系統防護安全啟動和 SMM 保護

• 適用於:

  ✅ Windows 11, ✅ Windows 10

本文說明如何設定 系統防護 安全啟動和系統管理模式 (SMM) 保護，以改善 Windows 10 和 Windows 11 裝置的啟動安全性。 下列資訊是從客戶端的觀點呈現。

注意

系統防護 安全啟動功能需要支持的處理器。 如需詳細資訊，請參閱 系統防護的系統需求。

如何啟用 系統防護 安全啟動

您可以使用下列任一選項來啟用 系統防護 安全啟動：

• 行動 裝置管理 (MDM)
• 群組原則
• Windows 安全性 設定
• 登錄

行動裝置管理

系統防護 可使用原則 CSP、DeviceGuard/ConfigureSystemGuardLaunch 中的 DeviceGuard 原則，設定行動 裝置管理 (MDM) 的安全啟動。

群組原則

1. 選 取 [開始> 類型]，然後選取 [ 編輯組策略]。

2. 選取 [計算機設定>] [系統管理範>本] [系統>裝置防護>] [開啟虛擬式安全性安全>啟動設定]。

   

Windows 安全性

選取 [開始>設定>更新 & 安全>性 Windows 安全性>開啟 Windows 安全性> 裝置安全>性核心隔離>韌體保護]。

登錄

1. 開啟註冊表編輯器。

2. 選HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>控件>DeviceGuard>案例。

3. 以滑鼠右鍵按兩下 [ 案例>] [新增>金鑰 ]，並將新密鑰命名為 SystemGuard。

4. 以滑鼠右鍵按兩下 [SystemGuard>新增>DWORD (32 位) 值 ]，並將新的 DWORD 命名 為 [已啟用]。

5. 按兩下 [已啟用]，將值變更為 1，然後按兩下 [ 確定]。

   

如何確認 系統防護 安全啟動已設定並執行

若要確認安全啟動是否正在執行，請使用系統資訊 (MSInfo32) 。 選 取 [開始]，搜尋 [系統資訊]，然後查看 [ 執行中的虛擬化型安全性服務 ] 和 [以 虛擬化為基礎的安全性服務設定] 底下。

注意

若要啟用 系統防護 安全啟動，平台必須符合 系統防護、Device Guard、Credential Guard 和虛擬化型安全性的所有基準需求。

注意

如需有關 AMD 處理器的詳細資訊，請參閱 Microsoft 安全性部落格：強制韌體程式代碼在 Windows 10 上由安全啟動進行測量和證明。