通过

策略 CSP - DeviceGuard

Windows 预览体验成员的徽标。

重要提示

此云解决方案提供商包含一些正在开发中的设置,仅适用于 Windows Insider Preview 版本。 这些设置可能会发生更改,并且可能依赖于预览版中的其他功能或服务。

ConfigureSystemGuardLaunch

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 ✅ 专业版
✅ 企业版
✅ 教育版
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10 版本 1809 [10.0.17763] 及更高版本 
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/ConfigureSystemGuardLaunch

安全启动配置:0 - 非托管,由管理用户配置,1 - 启用安全启动(如果硬件支持),2 - 禁用安全启动。

有关System Guard的详细信息,请参阅 Windows Defender System Guard运行时证明简介基于硬件的信任根如何帮助保护Windows 10

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 由管理用户配置的非托管。
1 非托管启用安全启动(如果硬件支持)。
2 非托管禁用安全启动。

组策略映射:

名称
名称 VirtualizationBasedSecurity
友好名称 启用基于虚拟化的安全性
元素名称 安全启动配置。
位置 “计算机配置”
路径 系统 > 设备防护
注册表项名称 SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
ADMX 文件名 DeviceGuard.admx

EnableVirtualizationBasedSecurity

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 ✅ 专业版
✅ 企业版
✅ 教育版
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10版本 1709 [10.0.16299] 及更高版本 
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity

启用基于虚拟化的安全性 (VBS)

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 禁用基于虚拟化的安全性。
1 启用基于虚拟化的安全性。

组策略映射:

名称
名称 VirtualizationBasedSecurity
友好名称 启用基于虚拟化的安全性
位置 “计算机配置”
路径 系统 > 设备防护
注册表项名称 SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
注册表值名称 EnableVirtualizationBasedSecurity
ADMX 文件名 DeviceGuard.admx

LsaCfgFlags

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 ❌ 专业版
✅ 企业版
✅ 教育版
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10版本 1709 [10.0.16299] 及更高版本 
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags

Credential Guard 配置:0 - 如果以前在没有 UEFI 锁定的情况下配置,请远程关闭 CredentialGuard;1 - 使用 UEFI 锁打开 CredentialGuard。 2 - 在没有 UEFI 锁定的情况下打开 CredentialGuard。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) (禁用) 如果以前在没有 UEFI 锁定的情况下配置,请远程关闭 Credential Guard。
1 (启用 UEFI 锁) 打开具有 UEFI 锁的 Credential Guard。
2 (启用(无锁定)) 打开没有 UEFI 锁的凭据防护。

组策略映射:

名称
名称 VirtualizationBasedSecurity
友好名称 启用基于虚拟化的安全性
元素名称 Credential Guard 配置。
位置 “计算机配置”
路径 系统 > 设备防护
注册表项名称 SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
ADMX 文件名 DeviceGuard.admx

MachineIdentityIsolation

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 ❌ 专业版
✅ 企业版
✅ 教育版
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows Insider Preview 
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/MachineIdentityIsolation

计算机标识隔离:0 - 计算机密码仅受 LSASS 绑定,存储在 $MACHINE 中。ACC 注册表项。 1 - LSASS 绑定和 IUM 绑定的计算机密码。 它存储在 $MACHINE 中。ACC 和 $MACHINE。ACC。IUM 注册表项。 2 - 计算机密码只有 IUM 绑定,存储在 $MACHINE 中。ACC。IUM 注册表项。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) (禁用) 计算机密码仅受 LSASS 绑定并存储在 $MACHINE 中。ACC 注册表项。
1 (在审核模式下启用,) LSASS 绑定和 IUM 绑定的计算机密码。 它存储在 $MACHINE 中。ACC 和 $MACHINE。ACC。IUM 注册表项。
2 (在强制模式下启用) 计算机密码仅绑定 IUM 并存储在 $MACHINE 中。ACC。IUM 注册表项。

组策略映射:

名称
名称 VirtualizationBasedSecurity
友好名称 启用基于虚拟化的安全性
元素名称 计算机标识隔离配置。
位置 “计算机配置”
路径 系统 > 设备防护
注册表项名称 SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
ADMX 文件名 DeviceGuard.admx

RequireMicrosoftSignedBootChain

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 ❌ 专业版
✅ 企业版
✅ 教育版
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows Insider Preview 
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/RequireMicrosoftSignedBootChain

需要Microsoft签名启动链:1 - 需要Microsoft签名启动链。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
1 (默认) 需要Microsoft签名的启动链。

RequirePlatformSecurityFeatures

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 ❌ 专业版
✅ 企业版
✅ 教育版
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10版本 1709 [10.0.16299] 及更高版本 
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/RequirePlatformSecurityFeatures

选择“平台安全级别”:1 - 使用安全启动启用 VBS,3 - 使用安全启动和 DMA 打开 VBS。 DMA 需要硬件支持。

此设置允许用户使用基于虚拟化的安全性打开 Credential Guard,以帮助在下次重新启动时保护凭据。 值类型为整数。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
1 (默认) 使用安全启动启用 VBS。
3 (DMA) 启用具有安全启动和直接内存访问的 VBS。 DMA 需要硬件支持。

组策略映射:

名称
名称 VirtualizationBasedSecurity
友好名称 启用基于虚拟化的安全性
元素名称 选择“平台安全级别”。
位置 “计算机配置”
路径 系统 > 设备防护
注册表项名称 SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
ADMX 文件名 DeviceGuard.admx

策略配置服务提供程序

  • Last updated on