Share via

Támadásifelület-csökkentési szabályzat beállításai a végpontbiztonsághoz az Intune-ban

  • Cikk

Tekintse meg az Intune végpontbiztonsági csomópontjának Támadásifelület-csökkentési szabályzat profiljaiban konfigurálható beállításokat egy végpontbiztonsági szabályzat részeként.

Érintett szolgáltatás:

  • Windows 11
  • Windows 10

Támogatott platformok és profilok:

  • Windows 10 és újabb verziók – Ezt a platformot az Intune-nal felügyelt eszközökre telepített szabályzatokhoz használhatja.

    • Profil: Alkalmazás- és böngészőelkülönítés
    • Profil: Alkalmazásvezérlő
    • Profil: Támadásifelület-csökkentési szabályok
    • Profil: Eszközvezérlés
    • Profil: Biztonsági rés kiaknázása elleni védelem
    • Profil: Webvédelem (Microsoft Edge régi verziója)

  • Windows 10 és újabb verziók (ConfigMgr): Ezt a platformot a Configuration Manager által felügyelt eszközökre telepített szabályzatokhoz használja.

    • Profil: Exploit Protection(ConfigMgr)(előzetes verzió)
    • Profil: Web Protection (ConfigMgr)(előzetes verzió)

  • Windows 10, Windows 11 és Windows Server: Ezt a platformot a security management for Végponthoz készült Microsoft Defender által felügyelt eszközökre telepített szabályzatokhoz használhatja.

    • Profil: Támadásifelület-csökkentési szabályok

Támadási felület csökkentése (MDM)

Alkalmazás- és böngészőelkülönítési profil

Megjegyzés:

Ez a szakasz a 2023. április 18. előtt létrehozott alkalmazás- és böngészőelkülönítési profilok beállításait ismerteti. A dátum után létrehozott profilok a beállítások katalógusában található új beállításformátumot használják. Ezzel a módosítással már nem hozhat létre új verziókat a régi profilból, és már nem fejlesztik őket. Bár a régebbi profilból már nem hozhat létre új példányokat, továbbra is szerkesztheti és használhatja a korábban létrehozott példányokat.

Az új beállításformátumot használó profilok esetében az Intune már nem tartja fenn az egyes beállítások név szerinti listáját. Ehelyett az egyes beállítások neve, a konfigurációs beállítások és a Microsoft Intune Felügyeleti központban látható magyarázó szöveg közvetlenül a beállítások mérvadó tartalmából származik. Ez a tartalom további információt nyújthat a beállítás megfelelő kontextusban való használatáról. A beállítások információs szövegének megtekintésekor a További információ hivatkozással megnyithatja a tartalmat.

Alkalmazás- és böngészőelkülönítés

  • A Alkalmazásőr bekapcsolása
    CSP: AllowWindowsDefenderApplicationGuard

    • Nincs konfigurálva (alapértelmezett) – a Microsoft Defender alkalmazásőr nincs konfigurálva Microsoft Edge- vagy izolált Windows-környezetekhez.
    • Engedélyezve az Edge-ben – Alkalmazásőr nem jóváhagyott webhelyeket nyit meg egy Hyper-V virtualizált böngészési tárolóban.
    • Engedélyezve izolált Windows-környezetekben – Alkalmazásőr be van kapcsolva minden olyan alkalmazáshoz, amely engedélyezve van az App Guardhoz a Windowson belül.
    • Engedélyezve az Edge ÉS az elkülönített Windows-környezetekhez – Alkalmazásőr mindkét forgatókönyvhöz konfigurálva van.

    Megjegyzés:

    Ha Alkalmazásőr telepít a Microsoft Edge-hez az Intune-on keresztül, a Windows hálózatelkülönítési szabályzatát előfeltételként kell konfigurálni. A hálózatelkülönítés különböző profilokkal konfigurálható, beleértve az alkalmazás- és broswer-elkülönítést a Windows hálózatelkülönítési beállítása alatt.

    Ha Az Edge-hez engedélyezve vagy Az Edge-hez engedélyezve és az elkülönített Windows-környezetekhez van beállítva, a következő beállítások érhetők el, amelyek az Edge-re vonatkoznak:

    • A vágólap viselkedése
      CSP: Vágólapbeállítások

      Válassza ki, hogy milyen másolási és beillesztési műveletek engedélyezettek a helyi számítógépen és egy Alkalmazásőr virtuális böngészőben.

      • Nincs konfigurálva (alapértelmezett)
      • Másolás és beillesztés letiltása a számítógép és a böngésző között
      • Másolás és beillesztés engedélyezése böngészőből pc-be
      • Másolás és beillesztés engedélyezése pc-ről böngészőre
      • Másolás és beillesztés engedélyezése a számítógép és a böngésző között

    • Külső tartalom letiltása nem vállalati jóváhagyott webhelyekről
      CSP: BlockNonEnterpriseContent

      • Nincs konfigurálva (alapértelmezett)
      • Igen – Letilthatja a nem jóváhagyott webhelyekről származó tartalmak betöltését.

    • Naplók gyűjtése Alkalmazásőr böngészési munkamenetben előforduló eseményekhez
      CSP: AuditApplicationGuard

      • Nincs konfigurálva (alapértelmezett)
      • Igen – Naplókat gyűjthet az Alkalmazásőr virtuális böngészési munkamenetben előforduló eseményekről.

    • A felhasználó által létrehozott böngészőadatok mentésének engedélyezése
      CSP: AllowPersistence

      • Nincs konfigurálva (alapértelmezett)
      • Igen – Az Alkalmazásőr virtuális böngészési munkamenet során létrehozott felhasználói adatok mentésének engedélyezése. A felhasználói adatok közé tartoznak például a jelszavak, a kedvencek és a cookie-k.

    • Hardveres grafikus gyorsítás engedélyezése
      CSP: AllowVirtualGPU

      • Nincs konfigurálva (alapértelmezett)
      • Igen – A Alkalmazásőr virtuális böngészési munkamenetben használjon virtuális grafikus feldolgozóegységet a nagy grafikai igényű webhelyek gyorsabb betöltéséhez.

    • Fájlok letöltésének engedélyezése a gazdagépre
      CSP: SaveFilesToHost

      • Nincs konfigurálva (alapértelmezett)
      • Igen – Lehetővé teszi, hogy a felhasználók fájlokat töltsenek le a virtualizált böngészőből a gazdagép operációs rendszerére.

