Microsoft-Windows-DeviceGuard-Unattend
Компонент Microsoft-Windows-DeviceGuard-Unattend задает параметры для инициализации и принудительной безопасности на основе виртуализации, которая помогает защитить приложения и драйверы режима ядра системы от возможного изменения.
Администраторы могут задавать значения для следующих параметров для управления безопасностью на основе виртуализации.
В этом разделе
| Параметр | Description |
|---|---|
| EnableVirtualizationBasedSecurity | Используйте для включения безопасности на основе виртуализации. |
| ГипервизорEnforcedCodeIntegrity | Указывает целостность кода, которая будет применяться для гипервизора, который является слоем программного обеспечения под ОС, на которой выполняются виртуальные машины. |
| LsaCfgFlags | Используйте для включения Credential Guard, который использует безопасность на основе виртуализации для изоляции секретов, чтобы доступ к ним мог получить только привилегированное системное программное обеспечение, если они хранятся на диске или в памяти. Дополнительные сведения см. в статье Credential Guard. |
ПРИМЕР XML
В следующем примере автоматического XML-кода показано, как включить безопасность на основе виртуализации.
<?xml version="1.0" encoding="UTF-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="offlineServicing">
<component language="neutral" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" versionScope="nonSxS" publicKeyToken="31bf3856ad364e35" processorArchitecture="amd64" name="Microsoft-Windows-DeviceGuard-Unattend">
<EnableVirtualizationBasedSecurity>1</EnableVirtualizationBasedSecurity>
<HypervisorEnforcedCodeIntegrity>1</HypervisorEnforcedCodeIntegrity>
<LsaCfgFlags>1</LsaCfgFlags>
</component>
</settings>
<cpi:offlineImage xmlns:cpi="urn:schemas-microsoft-com:cpi" cpi:source="wim:c:/install2/sources/install.wim#Windows 10 Enterprise"/>
</unattend>
Включение Device Guard или Credential Guard
Помимо параметров Microsoft-Windows-DeviceGuard-Unattendавтоматической установки, также необходимо включить Hyper-V и IUM, чтобы включить Device Guard или Credential Guard, или напрямую задать разделы реестра с помощью FirstLogonCommands.
- Включите Hyper-V и IUM для включения Device Guard или Credential Guard, выполнив следующие команды DISM:
- DISM.EXE /Image:full path to offline image >/Enable-Feature:<Microsoft-Hyper-V-Hyper
- DISM.EXE /Image:<full path to offline image> /Enable-Feature: IsolatedUserMode /All
- Задайте следующие разделы реестра с помощью параметра FirstLogonCommands :
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "LsaCfgFlags" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "HypervisorEnforcedCodeIntegrity" /t REG_DWORD /d 1 /f
Дополнительные сведения об Device Guard и Credential Guard см. в следующих статьях:
- Управление приложениями в Microsoft Defender и защита целостности кода на основе виртуализации
- Включение защиты целостности кода на основе виртуализации
- Защита извлеченных учетных данных домена с помощью Credential Guard
Применяется к
Чтобы определить, применяется ли компонент к создаваемому изображению, загрузите образ в SIM-карту Windows и найдите компонент или имя параметра. Сведения о просмотре компонентов и параметров см. в разделе "Настройка компонентов и параметров" в файле ответов.