Angiver, om virtualiseringsbaseret sikkerhed er aktiveret.
Virtualiseringsbaseret sikkerhed bruger Windows Hypervisor til at understøtte sikkerhedstjenester. Virtualiseringsbaseret sikkerhed kræver sikker bootstart og kan valgfrit aktiveres med brug af DMA-beskyttelse. DMA-beskyttelse kræver hardwareunderstøttelse og er kun aktiveret på korrekt konfigurerede enheder.
Virtualiseringsbaseret beskyttelse af kodeintegritet
Denne indstilling aktiverer virtualiseringsbaseret beskyttelse af kodeintegritet i kernetilstand. Når indstillingen er aktiveret, håndhæves kernetilstandens hukommelsesbeskyttelse, og valideringsstien for kodeintegritet er beskyttet af den virtualiseringsbaserede sikkerhedsfunktion.
Indstillingen "Deaktiveret" slår virtualiseringsbaseret beskyttelse af kodeintegritet fra via fjernadgang, hvis den tidligere blev aktiveret med indstillingen "Aktiveret uden lås".
Indstillingen "Aktiveret med UEFI-lås" sikrer, at virtualiseringsbaseret beskyttelse af kodeintegritet ikke kan deaktiveres via fjernadgang. Hvis du vil deaktivere funktionen, skal du indstille gruppepolitikken til "Deaktiveret" og fjerne sikkerhedsfunktionaliteten fra hver computer med en fysisk tilstedeværende bruger for at rydde konfigurationen, der fortsat er i UEFI.
Indstillingen "Aktiveret uden lås" gør det muligt at deaktivere virtualiseringsbaseret beskyttelse af kodeintegritet ved hjælp af en gruppepolitik.
Indstillingen "Ikke konfigureret" lader politikindstillingen være udefineret. Gruppepolitikken skriver ikke politikindstillingen til registreringsdatabasen, og den har derfor ingen indflydelse på computere eller brugere. Hvis der er en aktuel indstilling i registreringsdatabasen, vil den ikke blive ændret.
Indstillingen "Kræv UEFI-hukommelsesattributter" giver kun mulighed for virtualiseringsbaseret beskyttelse af kodeintegritet på enheder med understøttelse af UEFI-firmware i tabellen med hukommelsesattributter. Enheder uden tabellen med UEFI-hukommelsesattributter kan have firmware, der ikke er kompatibel med virtualiseringsbaseret beskyttelse af kodeintegritet, som i nogle tilfælde kan føre til nedbrud eller datatab eller inkompatibilitet med visse plug-in-kort. Hvis denne indstilling ikke angives, skal de målrettede enheder testes for at sikre kompatibilitet.
Advarsel! Alle drivere på systemet skal være kompatible med denne funktion, ellers kan systemet gå ned. Kontrollér, at denne politikindstilling kun er installeret på computere, der er kendte for at være kompatible.
Credential Guard
Denne indstilling giver brugerne mulighed for at slå Credential Guard til med virtualiseringsbaseret sikkerhed for at hjælpe med at beskytte legitimationsoplysninger.
Indstillingen "Deaktiveret" slår Credential Guard fra, hvis den tidligere var slået til med indstillingen "Aktiveret uden lås".
Indstillingen "Aktiveret med UEFI-lås" sikrer, at Credential Guard ikke kan deaktiveres via fjernadgang. Hvis du vil deaktivere funktionen, skal du indstille gruppepolitikken til "Deaktiveret" og fjerne sikkerhedsfunktionaliteten fra hver computer med en fysisk tilstedeværende bruger for at rydde konfigurationen, der fortsat er i UEFI.
Indstillingen "Aktiveret uden lås" giver mulighed for, at Credential Guard kan deaktiveres via fjernadgang ved hjælp af en gruppepolitik. De enheder, der bruger denne indstilling, skal som minimum køre Windows 10 (version 1511).
Indstillingen "Ikke konfigureret" lader politikindstillingen være udefineret. Gruppepolitikken skriver ikke politikindstillingen til registreringsdatabasen, og den har derfor ingen indflydelse på computere eller brugere. Hvis der er en aktuel indstilling i registreringsdatabasen, vil den ikke blive ændret.
Sikker start
Denne indstilling angiver konfigurationen af Sikker start for at sikre bootstartkæden.
Indstillingen "Ikke konfigureret" er standarden og giver administrative brugere mulighed for at konfigurere funktionen.
Indstillingen "Aktiveret" slår Sikker start til på understøttet hardware.
Indstillingen "Deaktiveret" slår Sikker start fra, uanset hvilken hardwaresupport der er.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | EnableVirtualizationBasedSecurity |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | RequirePlatformSecurityFeatures |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | RequirePlatformSecurityFeatures |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HVCIMATRequired |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | ConfigureSystemGuardLaunch |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | ConfigureSystemGuardLaunch |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | ConfigureSystemGuardLaunch |
Value Type | REG_DWORD |
Value | 2 |