Beveiliging op basis van virtualisatie inschakelen

Hiermee geeft u op of Beveiliging op basis van virtualisatie is ingeschakeld.

Beveiliging op basis van virtualisatie maakt gebruik van Windows Hypervisor als ondersteuning voor beveiligingsservices. Voor Beveiliging op basis van virtualisatie is Beveiligd opstarten vereist en het beleid kan eventueel ook worden ingeschakeld met behulp van DMA-beveiliging. Voor DMA-beveiliging is hardwareondersteuning vereist en deze kan alleen worden ingeschakeld op juist geconfigureerde apparaten.

Beveiliging van code-integriteit op basis van virtualisatie

Met deze instelling wordt beveiliging van code-integriteit in de kernelmodus op basis van virtualisatie ingeschakeld. Wanneer dit beleid is ingeschakeld, wordt de beveiliging van het kernelmodusgeheugen afgedwongen en wordt het validatiepad van code-integriteit beveiligd met het onderdeel Beveiliging op basis van virtualisatie.

Met de optie 'Uitgeschakeld' schakelt u Beveiliging van code-integriteit op basis van virtualisatie op afstand uit als dit onderdeel eerder was ingeschakeld met de optie 'Ingeschakeld zonder vergrendeling'.

Met de optie 'Ingeschakeld met UEFI-vergrendeling' zorgt u ervoor dat Beveiliging van code-integriteit op basis van virtualisatie niet op afstand kan worden uitgeschakeld. Als u het onderdeel wilt uitschakelen, moet u Groepsbeleid instellen op 'Uitgeschakeld' en moet u de beveiligingsfunctionaliteit van elke computer verwijderen, waarbij een gebruiker fysiek aanwezig moet zijn, om de overgebleven configuratie in UEFI te wissen.

Met de optie 'Ingeschakeld zonder vergrendeling' kan Beveiliging van code-integriteit op basis van virtualisatie op afstand worden uitgeschakeld met behulp van Groepsbeleid.

Met de optie 'Niet geconfigureerd' is de beleidsinstelling niet gedefinieerd. De beleidsinstelling wordt niet naar het register geschreven met Groepsbeleid en heeft dus geen effect op computers of gebruikers. Als er al een instelling in het register voorkomt, wordt deze niet gewijzigd.

Met de optie 'UEFI-geheugenkenmerkentabel vereisen' wordt Beveiliging op basis van virtualisatie van code-integriteit alleen ingeschakeld op apparaten met UEFI-firmwareondersteuning voor de geheugenkenmerkentabel. Apparaten zonder de UEFI-geheugenkenmerkentabel hebben mogelijk firmware die niet compatibel is met Beveiliging van code-integriteit op basis van virtualisatie, die in bepaalde gevallen kan leiden tot crashes, verlies van gegevens of onverenigbaarheid met bepaalde plug-inkaarten. Als deze optie niet wordt ingesteld, moeten de beoogde apparaten worden getest om de compatibiliteit te garanderen.

Waarschuwing: Alle stuurprogramma's op het systeem moeten compatibel zijn met dit onderdeel, anders kan het systeem vastlopen. Zorg ervoor dat deze beleidsinstelling alleen wordt geïmplementeerd op computers waarvan bekend is dat ze compatibel zijn.

Credential Guard

Met deze instelling kunnen gebruikers Credential Guard inschakelen met beveiliging op basis van virtualisatie om referenties beter te beschermen.

Met de optie 'Uitgeschakeld' schakelt u Credential Guard op afstand uit als dit onderdeel eerder was ingeschakeld met de optie 'Ingeschakeld zonder vergrendeling'.

Met de optie 'Ingeschakeld met UEFI-vergrendeling' zorgt u ervoor dat Credential Guard niet op afstand kan worden uitgeschakeld. Als u het onderdeel wilt uitschakelen, moet u Groepsbeleid instellen op 'Uitgeschakeld' en moet u de beveiligingsfunctionaliteit van elke computer verwijderen, waarbij een gebruiker fysiek aanwezig moet zijn, om de overgebleven configuratie in UEFI te wissen.

Met de optie 'Ingeschakeld zonder vergrendeling' kan Credential Guard op afstand worden uitgeschakeld met behulp van Groepsbeleid. Op de apparaten die gebruikmaken van deze instelling, moet minimaal Windows 10 (versie 1511) worden uitgevoerd.

Met de optie 'Niet geconfigureerd' is de beleidsinstelling niet gedefinieerd. De beleidsinstelling wordt niet naar het register geschreven met Groepsbeleid en heeft dus geen effect op computers of gebruikers. Als er al een instelling in het register voorkomt, wordt deze niet gewijzigd.

Beveiligd opstarten

Met deze instelling wordt de configuratie van Beveiligd opstarten ingesteld op beveiliging van de opstartketen.

De instelling 'Niet geconfigureerd' is de standaardinstelling en staat toe dat dit onderdeel wordt geconfigureerd door gebruikers met beheerdersbevoegdheden.

De optie 'Ingeschakeld' schakelt Beveiligd opstarten in op ondersteunde hardware.

De optie 'Uitgeschakeld' schakelt Beveiligd opstarten uit, ongeacht de hardwareondersteuning.

Ondersteund op: Minimaal Windows 10 Server, Windows 10 of Windows 10 RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
Value NameEnableVirtualizationBasedSecurity
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Selecteer het niveau van platformbeveiliging:


  1. Beveiligd opstarten
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameRequirePlatformSecurityFeatures
    Value TypeREG_DWORD
    Value1
  2. Beveiligd opstarten en DMA-beveiliging
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameRequirePlatformSecurityFeatures
    Value TypeREG_DWORD
    Value3

Beveiliging van code-integriteit op basis van virtualisatie:


  1. Uitgeschakeld
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameHypervisorEnforcedCodeIntegrity
    Value TypeREG_DWORD
    Value0
  2. Ingeschakeld met UEFI-vergrendeling
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameHypervisorEnforcedCodeIntegrity
    Value TypeREG_DWORD
    Value1
  3. Ingeschakeld zonder vergrendeling
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameHypervisorEnforcedCodeIntegrity
    Value TypeREG_DWORD
    Value2
  4. Niet geconfigureerd
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameHypervisorEnforcedCodeIntegrity
    Value TypeREG_DWORD
    Value3

UEFI-geheugenkenmerkentabel vereisen
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
Value NameHVCIMATRequired
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
Configuratie Credential Guardg:


  1. Uitgeschakeld
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameLsaCfgFlags
    Value TypeREG_DWORD
    Value0
  2. Ingeschakeld met UEFI-vergrendeling
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameLsaCfgFlags
    Value TypeREG_DWORD
    Value1
  3. Ingeschakeld zonder vergrendeling
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameLsaCfgFlags
    Value TypeREG_DWORD
    Value2
  4. Niet geconfigureerd
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameLsaCfgFlags
    Value TypeREG_DWORD
    Value3

Beveiligd starten-configuratie:


  1. Niet geconfigureerd
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameConfigureSystemGuardLaunch
    Value TypeREG_DWORD
    Value0
  2. Ingeschakeld
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameConfigureSystemGuardLaunch
    Value TypeREG_DWORD
    Value1
  3. Uitgeschakeld
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameConfigureSystemGuardLaunch
    Value TypeREG_DWORD
    Value2


deviceguard.admx

Beheersjablonen (computers)

Beheersjablonen (gebruikers)