Microsoft-Windows-DeviceGuard-Unattend
Компонент Microsoft-Windows-DeviceGuard-Unattend задает параметры для инициализации и обеспечения безопасности на основе виртуализации, что помогает защитить системную память и приложения и драйверы в режиме ядра от возможного незаконного изменения.
Администраторы могут задать значения для следующих параметров, чтобы управлять безопасностью на основе виртуализации.
В этом разделе
| Параметр | Описание |
|---|---|
| EnableVirtualizationBasedSecurity | Используйте для включения безопасности на основе виртуализации. |
| HypervisorEnforcedCodeIntegrity | Указывает целостность кода, которая будет применяться для гипервизора, который представляет собой уровень программного обеспечения в операционной системе, на которой выполняются виртуальные машины. |
| LsaCfgFlags | Используйте , чтобы включить Credential Guard, который использует безопасность на основе виртуализации для изоляции секретов, чтобы только привилегированное системное программное обеспечение пользовалось доступом к ним, если они хранятся на диске или в памяти. Дополнительные сведения см. в статье Credential Guard. |
Пример XML
В следующем xml-примере автоматической установки показано, как включить безопасность на основе виртуализации.
<?xml version="1.0" encoding="UTF-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="offlineServicing">
<component language="neutral" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" versionScope="nonSxS" publicKeyToken="31bf3856ad364e35" processorArchitecture="amd64" name="Microsoft-Windows-DeviceGuard-Unattend">
<EnableVirtualizationBasedSecurity>1</EnableVirtualizationBasedSecurity>
<HypervisorEnforcedCodeIntegrity>1</HypervisorEnforcedCodeIntegrity>
<LsaCfgFlags>1</LsaCfgFlags>
</component>
</settings>
<cpi:offlineImage xmlns:cpi="urn:schemas-microsoft-com:cpi" cpi:source="wim:c:/install2/sources/install.wim#Windows 10 Enterprise"/>
</unattend>
Включение Device Guard или Credential Guard
Помимо параметров автоматической установки в Microsoft-Windows-DeviceGuard-Unattendтакже необходимо либо включить Hyper-V и IUM для включения Device Guard или Credential Guard, либо напрямую задать разделы реестра с помощью FirstLogonCommands.
- Включите Hyper-V и IUM, чтобы включить Device Guard или Credential Guard, выполнив следующие команды DISM:
- DISM.EXE /Image:<full path to offline image>/Enable-Feature:Microsoft-Hyper-V-Hypervisor /All
- DISM.EXE /Image:<full path to offline image>/Enable-Feature: IsolatedUserMode /All
- Задайте следующие разделы реестра с помощью параметра FirstLogonCommands :
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "LsaCfgFlags" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "HypervisorEnforcedCodeIntegrity" /t REG_DWORD /d 1 /f
Дополнительные сведения об Device Guard и Credential Guard см. в следующих статьях:
- Microsoft Defender управление приложениями и защита целостности кода на основе виртуализации
- Включение функции защиты целостности кода на основе виртуализации
- Защита извлеченных учетных данных домена с помощью Credential Guard
Применение
Чтобы определить, применяется ли компонент к создаваемому образу, загрузите образ в WINDOWS SIM-карту и выполните поиск по имени компонента или параметра. Сведения о просмотре компонентов и параметров см. в разделе Настройка компонентов и параметров в файле ответов.