    • Alkalmazásőr kamera- és mikrofonhozzáférés engedélyezése
      CSP: AllowCameraMicrophoneRedirection

      • Nincs konfigurálva (alapértelmezett) – A Microsoft Defender alkalmazásőr belüli alkalmazások nem tudják elérni a kamerát és a mikrofont a felhasználó eszközén.
      • Igen – A Microsoft Defender alkalmazásőr belüli alkalmazások hozzáférhetnek a kamerához és a mikrofonhoz a felhasználó eszközén.
      • Nem – A Microsoft Defender alkalmazásőr belüli alkalmazások nem tudják elérni a kamerát és a mikrofont a felhasználó eszközén. Ez ugyanaz a viselkedés, mint a Nincs konfigurálva.

  • Az Alkalmazásőr lehetővé teszi a nyomtatást a helyi nyomtatókra

    • Nincs konfigurálva (alapértelmezett)
    • Igen – Engedélyezi a helyi nyomtatókra való nyomtatást.

  • Az Alkalmazásőr hálózati nyomtatókra való nyomtatást engedélyez

    • Nincs konfigurálva (alapértelmezett)
    • Igen – Nyomtatás engedélyezése hálózati nyomtatókra.

  • Az Alkalmazásőr engedélyezi a PDF-be való nyomtatást

    • Nincs konfigurálva (alapértelmezett)
    • Igen – Nyomtatás engedélyezése PDF-be.

  • Az Alkalmazásőr lehetővé teszi a nyomtatást XPS-be

    • Nincs konfigurálva (alapértelmezett)
    • Igen – Nyomtatás engedélyezése XPS-be.

  • Alkalmazásőr a főtanúsítvány-hitelesítésszolgáltatók használatának engedélyezése a felhasználó eszközéről
    CSP: CertificateThumbprints

    Konfigurálja a tanúsítvány ujjlenyomatait úgy, hogy az automatikusan átvihesse a megfelelő főtanúsítványt a Microsoft Defender alkalmazásőr tárolóba.

    Ujjlenyomatok egyenkénti hozzáadásához válassza a Hozzáadás lehetőséget. Az Importálás paranccsal megadhat egy .CSV fájlt, amely több ujjlenyomat-bejegyzést tartalmaz, amelyek mind egyszerre lettek hozzáadva a profilhoz. Ha .CSV fájlt használ, minden ujjlenyomatot vesszővel kell elválasztani. Például: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

    A profilban felsorolt összes bejegyzés aktív. Az aktívvá tételhez nem kell bejelölnie az ujjlenyomat-bejegyzés jelölőnégyzetét. Ehelyett a jelölőnégyzetekkel kezelheti a profilhoz hozzáadott bejegyzéseket. Bejelölheti például egy vagy több tanúsítvány-ujjlenyomat-bejegyzés jelölőnégyzetét, majd egyetlen művelettel törölheti ezeket a bejegyzéseket a profilból.

  • Windows hálózatelkülönítési szabályzat

    • Nincs konfigurálva (alapértelmezett)
    • Igen – Konfigurálja a Windows hálózatelkülönítési szabályzatát.

    Ha az Igen értékre van állítva, a következő beállításokat konfigurálhatja:

    • IP-tartományok
      Bontsa ki a legördülő menüt, válassza a Hozzáadás lehetőséget, majd adjon meg egy alsó és egy felső címet.

    • Felhőbeli erőforrások
      Bontsa ki a legördülő listát, válassza a Hozzáadás lehetőséget, majd adjon meg egy IP-címet vagy teljes tartománynevet és egy proxyt.

    • Hálózati tartományok
      Bontsa ki a legördülő menüt, válassza a Hozzáadás lehetőséget, majd adja meg a Hálózati tartományok elemet.

    • Proxykiszolgálók
      Bontsa ki a legördülő menüt, válassza a Hozzáadás, majd a Proxykiszolgálók lehetőséget.

    • Belső proxykiszolgálók
      Bontsa ki a legördülő menüt, válassza a Hozzáadás, majd a Belső proxykiszolgálók lehetőséget.

    • Semleges erőforrások
      Bontsa ki a legördülő menüt, válassza a Hozzáadás, majd a Semleges erőforrások lehetőséget.

    • Más vállalati proxykiszolgálók automatikus észlelésének letiltása

      • Nincs konfigurálva (alapértelmezett)
      • Igen – Letilthatja más vállalati proxykiszolgálók automatikus észlelését.

    • Egyéb vállalati IP-tartományok automatikus észlelésének letiltása

      • Nincs konfigurálva (alapértelmezett)
      • Igen – Letilthatja a többi vállalati IP-címtartomány automatikus észlelését.

    Megjegyzés:

    A profil létrehozása után minden olyan eszköz, amelyre a szabályzatnak vonatkoznia kell, engedélyezve lesz Microsoft Defender alkalmazásőr. Előfordulhat, hogy a védelem érdekében a felhasználóknak újra kell indítaniuk az eszközeiket.

Alkalmazásvezérlési profil

Microsoft Defender alkalmazásvezérlés

  • Alkalmazástároló alkalmazásvezérlése
    CSP: AppLocker

    • Nincs konfigurálva (alapértelmezett)
    • Összetevők és áruházbeli alkalmazások kényszerítése
    • Összetevők és áruházbeli alkalmazások naplózása
    • Összetevők, Áruházbeli alkalmazások és Smartlocker kényszerítése
    • Összetevők, Áruházbeli alkalmazások és SmartLocker naplózása

  • A SmartScreen-figyelmeztetések figyelmen kívül hagyásának letiltása a felhasználók számára
    CSP: SmartScreen/PreventOverrideForFilesInShell

    • Nincs konfigurálva (alapértelmezett) – A felhasználók figyelmen kívül hagyhatják a SmartScreen-figyelmeztetéseket a fájlokra és a kártékony alkalmazásokra vonatkozóan.
    • Igen – A SmartScreen engedélyezve van, és a felhasználók nem kerülhetik meg a fájlokra vagy rosszindulatú alkalmazásokra vonatkozó figyelmeztetéseket.

