Defender Device Guard

Le impostazioni di Microsoft Defender Device Guard (Device Guard) abilitano le funzioni di sicurezza di Windows basate sulla virtualizzazione che supportano i servizi per un gruppo di dispositivi.

Configurazione delle impostazioni di Device Guard

La tabella seguente descrive le impostazioni di Device Guard che è possibile configurare per i dispositivi Windows.
Impostazione politica Descrizione Dispositivi supportati
Configura Defender Device Guard Se questa impostazione è attivata, consente agli amministratori di configurare le impostazioni che proteggono l'integrità del sistema e le credenziali sui dispositivi Windows. Windows Education e Enterprise
Impostazioni di Credential Guard
Configura avvio di System Guard System Guard protegge e mantiene l'integrità del sistema all'avvio del sistema e convalida che l'integrità del sistema è stata mantenuta tramite attestazione locale e remota. Per ulteriori informazioni su System Guard, consultare https://www.microsoft.com/security/blog/2018/04/19/introducing-windows-defender-system-guard-runtime-attestation/.
Le impostazioni includono:
  • Lascia non gestito: consente agli amministratori di configurare System Guard.
  • Abilita se supportato dall'hardware: attiva System Guard sull'hardware supportato. I dispositivi devono supportare un TPM (Trusted Platform Module) discreto ( 2.0). I TPM integrati o firmware non sono supportati.

    TPM fornisce protezione per le chiavi di crittografia VBS memorizzate nel firmware e impedisce l'accesso non autorizzato al BIOS. Per ulteriori informazioni su TPM, consultare https://docs.microsoft.com/en-us/windows/security/information-protection/tpm/trusted-platform-module-top-node.

  • Disabilita: disattiva System Guard.
 Windows Education e Enterprise
Abilita VBS (Virtualization Based Security) La sicurezza basata sulla virtualizzazione crea e isola le credenziali e le risorse del sistema operativo. La sicurezza basata sulla virtualizzazione utilizza l'hypervisor Windows per fornire supporto per i servizi di sicurezza. Per ulteriori informazioni sulla sicurezza basata sulla virtualizzazione, consultare https://docs.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-vbs. Windows Education e Enterprise
Configura Credential Guard Credential Guard utilizza la sicurezza basata sulla virtualizzazione per isolare i segreti a cui può accedere solo il software di sistema con privilegi. Credential Guard impedisce l'accesso non autorizzato che può portare ad attacchi di furto di credenziali proteggendo gli hash delle password NTLM, Kerberos TGT (Ticket Granting Ticket) e credenziali memorizzate dalle applicazioni come credenziali di dominio. Per ulteriori informazioni su Credential Guard, vedi https://docs.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard.
Le impostazioni includono:
  • Disabilita protezione credenziali: consente agli amministratori di disattivare in remoto la protezione credenziali se la protezione credenziali è stata precedentemente configurata con un blocco UEFI (Unified Extensible Firmware Interface).
  • Abilita con blocco UEFI: utilizzare il blocco Credential Guard con un blocco UEFI (Unified Extensible Firmware Interface) per impedire a un aggressore di disabilitare il sistema operativo con una modifica della chiave di registro.
  • Abilita senza blocco UEFI: attiva la protezione credenziali senza un blocco UEFI (Unified Extensible Firmware Interface).
 Windows Education e Enterprise
Configurazione del livello di sicurezza della piattaforma per il riavvio successivo Abilita funzioni di protezione che consentono di proteggere i dispositivi.
  • Attiva VBS con Secure Boot: abilita la sicurezza basata sulla virtualizzazione per utilizzare Secure Boot al successivo riavvio. Secure Boot è uno standard di sicurezza che verifica che un dispositivo avvii il codice autorizzato e impedisca inoltre l'installazione e la persistenza di bootkit e rootkit durante i riavvii.
  • Attiva VBS con Secure Boot e DMA: abilita la sicurezza basata sulla virtualizzazione per utilizzare le seguenti funzioni di sicurezza al successivo riavvio:
    • Secure Boot: uno standard di sicurezza che controlla che un dispositivo avvii il codice autorizzato e impedisca l'installazione e la persistenza di bootkit e rootkit durante i riavvii.
    • Direct Memory Access (DMA): una funzione di sicurezza basata sull'hardware che fornisce isolamento e protezione contro attacchi DMA dannosi durante il processo di boot e durante il tempo di esecuzione del sistema operativo.
 Windows Education e Enterprise