Device Guard: активация и деактивация

Аннотация: Device Guard — это функция в Windows 10, которая гарантирует, что только доверенные приложения и функции могут быть запущены на вашем устройстве. Эта функция обеспечивает дополнительные защиты на уровне аппаратного обеспечения, требует проверки цифровых сертификатов и позволяет использовать шаблоны политик безопасности для контроля доступа.

Device Guard использует технологию виртуализации на основе хоста Hyper-V и требует наличия аппаратной поддержки загрузки на основе UEFI, такой как Secure Boot. Она также может быть включена только при условии, что у вас есть Windows 10 Pro или выше и включен Windows Defender.

Чтобы включить Device Guard, вы можете использовать PowerShell или Group Policy. Сначала убедитесь, что ваше устройство соответствует требованиям: включена загрузка на основе UEFI, включен Secure Boot и у вас установлен Windows 10 Pro или выше.

Затем, для включения Device Guard через PowerShell, запустите PowerShell с правами администратора и выполните следующие команды:

Set-ExecutionPolicy RemoteSigned -Scope Currentuser
Install-WindowsFeature -Name HypervisorPlatform
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Hyper-V-Tools-Common, Windows-Hyper-V-Platform
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender
New-CimInstance -Namespace "Root\Microsoft\Windows\DeviceGuard" MSFT_DG_InstallContainer -Property @{"BiosLockSignedbased"=1}

После выполнения этих команд перезагрузите устройство, и Device Guard будет включен.

Если вы предпочитаете использовать Group Policy для развертывания Device Guard, откройте «Локальные Политики Безопасности» через «Панель управления», выберите «Защитник Windows» и включите следующие политики: «Включить гипервизор-платформу для окон Windows», «Включить проверку цифровых сертификатов», «Включить Device Guard»

После включения Device Guard перезагрузите устройство, и защитник будет активирован. Теперь ваше устройство будет защищено от запуска недоверенных приложений и функций, гарантирующих безопасность ваших данных и учетных записей.

Device Guard: Что такое и как включить или отключить?

По момент-у Device Guard может работать вместе с другими функциями безопасности Windows, такими как Windows Defender и Windows Defender Application Control. Он также совместим с Hyper-V, что обеспечивает дополнительную защиту от вредоносного кода и виртуальных атак.

Как включить Device Guard?

На некоторых компьютерах Device Guard может быть включен по умолчанию, особенно если они работают на процессорах Intel Core i5, i7 или выше. Однако, если Device Guard не включен, вы можете использовать различные методы для его включения.

Использование Group Policy для включения Device Guard:

1. Откройте «gpedit.msc» в Run (Win+R).
2. Перейдите в «Конфигурация компьютера» -> «Административные шаблоны» -> «Система» -> «Device Guard».
3. Настройте политики, связанные с Device Guard, и включите его.

Редактирование реестра для включения Device Guard:

1. Откройте «regedit» в Run (Win+R).
2. Перейдите к ключу реестра «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft«.
3. Создайте новый ключ «DeviceGuard».
4. Создайте новое значение «EnableVirtualizationBasedSecurity» типа «REG_DWORD» и установите его равным «1» для включения Device Guard или «0» для отключения.

Обратите внимание, что для использования Device Guard на машинах в виртуальной среде, необходима поддержка технологии виртуализации на уровне процессора (например, Intel VT или AMD-V).

Требования к отключению Device Guard:

Если по какой-либо причине вы хотите отключить Device Guard, вы можете использовать следующие методы.

Удаление Device Guard из Intune:

1. Откройте Intune на веб-панели управления.
2. Перейдите в «Компьютеры» -> «Общие настройки» -> «Конфигурации универсальных параметров Windows».
3. Удалите конфигурации, связанные с Device Guard.

Удаление политик реестра для отключения Device Guard:

Внимание: перед внесением изменений в реестр, рекомендуется создать резервную копию реестра.

1. Откройте «regedit» в Run (Win+R).
2. Перейдите к ключу реестра «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft«.
3. Удалите ключ «DeviceGuard» или отдельные значения реестра, связанные с Device Guard.

