Microsoft-Windows-DeviceGuard-Unattend

元件 Microsoft-Windows-DeviceGuard-Unattend 會指定初始化和強制執行虛擬化型安全性的設定，這有助於保護系統記憶體和核心模式應用程式和驅動程式免於竄改。

系統管理員可以設定下列設定的值，以控制虛擬化型安全性。

本節內容

設定	描述
EnableVirtualizationBasedSecurity	使用來啟用虛擬化型安全性。
HypervisorEnforcedCodeIntegrity	指定將針對 Hypervisor 強制執行的程式代碼完整性，這是執行虛擬機之作業系統下的軟體層。
LsaCfgFlags	使用 來啟用 Credential Guard，其會使用虛擬化式安全性來隔離秘密，讓只有特殊許可權的系統軟體才能在儲存在磁碟或記憶體中時加以存取。 如需詳細資訊，請參閱 Credential Guard (英文)。

XML 範例

下列自動 XML 範例示範如何啟用虛擬化型安全性。

<?xml version="1.0" encoding="UTF-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
   <settings pass="offlineServicing">
      <component language="neutral" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" versionScope="nonSxS" publicKeyToken="31bf3856ad364e35" processorArchitecture="amd64" name="Microsoft-Windows-DeviceGuard-Unattend">
         <EnableVirtualizationBasedSecurity>1</EnableVirtualizationBasedSecurity>
         <HypervisorEnforcedCodeIntegrity>1</HypervisorEnforcedCodeIntegrity>
         <LsaCfgFlags>1</LsaCfgFlags>
      </component>
   </settings>
   <cpi:offlineImage xmlns:cpi="urn:schemas-microsoft-com:cpi" cpi:source="wim:c:/install2/sources/install.wim#Windows 10 Enterprise"/>
</unattend>

啟用 Device Guard 或 Credential Guard

除了 中的 Microsoft-Windows-DeviceGuard-Unattend自動設定之外，您也需要啟用 Hyper-V 和 IUM 來啟用 Device Guard 或 Credential Guard，或者您可以使用 FirstLogonCommands 直接設定登錄機碼。

• 執行下列 DISM 命令，讓 Hyper-V 和 IUM 能夠開啟 Device Guard 或 Credential Guard：
  • DISM.EXE /Image：<離線映像>的完整路徑 /Enable-Feature：Microsoft-Hyper-V-Hypervisor /All
  • DISM.EXE /Image：<離線映像>的完整路徑 /Enable-Feature： IsolatedUserMode /All
• 使用 FirstLogonCommands 設定來設定下列登入機碼：
  • REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard” /v “EnableVirtualizationBasedSecurity” /t REG_DWORD /d d 1 /f
  • REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Lsa” /v “LsaCfgFlags” /t REG_DWORD /d d 1 /f
  • REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard” /v “HypervisorEnforcedCodeIntegrity” /t REG_DWORD /d 1 /f

閱讀下列文章以深入瞭解 Device Guard 和 Credential Guard：

• Microsoft Defender 應用程控和程式代碼完整性虛擬化型保護
• 啟用程式代碼完整性的虛擬化型保護
• 使用 Credential Guard 保護衍生的網域認證

套用至

若要判斷元件是否適用於您要建置的映像，請將您的映像載入 Windows SIM，並搜尋元件或設定名稱。 如需如何檢視元件和設定的資訊，請參閱 設定響應檔案中的元件和設定。

相關主題

元件