Device Guard что это в биосе lenovo

Обновлено: 20.11.2024

Описание: если этот параметр включен, извлечение любого внутреннего запоминающего устройства, когда компьютер находится в
спящем режиме, будет обнаружено. Если вы удалите внутреннее запоминающее устройство, когда компьютер находится в спящем
режиме, компьютер выключится, когда вы его пробудите, и все несохраненные данные будут потеряны.

• Активация модуля Computrace

Значения: отключено, включено, отключено навсегда

Описание: включите интерфейс UEFI BIOS, чтобы активировать модуль computrace. Computrace – это
дополнительная служба мониторинга от Absolute Software. Если вы выберете параметр «Постоянно отключен», вы не сможете
включить этот параметр снова.

Безопасная загрузка

• Безопасная загрузка

Значения: отключено, включено

Описания. Включите этот параметр, чтобы предотвратить загрузку несанкционированных операционных систем при
включении компьютера.

• Режим платформы

Значения: режим настройки, режим пользователя

Описание: укажите режим работы системы.

• Безопасный режим загрузки

Значения: стандартный режим, пользовательский режим

Описание: укажите режим безопасной загрузки.

• Сброс в режим настройки

Описание: используйте этот параметр, чтобы очистить текущий ключ платформы и сбросить режим платформы на режим настройки.

• Восстановить заводские ключи

Описание: используйте этот параметр, чтобы восстановить все ключи и сертификаты в базах данных безопасной загрузки до
заводских значений по умолчанию.

• Удалить все ключи безопасной загрузки

Описания: используйте этот параметр, чтобы очистить все ключи и сертификаты в базах данных безопасной загрузки и установить
ваши собственные ключи и сертификаты.

Intel (R) SGX

• Управление Intel (R) SGX

Значения: Отключено, Включено, Программное управление

Описание: включение или отключение функции Intel Software Guard Extensions (SGX). Если вы выберете
Управление программным обеспечением, SGX будет управляться операционной системой.

• Изменить владельца EPOCH

Значение: введите

Описание: измените EPOCH владельца на случайное значение. Используйте эту опцию для очистки пользовательских данных SGX.

Добро пожаловать в третий и последний блог из серии об Device Guard!

  • Device Guard защищает различные поверхности атаки на конечной точке, создавая «цепочку доверия» от оборудования до ядра ОС Windows и программного обеспечения, работающего в Windows.
  • Компоненты Device Guard работают изолированно от ядра Windows и защищены контейнером Windows Hyper-V, который называется Virtual Secure Mode (VSM).
  • Device Guard использует систему на основе политик, которая определяет различные атрибуты для идентификации кода, которому доверяют, во время процесса загрузки конечной точки, загрузки ядра ОС Windows и приложений, работающих при полной загрузке ОС.
  • Различные риски в организации, вызванные сбоями других систем безопасности и неадекватными процессами, усугубляют безопасность конечных точек, если Device Guard не используется или не реализуется самым безопасным образом.

Майкрософт написал подробное руководство по развертыванию Device Guard, в котором содержатся подробные пошаговые инструкции, которые помогут вам приступить к работе. Однако читается довольно долго. В этом блоге я обобщил информацию из руководства, предоставив вам общие сведения, а также шаги и задачи по выполнению и развертыванию Device Guard на предприятии.

Очевидно, что Device Guard обеспечивает революционную защиту конечных точек в Windows 10; грозный противник и наступление против вирусов, вредоносных программ, злоумышленников и других современных угроз. Пора воспользоваться этим и обезопасить предприятие!!

Каковы предварительные условия?

Для Device Guard требуется ряд предварительных условий, ядром которых является 64-разрядная версия Windows 10 (выпуски Enterprise, Enterprise LTSB и Education) с функциями Hyper-V и Configurable Code Integrity, обеспечивающими безопасность на основе виртуализации (VBS).

