Microsoft-Windows-DeviceGuard-Unattend
O Microsoft-Windows-DeviceGuard-Unattend componente especifica as configurações para inicializar e impor segurança baseada em virtualização, o que ajuda a proteger a memória do sistema e os aplicativos e drivers do modo kernel contra possíveis violações.
Os administradores podem definir valores para as configurações a seguir para controlar a segurança baseada em virtualização.
Nesta seção
| Configuração | Descrição |
|---|---|
| EnableVirtualizationBasedSecurity | Use para habilitar segurança baseada em virtualização. |
| HypervisorEnforcedCodeIntegrity | Especifica a integridade do código que será imposto para o hipervisor, que é uma camada de software sob o sistema operacional que executa máquinas virtuais. |
| LsaCfgFlags | Use para habilitar o Credential Guard, que usa segurança baseada em virtualização para isolar segredos para que somente o software de sistema privilegiado possa acessá-los quando eles estiverem armazenados em disco ou na memória. Para obter mais informações, consulte Credential Guard. |
Exemplo de XML
O exemplo XML autônomo a seguir mostra como você pode habilitar a segurança baseada em virtualização.
<?xml version="1.0" encoding="UTF-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="offlineServicing">
<component language="neutral" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" versionScope="nonSxS" publicKeyToken="31bf3856ad364e35" processorArchitecture="amd64" name="Microsoft-Windows-DeviceGuard-Unattend">
<EnableVirtualizationBasedSecurity>1</EnableVirtualizationBasedSecurity>
<HypervisorEnforcedCodeIntegrity>1</HypervisorEnforcedCodeIntegrity>
<LsaCfgFlags>1</LsaCfgFlags>
</component>
</settings>
<cpi:offlineImage xmlns:cpi="urn:schemas-microsoft-com:cpi" cpi:source="wim:c:/install2/sources/install.wim#Windows 10 Enterprise"/>
</unattend>
Habilitando o Device Guard ou o Credential Guard
Além das configurações autônomas no Microsoft-Windows-DeviceGuard-Unattend, você também deve habilitar o Hyper-V e o IUM para habilitar o Device Guard ou o Credential Guard, ou pode definir diretamente as chaves de registro usando FirstLogonCommands.
- Habilite o Hyper-V e o IUM para ativar o Device Guard ou o Credential Guard executando os seguintes comandos DISM:
- DISM.EXE /Image:<caminho completo para a imagem offline> /Enable-Feature:Microsoft-Hyper-V-Hypervisor /All
- DISM.EXE /Image:<caminho completo para a imagem offline> /Enable-Feature: IsolatedUserMode /All
- Defina as seguintes chaves d e registro usando a configuração FirstLogonCommands:
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "LsaCfgFlags" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "HypervisorEnforcedCodeIntegrity" /t REG_DWORD /d 1 /f
Leia os seguintes artigos para saber mais sobre o Device Guard e o Credential Guard:
- Controle de Aplicativos do Microsoft Defender e proteção baseada em virtualização da integridade do código
- Habilitar a proteção baseada em virtualização de integridade de código
- Proteger as credenciais de domínio derivadas com o Credential Guard
Aplica-se A
Para determinar se um componente se aplica à imagem que você está criando, carregue a imagem no Windows SIM e pesquise o componente ou o nome da configuração. Para obter informações sobre como exibir componentes e configurações, confira Configurar componentes e configurações em um arquivo de resposta.