  • A Windows SmartScreen bekapcsolása
    CSP: SmartScreen/EnableSmartScreenInShell

    • Nincs konfigurálva (alapértelmezett) – Adja vissza a beállítást a Windows alapértelmezett értékére, amely a SmartScreen engedélyezését teszi lehetővé, de a felhasználók módosíthatják ezt a beállítást. A SmartScreen letiltásához használjon egyéni URI-t.
    • Igen – A SmartScreen használatának kényszerítése minden felhasználó számára.

Támadásifelület-csökkentési szabályok profilja

Támadásifelület-csökkentési szabályok

A támadásifelület-csökkentési szabályokról a Microsoft 365 dokumentációjának Támadásifelület-csökkentési szabályokra vonatkozó referenciaanyagában talál további információt.

Megjegyzés:

Ez a szakasz a 2022. április 5. előtt létrehozott Támadásifelület-csökkentési szabályok profilok beállításait ismerteti. A dátum után létrehozott profilok a beállítások katalógusában található új beállításformátumot használják. Ezzel a módosítással már nem hozhat létre új verziókat a régi profilból, és már nem fejlesztik őket. Bár a régebbi profilból már nem hozhat létre új példányokat, továbbra is szerkesztheti és használhatja a korábban létrehozott példányokat.

Az új beállításformátumot használó profilok esetében az Intune már nem tartja fenn az egyes beállítások név szerinti listáját. Ehelyett az egyes beállítások neve, a konfigurációs beállítások és a Microsoft Intune Felügyeleti központban látható magyarázó szöveg közvetlenül a beállítások mérvadó tartalmából származik. Ez a tartalom további információt nyújthat a beállítás megfelelő kontextusban való használatáról. A beállítások információs szövegének megtekintésekor a További információ hivatkozással megnyithatja a tartalmat.

  • Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül
    Támadási felületek csökkentése támadásifelület-csökkentési szabályokkal

    Ez a támadásifelület-csökkentési (ASR) szabály a következő GUID-azonosítóval szabályozható: e6db77e5-3df2-4cf1-b95a-636979351e5b

    Ez a szabály megakadályozza, hogy a kártevők visszaéljenek a WMI-vel az eszközön való megőrzés érdekében. A fájl nélküli fenyegetések különböző taktikákat alkalmaznak, hogy rejtve maradjanak, hogy ne legyenek láthatók a fájlrendszerben, és rendszeres végrehajtás-vezérlést szerezzenek. Egyes fenyegetések visszaélhetnek a WMI-adattárral és az eseménymodellel, hogy rejtve maradjanak.

    • Nincs konfigurálva (alapértelmezett) – A beállítás visszaáll a Windows alapértelmezett beállítására, amely ki van kapcsolva, és az adatmegőrzés nincs letiltva.
    • Blokk – A WMI-ben történő adatmegőrzés le van tiltva.
    • Naplózás – Értékelje ki, hogy ez a szabály milyen hatással van a szervezetére, ha engedélyezve van (letiltva).
    • Letiltás – Kapcsolja ki ezt a szabályt. Az adatmegőrzés nincs letiltva.

    További információ erről a beállításról: Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül.

  • A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása
    Eszközök védelme a biztonsági rések kiaknázása ellen

    Ez a támadásifelület-csökkentési (ASR) szabály a következő GUID-azonosítóval szabályozható: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • Nincs konfigurálva (alapértelmezett) – A beállítás visszaáll a Windows alapértelmezett értékére, amely ki van kapcsolva.
    • Felhasználó által definiált
    • Engedélyezés – A hitelesítő adatok lsass.exe keresztüli ellopására tett kísérletek le vannak tiltva.
    • Naplózási mód – A felhasználók nem lesznek blokkolva a veszélyes tartományokban, és a Windows-események is létre lesznek állítva.
    • Figyelmeztetés – Windows 10 1809-es vagy újabb és Windows 11-es verzió esetén az eszköz felhasználója üzenetet kap, hogy megkerülheti a beállításblokkot. A Windows 10 korábbi verzióit futtató eszközökön a szabály kikényszeríti az Engedélyezés viselkedést.

  • Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben
    Támadási felületek csökkentése támadásifelület-csökkentési szabályokkal

    Ez az ASR-szabály a következő GUID-azonosítóval szabályozható: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

    • Nincs konfigurálva (alapértelmezett) – A Windows alapértelmezett beállítása a gyermekfolyamatok létrehozásának tiltása.
    • Felhasználó által definiált
    • Engedélyezés – Az Adobe Reader nem hozhat létre gyermekfolyamatokat.
    • Naplózási mód – A gyermekfolyamatok blokkolása helyett Windows-események jönnek létre.
    • Figyelmeztetés – Windows 10 1809-es vagy újabb és Windows 11-es verzió esetén az eszköz felhasználója üzenetet kap, hogy megkerülheti a beállításblokkot. A Windows 10 korábbi verzióit futtató eszközökön a szabály kikényszeríti az Engedélyezés viselkedést.

  • Az Office-alkalmazások kódot injektálásának letiltása más folyamatokba
    Eszközök védelme a biztonsági rések kiaknázása ellen

    Ez az ASR-szabály a következő GUID-val szabályozható: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • Nincs konfigurálva (alapértelmezett) – A beállítás visszaáll a Windows alapértelmezett értékére, amely ki van kapcsolva.
    • Blokk – Az Office-alkalmazások nem ágyazhatják be a kódot más folyamatokba.
    • Naplózási mód – Blokkolás helyett Windows-események jönnek létre.
    • Figyelmeztetés – Windows 10 1809-es vagy újabb és Windows 11-es verzió esetén az eszköz felhasználója üzenetet kap, hogy megkerülheti a beállításblokkot. A Windows 10 korábbi verzióit futtató eszközökön a szabály kikényszeríti az Engedélyezés viselkedést.
    • Letiltás – Ez a beállítás ki van kapcsolva.

  • Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása
    Eszközök védelme a biztonsági rések kiaknázása ellen

    Ez az ASR-szabály a következő GUID-azonosítóval szabályozható: 3B576869-A4EC-4529-8536-B80A7769E899

    • Nincs konfigurálva (alapértelmezett) – A beállítás visszaáll a Windows alapértelmezett értékére, amely ki van kapcsolva.
    • Letiltás – Az Office-alkalmazások nem hozhatnak létre végrehajtható tartalmakat.
    • Naplózási mód – Blokkolás helyett Windows-események jönnek létre.
    • Figyelmeztetés – Windows 10 1809-es vagy újabb és Windows 11-es verzió esetén az eszköz felhasználója üzenetet kap, hogy megkerülheti a beállításblokkot. A Windows 10 korábbi verzióit futtató eszközökön a szabály kikényszeríti az Engedélyezés viselkedést.
    • Letiltás – Ez a beállítás ki van kapcsolva.

  • Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása
    Eszközök védelme a biztonsági rések kiaknázása ellen

    Az ASR-szabály vezérlése a következő GUID-azonosítóval történik: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • Nincs konfigurálva (alapértelmezett) – A beállítás visszaáll a Windows alapértelmezett értékére, amely ki van kapcsolva.
    • Letiltás – Az Office-alkalmazások nem hozhatnak létre gyermekfolyamatokat.
    • Naplózási mód – Blokkolás helyett Windows-események jönnek létre.
    • Figyelmeztetés – Windows 10 1809-es vagy újabb és Windows 11-es verzió esetén az eszköz felhasználója üzenetet kap, hogy megkerülheti a beállításblokkot. A Windows 10 korábbi verzióit futtató eszközökön a szabály kikényszeríti az Engedélyezés viselkedést.
    • Letiltás – Ez a beállítás ki van kapcsolva.

  • Win32 API-hívások letiltása Office-makróból
    Eszközök védelme a biztonsági rések kiaknázása ellen

    Az ASR-szabály vezérlése a következő GUID-azonosítóval történik: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

    • Nincs konfigurálva (alapértelmezett) – A beállítás visszaáll a Windows alapértelmezett értékére, amely ki van kapcsolva.
    • Letiltás – Az Office-makrók nem használhatnak Win32 API-hívásokat.
    • Naplózási mód – Blokkolás helyett Windows-események jönnek létre.
    • Figyelmeztetés – Windows 10 1809-es vagy újabb és Windows 11-es verzió esetén az eszköz felhasználója üzenetet kap, hogy megkerülheti a beállításblokkot. A Windows 10 korábbi verzióit futtató eszközökön a szabály kikényszeríti az Engedélyezés viselkedést.
    • Letiltás – Ez a beállítás ki van kapcsolva.

  • Az Office kommunikációs alkalmazások gyermekfolyamatok létrehozásának letiltása
    Eszközök védelme a biztonsági rések kiaknázása ellen

    Ez az ASR-szabály a következő GUID azonosítóval szabályozható: 26190899-1602-49e8-8b27-eb1d0a1ce869.

    • Nincs konfigurálva (alapértelmezett) – A Windows alapértelmezett beállítása visszaállítva, azaz nem blokkolja a gyermekfolyamatok létrehozását.
    • Felhasználó által definiált
    • Engedélyezés – Az Office kommunikációs alkalmazásai nem hozhatnak létre gyermekfolyamatokat.
    • Naplózási mód – A gyermekfolyamatok blokkolása helyett Windows-események jönnek létre.
    • Figyelmeztetés – Windows 10 1809-es vagy újabb és Windows 11-es verzió esetén az eszköz felhasználója üzenetet kap, hogy megkerülheti a beállításblokkot. A Windows 10 korábbi verzióit futtató eszközökön a szabály kikényszeríti az Engedélyezés viselkedést.

  • A potenciálisan rejtjelezett szkriptek (js/vbs/ps) végrehajtásának letiltása
    Eszközök védelme a biztonsági rések kiaknázása ellen

    Ez az ASR-szabály a következő GUID azonosítóval vezérelhető: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • Nincs konfigurálva (alapértelmezett) – A beállítás visszaáll a Windows alapértelmezett értékére, amely ki van kapcsolva.
    • Blokk – A Defender blokkolja az elfedt szkriptek végrehajtását.
    • Naplózási mód – Blokkolás helyett Windows-események jönnek létre.
    • Figyelmeztetés – Windows 10 1809-es vagy újabb és Windows 11-es verzió esetén az eszköz felhasználója üzenetet kap, hogy megkerülheti a beállításblokkot. A Windows 10 korábbi verzióit futtató eszközökön a szabály kikényszeríti az Engedélyezés viselkedést.
    • Letiltás – Ez a beállítás ki van kapcsolva.

  • A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában
    Eszközök védelme a biztonsági rések kiaknázása ellen

    Ez az ASR-szabály a következő GUID-azonosítóval szabályozható: D3E037E1-3EB8-44C8-A917-57927947596D

    • Nincs konfigurálva (alapértelmezett) – A beállítás visszaáll a Windows alapértelmezett értékére, amely ki van kapcsolva.
    • Blokk – A Defender blokkolja az internetről letöltött JavaScript- vagy VBScript-fájlokat a végrehajtásuktól.
    • Naplózási mód – Blokkolás helyett Windows-események jönnek létre.
    • Letiltás – Ez a beállítás ki van kapcsolva.

  • PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása
    Eszközök védelme a biztonsági rések kiaknázása ellen

    Ez az ASR-szabály a következő GUID-azonosítóval szabályozható: d1e49aac-8f56-4280-b9ba-993a6d77406c

    • Nincs konfigurálva (alapértelmezett) – A beállítás visszaáll a Windows alapértelmezett értékére, amely ki van kapcsolva.
    • Blokkolás – A PSExec- vagy WMI-parancsok által létrehozott folyamatok le vannak tiltva.
    • Naplózási mód – Blokkolás helyett Windows-események jönnek létre.
    • Figyelmeztetés – Windows 10 1809-es vagy újabb és Windows 11-es verzió esetén az eszköz felhasználója üzenetet kap, hogy megkerülheti a beállításblokkot. A Windows 10 korábbi verzióit futtató eszközökön a szabály kikényszeríti az Engedélyezés viselkedést.
    • Letiltás – Ez a beállítás ki van kapcsolva.

  • USB-ről futtatott nem megbízható és aláíratlan folyamatok letiltása
    Eszközök védelme a biztonsági rések kiaknázása ellen

    Ez az ASR-szabály a következő GUID-azonosítóval szabályozható: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • Nincs konfigurálva (alapértelmezett) – A beállítás visszaáll a Windows alapértelmezett értékére, amely ki van kapcsolva.
    • Blokkolás – Az USB-meghajtóról futtatott nem megbízható és aláíratlan folyamatok le vannak tiltva.
    • Naplózási mód – Blokkolás helyett Windows-események jönnek létre.
    • Figyelmeztetés – Windows 10 1809-es vagy újabb és Windows 11-es verzió esetén az eszköz felhasználója üzenetet kap, hogy megkerülheti a beállításblokkot. A Windows 10 korábbi verzióit futtató eszközökön a szabály kikényszeríti az Engedélyezés viselkedést.
    • Letiltás – Ez a beállítás ki van kapcsolva.

