Provider di servizi di configurazione dei criteri - DeviceGuard
Importante
Questo CSP contiene alcune impostazioni in fase di sviluppo e applicabili solo per le compilazioni Windows Insider Preview. Queste impostazioni sono soggette a modifiche e potrebbero avere dipendenze da altre funzionalità o servizi in anteprima.
ConfigureSystemGuardLaunch
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1809 [10.0.17763] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/ConfigureSystemGuardLaunch
Configurazione avvio sicuro: 0 - Non gestito, configurabile dall'utente amministrativo, 1 - Abilita avvio sicuro se supportato dall'hardware, 2 - Disabilita l'avvio sicuro.
Per altre informazioni sui Protezione del sistema, vedere Introduzione all'attestazione di runtime di Windows Defender Protezione del sistema e Come una radice di attendibilità basata su hardware consente di proteggere Windows 10.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Configurabile dall'utente amministratore non gestito. |
| 1 | Unmanaged Abilita l'avvio sicuro se supportato dall'hardware. |
| 2 | Disabilita l'avvio protetto non gestito. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | VirtualizationBasedSecurity |
| Nome descrittivo | Attivare la Sicurezza basata sulla virtualizzazione |
| Nome elemento | Configurazione avvio sicuro. |
| Posizione | Configurazione computer |
| Percorso | Protezione dispositivo di sistema > |
| Nome della chiave del Registro di sistema | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nome file ADMX | DeviceGuard.admx |
EnableVirtualizationBasedSecurity
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ❌Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1709 [10.0.16299] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Attiva la sicurezza basata sulla virtualizzazione (VBS)
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disabilitare la sicurezza basata sulla virtualizzazione. |
| 1 | Abilitare la sicurezza basata sulla virtualizzazione. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | VirtualizationBasedSecurity |
| Nome descrittivo | Attivare la Sicurezza basata sulla virtualizzazione |
| Posizione | Configurazione computer |
| Percorso | Protezione dispositivo di sistema > |
| Nome della chiave del Registro di sistema | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nome del valore del registro | EnableVirtualizationBasedSecurity |
| Nome file ADMX | DeviceGuard.admx |
LsaCfgFlags
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
❌ Pro ✅ Enterprise ✅ Education ❌Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1709 [10.0.16299] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Configurazione di Credential Guard: 0 - Disattiva CredentialGuard in remoto se configurato in precedenza senza blocco UEFI, 1 - Attiva CredentialGuard con blocco UEFI. 2 - Attiva CredentialGuard senza blocco UEFI.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | (Disabilitato) Disattiva Credential Guard in remoto se configurato in precedenza senza blocco UEFI. |
| 1 | (Abilitato con blocco UEFI) Attiva Credential Guard con blocco UEFI. |
| 2 | (Abilitato senza blocco) Attiva Credential Guard senza blocco UEFI. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | VirtualizationBasedSecurity |
| Nome descrittivo | Attivare la Sicurezza basata sulla virtualizzazione |
| Nome elemento | Configurazione di Credential Guard. |
| Posizione | Configurazione computer |
| Percorso | Protezione dispositivo di sistema > |
| Nome della chiave del Registro di sistema | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nome file ADMX | DeviceGuard.admx |
MachineIdentityIsolation
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
❌ Pro ✅ Enterprise ✅ Education ❌Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/MachineIdentityIsolation
Isolamento identità computer: 0 : la password del computer è associata solo a LSASS e archiviata in $MACHINE. Chiave del Registro di sistema ACC. 1 - Password del computer associata a LSASS e associata a IUM. Viene archiviato in $MACHINE. ACC e $MACHINE. ACC. Chiavi del Registro di sistema IUM. 2 - La password del computer è associata solo a IUM e archiviata in $MACHINE. ACC. Chiave del Registro di sistema IUM.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | (Disabilitato) La password del computer è associata solo a LSASS e archiviata in $MACHINE. Chiave del Registro di sistema ACC. |
| 1 | (Abilitato in modalità di controllo) Password del computer associata a LSASS e associata a IUM. Viene archiviato in $MACHINE. ACC e $MACHINE. ACC. Chiavi del Registro di sistema IUM. |
| 2 | (Abilitato in modalità di imposizione) La password del computer è associata solo a IUM e archiviata in $MACHINE. ACC. Chiave del Registro di sistema IUM. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | VirtualizationBasedSecurity |
| Nome descrittivo | Attivare la Sicurezza basata sulla virtualizzazione |
| Nome elemento | Configurazione dell'isolamento dell'identità del computer. |
| Posizione | Configurazione computer |
| Percorso | Protezione dispositivo di sistema > |
| Nome della chiave del Registro di sistema | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nome file ADMX | DeviceGuard.admx |
RequirePlatformSecurityFeatures
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
❌ Pro ✅ Enterprise ✅ Education ❌Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1709 [10.0.16299] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/RequirePlatformSecurityFeatures
Selezionare Livello di sicurezza della piattaforma: 1 - Attiva VBS con avvio protetto, 3 - Attiva VBS con avvio protetto e DMA. DMA richiede il supporto hardware.
Questa impostazione consente agli utenti di attivare Credential Guard con sicurezza basata sulla virtualizzazione per proteggere le credenziali al riavvio successivo. Il tipo di valore è un numero intero.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 1 (impostazione predefinita) | Attiva VBS con avvio protetto. |
| 3 | Attiva VBS con avvio protetto e accesso diretto alla memoria (DMA). DMA richiede il supporto hardware. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | VirtualizationBasedSecurity |
| Nome descrittivo | Attivare la Sicurezza basata sulla virtualizzazione |
| Nome elemento | Selezionare Livello di sicurezza della piattaforma. |
| Posizione | Configurazione computer |
| Percorso | Protezione dispositivo di sistema > |
| Nome della chiave del Registro di sistema | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nome file ADMX | DeviceGuard.admx |