Поделиться через

Безопасный запуск System Guard и защита SMM

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

В этой статье объясняется, как настроить защиту System Guard secure launch и system management mode (SMM) для повышения безопасности запуска Windows 10 и Windows 11 устройств. Приведенные ниже сведения представлены с точки зрения клиента.

Примечание.

System Guard функции безопасного запуска требуется поддерживаемый процессор. Дополнительные сведения см. в статье Требования к системе для System Guard.

Включение безопасного запуска System Guard

Вы можете включить System Guard безопасного запуска с помощью любого из следующих параметров:

Управление мобильными устройствами

System Guard безопасный запуск можно настроить для мобильных Управление устройствами (MDM) с помощью политик DeviceGuard в CSP политики DeviceGuard/ConfigureSystemGuardLaunch.

Групповая политика

  1. Выберите Тип запуска> , а затем — Изменить групповую политику.

  2. Выберите Конфигурация> компьютераАдминистративные шаблоны>System>Device Guard> Включитьконфигурацию безопасного запускана основе> виртуализации.

    Конфигурация безопасного запуска.

Безопасность Windows

Выберите Пуск>Параметры>Обновление & Безопасность>Безопасность Windows>Открыть Безопасность Windows>Параметры безопасности>> устройстваЗащита встроенного ПО.

параметры Безопасность Windows.

Реестр

  1. Откройте редактор реестра.

  2. Выберите HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control> DeviceGuardScenarios (Сценарииуправления DeviceGuard>).

  3. Щелкните правой кнопкой мыши Новый>>ключ сценарии и назовите новый ключ SystemGuard.

  4. Щелкните правой кнопкой мыши SystemGuard>New>DWORD (32-bit) Value (Значение) и назовите новый DWORD Enabled.

  5. Дважды щелкните Включено, измените значение на 1 и нажмите кнопку ОК.

    Реестр безопасного запуска.

Проверка System Guard безопасного запуска настроена и запущена

Чтобы проверить, запущен ли безопасный запуск, используйте сведения о системе (MSInfo32). Нажмите кнопку Пуск, найдите сведения о системе и найдите в разделе Службы безопасности на основе виртуализации, работающие и настроенные службы безопасности на основе виртуализации.

Проверка выполнения безопасного запуска в параметрах Безопасность Windows.

Примечание.

Чтобы включить безопасный запуск System Guard, платформа должна соответствовать всем базовым требованиям для System Guard, Device Guard, Credential Guard и Virtualization Based Security.

Примечание.

Дополнительные сведения о процессорах AMD см. в блоге о безопасности Майкрософт: Принудительное измерение и аттестация кода встроенного ПО с помощью Secure Launch на Windows 10.