Windows10以上版本增加了系統防護安全功能,微軟官方網站說明
什麼是 Device Guard 和 Credential Guard?
Device Guard 和 Credential Guard 是虛擬化安全性 (VBS) 功能。透過 Local Security Authority (LSA) 功能,在 Windows 10 企業版/教育版作業系統使用符合 Hypervisor 程式碼完整性 (HVCI) 的驅動程式與合規的 BIOS。僅適用於 Microsoft 大量授權合約 (VLA) 所涵蓋的電腦。
Credential Guard 使用虛擬化安全性來隔離機密內容 (認證),因此只有具權限的系統軟體才能存取。未經授權存取這些機密內容可能導致竊取認證的攻擊。Credential Guard 可藉由保護 NT LAN Manager 協定 (NTLM) 密碼雜湊和 Kerberos Ticket Granting 工單來避免此類攻擊。Credential Guard 使用虛擬化安全性來隔離機密內容,因此只有具權限的系統軟體才能存取。Credential Guard 不需要依賴於 Device Guard。
Device Guard 結合了企業相關的軟硬體安全性功能。當它們一起設定時,便可鎖定裝置,使其只能執行受信任的應用程式。如果不是受信任的應用程式,便無法執行。您可以設定它來鎖定裝置。讓裝置只能執行在您的程式碼完整性原則中所定義的受信任應用程式。Device Guard 取決於虛擬化安全性 (VBS)。
如何查看自己電腦是否有啟用呢?
打開命令提示元 CMD 輸入 MSInfo32 或在 “執行”列直接輸入也可以。可以看到資訊
完全不支援,如圖
支援沒有啟用,如圖
代表這台電腦沒有安全保護機制,或是透過Device Guard 和 Credential Guard工具來進行驗證。
執行此工具之前,請確定您已在 PowerShell 中啟用正確的執行原則;打開Powershell 輸入 Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
若要驗證: DG_Readiness.ps1 –Capable -[DG/CG/HVCI] -AutoReboot
若要啟用: DG_Readiness.ps1 –Enable -[DG/CG] –AutoReboot
若要停用: DG_Readiness.ps1 –Disable -[DG/CG] -AutoReboot
驗證HVCI 驅動 : DG_Readiness.ps1 –Capable –HVCI -AutoReboot
開啟Enabling Device Guard
Step.1 開啟執行列輸入 gpedit.msc
開啟虛擬化型安全性
如果無法開啟Device Guard請先安裝 Hyper-V Hypervisor 套件喔,進入控制台
安裝 Hyper-V Hypervisor
更舊的版本也要安裝 Isolated User Mode
安裝上述套件再去開啟一次
選項2. Select Platform Security Level
安全啟動選項提供安全啟動,並提供與給定計算機硬體支援的盡可能多的保護。具有輸入/輸出記憶體管理單元 (IOMMU) 的計算機將具有具有 DMA 保護的安全啟動。沒有 IOMMU 的電腦將僅啟用安全啟動。
使用 DMA 的安全啟動將僅在支援 DMA 的電腦(即具有 IOMMU 的電腦)上啟用安全啟動和 VBS 本身。使用此設置,任何沒有IOMMU的電腦將沒有 VBS(基於硬體)保護,儘管它可以啟用代碼完整性策略。
選項3. Virtualization Based Protection of Code Integrity
“使用 UEFI 鎖定啟用”選項可確保無法遠端禁用基於虛擬化的代碼完整性保護。若要禁用該功能,必須將組策略設置為「已禁用」 ,並從具有實際存在的使用者的每台電腦中刪除安全功能,以便清除 UEFI 中保留的配置。
啟用而不鎖定「選項允許能夠遠端關閉 Windows Defender Credential Guard。
選項4. Credential Guard Configuration
“使用 UEFI 鎖定啟用”選項可確保無法遠端禁用憑據保護。若要禁用該功能,必須將組策略設置為「已禁用」 ,並從具有實際存在的使用者的每台電腦中刪除安全功能,以便清除 UEFI 中保留的配置。
啟用而不鎖定「選項允許使用組策略遠端禁用憑據保護。
選項5. Secure Launch Configuration
此設置設置安全啟動的配置以保護啟動鏈。
“未配置”設置是預設設置,允許管理使用者配置該功能。
“已啟用”選項在支持的硬體上打開安全啟動。
“禁用”選項關閉安全啟動,無論硬體支援如何。
設定好重新啟動電腦。
啟用Device Guard畫面
在輸入Msinfo32就會得到,如圖
結論,開啟DeviceGuard的好處,啟用此設定,則容許管理者配置設定,以保護 Windows 10以上 裝置上的系統完整性及認證。電腦防護允許您鎖定系統以僅運行受信任的應用程式。如果應用程式不在受信任清單中,則無論您執行什麼操作,它都不會運行。普遍也是運用在有機密 或 有不可外洩的資料公司行號。
但DeviceGuard也不是全都是好處,一般使用者開啟的情況會導致,在安裝應用程式的時候,可能出現無法安裝或阻止驅動程式運行。所以一般使用者通常部會開啟的。阻止程式運行,如圖
