本文档介绍在企业客户重新生成安全核心电脑的映像并随后需要重新启用所有安全核心电脑功能的情况下，可以执行哪些步骤来还原安全核心电脑配置设置。 概括而言，本文档将介绍启用以下安全核心电脑功能（Windows 10 安全核心电脑网页上也介绍了这些功能）的步骤：

从广义上讲，安全核心电脑的设置可分为两种类别：可通过 Windows 配置的设置，以及可通过设备 UEFI 固件配置的设置。 但是，即使在这些类别中，某些 Windows 设置也要求设备固件具有特定的设置。 本文档将介绍如何从这两个角度管理这些设置，并列出支持这些设置所需的所有固件设置。

若要保护 Windows 身份验证堆栈、单一登录令牌、Windows Hello 生物识别堆栈和虚拟受信任平台模块等关键资源，系统的固件和硬件必须受信任。 Windows Defender System Guard (WDSG) 将现有的 Windows 10 系统完整性功能重新组织到一个机制下，并在 Windows 安全方面制定下一套投资方案。 它旨在做出以下安全保证：

此外，WDSG 还可以防范系统管理模式 (SMM) 攻击。 SMM 是 x86 微控制器中的一种专用 CPU 模式，可以处理电源管理、硬件配置、热监视以及制造商认为有用的任何其他功能。 每当请求其中一个系统操作时，就会在运行时调用不可屏蔽中断 (SMI)，从而执行 BIOS 安装的 SMM 代码。 SMM 代码以最高特权级别执行并且对操作系统不可见，因此成了恶意活动的有吸引力目标。 即使使用 System Guard 安全启动来延迟启动，SMM 代码也有可能能够访问虚拟机监控程序内存和更改虚拟机监控程序。

为了防范这种情况，使用了两种技术：

可以实现分页保护以将某些代码表锁定为只读，从而防止篡改。 这可以防止访问任何尚未专门分配的内存。

称作“监督器 SMI 处理程序”的硬件强制处理器功能可以监视 SMM，并确保 SMM 不会访问地址空间中它不应访问的任何部分。

SMM 保护建立在安全启动技术的基础之上，并需要此技术才能正常运行。 将来，Windows 10 还将度量此 SMI 处理程序的行为，并证明操作系统拥有的内存未遭篡改。

可以通过多种方式重新启用 WDSG 保护。 例如，若要使用 GPO 启用 WDSG 保护，可以部署“打开基于虚拟化的安全性”模板并设置安全启动配置：

以下主题介绍了有关 System Guard 安全启动启用方法的详细信息：

Windows 利用系统输入/输出内存管理单元 (IOMMU) 来阻止外部外围设备启动和执行 DMA，除非这些外围设备的驱动程序支持内存隔离（例如 DMA 重映射）。 将自动枚举、启动包含 DMA 重映射兼容驱动程序的外围设备，并允许它们执行到其分配内存区域的 DMA 重映射。

默认情况下，在已获授权的用户登录到系统或解锁屏幕之前，将阻止包含 DMA 重映射不兼容的驱动程序的外围设备启动和执行 DMA。 IT 管理员可以通过使用 DMAGuard MDM 策略并选择启用该策略，来确保将此默认行为应用于包含 DMA 重映射不兼容的驱动程序的设备。

Windows Hello 使用户能够使用其生物特征或 PIN 进行身份验证，而无需密码。 生物识别身份验证使用面部识别或指纹以安全性、个人且方便的方式证明用户的身份。 增强型登录安全性通过利用专门的硬件和软件组件（例如基于虚拟化的安全性 (VBS) 和受信任的平台模块）来隔离和保护用户的身份验证数据并保护该数据所依据的通道，从而提供更高级别的安全性被传达。

若要在自定义映像中启用 ESS，需要确保：

内存完整性也称为虚拟机监控程序保护的代码完整性 (HVCI)，是一种基于虚拟化的安全性 (VBS) 功能，可为 Windows 内核提供关键保护和强化。 它使用虚拟化将代码完整性 (CI) 决策功能与 Windows 操作系统的其他功能隔离开来，从而安全地管理内核内存以及在此高特权环境中运行的进程。 若要在为整个企业的硬件提供支持的 Windows 10 设备上启用 HVCI，请使用以下任一选项：

受信任的平台模块 (TPM) 技术设计用于提供基于硬件的安全性相关的功能。 TPM 芯片是安全加密处理器，旨在执行加密操作。 该芯片包含多个物理安全机制以使其防篡改，并且恶意软件无法篡改 TPM 的安全功能。 使用 TPM 的部分主要优势是：

最常用的 TPM 功能用于系统完整性测量以及密钥创建和使用。 在系统启动过程中，可以在 TPM 中测量并记录加载的启动代码（包括固件和操作系统组件）。 完整性测量可以用作系统启动方式的证据，并可用于确保仅当正确的软件用于启动系统时，才使用基于 TPM 的密钥。

有关如何通过 GPO 配置 TPM 的详细信息，请查看配置信息 TPM 组策略设置。 此外，可以利用 TPM cmdlet 来配置 TPM。

这两种方法都需要在设备固件中启用 TPM。

Windows 更新支持新式设备维护，设备 OEM 将为 Windows 更新提供相应的驱动程序和固件。 企业管理员只需确保其设备可由 Windows 更新维护。

在执行操作系统映像重新生成时不会修改 UEFI 设置；但是，如果用户在重新生成映像之前自行修改了 UEFI 设置，则以下功能可帮助确定设置是否正确。

由于有多个 Windows 安全核心电脑设置要求启用特定的固件设置，企业管理员需要直接在目标设备上配置这些设置，或者通过 OEM 部署工具来部署固件设置。

这些工具可直接从 OEM 获取，不属于本文档的讨论范围。 Microsoft 在管理和部署 Surface 驱动程序与固件更新中提供了有关如何对 Microsoft Surface 设备执行此操作的信息。

安全启动是电脑行业成员开发的一种安全标准，用于帮助确保设备仅使用受原始设备制造商 (OEM) 信任的软件进行启动。 当电脑启动时，固件会检查每个启动软件片段的签名，包括 UEFI 固件驱动程序（也称为选项 ROM）、EFI 应用程序和操作系统。 如果签名有效，则电脑将会启动，而固件会将控制权转递给操作系统。

OEM 可以使用固件制造商提供的指令创建安全启动密钥，并将其存储在电脑固件中。 企业管理员需要使用其 OEM 固件设置分发工具来部署所需的安全启动固件设置。 有关如何在固件中启用和禁用安全启动的一般介绍，请查看启用安全启动。

若要支持运行虚拟机和多个 Windows 安全服务，设备必须在设备固件中启用虚拟化。 固件中的选项取决于设备是 Intel 还是 AMD 平台。 对于使用 Intel 平台的设备，需要启用“Intel 虚拟化技术 (Intel VT)”；对于使用 AMD 平台的设备，需要启用“AMD 虚拟化 (AMD-V) 技术”。