Microsoft-Windows-DeviceGuard-Unattend
Il Microsoft-Windows-DeviceGuard-Unattend componente specifica le impostazioni per l'inizializzazione e l'applicazione della sicurezza basata su virtualizzazione, che consente di proteggere le app e i driver in modalità del sistema da possibili manomissioni.
Gli amministratori possono impostare i valori per le impostazioni seguenti per controllare la sicurezza basata su virtualizzazione.
Contenuto della sezione
| Impostazione | Descrizione |
|---|---|
| EnableVirtualizationBasedSecurity | Usare per abilitare la sicurezza basata su virtualizzazione. |
| HypervisorEnforcedCodeIntegrity | Specifica l'integrità del codice che verrà applicata per l'hypervisor, ovvero un livello di software nel sistema operativo che esegue macchine virtuali. |
| LsaCfgFlags | Usare per abilitare Credential Guard, che usa la sicurezza basata sulla virtualizzazione per isolare i segreti in modo che solo il software di sistema con privilegi possa accedervi quando vengono archiviati su disco o in memoria. Per altre informazioni, vedere Credential Guard. |
Esempio XML
L'esempio XML con estensione unattend seguente illustra come abilitare la sicurezza basata su virtualizzazione.
<?xml version="1.0" encoding="UTF-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="offlineServicing">
<component language="neutral" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" versionScope="nonSxS" publicKeyToken="31bf3856ad364e35" processorArchitecture="amd64" name="Microsoft-Windows-DeviceGuard-Unattend">
<EnableVirtualizationBasedSecurity>1</EnableVirtualizationBasedSecurity>
<HypervisorEnforcedCodeIntegrity>1</HypervisorEnforcedCodeIntegrity>
<LsaCfgFlags>1</LsaCfgFlags>
</component>
</settings>
<cpi:offlineImage xmlns:cpi="urn:schemas-microsoft-com:cpi" cpi:source="wim:c:/install2/sources/install.wim#Windows 10 Enterprise"/>
</unattend>
Abilitazione di Device Guard o Credential Guard
Oltre alle impostazioni unattend in Microsoft-Windows-DeviceGuard-Unattend, è anche necessario abilitare Hyper-V e IUM per abilitare Device Guard o Credential Guard oppure è possibile impostare direttamente le chiavi del Registro di sistema usando FirstLogonCommands.
- Abilitare Hyper-V e IUM per attivare Device Guard o Credential Guard eseguendo i comandi DISM seguenti:
- DISM.EXE /Image:<percorso completo all'immagine> offline/Enable-Feature:Microsoft-Hyper-V-Hypervisor /All
- DISM.EXE /Image:<percorso completo all'immagine> offline/Enable-Feature: IsolatedUserMode /All
- Impostare le chiavi del Registro di sistema seguenti usando l'impostazione FirstLogonCommands :
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "LsaCfgFlags" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "HypervisorEnforcedCodeIntegrity" /t REG_DWORD /d 1 /f
Per altre informazioni su Device Guard e Credential Guard, vedere gli articoli seguenti:
- Microsoft Defender controllo applicazioni e protezione basata sulla virtualizzazione dell'integrità del codice
- Abilitare la protezione basata su virtualizzazione dell'integrità del codice
- Proteggere le credenziali di dominio derivate con Credential Guard
Si applica a
Per determinare se un componente si applica all'immagine che si sta creando, caricare l'immagine in Windows SIM e cercare il nome del componente o dell'impostazione. Per informazioni su come visualizzare componenti e impostazioni, vedere Configurare componenti e impostazioni in un file di risposta.