Windows-instellingen die u kunt beheren via een Intune Endpoint Protection-profiel

  • Artikel

Opmerking

Intune ondersteunt mogelijk meer instellingen dan de instellingen die in dit artikel worden vermeld. Niet alle instellingen worden gedocumenteerd en worden niet gedocumenteerd. Als u de instellingen wilt zien die u kunt configureren, maakt u een apparaatconfiguratiebeleid en selecteert u Instellingencatalogus. Ga naar Instellingencatalogus voor meer informatie.

Microsoft Intune bevat veel instellingen om uw apparaten te beschermen. In dit artikel worden de instellingen in de sjabloon Eindpuntbeveiliging voor apparaatconfiguratie beschreven. Voor het beheren van apparaatbeveiliging kunt u ook eindpuntbeveiligingsbeleid gebruiken, dat zich rechtstreeks richt op subsets van apparaatbeveiliging. Zie Windows-apparaatbeperkingen of antivirusbeleid voor eindpuntbeveiliging gebruiken om Microsoft Defender Antivirus te configureren.

Voordat u begint

Maak een configuratieprofiel voor eindpuntbeveiligingsapparaten.

Zie Naslaginformatie over configuratieserviceproviders voor meer informatie over configuratieserviceproviders (CSP's).

Microsoft Defender Application Guard

Voor Microsoft Edge beschermt Microsoft Defender Application Guard uw omgeving tegen sites die niet worden vertrouwd door uw organisatie. Met Application Guard worden sites die zich niet in uw geïsoleerde netwerkgrens bevinden, geopend in een virtuele Hyper-V-browsersessie. Vertrouwde sites worden gedefinieerd door een netwerkgrens, die is geconfigureerd in Apparaatconfiguratie. Zie Een netwerkgrens maken op Windows-apparaten voor meer informatie.

Application Guard is alleen beschikbaar voor 64-bits Windows-apparaten. Met dit profiel installeert u een Win32-onderdeel om Application Guard te activeren.

  • Application Guard
    Standaardinstelling: niet geconfigureerd
    Application Guard CSP: Settings/AllowWindowsDefenderApplicationGuard

    • Ingeschakeld voor Edge : hiermee schakelt u deze functie in, waarmee niet-vertrouwde sites worden geopend in een gevirtualiseerde Hyper-V-browsercontainer.
    • Niet geconfigureerd : elke site (vertrouwd en niet-vertrouwd) kan op het apparaat worden geopend.

  • Klembordgedrag
    Standaardinstelling: niet geconfigureerd
    Application Guard CSP: Instellingen/KlembordInstellingen

    Kies welke kopieer- en plakbewerkingen zijn toegestaan tussen de lokale pc en de Application Guard virtuele browser.

    • Niet geconfigureerd
    • Alleen kopiëren en plakken van pc naar browser toestaan
    • Alleen kopiëren en plakken van browser naar pc toestaan
    • Kopiëren en plakken tussen pc en browser toestaan
    • Kopiëren en plakken tussen pc en browser blokkeren

  • Klembordinhoud
    Deze instelling is alleen beschikbaar wanneer klembordgedrag is ingesteld op een van de instellingen voor toestaan .
    Standaardinstelling: niet geconfigureerd
    Application Guard CSP: Instellingen/KlembordBestandType

    Selecteer de toegestane inhoud van het klembord.

    • Niet geconfigureerd
    • Tekst
    • Afbeeldingen
    • Tekst en afbeeldingen

  • Externe inhoud op bedrijfssites
    Standaardinstelling: niet geconfigureerd
    Application Guard CSP: Settings/BlockNonEnterpriseContent

    • Blokkeren : hiermee kunt u het laden van inhoud van niet-goedgekeurde websites blokkeren.
    • Niet geconfigureerd : niet-ondernemingssites kunnen worden geopend op het apparaat.

  • Afdrukken vanuit virtuele browser
    Standaardinstelling: niet geconfigureerd
    Application Guard CSP: Settings/PrintingSettings

    • Toestaan : hiermee staat u het afdrukken van geselecteerde inhoud vanuit de virtuele browser toe.
    • Niet geconfigureerd Schakel alle afdrukfuncties uit.

    Wanneer u Afdrukken toestaan , kunt u de volgende instelling configureren:

    • Afdruktype(en) Selecteer een of meer van de volgende opties:
      • PDF
      • XPS
      • Lokale printers
      • Netwerkprinters

  • Logboeken verzamelen
    Standaardinstelling: niet geconfigureerd
    Application Guard CSP: Audit/AuditApplicationGuard

    • Toestaan: verzamel logboeken voor gebeurtenissen die plaatsvinden in een Application Guard browsesessie.
    • Niet geconfigureerd : verzamel geen logboeken in de browsersessie.

