Angir om virtualiseringsbasert sikkerhet er aktivert.
Virtualiseringsbasert sikkerhet bruker Windows Hypervisor til å gi støtte for sikkerhetstjenester. Virtualiseringsbasert sikkerhet krever Sikker oppstart og kan også aktiveres ved hjelp av DMA-beskyttelse. DMA-beskyttelse krever maskinvarestøtte og aktiveres bare på riktig konfigurerte enheter.
Virtualiseringsbasert beskyttelse av kodeintegritet
Denne innstillingen aktiverer virtualiseringsbasert beskyttelse av kodeintegritet i kjernemodus. Når dette er aktivert, håndheves beskyttelser for kjernemodusminnet, og banen for validering av kodeintegritet beskyttes av funksjonen for virtualiseringsbasert sikkerhet.
Alternativet Deaktivert deaktiverer virtualiseringsbasert beskyttelse av kodeintegritet eksternt hvis det tidligere ble aktivert med alternativet Aktivert uten lås.
Alternativet Aktivert med UEFI-lås sikrer at virtualiseringsbasert beskyttelse av kodeintegritet ikke kan deaktiveres eksternt. Hvis du vil deaktivere funksjonen, må du angi gruppepolicyen til Deaktivert og i tillegg fjerne sikkerhetsfunksjonene fra hver datamaskin som har en pålogget bruker, for å fjerne konfigurasjonen i UEFI.
Alternativet Aktivert uten lås gjør det mulig å deaktivere virtualiseringsbasert beskyttelse av kodeintegritet eksternt ved hjelp av gruppepolicy.
Alternativet Ikke konfigurert lar policyinnstillingen være udefinert. Gruppepolicy skriver ikke policyinnstillingen til registret, og dermed har den ingen innvirkning på datamaskiner eller brukere. Hvis det finnes en gjeldende innstilling i registret, blir den ikke endret.
Alternativet Krev attributtabellen for UEFI-minne aktiverer bare virtualiseringsbasert beskyttelse av kodeintegritet på enheter med UEFI-fastvarestøtte for minneattributtabellen. Enheter uten attributtabell for UEFI-minne kan ha fastvare som er inkompatibel med virtualiseringsbasert beskyttelse av kodeintegritet, som i enkelte tilfeller kan føre til krasj eller datatap eller manglende kompatibilitet med bestemte plugin-kort. Hvis du ikke angir dette alternativet, bør du teste enhetene for å sikre kompatibilitet.
Advarsel! Alle drivere i systemet må være kompatible med denne funksjonen, ellers kan det hende systemet krasjer. Sørg for at denne policyinnstillingen bare brukes på datamaskiner som er kjent for å være kompatible.
Credential Guard
Denne innstillingen lar brukere aktivere Credential Guard med virtualiseringsbasert sikkerhet for å bidra til å beskytte legitimasjon.
Alternativet Deaktivert deaktiverer Credential Guard eksternt hvis det tidligere ble aktivert med alternativet Aktivert uten lås.
Alternativet Aktivert med UEFI-lås sikrer at Credential Guard ikke kan deaktiveres eksternt. Hvis du vil deaktivere funksjonen, må du angi gruppepolicyen til Deaktivert og i tillegg fjerne sikkerhetsfunksjonene fra hver datamaskin som har en pålogget bruker, for å fjerne konfigurasjonen i UEFI.
Alternativet Aktivert uten lås tillater at Credential Guard deaktiveres eksternt ved hjelp av gruppepolicy. Enhetene som bruker denne innstillingen, må kjøre minst Windows 10 (versjon 1511).
Alternativet Ikke konfigurert lar policyinnstillingen være udefinert. Gruppepolicy skriver ikke policyinnstillingen til registret, og dermed har den ingen innvirkning på datamaskiner eller brukere. Hvis det finnes en innstilling i registret, blir den ikke endret.
Sikker oppstart
Denne innstillingen angir konfigurasjonen for Sikker oppstart til å sikre oppstartskjeden.
Innstillingen Ikke konfigurert er standard og tillater at funksjonen kan konfigureres av administratorer.
Alternativet Aktivert aktiverer Sikker oppstart på maskinvare som støttes.
Alternativet Deaktivert deaktiverer Sikker oppstart uavhengig av maskinvarestøtte.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | EnableVirtualizationBasedSecurity |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | RequirePlatformSecurityFeatures |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | RequirePlatformSecurityFeatures |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HVCIMATRequired |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | ConfigureSystemGuardLaunch |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | ConfigureSystemGuardLaunch |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | ConfigureSystemGuardLaunch |
Value Type | REG_DWORD |
Value | 2 |