CSP de directiva: DeviceGuard
Importante
Este CSP contiene algunas configuraciones que están en desarrollo y que solo se aplican a las compilaciones de Windows Insider Preview. Esta configuración está sujeta a cambios y puede tener dependencias en otras características o servicios en versión preliminar.
ConfigureSystemGuardLaunch
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/ConfigureSystemGuardLaunch
Configuración de inicio seguro: 0: no administrado, configurable por el usuario administrativo, 1: habilita el inicio seguro si lo admite el hardware, 2: deshabilita el inicio seguro.
Para obtener más información sobre Protección del sistema, consulta Introducción a la atestación en tiempo de ejecución de Windows Defender Protección del sistema y Cómo una raíz de confianza basada en hardware ayuda a proteger Windows 10.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Configurable no administrado por el usuario administrativo. |
| 1 | Unmanaged Habilita el inicio seguro si es compatible con hardware. |
| 2 | Unmanaged deshabilita el inicio seguro. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | VirtualizationBasedSecurity |
| Nombre descriptivo | Activar la seguridad basada en virtualización |
| Nombre del elemento | Configuración de inicio seguro. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Protección de dispositivos del sistema > |
| Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nombre de archivo ADMX | DeviceGuard.admx |
EnableVirtualizationBasedSecurity
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ❌ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Activa la seguridad basada en virtualización (VBS)
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Deshabilite la seguridad basada en virtualización. |
| 1 | Habilite la seguridad basada en virtualización. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | VirtualizationBasedSecurity |
| Nombre descriptivo | Activar la seguridad basada en virtualización |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Protección de dispositivos del sistema > |
| Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nombre del valor de registro | EnableVirtualizationBasedSecurity |
| Nombre de archivo ADMX | DeviceGuard.admx |
LsaCfgFlags
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
❌ Pro ✅ Empresa ✅ Educación ❌ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Configuración de Credential Guard: 0 - Desactiva CredentialGuard de forma remota si se configuró anteriormente sin bloqueo UEFI, 1 - Activa CredentialGuard con bloqueo UEFI. 2 - Activa CredentialGuard sin bloqueo UEFI.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | (Deshabilitado) Desactiva Credential Guard de forma remota si se configuró anteriormente sin bloqueo UEFI. |
| 1 | (Habilitado con bloqueo UEFI) Activa Credential Guard con bloqueo UEFI. |
| 2 | (Habilitado sin bloqueo) Activa Credential Guard sin bloqueo UEFI. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | VirtualizationBasedSecurity |
| Nombre descriptivo | Activar la seguridad basada en virtualización |
| Nombre del elemento | Configuración de Credential Guard. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Protección de dispositivos del sistema > |
| Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nombre de archivo ADMX | DeviceGuard.admx |
MachineIdentityIsolation
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
❌ Pro ✅ Empresa ✅ Educación ❌ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/MachineIdentityIsolation
Aislamiento de identidad de máquina: 0: la contraseña de la máquina solo está enlazada a LSASS y se almacena en $MACHINE. Clave del Registro ACC. 1: contraseña de máquina enlazada a LSASS y enlazada a IUM. Se almacena en $MACHINE. ACC y $MACHINE. ACC. Claves del Registro IUM. 2: la contraseña de la máquina solo está enlazada a IUM y se almacena en $MACHINE. ACC. Clave del Registro IUM.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | (Deshabilitado) La contraseña de la máquina solo está enlazada a LSASS y se almacena en $MACHINE. Clave del Registro ACC. |
| 1 | (Habilitado en modo de auditoría) Contraseña de máquina enlazada a LSASS y enlazada a IUM. Se almacena en $MACHINE. ACC y $MACHINE. ACC. Claves del Registro IUM. |
| 2 | (Habilitado en modo de cumplimiento) La contraseña de la máquina solo está enlazada a IUM y se almacena en $MACHINE. ACC. Clave del Registro IUM. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | VirtualizationBasedSecurity |
| Nombre descriptivo | Activar la seguridad basada en virtualización |
| Nombre del elemento | Configuración de aislamiento de identidad de máquina. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Protección de dispositivos del sistema > |
| Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nombre de archivo ADMX | DeviceGuard.admx |
RequirePlatformSecurityFeatures
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
❌ Pro ✅ Empresa ✅ Educación ❌ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/RequirePlatformSecurityFeatures
Seleccione Nivel de seguridad de la plataforma: 1: activa VBS con arranque seguro, 3: activa VBS con arranque seguro y DMA. DMA requiere compatibilidad con hardware.
Esta configuración permite a los usuarios activar Credential Guard con seguridad basada en virtualización para ayudar a proteger las credenciales en el próximo reinicio. El tipo de valor es entero.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 1 (valor predeterminado) | Activa VBS con arranque seguro. |
| 3 | Activa VBS con arranque seguro y acceso directo a la memoria (DMA). DMA requiere compatibilidad con hardware. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | VirtualizationBasedSecurity |
| Nombre descriptivo | Activar la seguridad basada en virtualización |
| Nombre del elemento | Seleccione Nivel de seguridad de la plataforma. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Protección de dispositivos del sistema > |
| Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nombre de archivo ADMX | DeviceGuard.admx |