Я пытаюсь настроить политику целостности кода DeviceGuard UMCI, чтобы протестировать несколько приложений, но, судя по всему, я не могу заставить свою политику целостности кода вступить в силу и применить ее на практике.
Я уже использовал инструмент готовности, чтобы подтвердить, что мое оборудование настроено правильно и что DeviceGuard, HVCI и CredentialGuard включены:
Credential-Guard is enabled and running.
HVCI is enabled and running.
Config-CI is enabled and running. (Audit mode)
HVCI, Credential-Guard, and Config-CI are enabled and running.
Инструмент готовности содержит пример конфигурации, DefaultWindows_Enforced.xml с установленным UMCI:
<Rule>
<Option>Enabled:UMCI</Option>
</Rule>
Однако при использовании этой политики я все еще могу выполнять неподписанные исполняемые файлы и сценарии.
Затем я попытался использовать командлет New-CIPolicy, как описано здесь . Я выполнил следующие команды для создания новой политики:
$CIPolicyInit = "C:\Users\user\Desktop\policy.xml"
New-CIPolicy -FilePath $CIPolicyInit -Level Publisher -UserPEs -ScanPath 'c:\windows\system32'
Set-RuleOption -FilePath $CIPolicyInit -Option 3 -Delete
Set-RuleOption -FilePath $CIPolicyInit -Option 9
Set-RuleOption -FilePath $CIPolicyInit -Option 10
ConvertFrom-CIPolicy $CIPolicyInit '.\DeviceGuardPolicy.bin'
После этого я развернул свой новый .bin-файл и перезагрузил компьютер, получив тот же результат, что и при использовании файла из инструмента готовности - я все еще могу запускать неподписанные / ненастроенные исполняемые файлы и сценарии.
msinfo32 сообщает, что защита на основе виртуализации Device Guard работает, и политика целостности кода Device Guard, а также пользовательский режим Device Guard обеспечивают целостность кода.
Есть ли способ устранить эту проблему? Вероятно, я должен отметить, что я тестирую виртуальную машину, но у меня есть Intel VT-x и виртуализированный IOMMU.