Nastavení Windows, která můžete spravovat prostřednictvím profilu Intune Endpoint Protection

Článek
11/14/2023

Poznámka

Intune může podporovat více nastavení, než jsou nastavení uvedená v tomto článku. Ne všechna nastavení jsou zdokumentovaná a nebudou zdokumentována. Pokud chcete zobrazit nastavení, která můžete konfigurovat, vytvořte zásady konfigurace zařízení a vyberte Katalog nastavení. Další informace najdete v katalogu Nastavení.

Microsoft Intune obsahuje mnoho nastavení, která pomáhají chránit vaše zařízení. Tento článek popisuje nastavení v šabloně Endpoint Protection konfigurace zařízení. Ke správě zabezpečení zařízení můžete také použít zásady zabezpečení koncových bodů, které se zaměřují přímo na podmnožinu zabezpečení zařízení. Informace o konfiguraci Microsoft Defender Antivirové ochrany najdete v tématu Omezení zařízení s Windows nebo Použití zásad antivirové ochrany zabezpečení koncového bodu.

Než začnete

Vytvořte konfigurační profil zařízení ochrany koncového bodu.

Další informace o poskytovateli konfiguračních služeb (CSP) najdete v tématu Referenční informace o poskytovateli konfiguračních služeb.

Ochrana Application Guard v programu Microsoft Defender

V prohlížeči Microsoft Edge Ochrana Application Guard v programu Microsoft Defender chrání vaše prostředí před weby, kterým vaše organizace nedůvěřuje. V Ochrana Application Guard se weby, které nejsou v izolované hranici sítě, otevírají v relaci virtuálního procházení Hyper-V. Důvěryhodné lokality jsou definovány hranicí sítě, která se konfiguruje v konfiguraci zařízení. Další informace najdete v tématu Vytvoření hranice sítě na zařízeních s Windows.

Ochrana Application Guard je k dispozici jenom pro 64bitová zařízení s Windows. Pomocí tohoto profilu se nainstaluje součást Win32 pro aktivaci Ochrana Application Guard.

Ochrana Application Guard
Výchozí: Nenakonfigurováno
Ochrana Application Guard CSP: Nastavení/AllowWindowsDefenderApplicationGuard
- Povoleno pro Edge – zapne tuto funkci, která otevře nedůvěryhodné weby ve virtualizovaném kontejneru procházení Hyper-V.
- Nenakonfigurováno – Na zařízení se může otevřít jakýkoli web (důvěryhodný i nedůvěryhodný).
Chování schránky
Výchozí: Nenakonfigurováno
Ochrana Application Guard CSP: Nastavení/SchránkaNastavení

Zvolte, jaké akce kopírování a vkládání jsou povolené mezi místním počítačem a Ochrana Application Guard virtuálním prohlížečem.
- Nenakonfigurováno
- Povolit kopírování a vkládání jenom z počítače do prohlížeče
- Povolit kopírování a vkládání jenom z prohlížeče do počítače
- Povolit kopírování a vkládání mezi počítačem a prohlížečem
- Blokování kopírování a vkládání mezi počítačem a prohlížečem
Obsah schránky
Toto nastavení je dostupné jenom v případě, že je chování schránky nastavené na jedno z nastavení povolit .
Výchozí: Nenakonfigurováno
Ochrana Application Guard CSP: Settings/ClipboardFileType

Vyberte povolený obsah schránky.
- Nenakonfigurováno
- Text
- Obrázky
- Text a obrázky
Externí obsah na webech organizace
Výchozí: Nenakonfigurováno
Ochrana Application Guard CSP: Settings/BlockNonEnterpriseContent
- Blokovat – zablokuje načítání obsahu z neschválaných webů.
- Nenakonfigurováno – Na zařízení se můžou otevřít jiné než podnikové weby.
Tisk z virtuálního prohlížeče
Výchozí: Nenakonfigurováno
Ochrana Application Guard CSP: Nastavení/TiskNastavení
- Povolit – Povolí tisk vybraného obsahu z virtuálního prohlížeče.
- Nenakonfigurováno Zakažte všechny funkce tisku.
Když povolíte tisk, můžete nakonfigurovat následující nastavení:
- Typy tisku Vyberte jednu nebo více z následujících možností:
  - PDF
  - XPS
  - Místní tiskárny
  - Síťové tiskárny
Shromažďování protokolů
Výchozí: Nenakonfigurováno
Ochrana Application Guard CSP: Audit/AuditApplicationGuard
- Povolit – shromážděte protokoly pro události, ke kterým dochází v rámci relace procházení Ochrana Application Guard.
- Nenakonfigurováno – Neshromažďujte žádné protokoly v rámci relace procházení.
Zachování dat vygenerovaných uživatelem v prohlížeči
Výchozí: Nenakonfigurováno
Ochrana Application Guard CSP: Nastavení/AllowPersistence
- Povolit Ukládejte uživatelská data (například hesla, oblíbené položky a soubory cookie), která se vytvoří během Ochrana Application Guard virtuální relace procházení.
- Nenakonfigurováno Soubory a data stažené uživatelem můžete zahodit při restartování zařízení nebo při odhlášení uživatele.
Akcelerace grafiky
Výchozí: Nenakonfigurováno
Ochrana Application Guard CSP: Nastavení/AllowVirtualGPU
- Povolit – Načítáte weby a videa náročné na grafiku rychleji tím, že tečete přístup k virtuální jednotce pro zpracování grafiky.
- Nenakonfigurováno Použít procesor zařízení pro grafiku; Nepoužívejte virtuální jednotku pro zpracování grafiky.
Stažení souborů do hostitelského systému souborů
Výchozí: Nenakonfigurováno
Ochrana Application Guard CSP: Nastavení/SaveFilesToHost
- Povolit – uživatelé můžou stahovat soubory z virtualizovaného prohlížeče do hostitelského operačního systému.
- Nenakonfigurováno – Zachová soubory v místním prostředí zařízení a nestahuje soubory do hostitelského systému souborů.

Windows Firewall

Globální nastavení

Tato nastavení platí pro všechny typy sítí.

File Transfer Protocol
Výchozí: Nenakonfigurováno
Firewall CSP: MdmStore/Global/DisableStatefulFtp
- Blokovat – Zakažte stavový PROTOKOL FTP.
- Nenakonfigurováno – Brána firewall používá stavové filtrování FTP, aby umožňovala sekundární připojení.
Doba nečinnosti přidružení zabezpečení před odstraněním
Výchozí: Nenakonfigurováno
Firewall CSP: mdmStore/Global/SaIdleTime

Zadejte dobu nečinnosti v sekundách, po které se přidružení zabezpečení odstraní.
Kódování předsdílený klíč
Výchozí: Nenakonfigurováno
Firewall CSP: MdmStore/Global/PresharedKeyEncoding
- Povolit – kóduje předpřipravené klíče pomocí UTF-8.
- Nenakonfigurováno – Kódujte předem připravené klíče pomocí hodnoty místního úložiště.
Výjimky protokolu IPsec
Výchozí hodnota: 0 vybráno
Firewall CSP: MdmStore/Global/IPsecExempt

Vyberte jeden nebo více z následujících typů provozu, které mají být vyloučeny z protokolu IPsec:
- Soused zjistí kódy typů PROTOKOLU ICMP IPv6
- ICMP
- Směrovač zjišťuje kódy typů PROTOKOLU ICMP IPv6
- Síťový provoz DHCP IPv4 i IPv6
Ověření seznamu odvolaných certifikátů
Výchozí: Nenakonfigurováno
Firewall CSP: MdmStore/Global/CRLcheck

Zvolte, jak zařízení ověří seznam odvolaných certifikátů. Mezi možnosti patří:
- Zakázání ověření seznamu CRL
- Neúspěšné ověření seznamu CRL pouze u odvolaných certifikátů
- Neúspěšné ověření seznamu CRL u jakékoli chyby, ke které došlo.
Oportunisticky shodná sada ověřování podle modulu klíče
Výchozí: Nenakonfigurováno
Firewall CSP: MdmStore/Global/OpportunisticicallyMatchAuthSetPerKM
- Povolit Moduly pro klíče musí ignorovat jenom sady ověřování, které nepodporují.
- Nenakonfigurováno, moduly keying musí ignorovat celou sadu ověřování, pokud nepodporují všechny sady ověřování zadané v sadě.
Řazení paketů do fronty
Výchozí: Nenakonfigurováno
Firewall CSP: MdmStore/Global/EnablePacketQueue

Určete, jak má být povoleno škálování softwaru na straně příjmu pro šifrovaný příjem a přeposílání nezašifrovaného textu pro scénář brány tunelu IPsec. Toto nastavení potvrzuje, že pořadí paketů je zachováno. Mezi možnosti patří:
- Nenakonfigurováno
- Zakázat všechny řazení paketů do fronty
- Fronta pouze příchozích šifrovaných paketů
- Po dešifrování se pakety ve frontě provádí pouze pro přeposílání
- Konfigurace příchozích i odchozích paketů

Nastavení sítě

Následující nastavení jsou uvedena v tomto článku jednou, ale všechna se vztahují na tři konkrétní typy sítí:

Doménová (pracovní) síť
Privátní (zjistitelná) síť
Veřejná (nezjišťovatelná) síť

Obecné

Windows Firewall
Výchozí: Nenakonfigurováno
CSP brány firewall: EnableFirewall
- Povolit – Zapněte bránu firewall a pokročilé zabezpečení.
- Nenakonfigurováno Povolí veškerý síťový provoz bez ohledu na další nastavení zásad.
Neviditelný režim
Výchozí: Nenakonfigurováno
Firewall CSP: DisableStealthMode
- Nenakonfigurováno
- Blokovat – brána firewall není v neviditelném režimu zablokovaná. Blokování neviditelného režimu umožňuje také blokovat výjimku zabezpečeného paketu IPsec.
- Allow – brána firewall funguje v neviditelném režimu, který pomáhá zabránit reakcím na zkušební požadavky.
Výjimka paketů zabezpečená protokolem IPsec s neviditelným režimem
Výchozí: Nenakonfigurováno
Firewall CSP: DisableStealthModeIpsecSecuredPacketExemption

