Activer la sécurité basée sur la virtualisation

Pris en charge sur : Au moins Windows Server 2016, Windows 10

Registre

HKLM SOFTWARE\Policies\Microsoft\Windows\DeviceGuard

Nom de valeur : EnableVirtualizationBasedSecurity

Activé : EnableVirtualizationBasedSecurity = 1

Désactivé : EnableVirtualizationBasedSecurity = 0

Options

RequirePlatformSecurityFeatures enum
  • Démarrage sécurisé -> 1
  • Démarrage sécurisé et protection contre les DMA -> 3
HypervisorEnforcedCodeIntegrity enum
  • Désactivé -> 0
  • Activé avec le verrouillage UEFI -> 1
  • Activé sans verrouillage -> 2
  • Non configuré -> 3
HVCIMATRequired boolean
LsaCfgFlags enum
  • Désactivé -> 0
  • Activé avec le verrouillage UEFI -> 1
  • Activé sans verrouillage -> 2
  • Non configuré -> 3
MachineIdentityIsolation enum
  • Désactivé -> 0
  • Activé en mode audit -> 1
  • Activé en mode de mise en conformité -> 2
  • Non configuré -> 3
ConfigureSystemGuardLaunch enum
  • Non configuré -> 0
  • Activé -> 1
  • Désactivé -> 2
ConfigureKernelShadowStacksLaunch enum
  • Non configuré -> 0
  • Activé en mode de mise en conformité -> 1
  • Activé en mode audit -> 2
  • Désactivé -> 3