  • Door de gebruiker gegenereerde browsergegevens behouden
    Standaardinstelling: niet geconfigureerd
    Application Guard CSP: Settings/AllowPersistence

    • Toestaan Sla gebruikersgegevens op (zoals wachtwoorden, favorieten en cookies) die zijn gemaakt tijdens een Application Guard virtuele browsesessie.
    • Niet geconfigureerd Door de gebruiker gedownloade bestanden en gegevens verwijderen wanneer het apparaat opnieuw wordt opgestart of wanneer een gebruiker zich afmeldt.

  • Grafische versnelling
    Standaardinstelling: niet geconfigureerd
    Application Guard CSP: Instellingen/AllowVirtualGPU

    • Inschakelen : laad grafisch-intensieve websites en video's sneller door toegang te krijgen tot een virtuele grafische verwerkingseenheid.
    • Niet geconfigureerd Gebruik de CPU van het apparaat voor afbeeldingen; Gebruik de virtuele grafische verwerkingseenheid niet.

  • Bestanden downloaden naar het hostbestandssysteem
    Standaardinstelling: niet geconfigureerd
    Application Guard CSP: Settings/SaveFilesToHost

    • Inschakelen : gebruikers kunnen bestanden downloaden van de gevirtualiseerde browser naar het hostbesturingssysteem.
    • Niet geconfigureerd : houdt de bestanden lokaal op het apparaat en downloadt geen bestanden naar het hostbestandssysteem.

Windows Firewall

Algemene instellingen

Deze instellingen zijn van toepassing op alle netwerktypen.

  • File Transfer Protocol
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: MdmStore/Global/DisableStatefulFtp

    • Blokkeren : schakel stateful FTP uit.
    • Niet geconfigureerd : de firewall voert stateful FTP-filtering uit om secundaire verbindingen toe te staan.

  • Niet-actieve tijd van beveiligingskoppeling vóór verwijdering
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: MdmStore/Global/SaIdleTime

    Geef een niet-actieve tijd op in seconden, waarna beveiligingskoppelingen worden verwijderd.

  • Vooraf gedeelde sleutelcodering
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: MdmStore/Global/PresharedKeyEncoding

    • Inschakelen : vooraf ingeleide sleutels coderen met UTF-8.
    • Niet geconfigureerd : codeer vooraf ingeleide sleutels met behulp van de waarde van het lokale archief.

  • IPsec-uitzonderingen
    Standaardinstelling: 0 geselecteerd
    Firewall-CSP: MdmStore/Global/IPsecExempt

    Selecteer een of meer van de volgende typen verkeer die moeten worden vrijgesteld van IPsec:

    • Neighbor discover IPv6 ICMP type-codes
    • ICMP
    • Router detecteren IPv6 ICMP type-codes
    • Zowel IPv4- als IPv6 DHCP-netwerkverkeer

  • Verificatie van certificaatintrekkingslijst
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: MdmStore/Global/CRLcheck

    Kies hoe het apparaat de certificaatintrekkingslijst verifieert. Opties zijn onder andere:

    • CRL-verificatie uitschakelen
    • CRL-verificatie mislukt alleen bij ingetrokken certificaat
    • CRL-verificatie mislukt bij een fout die is opgetreden.

  • Verificatieset opportunistisch overeenkomen per sleutelmodule
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • Inschakelen Sleutelmodules mogen alleen de verificatiesuites negeren die ze niet ondersteunen.
    • Niet geconfigureerd, moeten sleutelmodules de volledige verificatieset negeren als ze niet alle verificatiesuites ondersteunen die in de set zijn opgegeven.

  • Wachtrij voor pakketten
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: MdmStore/Global/EnablePacketQueue

    Geef op hoe het schalen van software aan de ontvangstzijde is ingeschakeld voor de versleutelde ontvangst en clear text forward voor het scenario van de IPsec-tunnelgateway. Deze instelling bevestigt dat de pakketvolgorde behouden blijft. Opties zijn onder andere:

    • Niet geconfigureerd
    • Alle wachtrijen voor pakketten uitschakelen
    • Alleen binnenkomende versleutelde pakketten in de wachtrij plaatsen
    • Wachtrijpakketten na ontsleuteling worden alleen uitgevoerd voor doorsturen
    • Zowel binnenkomende als uitgaande pakketten configureren

Netwerkinstellingen

De volgende instellingen worden elk één keer in dit artikel vermeld, maar ze zijn allemaal van toepassing op de drie specifieke netwerktypen:

  • Domeinnetwerk (werkplek)
  • Privénetwerk (detecteerbaar)
  • Openbaar (niet-detecteerbaar) netwerk

Algemeen

  • Windows Firewall
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: EnableFirewall

    • Inschakelen : schakel de firewall en geavanceerde beveiliging in.
    • Niet geconfigureerd Staat al het netwerkverkeer toe, ongeacht andere beleidsinstellingen.