Pokud je neviditelný režim nastavený na Blokovat, tato možnost se ignoruje.
- Nenakonfigurováno
- Blokovat – pakety zabezpečené protokolem IPSec nedostávají výjimky.
- Povolit – Povolte výjimky. Neviditelný režim brány firewall NESMÍ bránit hostitelskému počítači v reakci na nevyžádaný síťový provoz zabezpečený protokolem IPsec.
Stíněné
Výchozí: Nenakonfigurováno
Firewall CSP: Stíněný
- Nenakonfigurováno
- Blokovat – pokud je brána Windows Firewall zapnutá a toto nastavení je nastavené na Blokovat, veškerý příchozí provoz se zablokuje bez ohledu na další nastavení zásad.
- Povolit – Pokud je toto nastavení nastavené na Povolit, je vypnuté a příchozí provoz je povolený na základě dalších nastavení zásad.
Jednosměrové odpovědi na vícesměrová vysílání
Výchozí: Nenakonfigurováno
Firewall CSP: DisableUnicastResponsesToMulticastBroadcast

Obvykle nechcete přijímat jednosměrové odpovědi na vícesměrové nebo vysílané zprávy. Tyto odpovědi můžou znamenat útok dos (DoS) nebo útočníka, který se pokouší testovat známý živý počítač.
- Nenakonfigurováno
- Blokovat – zakažte jednosměrové odpovědi na vícesměrová vysílání.
- Povolit – Povolí jednosměrové odpovědi na vícesměrová vysílání.
Příchozí oznámení
Výchozí: Nenakonfigurováno
Firewall CSP: DisableInboundNotifications
- Nenakonfigurováno
- Blokovat – skryje oznámení, která se mají použít, když má aplikace blokované naslouchání na portu.
- Povolit – povolí toto nastavení a může uživatelům zobrazit oznámení, když je aplikace blokovaná v naslouchání na portu.
Výchozí akce pro odchozí připojení
Výchozí: Nenakonfigurováno
Firewall CSP: DefaultOutboundAction

Nakonfigurujte výchozí akci, kterou brána firewall provádí u odchozích připojení. Toto nastavení se použije pro Windows verze 1809 a novější.
- Nenakonfigurováno
- Blokovat – výchozí akce brány firewall se nespustí pro odchozí provoz, pokud není explicitně určená, aby neblokovala.
- Povolit – výchozí akce brány firewall se spouštějí u odchozích připojení.
Výchozí akce pro příchozí připojení
Výchozí: Nenakonfigurováno
Firewall CSP: DefaultInboundAction
- Nenakonfigurováno
- Blokovat – výchozí akce brány firewall se nespustí u příchozích připojení.
- Povolit – výchozí akce brány firewall se spouštějí u příchozích připojení.

Slučování pravidel

Pravidla brány Windows Firewall autorizovaných aplikací z místního úložiště
Výchozí: Nenakonfigurováno
Firewall CSP: AuthAppsAllowUserPrefMerge
- Nenakonfigurováno
- Blokovat – autorizovaná pravidla firewallu aplikací v místním úložišti se ignorují a nevynucují.
- Povolit – zvolte Povolit : Použije pravidla brány firewall v místním úložišti, aby byla rozpoznána a vynucována.
Globální pravidla brány Windows Firewall portu z místního úložiště
Výchozí: Nenakonfigurováno
Firewall CSP: GlobalPortsAllowUserPrefMerge
- Nenakonfigurováno
- Blokovat – globální pravidla brány firewall portů v místním úložišti se ignorují a nevynucují.
- Povolit – použití globálních pravidel brány firewall portů v místním úložišti, která se mají rozpoznat a vynutit.
Pravidla brány Windows Firewall z místního úložiště
Výchozí: Nenakonfigurováno
Firewall CSP: AllowLocalPolicyMerge
- Nenakonfigurováno
- Blokovat – pravidla brány firewall z místního úložiště se ignorují a nevynucují.
- Povolit – použití pravidel brány firewall v místním úložišti, která se mají rozpoznat a vynutit.
Pravidla protokolu IPsec z místního úložiště
Výchozí: Nenakonfigurováno
Firewall CSP: AllowLocalIpsecPolicyMerge
- Nenakonfigurováno
- Blok – pravidla zabezpečení připojení z místního úložiště se ignorují a nevynucují bez ohledu na verzi schématu a pravidla zabezpečení připojení.
- Povolit – Použije pravidla zabezpečení připojení z místního úložiště bez ohledu na verzi schématu nebo pravidel zabezpečení připojení.

Pravidla brány firewall

Můžete přidat jedno nebo více vlastních pravidel brány firewall. Další informace najdete v tématu Přidání vlastních pravidel brány firewall pro zařízení s Windows.

Vlastní pravidla brány firewall podporují následující možnosti:

Obecná nastavení

Název
Výchozí:Bez názvu

Zadejte popisný název pravidla. Tento název se zobrazí v seznamu pravidel, abyste ho mohli identifikovat.
Popis
Výchozí:Žádný popis

Zadejte popis pravidla.
Směr
Výchozí: Nenakonfigurováno
Firewall CSP: FirewallRules/FirewallRuleName/Direction

Určete, jestli se toto pravidlo vztahuje na příchozí nebo odchozí provoz. Pokud je nastaveno na Nenakonfigurováno, pravidlo se automaticky použije na odchozí provoz.
Akce
Výchozí: Nenakonfigurováno
Firewall CSP: FirewallRules/FirewallRuleName/Action a FirewallRules/FirewallRuleName/Action/Type

Vyberte Povolit nebo Blokovat. Pokud je nastaveno na Nenakonfigurováno, pravidlo ve výchozím nastavení povoluje provoz.
Typ sítě
Výchozí hodnota: 0 vybráno
Firewall CSP: FirewallRules/FirewallRuleName/Profiles

Vyberte až tři typy síťových typů, do kterých toto pravidlo patří. Mezi možnosti patří Doména, Soukromé a Veřejné. Pokud nejsou vybrány žádné typy sítí, pravidlo se použije pro všechny tři typy sítí.

Nastavení aplikace

Aplikace
Výchozí: Vše

Řízení připojení pro aplikaci nebo program Aplikace a programy je možné zadat pomocí cesty k souboru, názvu řady balíčků nebo názvu služby:
- Název rodiny balíčků – Zadejte název rodiny balíčků. Pokud chcete najít název rodiny balíčků, použijte příkaz PowerShellu Get-AppxPackage.
  Firewall CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName
- Cesta k souboru – Musíte zadat cestu k souboru k aplikaci na klientském zařízení, což může být absolutní cesta nebo relativní cesta. Příklad: C:\Windows\System\Notepad.exe nebo %WINDIR%\Notepad.exe.
  Firewall CSP: FirewallRules/FirewallRuleName/App/FilePath
- Služba pro Windows – Zadejte krátký název služby pro Windows, pokud se jedná o službu, a ne o aplikaci, která odesílá nebo přijímá provoz. Krátký název služby najdete pomocí příkazu PowerShellu Get-Service.
  Firewall CSP: FirewallRules/FirewallRuleName/App/ServiceName
- Vše – Nevyžaduje se žádná konfigurace.

Nastavení IP adresy

Zadejte místní a vzdálené adresy, na které se toto pravidlo vztahuje.

Místní adresy
Výchozí: Libovolná adresa
Firewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges

Vyberte Libovolná adresa nebo Zadaná adresa.

Pokud použijete zadanou adresu, přidáte jednu nebo více adres jako seznam místních adres oddělených čárkami, na které se pravidlo vztahuje. Mezi platné tokeny patří:
- Pro libovolnou místní adresu použijte hvězdičku*. Pokud používáte hvězdičku, musí to být jediný token, který používáte.
- Zadejte podsíť pomocí masky podsítě nebo zápisu předpony sítě. Pokud není zadaná maska podsítě nebo předpona sítě, použije se jako výchozí maska podsítě 255.255.255.255.
- Platná adresa IPv6.
- Rozsah IPv4 adres ve formátu počáteční adresa – koncová adresa bez mezer.
- Rozsah IPv6 adres ve formátu počáteční adresa – koncová adresa bez mezer.
Vzdálené adresy
Výchozí: Libovolná adresa
Firewall CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

Vyberte Libovolná adresa nebo Zadaná adresa.

Když použijete zadanou adresu, přidáte jednu nebo více adres jako seznam vzdálených adres oddělených čárkami, na které se pravidlo vztahuje. V tokenech se nerozlišují malá a velká písmena. Mezi platné tokeny patří:
- Pro libovolnou vzdálenou adresu použijte hvězdičku "*". Pokud používáte hvězdičku, musí to být jediný token, který používáte.
- Defaultgateway
- DHCP
- DNS
- WINS
- Intranet (podporováno ve Windows verze 1809 a novějších)
- RmtIntranet (podporováno ve Windows verze 1809 a novějších)
- Internet (podporováno ve Windows verze 1809 a novějších)
- Ply2Renders (podporováno ve Windows verze 1809 a novějších)
- LocalSubnet označuje jakoukoli místní adresu v místní podsíti.
- Zadejte podsíť pomocí masky podsítě nebo zápisu předpony sítě. Pokud není zadaná maska podsítě nebo předpona sítě, použije se jako výchozí maska podsítě 255.255.255.255.
- Platná adresa IPv6.
- Rozsah IPv4 adres ve formátu počáteční adresa – koncová adresa bez mezer.
- Rozsah IPv6 adres ve formátu počáteční adresa – koncová adresa bez mezer.

Nastavení portu a protokolu

Zadejte místní a vzdálené porty, na které se toto pravidlo vztahuje.

Protocol (Protokol)
Výchozí: Libovolný
Firewall CSP: FirewallRules/FirewallRuleName/Protocol
Vyberte některou z následujících možností a dokončete všechny požadované konfigurace:
- Vše – Není k dispozici žádná konfigurace.
- TCP – konfigurace místních a vzdálených portů Obě možnosti podporují Všechny porty nebo Zadané porty. Zadejte zadané porty pomocí seznamu odděleného čárkami.
  - Místní porty – Firewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges
  - Vzdálené porty – Firewall CSP: FirewallRules/FirewallRuleName/RemotePortRanges
- UDP – konfigurace místních a vzdálených portů Obě možnosti podporují Všechny porty nebo Zadané porty. Zadejte zadané porty pomocí seznamu odděleného čárkami.
  - Místní porty – Firewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges
  - Vzdálené porty – Firewall CSP: FirewallRules/FirewallRuleName/RemotePortRanges
- Vlastní – zadejte vlastní číslo protokolu od 0 do 255.

