1. Главная страница » Компьютеры

Device guard что это

Автор: | 16.12.2019
Нет комментариев

Привет всем. Итак, недавно моя вторая система Windows 10 SL обновилась до сборки 1803, ну и все бы ничего, но при попытке создать и запустить новую виртуальную машину использюя VMWare Workstation 14, я обнаружил ошибку, которая сообщала мне что Credential Guard or Device Guard не позволяет мне использовать МОЮ виртуализацию, по этому я должен ее отключить и мне предлагается перейти по ссылке на сайт VMWare где подробно описано как это сделать. И все бы ничего, но инструкция предназначена для Windows 10 редакции Server и, конечно же, есть определенные отличия в плане ПО и не только, между серверной редакцией и моей десктопной. Инструкция мне не подходит.

Посетив несколько тематических забугорных форумов и почитав активные обсуждения, я обратил внимание что тем людям, которые задают такой же вопрос, обычно пишут ответ типа «ерунду несешь, данная фича — Credential Guard or Device Guard есть только в Windows редакции Server». Звучит глупо, знатоки еще те. Читая дальше и вникая в суть мне стало понятно, что в этой ошибке есть некоторая связь с Hyper-V (нативной системой виртуализации в Windows), но для десктопных Windows 10 Hyper-V доступен только в редакциях Pro и выше (типа Enterprise) как это связано с моей Single Language мне было не понятно. Данный тип редакции базово не имеет поддержки Hyper-V.

РЕШЕНИЕ.
Каким-то странным истечением обстоятельств я забрел в в установку и удаление компонентов системы и обнаружил там некоторую включенную опцию, которой ранее не было в моей системе. Опция называется Windows Hypervisor Platform. Ну вот, собственно, отключив эту опцию после перезагрузки системы, виртуальная машина под управлением VMWare Workstation начала работать без ошибок как обычно.

Читайте также:  Acer aspire one series zg5

Если вы столкнулись с этой проблемой, попробуйте решить ее так. Отпишитесь обязательно в комментариях, у кого получилось / не получислоь.

Применимо к: System Center Configuration Manager (Current Branch) Applies to: System Center Configuration Manager (Current Branch)

Содержание

Введение Introduction

Device Guard — это набор компонентов Windows 10, предназначенных для защиты компьютеров от вредоносных программ и другого ненадежного программного обеспечения. Device Guard is a group of Windows 10 features that are designed to protect PCs against malware and other untrusted software. Эта служба блокирует запуск вредоносного кода, гарантируя выполнение только надежного утвержденного кода. It prevents malicious code from running by ensuring that only approved code, that you know, can be run.

Читайте также:  Bta16 600b характеристики схема подключения

Device Guard сочетает программные и аппаратные функции защиты. Device Guard encompasses both software and hardware-based security functionality. Управление приложениями в Защитнике Windows реализует программный уровень защиты, поддерживая строгий список программ, выполнение которых допускается на компьютере. Windows Defender Application Control is a software-based security layer that enforces an explicit list of software that is allowed to run on a PC. Само по себе управление приложениями не имеет требований к оборудованию или микропрограммному обеспечению. On its own, Application Control does not have any hardware or firmware prerequisites. Политики управления приложениями, развернутые с помощью Configuration Manager, применяются к компьютерам в целевых коллекциях, которые соответствуют минимальным требованиям к версии Windows и SKU, как описано в этой статье. Application Control policies deployed with Configuration Manager enable a policy on PCs in targeted collections that meet the minimum Windows version and SKU requirements outlined in this article. При необходимости вы можете включить политики управления приложениями на основе гипервизора, развернув их с использованием Configuration Manager в виде групповой политики для соответствующего оборудования. Optionally, hypervisor-based protection of Application Control policies deployed through Configuration Manager can be enabled through Group Policy on capable hardware.

Дополнительные сведения о Device Guard см. в руководстве по развертыванию Device Guard. To learn more about Device Guard, read the Device Guard deployment guide.

Начиная с Windows 10 версии 1709, настраиваемые политики целостности кода переименованы в управление приложениями в Защитнике Windows. Beginning with Windows 10, version 1709, configurable code integrity policies are known as Windows Defender Application Control.