  • A végrehajtható fájlok futásának letiltása, ha nem felelnek meg az előfordulási gyakoriságra, az életkorra vagy a megbízható listára vonatkozó feltételeknek
    Eszközök védelme a biztonsági rések kiaknázása ellen

    Ez az ASR-szabály a következő GUID-azonosítóval szabályozható: 01443614-cd74-433a-b99e-2ecdc07bfc25e

    • Nincs konfigurálva (alapértelmezett) – A beállítás visszaáll a Windows alapértelmezett értékére, amely ki van kapcsolva.
    • Letiltás
    • Naplózási mód – Blokkolás helyett Windows-események jönnek létre.
    • Figyelmeztetés – Windows 10 1809-es vagy újabb és Windows 11-es verzió esetén az eszköz felhasználója üzenetet kap, hogy megkerülheti a beállításblokkot. A Windows 10 korábbi verzióit futtató eszközökön a szabály kikényszeríti az Engedélyezés viselkedést.
    • Letiltás – Ez a beállítás ki van kapcsolva.

  • Végrehajtható tartalom letöltésének letiltása e-mail- és webposta-ügyfelekről
    Eszközök védelme a biztonsági rések kiaknázása ellen

    • Nincs konfigurálva (alapértelmezett) – A beállítás visszaáll a Windows alapértelmezett értékére, amely ki van kapcsolva.
    • Letiltás – Az e-mail- és webposta-ügyfelekről letöltött végrehajtható tartalmak le vannak tiltva.
    • Naplózási mód – Blokkolás helyett Windows-események jönnek létre.
    • Figyelmeztetés – Windows 10 1809-es vagy újabb és Windows 11-es verzió esetén az eszköz felhasználója üzenetet kap, hogy megkerülheti a beállításblokkot. A Windows 10 korábbi verzióit futtató eszközökön a szabály kikényszeríti az Engedélyezés viselkedést.
    • Letiltás – Ez a beállítás ki van kapcsolva.

  • Speciális védelem használata zsarolóprogramok ellen
    Eszközök védelme a biztonsági rések kiaknázása ellen

    Ez az ASR-szabály a következő GUID-azonosítóval szabályozható: c1db55ab-c21a-4637-bb3f-a12568109d35

    • Nincs konfigurálva (alapértelmezett) – A beállítás visszaáll a Windows alapértelmezett értékére, amely ki van kapcsolva.
    • Felhasználó által definiált
    • Engedélyezi
    • Naplózási mód – A windowsos események blokkolás helyett jönnek létre.

  • Mappavédelem engedélyezése
    CSP: EnableControlledFolderAccess

    • Nincs konfigurálva (alapértelmezett) – Ez a beállítás visszaáll az alapértelmezett értékre, amely nem blokkolja az olvasást vagy az írást.
    • Engedélyezés – A nem megbízható alkalmazások esetében a Defender letiltja a védett mappákban lévő fájlok módosítását vagy törlését, illetve a lemezszektorokba való írást. A Defender automatikusan meghatározza, hogy mely alkalmazások megbízhatók. Másik lehetőségként definiálhatja a megbízható alkalmazások saját listáját.
    • Naplózási mód – Windows-események akkor jönnek létre, amikor a nem megbízható alkalmazások vezérelt mappákhoz férnek hozzá, de a rendszer nem kényszerít blokkokat.
    • Lemezmódosítás letiltása – A rendszer csak a lemezszektorokra való írási kísérleteket tiltja le.
    • Lemezmódosítás naplózása – Windows-események jönnek létre a lemezszektorokra való írási kísérletek blokkolása helyett.

  • A védeni kívánt további mappák listája
    CSP: ControlledFolderAccessProtectedFolders

    Adja meg azon lemezhelyek listáját, amelyek védve lesznek a nem megbízható alkalmazásoktól.

  • A védett mappákhoz hozzáféréssel rendelkező alkalmazások listája
    CSP: ControlledFolderAccessAllowedApplications

    Definiálja azoknak az alkalmazásoknak a listáját, amelyek olvasási/írási hozzáféréssel rendelkeznek a szabályozott helyekre.

  • Fájlok és elérési utak kizárása a támadásifelület-csökkentési szabályokból
    CSP: AttackSurfaceReductionOnlyExclusions

    Bontsa ki a legördülő menüt, majd válassza a Hozzáadás lehetőséget egy fájl vagy mappa elérési útjának meghatározásához, amely kizárható a támadásifelület-csökkentési szabályokból.

Eszközvezérlési profil

Eszközvezérlő

Megjegyzés:

Ez a szakasz a 2022. május 23. előtt létrehozott eszközvezérlési profilokban található beállításokat ismerteti. A dátum után létrehozott profilok a beállítások katalógusában található új beállításformátumot használják. Bár az eredeti profil új példányai már nem hozhatók létre, továbbra is szerkesztheti és használhatja a meglévő profilokat.

Az új beállításformátumot használó profilok esetében az Intune már nem tartja fenn az egyes beállítások név szerinti listáját. Ehelyett az egyes beállítások neve, a konfigurációs beállítások és a Microsoft Intune Felügyeleti központban látható magyarázó szöveg közvetlenül a beállítások mérvadó tartalmából származik. Ez a tartalom további információt nyújthat a beállítás megfelelő kontextusban való használatáról. A beállítások információs szövegének megtekintésekor a További információ hivatkozással megnyithatja a tartalmat.

  • Hardvereszközök eszközazonosítók szerinti telepítésének engedélyezése

    • Nincs konfigurálva(alapértelmezett)
    • Igen – A Windows telepíthet vagy frissíthet minden olyan eszközt, amelynek Plug and Play hardverazonosítója vagy kompatibilis azonosítója megjelenik a létrehozott listában, kivéve, ha egy másik házirend-beállítás kifejezetten megakadályozza a telepítést. Ha engedélyezi ezt a házirend-beállítást egy távoli asztali kiszolgálón, a házirend-beállítás hatással van a megadott eszközök távoli asztali ügyfélről a távoli asztali kiszolgálóra való átirányítására.
    • Nem

    Ha az Igen értékre van állítva, a következő beállításokat konfigurálhatja:

    • Engedélyezési lista – Az eszközazonosítók listájának kezeléséhez használja a Hozzáadás, az Importálás és az Exportálás lehetőséget.

