Defender Device Guard

Ustawienia programu Microsoft™ Defender Device Guard (Device Guard) umożliwiają korzystanie z funkcji bezpieczeństwa systemu Windows 10 + opartych na wirtualizacji, które obsługują usługi dla grupy urządzeń.

Konfigurowanie ustawień programu Device Guard

W poniższej tabeli opisano ustawienia programu Device Guard, które można skonfigurować dla urządzeń z systemem Windows™ 10 +.
Ustawienie zasady Opis Obsługiwane urządzenia
Konfigurowanie aplikacji Defender Device Guard Jeśli to ustawienie jest włączone, administratorzy mogą skonfigurować ustawienia, które chronią integralność systemu i informacje autoryzacyjne w urządzeniach z systemem Windows 10+. Windows 10 + Edukacja i Przedsiębiorstwo
Ustawienia funkcji Credential Guard
Skonfiguruj uruchamianie funkcji System Guard System Guard zabezpiecza i utrzymuje integralność systemu podczas jego uruchamiania i sprawdza, czy integralność systemu została zachowana za pomocą lokalnej i zdalnej atestacji. Więcej informacji na temat funkcji System Guard znajduje się pod adresem https://www.microsoft.com/security/blog/2018/04/19/introducing-windows-defender-system-guard-runtime-attestation/.
Dostępne są następujące ustawienia:
  • Pozostaw niezarządzane: umożliwia administratorom konfigurowanie programu System Guard.
  • Włącz, jeśli obsługiwane przez sprzęt: włącza funkcję Guard System Guard na obsługiwanym sprzęcie. Urządzenia muszą obsługiwać dyskretny moduł TPM 2.0 (Trusted Platform Module). Zintegrowane lub programowe moduły TPM nie są obsługiwane.

    TPM zapewnia ochronę kluczy szyfrowania VBS, które są przechowywane w oprogramowaniu wbudowanym, oraz zapobiega nieuprawnionemu dostępowi do systemu BIOS. Więcej informacji na temat modułu TPM można znaleźć pod adresem https://docs.microsoft.com/en-us/windows/security/information-protection/tpm/trusted-platform-module-top-node.

  • Wyłącz: wyłącza funkcję System Guard.
 Windows 10 + Edukacja i Przedsiębiorstwo
Włącz funkcję VBS (Virtualization Based Security - zabezpieczanie przez wirtualizację) Zabezpieczanie przez wirtualizację tworzy i izoluje podstawowe zasoby systemu operacyjnego i dane uwierzytelniające. Zabezpieczanie przez wirtualizację korzysta z hiperwizora Windows w celu zapewnienia obsługi dla usług bezpieczeństwa. Więcej informacji na temat zabezpieczeń opartych na wirtualizacji zawiera sekcja https://docs.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-vbs. Windows 10 + Edukacja i Przedsiębiorstwo
Skonfiguruj funkcję Credential Guard Funkcja Credential Guard korzysta z zabezpieczeń przez wirtualizację w celu odizolowania danych niejawnych, do których dostęp może uzyskać tylko uprzywilejowane oprogramowanie systemowe. Funkcja Credential Guard zapobiega dostępowi bez uprawnień, które mogłoby prowadzić kradzieży danych uwierzytelniających, przez ochronę hashy haseł NTLM, tokenów TGT Kerberos oraz danych uwierzytelniających przechowywanych przez aplikacje jako dane uwierzytelniające domeny. Więcej informacji na temat programu Credential Guard znajduje się pod adresem https://docs.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard.
Dostępne są następujące ustawienia:
  • Wyłącz funkcję Credential Guard: umożliwia administratorom zdalne wyłączenie funkcji Credential Guard, jeśli funkcja Credential Guard została wcześniej skonfigurowana z użyciem blokady UEFI (Unified Extensible Firmware Interface).
  • Włącz z blokadą UEFI: użyj funkcji Credential Guard z blokadą UEFI (Unified Extensible Firmware Interface), aby uniemożliwić atakującemu wyłączenie systemu operacyjnego przez zmianę klucza rejestru.
  • Włącz bez blokady UEFI: włącza funkcję Credential Guard bez blokady UEFI (Unified Extensible Firmware Interface).
 Windows 10 + Edukacja i Przedsiębiorstwo
Skonfiguruj poziom zabezpieczeń platformy dla następnego uruchomienia Włącza funkcje zabezpieczeń, które pomagają chronić urządzenia.
  • Włącz VBS wraz z bezpiecznym rozruchem: włącza zabezpieczenia wykorzystujące wirtualizację w celu użycia bezpiecznego startu podczas następnego restartu. Bezpieczny rozruch to standard zabezpieczeń, który sprawdza, czy urządzenie uruchamia autoryzowany kod, a także zapobiega instalowaniu pakietów startowych i rootkitów oraz ich podtrzymywania między restartami.
  • Włącz VBS wraz z bezpiecznym rozruchem i DMA: włącza zabezpieczenia wykorzystujące wirtualizację w celu użycia następujących funkcji zabezpieczeń przy następnym restarcie:
    • Bezpieczny rozruch: standard zabezpieczeń, który sprawdza, czy urządzenie uruchamia autoryzowany kod, a także zapobiega instalowaniu pakietów startowych i rootkitów oraz ich podtrzymywania między restartami.
    • Bezpośredni dostęp do pamięci (DMA): sprzętowa funkcja zabezpieczająca, która zapewnia izolację i ochronę przed szkodliwymi atakami DMA w trakcie procesu rozruchu i w czasie działania systemu operacyjnego.
 Windows 10 + Edukacja i Przedsiębiorstwo