Использование Device Guard совместно с Configuration Manager Using Device Guard with Configuration Manager

Вы можете развернуть политику управления приложениями в Защитнике Windows с помощью Configuration Manager. You can use Configuration Manager to deploy a Windows Defender Application Control policy. Такая политика позволяет настроить режим, в котором Device Guard выполняется на компьютерах в коллекции. This policy lets you configure the mode in which Device Guard runs on PCs in a collection.

Можно настроить один из следующих режимов. You can configure one of the following modes:

  1. Включено принудительное применение — разрешено выполнение только надежных исполняемых файлов. Enforcement enabled — Only trusted executables are allowed to run.
  2. Только аудит — разрешено выполнение всех исполняемых файлов, но ведется регистрация выполняющихся ненадежных программ в журнале событий локального клиента. Audit only — Allow all executables to run, but log untrusted executables that run in the local client event log.

Эта функция появилась в версии 1702 на стадии предварительного выпуска. This feature was first introduced in version 1702 as a pre-release feature. Начиная с версии 1906 эта функция больше не считается функцией предварительной версии. Beginning with version 1906, it’s no longer a pre-release feature.

Что разрешено запускать при развертывании политики управления приложениями в Защитнике Windows? What can run when you deploy a Windows Defender Application Control policy?

Windows Device Guard позволяет строго контролировать компоненты, которые могут выполняться на управляемых компьютерах. Windows Device Guard lets you strongly control what can run on PCs you manage. Эта функция полезна для отделов с повышенными требованиями к безопасности, где важно не допустить выполнение нежелательного программного обеспечения. This feature can be useful for PCs in high-security departments, where it’s vital that unwanted software cannot run.

При развертывании политики обычно разрешается запуск следующих исполняемых файлов: When you deploy a policy, typically, the following executables can run:

  • компоненты операционной системы Windows; Windows operating system components
  • драйверы Центра разработки оборудования (которые имеют сигнатуры лабораторий WHQL); Hardware Dev Center drivers (that have Windows Hardware Quality Labs signatures)
  • приложения Магазина Windows; Windows Store apps
  • клиент Configuration Manager; The Configuration Manager client
  • все программное обеспечение, развернутое через Configuration Manager, которое устанавливается на компьютерах после обработки политики управления приложениями в Защитнике Windows. All software deployed through Configuration Manager that PCs install after the Windows Defender Application Control policy is processed.
  • Обновления компонентов Windows из: Updates to windows components from:
  • Центра обновления Windows; Windows Update
  • Центр обновления Windows для бизнеса. Windows Update for Business
  • Службы WSUS Windows Server Update Services
  • Configuration Manager Configuration Manager
  • Настраиваемое при необходимости программное обеспечение с хорошей репутацией в системе Microsoft Intelligent Security Graph (ISG). Optionally, software with a good reputation as determined by the Microsoft Intelligent Security Graph (ISG). ISG включает в себя SmartScreen Защитника Windows и другие службы Майкрософт. The ISG includes Windows Defender SmartScreen and other Microsoft services. Чтобы это программное обеспечение считалось надежным, на устройстве должно выполняться средство SmartScreen Защитника Windows и Windows 10 версии 1709. The device must be running Windows Defender SmartScreen and Windows 10 version 1709 or later for this software to be trusted.

В этот список не входят программы, кроме встроенных в Windows, которые автоматические обновляются через Интернет, а также любые обновления стороннего программного обеспечения, которые устанавливаются с использованием указанных выше механизмов или через Интернет. These items do not include any software that is not built-into Windows that automatically updates from the internet or third-party software updates whether they are installed via any of the update mechanisms mentioned previously, or from the internet. Разрешено выполнение только таких изменений программного обеспечения, которые разворачиваются с использованием клиента Configuration Manager. Only software changes that are deployed though the Configuration Manager client can run.

