Włącz zabezpieczenia oparte na wirtualizacji

Określa, czy są włączone zabezpieczenia oparte na wirtualizacji.

Zabezpieczenia oparte na wirtualizacji używają funkcji hypervisor systemu Windows, aby zapewnić obsługę usług zabezpieczeń. Zabezpieczenia oparte na wirtualizacji wymagają bezpiecznego rozruchu i opcjonalnie mogą być włączane przy użyciu ochrony DMA. Ochrona DMA wymaga obsługi sprzętowej i można ją włączyć tylko na odpowiednio skonfigurowanych urządzeniach.

Ochrona integralności kodu oparta na wirtualizacji.

To ustawienie włącza opartą na wirtualizacji ochronę integralności kodu trybu jądra. Jeśli to ustawienie zostanie włączone, będzie wymuszana ochrona pamięci trybu jądra, a ścieżka weryfikacji integralności będzie chroniona przez funkcję zabezpieczeń opartych na wirtualizacji.

Ustawienie opcji "Wyłączone" powoduje zdalne wyłączenie ochrony integralności kodu opartej na wirtualizacji, jeśli została ona wcześniej włączona za pomocą opcji "Włączone bez blokady".

Opcja "Włączone z blokadą UEFI" uniemożliwia zdalne wyłączenie ochrony integralności kodu opartej na wirtualizacji. Aby wyłączyć tę funkcję, musisz ustawić opcję "Wyłączone" dla zasad grupy, a także usunąć funkcję zabezpieczeń z każdego komputera, gdy użytkownik znajduje się fizycznie przy komputerze, w celu wyczyszczenia konfiguracji utrwalonej w interfejsie UEFI.

Opcja "Włączone bez blokady" umożliwia zdalne wyłączenie ochrony integralności kodu opartej na wirtualizacji za pomocą zasad grupy.

Opcja "Nie skonfigurowano" powoduje pozostawienie tego ustawienia zasad w stanie niezdefiniowanym. Zasady grupy nie zapisują tego ustawienia zasad w rejestrze, więc nie ma ono wpływu na komputery i użytkowników. Jeśli istnieje bieżące ustawienie w rejestrze, nie zostanie ono zmodyfikowane.

Opcja "Wymagaj tabeli atrybutów pamięci UEFI" będzie włączać ochronę integralności kodu opartą na wirtualizacji tylko na urządzeniach zawierających oprogramowanie układowe UEFI obsługujące tabelę atrybutów pamięci. Urządzenia bez tabeli atrybutów pamięci UEFI mogą mieć oprogramowanie układowe niezgodne z ochroną integralności kodu opartą na wirtualizacji, co w pewnych sytuacjach może powodować awarie lub utratę danych albo brak zgodności z niektórymi wkładanymi kartami. Jeśli ta opcja nie zostanie ustawiona, należy przetestować urządzenia docelowe pod kątem zgodności.

Ostrzeżenie: Wszystkie sterowniki w systemie muszą być zgodne z tą funkcją. W przeciwnym razie system może ulec awarii. Upewnij się, że to ustawienie zasad jest wdrażane tylko na zgodnych komputerach.

Credential Guard

To ustawienie umożliwia użytkownikom włączanie funkcji Credential Guard z zabezpieczeniami opartymi na wirtualizacji w celu lepszej ochrony poświadczeń.

Ustawienie opcji "Wyłączone" powoduje zdalne wyłączenie funkcji Credential Guard, jeśli została ona wcześniej włączona za pomocą opcji "Włączone bez blokady".

Opcja "Włączone z blokadą UEFI" uniemożliwia zdalne wyłączenie funkcji Credential Guard. Aby wyłączyć tę funkcję, musisz ustawić opcję "Wyłączone" dla zasad grupy, a także usunąć funkcję zabezpieczeń z każdego komputera, gdy użytkownik znajduje się fizycznie przy komputerze, w celu wyczyszczenia konfiguracji utrwalonej w interfejsie UEFI.

Opcja "Włączone bez blokady" umożliwia zdalne wyłączenie funkcji Credential Guard za pomocą zasad grupy. Tego ustawienia można używać wyłącznie na urządzeniach z systemem Windows 10 (wersja 1511) lub nowszym.

Opcja "Nie skonfigurowano" powoduje pozostawienie tego ustawienia zasad w stanie niezdefiniowanym. Zasady grupy nie zapisują tego ustawienia zasad w rejestrze, więc nie ma ono wpływu na komputery i użytkowników. Jeśli istnieje bieżące ustawienie w rejestrze, nie zostanie ono zmodyfikowane.

Bezpieczne uruchomienie

To ustawienie konfiguruje funkcję Bezpieczne uruchomienie do zabezpieczania łańcucha rozruchu.

Domyślne ustawienie "Nie skonfigurowano" umożliwia konfigurowanie tej funkcji przez użytkowników administracyjnych.

Opcja "Włączone" powoduje włączenie funkcji Bezpieczne uruchomienie na obsługiwanym sprzęcie.

Opcja "Wyłączone" powoduje wyłączenie funkcji Bezpieczne uruchomienie, niezależnie od obsługi sprzętowej.

Obsługiwane na: Co najmniej Windows 10 Server, Windows 10 lub Windows 10 RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
Value NameEnableVirtualizationBasedSecurity
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Wybierz poziom zabezpieczeń platformy:


  1. Bezpieczny rozruch
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameRequirePlatformSecurityFeatures
    Value TypeREG_DWORD
    Value1
  2. Bezpieczny rozruch i ochrona DMA
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameRequirePlatformSecurityFeatures
    Value TypeREG_DWORD
    Value3

Ochrona integralności kodu oparta na wirtualizacji:


  1. Wyłączone
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameHypervisorEnforcedCodeIntegrity
    Value TypeREG_DWORD
    Value0
  2. Włączone z blokadą UEFI
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameHypervisorEnforcedCodeIntegrity
    Value TypeREG_DWORD
    Value1
  3. Włączone bez blokady
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameHypervisorEnforcedCodeIntegrity
    Value TypeREG_DWORD
    Value2
  4. Nie skonfigurowano
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameHypervisorEnforcedCodeIntegrity
    Value TypeREG_DWORD
    Value3

Wymagaj tabeli atrybutów pamięci UEFI
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
Value NameHVCIMATRequired
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
Konfiguracja funkcji Credential Guard:


  1. Wyłączone
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameLsaCfgFlags
    Value TypeREG_DWORD
    Value0
  2. Włączone z blokadą UEFI
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameLsaCfgFlags
    Value TypeREG_DWORD
    Value1
  3. Włączone bez blokady
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameLsaCfgFlags
    Value TypeREG_DWORD
    Value2
  4. Nie skonfigurowano
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameLsaCfgFlags
    Value TypeREG_DWORD
    Value3

Konfiguracja funkcji Bezpieczne uruchomienie:


  1. Nie skonfigurowano
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameConfigureSystemGuardLaunch
    Value TypeREG_DWORD
    Value0
  2. Włączone
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameConfigureSystemGuardLaunch
    Value TypeREG_DWORD
    Value1
  3. Wyłączone
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameConfigureSystemGuardLaunch
    Value TypeREG_DWORD
    Value2


deviceguard.admx

Szablony administracyjne (Komputery)

Szablony administracyjne (Użytkownicy)