Pokročilá konfigurace

Typy rozhraní
Výchozí hodnota: 0 vybráno
Firewall CSP: FirewallRules/FirewallRuleName/InterfaceTypes

Vyberte některou z následujících možností:
- Vzdálený přístup
- Bezdrátové
- Místní síť
Povolit pouze připojení od těchto uživatelů
Výchozí: Všichni uživatelé (výchozí hodnota pro všechny použití, pokud není zadaný žádný seznam)
Firewall CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

Zadejte seznam autorizovaných místních uživatelů pro toto pravidlo. Pokud toto pravidlo platí pro službu Windows, není možné zadat seznam autorizovaných uživatelů.

Microsoft Defender nastavení filtru SmartScreen

Na zařízení musí být nainstalovaný Microsoft Edge.

Filtr SmartScreen pro aplikace a soubory
Výchozí: Nenakonfigurováno
SmartScreen CSP: SmartScreen/EnableSmartScreenInShell
- Nenakonfigurováno – Zakáže používání filtru SmartScreen.
- Povolit – povolí filtr Windows SmartScreen pro spouštění souborů a spuštěné aplikace. SmartScreen je cloudová anti-phishingová a antimalwarová komponenta.
Provádění neověřených souborů
Výchozí: Nenakonfigurováno
SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell
- Nenakonfigurováno – Zakáže tuto funkci a umožní koncovým uživatelům spouštět soubory, které nebyly ověřeny.
- Blokovat – Zabrání koncovým uživatelům ve spouštění souborů, které nebyly ověřeny filtrem Windows SmartScreen.

Šifrování Windows

Nastavení Windows

Šifrování zařízení
Výchozí: Nenakonfigurováno
BitLocker CSP: RequireDeviceEncryption
- Vyžadovat – zobrazí výzvu uživatelům, aby povolili šifrování zařízení. V závislosti na edici Windows a konfiguraci systému se uživatelům může zobrazit dotaz:
  - Ověření, že šifrování od jiného poskytovatele není povolené.
  - Musíte vypnout nástroj BitLocker Drive Encryption a pak nástroj BitLocker znovu zapnout.
- Nenakonfigurováno
Pokud je šifrování Windows zapnuté, když je aktivní jiná metoda šifrování, může být zařízení nestabilní.

Základní nastavení nástroje BitLocker

Základní nastavení jsou univerzální nastavení Nástroje BitLocker pro všechny typy datových jednotek. Tato nastavení spravují úlohy šifrování jednotek nebo možnosti konfigurace, které může koncový uživatel upravovat napříč všemi typy datových jednotek.

Upozornění pro jiné šifrování disku
Výchozí: Nenakonfigurováno
BitLocker CSP: AllowWarningForOtherDiskEncryption
- Blokovat – Pokud je v zařízení jiná služba šifrování disku, zakažte výzvu k upozornění.
- Nenakonfigurováno – Povolí zobrazení upozornění na jiné šifrování disku.
Tip

Pokud chcete nástroj BitLocker nainstalovat automaticky a bezobslužně na zařízení, které je Microsoft Entra připojené a používá Windows 1809 nebo novější, musí být toto nastavení nastavené na Blokovat. Další informace najdete v tématu Bezobslužné povolení nástroje BitLocker na zařízeních.

Když je nastavená možnost Blokovat, můžete nakonfigurovat následující nastavení:
- Povolit standardním uživatelům povolit šifrování během Microsoft Entra připojení
  Toto nastavení platí jenom pro zařízení připojená k Microsoft Entra (Azure ADJ) a závisí na předchozím nastavení Warning for other disk encryption.
  Výchozí: Nenakonfigurováno
  BitLocker CSP: AllowStandardUserEncryption
  - Povolit – standardní uživatelé (bez oprávnění správce) můžou povolit šifrování nástrojem BitLocker, když jsou přihlášení.
  - Nenakonfigurováno , šifrování nástrojem BitLocker na zařízení můžou povolit jenom správci.
Tip

Pokud chcete nástroj BitLocker nainstalovat automaticky a bezobslužně na zařízení, které je Microsoft Entra připojené a používá Windows 1809 nebo novější, musí být toto nastavení nastavené na Povolit. Další informace najdete v tématu Bezobslužné povolení nástroje BitLocker na zařízeních.
Konfigurace metod šifrování
Výchozí: Nenakonfigurováno
BitLocker CSP: EncryptionMethodByDriveType
- Povolit – nakonfigurujte šifrovací algoritmy pro operační systém, data a vyměnitelné jednotky.
- Nenakonfigurováno – BitLocker používá 128bitovou metodu šifrování XTS-AES jako výchozí metodu šifrování nebo používá metodu šifrování určenou libovolným instalačním skriptem.
Pokud je nastavená možnost Povolit, můžete nakonfigurovat následující nastavení:
- Šifrování jednotek operačního systému
  Výchozí: XTS-AES 128 bitů
  
  Zvolte metodu šifrování pro jednotky operačního systému. Doporučujeme použít algoritmus XTS-AES.
  - AES-CBC (128bitová verze)
  - AES-CBC (256bitová verze)
  - XTS-AES (128bitová verze)
  - XTS-AES 256 bitů
- Šifrování pevných datových jednotek
  Výchozí: AES-CBC 128 bitů
  
  Zvolte metodu šifrování pevných (integrovaných) datových jednotek. Doporučujeme použít algoritmus XTS-AES.
  - AES-CBC (128bitová verze)
  - AES-CBC (256bitová verze)
  - XTS-AES (128bitová verze)
  - XTS-AES 256 bitů
- Šifrování vyměnitelných datových jednotek
  Výchozí: AES-CBC 128 bitů
  
  Zvolte metodu šifrování vyměnitelných datových jednotek. Pokud se vyměnitelná jednotka používá se zařízeními, na kterých neběží Windows 10/11, doporučujeme použít algoritmus AES-CBC.
  - AES-CBC (128bitová verze)
  - AES-CBC (256bitová verze)
  - XTS-AES (128bitová verze)
  - XTS-AES 256 bitů

Nastavení jednotky operačního systému Nástroje BitLocker

Tato nastavení platí konkrétně pro datové jednotky operačního systému.

Další ověřování při spuštění
Výchozí: Nenakonfigurováno
BitLocker CSP: SystemDrivesRequireStartupAuthentication
- Vyžadovat – Nakonfigurujte požadavky na ověřování pro spuštění počítače, včetně použití čipu TPM (Trusted Platform Module).
- Nenakonfigurováno – Na zařízeních s čipem TPM se konfiguruje jenom základní možnosti.
Při nastavení na Vyžadovat můžete nakonfigurovat následující nastavení:
- BitLocker s nekompatibilním čipem TPM
  Výchozí: Nenakonfigurováno
  - Blokovat – Zakáže použití nástroje BitLocker, když zařízení nemá kompatibilní čip TPM.
  - Nenakonfigurováno – Uživatelé můžou používat Nástroj BitLocker bez kompatibilního čipu TPM. BitLocker může vyžadovat heslo nebo spouštěcí klíč.
- Kompatibilní spuštění čipu TPM
  Výchozí: Povolit ČIP TPM
  
  Nakonfigurujte, jestli je čip TPM povolený, povinný nebo nepovolený.
  - Povolit ČIP TPM
  - Nepovolit čip TPM
  - Vyžadovat čip TPM
- Kompatibilní spouštěcí PIN kód TPM
  Výchozí: Povolit spouštěcí PIN kód s čipem TPM
  
  Zvolte, jestli chcete povolit, nepovolit nebo vyžadovat použití spouštěcího PIN kódu s čipem TPM. Povolení spouštěcího PIN kódu vyžaduje interakci koncového uživatele.
  - Povolit spouštěcí PIN kód s čipem TPM
  - Nepovolit spouštěcí PIN kód s čipem TPM
  - Vyžadování spouštěcího PIN kódu s čipem TPM
  Tip
  
  Pokud chcete nástroj BitLocker nainstalovat automaticky a bezobslužně na zařízení, které je Microsoft Entra připojené a používá Windows 1809 nebo novější, nesmí být toto nastavení nastavené na Vyžadovat spouštěcí PIN kód s čipem TPM. Další informace najdete v tématu Bezobslužné povolení nástroje BitLocker na zařízeních.
- Kompatibilní spouštěcí klíč TPM
  Výchozí: Povolit spouštěcí klíč s čipem TPM
  
  Zvolte, jestli chcete povolit, nepovolit nebo vyžadovat použití spouštěcího klíče s čipem TPM. Povolení spouštěcího klíče vyžaduje interakci koncového uživatele.
  - Povolit spouštěcí klíč s čipem TPM
  - Nepovolit spouštěcí klíč s čipem TPM
  - Vyžadovat spouštěcí klíč s čipem TPM
  Tip
  
  Pokud chcete nástroj BitLocker nainstalovat automaticky a bezobslužně na zařízení, které je Microsoft Entra připojené a používá Windows 1809 nebo novější, nesmí být toto nastavení nastavené na Vyžadovat spouštěcí klíč s čipem TPM. Další informace najdete v tématu Bezobslužné povolení nástroje BitLocker na zařízeních.
- Kompatibilní spouštěcí klíč a PIN kód TPM
  Výchozí: Povolit spouštěcí klíč a PIN kód s čipem TPM
  
  Zvolte, jestli chcete povolit, nepovolit nebo vyžadovat použití spouštěcího klíče a PIN kódu s čipem TPM. Povolení spouštěcího klíče a PIN kódu vyžaduje interakci koncového uživatele.
  - Povolení spouštěcího klíče a PIN kódu pomocí čipu TPM
  - Nepovolit spouštěcí klíč a PIN kód s čipem TPM
  - Vyžadování spouštěcího klíče a PIN kódu s čipem TPM
  Tip
  