Description

Indique si la sécurité basée sur la virtualisation est activée. La sécurité basée sur la virtualisation utilise l’hyperviseur Windows pour prendre en charge les services de sécurité. La sécurité basée sur la virtualisation nécessite un démarrage sécurisé et peut éventuellement être activée à l’aide des protections DMA. Les protections d’accès direct à la mémoire (DMA) nécessitent une prise en charge matérielle et ne sont activées que sur les appareils correctement configurés. Protection basée sur la virtualisation de l’intégrité du code Ce paramètre active la protection basée sur la virtualisation de l’intégrité du code en mode noyau. Lorsque cette option est activée, les protections de mémoire en mode noyau sont appliquées et le chemin de validation de l’intégrité du code est protégé par la fonctionnalité de sécurité basée sur la virtualisation. L’option « Désactivé » désactive la protection basée sur la virtualisation de l’intégrité du code à distance si elle a été précédemment activée avec l’option « Activé sans verrou ». L’option « Activé avec verrou UEFI » garantit que la protection basée sur la virtualisation de l’intégrité du code ne peut pas être désactivée à distance. Pour désactiver la fonctionnalité, vous devez définir la stratégie de groupe sur « Désactivé », ainsi que supprimer la fonctionnalité de sécurité de chaque ordinateur, avec un utilisateur physiquement présent, afin d’effacer la configuration persistante dans l’interface UEFI. L’option « Activé sans verrou » permet de désactiver la protection basée sur la virtualisation de l’intégrité du code à distance à l’aide de la stratégie de groupe. L’option « Non configuré » laisse le paramètre de stratégie non défini. La stratégie de groupe n’écrit pas le paramètre de stratégie dans le Registre et n’a donc aucun impact sur les ordinateurs ou les utilisateurs. S’il existe un paramètre actuel dans le Registre, celui-ci ne sera pas modifié. L’option « Exiger la table des attributs de mémoire UEFI » active uniquement la protection basée sur la virtualisation de l’intégrité du code sur les appareils avec prise en charge du microprogramme UEFI pour la table des attributs de mémoire. Les appareils sans la table des attributs de mémoire UEFI peuvent avoir un microprogramme incompatible avec la protection basée sur la virtualisation de l’intégrité du code, ce qui, dans certains cas, peut entraîner des blocages, des pertes de données ou une incompatibilité avec certaines cartes enfichables. Si vous ne définissez pas cette option, les appareils ciblés doivent être testés pour garantir la compatibilité. Avertissement : tous les pilotes du système doivent être compatibles avec cette fonctionnalité, sinon le système risque de se bloquer. Assurez-vous que ce paramètre de stratégie est déployé uniquement sur les ordinateurs qui sont connus pour être compatibles. Credential Guard Ce paramètre permet aux utilisateurs d’activer Credential Guard avec une sécurité basée sur la virtualisation pour protéger les informations d’identification. Pour Windows 11 21H2 et versions antérieures, l’option « Désactivé » désactive la fonctionnalité Credential Guard à distance si elle a été précédemment activée avec l’option « Activé sans verrou ». Pour les versions ultérieures, l’option « Désactivé » désactive la fonctionnalité Credential Guard à distance si elle a été précédemment activée avec l’option « Activé sans verrou » ou si elle l’a été avec l’option « Non configuré ». L’option « Activé avec verrou UEFI » garantit que Credential Guard ne peut pas être désactivée à distance. Pour désactiver la fonctionnalité, vous devez définir la stratégie de groupe sur « Désactivé », ainsi que supprimer la fonctionnalité de sécurité de chaque ordinateur, avec un utilisateur physiquement présent, afin d’effacer la configuration persistante dans l’interface UEFI. L’option « Activé sans verrou » permet de désactiver Credential Guard à distance à l’aide de la stratégie de groupe. Les appareils qui utilisent ce paramètre doivent exécuter au moins Windows 10 (version 1511). Pour Windows 11 21H2 et versions antérieures, l’option « Non configuré » laisse le paramètre de stratégie non défini. La stratégie de groupe n’écrit pas le paramètre de stratégie dans le Registre et n’a donc aucun impact sur les ordinateurs ou les utilisateurs. S’il existe un paramètre actuel dans le Registre, celui-ci ne sera pas modifié. Pour les versions ultérieures, s’il n’existe aucun paramètre actuel dans le Registre, l’option « Non configuré » active Credential Guard sans verrou UEFI. Isolation de l’identité de l’ordinateur Ce paramètre contrôle la protection Credential Guard des comptes d’ordinateur Active Directory. L’activation de cette stratégie est soumise à certaines conditions préalables. Pour connaître les conditions préalables et obtenir plus d’informations sur cette stratégie, consultez le site https://go.microsoft.com/fwlink/?linkid=2251066. L’option « Non configuré » laisse le paramètre de stratégie non défini. La stratégie de groupe n’écrit pas le paramètre de stratégie dans le Registre et n’a donc aucun impact sur les ordinateurs ou les utilisateurs. S’il existe un paramètre actuel dans le Registre, celui-ci ne sera pas modifié. L’option « Désactivé » désactive l’isolation de l’identité de l’ordinateur. Si cette stratégie a été précédemment définie sur « Activé en mode audit », aucune autre action n’est nécessaire. Si cette stratégie a été précédemment définie sur « Activé en mode de mise en conformité », l’appareil doit être déconnecté et reconnecté au domaine. Pour plus d’informations, consultez le lien ci-dessus. L’option « Activé en mode audit » copie l’identité de l’ordinateur dans Credential Guard. LSA et Credential Guard auront toutes deux accès à l’identité de l’ordinateur. Cela permet aux utilisateurs de valider que l’option « Activé en mode de mise en conformité » fonctionnera dans leur domaine Active Directory. L’option « Activé en mode de mise en conformité » déplace l’identité de l’ordinateur dans Credential Guard. Cela rend l’identité de l’ordinateur accessible uniquement à Credential Guard. Lancement sécurisé Ce paramètre définit la configuration du paramètre Secure Launch pour sécuriser la chaîne de démarrage. Le paramètre « Non configuré » est la valeur par défaut et autorise la configuration de la fonctionnalité par les utilisateurs administratifs. L’option « Activé » active le lancement sécurisé sur le matériel pris en charge. L’option « Désactivé » désactive le lancement sécurisé, quelle que soit la prise en charge matérielle. Protection de pile renforcée par du matériel en mode noyau Ce paramètre active la protection de pile renforcée par du matériel pour le code en mode noyau. Lorsque cette fonctionnalité de sécurité est activée, les piles de données en mode noyau sont renforcées avec des piles de clichés instantanés basées sur le matériel, qui stockent les cibles d’adresses de retour prévues pour garantir que le flux de contrôle du programme n’est pas altéré. Cette fonctionnalité de sécurité présente les conditions préalables suivantes : 1) Le matériel processeur prend en charge les piles de clichés instantanés basées sur le matériel. 2) La protection basée sur la virtualisation de l’intégrité du code est activée. Si l’une des conditions préalables n’est pas remplie, cette fonctionnalité ne sera pas activée, même si l’option « Activé » est sélectionnée pour cette fonctionnalité. Notez que la sélection de l’option « Activé » pour cette fonctionnalité n’active pas automatiquement la protection basée sur la virtualisation de l’intégrité du code, qui doit être effectuée séparément. Les appareils qui activent cette fonctionnalité de sécurité doivent exécuter au moins Windows 11 (version 22H2). L’option « Désactivé » désactive la protection de pile renforcée par du matériel en mode noyau. L’option « Activé en mode audit » active la protection de pile renforcée par du matériel en mode noyau en mode audit, où les violations de pile de cliché instantané ne sont pas irrécupérables et sont consignées dans le journal des événements système. L’option « Activé en mode de mise en conformité » active la protection de pile renforcée par du matériel en mode noyau en mode de mise en conformité, où les violations de pile de cliché instantané sont irrécupérables. L’option « Non configuré » laisse le paramètre de stratégie non défini. La stratégie de groupe n’écrit pas le paramètre de stratégie dans le Registre et n’a donc aucun impact sur les ordinateurs ou les utilisateurs. S’il existe un paramètre actuel dans le Registre, celui-ci ne sera pas modifié. Avertissement : tous les pilotes du système doivent être compatibles avec cette fonctionnalité de sécurité, sinon le système risque de se bloquer en mode de mise en conformité. Vous pouvez utiliser le mode audit pour détecter des pilotes incompatibles. Pour plus d’informations, consultez le site https://go.microsoft.com/fwlink/?LinkId=2162953.