Device Guard е комбинация от подходящи за предприятието хардуерни и софтуерни функции за сигурност, които, когато са конфигурирани заедно, блокират устройствата, за да изпълняват само надеждни приложения, които дефинирате в правилата си за цялост на кода. Ако приложението не е надеждно, то няма да може да работи. С хардуер, който отговаря на основните изисквания, това означава, че дори ако атакуващият може да получи контрол върху ядрото на Windows, той не може да стартира злонамерен изпълним код. С правилния хардуер Device Guard може да използва нова защита, базирана на виртуализация в Windows 10, за да изолира услугата Code Integrity от ядрото на Microsoft Windows. В този случай услугата Code Integrity работи заедно с ядрото в контейнер, защитен от виртуализация на Windows.
Това ръководство ще ви покаже как да активирате или деактивирате базираната на виртуализация защита на Device Guard на компютри с Windows 10 Enterprise и Windows 10 Education.
Трябва да сте влезли като администратор, за да активирате или деактивирате Device Guard.
Как да активирате или деактивирате Device Guard
Етап 1 . Отворете Windows Features.
В Windows 10 Enterprise/Education версия 1607 или по-нова изберете Hyper-V Hypervisor под Hyper-V и щракнете върху OK .
Във версиите на Windows 10 Enterprise/Education преди версия 1607 изберете Hyper-V Hypervisor под Hyper-V, изберете Изолиран потребителски режим и щракнете върху OK .
Стъпка 2 . Отворете редактора на локални групови правила .
Стъпка 3 . Придвижете се до следния ключ в левия панел на редактора на локални групови правила.
Computer Configuration\Administrative Templates\System\Device Guard
Стъпка 4 . В десния панел на Device Guard в редактора на локални групови правила щракнете двукратно върху политиката Turn On Virtualization Based Security , за да я редактирате.
Стъпка 5 . Следвайте стъпка 6 (включено) или стъпка 7 (изключено).
Стъпка 6 . За да активирате Device Guard
- Изберете Разрешено .
- В Опции изберете Защитено стартиране или Защитено стартиране и DMA защита в падащото меню Избор на ниво на защита на платформата.
Забележка: Опцията Secure Boot (препоръчително) осигурява сигурно зареждане с множество защити, поддържани от хардуера на конкретния компютър. Компютър с модули за управление на входно/изходна памет (IOMMU) ще има защитено зареждане с DMA защита. Компютър без IOMMU ще има само активирано защитено зареждане.
Сигурното зареждане с DMA ще позволи защитено зареждане и VBS само на компютри, които поддържат DMA, т.е. компютри с IOMMU. С тази настройка всеки компютър без IOMMU няма да има VBS (базирана на хардуер) защита, въпреки че може да активира политики за интегритет на кода.
- В Опции изберете Активирано с UEFI заключване или Активирано без заключване в падащото меню Защита на целостта на кода, базирана на виртуализация.
Забележка: Опцията Активирано с UEFI заключване гарантира, че базираната на виртуализация защита на целостта на кода не е деактивирана дистанционно. За да деактивирате тази функция, трябва да зададете Group Policy на Disabled, както и да премахнете защитната функция за всеки компютър с текущия потребител, за да изтриете конфигурацията на UEFI.
Опцията Разрешено без заключване позволява базираната на виртуализация защита на целостта на кода да бъде деактивирана отдалечено с помощта на групови правила.
- Ако желаете, можете също да активирате Credential Guard , като изберете Enabled with UEFI lock или Enabled without lock в падащото меню Credential Guard Configuration.
Забележка: Опцията Активирано с UEFI заключване гарантира, че Credential Guard не е деактивиран дистанционно. За да деактивирате тази функция, трябва да зададете Group Policy на Disabled, както и да премахнете защитната функция във всеки компютър за текущия потребител, за да изчистите конфигурацията в UEFI.
Опцията Enabled without lock (Активирано без заключване) позволява Credential Guard да бъде деактивиран дистанционно с помощта на групови правила. Устройствата, използващи тази настройка, трябва да работят с Windows 10 (версия 1511) или по-нова.
Стъпка 7 . За да деактивирате Device Guard
Изберете Not Configured или Disabled , щракнете върху OK и отидете на стъпка 8.
Забележка : настройката по подразбиране е Not Configured.
Стъпка 8 . Затворете редактора на локални групови правила.
Стъпка 9 . Рестартирайте компютъра, за да приложите промените.
С пожелание за успех!