Systemüberwachung – sicherer Start und SMM-Schutz

In diesem Artikel wird erläutert, wie Sie Systemüberwachung SMM-Schutz (Secure Launch and System Management Mode) konfigurieren, um die Startsicherheit von Windows 10- und Windows 11-Geräten zu verbessern. Die folgenden Informationen werden aus Der Sicht des Kunden dargestellt.

Hinweis

Systemüberwachung Feature "Sicherer Start" erfordert einen unterstützten Prozessor. Weitere Informationen finden Sie unter Systemanforderungen für Systemüberwachung.

Aktivieren von Systemüberwachung Secure Launch

Sie können Systemüberwachung sicheren Start aktivieren, indem Sie eine der folgenden Optionen verwenden:

Mobile Geräteverwaltung

Systemüberwachung Secure Launch kann für Mobile Geräteverwaltung (MDM) mithilfe von DeviceGuard-Richtlinien im Richtlinien-CSP DeviceGuard/ConfigureSystemGuardLaunch konfiguriert werden.

Gruppenrichtlinie

  1. Wählen Sie Starttyp> und dann Gruppenrichtlinie bearbeiten aus.

  2. Wählen Sie Computerkonfiguration>Administrative Vorlagen>System>Device Guard>VirtualisierungsbasierteSicherheitsstartkonfiguration> aktivieren aus.

    Konfiguration für den sicheren Start.

Windows-Sicherheit

Wählen Sie Starteinstellungen>>Update & Sicherheit>Windows-Sicherheit>Öffnen Windows-Sicherheit>Gerätesicherheit>Core-Isolation>Firmwareschutz aus.

Windows-Sicherheit Einstellungen.

Registrierung

  1. Öffnen Sie den Registrierungs-Editor.

  2. Wählen Sie HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>DeviceGuard>Scenarios aus.

  3. Klicken Sie mit der rechten Maustaste auf Szenarien>Neuer>Schlüssel , und nennen Sie den neuen Schlüssel SystemGuard.

  4. Klicken Sie mit der rechten Maustaste auf SystemGuard>Neuer>DWORD-Wert (32-Bit), und nennen Sie das neue DWORD Aktiviert.

  5. Doppelklicken Sie auf Aktiviert, ändern Sie den Wert in 1, und klicken Sie auf OK.

    Sichere Startregistrierung.

So überprüfen Sie, Systemüberwachung secure launch konfiguriert ist und ausgeführt wird

Um zu überprüfen, ob der sichere Start ausgeführt wird, verwenden Sie Systeminformationen (MSInfo32). Wählen Sie Start aus, suchen Sie nach Systeminformationen, und suchen Sie unter Virtualisierungsbasierte Sicherheitsdienste ausgeführt und Virtualisierungsbasierte Sicherheitsdienste konfiguriert.

Überprüfen Sie, ob der sichere Start in den Windows-Sicherheit Einstellungen ausgeführt wird.

Hinweis

Um Systemüberwachung sicheren Start zu aktivieren, muss die Plattform alle Grundlegenden Anforderungen für Systemüberwachung, Device Guard, Credential Guard und virtualisierungsbasierte Sicherheit erfüllen.

Hinweis

Weitere Informationen zu AMD-Prozessoren finden Sie im Microsoft-Sicherheitsblog: Erzwingen des Messens und Nachweises von Firmwarecode durch Secure Launch on Windows 10.