Поставщик служб CSP политики — DeviceGuard
Важно.
Этот CSP содержит некоторые параметры, находящиеся в стадии разработки и применимые только для сборок Windows Insider Preview. Эти параметры могут изменяться и зависеть от других функций или служб в предварительной версии.
ConfigureSystemGuardLaunch
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/ConfigureSystemGuardLaunch
Конфигурация безопасного запуска: 0 — неуправляемая, настраиваемая администратором, 1 — включает безопасный запуск при поддержке оборудования, 2 — отключает безопасный запуск.
Дополнительные сведения о System Guard см. в статьях Введение в аттестацию среды выполнения в Защитнике Windows System Guard и Как аппаратный корень доверия помогает защитить Windows 10.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Неуправляемое настраиваемое администратором. |
| 1 | Неуправляемый параметр Включает безопасный запуск, если поддерживается оборудованием. |
| 2 | Неуправляемый отключает безопасный запуск. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | VirtualizationBasedSecurity |
| Понятное имя | Включение безопасности на основе виртуализации |
| Имя элемента | Конфигурация безопасного запуска. |
| Location | Конфигурация компьютера |
| Путь | System > Device Guard |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Имя файла ADMX | DeviceGuard.admx |
EnableVirtualizationBasedSecurity
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ❌ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Включает безопасность на основе виртуализации (VBS)
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Отключите безопасность на основе виртуализации. |
| 1 | Включите безопасность на основе виртуализации. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | VirtualizationBasedSecurity |
| Понятное имя | Включение безопасности на основе виртуализации |
| Location | Конфигурация компьютера |
| Путь | System > Device Guard |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Имя значения реестра | EnableVirtualizationBasedSecurity |
| Имя файла ADMX | DeviceGuard.admx |
LsaCfgFlags
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
❌ Pro ✅ Enterprise ✅ для образования ❌ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Конфигурация Credential Guard: 0— удаленное отключение CredentialGuard, если ранее не было блокировки UEFI, 1 — включает CredentialGuard с блокировкой UEFI. 2. Включает CredentialGuard без блокировки UEFI.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | (Отключено) Удаленно отключает Credential Guard, если ранее не настроена блокировка UEFI. |
| 1 | (Включено с блокировкой UEFI) Включает Credential Guard с блокировкой UEFI. |
| 2 | (Включено без блокировки) Включает Credential Guard без блокировки UEFI. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | VirtualizationBasedSecurity |
| Понятное имя | Включение безопасности на основе виртуализации |
| Имя элемента | Конфигурация Credential Guard. |
| Location | Конфигурация компьютера |
| Путь | System > Device Guard |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Имя файла ADMX | DeviceGuard.admx |
MachineIdentityIsolation
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
❌ Pro ✅ Enterprise ✅ для образования ❌ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/MachineIdentityIsolation
Изоляция удостоверений компьютера: 0. Пароль компьютера привязан только к LSASS и хранится в $MACHINE. Раздел реестра ACC. 1 — пароль компьютера, привязанный к LSASS и IUM. Он хранится в $MACHINE. ACC и $MACHINE. ACC. Разделы реестра IUM. 2. Пароль компьютера привязан только к IUM и хранится в $MACHINE. ACC. Раздел реестра IUM.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | (Отключено) Пароль компьютера привязан только к LSASS и хранится в $MACHINE. Раздел реестра ACC. |
| 1 | (Включено в режиме аудита) Пароль компьютера привязан к LSASS и IUM. Он хранится в $MACHINE. ACC и $MACHINE. ACC. Разделы реестра IUM. |
| 2 | (Включено в режиме принудительного применения) Пароль компьютера привязан только к IUM и хранится в $MACHINE. ACC. Раздел реестра IUM. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | VirtualizationBasedSecurity |
| Понятное имя | Включение безопасности на основе виртуализации |
| Имя элемента | Конфигурация изоляции удостоверений компьютера. |
| Location | Конфигурация компьютера |
| Путь | System > Device Guard |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Имя файла ADMX | DeviceGuard.admx |
RequirePlatformSecurityFeatures
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
❌ Pro ✅ Enterprise ✅ для образования ❌ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/RequirePlatformSecurityFeatures
Выберите Уровень безопасности платформы: 1 — включает VBS с безопасной загрузкой, 3 — включает VBS с безопасной загрузкой и DMA. DMA требует поддержки оборудования.
Этот параметр позволяет пользователям включать Credential Guard с безопасностью на основе виртуализации, чтобы защитить учетные данные при следующей перезагрузке. Тип значения - целое число.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Включает VBS с безопасной загрузкой. |
| 3 | Включает VBS с безопасной загрузкой и прямым доступом к памяти (DMA). DMA требует поддержки оборудования. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | VirtualizationBasedSecurity |
| Понятное имя | Включение безопасности на основе виртуализации |
| Имя элемента | Выберите Уровень безопасности платформы. |
| Location | Конфигурация компьютера |
| Путь | System > Device Guard |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| Имя файла ADMX | DeviceGuard.admx |