Конечная точка также должна соответствовать следующим возможностям встроенного ПО, аппаратного обеспечения и процессора:

    прошивка с диском с таблицей разделов GUID (GPT) и включенной безопасной загрузкой (Intel VT-x / AMD-V) (SLAT), ускоренная перемотка вперед до0:13:06 (IOMMU) (Intel VT-d / AMD-Vi), перемотка вперед до 0:12:55
  • Доверенный платформенный модуль (TPM) 1.2 или 2.0

Требуется Active Directory, а также может потребоваться инфраструктура открытых ключей (PKI):

  • Групповая политика: централизованное включение и настройка параметров безопасности на основе виртуализации на конечных точках, развертывание файлов каталога и политик целостности кода.

Примечание. Не забудьте импортировать административные шаблоны для Windows 10 с рекомендацией создать центральное хранилище групповых политик. Шаблоны будут доступны со всех контроллеров домена, на которых запущена консоль управления групповыми политиками.

  • Общий доступ к файлам — UNC-путь, хранящийся в групповой политике, по которому расположены файлы каталога. UNC-путь должен быть доступен для всех компьютеров с включенным Device Guard, чтобы новые файлы каталога можно было загружать локально. – ставить цифровую подпись в приложениях, разработанных на заказ или в компании, когда они разрабатываются, а также в политиках целостности кода и файлах каталогов перед их развертыванием.

Дополнительную информацию о предварительных требованиях см. в разделе «Аппаратные требования».

Как лучше всего внедрить Device Guard

Безопасная реализация Device Guard должна быть главным приоритетом. Учет следующих процессов и задач поможет обеспечить его успех.

Развертывание Windows 10 (ну конечно!)

  • Device Guard предназначен только для Windows 10, и его реализация может быть настолько же успешной, как и развертывание Windows 10. Взгляните на решение Windows 10 Now, чтобы получить общее представление о том, как 1E может помочь.

Оцените состояние и включите поддержку конечных точек для безопасных конфигураций оборудования в Windows 10

  • Microsoft System Center Configuration Manager (ConfigMgr) и инструменты управления от производителей ПК помогут определить готовность Device Guard на предприятии. Технологический архитектор 1E Майк Террилл предоставил обширную информацию в нескольких блогах, которые он написал по этой теме:

Изучение влияния приложений в организации

Успешная реализация Device Guard зависит от наличия точной информации об использовании приложений в организации и ответов на такие вопросы, как Какие приложения установлены? Используются ли приложения? Кто использует приложения и с какими ролями, подразделениями и/или отделами они связаны?

  • 1E AppClarity позволяет получить представление об использовании приложений организации посредством анализа данных инвентаризации из ConfigMgr. AppClarity нормализует данные инвентаризации, чтобы названия приложений точно идентифицировались и подсчитывались, а также предоставляла хронологическую информацию об использовании за определенный период времени. Наличие этой информации полезно, поскольку политики целостности кода Device Guard можно согласовать с данными анализа AppClarity, чтобы узнать, на какие конечные точки должны быть нацелены политики.

Примечание. Аналогичную информацию можно получить из отчетов Asset Intelligence и инвентаризации программного обеспечения в ConfigMgr, а также из набора инструментов Microsoft Application Compatibility Toolkit (ACT). Однако следует учитывать дополнительные усилия, необходимые для нормализации и рационализации данных инвентаризации.

Примечание. Политики целостности кода Device Guard, работающие в режиме аудита, также могут показывать, какие приложения установлены в среде. Проблема этой стратегии заключается в том, что ее нельзя использовать до тех пор, пока не будут развернуты Windows 10 и Device Guard, тогда как 1E AppClarity и другие инструменты, упомянутые ранее, можно использовать до, во время и после развертывания Windows 10 и Device Guard.

  • Понимание «типов» приложений в организации важно, поскольку у каждого типа приложений есть определенные способы сделать их заслуживающими доверия с помощью Device Guard, например. файлы с цифровой подписью и файлы каталогов для неподписанных приложений. В следующей таблице показаны различные типы приложений, которые можно установить в Windows 10, и степень доверия к ним:

Примечание. Дополнительные сведения о том, что в Device Guard означает, что приложение считается «надежным», во втором блоге серии см. в разделе «Управление политикой. Надежность гарантирована».