Перед началом работы Before you start

Перед настройкой и развертыванием политик управления приложениями в Защитнике Windows обратите внимание на следующие аспекты: Before you configure or deploy Windows Defender Application Control policies, read the following information:

  • Управление Device Guard — это функция предварительной версии для Configuration Manager, которая подлежит изменению. Device Guard management is a pre-release feature for Configuration Manager, and is subject to change.
  • Чтобы использовать Device Guard совместно с Configuration Manager, на управляемом компьютере должна выполняться ОС Windows 10 Корпоративная версии 1703 или более поздней. To use Device Guard with Configuration Manager, PCs you manage must be running the Windows 10 Enterprise version 1703, or later.
  • Когда политика будет успешно обработана на клиентском компьютере, на этом клиенте Configuration Manager настраивается в роли управляемого установщика. Once a policy is successfully processed on a client PC, Configuration Manager is configured as a Managed Installer on that client. Все программное обеспечение, развернутое с его помощью после обработки политики, автоматически считается доверенным. Software deployed through it, after the policy processes, is automatically trusted. Программное обеспечение, установленное с помощью Configuration Manager до обработки политики управления приложениями в Защитнике Windows, автоматически не считается надежным. Software installed by Configuration Manager before the Windows Defender Application Control policy processes is not automatically trusted.
  • Для успешной обработки политики управления приложениями в Защитнике Windows клиентские компьютеры должны быть подключены к контроллеру домена. Client PCs must have connectivity to their Domain Controller in order for a Windows Defender Application Control policy to be processed successfully.
  • Для политик управления приложениями во время развертывания по умолчанию настраивается расписание ежедневного выполнения. The default compliance evaluation schedule for Application Control policies, configurable during deployment, is every one day. Если возникают проблемы с обработкой политики, возможно, стоит настроить более короткий интервал для проверки соответствия, например каждый час. If issues in policy processing are observed, it may be beneficial to configure the compliance evaluation schedule to be shorter, for example every hour. Это расписание определяет, как часто клиент пытается повторно обработать политику управления приложениями в Защитнике Windows, если попытка завершается сбоем. This schedule dictates how often clients reattempt to process a Windows Defender Application Control policy if a failure occurs.
  • Независимо от выбранного режима применения, после развертывания политики управления приложениями в Защитнике Windows клиентские компьютеры не могут выполнять HTML-приложения с расширением HTA. Regardless of the enforcement mode you select, when you deploy a Windows Defender Application Control policy, client PCs cannot run HTML applications with the extension .hta.

Создание политики управления приложениями в Защитнике Windows How to create a Windows Defender Application Control policy

  1. В консоли Configuration Manager щелкните элемент Активы и соответствие. In the Configuration Manager console, click Assets and Compliance.
  2. В рабочей области Активы и соответствие разверните узел Endpoint Protection и щелкните Управление приложениями в Защитнике Windows. In the Assets and Compliance workspace, expand Endpoint Protection, and then click Windows Defender Application Control.
  3. На вкладке Главная в группе Создать щелкните Создать политику управления приложениями. On the Home tab, in the Create group, click Create Application Control policy.
  4. На странице Общие в мастере создания политики управления приложениями настройте следующие параметры: On the General page of the Create Application Control policy Wizard, specify the following settings:
    • Имя — уникальное имя для этой политики управления приложениями в Защитнике Windows. Name — Enter a unique name for this Windows Defender Application Control policy.
    • Описание — при необходимости введите описание политики, которое идентифицирует ее в консоли Configuration Manager. Description — Optionally, enter a description for the policy that helps you identify it in the Configuration Manager console.
    • Принудительно перезагружать устройства, чтобы политика могла быть применена ко всем устройствам — когда клиентский компьютер обработает политику, ему будет назначено расписание перезагрузки в соответствии с параметром Перезагрузка компьютера в параметрах клиента. Enforce a restart of devices so that this policy can be enforced for all processes — After the policy is processed on a client PC, a restart is scheduled on the client according to the Client Settings for Computer Restart.
      • Устройства под управлением Windows 10 версии 1703 или более ранней версии всегда автоматически перезапускаются. Devices running Windows 10 version 1703 or earlier will always be automatically restarted.
      • Начиная с Windows 10 версии 1709, к выполняемым на устройстве приложениям новая политика управления приложением не применяется до следующей перезагрузки. Starting with Windows 10 version 1709, applications currently running on the device will not have the new Application Control policy applied to them until after a restart. Но для всех приложений, запущенных после применения политики, будет применена новая политика управления приложения. However, applications launched after the policy applies will honor the new Application Control policy.
      • Режим применения — выберите один из следующих способов принудительного применения Device Guard на клиентских компьютерах. Enforcement Mode — Choose one of the following enforcement methods for Device Guard on the client PC.
        • Включено принудительное применение — разрешено выполнение только надежных исполняемых файлов. Enforcement Enabled — Only allow trusted executables are allowed to run.
        • Только аудит — разрешено выполнение всех исполняемых файлов, но ведется регистрация выполняющихся ненадежных программ в журнале событий локального клиента. Audit Only — Allow all executables to run, but log untrusted executables that run in the local client event log.
        • На вкладке Включения в мастере создания политики управления приложениями выберите, нужно ли авторизовать программное обеспечение, которому доверяет Intelligent Security Graph. On the Inclusions tab of the Create Application Control policy Wizard, choose if you want to Authorize software that is trusted by the Intelligent Security Graph.
        • Щелкните Добавить, если вы хотите добавить отношения доверия для определенных файлов или папок на компьютерах. Click Add if you want to add trust for specific files or folders on PCs. В диалоговом окне Добавление доверенного файла или папки вы можете указать локальный файл или путь к папке, для которых следует настроить отношение доверия. In the Add Trusted File or Folder dialog box, you can specify a local file or a folder path to trust. Можно также указать путь к файлу или папке на удаленном устройстве, на подключение к которому у вас есть права. You can also specify a file or folder path on a remote device on which you have permission to connect. Добавив в политику управления приложениями в Защитнике Windows отношение доверия для определенных файлов или папок, вы можете: When you add trust for specific files or folders in a Windows Defender Application Control policy, you can:
          • устранять проблемы, связанные с поведением управляемого установщика; Overcome issues with managed installer behaviors
          • доверять бизнес-приложениям, которые не могут быть развернуты с помощью Configuration Manager; Trust line-of-business apps that cannot be deployed with Configuration Manager
          • доверять приложениям, которые включены в образ развертывания операционной системы. Trust apps that are included in an operating system deployment image.
          • Чтобы завершить работу мастера, щелкните Далее. Click Next, to complete the wizard.

