System Guard 安全启动和 SMM 保护

本主题介绍如何 (SMM) 保护配置System Guard安全启动和系统管理模式，以提高Windows 10和Windows 11设备的启动安全性。 以下信息是从客户端的角度呈现的。

注意

System Guard安全启动功能需要受支持的处理器。 有关详细信息，请参阅System Guard的系统要求。

可以使用以下任一选项启用System Guard安全启动：

可以使用策略 CSP、DeviceGuard/ConfigureSystemGuardLaunch 中的 DeviceGuard 策略为移动设备管理 (MDM) 配置System Guard安全启动。

单击 “开始> 类型”，然后单击“ 编辑组策略”。

单击“ 计算机配置>管理模板>”“系统>设备防护>”“打开基于虚拟化的安全>启动配置”。

单击“开始>设置更新>&安全性>Windows 安全>打开Windows 安全>设备安全>核心隔离>固件保护”。

打开注册表编辑器。

单击“ HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>DeviceGuard>方案”。

右键单击“ 方案>”“新建>密钥 ”，并将新密钥命名为 “SystemGuard”。

右键单击“ SystemGuard>新建>DWORD (32 位) 值 ”，并将新的 DWORD 命名为“已启用”。

双击“ 已启用”，将值更改为 1，然后单击“ 确定”。

若要验证安全启动是否正在运行，请使用系统信息 (MSInfo32) 。 单击“ 开始”，搜索 “系统信息”，然后在 “基于虚拟化的安全服务运行 和 基于虚拟化的安全服务配置”下查找。

注意

若要启用System Guard安全启动，平台必须满足System Guard、Device Guard、Credential Guard 和基于虚拟化的安全性的所有基线要求。

注意

有关 AMD 处理器的详细信息，请参阅 Microsoft 安全博客：强制固件代码由 Windows 10 上的安全启动进行测量和证明。