  • По мере того, как мы узнаем больше об отношениях между приложениями, пользователями и их компьютерами, становится ясно, какие приложения используются каждым направлением бизнеса, отделом и бизнес-подразделением. В некоторых случаях может оказаться целесообразным дальнейшее определение взаимосвязей на основе роли пользователя или самого ПК. Сценарии развертывания Device Guard дают некоторые рекомендации по организации ПК в «рабочие нагрузки». Использование одного или всех из перечисленных выше вариантов упростит создание политик целостности кода и файлов каталога и управление ими, согласовывая процесс с организационной и административной моделью бизнеса.

Создание и тестирование файлов каталога и политик целостности кода в режиме аудита

Когда вы будете готовы создавать и тестировать файлы каталога и политики целостности кода, эталонные ПК должны быть созданы в соответствии с различными категориями использования приложений, определенными ранее. Наряду с установкой Windows 10 убедитесь, что на эталонных ПК установлены и правильно настроены необходимые функции Windows и аппаратные функции безопасности.

Ниже представлен общий обзор шагов, связанных с созданием и тестированием файлов каталога и политик целостности кода на эталонном ПК:

Файлы каталога

    (не принудительная политика, а работающая в режиме аудита) для поиска установленных приложений. Это необходимо перед созданием файлов каталога на последующих этапах. чтобы добавить неподписанные приложения в существующую политику целостности кода. Начните с установки неподписанных приложений на эталонном ПК. После установки каждого приложения инструмент PackageInspector.exe просканирует эталонный компьютер, чтобы обнаружить исходные файлы приложения и установленные двоичные файлы, созданные установщиком приложения. Когда сканирование PackageInspector.exe остановлено, он создает соответствующий файл каталога для неподписанного приложения. При желании можно добавить несколько неподписанных приложений в один файл каталога вместо создания по одному для каждого установленного приложения.
  1. Загрузите утилиту SignTool.exe Windows 10 Software Development Kit (SDK) для цифровой подписи файлов каталога, чтобы Device Guard мог доверять обнаруженным неподписанным приложениям. После установки SDK на компьютер с Windows 10 файл SignTool.exe можно найти в папке \Bin пути установки SDK.

Политики целостности кода

  1. Установите все доверенные приложения с цифровой подписью на эталонный компьютер.

Примечание. Это необходимо сделать до создания новой политики целостности кода.

    в режиме аудита
  1. Сканировать эталонный компьютер на наличие установленных приложений
  2. Преобразовать политику в двоичный формат.

Подробное описание и подробные сведения о необходимых шагах см. в следующих разделах Руководства по развертыванию Device Guard:

Реализация политик целостности кода в принудительном режиме

К этому времени должны быть завершены политики целостности кода с подписанными и неподписанными приложениями в среде, которые теперь известны и которым доверяют. Следуя приведенным выше рекомендациям по изучению области применения приложений в организации, можно было создать единый файл политики целостности кода для каждой определенной категории использования приложений. Вместо категоризации использования приложений по бизнес-направлениям может быть выбрано создание политики целостности кода для каждого поддерживаемого корпоративного образа. Если у вас есть несколько файлов политик, их можно объединить в единую политику Device Guard для всей организации.

Настало время внедрить политику целостности кода для защиты конечных точек.

  • Убедитесь, что параметр правила режима аудит удален из политики, например 3 Включено: режим аудита (по умолчанию)
  • Преобразуйте файл политики (.xml) в двоичный формат, например.
  • Чтобы еще больше обезопасить политику, чтобы ее было трудно подделать, рассмотрите возможность подписания политики с помощью сертификата подписи Device Guard.

Это не исчерпывающий список заключительных шагов, поэтому настоятельно рекомендуется прочитать и уделить пристальное внимание подробным шагам, описанным в политиках целостности кода.

Инструменты, используемые для развертывания Device Guard и управления им

Ранее были предоставлены общие рекомендации и ресурсы блога, которые помогут подготовить конечные точки для Device Guard. Скорее всего, вы будете использовать ConfigMgr и/или Microsoft Intune для управления ПК с Windows 10 в среде. В следующей таблице показаны роли и взаимосвязь этих и других инструментов, а также выполняемые ими задачи по развертыванию и управлению Device Guard:

Возможно, потребуется создать отчет о продуктах Think, чтобы проверить, какие настройки BIOS включены или отключены, или даже установлен ли пароль администратора BIOS.