  • Hardvereszközök eszközazonosítók szerinti telepítésének letiltása
    CSP: AllowInstallationOfMatchingDeviceIDs

    • Nincs konfigurálva(alapértelmezett)
    • Igen – Adja meg azoknak az Plug and Play hardverazonosítóknak és kompatibilis azonosítóknak a listáját, amelyeket a Windows nem telepít. Ez a házirend elsőbbséget élvez minden más olyan házirend-beállítással szemben, amely lehetővé teszi a Windows számára az eszközök telepítését. Ha engedélyezi ezt a házirend-beállítást egy távoli asztali kiszolgálón, a házirend-beállítás hatással van a megadott eszközök távoli asztali ügyfélről a távoli asztali kiszolgálóra való átirányítására.
    • Nem

    Ha az Igen értékre van állítva, a következő beállításokat konfigurálhatja:

    • Egyező hardvereszközök eltávolítása

      • Igen
      • Nincs konfigurálva(alapértelmezett)

    • Tiltólista – Az eszközazonosítók listájának kezeléséhez használja a Hozzáadás, az Importálás és az Exportálás lehetőséget.

  • Hardvereszközök telepítésének engedélyezése beállítási osztály szerint

    • Nincs konfigurálva(alapértelmezett)
    • Igen – A Windows telepíthet vagy frissíthet olyan eszközillesztőket, amelyek eszközbeállítási osztályának GUID-azonosítói megjelennek a létrehozott listában, kivéve, ha egy másik házirend-beállítás kifejezetten megakadályozza a telepítést. Ha engedélyezi ezt a házirend-beállítást egy távoli asztali kiszolgálón, a házirend-beállítás hatással van a megadott eszközök távoli asztali ügyfélről a távoli asztali kiszolgálóra való átirányítására.
    • Nem

    Ha az Igen értékre van állítva, a következő beállításokat konfigurálhatja:

    • Engedélyezési lista – Az eszközazonosítók listájának kezeléséhez használja a Hozzáadás, az Importálás és az Exportálás lehetőséget.

  • Hardvereszközök telepítésének letiltása beállítási osztályok szerint
    CSP: AllowInstallationOfMatchingDeviceSetupClasses

    • Nincs konfigurálva(alapértelmezett)
    • Igen – Adja meg azon eszközillesztők globálisan egyedi azonosítóinak (GUID-jainak) listáját, amelyeket a Windows nem telepít. Ez a házirend-beállítás elsőbbséget élvez minden más olyan házirend-beállítással szemben, amely lehetővé teszi a Windows számára az eszközök telepítését. Ha engedélyezi ezt a házirend-beállítást egy távoli asztali kiszolgálón, a házirend-beállítás hatással van a megadott eszközök távoli asztali ügyfélről a távoli asztali kiszolgálóra való átirányítására.
    • Nem

    Ha az Igen értékre van állítva, a következő beállításokat konfigurálhatja:

    • Egyező hardvereszközök eltávolítása

      • Igen
      • Nincs konfigurálva(alapértelmezett)

    • Tiltólista – Az eszközazonosítók listájának kezeléséhez használja a Hozzáadás, az Importálás és az Exportálás lehetőséget.

  • Hardvereszközök eszközpéldány-azonosítók szerinti telepítésének engedélyezése

    • Nincs konfigurálva(alapértelmezett)
    • Igen – A Windows bármely olyan eszközt telepíthet vagy frissíthet, amelynek Plug and Play eszközpéldány-azonosítója megjelenik a létrehozott listában, kivéve, ha egy másik házirend-beállítás kifejezetten megakadályozza a telepítést. Ha engedélyezi ezt a házirend-beállítást egy távoli asztali kiszolgálón, a házirend-beállítás hatással van a megadott eszközök távoli asztali ügyfélről a távoli asztali kiszolgálóra való átirányítására.
    • Nem

    Ha az Igen értékre van állítva, a következő beállításokat konfigurálhatja:

    • Engedélyezési lista – Az eszközazonosítók listájának kezeléséhez használja a Hozzáadás, az Importálás és az Exportálás lehetőséget.

  • Hardvereszközök eszközpéldány-azonosítók szerinti telepítésének letiltása
    Ha engedélyezi ezt a házirend-beállítást egy távoli asztali kiszolgálón, a házirend-beállítás hatással van a megadott eszközök távoli asztali ügyfélről a távoli asztali kiszolgálóra való átirányítására.

    • Nincs konfigurálva(alapértelmezett)
    • Igen – Adja meg azoknak az Plug and Play hardverazonosítóknak és kompatibilis azonosítóknak a listáját, amelyeket a Windows nem telepít. Ez a házirend elsőbbséget élvez minden más olyan házirend-beállítással szemben, amely lehetővé teszi a Windows számára az eszközök telepítését. Ha engedélyezi ezt a házirend-beállítást egy távoli asztali kiszolgálón, a házirend-beállítás hatással van a megadott eszközök távoli asztali ügyfélről a távoli asztali kiszolgálóra való átirányítására.
    • Nem

    Ha az Igen értékre van állítva, a következő beállításokat konfigurálhatja:

    • Egyező hardvereszközök eltávolítása

      • Igen
      • Nincs konfigurálva(alapértelmezett)

    • Tiltólista – Az eszközazonosítók listájának kezeléséhez használja a Hozzáadás, az Importálás és az Exportálás lehetőséget.

  • Cserélhető tároló írási hozzáférésének letiltása
    CSP: RemovableDiskDenyWriteAccess

    • Nincs konfigurálva(alapértelmezett)
    • Igen – A rendszer megtagadja az írási hozzáférést a cserélhető tárolóhoz.
    • Nem – Írási hozzáférés engedélyezett.

  • Cserélhető meghajtók vizsgálata teljes vizsgálat során
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • Nincs konfigurálva (alapértelmezett) – A beállítás visszaáll az alapértelmezett ügyfélre, amely megvizsgálja a cserélhető meghajtókat, de a felhasználó letilthatja ezt a vizsgálatot.
    • Igen – A teljes vizsgálat során a cserélhető meghajtókat (például USB flash meghajtókat) ellenőrzi a rendszer.

