Merge pull request #33 from Harvester57/Harvester57/issue32

Harvester57 · web-flow · commit 29d9b339572a · 2024-11-03T13:51:44.000+01:00
Add Mandatory flag configuration policy for Virtualization Based Security
diff --git a/AdditionalHardening.admx b/AdditionalHardening.admx
@@ -1,8 +1,8 @@
 <?xml version="1.0" encoding="utf-8"?>
 <!--  
   Author: Florian Stosse <florian.stosse@gmail.com>
-  Version: 1.0.35
-  Date: 2024-10-18
+  Version: 1.0.36
+  Date: 2024-11-03
 -->
 <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0"
@@ -77,6 +77,17 @@
 
 
     -->
+    <!-- Launch VBS in Mandatory mode -->
+    <policy name="MandatoryVBS" class="Machine" displayName="$(string.MandatoryVBS)" explainText="$(string.MandatoryVBS_Explain)" key="CurrentControlSet\Control\DeviceGuard" valueName="Mandatory">
+      <parentCategory ref="System" />
+      <supportedOn ref="windows:SUPPORTED_Windows_10_0" />
+      <enabledValue>
+        <decimal value="1" />
+      </enabledValue>
+      <disabledValue>
+        <decimal value="0" />
+      </disabledValue>
+    </policy>
     <policy name="AcrobatAI" class="Machine" displayName="$(string.AcrobatAI)" explainText="$(string.AcrobatAI_Help)" key="SOFTWARE\Policies\Adobe\Adobe Acrobat\DC\FeatureLockDown" valueName="bEnableGentech">
       <parentCategory ref="Adobe" />
       <supportedOn ref="windows:SUPPORTED_Windows_10_0" />
diff --git a/CHANGELOG.md b/CHANGELOG.md
@@ -3,6 +3,10 @@ All notable changes to this project will be documented in this file.
 
 The format is based on [Keep a Changelog](https://keepachangelog.com/en/1.0.0/).
 
+## [v1.0.36] - 2024-11-03
+### Added
+- New policy to configure the Mandatory mode for Virtualization-Based Security
+
 ## [v1.0.35] - 2024-10-18
 ### Added
 - New policy to configure the behavior of the Sudo command, introduced in Windows 11 24H2
diff --git a/en-US/AdditionalHardening.adml b/en-US/AdditionalHardening.adml
@@ -333,6 +333,20 @@ It is recommended to use the default behavior and let the Sudo command open a ne
       <string id="SudoCommand_Option2">Disable inputs</string>
       <string id="SudoCommand_Option3">Run in the current window</string>
       <string id="SudoCommand_Option4">Disable the functionnality</string>
+      <string id="MandatoryVBS">Enable Virtualization-Based Security in Mandatory mode</string>
+      <string id="MandatoryVBS_Explain">This policy will enable the Virtualization-Based Security (VBS) function in Mandatory mode.
+
+Mandatory mode is a new functionnality introduced to prevent the Windows Downdate attack (and other related dowgrading attacks) by forcing the verification of the components of the Secure Kernel and the hypervisor at boot time. Consequently, enabling this functionnality can lead to boot failure (and a denial of service) in case of a modification of a core component of Secure Kernel, hypervisor or a related dependant module.
+
+NOTE: if you already have Virtualization-Based Security enabled with UEFI Lock, this setting will not do anything, as the VBS configuration is already written and locked in a UEFI variable. This variable needs to be deleted using the bcdedit.exe tool before deploying the Mandatory flag and the UEFI Lock. Guidance and more informations about this procedure are available here:
+
+https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/configure?tabs=reg#disable-virtualization-based-security
+
+Enabling this policy will set the Mandatory flag and force the verification of the VBS components at boot time.
+
+Enabling this policy with UEFI Lock already enabled wil do nothing.
+
+Disabling this policy will disable the verification of the components, only if the UEFI Lock is not enabled. Otherwise, disabling this policy will do nothing.</string>
       <string id="CoInstallers">Block drivers co-installers applications</string>
       <string id="CoInstallers_Help">A co-installer is a user-mode Win32 DLL that typically writes additional configuration information to the registry, or performs other installation tasks that require information that is not available when an INF is written.
 
diff --git a/fr-FR/AdditionalHardening.adml b/fr-FR/AdditionalHardening.adml
@@ -335,6 +335,20 @@ Il est recommandé d'utiliser le comportement par défaut d'ouverture dans une n
 			<string id="SudoCommand_Option2">Désactiver les entrées/sorties du nouveau processus</string>
 			<string id="SudoCommand_Option3">Exécuter dans la fenêtre courante</string>
 			<string id="SudoCommand_Option4">Désactiver la fonctionnalité</string>
+			<string id="MandatoryVBS">Activer la sécurité basée sur la virtualisation en mode Obligatoire</string>
+      		<string id="MandatoryVBS_Explain">Cette politique contrôle l'activation du mode Obligatoire pour la sécurité basée sur la virtualisation (VBS).
+
+Le mode Obligatoire est une nouvelle fonctionnalité introduite pour prévenir les attaques par rétrogadation (Windows Downdate notamment) affectant les composants liés à la sécurité basée sur la virtualisation, comme le Secure Kernel et les composants de l'hyperviseur. Ce mode force la vérification en intégrité et en version lors du démarrage de ces composants, ce qui peut également conduire à un déni de service au démarrage du système si une violation est détectée.
+
+NOTE : si la sécurité basée sur la virtualisation est déjà activée avec un verrouillage par l'UEFI, cette politique est sans effet, car la politique de sécurité de la fonction VBS est inscrite dans une variable UEFI non modifiable par le système. Cette variable doit être effacée à l'aide de l'utilitaire bcedit.exe avant d'activer le mode Obligatoire et de re-activer le verrouillage par UEFI de la nouvelle politique. La procédure de désactivation est documentée par Microsoft :
+
+https://learn.microsoft.com/fr-fr/windows/security/identity-protection/credential-guard/configure?tabs=reg#disable-virtualization-based-security
+
+Activer cette politique activera le mode Obligatoire et forcera la vérification des composants liés à la VBS au démarrage.
+
+Activer cette politique si le verrouillage UEFI est actif est sans effet.
+
+Désactiver cette politique désactivera le mode Obligatoire, seulement si le verrouillage UEFI n'est pas activé. Autrement, désactiver cette politique est sans effet.</string>
 			<string id="CoInstallers">Bloquer l'installation des co-installeurs des pilotes matériels</string>
 			<string id="CoInstallers_Help">Un co-installeur est une librairie Win32 en espace utilisateur qui complète l'installation d'un driver en effectuant des tâches de configuration annexes (écriture Registre, installation d'application additionnelle, etc) non disponibles dans un fichier INF standard.
 
