Especifica se a Segurança Baseada em Virtualização está ativada.
A Segurança Baseada em Virtualização utiliza o Hipervisor do Windows para prestar assistência a serviços de segurança. A Segurança Baseada em Virtualização necessita de Arranque Seguro e, opcionalmente, pode ser ativada utilizando Proteções DMA. As proteções DMA necessitam de suporte ao hardware e só serão ativadas em dispositivos configurados corretamente.
Proteção Baseada em Virtualização da Integridade do Código
Esta definição ativa a proteção baseada em virtualização da Integridade do Código do Modo Kernel. Quando ativada, as proteções de memória do modo kernel são aplicadas e o caminho de validação da Integridade do Código é protegido pela funcionalidade de Segurança Baseada em Virtualização.
A opção "Desativado" desliga remotamente a Proteção Baseada em Virtualização da Integridade do Código caso esta tenha sido anteriormente ligada através da opção "Ativado sem bloqueio".
A opção "Ativado com bloqueio UEFI" assegura que a Proteção Baseada em Virtualização da Integridade do Código não pode ser desativada remotamente. Para desativar a funcionalidade, tem de definir a Política de Grupo para "Desativado" e remover a funcionalidade de segurança de cada computador, com um utilizador fisicamente presente, de forma a limpar a configuração persistente na UEFI.
A opção "Ativado sem bloqueio" permite desativar remotamente a Proteção Baseada em Virtualização da Integridade do Código através da utilização da Política de Grupo.
A opção "Não Configurado" deixa a definição de política indefinida. A Política de Grupo não escreve a definição de política no registo, pelo que não tem qualquer impacto nos computadores ou utilizadores. Se existir uma definição atual no registo, não será modificada.
A opção "Exigir Tabela de Atributos de Memória UEFI" apenas irá ativar a Proteção Baseada em Virtualização da Integridade do Código em dispositivos com suporte de firmware UEFI para a Tabela de Atributos de Memória UEFI. Os dispositivos sem a Tabela de Atributos de Memória UEFI podem ter firmware incompatível com a Proteção Baseada em Virtualização da Integridade do Código, o que, em alguns casos, pode originar falhas ou perdas de dados ou incompatibilidades com determinadas placas plug-in. Caso contrário, deverá testar-se a definição desta opção nos dispositivos de destino, de forma a garantir a compatibilidade.
Aviso: Todos os controladores no sistema têm de ser compatíveis com esta funcionalidade ou pode ocorrer uma falha de sistema. Certifique-se de que esta definição de política apenas é implementada em computadores cuja compatibilidade seja conhecida.
Credential Guard
Esta definição permite aos utilizadores ligar o Credential Guard com segurança baseada em virtualização para ajudar a proteger credenciais.
A opção "Desativado" desliga remotamente o Credential Guard caso este tenha sido anteriormente ligado através da opção "Ativado sem bloqueio".
A opção "Ativado com bloqueio UEFI" assegura que o Credential Guard não pode ser desativado remotamente. Para desativar a funcionalidade, tem de definir a Política de Grupo como "Desativado" e remover a funcionalidade de segurança de cada computador, com um utilizador fisicamente presente, para limpar a configuração persistente na UEFI.
A opção "Ativado sem bloqueio" permite desativar remotamente o Credential Guard através da utilização da Política de Grupo. Os dispositivos que utilizam esta definição têm de ter, pelo menos, o Windows 10 (Versão 1511).
A opção "Não Configurado" deixa a definição de política indefinida. A Política de Grupo não escreve a definição de política no registo, pelo que não tem qualquer impacto nos computadores ou utilizadores. Se existir uma definição atual no registo, não será modificada.
Iniciação Segura
Esta definição configura a Iniciação Segura para proteger a cadeia de arranque.
A definição "Não Configurado" é a predefinição e permite a configuração da funcionalidade por utilizadores Administrativos.
A opção "Ativado" liga a Iniciação Segura no hardware suportado.
A opção "Desativado" desliga a Iniciação Segura, independentemente do suporte de hardware.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | EnableVirtualizationBasedSecurity |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | RequirePlatformSecurityFeatures |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | RequirePlatformSecurityFeatures |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HypervisorEnforcedCodeIntegrity |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | HVCIMATRequired |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | LsaCfgFlags |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | ConfigureSystemGuardLaunch |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | ConfigureSystemGuardLaunch |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
Value Name | ConfigureSystemGuardLaunch |
Value Type | REG_DWORD |
Value | 2 |