System Guard 安全启动和 SMM 保护

本文介绍如何 (SMM) 保护配置System Guard安全启动和系统管理模式,以提高Windows 10和Windows 11设备的启动安全性。 以下信息是从客户端的角度呈现的。

注意

System Guard安全启动功能需要受支持的处理器。 有关详细信息,请参阅System Guard的系统要求

如何启用System Guard安全启动

可以使用以下任一选项启用System Guard安全启动:

移动设备管理

可以使用策略 CSP、DeviceGuard/ConfigureSystemGuardLaunch 中的 DeviceGuard 策略为移动设备管理 (MDM) 配置System Guard安全启动。

组策略

  1. 选择“ 开始> 类型”,然后选择“ 编辑组策略”。

  2. 选择“ 计算机配置>管理模板>”“系统>设备防护>”“启用基于虚拟化的安全>安全启动配置”。

    安全启动配置。

Windows 安全中心

选择“启动>设置更新>& 安全性>Windows 安全中心>打开Windows 安全中心>设备安全>核心隔离>固件保护”。

Windows 安全中心设置。

注册表

  1. 打开注册表编辑器。

  2. 选择 “HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>DeviceGuard>方案”。

  3. 右键单击“ 方案>”“新建>密钥 ”,并将新密钥命名为 “SystemGuard”。

  4. 右键单击“ SystemGuard>新建>DWORD (32 位) 值 ”,并将新的 DWORD 命名为“已启用”。

  5. 双击“ 已启用”,将值更改为 1,然后单击“ 确定”。

    安全启动注册表。

如何验证System Guard安全启动是否已配置并运行

若要验证安全启动是否正在运行,请使用系统信息 (MSInfo32) 。 选择 “开始”,搜索 “系统信息”,然后在 “基于虚拟化的安全服务运行 ”和“ 基于虚拟化的安全服务配置”下查找。

验证安全启动是否在Windows 安全中心设置中运行。

注意

若要启用System Guard安全启动,平台必须满足System GuardDevice GuardCredential Guard基于虚拟化的安全性的所有基线要求。