          Включение доверенных файлов или папок поддерживается только на клиентских компьютерах под управлением версии 1706 или более поздней версии клиента Configuration Manager. The inclusion of trusted files or folders is only supported on client PCs running version 1706 or later of the Configuration Manager client. Если правила включения содержатся в политике управления приложениями в Защитнике Windows и эта политика развертывается на клиентском компьютере под управлением более ранней версии клиента Configuration Manager, ее будет невозможно применить. If any inclusion rules are included in a Windows Defender Application Control policy and the policy is then deployed to a client PC running an earlier version on the Configuration Manager client, the policy will fail to be applied. Чтобы устранить эту проблему, обновите устаревшие клиенты. Upgrading these older clients will resolve this issue. Политики, которые не содержат правила включения, могут применяться в предыдущих версиях клиента Configuration Manager. Policies that do not include any inclusion rules may still be applied on older versions of the Configuration Manager client.

          Развертывание политики управления приложениями в Защитнике Windows How to deploy a Windows Defender Application Control policy

          1. В консоли Configuration Manager щелкните элемент Активы и соответствие. In the Configuration Manager console, click Assets and Compliance.
          2. В рабочей области Активы и соответствие разверните узел Endpoint Protection и щелкните Управление приложениями в Защитнике Windows. In the Assets and Compliance workspace, expand Endpoint Protection, and then click Windows Defender Application Control.
          3. В списке политик выберите политику, которую необходимо развернуть, а затем на вкладке Главная в группе Развертывание щелкните элемент Развертывание политики управления приложениями. From the list of policies, select the one you want to deploy, and then, on the Home tab, in the Deployment group, click Deploy Application Control Policy.
          4. В диалоговом окне Развертывание политики управления приложениями выберите коллекцию, в которой нужно развернуть политику. In the Deploy Application Control policy dialog box, select the collection to which you want to deploy the policy. Затем настройте расписание, в соответствии с которым клиенты будут оценивать политику. Then, configure a schedule for when clients evaluate the policy. И наконец укажите, могут ли клиенты оценивать политику вне настроенных периодов обслуживания. Finally, select whether the client can evaluate the policy outside of any configured maintenance windows.
          5. По завершении нажмите кнопку ОК, чтобы развернуть политику. When you are finished, click OK to deploy the policy.

          Мониторинг политики управления приложениями в Защитнике Windows How to monitor a Windows Defender Application Control policy

          В статье Мониторинг параметров соответствия требованиям в System Center Configuration Manager описано, как проверить правильное применение развернутой политики ко всем компьютерам. Use the information in the Monitor compliance settings article to help you monitor that the deployed policy has been applied to all PCs correctly.

