Microsoft-Windows-DeviceGuard-Unattend
El componente Microsoft-Windows-DeviceGuard-Unattend especifica la configuración para inicializar y aplicar la seguridad basada en virtualización, lo que ayuda a proteger la memoria del sistema y las aplicaciones y controladores en modo kernel frente a posibles alteraciones.
Los administradores pueden establecer valores para la siguiente configuración para controlar la seguridad basada en virtualización.
En esta sección
| Configuración | Descripción |
|---|---|
| EnableVirtualizationBasedSecurity | Se utiliza para habilitar la seguridad basada en la virtualización. |
| HypervisorEnforcedCodeIntegrity | Especifica la integridad de código que se aplicará para el hipervisor, que es una capa de software bajo el sistema operativo que ejecuta máquinas virtuales. |
| LsaCfgFlags | Se utiliza para habilitar Credential Guard, que usa la seguridad basada en virtualización para aislar secretos para que solo el software del sistema con privilegios pueda acceder a ellos cuando se almacenan en disco o en memoria. Para obtener más información, consulte Credential Guard. |
Ejemplo de XML
En el siguiente ejemplo XML desatendido se muestra cómo se puede habilitar la seguridad basada en virtualización.
<?xml version="1.0" encoding="UTF-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="offlineServicing">
<component language="neutral" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" versionScope="nonSxS" publicKeyToken="31bf3856ad364e35" processorArchitecture="amd64" name="Microsoft-Windows-DeviceGuard-Unattend">
<EnableVirtualizationBasedSecurity>1</EnableVirtualizationBasedSecurity>
<HypervisorEnforcedCodeIntegrity>1</HypervisorEnforcedCodeIntegrity>
<LsaCfgFlags>1</LsaCfgFlags>
</component>
</settings>
<cpi:offlineImage xmlns:cpi="urn:schemas-microsoft-com:cpi" cpi:source="wim:c:/install2/sources/install.wim#Windows 10 Enterprise"/>
</unattend>
Habilitación de Device Guard o Credential Guard
Además de la configuración desatendida de Microsoft-Windows-DeviceGuard-Unattend, también debe habilitar Hyper-V e IUM para habilitar Device Guard o Credential Guard, o bien puede establecer directamente claves del Registro mediante FirstLogonCommands.
- Habilite Hyper-V e IUM para activar Device Guard o Credential Guard mediante la ejecución de los siguientes comandos DISM:
- DISM.EXE /Image:<ruta de acceso completa a la imagen sin conexión> /Enable-Feature:Microsoft-Hyper-V-Hypervisor /All
- DISM.EXE /Image:<ruta de acceso completa a la imagen sin conexión> /Enable-Feature: IsolatedUserMode /All
- Establezca las siguientes claves del Registro con la configuración FirstLogonCommands:
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "LsaCfgFlags" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "HypervisorEnforcedCodeIntegrity" /t REG_DWORD /d 1 /f
Lea los artículos siguientes para obtener más información sobre Device Guard y Credential Guard:
- Control de aplicaciones de Microsoft Defender y protección basada en la virtualización de la integridad del código
- Habilitar la protección basada en virtualización de la integridad de código
- Proteger las credenciales de dominio derivadas con Credential Guard
Se aplica a
Para determinar si un componente se aplica a la imagen que está compilando, carga la imagen en Windows SIM y busca el componente o el nombre de la configuración. Para obtener más información sobre cómo ver los componentes y la configuración, consulte Configuración de los componentes y la configuración en un archivo de respuesta.