次の方法で共有

System Guard Secure Launch と SMM 保護

  • [アーティクル]
  • 適用対象:
    Windows 11, ✅ Windows 10

この記事では、Windows 10 および Windows 11 デバイスSystem Guard起動およびシステム管理モード (SMM) 保護を構成する方法について説明します。 以下の情報は、クライアントの観点から示されています。

セキュア起動機能System Guardには、サポートされているプロセッサが必要です。 詳細については、「System Guardのシステム要件」を参照してください。

セキュリティで保護された起動System Guard有効にする方法

セキュリティで保護された起動System Guard有効にするには、次のいずれかのオプションを使用します。

モバイル デバイス管理

System Guardセキュリティで保護された起動は、ポリシー CSP、DeviceGuard/ConfigureSystemGuardLaunch で DeviceGuard ポリシーを使用して、モバイル デバイス管理 (MDM) 用に構成できます。

グループ ポリシー

  1. [ 開始> 種類] を選択し、[ グループ ポリシーの編集] を選択します。

  2. [ コンピューターの構成>管理用テンプレート>System>Device Guard>仮想化ベースのセキュリティを有効にする>安全な起動構成] を選択します

    セキュリティで保護された起動構成。

Windows セキュリティ

[Start>Settings>Update & Security>Windows セキュリティ>Open Windows セキュリティ>Device security>Core isolation>Firmware protection] を選択します。

Windows セキュリティ設定。

レジストリ

  1. レジストリ エディターを開きます。

  2. [HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>DeviceGuard>Scenarios] を選択します。

  3. [ シナリオ>New>Key ] を右クリックし、新しいキー に SystemGuard という名前を付けます。

  4. SystemGuard>New>DWORD (32 ビット) 値を右クリックし、新しい DWORD Enabled という名前を付けます

  5. [有効] をダブルクリックし、値を 1 に変更し、[OK] をクリックします。

    セキュリティで保護された起動レジストリ。

セキュリティで保護された起動System Guard構成および実行されていることを確認する方法

セキュア起動が実行されていることを確認するには、システム情報 (MSInfo32) を使用します。 [ スタート] を選択し、[ システム情報] を検索し、[ 仮想化ベースのセキュリティ サービスの実行 ] と [ 仮想化ベースのセキュリティ サービスが構成済み] の下を確認します。

Windows セキュリティ設定でセキュア起動が実行されていることを確認します。

System Guardセキュア起動を有効にするには、プラットフォームは、System GuardDevice GuardCredential Guard仮想化ベースのセキュリティに関するすべてのベースライン要件を満たす必要があります。

AMD プロセッサの詳細については、「Microsoft セキュリティ ブログ: Windows 10の Secure Launch によってファームウェア コードを強制的に測定および証明する」を参照してください。