Microsoft-Windows-DeviceGuard-Unattend
Le composant Microsoft-Windows-DeviceGuard-Unattend spécifie les paramètres pour initialiser et appliquer la sécurité basée sur la virtualisation, ce qui aide à protéger la mémoire du système et les applications et pilotes en mode noyau contre toute manipulation possible.
Les administrateurs peuvent définir les valeurs des paramètres suivants pour contrôler la sécurité basée sur la virtualisation.
Contenu de cette section
| Paramètre | Description |
|---|---|
| EnableVirtualizationBasedSecurity | Utilisez pour activer la sécurité basée sur la virtualisation. |
| HypervisorEnforcedCodeIntegrity | Spécifie l’intégrité du code qui sera appliquée pour l’hyperviseur, qui est une couche de logiciel sous le système d’exploitation qui exécute les machines virtuelles. |
| LsaCfgFlags | Utilisez pour activer le Credential Guard, qui utilise la sécurité basée sur la virtualisation pour isoler les secrets afin que seul le logiciel système privilégié puisse y accéder lorsqu’ils sont stockés sur le disque ou en mémoire. Pour plus d’informations, consultez Credential Guard. |
Exemple XML
L’exemple XML unattend suivant montre comment vous pouvez activer la sécurité basée sur la virtualisation.
<?xml version="1.0" encoding="UTF-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="offlineServicing">
<component language="neutral" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" versionScope="nonSxS" publicKeyToken="31bf3856ad364e35" processorArchitecture="amd64" name="Microsoft-Windows-DeviceGuard-Unattend">
<EnableVirtualizationBasedSecurity>1</EnableVirtualizationBasedSecurity>
<HypervisorEnforcedCodeIntegrity>1</HypervisorEnforcedCodeIntegrity>
<LsaCfgFlags>1</LsaCfgFlags>
</component>
</settings>
<cpi:offlineImage xmlns:cpi="urn:schemas-microsoft-com:cpi" cpi:source="wim:c:/install2/sources/install.wim#Windows 10 Enterprise"/>
</unattend>
Activation de Device Guard ou Credential Guard
En plus des paramètres Unattend dans Microsoft-Windows-DeviceGuard-Unattend, vous devez également activer Hyper-V et IUM pour activer Device Guard ou Credential Guard, ou vous pouvez directement définir des clés de registre en utilisant FirstLogonCommands.
- Activez Hyper-V et IUM pour activer Device Guard ou Credential Guard en exécutant les commandes DISM suivantes :
- DISM.EXE /Image :<chemin complet vers l’image hors ligne> /Enable-Feature:Microsoft-Hyper-V-Hypervisor /All
- DISM.EXE /Image :<chemin complet vers l’image hors ligne> /Enable-Feature: IsolatedUserMode /All
- Définissez les clés de registre suivantes en utilisant le paramètre FirstLogonCommands :
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "LsaCfgFlags" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "HypervisorEnforcedCodeIntegrity" /t REG_DWORD /d 1 /f
Lisez les articles suivants pour en savoir plus sur Device Guard et Credential Guard :
- Contrôle d’application Microsoft Defender et protection basée sur la virtualisation d’intégrité du code
- Activer la protection basée sur la virtualisation de l'intégrité du code
- Protéger les informations d’identification de domaine dérivées avec Credential Guard
S’applique à
Pour déterminer si un composant s’applique à l’image que vous générez, chargez votre image dans Windows SIM et recherchez le nom du composant ou du paramètre. Pour plus d’informations sur l’affichage des composants et des paramètres, consultez Configurer des composants et des paramètres dans un fichier de réponses.