共用方式為

原則 CSP - DeviceGuard

Windows 預覽體驗成員的徽標。

重要

此 CSP 包含一些正在開發且僅適用于 Windows Insider Preview 組建 的設定。 這些設定可能會變更,而且可能相依于預覽中的其他功能或服務。

ConfigureSystemGuardLaunch

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者		 ✅ 專業版
✅ 企業版
✅ 教育版
✅ IoT 企業版 / IoT 企業版 LTSC		 ✅Windows 10 版本 1809 [10.0.17763] 和更新版本 
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/ConfigureSystemGuardLaunch

安全啟動設定:0 - 非受控,可由系統管理使用者設定,1 - 如果硬體支援,則啟用安全啟動,2 - 停用安全啟動。

如需系統防護的詳細資訊,請參閱 Windows Defender 系統防護運行時間證明簡介 和 硬體型信任根目錄如何協助保護 Windows 10

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 非受管理 可由管理使用者設定。
1 未受控 (非受控) 啟用安全啟動 (如果硬體支援)。
2 未受管理會停用安全啟動。

群組原則對應:

名稱
名稱 虛擬化型安全性
易記名稱 開啟虛擬化型安全性
元素名稱 安全啟動組態。
位置 [電腦設定]
路徑 系統 > 裝置防護
登錄機碼名稱 軟體\原則\Microsoft\Windows\DeviceGuard
ADMX 檔案名稱 DeviceGuard.admx

EnableVirtualizationBasedSecurity

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者		 ✅ 專業版
✅ 企業版
✅ 教育版
✅ IoT 企業版 / IoT 企業版 LTSC		 ✅Windows 10 版本 1709 [10.0.16299] 和更新版本 
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity

開啟 VBS) (虛擬化型安全性

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 停用虛擬化型安全性。
1 啟用基於虛擬化的安全性。

群組原則對應:

名稱
名稱 虛擬化型安全性
易記名稱 開啟虛擬化型安全性
位置 [電腦設定]
路徑 系統 > 裝置防護
登錄機碼名稱 軟體\原則\Microsoft\Windows\DeviceGuard
登錄值名稱 EnableVirtualizationBasedSecurity
ADMX 檔案名稱 DeviceGuard.admx

LsaCfgFlags

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者		 ❌ 專業版
✅ 企業版
✅ 教育版
✅ IoT 企業版 / IoT 企業版 LTSC		 ✅Windows 10 版本 1709 [10.0.16299] 和更新版本 
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags

Credential Guard 設定:0 - 如果先前設定沒有 UEFI 鎖定,則會遠端關閉 CredentialGuard,1 - 開啟具有 UEFI 鎖定的 CredentialGuard。 2 - 開啟 CredentialGuard,而不使用 UEFI 鎖定。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) (已停用) 如果先前設定為沒有 UEFI 鎖定,則會遠端關閉 Credential Guard。
1 (啟用 UEFI 鎖定) 開啟具有 UEFI 鎖定的 Credential Guard。
2 (啟用而不鎖定) 開啟 Credential Guard,而不使用 UEFI 鎖定。

群組原則對應:

名稱
名稱 虛擬化型安全性
易記名稱 開啟虛擬化型安全性
元素名稱 Credential Guard 設定。
位置 [電腦設定]
路徑 系統 > 裝置防護
登錄機碼名稱 軟體\原則\Microsoft\Windows\DeviceGuard
ADMX 檔案名稱 DeviceGuard.admx

MachineIdentityIsolation

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者		 ❌ 專業版
✅ 企業版
✅ 教育版
✅ IoT 企業版 / IoT 企業版 LTSC		 ✅Windows Insider Preview 
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/MachineIdentityIsolation

電腦身分識別隔離:0 - 電腦密碼僅與 LSASS 繫結,並儲存在 $MACHINE 中。ACC 登錄機碼。 1 - LSASS 繫結和 IUM 繫結的機器密碼。 它存儲在$MACHINE中。ACC 和 $MACHINE。ACC。IUM 登錄機碼。 2 - 機器密碼僅受 IUM 繫結,並儲存在 $MACHINE 中。ACC。IUM 登錄機碼。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) (已停用) 電腦密碼僅受 LSASS 繫結,並儲存在 $MACHINE 中。ACC 登錄機碼。
1 (在稽核模式中啟用) LSASS 系結和 IUM 系結的機器密碼。 它存儲在$MACHINE中。ACC 和 $MACHINE。ACC。IUM 登錄機碼。
2 (在強制模式下啟用) 電腦密碼僅受 IUM 繫結,並儲存在 $MACHINE 中。ACC。IUM 登錄機碼。

群組原則對應:

名稱
名稱 虛擬化型安全性
易記名稱 開啟虛擬化型安全性
元素名稱 電腦身分隔離組態。
位置 [電腦設定]
路徑 系統 > 裝置防護
登錄機碼名稱 軟體\原則\Microsoft\Windows\DeviceGuard
ADMX 檔案名稱 DeviceGuard.admx

RequireMicrosoftSignedBootChain

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者		 ❌ 專業版
✅ 企業版
✅ 教育版
✅ IoT 企業版 / IoT 企業版 LTSC		 ✅Windows Insider Preview 
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/RequireMicrosoftSignedBootChain

需要 Microsoft 簽署的開機鏈結:1 - 需要 Microsoft 簽署的開機鏈結。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 1

允許的值:

描述
1 (預設) 需要 Microsoft 簽署的開機鏈結。

RequirePlatformSecurityFeatures

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者		 ❌ 專業版
✅ 企業版
✅ 教育版
✅ IoT 企業版 / IoT 企業版 LTSC		 ✅Windows 10 版本 1709 [10.0.16299] 和更新版本 
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/RequirePlatformSecurityFeatures

選取平臺安全性層級:1 - 開啟具有安全開機的 VBS,3 - 開啟具有安全開機和 DMA 的 VBS。 DMA 需要硬體支援。

此設定可讓使用者開啟具有虛擬化型安全性的 Credential Guard,以協助在下次重新啟動時保護認證。 值類型為整數。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 1

允許的值:

描述
1 (預設) 開啟具有安全開機的 VBS。
3 開啟具有安全開機的 VBS,並 (DMA) 直接存取記憶體。 DMA 需要硬體支援。

群組原則對應:

名稱
名稱 虛擬化型安全性
易記名稱 開啟虛擬化型安全性
元素名稱 選取 [平臺安全性層級]。
位置 [電腦設定]
路徑 系統 > 裝置防護
登錄機碼名稱 軟體\原則\Microsoft\Windows\DeviceGuard
ADMX 檔案名稱 DeviceGuard.admx

原則設定服務提供者

  • Last updated on