策略 CSP - DeviceGuard
ConfigureSystemGuardLaunch
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/ConfigureSystemGuardLaunch
安全启动配置:0 - 非托管,由管理用户配置,1 - 启用安全启动(如果硬件支持),2 - 禁用安全启动。
有关System Guard的详细信息,请参阅Windows Defender System Guard运行时证明简介和基于硬件的信任根如何帮助保护Windows 10。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 由管理用户配置的非托管。 |
| 1 | 非托管启用安全启动(如果硬件支持)。 |
| 2 | 非托管禁用安全启动。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | VirtualizationBasedSecurity |
| 友好名称 | 启用基于虚拟化的安全性 |
| 元素名称 | 安全启动配置。 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 设备防护 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| ADMX 文件名 | DeviceGuard.admx |
EnableVirtualizationBasedSecurity
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ❌ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
启用基于虚拟化的安全性 (VBS)
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 禁用基于虚拟化的安全性。 |
| 1 | 启用基于虚拟化的安全性。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | VirtualizationBasedSecurity |
| 友好名称 | 启用基于虚拟化的安全性 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 设备防护 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| 注册表值名称 | EnableVirtualizationBasedSecurity |
| ADMX 文件名 | DeviceGuard.admx |
LsaCfgFlags
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
❌ 专业版 ✅ 企业版 ✅ 教育版 ❌ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Credential Guard 配置:0 - 如果以前在没有 UEFI 锁定的情况下配置,请远程关闭 CredentialGuard;1 - 使用 UEFI 锁打开 CredentialGuard。 2 - 在没有 UEFI 锁定的情况下打开 CredentialGuard。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | (禁用) 如果以前在没有 UEFI 锁定的情况下配置,请远程关闭 Credential Guard。 |
| 1 | (启用 UEFI 锁) 打开具有 UEFI 锁的 Credential Guard。 |
| 2 | (启用(无锁定)) 打开没有 UEFI 锁的凭据防护。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | VirtualizationBasedSecurity |
| 友好名称 | 启用基于虚拟化的安全性 |
| 元素名称 | Credential Guard 配置。 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 设备防护 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| ADMX 文件名 | DeviceGuard.admx |
RequirePlatformSecurityFeatures
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
❌ 专业版 ✅ 企业版 ✅ 教育版 ❌ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/RequirePlatformSecurityFeatures
选择“平台安全级别”:1 - 使用安全启动启用 VBS,3 - 使用安全启动和 DMA 打开 VBS。 DMA 需要硬件支持。
此设置允许用户使用基于虚拟化的安全性打开 Credential Guard,以帮助在下次重新启动时保护凭据。 值类型为整数。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 1 (默认) | 使用安全启动启用 VBS。 |
| 3 | (DMA) 启用具有安全启动和直接内存访问的 VBS。 DMA 需要硬件支持。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | VirtualizationBasedSecurity |
| 友好名称 | 启用基于虚拟化的安全性 |
| 元素名称 | 选择“平台安全级别”。 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 设备防护 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| ADMX 文件名 | DeviceGuard.admx |