<?xml version="1.0" encoding="utf-8"?>
<!--  (c) 2015 Microsoft Corporation  -->
<policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">
  <displayName>Microsoft Windows Device Guard</displayName>
  <description>Windows Device Guard-sikkerhet</description>
  <resources>
    <stringTable>
      <string id="DeviceGuard">Device Guard</string>
      <string id="VirtualizationBasedSecurity">Aktiver virtualiseringsbasert sikkerhet</string>
      <string id="VirtualizationBasedSecurityHelp">
          Angir om virtualiseringsbasert sikkerhet er aktivert.

          Virtualiseringsbasert sikkerhet bruker Windows Hypervisor til å gi støtte for sikkerhetstjenester. Virtualiseringsbasert sikkerhet krever Sikker oppstart, og funksjonen kan aktiveres ved hjelp av DMA-beskyttelser. DMA-beskyttelser krever maskinvarestøtte og blir bare aktivert på enheter som er konfigurert på riktig måte.

          Virtualiseringsbasert beskyttelse av kodeintegritet

          Denne innstillingen aktiverer virtualiseringsbasert beskyttelse av kodeintegritet i kjernemodus. Når denne innstillingen er aktivert, trer beskyttelse av kjernemodusminne i kraft, og valideringsbanen for kodeintegritet beskyttes av funksjonen Virtualiseringsbasert sikkerhet.

          Alternativet Deaktivert slår av Virtualiseringsbasert beskyttelse av kodeintegritet eksternt hvis det tidligere var påslått med alternativet Aktivert uten lås.

          Alternativet Aktivert med UEFI-lås sørger for at Virtualiseringsbasert beskyttelse av kodeintegritet ikke kan deaktiveres eksternt. For å kunne deaktivere denne funksjonen må du angi gruppepolicyen til Deaktivert og i tillegg fjerne sikkerhetsfunksjonaliteten fra hver datamaskin, med en bruker fysisk til stede, for å kunne fjerne alle konfigurasjoner fra UEFI.

          Alternativet Aktivert uten lås tillater at Virtualiseringsbasert beskyttelse av kodeintegritet kan deaktiveres eksternt ved bruk av gruppepolicy.

          Alternativet Ikke konfigurert lar policyinnstillingen være udefinert. Gruppepolicyen skriver ikke policyinnstillingen til registeret, og dermed har den ingen innvirkning på datamaskiner eller brukere. Hvis det finnes en gjeldende innstilling i registeret, blir den ikke endret.

          Alternativet Krev attributtabellen for UEFI-minne aktiverer kun virtualiseringsbasert beskyttelse av kodeintegritet på enheter med UEFI-fastvarestøtte for attributtabellen for UEFI-minne. Enheter uten attributtabellen for UEFI-minne kan ha fastvare som er inkompatibel med virtualiseringsbasert beskyttelse av kodeintegritet, som i noen tilfeller kan føre til krasj eller datatap eller inkompatibilitet med bestemte plugin-kort. Målrettede enheter som ikke angir dette alternativet, bør testes for å sikre kompatibilitet.

          Advarsel! Alle drivere i systemet må være kompatible med denne funksjonen, ellers kan det hende at systemet krasjer. Sørg for at denne policyinnstillingen bare distribueres til datamaskiner som er kompatible.

          Credential Guard

          Denne innstillingen lar brukere aktivere Credential Guard med virtualiseringsbasert sikkerhet for å beskytte legitimasjon.

          For Windows 11 21H2 og tidligere slår alternativet Deaktivert av Credential Guard eksternt hvis det tidligere var påslått med alternativet Aktivert uten lås. For senere versjoner slår alternativet Deaktivert av Credential Guard eksternt hvis det tidligere var påslått med alternativet Aktivert uten lås eller var Ikke konfigurert.

          Alternativet Aktivert med UEFI-lås sørger for at Credential Guard ikke kan deaktiveres eksternt. For å kunne deaktivere denne funksjonen må du angi gruppepolicyen til Deaktivert og i tillegg fjerne sikkerhetsfunksjonaliteten fra hver datamaskin, med en bruker fysisk til stede, for å kunne fjerne alle konfigurasjoner fra UEFI.

