정책 CSP - DeviceGuard
ConfigureSystemGuardLaunch
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1809 [10.0.17763] 이상 |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/ConfigureSystemGuardLaunch
보안 시작 구성: 0 - 관리되지 않는 사용자에 의해 구성 가능, 1 - 하드웨어에서 지원되는 경우 보안 시작을 사용하도록 설정, 2 - 보안 시작을 사용하지 않도록 설정합니다.
System Guard 대한 자세한 내용은 Windows Defender System Guard 런타임 증명 소개 및 하드웨어 기반 신뢰 루트가 Windows 10 보호하는 방법을 참조하세요.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 관리되지 않는 관리자가 구성할 수 있습니다. |
| 1 | 관리되지 않는 하드웨어에서 지원되는 경우 보안 시작을 사용하도록 설정합니다. |
| 2 | 관리되지 않는 보안 시작을 사용하지 않도록 설정합니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | VirtualizationBasedSecurity |
| 이름 | 가상화 기반 보안 켜기 |
| 요소 이름 | 보안 시작 구성. |
| 위치 | 컴퓨터 구성 |
| 경로 | System > Device Guard |
| 레지스트리 키 이름 | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| ADMX 파일 이름 | DeviceGuard.admx |
EnableVirtualizationBasedSecurity
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ❌ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
VBS(가상화 기반 보안) 켜기
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 가상화 기반 보안을 사용하지 않도록 설정합니다. |
| 1 | 가상화 기반 보안을 사용하도록 설정합니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | VirtualizationBasedSecurity |
| 이름 | 가상화 기반 보안 켜기 |
| 위치 | 컴퓨터 구성 |
| 경로 | System > Device Guard |
| 레지스트리 키 이름 | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| 레지스트리 값 이름 | EnableVirtualizationBasedSecurity |
| ADMX 파일 이름 | DeviceGuard.admx |
LsaCfgFlags
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
❌ 프로 ✅ Enterprise ✅ Education ❌ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Credential Guard 구성: 0 - 이전에 UEFI 잠금 없이 구성된 경우 원격으로 CredentialGuard를 해제합니다. 1 - UEFI 잠금을 사용하여 CredentialGuard를 켭니다. 2 - UEFI 잠금 없이 CredentialGuard를 켭니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | (사용 안 함) 이전에 UEFI Lock 없이 구성된 경우 Credential Guard를 원격으로 끕니다. |
| 1 | (UEFI 잠금으로 사용) UEFI 잠금을 사용하여 Credential Guard를 켭니다. |
| 2 | (잠금 없이 사용) UEFI 잠금 없이 Credential Guard를 켭니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | VirtualizationBasedSecurity |
| 이름 | 가상화 기반 보안 켜기 |
| 요소 이름 | Credential Guard 구성. |
| 위치 | 컴퓨터 구성 |
| 경로 | System > Device Guard |
| 레지스트리 키 이름 | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| ADMX 파일 이름 | DeviceGuard.admx |
RequirePlatformSecurityFeatures
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
❌ 프로 ✅ Enterprise ✅ Education ❌ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/DeviceGuard/RequirePlatformSecurityFeatures
플랫폼 보안 수준 선택: 1 - 보안 부팅으로 VBS 켜기, 3 - 보안 부팅 및 DMA를 사용하여 VBS 켜기 DMA에는 하드웨어 지원이 필요합니다.
이 설정을 사용하면 사용자가 가상화 기반 보안으로 Credential Guard를 켜서 다음 재부팅 시 자격 증명을 보호할 수 있습니다. 값 유형은 정수입니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1(기본값) | 보안 부팅을 사용하여 VBS를 켭니다. |
| 3 | 보안 부팅 및 DMA(직접 메모리 액세스)를 사용하여 VBS를 켭니다. DMA에는 하드웨어 지원이 필요합니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | VirtualizationBasedSecurity |
| 이름 | 가상화 기반 보안 켜기 |
| 요소 이름 | 플랫폼 보안 수준을 선택합니다. |
| 위치 | 컴퓨터 구성 |
| 경로 | System > Device Guard |
| 레지스트리 키 이름 | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| ADMX 파일 이름 | DeviceGuard.admx |