Defender Device Guard

Les paramètres de Microsoft Defender Device Guard (Device Guard) permettent d'activer des fonctions de sécurité Windows basées sur la virtualisation qui prennent en charge des services pour un groupe d'appareils.

Configuration des paramètres Device Guard

Le tableau suivant décrit les paramètres de Device Guard que vous pouvez configurer pour les périphériques Windows.
Paramètre de stratégie Description Appareils pris en charge
Configurer Defender Device Guard Si ce paramètre est activé, il permet aux administrateurs de configurer des paramètres qui protègent l'intégrité du système et les informations d'identification sur les périphériques Windows. Windows Education et Entreprise
Paramètres Credential Guard
Configurer System Guard Launch System Guard protège et garantit l'intégrité du système lorsque celui-ci démarre et s'assure qu'elle est préservée via une attestation locale et distante. Pour plus d'informations sur System Guard, voir https://www.microsoft.com/security/blog/2018/04/19/introducing-windows-defender-system-guard-runtime-attestation/.
Les paramètres incluent :
  • Laisser non géré : permet aux administrateurs de configurer System Guard.
  • Activer si pris en charge par le matériel : active System Guard sur le matériel pris en charge. Les appareils doivent prendre en charge un module de plateforme sécurisée (TPM 2.0) discret. Les modules TPM intégrés ou de type microprogramme ne sont pas pris en charge.

    TPM assure la protection des clés de chiffrement VBS qui sont stockées dans le microprogramme et empêche l'accès non autorisé au BIOS. Pour plus d'informations sur TPM, voir https://docs.microsoft.com/en-us/windows/security/information-protection/tpm/trusted-platform-module-top-node.

  • Désactiver : désactive System Guard.
 Windows Education et Entreprise
Activer la sécurité VBS (Virtualization Based Security) La sécurité basée sur la virtualisation crée et isole les informations d'authentification et les ressources vitales du système d'exploitation. Elle utilise l'hyperviseur Windows pour assurer la prise en charge des services de sécurité. Pour plus d'informations sur la sécurité basée sur la virtualisation, voir https://docs.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-vbs. Windows Education et Entreprise
Configurer Credential Guard Credential Guard utilise la sécurité basée sur la virtualisation pour isoler les secrets qui sont accessibles uniquement pour le logiciel système privilégié. Credential Guard empêche l'accès non autorisé qui peut mener à des attaques visant à dérober les données d'authentification en protégeant le hachage de mot de passe NTLM, les tickets d'octroi d'autorisations Kerberos (TGT) et les données d'identification stockées par les applications en tant que données d'identification de domaine. Pour plus d'informations sur Credential Guard, voir https://docs.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard.
Les paramètres incluent :
  • Désactiver Credential Guard : permet aux administrateurs de désactiver à distance Credential Guard si ce dernier a été configuré précédemment avec un verrou UEFI (Unified Extensible Firmware).
  • Activer avec verrou UEFI : utilisez Credential Guard avec un verrou UEFI (Unified Extensible Firmware Interface) pour empêcher un attaquant de désactiver le système d'exploitation avec un changement de clé de registre.
  • Activer sans verrou UEFI : active Credential Guard sans verrou UEFI (Unified Extensible Firmware Interface).
 Windows Education et Entreprise
Configurer le niveau de sécurité de la plateforme pour le prochain redémarrage Active les fonctions de sécurité qui contribuent à protéger les appareils.
  • Activer VBS avec Secure Boot : active la sécurité basée sur la virtualisation afin d'utiliser Secure Boot lors du prochain redémarrage. Secure Boot est une norme de sécurité qui vérifie qu'un appareil démarre le code autorisé et empêche également l'installation des bootkits et des rootkits et leur persistance entre les redémarrages.
  • Activer VBS avec Secure Boot et DMA : configure la sécurité basée sur la virtualisation pour l'utilisation des fonctions de sécurité suivantes lors du prochain redémarrage :
    • Secure Boot : norme de sécurité qui vérifie qu'un appareil démarre le code autorisé et empêche également l'installation des bootkits et des rootkits et leur persistance entre les redémarrages.
    • Direct Memory Access (DMA) : fonction de sécurité basée sur le matériel qui fournit l'isolement et la protection nécessaires pour lutter contre les attaques malveillantes DMA au cours du démarrage et de l'exécution du système d'exploitation.
 Windows Education et Entreprise