  Pokud chcete nástroj BitLocker nainstalovat automaticky a bezobslužně na zařízení, které je Microsoft Entra připojené a používá Windows 1809 nebo novější, nesmí být toto nastavení nastavené na Vyžadovat spouštěcí klíč a PIN kód s čipem TPM. Další informace najdete v tématu Bezobslužné povolení nástroje BitLocker na zařízeních.
Minimální délka PIN kódu
Výchozí: Nenakonfigurováno
BitLocker CSP: SystemDrivesMinimumPINLength
- Povolit Nakonfigurujte minimální délku spouštěcího PIN kódu TPM.
- Nenakonfigurováno – Uživatelé můžou nakonfigurovat spouštěcí PIN kód libovolné délky mezi 6 a 20 číslicemi.
Pokud je nastavená možnost Povolit, můžete nakonfigurovat následující nastavení:
- Minimální počet znaků
  Výchozí:Nenakonfigurováno zprostředkovatel CSP nástroje BitLocker: SystemDrivesMinimumPINLength
  
  Zadejte počet znaků požadovaný pro spouštěcí PIN kód od 4-20.
Obnovení jednotky operačního systému
Výchozí: Nenakonfigurováno
BitLocker CSP: SystemDrivesRecoveryOptions
- Povolit – určuje, jak se obnovují jednotky operačního systému chráněné bitlockerem, když nejsou k dispozici požadované informace o spuštění.
- Nenakonfigurováno – Podporují se výchozí možnosti obnovení, včetně DRA. Koncový uživatel může zadat možnosti obnovení. Informace o obnovení se do služby AD DS nezálohuje.
Pokud je nastavená možnost Povolit, můžete nakonfigurovat následující nastavení:
- Agent obnovení dat založený na certifikátech
  Výchozí: Nenakonfigurováno
  - Blok – Zabrání použití agenta obnovení dat s jednotkami operačního systému chráněnými BitLockerem.
  - Nenakonfigurováno – Povolí použití agentů obnovení dat s jednotkami operačního systému chráněnými bitlockerem.
- Vytvoření hesla pro obnovení uživatelem
  Výchozí: Povolit 48místné heslo pro obnovení
  
  Zvolte, jestli mají uživatelé povolené, povinné nebo nepovolené vygenerovat 48místné heslo pro obnovení.
  - Povolit 48místné heslo pro obnovení
  - Nepovolit 48místné heslo pro obnovení
  - Vyžadovat 48místné heslo pro obnovení
- Vytvoření obnovovacího klíče uživatelem
  Výchozí: Povolit 256bitový obnovovací klíč
  
  Zvolte, jestli mají uživatelé povolené, povinné nebo nepovolené vygenerovat 256bitový obnovovací klíč.
  - Povolit 256bitový obnovovací klíč
  - Nepovolit 256bitový obnovovací klíč
  - Vyžadovat 256bitový obnovovací klíč
- Možnosti obnovení v průvodci nastavením nástroje BitLocker
  Výchozí: Nenakonfigurováno
  - Blokovat – uživatelé nemůžou zobrazit a změnit možnosti obnovení. Při nastavení na
  - Nenakonfigurováno – Uživatelé můžou zobrazit a změnit možnosti obnovení, když zapnou Nástroj BitLocker.
- Uložení informací o obnovení nástroje BitLocker do Microsoft Entra ID
  Výchozí: Nenakonfigurováno
  - Povolit – Uložte informace nástroje BitLocker pro obnovení do Microsoft Entra ID.
  - Nenakonfigurováno – Informace o obnovení nástroje BitLocker nejsou uložené v id Microsoft Entra.
- Informace o obnovení nástroje BitLocker uložené v Microsoft Entra ID
  Výchozí: Zálohovat hesla pro obnovení a balíčky klíčů
  
  Nakonfigurujte, které části informací bitlockeru pro obnovení se ukládají v Microsoft Entra ID. Vyberte si z:
  - Zálohovat hesla pro obnovení a balíčky klíčů
  - Zálohovat pouze hesla pro obnovení
- Obměně hesla pro obnovení řízená klientem
  Výchozí: Nenakonfigurováno
  BitLocker CSP: ConfigureRecoveryPasswordRotation
  
  Toto nastavení zahájí obměna hesla pro obnovení na základě klienta po obnovení jednotky operačního systému (buď pomocí bootmgru, nebo WinRE).
  - Nenakonfigurováno
  - Zakázání obměně klíčů
  - U Microsoft Entra připojených deices je povolená obměny klíčů.
  - Pro Microsoft Entra ID a zařízení připojená k hybridním připojením je povolená obměně klíčů.
- Uložení informací o obnovení v id Microsoft Entra před povolením nástroje BitLocker
  Výchozí: Nenakonfigurováno
  
  Zabraňte uživatelům v povolení nástroje BitLocker, pokud počítač úspěšně nezazálohuje informace o obnovení nástroje BitLocker na Microsoft Entra ID.
  - Vyžadovat – Zakažte uživatelům, aby zapnuli Nástroj BitLocker, pokud nejsou informace o obnovení nástroje BitLocker úspěšně uložené v Microsoft Entra ID.
  - Nenakonfigurováno – Uživatelé můžou zapnout nástroj BitLocker, i když se informace o obnovení úspěšně neuloží v Microsoft Entra ID.
Zpráva o obnovení před spuštěním a adresa URL
Výchozí: Nenakonfigurováno
BitLocker CSP: SystemDrivesRecoveryMessage
- Povolit – Nakonfigurujte zprávu a adresu URL, které se zobrazí na obrazovce pro obnovení klíče před spuštěním.
- Nenakonfigurováno – Tuto funkci zakažte.
Pokud je nastavená možnost Povolit, můžete nakonfigurovat následující nastavení:
- Zpráva o obnovení před spuštěním
  Výchozí: Použijte výchozí zprávu a adresu URL pro obnovení.
  
  Nakonfigurujte, jak se uživatelům zobrazí zpráva o obnovení před spuštěním. Vyberte si z:
  - Použít výchozí zprávu a adresu URL pro obnovení
  - Použít prázdnou zprávu o obnovení a adresu URL
  - Použití vlastní zprávy o obnovení
  - Použití vlastní adresy URL pro obnovení

Nastavení pevných datových jednotek nástrojem BitLocker

Tato nastavení platí konkrétně pro pevné datové jednotky.

Přístup k zápisu na pevnou datovou jednotku nechráněný nástrojem BitLocker
Výchozí: Nenakonfigurováno
BitLocker CSP: FixedDrivesRequireEncryption
- Blokovat – udělte datovým jednotkám, které nejsou chráněné nástrojem BitLocker, přístup jen pro čtení.
- Nenakonfigurováno – Ve výchozím nastavení je přístup pro čtení a zápis k datovým jednotkám, které nejsou šifrované.
Oprava obnovení jednotky
Výchozí: Nenakonfigurováno
BitLocker CSP: FixedDrivesRecoveryOptions
- Povolit – určuje, jak se pevné jednotky chráněné bitlockerem obnoví, když nejsou k dispozici požadované informace o spuštění.
- Nenakonfigurováno – Tuto funkci zakažte.
Pokud je nastavená možnost Povolit, můžete nakonfigurovat následující nastavení:
- Agent obnovení dat
  Výchozí: Nenakonfigurováno
  - Blokovat – Zabrání použití agenta obnovení dat pomocí Editoru zásad pevných jednotek chráněných BitLockerem.
  - Nenakonfigurováno – Povolí použití agentů obnovení dat s pevnými jednotkami chráněnými bitlockerem.
- Vytvoření hesla pro obnovení uživatelem
  Výchozí: Povolit 48místné heslo pro obnovení
  
  Zvolte, jestli mají uživatelé povolené, povinné nebo nepovolené vygenerovat 48místné heslo pro obnovení.
  - Povolit 48místné heslo pro obnovení
  - Nepovolit 48místné heslo pro obnovení
  - Vyžadovat 48místné heslo pro obnovení
- Vytvoření obnovovacího klíče uživatelem
  Výchozí: Povolit 256bitový obnovovací klíč
  
  Zvolte, jestli mají uživatelé povolené, povinné nebo nepovolené vygenerovat 256bitový obnovovací klíč.
  - Povolit 256bitový obnovovací klíč
  - Nepovolit 256bitový obnovovací klíč
  - Vyžadovat 256bitový obnovovací klíč
- Možnosti obnovení v průvodci nastavením nástroje BitLocker
  Výchozí: Nenakonfigurováno
  - Blokovat – uživatelé nemůžou zobrazit a změnit možnosti obnovení. Při nastavení na
  - Nenakonfigurováno – Uživatelé můžou zobrazit a změnit možnosti obnovení, když zapnou Nástroj BitLocker.
- Uložení informací o obnovení nástroje BitLocker do Microsoft Entra ID
  Výchozí: Nenakonfigurováno
  - Povolit – Uložte informace nástroje BitLocker pro obnovení do Microsoft Entra ID.
  - Nenakonfigurováno – Informace o obnovení nástroje BitLocker nejsou uložené v id Microsoft Entra.
- Informace o obnovení nástroje BitLocker uložené v Microsoft Entra ID
  Výchozí: Zálohovat hesla pro obnovení a balíčky klíčů
  
  Nakonfigurujte, které části informací bitlockeru pro obnovení se ukládají v Microsoft Entra ID. Vyberte si z:
  - Zálohovat hesla pro obnovení a balíčky klíčů
  - Zálohovat pouze hesla pro obnovení
- Uložení informací o obnovení v id Microsoft Entra před povolením nástroje BitLocker
  Výchozí: Nenakonfigurováno
  
  Zabraňte uživatelům v povolení nástroje BitLocker, pokud počítač úspěšně nezazálohuje informace o obnovení nástroje BitLocker na Microsoft Entra ID.
  - Vyžadovat – Zakažte uživatelům, aby zapnuli Nástroj BitLocker, pokud nejsou informace o obnovení nástroje BitLocker úspěšně uložené v Microsoft Entra ID.
  - Nenakonfigurováno – Uživatelé můžou zapnout nástroj BitLocker, i když se informace o obnovení úspěšně neuloží v Microsoft Entra ID.

