Microsoft Windows Device Guard Windows Device Guard 安全 Device Guard 打开基于虚拟化的安全 指定是否启用基于虚拟化的安全性。 基于虚拟化的安全性使用 Windows 虚拟机监控程序支持安全服务。基于虚拟化的安全性需要安全启动，并且可以使用 DMA 保护进行有选择的启用。DMA 保护需要硬件支持，只能在配置正确的设备上启用。 基于虚拟化的代码完整性保护 此设置可实现基于虚拟化的内核模式代码完整性保护。如果启用此设置，则将强制实施内核模式内存保护，并且代码完整性验证路径受基于虚拟化的安全功能保护。 “禁用”选项将远程关闭基于虚拟化的代码完整性保护(如果之前已使用“无锁启用”选项启用)。 “启用时带 UEFI 锁”选项可确保无法远程禁用基于虚拟化的代码完整性保护。若要禁用该功能，必须将组策略设为“禁用”并通过真实存在的用户从每台计算机中删除该安全功能，然后才能清除 UEFI 中永久保留的配置。 “无锁启用”选项允许使用组策略远程禁用基于虚拟化的代码完整性保护。 警告: 系统上的所有驱动程序都必须与此功能兼容，否则系统可能会崩溃。请确保此策略设置仅部署到已知兼容的计算机。 Credential Guard 此设置允许用户使用基于虚拟化的安全性启用 Credential Guard，以便保护凭据。 “禁用”选项将远程关闭 Credential Guard (如果之前已使用“无锁启用”选项启用)。 “启用时带 UEFI 锁”选项可确保无法远程禁用 Credential Guard。若要禁用该功能，必须将组策略设为“禁用”并通过真实存在的用户从每台计算机中删除该安全功能，然后才能清除 UEFI 中永久保留的配置。 “无锁启用”选项允许使用组策略远程禁用 Credential Guard。使用此设置的设备必须至少运行 Windows 10 (1511 版)。 安全启动 安全启动和 DMA 保护 已禁用 已启用 无锁启用 使用 UEFI 锁启用 部署代码完整性策略 部署代码完整性策略 此策略设置，可以将代码完整性策略部署到控制哪些内容可以在该计算机上运行的计算机。 如果你部署代码完整性策略，Windows 将限制什么可以运行这两个内核模式下，在 Windows 桌面上根据策略。若要启用该策略，该计算机必须重新启动。 文件路径必须是 UNC 路径(例如，\\ServerName\ShareName\SIPolicy.p7b)或本地有效路径(例如，C:\FolderName\SIPolicy.p7b)。本地计算机帐户(本地系统)必须向策略文件的访问权限。 如果使用已签名和受保护的策略，则禁用此策略设置不会从计算机删除该功能。相反，你必须: 1) 第一次更新到非保护策略的策略，然后请禁用该设置，或 2) 禁用该设置，从每台计算机，然后删除该策略，与物理存在用户。 选择平台安全级别: 基于虚拟化的代码完整性保护: Credential Guard 配置: 代码完整性策略文件路径: