Device Guard on yhdistelmä yrityksen kannalta tärkeitä laitteisto- ja ohjelmistoturvaominaisuuksia, jotka yhdessä määritettyinä lukitsevat laitteet toimimaan vain luotetuissa ohjelmissa, jotka määrität koodin eheyskäytännössäsi. Jos sovellukseen ei luoteta, se ei voi toimia. Perusvaatimukset täyttävä laitteisto tarkoittaa, että vaikka hyökkääjä voisi saada Windows-ytimen hallintaansa, hän ei voi suorittaa haitallista suoritettavaa koodia. Oikealla laitteistolla Device Guard voi käyttää uutta virtualisointiin perustuvaa suojausta Windows 10:ssä eristääkseen Code Integrity -palvelun Microsoft Windows -ytimestä. Tässä tapauksessa Code Integrity -palvelu toimii ytimen rinnalla Windowsin virtualisoinnin suojaamassa säilössä.
Tämä opas näyttää, kuinka Device Guard -virtualisointiin perustuva suojaus otetaan käyttöön tai poistetaan käytöstä Windows 10 Enterprise- ja Windows 10 Education -tietokoneissa.
Sinun on kirjauduttava sisään järjestelmänvalvojana, jotta voit ottaa Device Guardin käyttöön tai poistaa sen käytöstä.
Kuinka ottaa Device Guard käyttöön tai poistaa sen käytöstä
Vaihe 1 . Avaa Windowsin ominaisuudet.
Valitse Windows 10 Enterprise/Education versiossa 1607 tai uudemmassa Hyper-V: ssä Hyper- V Hypervisor ja napsauta OK .
Windows 10 Enterprise/Educationin versiota 1607 edeltävissä versioissa valitse Hyper-V:stä Hyper-V Hypervisor , valitse Isolated User Mode ja napsauta OK .
Vaihe 2 . Avaa paikallinen ryhmäkäytäntöeditori .
Vaihe 3 . Siirry seuraavaan näppäimeen paikallisen ryhmäkäytäntöeditorin vasemmassa ruudussa.
Computer Configuration\Administrative Templates\System\Device Guard
Vaihe 4 . Muokkaa sitä kaksoisnapsauttamalla paikallisen ryhmäkäytäntöeditorin Device Guardin oikeanpuoleisessa ruudussa Ota virtualisointiin perustuva suojaus -käytäntö käyttöön.
Vaihe 5 . Noudata vaihetta 6 (päällä) tai 7 (pois päältä).
Vaihe 6 . Ota Device Guard käyttöön
- Valitse Käytössä .
- Valitse Asetukset- kohdan avattavasta Select Platform Security Level -valikosta Secure Boot tai Secure Boot and DMA Protection .
Huomautus: Secure Boot (suositus) -vaihtoehto tarjoaa suojatun käynnistyksen, jossa on useita suojauksia, joita tietyn tietokoneen laitteisto tukee. Tulo-/lähtömuistinhallintayksiköillä (IOMMU) varustetussa tietokoneessa on suojattu käynnistys DMA-suojauksella. Tietokoneessa, jossa ei ole IOMMU:ita, on vain suojattu käynnistys käytössä.
Secure Boot with DMA mahdollistaa suojatun käynnistyksen ja VBS:n vain tietokoneissa, jotka tukevat DMA:ta, eli tietokoneissa, joissa on IOMMU. Tällä asetuksella millään tietokoneella, jossa ei ole IOMMU:ta, ei ole VBS-suojausta (hardware-based), vaikka se saattaa ottaa käyttöön koodin eheyskäytännöt.
- Valitse Asetukset- kohdassa Käytössä UEFI-lukituksen kanssa tai Käytössä ilman lukitusta avattavasta Virtualisointiin perustuva koodin eheyden suojaus.
Huomautus: Enabled with UEFI-lock -vaihtoehto varmistaa, että virtualisointiin perustuva koodin eheyden suojaus ei poistu käytöstä etänä. Jos haluat poistaa tämän ominaisuuden käytöstä, sinun on asetettava ryhmäkäytännöksi Ei käytössä sekä poistettava suojaustoiminto jokaiselta nykyisen käyttäjän tietokoneelta, jotta voit poistaa UEFI:n määritykset.
Käytössä ilman lukitusta -vaihtoehto mahdollistaa koodin eheyden virtualisointiin perustuvan suojauksen poistamisen käytöstä etänä ryhmäkäytännön avulla.
- Voit halutessasi ottaa Credential Guardin käyttöön myös valitsemalla avattavasta Credential Guard Configuration -valikosta Käytössä UEFI-lukituksen kanssa tai Käytössä ilman lukitusta .
Huomautus: Enabled with UEFI lock -vaihtoehto varmistaa, että Credential Guardia ei poisteta etänä. Jos haluat poistaa tämän ominaisuuden käytöstä, sinun on asetettava ryhmäkäytännöksi Disabled ja poistettava suojaustoiminto kustakin tietokoneesta, jotta nykyinen käyttäjä voi tyhjentää UEFI:n määritykset.
Käytössä ilman lukitusta -vaihtoehto mahdollistaa Credential Guardin etäkäytön ryhmäkäytännön avulla. Tätä asetusta käyttävissä laitteissa on oltava Windows 10 (versio 1511) tai uudempi.
Vaihe 7 . Device Guardin poistaminen käytöstä
Valitse Ei määritetty tai Ei käytössä , napsauta OK ja siirry vaiheeseen 8.
Huomautus : Ei määritetty on oletusasetus.
Vaihe 8 . Sulje paikallinen ryhmäkäytäntöeditori.
Vaihe 9 . Ota muutokset käyttöön käynnistämällä tietokone uudelleen.
Menestystä toivottaen!