Device Guard er en kombination af virksomhedsrelevante hardware- og softwaresikkerhedsfunktioner, der, når de er konfigureret sammen, låser enheder til kun at køre betroede applikationer, som du definerer i din kodeintegritetspolitik. Hvis applikationen ikke er tillid til, vil den ikke kunne køre. Med hardware, der opfylder de grundlæggende krav, betyder det, at selvom en angriber kan få kontrol over Windows-kernen, kan de ikke køre skadelig eksekverbar kode. Med den rigtige hardware kan Device Guard bruge ny virtualiseringsbaseret sikkerhed i Windows 10 til at isolere Code Integrity-tjenesten fra Microsoft Windows-kernen. I dette tilfælde kører Code Integrity-tjenesten sammen med kernen i en beholder beskyttet af Windows-virtualisering.
Denne vejledning viser dig, hvordan du aktiverer eller deaktiverer Device Guard-virtualiseringsbaseret sikkerhed på Windows 10 Enterprise og Windows 10 Education-pc'er.
Du skal være logget ind som administrator for at aktivere eller deaktivere Device Guard.
Sådan aktiveres eller deaktiveres Device Guard
Trin 1 . Åbn Windows-funktioner.
I Windows 10 Enterprise/Education version 1607 eller nyere skal du vælge Hyper-V Hypervisor under Hyper-V og klikke på OK .
I Windows 10 Enterprise/Education-versioner før version 1607, vælg Hyper-V Hypervisor under Hyper-V, vælg Isolated User Mode og klik på OK .
Trin 2 . Åbn Local Group Policy Editor .
Trin 3 . Naviger til følgende nøgle i venstre rude i Local Group Policy Editor.
Computer Configuration\Administrative Templates\System\Device Guard
Trin 4 . I højre rude af Device Guard i Local Group Policy Editor skal du dobbeltklikke på politikken Aktiver virtualiseringsbaseret sikkerhed for at redigere den.
Trin 5 . Følg trin 6 (til) eller trin 7 (fra).
Trin 6 . For at aktivere Device Guard
- Vælg Aktiveret .
- I Indstillinger skal du vælge Secure Boot eller Secure Boot and DMA Protection i rullemenuen Vælg platformssikkerhedsniveau.
Bemærk: Indstillingen Secure Boot (anbefalet) giver en sikker opstart med flere beskyttelser, der understøttes af den specifikke computers hardware. En computer med input/output memory management units (IOMMU'er) vil have sikker opstart med DMA-beskyttelse. En computer uden IOMMU'er vil kun have sikker opstart aktiveret.
Sikker opstart med DMA vil kun aktivere sikker opstart og VBS på computere, der understøtter DMA, dvs. computere med IOMMU'er. Med denne indstilling vil enhver computer uden en IOMMU ikke have VBS (hardwarebaseret) beskyttelse, selvom den muligvis aktiverer kodeintegritetspolitikker.
- I Indstillinger skal du vælge Aktiveret med UEFI-lås eller Aktiveret uden lås i rullemenuen Virtualiseringsbaseret beskyttelse af kodeintegritet.
Bemærk: Indstillingen Aktiveret med UEFI-lås sikrer, at virtualiseringsbaseret beskyttelse af kodeintegritet ikke er deaktiveret eksternt. For at deaktivere denne funktion skal du indstille gruppepolitik til Deaktiveret samt fjerne sikkerhedsfunktionen for hver computer med den aktuelle bruger for at slette konfigurationen på UEFI.
Indstillingen Aktiveret uden lås tillader, at virtualiseringsbaseret beskyttelse af kodeintegritet kan deaktiveres eksternt ved hjælp af gruppepolitik.
- Hvis du vil, kan du også aktivere Credential Guard ved at vælge Aktiveret med UEFI-lås eller Aktiveret uden lås i rullemenuen Credential Guard Configuration.
Bemærk: Indstillingen Aktiveret med UEFI-lås sikrer, at Credential Guard ikke er fjerndeaktiveret. For at deaktivere denne funktion skal du indstille gruppepolitik til Deaktiveret samt fjerne sikkerhedsfunktionen på hver computer, så den aktuelle bruger kan rydde konfigurationen i UEFI.
Indstillingen Aktiveret uden lås tillader, at Credential Guard kan deaktiveres eksternt ved hjælp af gruppepolitik. Enheder, der bruger denne indstilling, skal køre Windows 10 (version 1511) eller nyere.
Trin 7 . For at deaktivere Device Guard
Vælg Ikke konfigureret eller deaktiveret , klik på OK og gå til trin 8.
Bemærk : Ikke konfigureret er standardindstillingen.
Trin 8 . Luk Local Group Policy Editor.
Trin 9 . Genstart computeren for at anvende ændringer.
Ønsker dig succes!