Поделиться через


Поставщик служб CSP политики — DeviceGuard

ConfigureSystemGuardLaunch

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/ConfigureSystemGuardLaunch

Конфигурация безопасного запуска: 0 — неуправляемая, настраиваемая администратором, 1 — включает безопасный запуск при поддержке оборудования, 2 — отключает безопасный запуск.

Дополнительные сведения о System Guard см. в разделах Введение аттестации среды выполнения Защитник Windows System Guard и Как аппаратный корень доверия помогает защитить Windows 10.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Неуправляемое настраиваемое администратором.
1 Неуправляемый параметр Включает безопасный запуск, если поддерживается оборудованием.
2 Неуправляемый отключает безопасный запуск.

Сопоставление групповой политики:

Имя Значение
Имя VirtualizationBasedSecurity
Понятное имя Включение безопасности на основе виртуализации
Имя элемента Конфигурация безопасного запуска.
Location Конфигурация компьютера
Путь System > Device Guard
Имя раздела реестра SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
Имя файла ADMX DeviceGuard.admx

EnableVirtualizationBasedSecurity

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
❌ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity

Включает безопасность на основе виртуализации (VBS)

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Отключите безопасность на основе виртуализации.
1 Включите безопасность на основе виртуализации.

Сопоставление групповой политики:

Имя Значение
Имя VirtualizationBasedSecurity
Понятное имя Включение безопасности на основе виртуализации
Location Конфигурация компьютера
Путь System > Device Guard
Имя раздела реестра SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
Имя значения реестра EnableVirtualizationBasedSecurity
Имя файла ADMX DeviceGuard.admx

LsaCfgFlags

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
❌ Pro
✅ Enterprise
✅ для образования
❌ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags

Конфигурация Credential Guard: 0— удаленное отключение CredentialGuard, если ранее не было блокировки UEFI, 1 — включает CredentialGuard с блокировкой UEFI. 2. Включает CredentialGuard без блокировки UEFI.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) (Отключено) Удаленно отключает Credential Guard, если ранее не настроена блокировка UEFI.
1 (Включено с блокировкой UEFI) Включает Credential Guard с блокировкой UEFI.
2 (Включено без блокировки) Включает Credential Guard без блокировки UEFI.

Сопоставление групповой политики:

Имя Значение
Имя VirtualizationBasedSecurity
Понятное имя Включение безопасности на основе виртуализации
Имя элемента Конфигурация Credential Guard.
Location Конфигурация компьютера
Путь System > Device Guard
Имя раздела реестра SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
Имя файла ADMX DeviceGuard.admx

RequirePlatformSecurityFeatures

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
❌ Pro
✅ Enterprise
✅ для образования
❌ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/RequirePlatformSecurityFeatures

Выберите Уровень безопасности платформы: 1 — включает VBS с безопасной загрузкой, 3 — включает VBS с безопасной загрузкой и DMA. DMA требует поддержки оборудования.

Этот параметр позволяет пользователям включать Credential Guard с безопасностью на основе виртуализации, чтобы защитить учетные данные при следующей перезагрузке. Тип значения - целое число.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
1 (по умолчанию) Включает VBS с безопасной загрузкой.
3 Включает VBS с безопасной загрузкой и прямым доступом к памяти (DMA). DMA требует поддержки оборудования.

Сопоставление групповой политики:

Имя Значение
Имя VirtualizationBasedSecurity
Понятное имя Включение безопасности на основе виртуализации
Имя элемента Выберите Уровень безопасности платформы.
Location Конфигурация компьютера
Путь System > Device Guard
Имя раздела реестра SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
Имя файла ADMX DeviceGuard.admx

Поставщик служб конфигурации политики