Nastavení vyměnitelných datových jednotek nástrojem BitLocker

Tato nastavení platí konkrétně pro vyměnitelné datové jednotky.

Přístup k zápisu na vyměnitelnou datovou jednotku nechráněnou nástrojem BitLocker
Výchozí: Nenakonfigurováno
BitLocker CSP: RemovableDrivesRequireEncryption
- Blokovat – udělte datovým jednotkám, které nejsou chráněné nástrojem BitLocker, přístup jen pro čtení.
- Nenakonfigurováno – Ve výchozím nastavení je přístup pro čtení a zápis k datovým jednotkám, které nejsou šifrované.
Pokud je nastavená možnost Povolit, můžete nakonfigurovat následující nastavení:
- Přístup k zápisu do zařízení nakonfigurovaných v jiné organizaci
  Výchozí: Nenakonfigurováno
  - Blokovat – zablokuje přístup k zápisu do zařízení nakonfigurovaných v jiné organizaci.
  - Nenakonfigurováno – Odepřít přístup k zápisu.

Microsoft Defender Exploit Guard

Pomocí ochrany před zneužitím můžete spravovat a snižovat prostor pro útoky na aplikace používané vašimi zaměstnanci.

Zmenšení prostoru útoku

Pravidla omezení potenciální oblasti útoku pomáhají zabránit chování, které malware často používá k napadení počítačů škodlivým kódem.

Pravidla omezení potenciální oblasti útoku

Další informace najdete v tématu Pravidla omezení potenciální oblasti útoku v dokumentaci k Microsoft Defender for Endpoint.

Chování sloučení pro pravidla omezení potenciální oblasti útoku v Intune:

Pravidla omezení potenciální oblasti útoku podporují sloučení nastavení z různých zásad a vytvářejí nadmnožinu zásad pro každé zařízení. Sloučí se jenom nastavení, která nejsou v konfliktu, zatímco nastavení, která jsou v konfliktu, se nepřidají do nadmnožině pravidel. Pokud dříve dvě zásady zahrnovaly konflikty pro jedno nastavení, obě zásady se označovaly jako konfliktní a nenasadila by se žádná nastavení z žádného profilu.

Chování při slučování pravidla omezení potenciální oblasti útoku je následující:

Pro každé zařízení, na které se pravidla vztahují, se vyhodnocují pravidla omezení potenciální oblasti útoku z následujících profilů:
- Zásady > konfigurace zařízení > Profil > ochrany koncových bodů Microsoft Defender Zmenšení prostoru útoku ochrany Exploit Guard >
- Zásady > omezení potenciální oblasti útoku zabezpečení > koncového bodu Pravidla omezení potenciální oblasti útoku
- Standardní hodnoty zabezpečení koncového >> bodu Microsoft Defender for Endpoint pravidla omezení potenciální oblasti útoku podle směrného plánu>.
Nastavení, která neobsahují konflikty, se přidají do nadmnožiny zásad pro zařízení.
Pokud mají dvě nebo více zásad konfliktní nastavení, konfliktní nastavení se do kombinovaných zásad nepřidají. Nastavení, která nejsou konfliktní, se přidají do zásad nadmnožina, která platí pro zařízení.
Zadržou se pouze konfigurace pro konfliktní nastavení.

Nastavení v tomto profilu:

Označení příznaku krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows
Výchozí: Nenakonfigurováno
Pravidlo: Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe)

Pomozte zabránit akcím a aplikacím, které se obvykle používají malwarem hledajícím zneužití k napadení počítačů.
- Nenakonfigurováno
- Povolit – označí krádež přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe).
- Pouze auditování
Vytvoření procesu z Adobe Readeru (beta verze)
Výchozí: Nenakonfigurováno
Pravidlo: Blokování aplikace Adobe Reader ve vytváření podřízených procesů
- Nenakonfigurováno
- Povolit – Zablokuje podřízené procesy vytvořené pomocí Adobe Readeru.
- Pouze auditování

Pravidla pro ochranu před hrozbami maker Office

Blokovat aplikacím Office provádění následujících akcí:

Aplikace Office injektáže do jiných procesů (bez výjimek)
Výchozí: Nenakonfigurováno
Pravidlo: Blokování vkládání kódu do jiných procesů aplikací Office
- Nenakonfigurováno
- Blokovat – blokuje vkládání aplikací Office do jiných procesů.
- Pouze auditování
Aplikace a makra Office vytvářející spustitelný obsah
Výchozí: Nenakonfigurováno
Pravidlo: Blokování aplikací Office ve vytváření spustitelného obsahu
- Nenakonfigurováno
- Blokovat – Blokuje aplikace a makra Office ve vytváření spustitelného obsahu.
- Pouze auditování
Aplikace Office spouštějí podřízené procesy
Výchozí: Nenakonfigurováno
Pravidlo: Blokování vytváření podřízených procesů u všech aplikací Office
- Nenakonfigurováno
- Blokovat – blokuje aplikace Office spouštění podřízených procesů.
- Pouze auditování
Win32 importuje kód makra Office
Výchozí: Nenakonfigurováno
Pravidlo: Blokování volání rozhraní API Win32 z maker Office
- Nenakonfigurováno
- Blok – blokuje importy Win32 z kódu makra v Office.
- Pouze auditování
Vytváření procesů z komunikačních produktů Office
Výchozí: Nenakonfigurováno
Pravidlo: Blokování komunikační aplikace Office ve vytváření podřízených procesů
- Nenakonfigurováno
- Povolit – Zablokuje vytváření podřízených procesů z komunikačních aplikací Office.
- Pouze auditování

Pravidla pro ochranu před hrozbami skriptů

Pokud chcete zabránit hrozbám skriptů, zablokujte následující:

Obfuskovaný kód js/vbs/ps/makra
Výchozí: Nenakonfigurováno
Pravidlo: Blokování spouštění potenciálně obfuskovaných skriptů
- Nenakonfigurováno
- Blok – zablokuje všechny obfuskované kódy js/vbs/ps/makra.
- Pouze auditování
js/vbs provádějící datovou část staženou z internetu (bez výjimek)
Výchozí: Nenakonfigurováno
Pravidlo: Blokování spouštění staženého spustitelného obsahu javascriptu nebo jazyka VBScript
- Nenakonfigurováno
- Blokovat – zablokuje js/vbs spuštění datové části stažené z internetu.
- Pouze auditování
Vytvoření procesu z příkazů PSExec a WMI
Výchozí: Nenakonfigurováno
Pravidlo: Blokování vytváření procesů pocházejících z příkazů PSExec a WMI
- Nenakonfigurováno
- Blok – blokování vytváření procesů pocházejících z příkazů PSExec a rozhraní WMI.
- Pouze auditování
Nedůvěryhodné a nepodepsané procesy spouštěné z USB
Výchozí: Nenakonfigurováno
Pravidlo: Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB
- Nenakonfigurováno
- Blokovat – blokuje nedůvěryhodné a nepodepsané procesy spouštěné z USB.
- Pouze auditování
Spustitelné soubory, které nesplňují kritéria výskytu, věku nebo důvěryhodného seznamu
Výchozí: Nenakonfigurováno
Pravidlo: Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu
- Nenakonfigurováno
- Blokovat – zablokuje spuštění spustitelných souborů, pokud nesplňují kritéria výskytu, věku nebo důvěryhodného seznamu.
- Pouze auditování

Pravidla pro prevenci e-mailových hrozeb

Pokud chcete zabránit e-mailovým hrozbám, zablokujte následující:

Spuštění spustitelného obsahu (exe, dll, ps, js, vbs atd.) vyřazeného z e-mailu (webmail/poštovní klient) (bez výjimek)
Výchozí: Nenakonfigurováno
Pravidlo: Blokování spustitelného obsahu z e-mailového klienta a webové pošty
- Nenakonfigurováno
- Block – blokuje spuštění spustitelného obsahu (exe, dll, ps, js, vbs atd.) vyřazeného z e-mailu (webmail/mail-client).
- Pouze auditování

Pravidla pro ochranu před ransomwarem

Pokročilá ochrana proti ransomwaru
Výchozí: Nenakonfigurováno
Pravidlo: Použití pokročilé ochrany před ransomwarem
- Nenakonfigurováno
- Povolit – používejte agresivní ochranu proti ransomwaru.
- Pouze auditování

Výjimky omezení potenciální oblasti útoku

Soubory a složky, které se mají vyloučit z pravidel omezení potenciální oblasti útoku
Defender CSP: AttackSurfaceReductionOnlyExclusions
- Importujte .csv soubor obsahující soubory a složky, které chcete vyloučit z pravidel omezení potenciální oblasti útoku.
- Přidejte místní soubory nebo složky ručně.

Důležité

Pokud chcete povolit správnou instalaci a spouštění obchodních aplikací Win32, mělo by nastavení antimalwaru vyloučit z kontroly následující adresáře:
Na klientských počítačích X64:
C:\Program Files (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Na klientských počítačích X86:
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Další informace najdete v tématu Doporučení pro vyhledávání virů pro podnikové počítače s aktuálně podporovanými verzemi Windows.

Řízený přístup ke složkám

Pomozte chránit cenná data před škodlivými aplikacemi a hrozbami, jako je ransomware.

Ochrana složek
Výchozí: Nenakonfigurováno
Defender CSP: EnableControlledFolderAccess

Chraňte soubory a složky před neoprávněnými změnami ze strany nepřátelských aplikací.
- Nenakonfigurováno
- Povolit
- Pouze auditování
- Blokovat úpravy disku
- Auditovat úpravy disku
Když vyberete jinou konfiguraci než Nenakonfigurováno, můžete nakonfigurovat:
- Seznam aplikací, které mají přístup k chráněným složkám
  Defender CSP: ControlledFolderAccessAllowedApplications
  - Importujte .csv soubor, který obsahuje seznam aplikací.
  - Přidejte aplikace do tohoto seznamu ručně.
- Seznam dalších složek, které je potřeba chránit
  Defender CSP: ControlledFolderAccessProtectedFolders
  - Importuje .csv soubor, který obsahuje seznam složek.
  - Přidejte složky do tohoto seznamu ručně.

