姚令武 2026-02-28 11:30 采纳率: 98.6%
浏览 34
已采纳

组策略中找不到Device Guard虚拟化安全设置怎么办?

在Windows 10/11企业版或教育版中配置Device Guard(现整合为Windows Defender Application Control, WDAC)时,常遇到组策略编辑器(gpedit.msc)中缺失“Device Guard”或“虚拟化安全设置”相关策略路径(如Computer Configuration → Administrative Templates → System → Device Guard)。根本原因在于:该功能依赖Windows 10版本≥1607且需启用Hyper-V、Secure Boot及TPM 2.0;更重要的是,**默认安装的组策略ADMX模板不包含Device Guard策略定义**——需手动导入Windows 10/11 ADK中的最新ADMX/ADML文件(尤其是`DeviceGuard.admx`和对应语言文件),并确保策略存储位置(%SystemRoot%\PolicyDefinitions)权限正确。此外,部分精简版系统或非企业版(如家庭版)原生不支持该功能。若环境合规却仍不可见,建议检查系统版本、SKU类型及ADMX模板完整性,避免误用旧版模板或跳过ADMX注册步骤。
  • 写回答

1条回答 默认 最新

  • 曲绿意 2026-02-28 11:30
    关注
    ```html

    一、现象层:组策略编辑器中“Device Guard”节点完全缺失

    在Windows 10/11企业版或教育版中运行gpedit.msc后,导航至Computer Configuration → Administrative Templates → System,发现无Device GuardVirtualization Based Security子节点。该现象非界面缓存问题,重启GPEDIT或刷新组策略(gpupdate /force)均无效。

    二、验证层:确认基础硬件与系统合规性

    • 执行systeminfo | findstr "OS Name OS Version Hyper-V Requirements"验证OS版本≥1607(如19045.4782)、SKU为Enterprise/Education
    • 运行tpm.msc确认TPM 2.0已启用并处于“Ready”状态
    • 执行bcdedit /enum {current} | findstr "hypervisorlaunchtype"确保返回hypervisorlaunchtype Auto
    • 进入UEFI固件设置,确认Secure Boot为Enabled且Platform Key(PK)已配置

    三、机制层:ADMX模板缺失是根本技术动因

    Windows默认安装仅包含基础ADMX模板(如PolicyDefinitions目录下无DeviceGuard.admx)。Device Guard/WDAC策略定义自Windows 10 v1607起以独立ADMX文件形式发布,需通过Windows ADK(Assessment and Deployment Kit)显式导入。未导入时,组策略引擎无法解析对应策略Schema,故节点永不渲染。

    四、实施层:ADMX模板的标准化部署流程

    1. 下载对应OS版本的Windows ADK(如ADK for Windows 11, version 23H2)
    2. 安装时勾选Deployment ToolsWindows Preinstallation Environment (Windows PE)
    3. 复制%ProgramFiles(x86)%\Windows Kits\10\Assessment and Deployment Kit\Windows Setup\amd64\WinPE_OCs\admx\*.admxen-US\*.adml%SystemRoot%\PolicyDefinitions\(含子目录)
    4. 校验权限:icacls "%SystemRoot%\PolicyDefinitions" /grant "Administrators:(OI)(CI)F"

    五、诊断层:多维交叉验证清单

    检查项合规值验证命令
    OS SKUEnterprise / EducationDISM /online /get-currentedition
    ADMX完整性存在DeviceGuard.admx & en-US\DeviceGuard.admldir %windir%\PolicyDefinitions\DeviceGuard.*
    组策略缓存注册表键HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard可手动创建(仅调试用)reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard"

    六、进阶层:PowerShell原生替代方案(绕过GPEDIT依赖)

    当ADMX导入失败或需批量部署时,直接使用WDAC策略构建工具链:

    # 1. 创建基础策略(允许Microsoft签名+设备驱动)
New-CIPolicy -Level FilePublisher -FilePath C:\WDAC\Baseline.xml -Fallback Hash -UserWriteablePaths

# 2. 合并微软官方策略(提升兼容性)
Merge-CIPolicy -OutputFilePath C:\WDAC\Final.xml -PolicyPaths C:\WDAC\Baseline.xml, "$env:windir\Schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml"

# 3. 转换为二进制并部署
ConvertFrom-CIPolicy C:\WDAC\Final.xml C:\WDAC\Final.bin
Set-RuleOption -FilePath C:\WDAC\Final.bin -Option 3  # 启用UMCI
CiTool --update-policy C:\WDAC\Final.bin -json

    七、架构层:WDAC策略加载的底层执行路径

    graph LR A[gpedit.msc加载] --> B{读取%windir%\\PolicyDefinitions\\*.admx} B -->|缺失DeviceGuard.admx| C[跳过注册策略Schema] B -->|存在且权限正确| D[解析XML Schema生成GPO UI节点] D --> E[用户配置策略值写入Registry] E --> F[ci.dll在启动时加载PolicyRules.bin] F --> G[HVCI/HVSI内核模块强制执行代码完整性]

    八、避坑层:高频错误场景与修复指令

    • 错误复用旧版ADK模板:Windows 10 v1709的DeviceGuard.admx不兼容v22H2,导致GPEDIT崩溃——应严格匹配ADK版本与目标OS
    • 语言文件未同步部署:仅复制.admx而遗漏en-US\*.adml,导致策略显示为“未配置”灰色文本——需成对部署
    • 域环境策略继承冲突:父OU的GPO禁用Turn on Virtualization Based Security会覆盖本地策略——需检查rsop.msc结果

    九、演进层:从Device Guard到WDAC的策略范式迁移

    Windows 10 v1803起,Microsoft将Device Guard重构为WDAC,策略模型升级为基于Code Integrity Policy(CIP)的声明式策略。原Device Guard组策略仅控制HVCI开关与UWF配置,而完整应用白名单需通过Set-CIPolicySetting等PowerShell cmdlet或wdacwiz.exe图形向导生成二进制策略文件。组策略中的“Device Guard”节点实质已成为WDAC的轻量级入口,核心管控能力已下沉至内核级CI引擎。

    十、治理层:企业级WDAC策略生命周期管理框架

    建议采用Policy-as-Code模式管理WDAC:

    • 源码化:所有.xml策略文件纳入Git仓库,带语义化版本标签(如v2.1.0-enterprise-base
    • 自动化:通过Azure DevOps Pipeline调用ConvertFrom-CIPolicy并签名(SignTool sign /fd SHA256 /a /tr http://timestamp.digicert.com ...
    • 灰度发布:利用Set-RuleOption -Option 6(Audit Mode)先行采集拒绝日志,再通过Event Viewer → Applications and Services Logs → Microsoft → Windows → CodeIntegrity → Operational分析误报
    ```
    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

问题事件

  • 已采纳回答 3月1日
  • 创建了问题 2月28日