Konfiguration „Device Guard“ (Windows-Richtlinie)

Mit der Konfiguration Device Guard konfigurieren Sie virtualisierungsbasierte Sicherheit (VBS) auf Windows-Computern.

Hinweis: Die Einstellungen werden beim nächsten Neustart des Windows-Computers angewendet, nachdem die Richtlinie zugewiesen wurde.

Einstellung

Beschreibung

Virtualisierungsbasierte Sicherheit (VBS) aktivieren

Virtualisierungsbasierte Sicherheit (VBS) wird aktiviert.

Credential-Guard-Konfiguration

  • Deaktivieren: Credential Guard wird deaktiviert.

    Die Deaktivierung ist nicht möglich, wenn Credential Guard mit der Option Aktivieren mit UEFI-Sperre aktiviert wurde.

  • Aktivieren mit UEFI-Sperre: Credential Guard wird deaktiviert und kann nicht ferngesteuert deaktiviert werden.

    Credential Guard kann nur wieder in den BIOS-Einstellungen deaktiviert werden. Dies erfordert einen physischen Zugriff auf den Computer.

  • Aktivieren ohne Sperre: Credential Guard wird aktiviert.

    Credential Guard kann mit der Option Deaktivieren oder mit einer Windows-Gruppenrichtlinie wieder deaktiviert werden.

Plattform-Sicherheitsstufe

  • Sicherer Start: VBS wird mit dem maximalen von der Computerhardware unterstützten Schutz aktiviert.

    Wenn der Computer keine IOMMUs (I/O Memory Management Units) besitzt, verwendet VBS die UEFI-Funktion „Sicherer Start“.

    Wenn der Computer IOMMUs besitzt, verwendet VBS die UEFI-Funktion „Sicherer Start“ mit DMA-Schutz (Direct Memory Access).

  • Sicherer Start und DMA-Schutz: VBS verwendet die UEFI-Funktion „Sicherer Start“ mit DMA-Schutz (Direct Memory Access).

    Falls der Computer DMA nicht unterstützt, wird VBS nicht aktiviert.