Microsoft-Windows-DeviceGuard-Unattend
Microsoft-Windows-DeviceGuard-Unattend 구성 요소는 가상화 기반 보안을 초기화하고 적용하기 위한 설정을 지정하며, 이는 시스템 메모리 및 커널 모드 앱과 드라이버를 변조 가능성으로부터 보호하는 데 도움이 됩니다.
관리자는 다음 설정에 대한 값을 설정하여 가상화 기반 보안을 제어할 수 있습니다.
섹션 내용
| 설정 | 설명 |
|---|---|
| EnableVirtualizationBasedSecurity | 가상화 기반 보안을 활성화하는 데 사용합니다. |
| HypervisorEnforcedCodeIntegrity | 가상 머신을 실행하는 OS 아래의 소프트웨어 계층인 하이퍼바이저에 적용할 코드 무결성을 지정합니다. |
| LsaCfgFlags | 가상화 기반 보안을 사용하여 권한이 있는 시스템 소프트웨어만 디스크 또는 메모리에 저장될 때 액세스할 수 있도록 비밀을 격리하는 Credential Guard를 활성화하는 데 사용합니다. 자세한 내용은 Credential Guard를 참조하세요. |
XML 예제
다음 무인 XML 예제에서는 가상화 기반 보안을 사용하도록 설정하는 방법을 보여 줍니다.
<?xml version="1.0" encoding="UTF-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="offlineServicing">
<component language="neutral" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" versionScope="nonSxS" publicKeyToken="31bf3856ad364e35" processorArchitecture="amd64" name="Microsoft-Windows-DeviceGuard-Unattend">
<EnableVirtualizationBasedSecurity>1</EnableVirtualizationBasedSecurity>
<HypervisorEnforcedCodeIntegrity>1</HypervisorEnforcedCodeIntegrity>
<LsaCfgFlags>1</LsaCfgFlags>
</component>
</settings>
<cpi:offlineImage xmlns:cpi="urn:schemas-microsoft-com:cpi" cpi:source="wim:c:/install2/sources/install.wim#Windows 10 Enterprise"/>
</unattend>
Device Guard 또는 Credential Guard 사용
Microsoft-Windows-DeviceGuard-Unattend의 무인 설정 외에도 Hyper-V 및 IUM을 사용하도록 설정하여 Device Guard 또는 Credential Guard를 사용하도록 설정하거나 FirstLogonCommands를 사용하여 레지스트리 키를 직접 설정할 수도 있습니다.
- 다음 DISM 명령을 실행하여 Hyper-V 및 IUM을 사용하여 Device Guard 또는 Credential Guard를 켭니다.
- DISM.EXE /Image:<오프라인 이미지에 대한 전체 경로>/Enable-Feature:Microsoft-Hyper-V-Hypervisor /All
- DISM.EXE /Image:<오프라인 이미지에 대한 전체 경로>/Enable-Feature: IsolatedUserMode /All
- FirstLogonCommands 설정을 사용하여 다음 레지스트리 키를 설정합니다.
- REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard” /v “EnableVirtualizationBasedSecurity” /t REG_DWORD /d 1 /f
- REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Lsa” /v “LsaCfgFlags” /t REG_DWORD /d 1 /f
- REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard” /v “HypervisorEnforcedCodeIntegrity” /t REG_DWORD /d 1 /f
Device Guard 및 Credential Guard에 대한 자세한 내용은 다음 문서를 참조하세요.
- Microsoft Defender Application Control 및 코드 무결성의 가상화 기반 보호
- 코드 무결성의 가상화 기반 보호 사용
- Credential Guard를 사용하여 파생된 도메인 자격 증명 보호
적용 대상
빌드 중인 이미지에 구성 요소가 적용되는지 확인하려면 이미지를 Windows SIM에 로드하고 구성 요소 또는 설정 이름을 검색합니다. 구성 요소 및 설정을 보는 방법에 대한 자세한 내용은 응답 파일에서 구성 요소 및 설정 구성을 참조하세요.