Microsoft-Windows-DeviceGuard-Unattend
Komponen Microsoft-Windows-DeviceGuard-Unattend menentukan pengaturan untuk menginisialisasi dan memberlakukan keamanan berbasis virtualisasi, yang membantu melindungi memori sistem dan aplikasi mode kernel dan driver dari kemungkinan perusakan.
Administrator dapat mengatur nilai untuk pengaturan berikut untuk mengontrol keamanan berbasis virtualisasi.
Di bagian ini
| Pengaturan | Deskripsi |
|---|---|
| EnableVirtualizationBasedSecurity | Gunakan untuk mengaktifkan keamanan berbasis virtualisasi. |
| HypervisorEnforcedCodeIntegrity | Menentukan integritas kode yang akan diberlakukan untuk hypervisor, yang merupakan lapisan perangkat lunak di bawah OS yang menjalankan komputer virtual. |
| LsaCfgFlags | Gunakan untuk mengaktifkan Credential Guard, yang menggunakan keamanan berbasis virtualisasi untuk mengisolasi rahasia sehingga hanya perangkat lunak sistem istimewa yang dapat mengaksesnya ketika disimpan di disk atau dalam memori. Untuk informasi selengkapnya, lihat Penjaga Informasi Masuk. |
Contoh XML
Contoh XML tanpa pengawasan berikut menunjukkan bagaimana Anda dapat mengaktifkan keamanan berbasis virtualisasi.
<?xml version="1.0" encoding="UTF-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="offlineServicing">
<component language="neutral" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" versionScope="nonSxS" publicKeyToken="31bf3856ad364e35" processorArchitecture="amd64" name="Microsoft-Windows-DeviceGuard-Unattend">
<EnableVirtualizationBasedSecurity>1</EnableVirtualizationBasedSecurity>
<HypervisorEnforcedCodeIntegrity>1</HypervisorEnforcedCodeIntegrity>
<LsaCfgFlags>1</LsaCfgFlags>
</component>
</settings>
<cpi:offlineImage xmlns:cpi="urn:schemas-microsoft-com:cpi" cpi:source="wim:c:/install2/sources/install.wim#Windows 10 Enterprise"/>
</unattend>
Mengaktifkan Device Guard atau Credential Guard
Selain pengaturan Unattend di Microsoft-Windows-DeviceGuard-Unattend, Anda juga perlu mengaktifkan Hyper-V dan IUM untuk mengaktifkan Device Guard atau Credential Guard, atau Anda dapat langsung mengatur kunci registri menggunakan FirstLogonCommands.
- Aktifkan Hyper-V dan IUM untuk mengaktifkan Device Guard atau Credential Guard dengan menjalankan perintah DISM berikut:
- DISM.EXE /Image:<jalur lengkap ke gambar> offline/Enable-Feature:Microsoft-Hyper-V-Hypervisor /All
- DISM.EXE /Image:<jalur lengkap ke gambar> offline/Enable-Feature: IsolatedUserMode /All
- Atur kunci registri berikut menggunakan pengaturan FirstLogonCommands :
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "LsaCfgFlags" /t REG_DWORD /d 1 /f
- REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "HypervisorEnforcedCodeIntegrity" /t REG_DWORD /d 1 /f
Baca artikel berikut untuk mempelajari selengkapnya tentang Device Guard dan Credential Guard:
- Microsoft Defender Kontrol Aplikasi dan perlindungan integritas kode berbasis virtualisasi
- Mengaktifkan perlindungan integritas kode berbasis virtualisasi
- Lindungi kredensial domain turunan dengan Credential Guard
Berlaku Untuk
Untuk menentukan apakah komponen berlaku untuk gambar yang Anda buat, muat gambar Anda ke dalam SIM Windows dan cari komponen atau nama pengaturan. Untuk informasi tentang cara melihat komponen dan pengaturan, lihat Mengonfigurasi Komponen dan Pengaturan dalam File Jawaban.