Device Guard ir uzņēmumam atbilstošas aparatūras un programmatūras drošības līdzekļu kombinācija, kas, konfigurējot tos kopā, bloķē ierīces, lai tās darbinātu tikai uzticamas lietojumprogrammas, kuras esat definējis savā koda integritātes politikā. Ja programma nav uzticama, to nevarēs palaist. Ja aparatūra atbilst pamatprasībām, tas nozīmē, ka pat tad, ja uzbrucējs var iegūt kontroli pār Windows kodolu, viņš nevar palaist ļaunprātīgu izpildāmo kodu. Izmantojot pareizo aparatūru, Device Guard var izmantot jaunu, uz virtualizāciju balstītu drošību operētājsistēmā Windows 10, lai izolētu koda integritātes pakalpojumu no Microsoft Windows kodola. Šajā gadījumā koda integritātes pakalpojums darbojas kopā ar kodolu konteinerā, ko aizsargā Windows virtualizācija.
Šajā rokasgrāmatā ir parādīts, kā iespējot vai atspējot Device Guard virtualizācijas balstītu drošību datoros ar operētājsistēmu Windows 10 Enterprise un Windows 10 Education.
Lai iespējotu vai atspējotu Device Guard, jums ir jāpiesakās kā administratoram.
Kā iespējot vai atspējot Device Guard
1. darbība . Atveriet Windows funkcijas.
Operētājsistēmā Windows 10 Enterprise/Education 1607 vai jaunākā versijā sadaļā Hyper-V atlasiet Hyper-V Hypervisor un noklikšķiniet uz Labi .
Operētājsistēmas Windows 10 Enterprise/Education versijās pirms versijas 1607 sadaļā Hyper-V atlasiet Hyper-V Hypervisor , atlasiet Izolēts lietotāja režīms un noklikšķiniet uz Labi .
2. darbība . Atveriet vietējās grupas politikas redaktoru .
3. darbība . Pārejiet uz šo taustiņu vietējās grupas politikas redaktora kreisajā rūtī.
Computer Configuration\Administrative Templates\System\Device Guard
4. darbība . Vietējās grupas politikas redaktora Device Guard labajā rūtī veiciet dubultklikšķi uz Turn On Virtualization Based Security politikas , lai to rediģētu.
5. darbība . Izpildiet 6. darbību (ieslēgts) vai 7. darbību (izslēgts).
6. darbība . Lai iespējotu Device Guard
- Atlasiet Iespējots .
- Sadaļā Opcijas atlasiet Droša sāknēšana vai Droša sāknēšana un DMA aizsardzība nolaižamajā izvēlnē Atlasīt platformas drošības līmeni.
Piezīme. Opcija Droša sāknēšana (ieteicama) nodrošina drošu sāknēšanu ar vairākiem aizsardzības līdzekļiem, ko atbalsta konkrētā datora aparatūra. Datoram ar ievades/izvades atmiņas pārvaldības vienībām (IOMMU) būs droša sāknēšana ar DMA aizsardzību. Datoram bez IOMMU būs iespējota tikai drošā sāknēšana.
Droša sāknēšana ar DMA iespējos drošu sāknēšanu un VBS tikai datoros, kas atbalsta DMA, t.i., datoros ar IOMMU. Izmantojot šo iestatījumu, jebkuram datoram bez IOMMU nebūs VBS (aparatūras bāzes) aizsardzības, lai gan tas var iespējot koda integritātes politikas.
- Sadaļā Opcijas atlasiet Iespējots ar UEFI bloķēšanu vai Iespējots bez bloķēšanas nolaižamajā izvēlnē uz virtualizācijas balstīta koda integritātes aizsardzība.
Piezīme. Opcija Iespējots ar UEFI bloķēšanu nodrošina, ka uz virtualizāciju balstīta koda integritātes aizsardzība netiek atspējota attālināti. Lai atspējotu šo līdzekli, grupas politika ir jāiestata uz Disabled, kā arī jānoņem drošības funkcija katram datoram ar pašreizējo lietotāju, lai dzēstu UEFI konfigurāciju.
Opcija Iespējots bez bloķēšanas ļauj attālināti atspējot koda integritātes aizsardzību, kuras pamatā ir virtualizācija, izmantojot grupas politiku.
- Ja vēlaties, varat arī iespējot Credential Guard , nolaižamajā izvēlnē Credential Guard konfigurācija atlasot Iespējots ar UEFI bloķēšanu vai Iespējots bez bloķēšanas .
Piezīme. Opcija Iespējots ar UEFI bloķēšanu nodrošina, ka Credential Guard netiek atspējots attālināti. Lai atspējotu šo līdzekli, ir jāiestata grupas politika uz Disabled, kā arī jānoņem drošības funkcija katrā datorā, lai pašreizējais lietotājs varētu notīrīt konfigurāciju UEFI.
Opcija Iespējots bez bloķēšanas ļauj attālināti atspējot Credential Guard, izmantojot grupas politiku. Ierīcēs, kurās tiek izmantots šis iestatījums, ir jādarbojas operētājsistēmai Windows 10 (versija 1511) vai jaunākai versijai.
7. darbība . Lai atspējotu Device Guard
Atlasiet Nav konfigurēts vai Atspējots , noklikšķiniet uz Labi un pārejiet uz 8. darbību.
Piezīme : Nav konfigurēts ir noklusējuma iestatījums.
8. darbība . Aizveriet vietējās grupas politikas redaktoru.
9. darbība . Restartējiet datoru, lai piemērotu izmaiņas.
Novēlam veiksmi!