  • Verborgen modus
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: DisableStealthMode

    • Niet geconfigureerd
    • Blokkeren : de firewall kan niet worden gebruikt in de verborgen modus. Met de verborgen modus blokkeren kunt u ook de uitsluiting van IPsec-beveiligde pakketten blokkeren.
    • Toestaan : de firewall werkt in de verborgen modus, waardoor reacties op testaanvragen worden voorkomen.

  • IPsec-beveiligde pakketuitzondering met verborgen modus
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: DisableStealthModeIpsecSecuredPacketExemption

    Deze optie wordt genegeerd als de verborgen modus is ingesteld op Blokkeren.

    • Niet geconfigureerd
    • Blokkeren : met IPSec beveiligde pakketten ontvangen geen uitzonderingen.
    • Toestaan : uitzonderingen inschakelen. De verborgen modus van de firewall MAG NIET voorkomen dat de hostcomputer reageert op ongevraagd netwerkverkeer dat wordt beveiligd door IPsec.

  • Afgeschermd
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: afgeschermd

    • Niet geconfigureerd
    • Blokkeren : wanneer Windows Firewall is ingeschakeld en deze instelling is ingesteld op Blokkeren, wordt al het binnenkomende verkeer geblokkeerd, ongeacht andere beleidsinstellingen.
    • Toestaan : als deze instelling is ingesteld op Toestaan, wordt deze instelling uitgeschakeld en wordt binnenkomend verkeer toegestaan op basis van andere beleidsinstellingen.

  • Unicast-antwoorden op multicast-broadcasts
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: DisableUnicastResponsesToMulticastBroadcast

    Normaal gesproken wilt u geen unicast-antwoorden ontvangen op multicast- of broadcastberichten. Deze reacties kunnen duiden op een DOS-aanval (Denial of Service) of een aanvaller die een bekende livecomputer probeert te onderzoeken.

    • Niet geconfigureerd
    • Blokkeren : unicast-antwoorden op multicast-broadcasts uitschakelen.
    • Toestaan : unicast-antwoorden op multicast-broadcasts toestaan.

  • Binnenkomende meldingen
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: DisableInboundNotifications

    • Niet geconfigureerd
    • Blokkeren : meldingen verbergen voor gebruik wanneer een app niet kan luisteren op een poort.
    • Toestaan : hiermee schakelt u deze instelling in en wordt mogelijk een melding weergegeven aan gebruikers wanneer een app niet kan luisteren op een poort.

  • Standaardactie voor uitgaande verbindingen
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: DefaultOutboundAction

    Configureer de standaardactie die firewall uitvoert op uitgaande verbindingen. Deze instelling wordt toegepast op Windows versie 1809 en hoger.

    • Niet geconfigureerd
    • Blokkeren : de standaardfirewallactie wordt niet uitgevoerd op uitgaand verkeer, tenzij expliciet is opgegeven dat deze niet mag worden geblokkeerd.
    • Toestaan : standaardfirewallacties worden uitgevoerd op uitgaande verbindingen.

  • Standaardactie voor binnenkomende verbindingen
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: DefaultInboundAction

    • Niet geconfigureerd
    • Blokkeren : de standaardfirewallactie wordt niet uitgevoerd op binnenkomende verbindingen.
    • Toestaan : standaardfirewallacties worden uitgevoerd op binnenkomende verbindingen.

Regel samenvoegen

  • Windows Firewall-regels voor geautoriseerde toepassingen uit het lokale archief
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: AuthAppsAllowUserPrefMerge

    • Niet geconfigureerd
    • Blokkeren : de firewallregels van de geautoriseerde toepassing in het lokale archief worden genegeerd en niet afgedwongen.
    • Toestaan : kies Inschakelen Firewallregels toepassen in het lokale archief, zodat ze worden herkend en afgedwongen.

  • Windows Firewall-regels voor globale poort uit het lokale archief
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: GlobalPortsAllowUserPrefMerge

    • Niet geconfigureerd
    • Blokkeren : de globale poortfirewallregels in het lokale archief worden genegeerd en niet afgedwongen.
    • Toestaan : globale poortfirewallregels toepassen in het lokale archief om te worden herkend en afgedwongen.