          Используйте следующий файл журнала на клиентских компьютерах, чтобы наблюдать за обработкой политики управления приложениями в Защитнике Windows: To monitor the processing of a Windows Defender Application Control policy, use the following log file on client PCs:

          %WINDIR%CCMLogsDeviceGuardHandler.log %WINDIR%CCMLogsDeviceGuardHandler.log

          Чтобы проверить, применяется ли блокировка или аудит к конкретной программе, изучите следующие журналы событий на локальном клиенте. To verify the specific software being blocked or audited, see the following local client event logs:

          1. Сведения о блокировке и аудите исполняемых файлов содержатся в журнале Журналы приложений и служб >Microsoft >Windows >Целостность кода >Операционные. For blocking and auditing of executable files, use Applications and Services Logs >Microsoft >Windows >Code Integrity >Operational.
          2. Сведения о блокировке и аудите установщика Windows и файлов сценариев содержатся в журнале Журналы приложений и служб >Microsoft >Windows >AppLocker >MSI и сценарий. For blocking and auditing of Windows Installer and script files, use Applications and Services Logs >Microsoft >Windows >AppLocker >MSI and Script.

          Область применения

          В этой статье описаны различные способы включения целостности кода, защищенного гипервизором (ХВЦИ), в Windows 10. Некоторые приложения, включая драйверы устройств, могут быть несовместимы с HVCI. Это может привести к тому, что устройства и программное обеспечение будут работать неправильно, и в некоторых случаях может привести к появлению синего экрана. Такие проблемы могут возникать после включения службы HVCI или непосредственно во время самого процесса активации службы. В этом случае см. действия по устранению неполадок.

          ХВЦИ работает с современными процессорами Gen 7 или выше и его аналогом на AMD. ПРОЦЕССОР, новый компонент — это виртуализация управления выполнением на основе режима "Мбе". У ЦПУ AMD нет Мбе.

          "Безопасный модуль использует функцию управления выполнением на основе режима (МБЕК), если она есть в оборудовании, что повышает надежность с помощью исполняемого бита пользователя или ядра либо программной эмуляции гипервизора, которая называется" ограниченный пользовательский режим "(рум)". Пометьте Руссинович и Алекс Ионеску. Microsoft Windows — версия для внутреннего выпуска (7)

          Функции ХВЦИ

          • ХВЦИ защищает изменения точечных рисунков системы управления потоком кода (CFG).
          • ХВЦИ также убедитесь, что ваши другие Труслетс, например Credential Guard, имеют действительный сертификат.
          • Современные драйверы устройств также должны иметь сертификат EV (расширенная проверка) и поддерживать ХВЦИ.

          Как включить ХВЦИ в Windows 10

          Чтобы включить ХВЦИ на устройствах с Windows 10 с поддерживающим оборудованием в масштабах всего предприятия, воспользуйтесь одним из следующих способов:

          Приложение для обеспечения безопасности Windows

          ХвЦи имеет метку " целостность памяти " в приложении "безопасность Windows", и доступ к ней можно получить с помощью обновления параметров > & безопасность > ядрасистемы > безопасностиWindows > устройства безопасности.** сведения о** > целостности памяти. Дополнительные сведения можно найти в разделе KB4096339.

          Включение ХВЦИ с помощью Intune

          Для включения в Intune необходимо использовать узел целостности кода в CSP для AppLocker.

          Включение ХВЦИ с помощью групповой политики

          1. С помощью редактора групповой политики (gpedit. msc) измените существующий объект GPO или создайте новый.
          2. Перейдите к разделу Конфигурация > компьютераАдминистративные шаблоны >System >Device Guard.
          3. Дважды щелкните включить безопасность на основе виртуализации.

          Выберите параметр включена и в разделе Защита целостности кода на основе виртуализациивыберите параметр включена с блокировкой UEFI , чтобы гарантировать, что хвЦи невозможно будет отключить удаленно или выбрать параметр включена без блокировки UEFI.

          Нажмите кнопку ОК , чтобы закрыть редактор.

          Чтобы применить новую политику на компьютере, подключенном к домену, перезапустите или gpupdate /force запустите ее в командной строке с повышенными привилегиями.