          Alternativet Aktivert uten lås lar Credential Guard bli deaktivert eksternt ved hjelp av gruppepolicy. Enhetene som bruker innstillingen, må kjøre minst Windows 10 (versjon 1511).

          For Windows 11 21H2 og tidligere lar alternativet Ikke konfigurert-policyinnstillingen være udefinert. Gruppepolicyen skriver ikke policyinnstillingen til registeret, og dermed har den ingen innvirkning på datamaskiner eller brukere. Hvis det finne sen gjeldende innstilling i registeret, blir den ikke endret. Hvis det ikke er noen gjeldende innstilling i registeret for senere versjoner, aktiverer alternativet Ikke konfigurert Credential Guard uten UEFI-lås.

          Maskinidentitetsisolasjon

          Denne innstillingen kontrollerer Credential Guard-beskyttelse av Active Directory-maskinkontoer. Aktivering av denne policyen har visse forutsetninger. Du finner forutsetningene og mer informasjon om denne policyen på https://go.microsoft.com/fwlink/?linkid=2251066.

          Alternativet Ikke konfigurert lar policyinnstillingen være udefinert. Gruppepolicyen skriver ikke policyinnstillingen til registeret, og dermed har den ingen innvirkning på datamaskiner eller brukere. Hvis det finnes en gjeldende innstilling i registeret, blir den ikke endret.

          Alternativet Deaktivert slår av Maskinidentitetsisolasjon. Hvis denne policyen tidligere var angitt til Aktivert i overvåkingsmodus, kreves ingen ytterligere handlinger. Hvis denne policyen tidligere var angitt til Aktivert i håndhevelsesmodus, må sammenkoblingen av enheten oppheves og kobles til domenet på nytt. Du finner mer informasjon i koblingen over.

          Alternativet Aktivert i overvåkingsmodus kopierer maskinidentiteten til Credential Guard. Både LSA og Credential Guard vil få tilgang til maskinidentiteten. Dette tillater brukerne å validere at Aktivert i håndhevelsesmodus fungerer i Active Directory-domenet.

          Alternativet Aktivert i håndhevelsesmodus flytter maskinidentiteten til Credential Guard. Dette gjør at maskinidentiteten kun er tilgjengelig for Credential Guard.

          Sikker oppstart

          Denne innstillingen angir konfigurasjonen av Sikker oppstart for å sikre oppstartskjeden.

          Innstillingen Ikke konfigurert er standard og tillater konfigurasjon av funksjonen av Administrative brukere.

          Alternativet Aktivert slår på Sikker oppstart på støttet maskinvare.

          Alternativet Anførselstegn slår av Sikker oppstart uavhengig av maskinvarestøtte.

          Maskinvarehåndhevet stakkbeskyttelse i kjernemodus

          Denne innstillingen aktiverer maskinvarehåndhevet stakkbeskyttelse for kjernemoduskode. Når denne sikkerhetsfunksjonen er aktivert, herdes datastakker i kjernemodus med maskinvarebaserte skyggestakker, som lagrer intenderte returadressemål for å sikre at programkontrollflyten ikke manipuleres.

          Denne sikkerhetsfunksjonen har følgende forutsetninger:
          1) CPU-maskinvaren støtter maskinvarebaserte skyggestakker.
          2) Virtualiseringsbasert beskyttelse av kodeintegritet er aktivert.

          Hvis en av forutsetningene ikke er oppfylt, vil ikke denne funksjonen bli aktivert, selv om alternativet Aktivert er valgt for denne funksjonen. Vær oppmerksom på at hvis du velger alternativet Aktivert for denne funksjonen, aktiveres ikke Virtualiseringsbasert beskyttelse av kodeintegritet automatisk, som må gjøres separat.

          Enheter som aktiverer denne sikkerhetsfunksjonen, må kjøre minst Windows 11 (versjon 22H2).

          Alternativet Deaktivert slår av maskinvarehåndhevet stakkbeskyttelse i kjernemodus.

          Alternativet Aktivert i overvåkingsmodus aktiverer maskinvarehåndhevet stakkbeskyttelse i kjernemodus i overvåkingsmodus, der brudd på skyggestakk ikke er fatale og vil bli loggført i systemhendelsesloggen.

