Specifica se è abilitata la sicurezza basata su virtualizzazione.
La sicurezza basata su virtualizzazione usa Windows Hypervisor per fornire il supporto per i servizi di sicurezza. La sicurezza basata su virtualizzazione richiede l'avvio protetto e può essere abilitata facoltativamente con l'uso di protezioni DMA. Per le protezioni DMA è necessario il supporto hardware e verranno abilitate solo su dispositivi configurati correttamente.
Protezione basata su virtualizzazione dell'integrità del codice
Questa impostazione consente la protezione basata su virtualizzazione dell'integrità del codice in modalità kernel. Quando questa impostazione è abilitata, vengono applicate protezioni della memoria in modalità kernel e il percorso di convalida dell'integrità del codice è protetto dalla funzionalità di sicurezza basata su virtualizzazione.
L'opzione "Disabilitato" disattiva la protezione basata su virtualizzazione dell'integrità del codice in remoto se è stata precedentemente attivata con l'opzione "Abilitato senza blocco". L'opzione
"Abilitato con blocco UEFI" assicura che la protezione basata su virtualizzazione dell'integrità del codice non possa essere disabilitata in remoto. Per disabilitare la funzionalità, è necessario impostare il criterio di gruppo su "Disabilitato", nonché rimuovere la funzionalità di sicurezza da ogni computer con un utente fisicamente presente, per cancellare la configurazione salvata in UEFI.
L'opzione "Abilitato senza blocco" consente di disabilitare in remoto la protezione basata su virtualizzazione dell'integrità del codice usando Criteri di gruppo.
L'opzione "Non configurato" lascia indefinita l'impostazione. Criteri di gruppo non scrive l'impostazione nel Registro di sistema, quindi non ha effetti sui computer o gli utenti. Nel caso esista un'impostazione corrente nel Registro di sistema, questa non verrà modificata.
L'opzione "Richiedi tabella attributi di memoria UEFI " abilita la protezione basata su virtualizzazione dell'integrità del codice solo sui dispositivi con supporto del firmware UEFI per la tabella degli attributi di memoria. I dispositivi privi di tabella degli attributi di memoria UEFI potrebbero includere firmware incompatibile con la protezione basata su virtualizzazione dell'integrità del codice che in alcuni casi potrebbe comportare arresti anomali o perdita di dati o incompatibilità con alcune schede plug-in. Se questa opzione non viene impostata, i dispositivi di destinazione devono essere verificati per garantirne la compatibilità.
Avviso: tutti i driver nel sistema devono essere compatibili con questa funzionalità o potrebbe verificarsi un arresto anomalo del sistema. Verifica che questa impostazione dei criteri sia distribuita solo nei computer di cui è nota la compatibilità.
Credential Guard
Questa impostazione consente agli utenti di attivare Credential Guard con sicurezza basata su virtualizzazione per proteggere le credenziali.
L'opzione "Disabilitato" disattiva Credential Guard in remoto se era stato attivato in precedenza con l'opzione "Abilitato senza blocco".
L'opzione "Abilitato con blocco UEFI" assicura che Credential Guard non possa essere disabilitato in remoto. Per disabilitare la funzionalità, è necessario impostare il criterio di gruppo su "Disabilitato" e rimuovere le funzionalità di sicurezza da ogni computer con un utente fisicamente presente, per cancellare la configurazione salvata in UEFI.
L'opzione "Abilitato senza blocco" consente di disabilitare in remoto Credential Guard usando Criteri di gruppo. Nei dispositivi che usano questa impostazione deve essere in esecuzione almeno Windows 10 (versione 1511).
L'opzione "Non configurato" lascia indefinita l'impostazione. Criteri di gruppo non scrive l'impostazione nel Registro di sistema, quindi non ha effetti sui computer o gli utenti. Nel caso esista un'impostazione corrente nel Registro di sistema, questa non verrà modificata.
Avvio protetto
Questa impostazione definisce la configurazione di Avvio protetto per proteggere la catena di avvio.
L'impostazione "Non configurato" è il valore predefinito e consente la configurazione della funzionalità da parte di utenti con ruolo di amministrazione.
L'opzione "Abilitato" attiva Avvio protetto sull'hardware supportato.
L'opzione "Disabilitato"disattiva Avvio protetto, indipendentemente dal supporto hardware.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | EnableVirtualizationBasedSecurity |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | RequirePlatformSecurityFeatures |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | RequirePlatformSecurityFeatures |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HVCIMATRequired |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | ConfigureSystemGuardLaunch |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | ConfigureSystemGuardLaunch |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | ConfigureSystemGuardLaunch |
Value Type | REG_DWORD |
Value | 2 |