ポリシー CSP - DeviceGuard
ConfigureSystemGuardLaunch
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 Version 1809 [10.0.17763] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/ConfigureSystemGuardLaunch
セキュリティで保護された起動の構成: 0 - 管理されていない、管理ユーザーによって構成可能、1 - ハードウェアでサポートされている場合はセキュリティで保護された起動を有効にします。2 - セキュア起動を無効にします。
System Guardの詳細については、「Windows Defender System Guardランタイム構成証明の概要」および「ハードウェアベースの信頼のルートがWindows 10を保護する方法」を参照してください。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 管理ユーザーによってアンマネージド構成可能。 |
| 1 | アンマネージド ハードウェアでサポートされている場合は、セキュア起動を有効にします。 |
| 2 | アンマネージド セキュア起動を無効にします。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | VirtualizationBasedSecurity |
| フレンドリ名 | 仮想化ベースのセキュリティを有効にする |
| 要素名 | セキュリティで保護された起動構成。 |
| 場所 | [コンピューターの構成] |
| パス | System > Device Guard |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| ADMX ファイル名 | DeviceGuard.admx |
EnableVirtualizationBasedSecurity
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ❌ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1709 [10.0.16299] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
仮想化ベースのセキュリティ (VBS) を有効にする
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 仮想化ベースのセキュリティを無効にします。 |
| 1 | 仮想化ベースのセキュリティを有効にします。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | VirtualizationBasedSecurity |
| フレンドリ名 | 仮想化ベースのセキュリティを有効にする |
| 場所 | [コンピューターの構成] |
| パス | System > Device Guard |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| レジストリ値の名前 | EnableVirtualizationBasedSecurity |
| ADMX ファイル名 | DeviceGuard.admx |
LsaCfgFlags
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
❌ Pro ✅ Enterprise ✅ Education ❌ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1709 [10.0.16299] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Credential Guard の構成: 0 - UEFI ロックなしで以前に構成されている場合は CredentialGuard をリモートでオフにします。1 - UEFI ロックで CredentialGuard をオンにします。 2 - UEFI ロックなしで CredentialGuard をオンにします。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | (無効)UEFI ロックなしで以前に構成されている場合は、資格情報ガードをリモートでオフにします。 |
| 1 | (UEFI ロックで有効)UEFI ロックを使用して Credential Guard をオンにします。 |
| 2 | (ロックなしで有効)UEFI ロックなしで Credential Guard をオンにします。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | VirtualizationBasedSecurity |
| フレンドリ名 | 仮想化ベースのセキュリティを有効にする |
| 要素名 | Credential Guard の構成。 |
| 場所 | [コンピューターの構成] |
| パス | System > Device Guard |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| ADMX ファイル名 | DeviceGuard.admx |
RequirePlatformSecurityFeatures
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
❌ Pro ✅ Enterprise ✅ Education ❌ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1709 [10.0.16299] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/RequirePlatformSecurityFeatures
[プラットフォーム のセキュリティ レベル: 1 - セキュア ブートで VBS をオンにする]、[3] - [セキュア ブートと DMA を使用して VBS を有効にする] を選択します。 DMA にはハードウェアのサポートが必要です。
この設定を使用すると、ユーザーは仮想化ベースのセキュリティで Credential Guard を有効にして、次回の再起動時に資格情報を保護できます。 値の種類は整数です。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 1 (既定値) | セキュア ブートで VBS を有効にします。 |
| 3 | セキュア ブートとダイレクト メモリ アクセス (DMA) を使用して VBS をオンにします。 DMA にはハードウェアのサポートが必要です。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | VirtualizationBasedSecurity |
| フレンドリ名 | 仮想化ベースのセキュリティを有効にする |
| 要素名 | [プラットフォーム セキュリティ レベル] を選択します。 |
| 場所 | [コンピューターの構成] |
| パス | System > Device Guard |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| ADMX ファイル名 | DeviceGuard.admx |