Filtrování sítě

Blokování odchozích připojení z jakékoli aplikace k IP adresám nebo doménám s nízkou reputací Filtrování sítě se podporuje v režimu auditování i blokování.

Ochrana sítě
Výchozí: Nenakonfigurováno
Defender CSP: EnableNetworkProtection

Záměrem tohoto nastavení je chránit koncové uživatele před aplikacemi, které mají přístup k phishingovým podvodům, webům hostujícímu zneužití a škodlivému obsahu na internetu. Brání také prohlížečům třetích stran v připojení k nebezpečným webům.
- Nenakonfigurováno – Tuto funkci zakažte. Uživatelům a aplikacím se neblokuje připojení k nebezpečným doménám. Správci nevidí tuto aktivitu v Centrum zabezpečení v programu Microsoft Defender.
- Povolit – Zapněte ochranu sítě a zablokujte uživatelům a aplikacím připojení k nebezpečným doménám. Správci uvidí tuto aktivitu v Centrum zabezpečení v programu Microsoft Defender.
- Pouze audit: – Uživatelům a aplikacím se neblokuje připojení k nebezpečným doménám. Správci uvidí tuto aktivitu v Centrum zabezpečení v programu Microsoft Defender.

Ochrana před zneužitím

Nahrát XML
Výchozí: Nenakonfigurováno

Pokud chcete ochranu zařízení před zneužitím použít k ochraně zařízení před zneužitím, vytvořte soubor XML, který obsahuje požadovaná nastavení omezení rizik systému a aplikací. Soubor XML můžete vytvořit dvěma způsoby:
- PowerShell – použijte jednu nebo více rutin PowerShellu Get-ProcessMitigation, Set-ProcessMitigation a ConvertTo-ProcessMitigationPolicy . Rutiny konfigurují nastavení zmírnění rizik a exportují jejich reprezentaci XML.
- Centrum zabezpečení v programu Microsoft Defender uživatelské rozhraní – v Centrum zabezpečení v programu Microsoft Defender vyberte App & browser control (Ovládací prvek prohlížeče aplikace) a posuňte se do dolní části výsledné obrazovky a vyhledejte Exploit Protection. Nejprve pomocí karet Nastavení systému a Nastavení programu nakonfigurujte nastavení zmírnění rizik. Pak v dolní části obrazovky vyhledejte odkaz Exportovat nastavení, který exportuje jejich reprezentaci XML.
Uživatelské úpravy rozhraní ochrany před zneužitím
Výchozí: Nenakonfigurováno
ExploitGuard CSP: ExploitProtectionSettings
- Blok – nahraje soubor XML, který vám umožní nakonfigurovat paměť, tok řízení a omezení zásad. Nastavení v souboru XML lze použít k blokování aplikace před zneužitím.
- Nenakonfigurováno – Nepoužívá se žádná vlastní konfigurace.

Microsoft Defender řízení aplikací

Zvolte aplikace, které chcete auditovat, nebo aplikace, které jsou důvěryhodné pro spuštění službou Microsoft Defender Application Control. Součásti systému Windows a všechny aplikace z Windows Storu se automaticky důvěřují spouštění.

Zásady integrity kódu řízení aplikací
Výchozí: Nenakonfigurováno
CSP: AppLocker CSP
- Vynucení – Zvolte zásady integrity kódu pro řízení aplikací pro zařízení uživatelů.
  
  Po povolení na zařízení je možné řízení aplikací zakázat pouze změnou režimu z Vynucení na Pouze audit. Změna režimu z Vynucení na Nenakonfigurováno vede k tomu, že řízení aplikací se na přiřazených zařízeních bude dál vynucovat.
- Nenakonfigurováno – Řízení aplikací se nepřidá do zařízení. Nastavení, která byla dříve přidána, se ale na přiřazených zařízeních dál vynucuje.
- Jenom audit – aplikace nejsou blokované. Všechny události se protokolují v protokolech místního klienta.
  
  Poznámka
  
  Pokud použijete toto nastavení, chování poskytovatele CSP AppLockeru aktuálně vyzve koncového uživatele, aby při nasazení zásady restartoval počítač.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard chrání před útoky na krádež přihlašovacích údajů. Izoluje tajné kódy tak, aby k nim měl přístup jenom privilegovaný systémový software.

Credential Guard
Výchozí: Zakázat
DeviceGuard CSP
- Zakázat – Vypněte ochranu Credential Guard vzdáleně, pokud byla dříve zapnutá pomocí možnosti Povoleno bez zámku UEFI .
- Povolení se zámkem UEFI – Ochranu Credential Guard nejde vzdáleně zakázat pomocí klíče registru nebo zásad skupiny.
  
  Poznámka
  
  Pokud použijete toto nastavení a později budete chtít ochranu Credential Guard zakázat, musíte Zásady skupiny nastavit na Zakázáno. Fyzicky vymažte informace o konfiguraci rozhraní UEFI z každého počítače. Dokud se konfigurace rozhraní UEFI zachová, je povolená ochrana Credential Guard.
- Povolit bez zámku UEFI – Umožňuje vzdáleně zakázat ochranu Credential Guard pomocí Zásady skupiny. Na zařízeních, která používají toto nastavení, musí běžet Windows 10 verze 1511 a novější nebo Windows 11.
Když povolíte ochranu Credential Guard, povolí se také následující požadované funkce:
- Zabezpečení na základě virtualizace (VBS)
  Zapne se během dalšího restartování. Zabezpečení založené na virtualizaci používá k poskytování podpory služeb zabezpečení hypervisor systému Windows.
- Zabezpečené spouštění s přístupem k paměti adresáře
  Zapne VBS se zabezpečeným spouštěním a ochranou přímého přístupu do paměti (DMA). Ochrana DMA vyžaduje podporu hardwaru a je povolená jenom na správně nakonfigurovaných zařízeních.

Centrum zabezpečení v programu Microsoft Defender

Centrum zabezpečení v programu Microsoft Defender funguje jako samostatná aplikace nebo proces od jednotlivých funkcí. Zobrazuje oznámení prostřednictvím Centra akcí. Funguje jako kolektor nebo jedno místo pro zobrazení stavu a spuštění určité konfigurace pro každou z funkcí. Další informace najdete v dokumentaci k Microsoft Defender.

Centrum zabezpečení v programu Microsoft Defender aplikace a oznámení

Zablokujte koncovým uživatelům přístup k různým oblastem aplikace Centrum zabezpečení v programu Microsoft Defender. Skrytí oddílu také blokuje související oznámení.

Ochrana před viry a hrozbami
Výchozí: Nenakonfigurováno
WindowsDefenderSecurityCenter CSP: DisableVirusUI

Nakonfigurujte, jestli koncoví uživatelé můžou zobrazit oblast Ochrana před viry a hrozbami v Centrum zabezpečení v programu Microsoft Defender. Skrytím této části zablokujete také všechna oznámení související s ochranou před viry a hrozbami.
- Nenakonfigurováno
- Skrýt
Ochrana proti ransomwaru
Výchozí: Nenakonfigurováno
WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

Nakonfigurujte, jestli koncoví uživatelé můžou zobrazit oblast ochrany před ransomwarem v Centrum zabezpečení v programu Microsoft Defender. Skrytím této části se také zablokují všechna oznámení související s ochranou před ransomwarem.
- Nenakonfigurováno
- Skrýt
Ochrana účtu
Výchozí: Nenakonfigurováno
WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI

Nakonfigurujte, jestli koncoví uživatelé můžou zobrazit oblast ochrany účtu v Centrum zabezpečení v programu Microsoft Defender. Skrytím této části zablokujete také všechna oznámení související s ochranou účtu.
- Nenakonfigurováno
- Skrýt
Brána firewall a ochrana sítě
Výchozí: Nenakonfigurováno
WindowsDefenderSecurityCenter CSP: DisableNetworkUI

Nakonfigurujte, jestli můžou koncoví uživatelé zobrazit oblast brány firewall a ochrany sítě ve službě Microsoft Defender Security Center. Skrytím této části se také zablokují všechna oznámení související s bránou firewall a ochranou sítě.
- Nenakonfigurováno
- Skrýt
Řízení aplikací a prohlížečů
Výchozí: Nenakonfigurováno
WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

Nakonfigurujte, jestli koncoví uživatelé můžou zobrazit oblast řízení aplikace a prohlížeče ve službě Microsoft Defender Security Center. Skrytím tohoto oddílu se také zablokují všechna oznámení týkající se řízení aplikací a prohlížeče.
- Nenakonfigurováno
- Skrýt
Ochrana hardwaru
Výchozí: Nenakonfigurováno
WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

Nakonfigurujte, jestli můžou koncoví uživatelé zobrazit oblast Hardwarová ochrana v Centrum zabezpečení v programu Microsoft Defender. Skrytím této části zablokujete také všechna oznámení související s ochranou hardwaru.
- Nenakonfigurováno
- Skrýt
Výkon a stav zařízení
Výchozí: Nenakonfigurováno
WindowsDefenderSecurityCenter CSP: DisableHealthUI

Nakonfigurujte, jestli koncoví uživatelé můžou zobrazit oblast Výkon a stav zařízení v Microsoft Defender Security Center. Skrytím této části se také zablokují všechna oznámení týkající se výkonu a stavu zařízení.
- Nenakonfigurováno
- Skrýt
Možnosti rodinného účtu
Výchozí: Nenakonfigurováno
WindowsDefenderSecurityCenter CSP: DisableFamilyUI

Nakonfigurujte, jestli koncoví uživatelé můžou zobrazit oblast Možnosti rodiny v Microsoft Defender Security Center. Skrytím tohoto oddílu se také zablokují všechna oznámení související s možnostmi rodiny.
- Nenakonfigurováno
- Skrýt
Oznámení ze zobrazených oblastí aplikace
Výchozí: Nenakonfigurováno
WindowsDefenderSecurityCenter CSP: DisableNotifications

Zvolte, která oznámení se mají koncovým uživatelům zobrazovat. Mezi nekritické oznámení patří souhrny Microsoft Defender antivirové aktivity, včetně oznámení po dokončení kontroly. Všechna ostatní oznámení jsou považována za kritická.
- Nenakonfigurováno
- Blokování nekritičtějších oznámení
- Blokovat všechna oznámení
ikona Zabezpečení Windows Center na hlavním panelu systému
Výchozí: Nenakonfigurováno WindowsDefenderSecurityCenter CSP: HideWindowsSecurityNotificationAreaControl

