Как включить или отключить Device Guard в Windows 10

Device Guard — это комбинация важных для предприятия аппаратных и программных функций безопасности, которые при совместной настройке блокируют устройства для запуска только доверенных приложений, которые вы определяете в своей политике целостности кода. Если приложению не доверяют, оно не сможет работать. Если оборудование соответствует основным требованиям, это означает, что даже если злоумышленник сможет получить контроль над ядром Windows, он не сможет запустить вредоносный исполняемый код. При наличии подходящего оборудования Device Guard может использовать новую систему безопасности на основе виртуализации в Windows 10, чтобы изолировать службу целостности кода от ядра Microsoft Windows. В этом случае служба целостности кода работает вместе с ядром в контейнере, защищенном виртуализацией Windows.

В этом руководстве показано, как включить или отключить безопасность на основе виртуализации Device Guard на компьютерах с Windows 10 Enterprise и Windows 10 Education.

Вы должны войти в систему как администратор, чтобы включить или отключить Device Guard.

• Как открыть безопасность Windows в Windows 10
• Как включить защиту от несанкционированного доступа для безопасности Windows в Windows 10
• Повысьте безопасность Windows 10 с помощью защиты от эксплойтов

Как включить или отключить Device Guard

Шаг 1 . Откройте «Функции Windows».

В Windows 10 Enterprise/Education версии 1607 или более поздней выберите « Гипервизор Hyper-V» в разделе «Hyper-V» и нажмите «ОК» .

В версиях Windows 10 Enterprise/Education до версии 1607 выберите « Гипервизор Hyper-V» в разделе «Hyper-V», выберите « Режим изолированного пользователя» и нажмите «ОК» .

Шаг 2 . Откройте редактор локальной групповой политики .

Шаг 3 . Перейдите к следующему ключу на левой панели редактора локальной групповой политики.

Computer Configuration\Administrative Templates\System\Device Guard

Шаг 4 . На правой панели Device Guard в редакторе локальной групповой политики дважды щелкните политику « Включить безопасность на основе виртуализации» , чтобы отредактировать ее.

Шаг 5 . Выполните шаг 6 (вкл.) или шаг 7 (выкл.).

Шаг 6 . Чтобы включить Device Guard

• Выберите Включено .
• В разделе «Параметры» выберите «Безопасная загрузка» или «Безопасная загрузка и защита DMA» в раскрывающемся меню «Выбор уровня безопасности платформы».

Примечание. Параметр «Безопасная загрузка (рекомендуется)» обеспечивает безопасную загрузку с множеством средств защиты, поддерживаемых оборудованием конкретного компьютера. Компьютер с блоками управления памятью ввода-вывода (IOMMU) будет иметь безопасную загрузку с защитой DMA. На компьютере без IOMMU будет включена только безопасная загрузка.

Безопасная загрузка с DMA включит безопасную загрузку и VBS только на компьютерах, поддерживающих DMA, то есть компьютерах с IOMMU. При использовании этого параметра любой компьютер без IOMMU не будет иметь аппаратной защиты VBS, хотя на нем могут быть включены политики целостности кода.

• В разделе «Параметры» выберите «Включено с блокировкой UEFI» или «Включено без блокировки» в раскрывающемся меню «Защита целостности кода на основе виртуализации».

Примечание. Параметр «Включено с блокировкой UEFI» гарантирует, что защита целостности кода на основе виртуализации не будет отключена удаленно. Чтобы отключить эту функцию, вам необходимо установить для групповой политики значение «Отключено», а также удалить функцию безопасности для каждого компьютера с текущим пользователем, чтобы удалить конфигурацию UEFI.

Параметр «Включено без блокировки» позволяет удаленно отключить защиту целостности кода на основе виртуализации с помощью групповой политики.

• При желании вы также можете включить Credential Guard , выбрав «Включено с блокировкой UEFI» или «Включено без блокировки» в раскрывающемся меню «Конфигурация Credential Guard».

Примечание. Параметр «Включено с блокировкой UEFI» гарантирует, что Credential Guard не будет отключен удаленно. Чтобы отключить эту функцию, необходимо установить для групповой политики значение «Отключено», а также удалить функцию безопасности на каждом компьютере, чтобы текущий пользователь мог очистить конфигурацию в UEFI.

Параметр «Включено без блокировки» позволяет удаленно отключить Credential Guard с помощью групповой политики. Устройства, использующие этот параметр, должны работать под управлением Windows 10 (версия 1511) или более поздней версии.

• Перейдите к шагу 8.

Шаг 7 . Чтобы отключить Device Guard

Выберите «Не настроено» или «Отключено» , нажмите «ОК» и перейдите к шагу 8.

Примечание . «Не настроено» — это настройка по умолчанию.

Шаг 8 . Закройте редактор локальной групповой политики.

Шаг 9 . Перезагрузите компьютер, чтобы применить изменения.

Желаю вам успехов!