Fournisseur de services de configuration de stratégie - DeviceGuard
Important
Ce csp contient certains paramètres en cours de développement et qui s’appliquent uniquement aux builds Windows Insider Preview. Ces paramètres sont susceptibles d’être modifiés et peuvent avoir des dépendances vis-à-vis d’autres fonctionnalités ou services en préversion.
ConfigurerSystemGuardLaunch
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1809 [10.0.17763] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/ConfigureSystemGuardLaunch
Configuration du lancement sécurisé : 0 - Non géré, configurable par l’utilisateur administratif, 1 - Active le lancement sécurisé s’il est pris en charge par le matériel, 2 - Désactive le lancement sécurisé.
Pour plus d’informations sur System Guard, consultez Présentation de l’attestation d’exécution de Windows Defender System Guard et Comment une racine de confiance basée sur le matériel aide à protéger Windows 10.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | int |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeur par défaut | 0 |
Valeurs autorisées:
| Valeur | Description |
|---|---|
| 0 (par défaut) | Non managé Configurable par l’utilisateur administratif. |
| 1 | Unmanaged Active le lancement sécurisé s’il est pris en charge par le matériel. |
| 2 | Unmanaged désactive le lancement sécurisé. |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | VirtualizationBasedSecurity |
| Nom convivial | Activer la sécurité basée sur la virtualisation |
| Nom de l’élément | Configuration du lancement sécurisé. |
| Location | Configuration ordinateur |
| Chemin d'accès | System > Device Guard |
| Nom de la clé de Registre | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nom du fichier ADMX | DeviceGuard.admx |
EnableVirtualizationBasedSecurity
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ❌Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Active la sécurité basée sur la virtualisation (VBS)
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | int |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeur par défaut | 0 |
Valeurs autorisées:
| Valeur | Description |
|---|---|
| 0 (par défaut) | Désactivez la sécurité basée sur la virtualisation. |
| 1 | Activer la sécurité basée sur la virtualisation. |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | VirtualizationBasedSecurity |
| Nom convivial | Activer la sécurité basée sur la virtualisation |
| Location | Configuration ordinateur |
| Chemin d'accès | System > Device Guard |
| Nom de la clé de Registre | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nom de la valeur de Registre | EnableVirtualizationBasedSecurity |
| Nom du fichier ADMX | DeviceGuard.admx |
LsaCfgFlags
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
❌Pro ✅ Enterprise ✅ Éducation ❌Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Configuration de Credential Guard : 0 - Désactive CredentialGuard à distance si configuré précédemment sans verrouillage UEFI, 1 - Active CredentialGuard avec verrouillage UEFI. 2 - Active CredentialGuard sans verrouillage UEFI.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | int |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeur par défaut | 0 |
Valeurs autorisées:
| Valeur | Description |
|---|---|
| 0 (par défaut) | (Désactivé) Désactive Credential Guard à distance si elle est configurée précédemment sans verrouillage UEFI. |
| 1 | (Activé avec le verrou UEFI) Active Credential Guard avec verrouillage UEFI. |
| 2 | (Activé sans verrou) Active Credential Guard sans verrouillage UEFI. |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | VirtualizationBasedSecurity |
| Nom convivial | Activer la sécurité basée sur la virtualisation |
| Nom de l’élément | Configuration de Credential Guard. |
| Location | Configuration ordinateur |
| Chemin d'accès | System > Device Guard |
| Nom de la clé de Registre | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nom du fichier ADMX | DeviceGuard.admx |
MachineIdentityIsolation
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
❌Pro ✅ Enterprise ✅ Éducation ❌Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/MachineIdentityIsolation
Isolation de l’identité de l’ordinateur : 0 : le mot de passe de l’ordinateur est uniquement lié à LSASS et stocké dans $MACHINE. Clé de Registre ACC. 1 - Mot de passe de l’ordinateur lié à LSASS et lié à IUM. Il est stocké dans $MACHINE. ACC et $MACHINE. ACC. Clés de Registre IUM. 2 - Le mot de passe de l’ordinateur est uniquement lié à IUM et stocké dans $MACHINE. ACC. Clé de Registre IUM.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | int |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeur par défaut | 0 |
Valeurs autorisées:
| Valeur | Description |
|---|---|
| 0 (par défaut) | (Désactivé) Le mot de passe de l’ordinateur est uniquement lié à LSASS et stocké dans $MACHINE. Clé de Registre ACC. |
| 1 | (Activé en mode audit) Mot de passe de l’ordinateur lié à LSASS et à IUM. Il est stocké dans $MACHINE. ACC et $MACHINE. ACC. Clés de Registre IUM. |
| 2 | (Activé en mode d’application) Le mot de passe de l’ordinateur est uniquement lié à IUM et stocké dans $MACHINE. ACC. Clé de Registre IUM. |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | VirtualizationBasedSecurity |
| Nom convivial | Activer la sécurité basée sur la virtualisation |
| Nom de l’élément | Configuration de l’isolation de l’identité de la machine. |
| Location | Configuration ordinateur |
| Chemin d'accès | System > Device Guard |
| Nom de la clé de Registre | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nom du fichier ADMX | DeviceGuard.admx |
RequirePlatformSecurityFeatures
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
❌Pro ✅ Enterprise ✅ Éducation ❌Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/RequirePlatformSecurityFeatures
Sélectionnez Niveau de sécurité de la plateforme : 1 - Active VBS avec démarrage sécurisé, 3 - Active VBS avec démarrage sécurisé et DMA. DMA nécessite une prise en charge matérielle.
Ce paramètre permet aux utilisateurs d’activer Credential Guard avec une sécurité basée sur la virtualisation pour protéger les informations d’identification au prochain redémarrage. La type de valeur est un entier.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | int |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeur par défaut | 1 |
Valeurs autorisées:
| Valeur | Description |
|---|---|
| 1 (par défaut) | Active VBS avec démarrage sécurisé. |
| 3 | Active VBS avec démarrage sécurisé et accès direct à la mémoire (DMA). DMA nécessite une prise en charge matérielle. |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | VirtualizationBasedSecurity |
| Nom convivial | Activer la sécurité basée sur la virtualisation |
| Nom de l’élément | Sélectionnez Niveau de sécurité de la plateforme. |
| Location | Configuration ordinateur |
| Chemin d'accès | System > Device Guard |
| Nom de la clé de Registre | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nom du fichier ADMX | DeviceGuard.admx |