Virtualizálás-alapú biztonság bekapcsolása

Itt adhatja meg, hogy engedélyezi-e a virtualizálásalapú biztonságot.

A virtualizálásalapú biztonság a Windows hipervizorával nyújt támogatást a biztonsági szolgáltatásoknak. A virtualizálásalapú biztonsághoz elengedhetetlen a biztonságos rendszerindítás, és DMA-védelemmel is engedélyezhető. Ez utóbbihoz megfelelő hardver szükséges, és csak a megfelelően konfigurált eszközökön lehetséges.

Kódintegritás virtualizálásalapú védelme

Ez a beállítás engedélyezi a kernelmódú kódintegritás virtualizálásalapú védelmét. Ha engedélyezve van a beállítás, a Windows kényszerített módon biztosítja a kernelmódú memóriavédelmet, a kódintegritás ellenőrzési útvonalát pedig a virtualizálásalapú biztonság védi.

A Letiltva beállítás távolról letiltja a kódintegritás virtualizálásalapú védelmét, ha az korábban az Engedélyezve zárolás nélkül beállítással volt bekapcsolva.

Az Engedélyezve UEFI-zárolással beállítás esetén nem lehet távolról letiltani a kódintegritás virtualizálásalapú védelmét. Ha le szeretné tiltani a funkciót, akkor a csoportházirendet a Letiltva értékre kell állítania, ezenkívül minden egyes gépről (egy fizikailag jelen lévő felhasználóval) el kell távolítania ezt a biztonsági funkciót ahhoz, hogy törlődjön az UEFI által mentett konfiguráció.

Az Engedélyezve zárolás nélkül beállítás esetén távolról, csoportházirenddel is le lehet tiltani a kódintegritás virtualizálásalapú védelmét.

A Nincs konfigurálva beállítás nem definiálja ezt a házirend-beállítást. A Csoportházirend nem írja be a házirend-beállítást a beállításjegyzékbe, így az nincs hatással a számítógépekre vagy a felhasználókra. Ha a beállításjegyzékben már van ilyen beállítás, az nem módosul.

Az UEFI memóriaattribútum-tábla megkövetelése beállítás csak azokon az eszközökön engedélyezi a kódintegritás virtualizálásalapú védelmét, amelyeken az UEFI belső vezérlőprogram támogatja a memóriaattribútumok tábláját. Az UEFI memóriaattribútum-táblát nem használó eszközökön olyan belső vezérlőprogram lehet, amely nem kompatibilis a kódintegritás virtualizálásalapú védelmével, és ez bizonyos esetekben összeomláshoz, adatvesztéshez vagy bizonyos beépülőmodul-kártyákkal való inkompatibilitáshoz vezethet. Ha nem adja meg ezt a beállítást, a célzott eszközöket ellenőrizni kell kompatibilitás szempontjából.

Figyelmeztetés: A Windows összes illesztőjének kompatibilisnek kell lennie ezzel a funkcióval, különben a rendszer összeomolhat. Csak olyan gépeken léptesse érvénybe ezt a házirend-beállítást, amelyeknek a kompatibilitása nem kétséges.

Credential Guar

Ezzel a beállítással engedélyezheti a felhasználóknak a hitelesítő adatokat virtualizálásalapú biztonsággal védő Credential Guard bekapcsolását.

A Letiltva beállítás távolról letiltja a Credential Guardot, ha az korábban az Engedélyezve zárolás nélkül beállítással volt bekapcsolva.

Az Engedélyezve UEFI-zárolással beállítás esetén nem lehet távolról letiltani a Credential Guardot. Ha le szeretné tiltani a funkciót, akkor a csoportházirendet a Letiltva értékre kell állítania, ezenkívül minden egyes gépről (egy fizikailag jelen lévő felhasználóval) el kell távolítania ezt a biztonsági funkciót ahhoz, hogy törlődjön az UEFI által mentett konfiguráció.

Az Engedélyezve zárolás nélkül beállítás esetén távolról, csoportházirenddel is le lehet tiltani a Credential Guardot. Az ezt a beállítást használó eszközökön legalább 1511-es verziójú Windows 10-nek kell futnia.

A Nincs konfigurálva beállítás nem definiálja ezt a házirend-beállítást. A Csoportházirend nem írja be a házirend-beállítást a beállításjegyzékbe, így az nincs hatással a számítógépekre vagy a felhasználókra. Ha a beállításjegyzékben már van ilyen beállítás, az nem módosul.

Biztonságos indítás

Ez a beállítás a rendszerindítási lánc védelmére állítja be a Biztonságos indítás konfigurációját.

Az alapértelmezett érték a Nincs konfigurálva, amely lehetővé teszi a funkció rendszergazdai felhasználók általi konfigurálását.

Az Engedélyezve lehetőség támogatott hardver esetén bekapcsolja a Biztonságos indítást.

A Letiltva lehetőség kikapcsolja a Biztonságos indítást, függetlenül attól, hogy a hardver támogatja-e azt.

Platformbiztonsági szint megadása:

0. Biztonságos rendszerindítás
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
   Value Name	RequirePlatformSecurityFeatures
   Value Type	REG_DWORD
   Value	1

1. Biztonságos rendszerindítás és DMA-védelem
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
   Value Name	RequirePlatformSecurityFeatures
   Value Type	REG_DWORD
   Value	3

Kódintegritás virtualizálás-alapú védelme:

0. Letiltva
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
   Value Name	HypervisorEnforcedCodeIntegrity
   Value Type	REG_DWORD
   Value	0

1. Engedélyezve UEFI-zárolással
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
   Value Name	HypervisorEnforcedCodeIntegrity
   Value Type	REG_DWORD
   Value	1

2. Engedélyezve zárolás nélkül
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
   Value Name	HypervisorEnforcedCodeIntegrity
   Value Type	REG_DWORD
   Value	2

3. Nincs konfigurálva
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
   Value Name	HypervisorEnforcedCodeIntegrity
   Value Type	REG_DWORD
   Value	3

UEFI memóriaattribútum-tábla megkövetelése

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
Value Name	HVCIMATRequired
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0

A Credential Guard konfigurálása:

0. Letiltva
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
   Value Name	LsaCfgFlags
   Value Type	REG_DWORD
   Value	0

1. Engedélyezve UEFI-zárolással
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
   Value Name	LsaCfgFlags
   Value Type	REG_DWORD
   Value	1

2. Engedélyezve zárolás nélkül
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
   Value Name	LsaCfgFlags
   Value Type	REG_DWORD
   Value	2

3. Nincs konfigurálva
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
   Value Name	LsaCfgFlags
   Value Type	REG_DWORD
   Value	3

Biztonságos indítás konfigurálása:

0. Nincs konfigurálva
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
   Value Name	ConfigureSystemGuardLaunch
   Value Type	REG_DWORD
   Value	0

1. Engedélyezve
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
   Value Name	ConfigureSystemGuardLaunch
   Value Type	REG_DWORD
   Value	1

2. Letiltva
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
   Value Name	ConfigureSystemGuardLaunch
   Value Type	REG_DWORD
   Value	2