Microsoft-Windows-DeviceGuard-Unattend

Microsoft-Windows-DeviceGuard-Unattend 组件指定用于初始化和强制实现基于虚拟化的安全性的设置，这有助于保护系统内存与内核模式应用和驱动程序免受可能的篡改。

管理员可以设置以下设置的值来控制基于虚拟化的安全性。

本节内容

设置	说明
EnableVirtualizationBasedSecurity	用于启用基于虚拟化的安全性。
HypervisorEnforcedCodeIntegrity	指定将对虚拟机监控程序强制实现的代码完整性，虚拟机监控程序是运行虚拟机的操作系统下的一个软件层。
LsaCfgFlags	用于启用 Credential Guard，它使用基于虚拟化的安全性来隔离机密，以便只有拥有特权的系统软件才能访问存储在磁盘或内存中的机密。 有关详细信息，请参阅 Credential Guard。

XML 示例

以下无人参与的 XML 示例显示如何启用基于虚拟化的安全性。

<?xml version="1.0" encoding="UTF-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
   <settings pass="offlineServicing">
      <component language="neutral" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" versionScope="nonSxS" publicKeyToken="31bf3856ad364e35" processorArchitecture="amd64" name="Microsoft-Windows-DeviceGuard-Unattend">
         <EnableVirtualizationBasedSecurity>1</EnableVirtualizationBasedSecurity>
         <HypervisorEnforcedCodeIntegrity>1</HypervisorEnforcedCodeIntegrity>
         <LsaCfgFlags>1</LsaCfgFlags>
      </component>
   </settings>
   <cpi:offlineImage xmlns:cpi="urn:schemas-microsoft-com:cpi" cpi:source="wim:c:/install2/sources/install.wim#Windows 10 Enterprise"/>
</unattend>

启用 Device Guard 或 Credential Guard

除了 Microsoft-Windows-DeviceGuard-Unattend 中的无人参与设置，你还需启用 Hyper-V 和 IUM 以启用 Device Guard 或 Credential Guard，你也可以使用 FirstLogonCommands 直接设置注册表项。

• 运行以下 DISM 命令，启用 Hyper-V 和 IUM 以打开 Device Guard 或 Credential Guard：
  • DISM.EXE /Image:<full path to offline image>/Enable-Feature:Microsoft-Hyper-V-Hypervisor /All
  • DISM.EXE /Image:<full path to offline image>/Enable-Feature: IsolatedUserMode /All
• 使用 FirstLogonCommands 设置设置以下注册表项：
  • REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
  • REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "LsaCfgFlags" /t REG_DWORD /d 1 /f
  • REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "HypervisorEnforcedCodeIntegrity" /t REG_DWORD /d 1 /f

阅读以下文章，了解有关 Device Guard 和 Credential Guard 的更多信息：

• Microsoft Defender 应用程序控制和基于虚拟化的代码完整性保护
• 启用基于虚拟化的代码完整性保护
• 使用 Credential Guard 保护派生的域凭据

应用于

若要确定某个组件是否适用于你在构建的映像，请将你的映像加载到 Windows SIM 中并搜索组件或设置名称。 有关如何查看组件和设置的信息，请参阅在答案文件中配置组件和设置。

相关主题

组件