Device Guard je kombinací hardwarových a softwarových bezpečnostních funkcí relevantních pro podnik, které při společné konfiguraci uzamknou zařízení, aby spouštěly pouze důvěryhodné aplikace, které definujete v zásadách integrity kódu. Pokud aplikace není důvěryhodná, nebude možné ji spustit. S hardwarem, který splňuje základní požadavky, to znamená, že i když útočník může získat kontrolu nad jádrem Windows, nemůže spustit škodlivý spustitelný kód. Se správným hardwarem může Device Guard používat nové zabezpečení založené na virtualizaci ve Windows 10 k izolaci služby integrity kódu od jádra Microsoft Windows. V tomto případě služba Code Integrity běží vedle jádra v kontejneru chráněném virtualizací Windows.
Tato příručka vám ukáže, jak povolit nebo zakázat zabezpečení založené na virtualizaci Device Guard na počítačích Windows 10 Enterprise a Windows 10 Education.
Chcete-li aktivovat nebo deaktivovat ochranu zařízení, musíte být přihlášeni jako správce.
Jak povolit nebo zakázat Device Guard
Krok 1 . Otevřete Funkce systému Windows.
Ve Windows 10 Enterprise/Education verze 1607 nebo novější vyberte Hyper-V Hypervisor pod Hyper-V a klikněte na OK .
Ve Windows 10 Enterprise/Education verzích před verzí 1607 vyberte Hyper-V Hypervisor pod Hyper-V, vyberte Izolovaný uživatelský režim a klikněte na OK .
Krok 2 . Otevřete Editor místních zásad skupiny .
Krok 3 Přejděte na následující klíč v levém podokně Editoru místních zásad skupiny.
Computer Configuration\Administrative Templates\System\Device Guard
Krok 4 . V pravém podokně Device Guard v Editoru místních zásad skupiny poklepejte na zásadu Zapnout zabezpečení založené na virtualizaci a upravte ji.
Krok 5 . Postupujte podle kroku 6 (zapnuto) nebo kroku 7 (vypnuto).
Krok 6 . Chcete-li povolit ochranu zařízení
- Vyberte možnost Povoleno .
- V Možnosti vyberte Secure Boot nebo Secure Boot and DMA Protection v rozevírací nabídce Select Platform Security Level.
Poznámka: Možnost Secure Boot (doporučeno) poskytuje bezpečné spuštění s několika ochranami podporovanými hardwarem konkrétního počítače. Počítač s jednotkami pro správu vstupní/výstupní paměti (IOMMU) bude mít zabezpečené spouštění s ochranou DMA. Počítač bez IOMMU bude mít povoleno pouze bezpečné spouštění.
Secure Boot with DMA umožní bezpečné spouštění a VBS pouze na počítačích, které podporují DMA, tedy počítačích s IOMMU. S tímto nastavením nebude mít žádný počítač bez IOMMU ochranu VBS (hardwarová), ačkoli může povolit zásady integrity kódu.
- V Možnostech vyberte v rozevírací nabídce Ochrana integrity kódu založená na virtualizaci možnost Povoleno se zámkem UEFI nebo Povoleno bez zámku .
Poznámka: Možnost Povoleno se zámkem UEFI zajišťuje, že ochrana integrity kódu založená na virtualizaci nebude vzdáleně deaktivována. Chcete-li tuto funkci zakázat, je třeba nastavit Zásady skupiny na hodnotu Zakázáno a také odebrat funkci zabezpečení pro každý počítač s aktuálním uživatelem, aby se smazala konfigurace na UEFI.
Možnost Povoleno bez zámku umožňuje vzdáleně zakázat ochranu integrity kódu založenou na virtualizaci pomocí zásad skupiny.
- Pokud chcete, můžete také povolit Credential Guard výběrem Enabled with UEFI lock nebo Enabled without lock v rozbalovací nabídce Credential Guard Configuration.
Poznámka: Možnost Enabled with UEFI lock zajišťuje, že Credential Guard není deaktivován na dálku. Chcete-li tuto funkci zakázat, musíte nastavit Zásady skupiny na Zakázáno a také odebrat funkci zabezpečení v každém počítači, aby aktuální uživatel vymazal konfiguraci v UEFI.
Možnost Povoleno bez zámku umožňuje vzdálenou deaktivaci funkce Credential Guard pomocí zásad skupiny. Zařízení používající toto nastavení musí mít systém Windows 10 (verze 1511) nebo novější.
Krok 7 . Chcete-li deaktivovat ochranu zařízení
Vyberte Not Configured nebo Disabled , klikněte na OK a přejděte ke kroku 8.
Poznámka : Výchozí nastavení je Nekonfigurováno.
Krok 8 . Zavřete Editor místních zásad skupiny.
Krok 9 . Chcete-li použít změny, restartujte počítač.
Přeji vám úspěch!