Device Guard je kombinacija za podjetje pomembnih varnostnih funkcij strojne in programske opreme, ki, ko so konfigurirane skupaj, zaklenejo naprave za izvajanje samo zaupanja vrednih aplikacij, ki jih določite v svojem pravilniku o celovitosti kode. Če aplikacija ni zaupanja vredna, se ne bo mogla zagnati. S strojno opremo, ki izpolnjuje osnovne zahteve, to pomeni, da tudi če lahko napadalec pridobi nadzor nad jedrom Windows, ne more zagnati zlonamerne izvedljive kode. S pravo strojno opremo lahko Device Guard uporabi novo varnost, ki temelji na virtualizaciji v sistemu Windows 10, da izolira storitev Code Integrity od jedra Microsoft Windows. V tem primeru se storitev Code Integrity izvaja skupaj z jedrom v vsebniku, zaščitenem z virtualizacijo sistema Windows.
Ta vodnik vam bo pokazal, kako omogočiti ali onemogočiti varnost, ki temelji na virtualizaciji Device Guard, v osebnih računalnikih z operacijskim sistemom Windows 10 Enterprise in Windows 10 Education.
Če želite omogočiti ali onemogočiti Device Guard, morate biti prijavljeni kot skrbnik.
Kako omogočiti ali onemogočiti Device Guard
Korak 1 . Odprite funkcije sistema Windows.
V sistemu Windows 10 Enterprise/Education različica 1607 ali novejši izberite Hipervizor Hyper-V pod Hyper-V in kliknite V redu .
V različicah sistema Windows 10 Enterprise/Education pred različico 1607 izberite Hyper-V Hypervisor pod Hyper-V, izberite Isolated User Mode in kliknite OK .
2. korak Odprite urejevalnik pravilnika lokalne skupine .
3. korak Pomaknite se do naslednjega ključa v levem podoknu urejevalnika pravilnika lokalne skupine.
Computer Configuration\Administrative Templates\System\Device Guard
4. korak . V desnem podoknu Device Guard v urejevalniku pravilnika lokalne skupine dvokliknite pravilnik Turn On Virtualization Based Security , da ga uredite.
5. korak . Sledite koraku 6 (vklop) ali koraku 7 (izklop).
6. korak . Če želite omogočiti Device Guard
- Izberite Omogočeno .
- V možnostih izberite Varen zagon ali Varen zagon in zaščita DMA v spustnem meniju Izberi raven varnosti platforme.
Opomba: možnost varnega zagona (priporočeno) omogoča varen zagon z več zaščitami, ki jih podpira določena strojna oprema računalnika. Računalnik z enotami za upravljanje vhodno/izhodnega pomnilnika (IOMMU) bo imel varen zagon z zaščito DMA. Računalnik brez IOMMU bo imel omogočen samo varen zagon.
Varen zagon z DMA bo omogočil varen zagon in VBS samo na računalnikih, ki podpirajo DMA, tj. računalnikih z IOMMU. S to nastavitvijo noben računalnik brez IOMMU ne bo imel zaščite VBS (na strojni opremi), čeprav lahko omogoči pravilnike o integriteti kode.
- V možnostih izberite Omogočeno z zaklepanjem UEFI ali Omogočeno brez zaklepanja v spustnem meniju Zaščita integritete kode na osnovi virtualizacije.
Opomba: možnost Omogočeno z zaklepanjem UEFI zagotavlja, da zaščita integritete kode na osnovi virtualizacije ni onemogočena na daljavo. Če želite onemogočiti to funkcijo, morate pravilnik skupine nastaviti na Onemogočeno in odstraniti varnostno funkcijo za vsak računalnik s trenutnim uporabnikom, da izbrišete konfiguracijo na UEFI.
Možnost Omogočeno brez zaklepanja omogoča oddaljeno onemogočanje zaščite integritete kode na osnovi virtualizacije s pravilnikom skupine.
- Če želite, lahko tudi omogočite Credential Guard , tako da v spustnem meniju Credential Guard Configuration izberete Enabled with UEFI lock ali Enabled without lock .
Opomba: možnost Omogočeno z zaklepanjem UEFI zagotavlja, da Credential Guard ni onemogočen na daljavo. Če želite onemogočiti to funkcijo, morate pravilnik skupine nastaviti na Onemogočeno in odstraniti varnostno funkcijo v vsakem računalniku za trenutnega uporabnika, da počisti konfiguracijo v UEFI.
Možnost Omogočeno brez zaklepanja omogoča, da se Credential Guard na daljavo onemogoči s pravilnikom skupine. Naprave, ki uporabljajo to nastavitev, morajo imeti nameščen sistem Windows 10 (različica 1511) ali novejši.
7. korak . Če želite onemogočiti Device Guard
Izberite Ni konfigurirano ali Onemogočeno , kliknite V redu in pojdite na 8. korak.
Opomba : Ni konfigurirano je privzeta nastavitev.
8. korak . Zaprite urejevalnik pravilnika lokalne skupine.
Korak 9 . Znova zaženite računalnik, da uveljavite spremembe.
Želim vam uspeh!