После выполнения этих действий Device Guard будет отключен и не будет применяться на вашем компьютере.

Что такое Device Guard?

При использовании Device Guard вы можете определить список доверенных приложений, которые могут запускаться на вашем компьютере. Только эти приложения будут выполняться, что гарантирует безопасность системы от вредоносного программного обеспечения. Device Guard работает с помощью гипервизора и виртуализации на основе оборудования (Virtualization-based Security, VBS).

Если вы хотите включить Device Guard, откройте панель управления, выберите «Защитник Windows» и затем «Настройки Device Guard». Включите функцию «Enable Virtualization-based Security» (включить защиту на основе виртуализации) и установите политику «Code integrity policy» (политика целостности кода) на «Enabled».

Для отключения Device Guard, откройте панель управления, выберите «Защитник Windows» и затем «Настройки Device Guard». Включите функцию «Enable Virtualization-based Security» (включить защиту на основе виртуализации) и установите политику «Code integrity policy» (политика целостности кода) на «Enabled».

Device Guard также поддерживает использование HVCI (Hypervisor-enforced Code Integrity, принудительная целостность кода гипервизором), чтобы предоставить дополнительные функции безопасности. HVCI обеспечивает проверку целостности данных и значений, связанных с виртуальной машиной и гипервизором.

Для управления Device Guard вы можете использовать PowerShell. Команда Get-WindowsDeviceGuardPolicy предоставляет информацию о текущей политике Device Guard, а команда Set-WindowsDeviceGuardPolicy позволяет изменить эту политику.

Device Guard также предлагает дополнительные функции безопасности, такие как проверка и управление учетными данными устройства (Device Credential Guard), управление установкой модулей целостности и диагностика проблем при развертывании

Как включить Device Guard?

Групповая политика

1. На компьютере откройте «Командную строку» под учётной записью администратора.

2. Определите, подходит ли ваш компьютер для использования Device Guard. В командной строке выполните команду:

msinfo32.exe

3. В окне «Информация о вашем компьютере» найдите значение «Блокировка кода» (Code Integrity). Если значением является «Принудительный», значит, ваш компьютер может использовать Device Guard.

4. В командной строке выполните следующую команду для установки необходимых политик безопасности:

gpedit.msc

5. В «Редакторе локальной групповой политики» перейдите к следующему пути:

Конфигурация компьютера → Шаблоны администрирования → Компоненты Windows → Безопасность Windows → Параметры устройства

6. В правой панели найдите и откройте политику под названием «Включить защиту от кода, доступную в Windows Defender» (Enable Code Integrity-based protection available in Windows Defender).

7. В окне «Редактора политики безопасности Device Guard» выберите опцию «Включено» (Enabled), затем нажмите кнопку «Применить» (Apply) и «OK».

PowerShell

1. Откройте PowerShell от имени администратора.

2. Запустите следующую команду для включения Device Guard:

Set-ComputerMachinePolicy -Policy “DeviceGuard” -Enabled $true

VBS-сценарий

1. Создайте новый текстовый файл с расширением .vbs.

2. Откройте файл в редакторе и вставьте следующий код:

Set objUAC = CreateObject(“Shell.Application”)
objUAC.ShellExecute “gpedit.msc”

3. Сохраните файл и запустите его от имени администратора.

4. В «Редакторе локальной групповой политики» перейдите к следующему пути:

Конфигурация компьютера → Шаблоны администрирования → Компоненты Windows → Безопасность Windows → Параметры устройства

5. В правой панели найдите и откройте политику под названием «Включить защиту от кода, доступную в Windows Defender» (Enable Code Integrity-based protection available in Windows Defender).

6. В окне «Редактора политики безопасности Device Guard» выберите опцию «Включено» (Enabled), затем нажмите кнопку «Применить» (Apply) и «OK».

После выполнения любого из указанных выше способов включения Device Guard, перезагрузите ваш компьютер и наслаждайтесь безопасным функционалом, предоставленным виртуальной машиной и дополнительными функциями безопасности.

