Microsoft-Windows-DeviceGuard-Unattend
El Microsoft-Windows-DeviceGuard-Unattend componente especifica la configuración para inicializar y aplicar la seguridad basada en la virtualización, lo que ayuda a proteger la memoria del sistema y las aplicaciones en modo kernel y los controladores frente a posibles alteraciones.
Los administradores pueden establecer valores para la siguiente configuración para controlar la seguridad basada en virtualización.
En esta sección
| Configuración | Descripción |
|---|---|
| EnableVirtualizationBasedSecurity | Use para habilitar la seguridad basada en virtualización. |
| HypervisorEnforcedCodeIntegrity | Especifica la integridad de código que se aplicará para el hipervisor, que es una capa de software en el sistema operativo que ejecuta máquinas virtuales. |
| LsaCfgFlags | Use para habilitar Credential Guard, que usa la seguridad basada en virtualización para aislar secretos para que solo el software del sistema con privilegios pueda acceder a ellos cuando se almacenan en el disco o en la memoria. Para obtener más información, consulte Credential Guard. |
Ejemplo de XML
En el ejemplo XML desatendido siguiente se muestra cómo se puede habilitar la seguridad basada en virtualización.
<?xml version="1.0" encoding="UTF-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="offlineServicing">
<component language="neutral" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" versionScope="nonSxS" publicKeyToken="31bf3856ad364e35" processorArchitecture="amd64" name="Microsoft-Windows-DeviceGuard-Unattend">
<EnableVirtualizationBasedSecurity>1</EnableVirtualizationBasedSecurity>
<HypervisorEnforcedCodeIntegrity>1</HypervisorEnforcedCodeIntegrity>
<LsaCfgFlags>1</LsaCfgFlags>
</component>
</settings>
<cpi:offlineImage xmlns:cpi="urn:schemas-microsoft-com:cpi" cpi:source="wim:c:/install2/sources/install.wim#Windows 10 Enterprise"/>
</unattend>
Habilitación de Device Guard o Credential Guard
Además de la configuración desatendida en Microsoft-Windows-DeviceGuard-Unattend, también debe habilitar Hyper-V y IUM para habilitar Device Guard o Credential Guard, o bien puede establecer directamente claves del Registro mediante FirstLogonCommands.
- Habilite Hyper-V y IUM para activar Device Guard o Credential Guard mediante la ejecución de los siguientes comandos DISM:
- DISM.EXE /Image:<full path to offline image>/Enable-Feature:Microsoft-Hyper-V-Hypervisor /All
- DISM.EXE /Image:<full path to offline image>/Enable-Feature: IsolatedUserMode /All
- Establezca las claves del Registro siguientes mediante la configuración FirstLogonCommands :
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "LsaCfgFlags" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "HypervisorEnforcedCodeIntegrity" /t REG_DWORD /d 1 /f
Lea los siguientes artículos para obtener más información sobre Device Guard y Credential Guard:
- Microsoft Defender protección basada en virtualización y control de aplicaciones de integridad de código
- Habilitación de la protección basada en virtualización de integridad de código
- Proteger las credenciales de dominio derivadas con Credential Guard
Se aplica a
Para determinar si un componente se aplica a la imagen que está compilando, carga la imagen en Windows SIM y busca el componente o el nombre de la configuración. Para obtener más información sobre cómo ver los componentes y la configuración, consulte Configuración de los componentes y la configuración en un archivo de respuesta.