          Использование разделов реестра для включения защиты целостности кода на основе виртуализации

          Установите следующие значения разделов реестра для включения HVCI. При этом доступен тот же набор параметров конфигурации, что и при использовании групповой политики.

          • Для следующих команд можно выбрать параметры для безопасной загрузки и безопасной загрузки с DMA. В большинстве случаев рекомендуем выбирать параметр Безопасная загрузка. Этот параметр обеспечивает безопасную загрузку, а уровень защиты ограничен только оборудованием конкретного компьютера. Компьютер с модулями управления памятью ввода-вывода (IOMMU) обеспечит безопасную загрузку с защитой DMA. На компьютере без IOMMU будет включена обычная безопасная загрузка.
            Если же выбрать параметр Безопасная загрузка и защита DMA, безопасная загрузка— и сама функция VBS— будет включаться только на компьютерах, поддерживающих DMA, то есть оснащенных модулями IOMMU. При использовании этого параметра на компьютерах без модулей IOMMU не будет включаться защита VBS или HVCI, но на них можно будет по-прежнему включать WDAC.
          • Все драйверы в системе должны поддерживать функцию защиты целостности кода на основе виртуализации. В противном случае может произойти сбой в системе. Рекомендуем испытать эти функции на группе тестовых компьютеров, прежде чем включать их на компьютерах пользователей.

          Для Windows 10 версии 1607 и более поздних версий

          Рекомендуемые параметры (для включения политик защиты целостности кода на основе виртуализации без блокировки UEFI):

          Если вы хотите настроить предыдущие рекомендуемые параметры, используйте следующие параметры.

          Включение безопасности на основе виртуализации

          Включение VBS и использование только безопасной загрузки (значение 1)

          Чтобы включить VBS с безопасной загрузкой и DMA (значение 3), в предыдущей команде изменить /d 1 на /d 3.

          Включение VBS без блокировки UEFI (значение 0)

          Чтобы включить VBS с блокировкой UEFI (значение 1), в предыдущей команде измените /d 0 на /d 1.

          Включение политик защиты целостности кода на основе виртуализации

          Включение политик защиты целостности кода на основе виртуализации без блокировки UEFI (значение 0)

          Чтобы включить политики защиты целостности кода на основе виртуализации с блокировкой UEFI (значение 1), в предыдущей команде измените /d 0 на /d 1.

          Для Windows 10 версии 1511 и более ранних версий

          Рекомендуемые параметры (для включения политик защиты целостности кода на основе виртуализации без блокировки UEFI):

          Если вы хотите настроить предыдущие рекомендуемые параметры, используйте следующие параметры.

          Включение VBS (функция всегда заблокирована на UEFI)

          Включение VBS и использование только безопасной загрузки (значение 1)

          Чтобы включить VBS с безопасной загрузкой и DMA (значение 3), в предыдущей команде изменить /d 1 на /d 3.

          Включение политик защиты целостности кода на основе виртуализации (с блокировкой UEFI по умолчанию)

          Включение политик защиты целостности кода на основе виртуализации без блокировки UEFI

          Проверка включенных аппаратных функций безопасности Device Guard в Защитнике Windows

          В Windows10 и Windows Server 2016 есть класс WMI для свойств и функций, связанных с Device Guard: Win32_DeviceGuard. Этот класс можно запросить из сеанса Windows PowerShell с повышенными привилегиями с помощью следующей команды:

          Get-CimInstance –ClassName Win32_DeviceGuard –Namespace rootMicrosoftWindowsDeviceGuard

          Класс WMI Win32_DeviceGuard доступен только в корпоративном выпуске Windows10.

          Свойство управления выполнением на основе режима будет отображаться только в том случае, если оно доступно, начиная с Windows 10 версии 1803.

          Выходные данные этой команды включают сведения о доступных аппаратных функциях безопасности, а также о включенных на данный момент прочих функциях.

          AvailableSecurityProperties

          Это поле помогает регистрировать состояние соответствующих свойств безопасности Device Guard в Защитнике Windows и сообщать о нем.

          Значение Описание
          0. Означает, что на устройстве отсутствуют соответствующие свойства.
          1. Означает, что предусмотрена поддержка низкоуровневой оболочки.
          2. Означает, что доступна безопасная загрузка.
          3. Означает, что доступна защита DMA.
          4. Означает, что доступна безопасная перезапись памяти.
          5. Означает, что доступна защита NX.
          6. Означает, что доступны меры защиты SMM.
          7. Если этот режим задан, контроль выполнения на основе режима поддерживается.