Nakonfigurujte zobrazení ovládacího prvku oznamovací oblasti. Aby se toto nastavení projevilo, musí se uživatel buď odhlásit a přihlásit se, nebo restartovat počítač.
- Nenakonfigurováno
- Skrýt
Tlačítko Vymazat čip TPM
Výchozí: Nenakonfigurováno WindowsDefenderSecurityCenter CSP: DisableClearTpmButton

Nakonfigurujte zobrazení tlačítka Vymazat čip TPM.
- Nenakonfigurováno
- Zakázat
Upozornění na aktualizaci firmwaru TPM
Výchozí: Nenakonfigurováno WindowsDefenderSecurityCenter CSP: DisableTpmFirmwareUpdateWarning

Nakonfigurujte zobrazení aktualizace firmwaru TPM při zjištění ohroženého firmwaru.
- Nenakonfigurováno
- Skrýt
Ochrana před falšováním
Výchozí: Nenakonfigurováno

Zapněte nebo vypněte ochranu před falšováním na zařízeních. Pokud chcete používat ochranu před falšováním, musíte integrovat Microsoft Defender for Endpoint s Intune a mít Enterprise Mobility + Security licence E5.
- Nenakonfigurováno – v nastavení zařízení se neprovedou žádné změny.
- Povoleno – Je zapnutá ochrana proti falšování a na zařízeních se vynucují omezení.
- Zakázáno – Ochrana před falšováním je vypnutá a omezení se nevynucuje.

Kontaktní informace pro IT

Zadejte kontaktní informace IT, které se zobrazí v aplikaci Centrum zabezpečení v programu Microsoft Defender a v oznámeních aplikace.

Můžete zvolit Zobrazení v aplikaci a v oznámeních, Zobrazit jenom v aplikaci, Zobrazit jenom v oznámeních nebo Nezobrazovat. Zadejte název organizace IT a aspoň jednu z následujících možností kontaktu:

Kontaktní informace IT
Výchozí: Nezobrazovat
WindowsDefenderSecurityCenter CSP: EnableCustomizedToasts

Nakonfigurujte, kde se mají koncovým uživatelům zobrazovat kontaktní informace IT.
- Zobrazení v aplikaci a v oznámeních
- Zobrazit jenom v aplikaci
- Zobrazit jenom v oznámeních
- Nezobrazovat
Při konfiguraci zobrazení můžete nakonfigurovat následující nastavení:
- Název organizace IT
  Výchozí: Nenakonfigurováno
  WindowsDefenderSecurityCenter CSP: Název_společnosti
- Telefonní číslo oddělení IT nebo ID Skypu
  Výchozí: Nenakonfigurováno
  WindowsDefenderSecurityCenter CSP: Phone
- E-mailová adresa oddělení IT
  Výchozí: Nenakonfigurováno
  WindowsDefenderSecurityCenter CSP: Email
- Adresa URL webu podpory IT
  Výchozí: Nenakonfigurováno
  WindowsDefenderSecurityCenter CSP: ADRESA URL

Možnosti zabezpečení místního zařízení

Pomocí těchto možností můžete nakonfigurovat nastavení místního zabezpečení na zařízeních Windows 10/11.

Účty

Přidání nových účtů Microsoft
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: Accounts_BlockMicrosoftAccounts
- Blok Zabrání uživatelům v přidávání nových účtů Microsoft do zařízení.
- Nenakonfigurováno – Uživatelé můžou na zařízení používat účty Microsoft.
Vzdálené přihlášení bez hesla
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
- Blokovat – Povolí přihlášení jenom místním účtům s prázdnými hesly pomocí klávesnice zařízení.
- Nenakonfigurováno – Povolí místním účtům s prázdnými hesly přihlášení z jiných umístění než z fyzického zařízení.

Správce

Účet místního správce
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
- Blok Zabraňte použití účtu místního správce.
- Nenakonfigurováno
Přejmenování účtu správce
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: Accounts_RenameAdministratorAccount

Definujte jiný název účtu, který má být přidružený k identifikátoru zabezpečení (SID) pro účet Administrator.

Hodnocení

Účet hosta
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions
- Blokovat – znemožní použití účtu hosta.
- Nenakonfigurováno
Přejmenování účtu hosta
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

Definujte jiný název účtu, který se má přidružit k identifikátoru zabezpečení (SID) pro účet Host.

Zařízení

Zrušit ukotvení zařízení bez přihlášení
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: Devices_AllowUndockWithoutHavingToLogon
- Blokovat – uživatel se musí přihlásit k zařízení a získat oprávnění k uvolnění zařízení.
- Nenakonfigurováno – Uživatelé můžou stisknout tlačítko fyzického vysunutí dokovaného přenosného zařízení a bezpečně ho uvolnit.
Instalace ovladačů tiskárny pro sdílené tiskárny
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
- Povoleno – Každý uživatel může nainstalovat ovladač tiskárny jako součást připojení ke sdílené tiskárně.
- Nenakonfigurováno – Ovladač tiskárny můžou v rámci připojení ke sdílené tiskárně nainstalovat jenom správci.
Omezení přístupu k disku CD-ROM na místního aktivního uživatele
Výchozí: Nenakonfigurováno
CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
- Povoleno – Média CD-ROM může používat pouze interaktivně přihlášený uživatel. Pokud je tato zásada povolená a nikdo není přihlášený interaktivně, pak se k disku CD-ROM přistupuje přes síť.
- Nenakonfigurováno – Kdokoli má přístup k disku CD-ROM.
Formátování a vysunutí vyměnitelného média
Výchozí: Správci
CSP: Devices_AllowedToFormatAndEjectRemovableMedia

Definujte, kdo smí formátovat a vysunout vyměnitelná média NTFS:
- Nenakonfigurováno
- Správci
- Správci a výkonní uživatelé
- Správci a interaktivní uživatelé

Interaktivní přihlášení

Počet minut nečinnosti na zamykací obrazovce, dokud se neaktivuje spořič obrazovky
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: InteractiveLogon_MachineInactivityLimit

Zadejte maximální počet minut nečinnosti, dokud se spořič obrazovky neaktivuje. (0) - 99999)
Vyžadování kombinace kláves CTRL+ALT+DEL pro přihlášení
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotRequireCTRLALTDEL
- Povolit – Vyžadovat, aby uživatelé před přihlášením k Windows stiskli kombinaci kláves CTRL+ALT+DEL.
- Nenakonfigurováno – Pro přihlášení uživatelů není nutné stisknout kombinaci kláves CTRL+ALT+DEL.
Chování při odebírání čipových karet
Výchozí: Žádná akce MístníZásadySecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

Určuje, co se stane, když je čipová karta přihlášeného uživatele odebrána ze čtečky čipových karet. Možnosti:
- Uzamknout pracovní stanici – pracovní stanice se při odebrání čipové karty uzamkne. Tato možnost umožňuje uživatelům opustit oblast, vzít si s sebou čipovou kartu a přesto udržovat chráněnou relaci.
- Žádná akce
- Vynucené odhlášení – Uživatel se automaticky odhlásí, když je čipová karta odebrána.
- Odpojte se, pokud se relace Vzdálené plochy – Odebrání čipové karty odpojí relaci bez odhlášení uživatele. Tato možnost umožňuje uživateli vložit čipovou kartu a obnovit relaci později nebo na jiném počítači vybaveném čtečkou čipových karet, aniž by se musel znovu přihlašovat. Pokud je relace místní, funguje tato zásada stejně jako Zamknout pracovní stanici.

Zobrazení

Informace o uživateli na zamykací obrazovce
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Nakonfigurujte informace o uživateli, které se zobrazí při uzamčení relace. Pokud není nakonfigurované, zobrazí se zobrazované jméno uživatele, doména a uživatelské jméno.
- Nenakonfigurováno
- Zobrazované jméno uživatele, doména a uživatelské jméno
- Pouze zobrazované jméno uživatele
- Nezobrazovat informace o uživateli
Skrytí posledního přihlášeného uživatele
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayLastSignedIn
- Povolit – skryje uživatelské jméno.
- Nenakonfigurováno – Zobrazí se poslední uživatelské jméno.
Skrýt uživatelské jméno při přihlášení –Výchozí nastavení: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn
- Povolit – skryje uživatelské jméno.
- Nenakonfigurováno – Zobrazí se poslední uživatelské jméno.
Název přihlašovací zprávy
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Nastavte název zprávy pro uživatele, kteří se přihlašující.
Text zprávy o přihlášení
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Nastavte text zprávy pro uživatele, kteří se přihlašující.

