Thông tin liên hệ
- 036.686.3943
- admin@nguoicodonvn2008.info
Device Guard là sự kết hợp tính năng bảo mật phần mềm và phần cứng liên quan đến doanh nghiệp, khi được cấu hình cùng nhau sẽ khóa thiết bị để chỉ chạy các ứng dụng đáng tin cậy mà bạn xác định trong chính sách toàn vẹn mã. Nếu ứng dụng không tin cậy, nó sẽ không thể chạy. Với phần cứng đáp ứng yêu cầu cơ bản, điều đó có nghĩa là ngay cả khi kẻ tấn công có thể giành quyền kiểm soát nhân Windows, họ cũng không thể chạy mã thực thi độc hại. Với phần cứng thích hợp, Device Guard có thể sử dụng bảo mật dựa trên ảo hóa mới trong Windows 10 để cách ly dịch vụ Code Integrity khỏi nhân Microsoft Windows. Trong trường hợp này, dịch vụ Code Integrity chạy cùng nhân trong bộ chứa được bảo vệ bởi ảo hóa Windows.
Hướng dẫn này sẽ chỉ cho bạn cách bật hoặc tắt bảo mật dựa trên ảo hóa Device Guard trên PC Windows 10 Enterprise và Windows 10 Education.
Bước 1. Mở các Windows Features.
Trong Windows 10 Enterprise/Education phiên bản 1607 trở lên, chọn Hyper-V Hypervisor trong Hyper-V và click vào OK.
Trong các phiên bản Windows 10 Enterprise/Education trước phiên bản 1607, hãy chọn Hyper-V Hypervisor trong Hyper-V, chọn Isolated User Mode và click vào OK.
Bước 2. Mở Local Group Policy Editor.
Bước 3. Điều hướng đến key sau ở khung bên trái của Local Group Policy Editor.
Computer Configuration\Administrative Templates\System\Device Guard
Bước 4. Trong khung bên phải của Device Guard trong Local Group Policy Editor, click đúp vào chính sách Turn On Virtualization Based Security để chỉnh sửa nó.
Bước 5. Thực hiện theo Bước 6 (bật) hoặc Bước 7 (tắt).
Bước 6. Để kích hoạt Device Guard
Lưu ý: Tùy chọn Secure Boot (recommended) cung cấp khởi động an toàn với nhiều bảo vệ được hỗ trợ bởi phần cứng của máy tính cụ thể. Một máy tính với bộ quản lý bộ nhớ đầu vào/đầu ra (IOMMUs) sẽ có khởi động an toàn với bảo vệ DMA. Một máy tính không có IOMMUs sẽ chỉ kích hoạt khởi động an toàn.
Secure Boot with DMA sẽ kích hoạt tính năng khởi động an toàn và VBS chỉ trên máy tính hỗ trợ DMA, tức là máy tính có IOMMUs. Với cài đặt này, bất kỳ máy tính nào không có IOMMU sẽ không có bảo vệ VBS (dựa trên phần cứng), mặc dù nó có thể kích hoạt các chính sách toàn vẹn mã.
Lưu ý: Tùy chọn Enabled with UEFI lock đảm bảo Virtualization Based Protection of Code Integrity không bị vô hiệu hóa từ xa. Để vô hiệu hóa tính năng này, bạn cần thiết lập Group Policy thành Disabled cũng như xóa chức năng bảo mật cho từng máy tính với người dùng hiện tại để xóa cấu hình trên UEFI.
Tùy chọn Enabled without lock cho phép Virtualization Based Protection of Code Integrity bị vô hiệu hóa từ xa sử dụng Group Policy.
Lưu ý: Tùy chọn Enabled with UEFI lock đảm bảo Credential Guard không bị vô hiệu hóa từ xa. Để tắt tính năng này, bạn phải thiết lập Group Policy thành Disabled cũng như xóa chức năng bảo mật trong mỗi máy tính với người dùng hiện tại để xóa cấu hình trong UEFI.
Tùy chọn Enabled without lock cho phép Credential Guard bị tắt từ xa sử dụng Group Policy. Các thiết bị sử dụng cài đặt này cần chạy trên hệ điều hành từ Windows 10 (Phiên bản 1511) trở lên.
Bước 7. Để vô hiệu hóa Device Guard
Chọn Not Configured hoặc Disabled, click vào OK và chuyển đến Bước 8.
Lưu ý: Not Configured là cài đặt mặc định.
Bước 8. Đóng Local Group Policy Editor.
Bước 9. Khởi động lại máy tính để áp dụng thay đổi.
Chúc các bạn thực hiện thành công!
Nguồn tin: Quantrimang.com
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn