Безопасный запуск System Guard и защита SMM

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

В этом разделе объясняется, как настроить защиту System Guard secure launch и system management mode (SMM) для повышения безопасности запуска Windows 10 и Windows 11 устройств. Приведенные ниже сведения представлены с точки зрения клиента.

Примечание.

System Guard функции безопасного запуска требуется поддерживаемый процессор. Дополнительные сведения см. в статье Требования к системе для System Guard.

Включение безопасного запуска System Guard

Вы можете включить System Guard безопасного запуска с помощью любого из следующих параметров:

Управление мобильными устройствами

System Guard безопасный запуск можно настроить для мобильных Управление устройствами (MDM) с помощью политик DeviceGuard в CSP политики DeviceGuard/ConfigureSystemGuardLaunch.

Групповая политика

  1. Нажмите кнопку Тип запуска> , а затем — Изменить групповую политику.

  2. Щелкните Конфигурация> компьютераАдминистративные шаблоны>System>Device Guard> Включить конфигурациюбезопасного запускана основе> виртуализации.

    Конфигурация безопасного запуска.

Безопасность Windows

Нажмите кнопку Пуск>Параметры>Обновление & Безопасность>Безопасность Windows>Открыть Безопасность Windows>Параметра безопасности>> устройстваЗащита встроенного ПО.

параметры Безопасность Windows.

Реестр

  1. Откройте редактор реестра.

  2. Щелкните HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control> DeviceGuardScenarios (СценарииdeviceGuard>).

  3. Щелкните правой кнопкой мыши Новый>>ключ сценарии и назовите новый ключ SystemGuard.

  4. Щелкните правой кнопкой мыши SystemGuard>New>DWORD (32-bit) Value (Значение) и назовите новый DWORD Enabled.

  5. Дважды щелкните Включено, измените значение на 1 и нажмите кнопку ОК.

    Реестр безопасного запуска.

Проверка System Guard безопасного запуска настроена и запущена

Чтобы проверить, запущен ли безопасный запуск, используйте сведения о системе (MSInfo32). Нажмите кнопку Пуск, найдите сведения о системе и найдите в разделе Службы безопасности на основе виртуализации, работающие и настроенные службы безопасности на основе виртуализации.

Проверка выполнения безопасного запуска в параметрах Безопасность Windows.

Примечание.

Чтобы включить безопасный запуск System Guard, платформа должна соответствовать всем базовым требованиям для System Guard, Device Guard, Credential Guard и Virtualization Based Security.

Примечание.

Дополнительные сведения о процессорах AMD см. в блоге о безопасности Майкрософт: Принудительное измерение и аттестация кода встроенного ПО с помощью Secure Launch на Windows 10.