windows怎么截图 windows怎么实时保护

需要确认硬件支持UEFI安全启动、CPU虚拟化和SLAT，系统为Win10企业版或Server 2016+；重新生成部署CI策略XML并编译为SiPolicy.p7b；然后通过组策略或注册表启用HVCI；最后重新启动Device Guard状态验证、驱动程序身份验证和日志事件。

如果要在Windows系统中启用Device Guard，Device Guard对设备进行保护，并通过代码完整性策略限制仅可信程序运行，那么就需要配置基于虚拟化的安全机制和定制化的CI策略。以下是实现这一目标的具体步骤： 1. 验证硬件和系统要求

Device Guard 依赖于 UEFI 安全启动、CPU 虚拟化扩展（Intel VT-x 或 AMD-V）以及支持 SLAT 的处理器。技术。

1、按Win+R打开运行窗口，输入msinfo32，然后检查“安全启动状态”是否为“打开”。 Select-Object Name, VirtualizationFirmwareEnabled, SecondLevelAddressTranslationExtensions, 电影两长图像值均为True。

3、运行bcdedit /enum {current}，验证输出是否存在hypervisorlaunchtype Auto条目；若最作，电影bcdedit /set {current} hypervisorlaunchtype auto并重新启动。 2.生成和部署代码完整性策略

代码完整性（CI）策略以XML格式定义允许的驱动程序、内核模块和用户态二进制文件签名规则，需要使用Windows SDK的ConvertFrom-CIPolicy和Set-RuleOption命令构建可靠的白名单。

1、安装Windows 10 SDK（包括CiTool和PolicyTools模块），确保可以在Windows 10 SDK中调用Get-CIPolicy命令PowerShell。

2、在干净的环境中收集合法的程序签名信息：执行New-CIPolicy -Level FileHash -FilePath C:\Temp\Baseline.xml -Fallback Hash -UserPE，根据文档生成初始策略。 "C:\Drivers\*.sys" -Level Publisher，插入已内容进行手机银。

4、关闭签名测试模式并启用强制审计：在XML策略中找到节点，插入，并设置和。 5、将XML编译为二进制策略：执行ConvertFrom-CIPolicy C:\Temp\Baseline.xml C:\Temp\SiPolicy.p7b，生成可部署的签名策略文件。 01Agent

多呵AI图文电视电影体下载三、启用基于虚拟化代码完整性（HVCI）

HVCI利用硬件虚拟化隔离内核内存页表，防止未签名代码修改关键内核结构，是设备运行Guard的必备条件。该功能无法通过图形界面激活，必须通过组策略或注册表激活。

1、打开组策略编辑器（gpedit.msc），导航至“计算机配置→模板管理→系统→Device Guard”，启用“启用基于虚拟化的安全”策略。

2、在同一路径中，启用“启用基于虚拟化的安全”策略，并将“配置代码完整性策略”设置为指向C:\Windows\System32\CodeIntegrity\SIPolicy.p7b。

3、无法使用策略组，手动导入游戏表长：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity下新新DWORD值Enabled，任而1；新方Locked值任而1。

4、将编译好的SiPolicy.p7b复制到C:\Windows\System32\CodeIntegrity\，重命名为SIPolicy.p7b，覆盖默认文件。四、验证Device Guard运行状态

策略部署完成后，验证HVCI是否真正启用，CI策略是否加载成功，避免因开机配置错误导致保护失败。系统日志和内核对象状态是核心判断依据。

1、重启后，以管理员身份运行PowerShell，执行Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuardSecurity，检查VirtualizationBasedStatus字段是否为Running。

2、执行Get-SystemDriver | Where-Object {$_.AttestationStatus -ne "NotRequired"} | Format-List FileName, AttestationStatus，确认驱动密钥显示Allowed或Required状态。

3、运行certutil -displaystore -v CodeIntegrity，检查存储中是否存在证书签名策略及其时间戳是否有效。

4、检查“Applications and Service Log→Microsoft→Windows→CodeIntegrity→Operational”日志中的事件，检查策略应用是否成功。