  • Közvetlen memória-hozzáférés letiltása
    CSP: DataProtection/AllowDirectMemoryAccess

    Ez a házirend-beállítás csak akkor lesz kényszerítve, ha a BitLocker vagy az eszköztitkosítás engedélyezve van.

    • Nincs konfigurálva (alapértelmezett)
    • Igen – tiltsa le a közvetlen memória-hozzáférést (DMA) az összes csatlakoztatott PCI alsóbb rétegbeli portjához, amíg egy felhasználó be nem jelentkezik a Windowsba. Miután egy felhasználó bejelentkezett, a Windows enumerálja a gazdagép plug PCI-portjaihoz csatlakoztatott PCI-eszközöket. Minden alkalommal, amikor a felhasználó zárolja a gépet, a DMA le van tiltva a gyakori elérésű PCI-portokon gyermekeszközök nélkül, amíg a felhasználó újra be nem jelentkezik. Azok az eszközök, amelyek már enumerálva lettek a számítógép zárolásának feloldásakor, továbbra is működni fognak, amíg le nem bontják a zárolást.

  • A Kernel DMA-védelemmel nem kompatibilis külső eszközök számbavétele
    CSP: DmaGuard/DeviceEnumerationPolicy

    Ez a szabályzat további biztonságot nyújthat a külső DMA-kompatibilis eszközökkel szemben. Lehetővé teszi a DMA remapping-/eszközmemória-elkülönítéssel és tesztkörnyezettel nem kompatibilis külső DMA-kompatibilis eszközök számbavételét.

    Ez a szabályzat csak akkor lép érvénybe, ha a rendszer belső vezérlőprogramja támogatja és engedélyezi a Kernel DMA-védelmet. A Kernel DMA Protection egy platformfunkció, amelyet a rendszernek támogatnia kell a gyártás során. Ha ellenőrizni szeretné, hogy a rendszer támogatja-e a Kernel DMA-védelmet, ellenőrizze a Kernel DMA Protection mezőt a MSINFO32.exe Összegzés lapján.

    • Nincs konfigurálva – (alapértelmezett)
    • Az összes letiltása
    • Az összes engedélyezése

  • Bluetooth-kapcsolatok letiltása
    CSP: Bluetooth/AllowDiscoverableMode

    • Nincs konfigurálva (alapértelmezett)
    • Igen – Letilthatja az eszközre és az eszközről érkező Bluetooth-kapcsolatokat.

  • Bluetooth-felderíthetőség letiltása
    CSP: Bluetooth/AllowDiscoverableMode

    • Nincs konfigurálva (alapértelmezett)
    • Igen – Megakadályozza, hogy más Bluetooth-kompatibilis eszközök felderíthessék az eszközt.

  • Bluetooth-előpárosítás letiltása
    CSP: Bluetooth/AllowPrepairing

    • Nincs konfigurálva (alapértelmezett)
    • Igen – Megakadályozza, hogy bizonyos Bluetooth-eszközök automatikusan párosíthatók a gazdaeszközzel.

  • Bluetooth-hirdetések letiltása
    CSP: Bluetooth/AllowAdvertising

    • Nincs konfigurálva (alapértelmezett)
    • Igen – Megakadályozza, hogy az eszköz Bluetooth-hirdetéseket küldjön.

  • Bluetooth proximális kapcsolatok letiltása
    CSP: Bluetooth/AllowPromptedProximalConnections Letiltja a felhasználók számára a Swift Pair és más közelségi forgatókönyvek használatát

    • Nincs konfigurálva (alapértelmezett)
    • Igen – Megakadályozza, hogy az eszköz felhasználója Swift Pair- és más közelségi forgatókönyveket használjon.

    Bluetooth/AllowPromptedProximalConnections CSP

  • Bluetooth-kompatibilis szolgáltatások
    CSP: Bluetooth/ServicesAllowedList.
    További információ a szolgáltatáslistáról: ServicesAllowedList használati útmutató

    • Add – Adja meg az engedélyezett Bluetooth-szolgáltatásokat és profilokat hexadecimális sztringként, például {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}: .
    • Importálás – Olyan .csv fájl importálása, amely hexadecimális sztringként tartalmazza a Bluetooth-szolgáltatások és -profilok listáját, például {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}

  • Cserélhető tároló
    CSP: Storage/RemovableDiskDenyWriteAccess

    • Letiltás (alapértelmezett) – Megakadályozza, hogy a felhasználók külső tárolóeszközöket, például SD-kártyákat használjanak az eszközzel.
    • Nincs konfigurálva

  • USB-kapcsolatok (csak HoloLens esetén)
    CSP: Kapcsolatok/AllowUSBConnection

    • Letiltás – Az eszköz és a számítógép közötti USB-kapcsolat használatának megakadályozása fájlok szinkronizálásához, illetve fejlesztői eszközök használata alkalmazások üzembe helyezéséhez vagy hibakereséséhez. Az USB-töltés nincs hatással.
    • Nincs konfigurálva (alapértelmezett)

Biztonsági rés kiaknázása elleni védelem profilja

Biztonsági rés kiaknázása elleni védelem

Megjegyzés:

Ez a szakasz a 2022. április 5. előtt létrehozott biztonsági rés kiaknázása elleni védelmi profilok között található beállításokat ismerteti. A dátum után létrehozott profilok a beállítások katalógusában található új beállításformátumot használják. Ezzel a módosítással már nem hozhat létre új verziókat a régi profilból, és már nem fejlesztik őket. Bár a régebbi profilból már nem hozhat létre új példányokat, továbbra is szerkesztheti és használhatja a korábban létrehozott példányokat.

Az új beállításformátumot használó profilok esetében az Intune már nem tartja fenn az egyes beállítások név szerinti listáját. Ehelyett az egyes beállítások neve, a konfigurációs beállítások és a Microsoft Intune Felügyeleti központban látható magyarázó szöveg közvetlenül a beállítások mérvadó tartalmából származik. Ez a tartalom további információt nyújthat a beállítás megfelelő kontextusban való használatáról. A beállítások információs szövegének megtekintésekor a További információ hivatkozással megnyithatja a tartalmat.

