Citrix Endpoint Management

Device Guard 设备策略

Device Guard 是 Windows 10 和 Windows 11 中提供的一项安全功能。此功能通过使用 Windows 虚拟机管理程序来支持设备上的安全服务,从而实现基于虚拟化的安全性。Device Guard 策略将启用安全启动、UEFI 锁和虚拟化等安全功能。

必备条件

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

Windows Desktop 和 Tablet 设置

“设备策略”配置屏幕

  • 启用基于虚拟化的安全性: 禁用或启用基于虚拟化的安全功能。基于虚拟化的安全性使用 Windows 虚拟机管理程序来支持安全服务。
  • Configure LSA protection(配置 LSA 保护):用于配置凭据防护。此设置允许用户打开启用了基于虚拟化的安全性的 Credential Guard 以在下次重新启动时保护凭据。选项包括 Turns off Credential Guard(关闭凭据防护)、Turns on Credential Guard with UEFI lock(使用 UEFI 锁定打开凭据防护)和 Turns on Credential Guard without UEFI lock(在没有 UEFI 锁定的情况下打开凭据防护)。默认值为 Turns off Credential Guard(关闭凭据防护)。
  • Specify platform security level(指定平台安全级别):允许您在下次重新启动时指定平台安全级别。选项为打开启用了安全启动功能的 VBS打开启用了安全启动和直接内存访问功能的 VBS。默认值为 Turns on VBS with Secure Boot(使用安全启动打开 VBS)。

Endpoint Management 查询设备以确定基于虚拟化的安全设置是否与服务器上的设置匹配。如果安全设置匹配,Endpoint Management 不会将此策略部署到设备。如果安全设置不匹配,Endpoint Management 将部署此策略。

Device Guard 设备策略