Device Guard 设备策略

Device Guard 是 Windows 10 的一项安全功能,通过使用 Windows 虚拟机管理程序来支持设备上的安全服务来启用基于虚拟化的安全性。Device Guard 策略启用安全启动、UEFI 锁和虚拟化等安全功能。

必备条件

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

Windows Desktop 和 Tablet 设置

“设备策略”配置屏幕图

  • 启用基于虚拟化的安全性: 禁用启用基于虚拟化的安全功能。基于虚拟化的安全性使用 Windows 虚拟机管理程序来支持安全服务。
  • LSA 配置标志: 允许您配置 Credential Guard。此设置允许用户打开启用了基于虚拟化的安全性的 Credential Guard 以在下次重新启动时保护凭据。选项为On with UEFI Lock(开,并启用 UEFI 锁)和 On without UEFI Lock(开,不启用 UEFI 锁)。默认值为
  • 需要平台安全功能: 指定下次重新启动时的平台安全级别。选项为启用了安全启动功能的 VBS启用了安全启动和直接内存访问(DMA)功能的 VBS。默认值为

Endpoint Management 查询设备以确定基于虚拟化的安全设置是否与服务器上的设置匹配。如果安全设置匹配, Endpoint Management 将不会将此策略部署到设备。如果安全设置不匹配,Endpoint Management 将部署此策略。

Device Guard 设备策略