Richtlinien-CSP – DeviceGuard
Wichtig
Dieser CSP enthält einige Einstellungen, die sich in der Entwicklung befinden und nur für Windows Insider Preview-Builds gelten. Diese Einstellungen können geändert werden und weisen möglicherweise Abhängigkeiten von anderen Vorschau-Features oder -Diensten auf.
ConfigureSystemGuardLaunch
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/ConfigureSystemGuardLaunch
Konfiguration des sicheren Starts: 0 – Nicht verwaltet, vom Administrator konfigurierbar, 1 – Aktiviert den sicheren Start, falls von der Hardware unterstützt, 2 – Deaktiviert den sicheren Start.
Weitere Informationen zu Systemüberwachung finden Sie unter Introducing Windows Defender Systemüberwachung runtime attestation and How a hardware-based trust root of trust helps protect Windows 10.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Nicht verwaltet Konfigurierbar durch Administratorbenutzer. |
| 1 | Nicht verwaltet Aktiviert den sicheren Start, wenn es von der Hardware unterstützt wird. |
| 2 | Nicht verwaltet Deaktiviert den sicheren Start. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | VirtualizationBasedSecurity |
| Anzeigename | Aktivieren der virtualisierungsbasierten Sicherheit |
| Elementname | Konfiguration für den sicheren Start. |
| Location | Computerkonfiguration |
| Pfad | System > Device Guard |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| ADMX-Dateiname | DeviceGuard.admx |
EnableVirtualizationBasedSecurity
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ❌ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Aktiviert virtualisierungsbasierte Sicherheit (VBS)
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Deaktivieren Sie virtualisierungsbasierte Sicherheit. |
| 1 | Aktivieren Sie virtualisierungsbasierte Sicherheit. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | VirtualizationBasedSecurity |
| Anzeigename | Aktivieren der virtualisierungsbasierten Sicherheit |
| Location | Computerkonfiguration |
| Pfad | System > Device Guard |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Name des Registrierungswertes | EnableVirtualizationBasedSecurity |
| ADMX-Dateiname | DeviceGuard.admx |
LsaCfgFlags
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
❌ Pro ✅ Enterprise ✅ Education ❌ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Credential Guard-Konfiguration: 0 – Deaktiviert CredentialGuard remote, wenn es zuvor ohne UEFI-Sperre konfiguriert wurde, 1 : Aktiviert CredentialGuard mit UEFI-Sperre. 2 : Aktiviert CredentialGuard ohne UEFI-Sperre.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | (Deaktiviert) Deaktiviert Credential Guard remote, wenn zuvor ohne UEFI-Sperre konfiguriert wurde. |
| 1 | (Aktiviert mit UEFI-Sperre) Aktiviert Credential Guard mit UEFI-Sperre. |
| 2 | (Ohne Sperre aktiviert) Aktiviert Credential Guard ohne UEFI-Sperre. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | VirtualizationBasedSecurity |
| Anzeigename | Aktivieren der virtualisierungsbasierten Sicherheit |
| Elementname | Credential Guard-Konfiguration. |
| Location | Computerkonfiguration |
| Pfad | System > Device Guard |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| ADMX-Dateiname | DeviceGuard.admx |
MachineIdentityIsolation
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
❌ Pro ✅ Enterprise ✅ Education ❌ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/MachineIdentityIsolation
Computeridentitätsisolation: 0 – Das Computerkennwort ist nur LSASS-gebunden und wird in $MACHINE gespeichert. ACC-Registrierungsschlüssel. 1 – Computerkennwort sowohl LSASS-gebunden als auch IUM-gebunden. Sie wird in $MACHINE gespeichert. ACC und $MACHINE. ACC. IUM-Registrierungsschlüssel. 2 – Das Computerkennwort ist nur IUM-gebunden und wird in $MACHINE gespeichert. ACC. IUM-Registrierungsschlüssel.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | (Deaktiviert) Das Computerkennwort ist nur LSASS-gebunden und wird in $MACHINE gespeichert. ACC-Registrierungsschlüssel. |
| 1 | (Aktiviert im Überwachungsmodus) Computerkennwort sowohl LSASS-gebunden als auch IUM-gebunden. Sie wird in $MACHINE gespeichert. ACC und $MACHINE. ACC. IUM-Registrierungsschlüssel. |
| 2 | (Aktiviert im Erzwingungsmodus) Das Computerkennwort ist nur IUM-gebunden und wird in $MACHINE gespeichert. ACC. IUM-Registrierungsschlüssel. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | VirtualizationBasedSecurity |
| Anzeigename | Aktivieren der virtualisierungsbasierten Sicherheit |
| Elementname | Konfiguration der Computeridentitätsisolation. |
| Location | Computerkonfiguration |
| Pfad | System > Device Guard |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| ADMX-Dateiname | DeviceGuard.admx |
RequirePlatformSecurityFeatures
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
❌ Pro ✅ Enterprise ✅ Education ❌ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/RequirePlatformSecurityFeatures
Wählen Sie Plattformsicherheitsstufe aus: 1 – Aktiviert VBS mit sicherem Start, 3 – Aktiviert VBS mit sicherem Start und DMA. DMA erfordert Hardwareunterstützung.
Mit dieser Einstellung können Benutzer Credential Guard mit virtualisierungsbasierter Sicherheit aktivieren, um Anmeldeinformationen beim nächsten Neustart zu schützen. Der Werttyp ist eine ganze Zahl.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 (Standard) | Aktiviert VBS mit sicherem Start. |
| 3 | Aktiviert VBS mit sicherem Start und direktem Speicherzugriff (DMA). DMA erfordert Hardwareunterstützung. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | VirtualizationBasedSecurity |
| Anzeigename | Aktivieren der virtualisierungsbasierten Sicherheit |
| Elementname | Wählen Sie Plattformsicherheitsstufe aus. |
| Location | Computerkonfiguration |
| Pfad | System > Device Guard |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| ADMX-Dateiname | DeviceGuard.admx |