System Guard Secure Launch と SMM 保護

  • [アーティクル]
  • 適用対象:
    Windows 11, ✅ Windows 10

この記事では、Windows 10 および Windows 11 デバイスのスタートアップ セキュリティを向上させるために System Guard Secure Launch と System Management Mode (SMM) 保護 を構成する方法について説明します。 以下の情報は、クライアントの観点から示されています。

System Guard Secure Launch 機能には、サポートされているプロセッサが必要です。 詳細については、「 System Guard のシステム要件」を参照してください。

System Guard のセキュリティで保護された起動を有効にする方法

System Guard Secure Launch を有効にするには、次のいずれかのオプションを使用します。

モバイル デバイス管理

System Guard Secure Launch は、ポリシー CSP DeviceGuard/ConfigureSystemGuardLaunch の DeviceGuard ポリシーを使用して、モバイル デバイス管理 (MDM) 用に構成できます。

グループ ポリシー

  1. [ 開始> 種類] を選択し、[ グループ ポリシーの編集] を選択します。

  2. [ コンピューターの構成>管理用テンプレート>System>Device Guard>仮想化ベースのセキュリティを有効にする>安全な起動構成] を選択します

    セキュリティで保護された起動構成。

Windows セキュリティ

[ Start>Settings>Update & Security>Windows Security>Open Windows Security>Device security>Core isolation>Firmware protection] を選択します。

Windows セキュリティ設定。

レジストリ

  1. レジストリ エディターを開きます。

  2. [HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>DeviceGuard>Scenarios] を選択します。

  3. [ シナリオ>New>Key ] を右クリックし、新しいキー に SystemGuard という名前を付けます。

  4. SystemGuard>New>DWORD (32 ビット) 値を右クリックし、新しい DWORD Enabled という名前を付けます

  5. [有効] をダブルクリックし、値を 1 に変更し、[OK] をクリックします。

    セキュリティで保護された起動レジストリ。

System Guard のセキュリティで保護された起動が構成され、実行されていることを確認する方法

セキュア起動が実行されていることを確認するには、システム情報 (MSInfo32) を使用します。 [ スタート] を選択し、[ システム情報] を検索し、[ 仮想化ベースのセキュリティ サービスの実行 ] と [ 仮想化ベースのセキュリティ サービスが構成済み] の下を確認します。

セキュリティで保護された起動が Windows セキュリティ設定で実行されていることを確認します。

System Guard Secure の起動を有効にするには、プラットフォームが System GuardDevice GuardCredential Guard仮想化ベースのセキュリティのすべてのベースライン要件を満たす必要があります。

AMD プロセッサの詳細については、「 Microsoft セキュリティ ブログ: Windows 10 でのセキュア起動によってファームウェア コードの測定と証明を強制する」を参照してください。