В этом посте рассматривается создание простого пользовательского отчета в ConfigMgr, который будет отображать следующее:

  • Все продукты Lenovo Think
  • Модель (понятные имена)
  • Имя компьютера
  • Версия BIOS
  • Включен ли TPM?
  • Активирован ли TPM?
  • Статус безопасной загрузки
  • UEFI включен?
  • Device Guard в BIOS включен?
  • Набор паролей BIOS

Расширение списка оборудования

Во-первых, вам потребуется расширить инвентаризацию оборудования, чтобы собрать эти два класса Lenovo WMI.

Lenovo_BiosSetting
Lenovo_Bios PasswordSettings

Чтобы сделать это немного проще, в нижней части страницы вы можете скачать ZIP-файл, содержащий файл MOF, который вы можете импортировать в свои настройки клиента по умолчанию, которые добавят эти классы.

< td style="text-align: center;">

В окне Класс инвентаризации оборудования нажмите Импорт. Выберите файл MOF, содержащий классы Lenovo WMI.

Оставьте переключатель по умолчанию выбранным, чтобы импортировать как классы инвентаря, так и настройки, и нажмите «Импорт». Нажмите «ОК» для завершения. Как только клиенты получат обновленные параметры клиента, два класса Lenovo будут инвентаризированы, и их можно будет просмотреть в обозревателе ресурсов. Если у вас есть смешанная среда от разных поставщиков, может быть хорошей идеей создать пользовательские настройки клиента и развернуть их только в коллекции, содержащей оборудование Lenovo.

Также внизу страницы находится образец отчета, который вы можете импортировать в свою службу SSRS. Предполагая, что у вас установлена ​​и настроена роль Reporting Services Point, найдите URL-адрес своего диспетчера отчетов. Это можно найти в консоли в рабочей области мониторинга / узле отчетов


Откройте Internet Explorer, перейдите по URL-адресу диспетчера отчетов и выберите путь для загрузки отчета. После загрузки отредактируйте отчет в Report Builder. Вам потребуется заменить источник данных и выполнить любые другие настройки в соответствии с вашей средой.

В этом примере вы заметите разные значения в столбце Пароли BIOS. Они соответствуют целому числу, отображаемому в свойстве состояния пароля при запросе класса Lenovo_BiosPasswordSettings. В поколении ThinkPad Whiskey Lake появилось 8 новых значений. Ниже приведена матрица, объясняющая, во что преобразуются эти целые числа:


0 Пароли BIOS не установлены
1 Только пароль при включении
2 Только пароль администратора
3 Супервизор + пароль при включении
4 Жесткий диск пользователя и/или жесткий диск пользователя и главный пароль
5 Питание + пользовательский жесткий диск и/или пользовательский жесткий диск и главный пароль
6 Супервизор + пользовательский жесткий диск и/или пользовательский жесткий диск и главный пароль
7 Supervisor + Power On + User HDD и/или User HDD и мастер-пароль
64 Только пароль для управления системой
65 Управление системой + пароль на включение
66 Супервизор + пароль для управления системой
67 Супервизор + Управление системой + Пароль при включении
68 Управление системой + пользовательский жесткий диск и/или главный пароль пользовательского жесткого диска
69 Управление системой + включение питания + пользовательский жесткий диск и/или главный пароль пользователя для жесткого диска
70 Supervisor + System Management + User HDD и/или User HDD Master Password
71 Супервизор + Управление системой + Включение + Пользовательский жесткий диск и/или главный пароль пользователя для жесткого диска

Я ни в коем случае не эксперт по SQL, но ниже приведен запрос, используемый для извлечения этих данных

Примечание. Сообщается только о настройках BIOS Device Guard. Вам по-прежнему потребуется выполнить настройку Device Guard на стороне ОС. Если в системе нет настройки BIOS Device Guard, она будет исключена из отчета. Вы можете закомментировать две последние строки запроса, если уверены, что системы, о которых вы сообщаете, имеют настройку BIOS Device Guard.

Загрузки:

Microsoft признала, что изменения, внесенные в последние обновления Windows 10 2004, вызывают сбои на ноутбуках Lenovo ThinkPad, и предложила обходной путь.

