Política CSP - DeviceGuard
Importante
Esse CSP contém algumas configurações que estão em desenvolvimento e só se aplicam Windows Insider Preview builds. Essas configurações estão sujeitas a alterações e podem ter dependências de outros recursos ou serviços em versão prévia.
ConfigureSystemGuardLaunch
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1809 [10.0.17763] e posterior |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/ConfigureSystemGuardLaunch
Configuração de Iniciação Segura: 0 - Não gerido, configurável pelo Utilizador administrativo, 1 - Ativa a Iniciação Segura se suportado pelo hardware, 2 - Desativa a Iniciação Segura.
Para obter mais informações sobre System Guard, consulte Introducing Windows Defender System Guard runtime attestation (Introdução ao atestado de runtime do Windows Defender) e How a hardware-based root of trust helps protect Windows 10 (Como uma raiz de confiança baseada em hardware ajuda a proteger Windows 10).
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Configurável Não Gerido pelo Utilizador administrativo. |
| 1 | A opção Ativa a Iniciação Segura não gerida se for suportada por hardware. |
| 2 | Unmanaged Disables Secure Launch(Desativa a Iniciação Segura). |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | VirtualizationBasedSecurity |
| Nome Amigável | Ativar a Segurança Baseada em Virtualização |
| Nome do Elemento | Configuração de Iniciação Segura. |
| Location | Configuração do Computador |
| Caminho | System > Device Guard |
| Nome da Chave do Registro | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nome do Arquivo ADMX | DeviceGuard.admx |
EnableVirtualizationBasedSecurity
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ❌ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Ativa a Segurança Baseada em Virtualização (VBS)
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Desative a segurança baseada na virtualização. |
| 1 | Ative a segurança baseada na virtualização. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | VirtualizationBasedSecurity |
| Nome Amigável | Ativar a Segurança Baseada em Virtualização |
| Location | Configuração do Computador |
| Caminho | System > Device Guard |
| Nome da Chave do Registro | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nome do Valor do Registro | EnableVirtualizationBasedSecurity |
| Nome do Arquivo ADMX | DeviceGuard.admx |
LsaCfgFlags
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ❌ Corporativo ✅ Educação ✅ Windows SE ❌ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Configuração do Credential Guard: 0 - Desativa o CredentialGuard remotamente se estiver configurado anteriormente sem o BLOQUEIO UEFI, 1 - Ativa o CredentialGuard com o bloqueio UEFI. 2 - Ativa o CredentialGuard sem bloqueio UEFI.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | (Desativado) Desativa o Credential Guard remotamente se estiver configurado anteriormente sem o BLOQUEIO UEFI. |
| 1 | (Ativado com bloqueio UEFI) Ativa o Credential Guard com o bloqueio UEFI. |
| 2 | (Ativado sem bloqueio) Ativa o Credential Guard sem bloqueio UEFI. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | VirtualizationBasedSecurity |
| Nome Amigável | Ativar a Segurança Baseada em Virtualização |
| Nome do Elemento | Configuração do Credential Guard. |
| Location | Configuração do Computador |
| Caminho | System > Device Guard |
| Nome da Chave do Registro | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nome do Arquivo ADMX | DeviceGuard.admx |
MachineIdentityIsolation
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ❌ Corporativo ✅ Educação ✅ Windows SE ❌ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/MachineIdentityIsolation
Isolamento de Identidade do Computador: 0 – a palavra-passe do computador só está vinculada ao LSASS e armazenada no $MACHINE. Chave de registo ACC. 1 - Palavra-passe do computador vinculada ao LSASS e vinculada ao IUM. Está armazenado em $MACHINE. ACC e $MACHINE. ACC. Chaves de registo IUM. 2 - A palavra-passe do computador está apenas vinculada ao IUM e armazenada no $MACHINE. ACC. Chave de registo IUM.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | (Desativado) A palavra-passe do computador está apenas vinculada ao LSASS e armazenada no $MACHINE. Chave de registo ACC. |
| 1 | (Ativado no modo de auditoria) Palavra-passe do computador vinculada a LSASS e vinculada a IUM. Está armazenado em $MACHINE. ACC e $MACHINE. ACC. Chaves de registo IUM. |
| 2 | (Ativado no modo de imposição) A palavra-passe do computador é apenas vinculada a IUM e armazenada no $MACHINE. ACC. Chave de registo IUM. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | VirtualizationBasedSecurity |
| Nome Amigável | Ativar a Segurança Baseada em Virtualização |
| Nome do Elemento | Configuração de Isolamento de Identidade da Máquina. |
| Location | Configuração do Computador |
| Caminho | System > Device Guard |
| Nome da Chave do Registro | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nome do Arquivo ADMX | DeviceGuard.admx |
RequirePlatformSecurityFeatures
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ❌ Corporativo ✅ Educação ✅ Windows SE ❌ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/RequirePlatformSecurityFeatures
Selecione Nível de Segurança da Plataforma: 1 - Ativa o VBS com Arranque Seguro, 3 - Ativa o VBS com Arranque Seguro e DMA. O DMA requer suporte de hardware.
Esta definição permite que os utilizadores ativem o Credential Guard com segurança baseada em virtualização para ajudar a proteger as credenciais no próximo reinício. Tipo de valor é número inteiro.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 (Predefinição) | Ativa o VBS com o Arranque Seguro. |
| 3 | Ativa o VBS com Arranque Seguro e acesso direto à memória (DMA). O DMA requer suporte de hardware. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | VirtualizationBasedSecurity |
| Nome Amigável | Ativar a Segurança Baseada em Virtualização |
| Nome do Elemento | Selecione Nível de Segurança da Plataforma. |
| Location | Configuração do Computador |
| Caminho | System > Device Guard |
| Nome da Chave do Registro | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Nome do Arquivo ADMX | DeviceGuard.admx |