFI" θα ενεργοποιήσει την Προστασία ακεραιότητας κώδικα βάσει λειτουργίας αναπαράστασης μόνο στις συσκευές που υποστηρίζουν υλικολογισμικό UEFI για τον Πίνακα χαρακτηριστικών μνήμης. Οι συσκευές που δεν διαθέτουν τον Πίνακα χαρακτηριστικών μνήμης UEFI ενδέχεται να διαθέτουν υλικολογισμικό που δεν είναι συμβατό την Προστασία ακεραιότητας κώδικα βάσει λειτουργίας αναπαράστασης, η οποία σε ορισμένες περιπτώσεις μπορεί να προκαλέσει τερματισμούς λειτουργίας, απώλεια δεδομένων ή μη συμβατότητα με ορισμένες πρόσθετες κάρτες. Αν δεν ορίσετε αυτήν την επιλογή, θα πρέπει να δοκιμάσετε τη συμβατότητα των στοχευμένων συσκευών.
Προειδοποίηση: Όλα τα προγράμματα οδήγησης στο σύστημα πρέπει να είναι συμβατά με αυτήν τη δυνατότητα, διαφορετικά μπορεί να τερματιστεί η λειτουργία του συστήματος. Βεβαιωθείτε ότι αυτή η ρύθμιση πολιτικής αναπτύσσεται μόνο σε συμβατούς υπολογιστές.
Credential Guard
Αυτή η ρύθμιση επιτρέπει στους χρήστες να ενεργοποιήσουν τη δυνατότητα Credential Guard με ασφάλεια βάσει λειτουργίας αναπαράστασης για την προστασία των διαπιστευτηρίων.
Η επιλογή "Απενεργοποιημένη" απενεργοποιεί απομακρυσμένα το Credential Guard, αν προηγουμένως είχε ενεργοποιηθεί με την επιλογή "Ενεργοποιημένη χωρίς κλείδωμα".
Η επιλογή "Ενεργοποιημένη με κλείδωμα UEFI" διασφαλίζει ότι δεν είναι δυνατή η απομακρυσμένη απενεργοποίηση του Credential Guard. Για να απενεργοποιήσετε τη δυνατότητα, πρέπει να ορίσετε την πολιτική ομάδας σε "Απενεργοποιημένη", καθώς και να καταργήσετε τη λειτουργικότητα ασφαλείας από κάθε υπολογιστή με χρήστη που είναι φυσικά παρών, προκειμένου να γίνει εκκαθάριση της μόνιμης ρύθμισης παραμέτρων στο UEFI.
Η επιλογή "Ενεργοποιημένη χωρίς κλείδωμα" επιτρέπει την απομακρυσμένη απενεργοποίηση του Credential Guard με χρήση πολιτικής ομάδας. Οι συσκευές που χρησιμοποιούν αυτή τη ρύθμιση πρέπει να εκτελούν τουλάχιστον Windows 10 (Έκδοση 1511).
Όταν η επιλογή "Χωρίς ρύθμιση παραμέτρων" είναι ενεργοποιημένη, η ρύθμιση πολιτικής δεν καθορίζεται. Η πολιτική ομάδας δεν εγγράφει τη ρύθμιση πολιτικής στο μητρώο και συνεπώς δεν έχει καμία επίδραση σε υπολογιστές ή χρήστες. Αν υπάρχει μια τρέχουσα ρύθμιση στο μητρώο δεν θα τροποποιηθεί.
Ασφαλής εκκίνηση
Αυτή η ρύθμιση ορίζει την ασφαλή εκκίνηση ώστε να ασφαλίζει την αλυσίδα εκκίνησης.
Η προεπιλογή είναι "Χωρίς ρύθμιση παραμέτρων" και επιτρέπει τη ρύθμιση της δυνατότητας από χρήστες με δικαιώματα διαχείρισης.
Η επιλογή "Ενεργοποιημένη" ενεργοποιεί την ασφαλή εκκίνηση σε υποστηριζόμενο υλικό.
Η επιλογή "Απενεργοποιημένη" απενεργοποιεί την ασφαλή εκκίνηση, ανεξάρτητα από την υποστήριξη υλικού.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | EnableVirtualizationBasedSecurity |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | RequirePlatformSecurityFeatures |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | RequirePlatformSecurityFeatures |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HVCIMATRequired |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | ConfigureSystemGuardLaunch |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | ConfigureSystemGuardLaunch |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | ConfigureSystemGuardLaunch |
Value Type | REG_DWORD |
Value | 2 |