  • XML feltöltése
    CSP: ExploitProtectionSettings

    Lehetővé teszi a rendszergazda számára, hogy a kívánt rendszer- és alkalmazáscsökkentési lehetőségeket képviselő konfigurációt küldjön a szervezet összes eszközére. A konfigurációt egy XML-fájl jelöli. A biztonsági rés kiaknázása elleni védelem segít megvédeni az eszközöket azoktól a kártevőktől, amelyek biztonsági réseket használnak a támadások terjedéséhez és megfertőzéséhez. A Windows Biztonság app vagy a PowerShell segítségével kockázatcsökkentési készletet (más néven konfigurációt) hozhat létre. Ezután XML-fájlként exportálhatja ezt a konfigurációt, és megoszthatja a hálózat több gépével, hogy mindegyik ugyanazokkal a kockázatcsökkentési beállításokkal rendelkezzen. Meglévő EMET-konfigurációs XML-fájlt is konvertálhat és importálhat biztonsági rés kiaknázása elleni védelem konfigurációs XML-fájllá.

    Válassza az XML-fájl kiválasztása lehetőséget, adja meg az XML-fájl feltöltését, majd kattintson a Kiválasztás gombra.

    • Nincs konfigurálva (alapértelmezett)
    • Igen

  • A biztonsági rés kiaknázása elleni védelem felületének szerkesztésének letiltása a felhasználók számára
    CSP: DisallowExploitProtectionOverride

    • Nincs konfigurálva (alapértelmezett) – A helyi felhasználók módosításokat végezhetnek a biztonsági rés kiaknázása elleni védelem beállításainak területén.
    • Igen – Megakadályozza, hogy a felhasználók módosításokat hajtanak végre a biztonsági rés kiaknázása elleni védelem beállításainak területén a Microsoft Defender biztonsági központ.

Webvédelmi (Microsoft Edge régi verziója) profil

Webvédelem (Microsoft Edge régi verziója)

  • Hálózatvédelem engedélyezése
    CSP: EnableNetworkProtection

    • Nincs konfigurálva (alapértelmezett) – A beállítás visszaáll a Windows alapértelmezett értékére, amely le van tiltva.
    • Felhasználó által definiált
    • Engedélyezés – A hálózatvédelem engedélyezve van a rendszer összes felhasználója számára.
    • Naplózási mód – A felhasználók nem lesznek blokkolva a veszélyes tartományokban, és a Windows-események is létre lesznek állítva.

  • SmartScreen megkövetelése a Microsoft Edge-hez
    CSP: Browser/AllowSmartScreen

    • Igen – A SmartScreen használatával megvédheti a felhasználókat az esetleges adathalászatoktól és a kártékony szoftverektől.
    • Nincs konfigurálva (alapértelmezett)

  • Rosszindulatú webhelyhozzáférés letiltása
    CSP: Browser/PreventSmartScreenPromptOverride

    • Igen – Letilthatja, hogy a felhasználók figyelmen kívül hagyják a Microsoft Defender SmartScreen szűrővel kapcsolatos figyelmeztetéseket, és letiltsák a webhelyre való ugrást.
    • Nincs konfigurálva (alapértelmezett)

  • Nem ellenőrzött fájlletöltés letiltása
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • Igen – Letilthatja, hogy a felhasználók figyelmen kívül hagyják a Microsoft Defender SmartScreen szűrőre vonatkozó figyelmeztetéseket, és letiltsák a nem ellenőrzött fájlok letöltését.
    • Nincs konfigurálva (alapértelmezett)

Támadási felület csökkentése (ConfigMgr)

Biztonsági rés kiaknázása elleni védelem (ConfigMgr)(előzetes verzió) profil

Biztonsági rés kiaknázása elleni védelem

  • XML feltöltése
    CSP: ExploitProtectionSettings

    Lehetővé teszi a rendszergazda számára, hogy a kívánt rendszer- és alkalmazáscsökkentési lehetőségeket képviselő konfigurációt küldjön a szervezet összes eszközére. A konfigurációt egy XML-fájl jelöli. A biztonsági rés kiaknázása elleni védelem segít megvédeni az eszközöket azoktól a kártevőktől, amelyek biztonsági réseket használnak a támadások terjedéséhez és megfertőzéséhez. A Windows Biztonság app vagy a PowerShell segítségével kockázatcsökkentési készletet (más néven konfigurációt) hozhat létre. Ezután XML-fájlként exportálhatja ezt a konfigurációt, és megoszthatja a hálózat több gépével, hogy mindegyik ugyanazokkal a kockázatcsökkentési beállításokkal rendelkezzen. Meglévő EMET-konfigurációs XML-fájlt is konvertálhat és importálhat biztonsági rés kiaknázása elleni védelem konfigurációs XML-fájllá.

    Válassza az XML-fájl kiválasztása lehetőséget, adja meg az XML-fájl feltöltését, majd kattintson a Kiválasztás gombra.

  • Biztonsági rés kiaknázása elleni védelem felülbírálásának letiltása
    CSP: DisallowExploitProtectionOverride

    • Nincs konfigurálva (alapértelmezett)
    • (Letiltás) A helyi felhasználók módosíthatják a biztonsági rés kiaknázása elleni védelem beállításainak területén.
    • (Engedélyezés) A helyi felhasználók nem módosíthatják a biztonsági rés kiaknázása elleni védelem beállításainak területét

Web Protection -profil (ConfigMgr)(előzetes verzió)

Webvédelem

  • Hálózatvédelem engedélyezése (eszköz)
    CSP: EnableNetworkProtection

    • Nincs konfigurálva (alapértelmezett)
    • Letiltva
    • Engedélyezve (blokk mód)
    • Engedélyezve (naplózási mód)

  • Intelligens képernyő engedélyezése (eszköz)
    CSP: Browser/AllowSmartScreen

    • Nincs konfigurálva (alapértelmezett)
    • Letiltás
    • Engedélyezés

  • Intelligens képernyős parancssor felülbírálásának megakadályozása fájlokhoz (eszköz)
    CSP: Browser/PreventSmartScreenPromptOverride

    • Nincs konfigurálva (alapértelmezett)
    • Letiltva
    • Engedélyezve

  • Intelligens képernyős parancssor felülbírálásának megakadályozása (eszköz)
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • Nincs konfigurálva (alapértelmezett)
    • Letiltva
    • Engedélyezve

Következő lépések

Az ASR végpontbiztonsági szabályzata