Přístup k síti a zabezpečení

Anonymní přístup k pojmenovaným kanálům a sdíleným složkám
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
- Nenakonfigurováno – Omezte anonymní přístup ke sdílení a nastavení pojmenovaného kanálu. Platí pro nastavení, ke kterým je možné přistupovat anonymně.
- Blokovat – zakažte tuto zásadu a zpřístupňujete anonymní přístup.
Anonymní výčet účtů SAM
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
- Nenakonfigurováno – Anonymní uživatelé můžou vytvořit výčet účtů SAM.
- Blokovat – zabrání anonymnímu výčtu účtů SAM.
Anonymní výčet účtů a sdílených složek SAM
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
- Nenakonfigurováno – Anonymní uživatelé můžou vytvořit výčet názvů doménových účtů a síťových sdílených složek.
- Blok – zabrání anonymnímu výčtu účtů SAM a sdílených složek.
Hodnota hash lan manageru uložená při změně hesla
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Zjistěte, jestli se při příští změně hesla uloží hodnota hash hesel.
- Nenakonfigurováno – Hodnota hash není uložená.
- Block – Lan Manager (LM) ukládá hodnotu hash pro nové heslo.
Žádosti o ověření PKU2U
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests
- Nenakonfigurováno – Povolte požadavky PU2U.
- Blokovat – zablokuje žádosti o ověření PKU2U pro zařízení.
Omezení vzdálených připojení RPC k SAM
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
- Nenakonfigurováno – Použijte výchozí popisovač zabezpečení, který může uživatelům a skupinám umožnit vzdálená volání rpc sam.
- Povolit – Zakáže uživatelům a skupinám vzdálená volání RPC do Správce zabezpečení účtů (SAM), který ukládá uživatelské účty a hesla. Povolit také umožňuje změnit výchozí řetězec SDDL (Security Descriptor Definition Language) tak, aby uživatelům a skupinám explicitně povolil nebo odepřít provádění těchto vzdálených volání.
  - Popisovač zabezpečení
    Výchozí: Nenakonfigurováno
Minimální zabezpečení relací pro klienty založené na zprostředkovateli SSP protokolu NTLM
Výchozí: Žádné
LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Toto nastavení zabezpečení umožňuje serveru vyžadovat vyjednávání o 128bitovém šifrování nebo zabezpečení relace NTLMv2.
- Žádné
- Vyžadovat zabezpečení relace NTLMv2
- Vyžadovat 128bitové šifrování
- NTLMv2 a 128bitové šifrování
Minimální zabezpečení relací pro server založený na zprostředkovateli sdílených služeb NTLM
Výchozí: Žádné
LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Toto nastavení zabezpečení určuje, který ověřovací protokol výzvy a odpovědi se používá pro přihlášení k síti.
- Žádné
- Vyžadovat zabezpečení relace NTLMv2
- Vyžadovat 128bitové šifrování
- NTLMv2 a 128bitové šifrování
Úroveň ověřování lan Manageru
Výchozí: LM a NTLM
LocalPoliciesSecurityOptions CSP: NetworkSecurity_LANManagerAuthenticationLevel
- LM a NTLM
- LM, NTLM a NTLMv2
- NTLM
- NTLMv2
- NTLMv2 a ne LM
- NTLMv2 a ne LM nebo NTLM
Nezabezpečená přihlášení hostů
Výchozí: Nenakonfigurováno
LanmanWorkstation CSP: LanmanWorkstation

Pokud toto nastavení povolíte, klient SMB odmítne nezabezpečená přihlášení hosta.
- Nenakonfigurováno
- Blok – klient SMB odmítne nezabezpečená přihlášení hosta.

Konzola pro zotavení a vypnutí

Vymazání stránkovacího souboru virtuální paměti při vypínání
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: Shutdown_ClearVirtualMemoryPageFile
- Povolit – vymažte stránkovací soubor virtuální paměti, když je zařízení vypnuté.
- Nenakonfigurováno – Nevymaže virtuální paměť.
Vypnutí bez přihlášení
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
- Blokovat – skryje možnost vypnutí na přihlašovací obrazovce Windows. Uživatelé se musí přihlásit k zařízení a pak ho vypnout.
- Nenakonfigurováno – Povolí uživatelům vypnout zařízení z přihlašovací obrazovky Windows.

Řízení uživatelských účtů

Integrita UIA bez zabezpečeného umístění
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
- Blokovat – Aplikace, které jsou v zabezpečeném umístění v systému souborů, se poběží jenom s integritou UIAccess.
- Nenakonfigurováno – Umožňuje aplikacím spouštět s integritou UIAccess, i když aplikace nejsou v zabezpečeném umístění v systému souborů.
Virtualizace selhání zápisu souborů a registru do umístění jednotlivých uživatelů
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
- Povoleno – Aplikace, které zapisuje data do chráněných umístění, selžou.
- Nenakonfigurováno – Selhání zápisu aplikace se za běhu přesměrovávají do definovaných umístění uživatelů pro systém souborů a registr.
Zvýšení úrovně pouze spustitelných souborů, které jsou podepsané a ověřené
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
- Povoleno – Před spuštěním spustitelného souboru vynucujte ověření certifikační cesty PKI.
- Nenakonfigurováno – Nevynucujte ověření cesty certifikace PKI před spuštěním spustitelného souboru.

Chování výzvy ke zvýšení oprávnění UIA

Výzva ke zvýšení oprávnění pro správce
Výchozí: Výzva k vyjádření souhlasu pro binární soubory jiného systému než Windows
LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Definujte chování výzvy ke zvýšení oprávnění pro správce v režimu Správa schválení.
- Nenakonfigurováno
- Zvýšení úrovně bez zobrazení výzvy
- Výzva k zadání přihlašovacích údajů na zabezpečené ploše
- Výzva k zadání přihlašovacích údajů
- Výzva k vyjádření souhlasu
- Výzva k vyjádření souhlasu pro binární soubory jiného systému než Windows
Výzva ke zvýšení oprávnění pro standardní uživatele
Výchozí: Výzva k zadání přihlašovacích údajů
LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Definujte chování výzvy ke zvýšení oprávnění pro standardní uživatele.
- Nenakonfigurováno
- Automaticky zamítnout žádosti o zvýšení oprávnění
- Výzva k zadání přihlašovacích údajů na zabezpečené ploše
- Výzva k zadání přihlašovacích údajů
Směrování výzev ke zvýšení oprávnění na interaktivní plochu uživatele
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
- Povoleno – všechny žádosti o zvýšení oprávnění mají přejít na plochu interaktivního uživatele, nikoli na zabezpečenou plochu. Použijí se všechna nastavení zásad chování výzev pro správce a standardní uživatele.
- Nenakonfigurováno – Vynutí, aby všechny žádosti o zvýšení oprávnění přešly na zabezpečenou plochu bez ohledu na nastavení zásad chování výzev pro správce a standardní uživatele.
Výzva se zvýšenými oprávněními pro instalace aplikací
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
- Povoleno – Instalační balíčky aplikací se nerozpoznají nebo se nezobrazí výzva ke zvýšení oprávnění.
- Nenakonfigurováno – Pokud instalační balíček aplikace vyžaduje zvýšená oprávnění, zobrazí se uživatelům výzva k zadání uživatelského jména a hesla pro správu.
Výzva ke zvýšení oprávnění UIA bez zabezpečené plochy
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Povolit – Povolí aplikacím UIAccess, aby zobrazovaly výzvy ke zvýšení oprávnění, aniž by používaly zabezpečenou plochu.
Nenakonfigurováno – Výzvy ke zvýšení oprávnění používají zabezpečenou plochu.

režim schválení Správa

Správa režim schválení pro předdefinovaného správce
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: UserAccountControl_UseAdminApprovalMode
- Povoleno – Povolí integrovanému účtu správce používat režim schválení Správa. Každá operace, která vyžaduje zvýšení oprávnění, vyzve uživatele ke schválení operace.
- Nenakonfigurováno – spouští všechny aplikace s úplnými oprávněními správce.
Spuštění všech správců v režimu schválení Správa
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode
- Povoleno – Povolí režim schválení Správa.
- Nenakonfigurováno – Zakažte režim schválení Správa a všechna související nastavení zásad řízení uživatelských dat.

Klient sítě Microsoft

Digitálně podepsat komunikaci (pokud s tím server souhlasí)
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Určuje, jestli klient SMB vyjedná podepisování paketů SMB.
- Blok – klient SMB nikdy nevyjednává podepisování paketů SMB.
- Nenakonfigurováno – Síťový klient Microsoftu požádá server o spuštění podepisování paketů SMB při nastavení relace. Pokud je podepisování paketů na serveru povolené, podepisování paketů se vyjedná.
Odeslání nešifrovaného hesla serverům SMB třetích stran
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
- Block – přesměrovač SMB (Server Message Block) může posílat hesla ve formátu prostého textu na jiné servery SMB než Microsoft, které během ověřování nepodporují šifrování hesla.
- Nenakonfigurováno – Zablokuje odesílání hesel ve formátu prostého textu. Hesla jsou šifrovaná.
Digitálně podepisovat komunikaci (vždy)
Výchozí: Nenakonfigurováno
LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways
- Povolit – síťový klient Microsoftu nekomunikuje se síťovým serverem Microsoftu, pokud tento server nesouhlasí s podepisováním paketů SMB.
- Nenakonfigurováno – podepisování paketů SMB se vyjednává mezi klientem a serverem.

Microsoft Network Server

Digitálně podepsat komunikaci (pokud s tím klient souhlasí)
Výchozí: Nenakonfigurováno
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
- Povolit – síťový server Microsoftu vyjedná podepisování paketů SMB podle požadavku klienta. To znamená, že pokud je v klientovi povolené podepisování paketů, podepisování paketů se vyjedná.
- Nenakonfigurováno – Klient SMB nikdy nevyjednává podepisování paketů SMB.
Digitálně podepisovat komunikaci (vždy)
Výchozí: Nenakonfigurováno
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways
- Povolit – síťový server Microsoftu nekomunikuje se síťovým klientem Microsoftu, pokud tento klient nesouhlasí s podepisováním paketů SMB.
- Nenakonfigurováno – podepisování paketů SMB se vyjednává mezi klientem a serverem.

Služby Xbox

Úloha uložení hry na Xboxu
Výchozí: Nenakonfigurováno
CSP: TaskScheduler/EnableXboxGameSaveTask

Toto nastavení určuje, jestli je úloha uložení hry na Xboxu povolená nebo zakázaná.
- Povoleno
- Nenakonfigurováno
Služba správy příslušenství pro Xbox
Výchozí: Ručně
CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupMode

Toto nastavení určuje typ spuštění služby Správa příslušenství.
- Ruční
- Automatické
- Zakázáno
Služba Správce ověřování služby Xbox Live
Výchozí: Ručně
CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupMode

Toto nastavení určuje typ spuštění služby Live Auth Manager.
- Ruční
- Automatické
- Zakázáno
Služba ukládání her Xbox Live
Výchozí: Ručně
CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupMode

Toto nastavení určuje typ spuštění služby Live Game Save Service.
- Ruční
- Automatické
- Zakázáno
Síťová služba Xbox Live
Výchozí: Ručně
CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupMode

Toto nastavení určuje typ spuštění síťové služby.
- Ruční
- Automatické
- Zakázáno

Další kroky

Profil se vytvoří, ale zatím nic nedělá. Dále přiřaďte profil a sledujte jeho stav.

Konfigurace nastavení ochrany koncových bodů na zařízeních s macOS