Как отключить Device Guard?

Существует несколько способов отключения Device Guard, включая групповую политику и редактирование реестра. Мы рассмотрим оба подхода.

1. Отключение с помощью групповой политики

Для отключения Device Guard с помощью групповой политики выполните следующие шаги:

Шаг 1	Откройте редактор групповой политики Local Group Policy Editor, нажав Win + R и введя «gpedit.msc».
Шаг 2	Перейдите к следующему разделу: «Конфигурация компьютера» -> «Административные шаблоны» -> «Система» -> «Device Guard».
Шаг 3	Дважды щелкните на «Turn On Virtualization Based Security» и выберите «Не настроено».
Шаг 4	Перейдите к разделу «Пользовательская конфигурация» -> «Административные шаблоны» -> «Система» -> «Device Guard» и повторите шаг 3.

После завершения этих шагов Device Guard будет отключен на вашем компьютере.

2. Отключение с помощью редактирования реестра

Для отключения Device Guard с помощью редактирования реестра выполните следующие шаги:

Шаг 1	Откройте редактор реестра, нажав Win + R и введя «regedit».
Шаг 2	Перейдите к следующему разделу: «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard».
Шаг 3	Создайте новый ключ с названием «EnableVirtualizationBasedSecurity» и установите его значение в «0».
Шаг 4	Перейдите к разделу «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity» и установите значение ключа «Enabled» в «0».

После завершения этих шагов Device Guard будет отключен на вашем компьютере.

Важно отметить, что отключение Device Guard может повлиять на безопасность вашей системы. Проверьте, действительно ли вам необходимо отключить эту функцию, и внимательно ознакомьтесь с описанием последствий аннотации Defender Device Guard and Defender перед применением любых изменений.

Преимущества использования Device Guard

Основным преимуществом использования Device Guard является возможность установки политики безопасности, которая лишает злоумышленников доступа к вашему устройству. Device Guard действует на уровне гипервизора и позволяет проверить и создавать политику для запуска только доверенных приложений.

Одна из важных функций Device Guard – валидация ПО (или Hyper-V Code Integrity), которая требует, чтобы все запускаемые программы были проверены на подлинность. Для виртуальных машин, работающих на платформе Hyper-V, можно указать, какие операционные системы будут контролироваться на стороне хоста, чтобы удостовериться в их безопасности.

Помимо этого, Device Guard предоставляет возможность использования структуры BCD (Boot Configuration Data) для настройки параметров безопасности загрузки и определения операционной системы, которую можно запускать. В случае ошибки или несовместимости, Device Guard блокирует доступ к этой ОС.

Еще одним преимуществом Device Guard является функция Credential Guard, которая защищает учетные данные пользователей от злоумышленных программ и злоупотреблений.

В Windows 10 Enterprise и Windows Server 2016 доступен режим Virtualization-based Security (VBS), который предоставляет важные возможности для безопасности виртуальной машины. Он включает такие функции, как Secure Boot, Memory Integrity и Device Guard, которые работают на основе виртуализации и защищают систему на глубоком уровне.

В целом, использование Device Guard повышает уровень безопасности вашего устройства, предотвращая запуск недоверенного ПО и защищая ваши ценные данные. Оно также позволяет настраивать политики безопасности и контролировать доступ к вашим системам.

Для включения Device Guard требуются дополнительные настройки и поддержка аппаратной виртуализации. Если вы определите, что ваше устройство не доступно для использования Device Guard, описанной выше причиной может быть отключение параметра enablevirtualizationbasedsecurity или использование аппаратной платформы ARM, которая не поддерживает данную функцию.

Для включения или отключения Device Guard можно использовать PowerShell или политику управления командной строкой (Group Policy). После настройки и перезагрузки устройства, Device Guard будет работать в выбранном режиме и обеспечивать максимальную безопасность вашей системы.

Видео:

How to Fix VMware error how to disable credential guard

How to Fix VMware error how to disable credential guard by GhostVaperYT 39,845 views 4 years ago 4 minutes, 18 seconds