Microsoft-Windows-DeviceGuard-Unattend
Die Komponente Microsoft-Windows-DeviceGuard-Unattend spezifiziert Einstellungen für das Initialisieren und Erzwingen virtualisierungsbasierter Sicherheitsmaßnahmen, wodurch Systemspeicher- und Kernelmodus-Apps sowie Treiber vor möglichen Manipulationen geschützt werden.
Administratoren können Werte für die folgenden Einstellungen festlegen, um virtualisierungsbasierte Sicherheitsmaßnahmen zu steuern.
In diesem Abschnitt
| Einstellung | Beschreibung |
|---|---|
| EnableVirtualizationBasedSecurity | Aktivieren der virtualisierungsbasierten Sicherheit. |
| HypervisorEnforcedCodeIntegrity | Gibt die Codeintegrität an, die für den Hypervisor erzwungen wird, der eine Softwareschicht unter dem Betriebssystem ist, die VMs ausführt. |
| LsaCfgFlags | Aktiviert Credential Guard, welcher virtualisierungsbasierte Sicherheit verwendet, um Geheimnisse zu isolieren, sodass nur privilegierte Systemsoftware darauf zugreifen kann, wenn sie auf einem Massenspeicher oder im Arbeitsspeicher gespeichert sind. Weitere Informationen finden Sie unter Credential Guard. |
XML-Beispiel
Im folgenden Unattend-XML-Beispiel wird gezeigt, wie Sie virtualisierungsbasierte Sicherheit aktivieren können.
<?xml version="1.0" encoding="UTF-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="offlineServicing">
<component language="neutral" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" versionScope="nonSxS" publicKeyToken="31bf3856ad364e35" processorArchitecture="amd64" name="Microsoft-Windows-DeviceGuard-Unattend">
<EnableVirtualizationBasedSecurity>1</EnableVirtualizationBasedSecurity>
<HypervisorEnforcedCodeIntegrity>1</HypervisorEnforcedCodeIntegrity>
<LsaCfgFlags>1</LsaCfgFlags>
</component>
</settings>
<cpi:offlineImage xmlns:cpi="urn:schemas-microsoft-com:cpi" cpi:source="wim:c:/install2/sources/install.wim#Windows 10 Enterprise"/>
</unattend>
Aktivieren von Device Guard oder Credential Guard
Zusätzlich zu den Unattend-Einstellungen in Microsoft-Windows-DeviceGuard-Unattend müssen Sie entweder Hyper-V und IUM aktivieren, um Device Guard oder Credential Guard zu aktivieren, oder Sie können Registrierungsschlüssel direkt mithilfe von FirstLogonCommands festlegen.
- Aktivieren Sie Hyper-V und IUM zum Aktivieren von Device Guard oder Credential Guard, indem Sie die folgenden DISM-Befehle ausführen:
- DISM.EXE /Image:<Vollständiger Pfad zum Offline-Image>/Enable-Feature:Microsoft-Hyper-V-Hypervisor /All
- DISM.EXE /Image:<Vollständiger Pfad zum Offline-Image>/Enable-Feature: IsolatedUserMode /All
- Legen Sie die folgenden Registrierungsschlüssel mithilfe der Einstellung FirstLogonCommands fest:
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "LsaCfgFlags" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "HypervisorEnforcedCodeIntegrity" /t REG_DWORD /d 1 /f
Lesen Sie die folgenden Artikel, um mehr über Device Guard und Credential Guard zu erfahren:
- Microsoft Defender Application Control und virtualisierungsbasierter Schutz der Codeintegrität
- Aktivieren des virtualisierungsbasierten Schutzes der Codeintegrität
- Schützen abgeleiteter Domänenanmeldeinformationen mit Credential Guard
Gilt für
Um festzustellen, ob eine Komponente auf das zu erstellende Image zutrifft, laden Sie Ihr Image in Windows SIM, und suchen Sie nach dem Namen der Komponente oder der Einstellung. Informationen zum Anzeigen von Komponenten und Einstellungen finden Sie unter Konfigurieren von Komponenten und Einstellungen in einer Antwortdatei.