Aktivera virtualiseringsbaserad säkerhet

Anger om Virtualiseringsbaserad säkerhet är aktiverat.

Virtualiseringsbaserad säkerhet använder Windows-hypervisorn för att ge stöd åt säkerhetstjänster. Virtualiseringsbaserad säkerhet kräver Säker start, och det kan aktiveras för att användas med DMA-skydd. DMA-skydd kräver maskinvarustöd och det kan endast aktiveras på enheter som är korrekt konfigurerade.

Virtualiseringsbaserat skydd för kodintegritet

Den här inställningen aktiverar virtualiseringsbaserat skydd för kodintegritet i kernelläge. När den är aktiverad framtvingas minnesskydd i kernelläge, och sökvägen för kodintegritetsverifiering skyddas av funktionen Virtualiseringsbaserad säkerhet.

Alternativet Inaktiverad fjärrinaktiverar Virtualiseringsbaserat skydd för kodintegritet om det tidigare var aktiverat med alternativet Aktiverat utan lås.

Alternativet Aktiverat med UEFI-lås säkerställer att Virtualiseringsbaserat skydd för kodintegritet inte kan fjärrinaktiveras. Om du vill inaktivera funktionen måste du sätta grupprincipen till Inaktiverad och ta bort säkerhetsfunktionen från alla datorer (med användarna fysiskt närvarande), för att kunna rensa den sparade konfigurationen i UEFI.

Alternativet Aktiverat utan lås gör att Virtualiseringsbaserat skydd för kodintegritet kan fjärrinaktiveras med hjälp av en grupprincip.

Alternativet Inte konfigurerad innebär att principinställningen inte är definierad. Grupprincipen skriver inte principinställningen i registret, vilket innebär att den inte har någon effekt för datorer och användare. Om det redan finns en inställning i registret ändras den inte.

Alternativet Kräv UEFI-stöd för minnesattributtabellen aktiverar endast Virtualiseringsbaserat skydd för kodintegritet på enheter med UEFI-stöd för minnesattributtabellen. Enheter utan UEFI-stöd för minnesattributtabellen kan ha inbyggd programvara som är inkompatibel med Virtualiseringsbaserat skydd för kodintegritet vilket i vissa fall kan leda till krascher eller dataförlust eller inkompatibilitet med vissa plugin-kort. Om den här inställningen inte används bör målenheterna testas för att säkerställa kompatibilitet.

Varning! Alla drivrutiner i systemet måste vara kompatibla med den här funktionen, annars kan systemet krascha. Se till att den här principinställningen endast distriberas på datorer som är kända för att vara kompatibla.

Credential Guard

Med den här inställningen kan användare aktivera Credential Guard med virtualiseringsbaserad säkerhet för att bättre skydda autentiseringsuppgifter.

Alternativet Inaktiverad fjärrinaktiverar Credential Guard om det tidigare var aktiverat med alternativet Aktiverat utan lås.

Alternativet Aktiverat med UEFI-lås säkerställer att Credential Guard inte kan fjärrinaktiveras. Om du vill inaktivera funktionen måste du sätta grupprincipen till Inaktiverad och ta bort säkerhetsfunktionen från alla datorer (med användarna fysiskt närvarande), för att kunna rensa den sparade konfigurationen i UEFI.

Alternativet Aktiverat utan lås gör att Credential Guard kan fjärrinaktiveras med hjälp av en grupprincip. Windows 10 (version 1511) eller senare måste köras på de enheter som använder den här inställningen.

Alternativet Inte konfigurerad innebär att principinställningen inte är definierad. Grupprincipen skriver inte principinställningen i registret, vilket innebär att den inte har någon effekt för datorer och användare. Om det redan finns en inställning i registret ändras den inte.

Säker start

Med den här inställningen ställs konfigurationen för Säker start in till att säkra startkedjan.

Inställningen Inte konfigurerad är standard och gör att administratörsanvändare kan ställa in funktionen.

Alternativet Aktiverad aktiverar Säker start på maskinvara som stöds.

Alternativet Inaktiverad inaktiverar Säker start oavsett maskinvarustöd.

Stöds på: Minst Windows 10 Server, Windows 10 eller Windows 10 RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
Value NameEnableVirtualizationBasedSecurity
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Välj säkerhetsnivå för plattform:


  1. Säker start
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameRequirePlatformSecurityFeatures
    Value TypeREG_DWORD
    Value1
  2. Säker start och DMA-skydd
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameRequirePlatformSecurityFeatures
    Value TypeREG_DWORD
    Value3

Virtualiseringsbaserat skydd för kodintegritet:


  1. Inaktiverad
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameHypervisorEnforcedCodeIntegrity
    Value TypeREG_DWORD
    Value0
  2. Aktiverat med UEFI-lås
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameHypervisorEnforcedCodeIntegrity
    Value TypeREG_DWORD
    Value1
  3. Aktiverat utan lås
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameHypervisorEnforcedCodeIntegrity
    Value TypeREG_DWORD
    Value2
  4. Inte konfigurerad
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameHypervisorEnforcedCodeIntegrity
    Value TypeREG_DWORD
    Value3

Kräv UEFI-stöd för minnesattributtabellen
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
Value NameHVCIMATRequired
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
Konfiguration för Credential Guard:


  1. Inaktiverad
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameLsaCfgFlags
    Value TypeREG_DWORD
    Value0
  2. Aktiverat med UEFI-lås
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameLsaCfgFlags
    Value TypeREG_DWORD
    Value1
  3. Aktiverat utan lås
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameLsaCfgFlags
    Value TypeREG_DWORD
    Value2
  4. Inte konfigurerad
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameLsaCfgFlags
    Value TypeREG_DWORD
    Value3

Konfiguration för säker start:


  1. Inte konfigurerad
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameConfigureSystemGuardLaunch
    Value TypeREG_DWORD
    Value0
  2. Aktiverad
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameConfigureSystemGuardLaunch
    Value TypeREG_DWORD
    Value1
  3. Inaktiverad
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\Windows\DeviceGuard
    Value NameConfigureSystemGuardLaunch
    Value TypeREG_DWORD
    Value2


deviceguard.admx

Administrativa mallar (datorer)

Administrativa mallar (användare)