原則 CSP - DeviceGuard
ConfigureSystemGuardLaunch
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/ConfigureSystemGuardLaunch
安全啟動設定:0 - 非受控,可由系統管理用戶設定,1 - 如果硬體支援,則啟用安全啟動,2 - 停用安全啟動。
如需 系統防護 的詳細資訊,請參閱 Windows Defender 系統防護 運行時間證明簡介和硬體型信任根目錄如何協助保護 Windows 10。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | Unmanaged 可由系統管理用戶設定。 |
| 1 | Unmanaged 如果硬體支援,則啟用安全啟動。 |
| 2 | Unmanaged 停用安全啟動。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | VirtualizationBasedSecurity |
| 易記名稱 | 開啟虛擬化型安全性 |
| 專案名稱 | 安全啟動設定。 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Device Guard |
| 登錄機碼名稱 | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| ADMX 檔案名稱 | DeviceGuard.admx |
EnableVirtualizationBasedSecurity
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ❌ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
開啟虛擬化型安全性 (VBS)
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 停用虛擬化型安全性。 |
| 1 | 啟用虛擬化型安全性。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | VirtualizationBasedSecurity |
| 易記名稱 | 開啟虛擬化型安全性 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Device Guard |
| 登錄機碼名稱 | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| 登錄值名稱 | EnableVirtualizationBasedSecurity |
| ADMX 檔案名稱 | DeviceGuard.admx |
LsaCfgFlags
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
❌ 專業版 ✅ 企業版 ✅ 教育版 ❌ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Credential Guard 組態:0 - 如果先前設定了無 UEFI 鎖定,則從遠端關閉 CredentialGuard,1 - 開啟具有 UEFI 鎖定的 CredentialGuard。 2 - 在沒有 UEFI 鎖定的情況下開啟 CredentialGuard。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | (停用) 如果先前設定了無 UEFI 鎖定,請從遠端關閉 Credential Guard。 |
| 1 | (啟用 UEFI 鎖定) 開啟具有 UEFI 鎖定的 Credential Guard。 |
| 2 | (啟用但不使用鎖定) 開啟沒有 UEFI 鎖定的 Credential Guard。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | VirtualizationBasedSecurity |
| 易記名稱 | 開啟虛擬化型安全性 |
| 專案名稱 | Credential Guard 組態。 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Device Guard |
| 登錄機碼名稱 | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| ADMX 檔案名稱 | DeviceGuard.admx |
RequirePlatformSecurityFeatures
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
❌ 專業版 ✅ 企業版 ✅ 教育版 ❌ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/RequirePlatformSecurityFeatures
選取 [平台安全性層級]:1 - 開啟具有安全開機的 VBS,3 - 使用安全開機和 DMA 開啟 VBS。 DMA 需要硬體支援。
此設定可讓用戶開啟具有虛擬化型安全性的 Credential Guard,以協助在下次重新啟動時保護認證。 值類型為整數。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 (預設) | 使用安全開機開啟 VBS。 |
| 3 | 開啟具有安全開機和直接記憶體存取 (DMA) 的 VBS。 DMA 需要硬體支援。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | VirtualizationBasedSecurity |
| 易記名稱 | 開啟虛擬化型安全性 |
| 專案名稱 | 選取 [平台安全性層級]。 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Device Guard |
| 登錄機碼名稱 | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| ADMX 檔案名稱 | DeviceGuard.admx |