【Device Guard】关于Device Guard开启后关闭

Dawn_every

升级到1803后
发现WD多了内核隔离选项（这个好像很早就有 只不过我才知道 勿喷啊 相互学习）
手贱给开开了 发现不能简单通过按钮关闭 网上百度了方法 发现挺麻烦的
自己折腾发现 在组策略就可以关闭

当然这个不一定对 因为如果方法这么简单 大家也就不用那么麻烦的折腾了 ， 但也可能就这么简单

在这里顺便了解了一下Device Guard 也是一知半解 希望论坛有大神详细解答一下 在这里谢谢大家啦~~
这是我找到的资料
Device Guard 概述：https://technet.microsoft.com/zh-cn/library/dn986865.aspx
Device Guard 部署指南：https://technet.microsoft.com/zh-cn/library/mt463091.aspx
觉得好像挺厉害的 设备安全防护完整防护好像需要这些 一个是内核防护 一个是安全启动security boot 还有就是TPM的支持（我的没有）
这个是整个防护体系需要的软件和硬件需求

这里想论坛里懂得大神解答一下
UEFI 固件版本 2.3.1 或更高版本 这里的UEFI固件版本是如何查看的啊
固件锁定 这里的固件锁定是指BIOS设置好后 对BIOS进行加密吗
VT-d 或 AMD-Vi IOMMU（输入/输出内存管理单元）和 安全固件更新过程 这两个又是什么 普通设备支持吗
还有那个DMA安全 明明在组策略开启了 系统信息里还是显示关闭


我自己仅开启了 启动安全 标准硬件安全性 没有TPM硬件支持 内核安全开启了 也貌似没有完全开始 因为DMA显示关闭 而且发现网上有朋友说开启这个后VM无法使用，而我在Device Guard介绍里发现 如果功能完整开启后 在此平台所运行的软件 必须基于此套件和标准开发 否则好像无法正常使用的


以上的内容不一定正确 希望大家可以积极交流讨论 懂得大神可以开贴详细回答 麻烦@我 让我学习一下 谢谢大家了~~

Jerry.Lin

@驭龙 这样子设置 系统信息内还是显示 内核DMA保护 关闭， 这个正常吗？

SP4 1803

Dawn_every

191196846 发表于 2018-4-5 19:59
@驭龙 这样子设置 系统信息内还是显示 内核DMA保护 关闭， 这个正常吗？

SP4 1803

正常 因为我也是那么设置的 不知道为什么DMA还显示关闭 这个不知道是不是需要硬件支持

驭龙

191196846 发表于 2018-4-5 19:59
@驭龙 这样子设置 系统信息内还是显示 内核DMA保护 关闭， 这个正常吗？

SP4 1803

https://bbs.kafan.cn/thread-2119152-1-1.html
暂时无法开启内核DMA保护

另外你有两个高级安全功能没有开启如下面的代码只读和SMM安全

Jerry.Lin

驭龙 发表于 2018-4-6 09:36
https://bbs.kafan.cn/thread-2119152-1-1.html
暂时无法开启内核DMA保护

好的呢

额……我找不到开启这两个的方法，是在哪里设置呢？

驭龙

191196846 发表于 2018-4-6 09:59
好的呢

额……我找不到开启这两个的方法，是在哪里设置呢？

注册表中DG的注册值需要修改为7，同时也要把组策略恢复默认，否则组策略会修改注册表值的，有一点麻烦

Jerry.Lin

驭龙 发表于 2018-4-6 10:04
注册表中DG的注册值需要修改为7，同时也要把组策略恢复默认，否则组策略会修改注册表值的，有一点麻烦

emmm.... 是哪个？

EnableVirtualizationBasedSecurity 1
Locked 1
RequireMicrosoftSignedBootChain 1
RequirePlatformSecurityFeatures 1

这两个安全属性也是属于DG的吗？我一直找不到相关的文档……

驭龙

191196846 发表于 2018-4-6 10:43
emmm.... 是哪个？

EnableVirtualizationBasedSecurity 1

RequirePlatformSecurityFeatures 改成7，记住先把组策略恢复未配置，否则会被组策略覆盖的。

另外说一下，最好不要用UEFI锁，否则很难关闭这个DG功能

其实没有自定义的WDAC规则，开DG也只不过是保护一下内核，功能还是半残的

Jerry.Lin

驭龙 发表于 2018-4-6 10:52
RequirePlatformSecurityFeatures 改成7，记住先把组策略恢复未配置，否则会被组策略覆盖的。

另外说 ...

1. 基于虚拟化的安全性        正在运行
   
2. 安全属性要求基于虚拟化的安全性        基本的虚拟化支持, 安全启动, DMA 保护, 安全内存覆盖
   
3. 安全属性可使用基于虚拟化的安全性        基本的虚拟化支持, 安全启动, DMA 保护, UEFI 代码只读, SMM Security Mitigations 1.0
   
4. 已配置基于虚拟化的安全服务        Credential Guard, 虚拟机监控程序强制执行的代码完整性
   
5. 正在运行基于虚拟化的安全服务        Credential Guard, 虚拟机监控程序强制执行的代码完整性

复制代码

这样子就可以了吧？

看过WDAC官方文档，挺麻烦的，龙大这个假期有空写关于WDAC的文章吗？或者是DG安全机制的详细说明呢？

驭龙

191196846 发表于 2018-4-6 11:18
这样子就可以了吧？

看过WDAC官方文档，挺麻烦的，龙大这个假期有空写关于WDAC的文章吗？或者是DG ...

我只知道开四个功能的方法，其他就帮不了你了。

WDAC半年前我就说过，这个搞不好系统就完了，所以我不写这个帖子