Avvio sicuro di System Guard e protezione SMM

Questo argomento illustra come configurare Protezione del sistema protezione SMM (Secure Launch and System Management Mode) per migliorare la sicurezza di avvio dei dispositivi Windows 10 e Windows 11. Le informazioni seguenti vengono presentate dal punto di vista del client.

Nota

Protezione del sistema funzionalità Avvio sicuro richiede un processore supportato. Per altre informazioni, vedere Requisiti di sistema per Protezione del sistema.

Come abilitare Protezione del sistema avvio sicuro

È possibile abilitare Protezione del sistema avvio sicuro usando una di queste opzioni:

Gestione di dispositivi mobili

Protezione del sistema avvio sicuro può essere configurato per Mobile Gestione dispositivi (MDM) usando i criteri DeviceGuard in Policy CSP, DeviceGuard/ConfigureSystemGuardLaunch.

Criteri di gruppo

  1. Fare clic su Start type ( Tipo start> ) e quindi su Edit group policy (Modifica criteri di gruppo).

  2. Fare clic su Configurazione> computerModelli> amministrativiSystem>Device Guard> Attiva configurazioneavvio sicurobasata sulla sicurezza> basata sulla virtualizzazione.

    Configurazione avvio sicuro.

Sicurezza di Windows

Fare clic su Start>Settings>Update & Security>Sicurezza di Windows>Open Sicurezza di Windows>Device securityCore isolationFirmware protection (Protezione firmware di sicurezza > del core di sicurezza > del dispositivo).

Sicurezza di Windows impostazioni.

Registro di sistema

  1. Aprire l'editor del Registro di sistema.

  2. Fare clic su HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Control DeviceGuardScenarios (Scenari dicontrollo>DeviceGuard>).

  3. Fare clic con il pulsante destro del mouse su Scenari>Nuova>chiave e denominare la nuova chiave SystemGuard.

  4. Fare clic con il pulsante destro del mouse su SystemGuard>NewDWORD (32 bit) Value (Valore DWORD nuovo > DWORD a 32 bit) e assegnare al nuovo valore il nome DWORD Enabled.

  5. Fare doppio clic su Abilitato, modificare il valore su 1 e fare clic su OK.

    Registro di avvio sicuro.

Come verificare Protezione del sistema avvio sicuro sia configurato ed in esecuzione

Per verificare che Avvio protetto sia in esecuzione, usare System Information (MSInfo32). Fare clic su Start, cercare Informazioni di sistema e cercare in Servizi di sicurezza basati su virtualizzazione In esecuzione e Servizi di sicurezza basati su virtualizzazione configurati.

Verificare che Avvio protetto sia in esecuzione nelle impostazioni di Sicurezza di Windows.

Nota

Per abilitare Protezione del sistema avvio sicuro, la piattaforma deve soddisfare tutti i requisiti di base per Protezione del sistema, Device Guard, Credential Guard e Virtualization Based Security.

Nota

Per altre informazioni sui processori AMD, vedere Microsoft Security Blog: Force firmware code to be measured and attested by Secure Launch on Windows 10 .For more information around AMD processors, see Microsoft Security Blog: Force firmware code to be measured and attested by Secure Launch on Windows 10.For more information around AMD processors, see Microsoft Security Blog: Force firmware code to be measured and attested by Secure Launch on Windows 10.