          InstanceIdentifier

          Строка, уникальная для конкретного устройства. Допустимые значения определяются классом WMI.

          RequiredSecurityProperties

          В этом поле содержится описание свойств безопасности, необходимых для включения средства обеспечения безопасности на основе виртуализации.

          Значение Описание
          0. Ничего не требуется.
          1. Означает, что необходима поддержка низкоуровневой оболочки.
          2. Означает, что требуется безопасная загрузка.
          3. Означает, что требуется защита DMA.
          4. Означает, что требуется безопасная перезапись памяти.
          5. Означает, что требуются средства защиты NX.
          6. Означает, что требуются меры защиты SMM.
          7. Если этот режим задан, требуется управление выполнением на основе режима.

          SecurityServicesConfigured

          В этом поле указано, настроен ли Credential Guard в Защитнике Windows или служба HVCI.

          Значение Описание
          0. Никакие службы не настроены.
          1. Означает, что настроен Credential Guard в Защитнике Windows.
          2. Означает, что настроена служба HVCI.
          3. Если этот режим задан, будет настроен безопасный запуск System Guard.

          SecurityServicesRunning

          В этом поле указано, работает ли Credential Guard в Защитнике Windows или служба HVCI.

          Значение Описание
          0. Никакие службы не выполняются.
          1. Означает, что запущен Credential Guard в Защитнике Windows.
          2. Означает, что запущена служба HVCI.
          3. Если это так, то запущено приложение System Guard Secure Launch.

          Version

          В этом поле указана версия данного класса WMI. Единственным допустимым значением на данный момент является 1.0.

          VirtualizationBasedSecurityStatus

          В этом поле содержатся сведении о включении и выполнении VBS.

          Значение Описание
          0. Функция VBS не включена.
          1. Функция VBS включена, но не работает.
          2. Функция VBS включена и работает.

          PSComputerName

          В этом поле указано имя компьютера. Все допустимые значения имени компьютера.

          Другим методом определения доступных и включенных функций Device Guard является запуск msinfo32.exe из одного из сеансов PowerShell высшего уровня. При запуске этой программы свойства Device Guard в Защитнике Windows отображаются в нижней части раздела " Сводка системы ".

          Диагностика

          А. Если драйверу устройства не удается загрузиться или его работа завершается сбоем во время выполнения, можно обновить драйвер с помощью диспетчера устройств.

          Б. Если после описанной выше процедуры включения HVCI возникают сбои программного обеспечения или устройства, но вы можете войти в Windows, можно отключить HVCI, переименовав или удалив файл SIPolicy.p7b из его расположения, указанного в шаге 3, а затем перезапустить устройство.

          В. При возникновении критической ошибки во время загрузки или при нестабильной работе системы после использования описанной выше процедуры включения HVCI, можно восстановить нормальную работу с помощью среды восстановления Windows (Windows RE). Инструкции по загрузке среды восстановления Windows см. в разделе Технический справочник по Windows RE. После входа в Windows RE можно отключить HVCI, переименовав или удалив файл SIPolicy.p7b из его расположения, описанного в шаге 3, и перезагрузить устройство.

          Как отключить ХВЦИ

          1. Выполните следующую команду из запроса с повышенными привилегиями, чтобы установить для ключа реестра ХВЦИ значение OFF. ini reg add "HKLMSYSTEMCurrentControlSetControlDeviceGuardScenariosHypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f
          2. Перезагрузите устройство.
          3. Чтобы убедиться в успешном отключении HVCI, откройте "Сведения о системе" и проверьте параметр Запущенные службы защиты на основе виртуализации, в котором теперь не должно отображаться значение.

          Развертывание ХВЦИ на виртуальных машинах

          ХВЦИ может защитить виртуальную машину Hyper-V точно так же, как и на физическом компьютере. Действия, которые необходимо выполнить для включения WDAC, одинаковы в пределах виртуальной машины.

          Служба WDAC защищает от вредоносных программ, запущенных на гостевой виртуальной машине. Средство не обеспечивает дополнительную защиту от администратора узла. С узла вы можете отключить WDAC для виртуальной машины:

          Добавить комментарий

          Ваш адрес email не будет опубликован. Обязательные поля помечены *