System Guard 安全启动和 SMM 保护

• 适用于:

  ✅ Windows 11, ✅ Windows 10

本文介绍如何 (SMM) 保护配置System Guard安全启动和系统管理模式，以提高Windows 10和Windows 11设备的启动安全性。 以下信息是从客户端的角度呈现的。

注意

System Guard安全启动功能需要受支持的处理器。 有关详细信息，请参阅System Guard的系统要求。

如何启用System Guard安全启动

可以使用以下任一选项启用System Guard安全启动：

• 移动设备管理 (MDM)
• 组策略
• Windows 安全中心设置
• 注册表

移动设备管理

可以使用策略 CSP、DeviceGuard/ConfigureSystemGuardLaunch 中的 DeviceGuard 策略为移动设备管理 (MDM) 配置System Guard安全启动。

组策略

1. 选择“ 开始> 类型”，然后选择“ 编辑组策略”。

2. 选择“ 计算机配置>管理模板>”“系统>设备防护>”“启用基于虚拟化的安全>安全启动配置”。

   

Windows 安全中心

选择“启动>设置更新>& 安全性>Windows 安全中心>打开Windows 安全中心>设备安全>核心隔离>固件保护”。

注册表

1. 打开注册表编辑器。

2. 选择 “HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>DeviceGuard>方案”。

3. 右键单击“ 方案>”“新建>密钥 ”，并将新密钥命名为 “SystemGuard”。

4. 右键单击“ SystemGuard>新建>DWORD (32 位) 值 ”，并将新的 DWORD 命名为“已启用”。

5. 双击“ 已启用”，将值更改为 1，然后单击“ 确定”。

   

如何验证System Guard安全启动是否已配置并运行

若要验证安全启动是否正在运行，请使用系统信息 (MSInfo32) 。 选择 “开始”，搜索 “系统信息”，然后在 “基于虚拟化的安全服务运行 ”和“ 基于虚拟化的安全服务配置”下查找。

注意

若要启用System Guard安全启动，平台必须满足System Guard、Device Guard、Credential Guard 和基于虚拟化的安全性的所有基线要求。

注意

有关 AMD 处理器的详细信息，请参阅Microsoft安全博客：强制固件代码由 Windows 10 上的安全启动进行测量和证明。