Microsoft-Windows-DeviceGuard-Unattend
Le Microsoft-Windows-DeviceGuard-Unattend composant spécifie les paramètres d’initialisation et d’application de la sécurité basée sur la virtualisation, ce qui permet de protéger la mémoire système et les applications en mode noyau et les pilotes contre toute falsification possible.
Les administrateurs peuvent définir des valeurs pour les paramètres suivants afin de contrôler la sécurité basée sur la virtualisation.
Contenu de cette section
| Paramètre | Description |
|---|---|
| EnableVirtualizationBasedSecurity | Utilisez pour activer la sécurité basée sur la virtualisation. |
| HypervisorEnforcedCodeIntegrity | Spécifie l’intégrité du code qui sera appliquée pour l’hyperviseur, qui est une couche de logiciel sous le système d’exploitation qui exécute des machines virtuelles. |
| LsaCfgFlags | Permet d’activer Credential Guard, qui utilise la sécurité basée sur la virtualisation pour isoler les secrets afin que seuls les logiciels système privilégiés puissent y accéder lorsqu’ils sont stockés sur disque ou en mémoire. Pour plus d’informations, consultez Credential Guard. |
Exemple XML
L’exemple xml sans assistance suivant montre comment activer la sécurité basée sur la virtualisation.
<?xml version="1.0" encoding="UTF-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="offlineServicing">
<component language="neutral" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" versionScope="nonSxS" publicKeyToken="31bf3856ad364e35" processorArchitecture="amd64" name="Microsoft-Windows-DeviceGuard-Unattend">
<EnableVirtualizationBasedSecurity>1</EnableVirtualizationBasedSecurity>
<HypervisorEnforcedCodeIntegrity>1</HypervisorEnforcedCodeIntegrity>
<LsaCfgFlags>1</LsaCfgFlags>
</component>
</settings>
<cpi:offlineImage xmlns:cpi="urn:schemas-microsoft-com:cpi" cpi:source="wim:c:/install2/sources/install.wim#Windows 10 Enterprise"/>
</unattend>
Activation de Device Guard ou Credential Guard
En plus des paramètres Unattend dans Microsoft-Windows-DeviceGuard-Unattend, vous devez également activer Hyper-V et IUM pour activer Device Guard ou Credential Guard, ou vous pouvez définir directement des clés de Registre à l’aide de FirstLogonCommands.
- Activez Hyper-V et IUM pour activer Device Guard ou Credential Guard en exécutant les commandes DISM suivantes :
- DISM.EXE /Image:<chemin d’accès complet à l’image> hors connexion/Enable-Feature:Microsoft-Hyper-V-Hypervisor /All
- DISM.EXE /Image:<chemin d’accès complet à l’image> hors connexion/Enable-Feature : IsolatedUserMode /All
- Définissez les clés de Registre suivantes à l’aide du paramètre FirstLogonCommands :
- REG ADD « HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard » /v « EnableVirtualizationBasedSecurity » /t REG_DWORD /d 1 /f
- REG ADD « HKLM\SYSTEM\CurrentControlSet\Control\Lsa » /v « LsaCfgFlags » /t REG_DWORD /d 1 /f
- REG ADD « HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard » /v « HypervisorEnforcedCodeIntegrity » /t REG_DWORD /d 1 /f
Lisez les articles suivants pour en savoir plus sur Device Guard et Credential Guard :
- Microsoft Defender contrôle d’application et la protection basée sur la virtualisation de l’intégrité du code
- Activer la protection basée sur la virtualisation de l’intégrité du code
- Protéger les informations d’identification de domaine dérivées avec la protection des informations d’identification
S'applique à
Pour déterminer si un composant s’applique à l’image que vous générez, chargez votre image dans Windows SIM et recherchez le nom du composant ou du paramètre. Pour plus d’informations sur l’affichage des composants et des paramètres, consultez Configurer des composants et des paramètres dans un fichier de réponses.