После того как пользователи установили июльское обновление Windows 10 2004 KB4568831, пользователи Lenovo ThinkPad обнаружили, что их ноутбуки аварийно завершают работу с ошибками "SYSTEM_THREAD_EXCEPTION_NOT_HANDLED" (на экране сообщения об ошибке Stop) и "0xc0000005 Access Denied".

Вскоре после этого Lenovo предупредила, что модели ThinkPad 2019 и 2020 годов с виртуализацией, включенной в параметре «Расширенная биометрическая безопасность Windows», могут столкнуться со сбоями и другими ошибками.

Эти сбои могли произойти при выполнении следующих действий:

  • Синий экран смерти (BSoD) при загрузке
  • Синий экран смерти (BSoD) при запуске Lenovo Vantage
  • Синий экран смерти (BSoD) при запуске сканирования Защитником Windows
  • Не удается войти по лицу с помощью Windows Hello
  • Ошибки в диспетчере устройств, связанные с Intel Management Engine
  • Ошибки в диспетчере устройств, связанные с ИК-камерой.

В бюллетене службы поддержки, выпущенном на этой неделе, Microsoft заявляет, что обновления KB4568831 и более поздние обновления ограничивают доступ процессов к определенным областям памяти, известным как пространство конфигурации устройства PCI.

Если процесс попытается получить доступ к пространству конфигурации устройства PCI неподдерживаемым способом, это приведет к сбою Windows 10 со стоп-ошибкой.

«Устройства Windows, получившие предварительную версию KB4568831 (сборка ОС 19041.423) или более поздние обновления от 31 июля 2020 г., ограничивают доступ процессов к пространству конфигурации устройства межсоединения периферийных компонентов (PCI), если присутствует таблица ACPI безопасных устройств (SDEV) и Запущена система безопасности на основе виртуализации (VBS). Процессы, которым требуется доступ к пространству конфигурации устройства PCI, должны использовать официально поддерживаемые механизмы."

"Таблица SDEV определяет безопасные аппаратные устройства в ACPI. VBS включается в системе, если включены функции безопасности, использующие виртуализацию. Примерами таких функций являются целостность кода гипервизора или Credential Guard в Защитнике Windows."

"Новые ограничения предназначены для предотвращения изменения конфигурационного пространства защищенных устройств вредоносными процессами. Драйверы устройств или другие системные процессы не должны пытаться манипулировать конфигурационным пространством каких-либо устройств PCI, кроме как с использованием шинных интерфейсов, предоставляемых Microsoft. или IRP. Если процесс пытается получить доступ к конфигурационному пространству PCI неподдерживаемым способом (например, путем анализа таблицы MCFG и сопоставления конфигурационного пространства с виртуальной памятью), Windows отказывает в доступе к процессу и генерирует Stop-ошибку», — поясняет Microsoft в сообщении службы поддержки. бюллетень.

Microsoft предлагает обходной путь, пока не будет выпущено исправление

Microsoft заявляет, что в настоящее время они работают с Lenovo над исправлением, чтобы предотвратить эти сбои в Windows 10 2004.

Для тех, кто не хочет ждать исправления, Microsoft предлагает временный обходной путь, отключив функцию безопасности «Улучшенная биометрическая безопасность Windows» в конфигурации UEFI ноутбука.

Чтобы отключить эту функцию, загрузитесь на экране настройки UEFI ноутбука и в меню «Безопасность» > «Виртуализация» проверьте состояние параметра «Улучшенная биометрическая безопасность Windows».

Если он включен, вы можете пожертвовать некоторой безопасностью на ноутбуке, чтобы предотвратить сбои, пока не будет выпущено исправление.

«Чтобы временно устранить эту проблему, отредактируйте конфигурацию UEFI устройства (в разделе «Безопасность» > «Виртуализация»), чтобы отключить расширенную биометрическую безопасность Windows. Это изменение отключает ограничения, включенные таблицей SDEV и VBS», — поясняет Microsoft.< /p>

Microsoft не сообщила, когда их исправление будет готово, но, скорее всего, ей сначала потребуются обновления программного обеспечения и, возможно, прошивки от Lenovo.

Читайте также: