Device Guard — это комбинация важных для предприятия аппаратных и программных функций безопасности, которые при совместной настройке блокируют устройства для запуска только доверенных приложений, которые вы определяете в своей политике целостности кода. Если приложению не доверяют, оно не сможет работать. Если оборудование соответствует основным требованиям, это означает, что даже если злоумышленник сможет получить контроль над ядром Windows, он не сможет запустить вредоносный исполняемый код. При наличии подходящего оборудования Device Guard может использовать новую систему безопасности на основе виртуализации в Windows 10, чтобы изолировать службу целостности кода от ядра Microsoft Windows. В этом случае служба целостности кода работает вместе с ядром в контейнере, защищенном виртуализацией Windows.
В этом руководстве показано, как включить или отключить безопасность на основе виртуализации Device Guard на компьютерах с Windows 10 Enterprise и Windows 10 Education.
Вы должны войти в систему как администратор, чтобы включить или отключить Device Guard.
Как включить или отключить Device Guard
Шаг 1 . Откройте «Функции Windows».
В Windows 10 Enterprise/Education версии 1607 или более поздней выберите « Гипервизор Hyper-V» в разделе «Hyper-V» и нажмите «ОК» .
В версиях Windows 10 Enterprise/Education до версии 1607 выберите « Гипервизор Hyper-V» в разделе «Hyper-V», выберите « Режим изолированного пользователя» и нажмите «ОК» .
Шаг 2 . Откройте редактор локальной групповой политики .
Шаг 3 . Перейдите к следующему ключу на левой панели редактора локальной групповой политики.
Computer Configuration\Administrative Templates\System\Device Guard
Шаг 4 . На правой панели Device Guard в редакторе локальной групповой политики дважды щелкните политику « Включить безопасность на основе виртуализации» , чтобы отредактировать ее.
Шаг 5 . Выполните шаг 6 (вкл.) или шаг 7 (выкл.).
Шаг 6 . Чтобы включить Device Guard
Примечание. Параметр «Безопасная загрузка (рекомендуется)» обеспечивает безопасную загрузку с множеством средств защиты, поддерживаемых оборудованием конкретного компьютера. Компьютер с блоками управления памятью ввода-вывода (IOMMU) будет иметь безопасную загрузку с защитой DMA. На компьютере без IOMMU будет включена только безопасная загрузка.
Безопасная загрузка с DMA включит безопасную загрузку и VBS только на компьютерах, поддерживающих DMA, то есть компьютерах с IOMMU. При использовании этого параметра любой компьютер без IOMMU не будет иметь аппаратной защиты VBS, хотя на нем могут быть включены политики целостности кода.
Примечание. Параметр «Включено с блокировкой UEFI» гарантирует, что защита целостности кода на основе виртуализации не будет отключена удаленно. Чтобы отключить эту функцию, вам необходимо установить для групповой политики значение «Отключено», а также удалить функцию безопасности для каждого компьютера с текущим пользователем, чтобы удалить конфигурацию UEFI.
Параметр «Включено без блокировки» позволяет удаленно отключить защиту целостности кода на основе виртуализации с помощью групповой политики.
Примечание. Параметр «Включено с блокировкой UEFI» гарантирует, что Credential Guard не будет отключен удаленно. Чтобы отключить эту функцию, необходимо установить для групповой политики значение «Отключено», а также удалить функцию безопасности на каждом компьютере, чтобы текущий пользователь мог очистить конфигурацию в UEFI.
Параметр «Включено без блокировки» позволяет удаленно отключить Credential Guard с помощью групповой политики. Устройства, использующие этот параметр, должны работать под управлением Windows 10 (версия 1511) или более поздней версии.
Шаг 7 . Чтобы отключить Device Guard
Выберите «Не настроено» или «Отключено» , нажмите «ОК» и перейдите к шагу 8.
Примечание . «Не настроено» — это настройка по умолчанию.
Шаг 8 . Закройте редактор локальной групповой политики.
Шаг 9 . Перезагрузите компьютер, чтобы применить изменения.
Желаю вам успехов!
Если у вас возникли проблемы с установкой или обновлением приложения «Магазин» в Windows 10, это может быть связано с проблемой с кешем магазина. Узнайте как <strong>очистить кеш магазина Microsoft</strong> для вашей учетной записи в Windows 10.
Кейлоггер - это программное обеспечение для захвата и сбора информации о нажатиях клавиш. Узнайте о лучших бесплатных кейлоггерах для Windows. Как защитить свои данные!
Если вы используете Microsoft Edge на общем компьютере с Windows 10 и хотите сохранить конфиденциальность своей истории просмотров, узнайте, как настроить Edge для запуска в режиме InPrivate.
Вы можете решить многие проблемы, возникающие в Windows 11, с помощью настройки системы. Например, если игра не запускается, открытие и изменение настроек MSConfig может решить проблему.
VPNBook — бесплатный провайдер VPN с неограниченной пропускной способностью, идеален для доступа к заблокированным сайтам. Узнайте, как настроить VPN на Windows за считанные минуты.
Узнайте, как включить или отключить встроенное автозаполнение в адресной строке проводника и диалоговом окне «Выполнить» в Windows 10. Следуйте нашим простым шагам!
Windows 10 предоставляет <strong>меню параметров загрузки</strong>, позволяющее исправлять проблемы и перенастраивать систему. Узнайте, как получить доступ к этому меню.
Кнопка «Удобство доступа» на экране входа в Windows 10 дает возможность пользователям запускать приложения, такие как диспетчер задач и командную строку, для улучшения доступа и функциональности.
Эта статья поможет вам настроить переключение между веб-камерами на компьютере с Windows 10. Убедитесь, что у вас по умолчанию установлена нужная веб-камера.
Узнайте, как быстро и удобно открыть Блокнот в Windows 11 различными способами. Bлокнот — это незаменимое текстовое приложение, которое всегда под рукой.
