Microsoft-Windows-DeviceGuard-Unattend
Microsoft-Windows-DeviceGuard-Unattend コンポーネントは、仮想化ベースのセキュリティを初期化および適用するための設定を指定します。これにより、システム メモリとカーネル モードのアプリとドライバーが改ざんの可能性から保護されます。
管理者は、仮想化ベースのセキュリティを制御するために、次の設定の値を指定できます。
このセクションの内容
| 設定 | 説明 |
|---|---|
| EnableVirtualizationBasedSecurity | 仮想化ベースのセキュリティを有効にするために使用します。 |
| HypervisorEnforcedCodeIntegrity | ハイパーバイザーに適用されるコードの整合性を指定します。これは、仮想マシンを実行する OS の下にあるソフトウェアのレイヤーです。 |
| LsaCfgFlags | Credential Guard を有効にするために使用します。これは、シークレットがディスクまたはメモリに格納されている場合に、仮想化ベースのセキュリティを使用して、特権を持つシステム ソフトウェアのみがそれらにアクセスできるようにシークレットを分離します。 詳細については、Credential Guard に関する記事を参照してください。 |
XML の例
次の無人 XML の例は、仮想化ベースのセキュリティを有効にする方法を示しています。
<?xml version="1.0" encoding="UTF-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="offlineServicing">
<component language="neutral" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" versionScope="nonSxS" publicKeyToken="31bf3856ad364e35" processorArchitecture="amd64" name="Microsoft-Windows-DeviceGuard-Unattend">
<EnableVirtualizationBasedSecurity>1</EnableVirtualizationBasedSecurity>
<HypervisorEnforcedCodeIntegrity>1</HypervisorEnforcedCodeIntegrity>
<LsaCfgFlags>1</LsaCfgFlags>
</component>
</settings>
<cpi:offlineImage xmlns:cpi="urn:schemas-microsoft-com:cpi" cpi:source="wim:c:/install2/sources/install.wim#Windows 10 Enterprise"/>
</unattend>
Device Guard または Credential Guard の有効化
Microsoft-Windows-DeviceGuard-Unattend の無人設定に加えて、Hyper-V と IUM を有効にして Device Guard または Credential Guard を有効にする必要もあります。または、FirstLogonCommands を使用してレジストリ キーを直接設定できます。
- 次の DISM コマンドを実行して、Hyper-V と IUM で Device Guard または Credential Guard を有効にします。
- DISM.EXE /Image:<オフライン イメージへの完全パス> /Enable-Feature:Microsoft-Hyper-V-Hypervisor /All
- DISM.EXE /Image:<オフライン イメージへの完全パス> /Enable-Feature: IsolatedUserMode /All
- FirstLogonCommands 設定を使用して、次のレジストリ キーを設定します。
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "LsaCfgFlags" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "HypervisorEnforcedCodeIntegrity" /t REG_DWORD /d 1 /f
Device Guard と Credential Guard の詳細については、次の記事を参照してください。
- Microsoft Defender Application Control と仮想化ベースのコード整合性の保護
- コードの整合性に対する仮想化ベースの保護を有効にする
- Credential Guard によるドメインの派生資格情報の保護
適用対象
ビルド中のイメージにコンポーネントが当てはまるかどうかを判別するには、イメージを Windows SIM に読み込み、そのコンポーネントまたは設定名を検索します。 コンポーネントと設定を表示する方法の詳細については、「応答ファイルのコンポーネントと設定の構成」を参照してください。