指定虛擬化型安全性是否啟用。
「虛擬化型安全性」使用 Windows Hypervisor 提供安全性服務支援。「虛擬化型安全性」需要「安全開機」,而且可以選擇性地透過使用「DMA 保護」啟用。「DMA 保護」需要硬體支援,且只能在正確設定的裝置上啟用。
程式碼完整性的虛擬化型保護
此設定可啟用「核心模式程式碼完整性」的虛擬化型保護。啟用此設定時,會強制執行核心模式記憶體保護且「程式碼完整性」驗證路徑會由虛擬化型安全性功能保護。
警告: 系統上的所有驅動程式都必須與此功能相容,否則系統可能當機。請確認此原則設定只部署在已知相容的電腦上。
認證防護
此設定可讓使用者開啟含虛擬化型安全性的「認證防護」,以協助保護認證。
[已停用] 選項會從遠端關閉「認證防護」(若先前已使用 [在不含鎖定情況下啟用] 選項開啟此設定)。
[在包含 UEFI 鎖定的情況下啟用] 選項可確保「認證防護」無法從遠端停用。若要停用該功能,您必須親自到電腦前將群組原則設定為 [已停用] 並從每部電腦移除安全性功能,以清除 UEFI 中儲存的設定。
[在不含鎖定情況下啟用] 選項允許透過使用群組原則從遠端停用「認證防護」。使用此設定的裝置至少必須執行 Windows 10 (版本 1511)。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | EnableVirtualizationBasedSecurity |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | RequirePlatformSecurityFeatures |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | RequirePlatformSecurityFeatures |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | EnableVirtualizationBasedSecurity |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 3 |