System Guard Secure Launch と SMM 保護

  • [アーティクル]
  • 適用対象:
    Windows 11, ✅ Windows 10

このトピックでは、Windows 10 および Windows 11 デバイスSystem Guard起動およびシステム管理モード (SMM) のスタートアップ セキュリティを向上させるために、セキュリティで保護された起動とシステム管理モード (SMM) 保護を構成する方法について説明します。 以下の情報は、クライアントの観点から示されています。

セキュア起動機能System Guardには、サポートされているプロセッサが必要です。 詳細については、「System Guardのシステム要件」を参照してください。

セキュリティで保護された起動System Guard有効にする方法

セキュリティで保護された起動System Guard有効にするには、次のいずれかのオプションを使用します。

モバイル デバイス管理

System Guardセキュリティで保護された起動は、ポリシー CSP、DeviceGuard/ConfigureSystemGuardLaunch で DeviceGuard ポリシーを使用して、モバイル デバイス管理 (MDM) 用に構成できます。

グループ ポリシー

  1. [ スタート> の種類] をクリックし、[ グループ ポリシーの編集] をクリックします。

  2. [ コンピューターの構成>] [管理用テンプレート>] [システム>デバイス ガード>] [仮想化ベースのセキュリティ>で保護された起動の構成] の順にクリックします。

    セキュリティで保護された起動構成。

Windows セキュリティ

[スタート>] [設定>の更新] & [セキュリティ>] の順にクリックしますWindows セキュリティ>[Windows セキュリティ>Device security>Core isolation>Firmware protection を開く] をクリックします。

Windows セキュリティ設定。

レジストリ

  1. レジストリ エディターを開きます。

  2. >[SYSTEM>CurrentControlSet>Control>DeviceGuard>Scenarios] HKEY_LOCAL_MACHINEクリックします。

  3. [シナリオ>] [新しい>キー] を右クリックし、新しいキーに SystemGuard という名前を付けます。

  4. SystemGuard>New>DWORD (32 ビット) 値を右クリックし、新しい DWORD Enabled という名前を付けます

  5. [有効] をダブルクリックし、値を 1 に変更し、[OK] をクリックします。

    セキュリティで保護された起動レジストリ。

セキュリティで保護された起動System Guard構成および実行されていることを確認する方法

セキュア起動が実行されていることを確認するには、システム情報 (MSInfo32) を使用します。 [ スタート] をクリックし、[ システム情報] を検索し、[ 仮想化ベースのセキュリティ サービスの実行仮想化ベースのセキュリティ サービスの構成] を確認します。

Windows セキュリティ設定でセキュア起動が実行されていることを確認します。

System Guardセキュア起動を有効にするには、プラットフォームは、System GuardDevice GuardCredential Guard仮想化ベースのセキュリティに関するすべてのベースライン要件を満たす必要があります。

AMD プロセッサの詳細については、「Microsoft セキュリティ ブログ: Windows 10の Secure Launch によってファームウェア コードを強制的に測定および証明する」を参照してください。