          Alternativet Aktivert i håndhevelsesmodus aktiverer maskinvarehåndhevet stakkbeskyttelse i kjernemodus i håndhevelsesmodus, der brudd på skyggestakk ikke er fatale.

          Alternativet Ikke konfigurert lar policyinnstillingen være udefinert. Gruppepolicyen skriver ikke policyinnstillingen til registeret, og dermed har den ingen innvirkning på datamaskiner eller brukere. Hvis det finnes en gjeldende innstilling i registeret, blir den ikke endret.

          Advarsel! Alle drivere i systemet må være kompatible med denne sikkerhetsfunksjonen, ellers kan det hende systemet krasjer i håndhevelsesmodus. Overvåkingsmodus kan brukes til å oppdage inkompatible drivere. For mer informasjon kan du se https://go.microsoft.com/fwlink/?LinkId=2162953.
      </string>
      <string id="SecureBoot">Sikker oppstart</string>
      <string id="SecureBootAndDmaProtection">Sikker oppstart og DMA-beskyttelse</string>
      <string id="Disabled">Deaktivert</string>
      <string id="Enabled">Aktivert</string>
      <string id="EnabledWithoutLock">Aktivert uten lås</string>
      <string id="EnabledWithUefiLock">Aktivert med UEFI-lås</string>
      <string id="EnabledAudit">Aktivert i overvåkingsmodus</string>
      <string id="EnabledEnforcement">Aktivert i håndhevelsesmodus</string>
      <string id="NotConfigured">Ikke konfigurert</string>
      <string id="ConfigCIPolicy">Distribuer Appkontroll for bedrifter</string>
      <string id="ConfigCIPolicyHelp">Distribuer appkontroll for bedrifter

Med denne policyinnstillingen kan du distribuere en policy for kodeintegritet til en maskin for å kontrollere hva som kan kjøres på den maskinen.

Hvis du distribuerer en policy for kodeintegritet, begrenser Windows hva som kan kjøres både i kjernemodus og på Windows-skrivebordet basert på policyen. Maskinen må startes på nytt for å aktivere denne policyen.

Filbanen må enten være en UNC-bane (for eksempel \\Servernavn\ShareName\SIPolicy.p7b), eller en gyldig lokal bane (for eksempel C:\FolderName\SIPolicy.p7b).  Den lokale maskinkontoen (LOCAL SYSTEM) må ha tilgangstillatelse til policyfilen.

Hvis du bruker en signert og beskyttet policy, fjerner ikke deaktivering av denne policyinnstillingen funksjonen fra datamaskinen. Du må i stedet gjøre følgende:

1) først oppdatere policyen til en ikke-beskyttet policy og deretter deaktivere innstillingen, eller
   2) deaktiver innstillingen, og fjern deretter policyen fra hver datamaskin med en gjeldende bruker.
      </string>
    </stringTable>
    <presentationTable>
      <presentation id="VirtualizationBasedSecurity">
        <dropdownList refId="RequirePlatformSecurityFeaturesDrop" defaultItem="1">Velg plattformsikkerhetsnivå:</dropdownList>
        <dropdownList refId="HypervisorEnforcedCodeIntegrityDrop" defaultItem="3">Virtualiseringsbasert beskyttelse av kodeintegritet:</dropdownList>
        <checkBox refId="CheckboxMAT">Krev attributtabellen for UEFI-minne</checkBox>
        <dropdownList refId="CredentialIsolationDrop" defaultItem="3">Konfigurasjon for Credential Guard:</dropdownList>
        <dropdownList refId="MachineIdentityIsolationDrop" defaultItem="3">Machine Identity Isolation Configuration:</dropdownList>
        <dropdownList refId="SystemGuardDrop" defaultItem="2">Konfigurasjon av sikker oppstart:</dropdownList>
        <dropdownList refId="KernelShadowStacksDrop" defaultItem="3">Kjernemodus maskinvareaktivert stakkbeskyttelse:</dropdownList>
      </presentation>
      <presentation id="ConfigCIPolicy">
        <textBox refId="ConfigCIPolicyFilePathText">
          <label>Bane til policyfil for kodeintegritet:</label>
        </textBox>
      </presentation>
    </presentationTable>
  </resources>
</policyDefinitionResources>