  • Windows Firewall-regels uit het lokale archief
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: AllowLocalPolicyMerge

    • Niet geconfigureerd
    • Blokkeren : firewallregels uit het lokale archief worden genegeerd en niet afgedwongen.
    • Toestaan : firewallregels toepassen in het lokale archief om te worden herkend en afgedwongen.

  • IPsec-regels uit het lokale archief
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: AllowLocalIpsecPolicyMerge

    • Niet geconfigureerd
    • Blokkeren : de verbindingsbeveiligingsregels uit het lokale archief worden genegeerd en niet afgedwongen, ongeacht de schemaversie en versie van de verbindingsbeveiligingsregel.
    • Toestaan : beveiligingsregels voor verbindingen toepassen vanuit het lokale archief, ongeacht de versies van schema of verbindingsbeveiligingsregel.

Firewallregels

U kunt een of meer aangepaste firewallregels toevoegen . Zie Aangepaste firewallregels toevoegen voor Windows-apparaten voor meer informatie.

Aangepaste firewallregels ondersteunen de volgende opties:

Algemene instellingen

  • Naam
    Standaardinstelling: Geen naam

    Geef een beschrijvende naam op voor uw regel. Deze naam wordt weergegeven in de lijst met regels om u te helpen deze te identificeren.

  • Beschrijving
    Standaardinstelling: Geen beschrijving

    Geef een beschrijving van de regel op.

  • Richting
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: FirewallRules/FirewallRuleName/Direction

    Geef op of deze regel van toepassing is op binnenkomend of uitgaand verkeer. Wanneer de regel is ingesteld op Niet geconfigureerd, wordt de regel automatisch toegepast op uitgaand verkeer.

  • Actie
    Standaardinstelling: niet geconfigureerd
    Firewall-CSP: FirewallRules/FirewallRuleName/Action en FirewallRules/FirewallRuleName/Action/Type

    Selecteer bij Toestaan of Blokkeren. Als de regel is ingesteld op Niet geconfigureerd, wordt standaard verkeer toegestaan.

  • Netwerktype
    Standaardinstelling: 0 geselecteerd
    Firewall-CSP: FirewallRules/FirewallRuleName/Profiles

    Selecteer maximaal drie typen netwerktypen waartoe deze regel behoort. Opties zijn Domein, Privé en Openbaar. Als er geen netwerktypen zijn geselecteerd, is de regel van toepassing op alle drie de netwerktypen.

Toepassingsinstellingen

  • Toepassing(en)
    Standaardinstelling: Alle

    Verbindingen voor een app of programma beheren. Apps en programma's kunnen worden opgegeven op bestandspad, pakketfamilienaam of servicenaam:

    • Pakketfamilienaam : geef een pakketfamilienaam op. Gebruik de PowerShell-opdracht Get-AppxPackage om de naam van de pakketfamilie te vinden.
      Firewall-CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName

    • Bestandspad : u moet een bestandspad naar een app op het clientapparaat opgeven. Dit kan een absoluut pad of een relatief pad zijn. Bijvoorbeeld: C:\Windows\System\Notepad.exe of %WINDIR%\Notepad.exe.
      Firewall-CSP: FirewallRules/FirewallRuleName/App/FilePath

    • Windows-service : geef de korte naam van de Windows-service op als het een service is en niet een toepassing die verkeer verzendt of ontvangt. Gebruik de PowerShell-opdracht Get-Service om de korte naam van de service te vinden.
      Firewall-CSP: FirewallRules/FirewallRuleName/App/ServiceName

    • Alle: er zijn geen configuraties vereist

IP-adresinstellingen

Geef de lokale en externe adressen op waarop deze regel van toepassing is.

  • Lokale adressen
    Standaardinstelling: elk adres
    Firewall-CSP: FirewallRules/FirewallRuleName/LocalPortRanges

    Selecteer Elk adres of Opgegeven adres.

    Wanneer u Opgegeven adres gebruikt, voegt u een of meer adressen toe als een door komma's gescheiden lijst met lokale adressen die onder de regel vallen. Geldige tokens zijn onder andere:

    • Gebruik een sterretje * voor een lokaal adres. Als u een sterretje gebruikt, moet dit het enige token zijn dat u gebruikt.
    • Geef een subnet op door de subnetmasker- of netwerkvoorvoegselnotatie. Als er geen subnetmasker of netwerkvoorvoegsel is opgegeven, wordt het subnetmasker standaard ingesteld op 255.255.255.255.
    • Een geldig IPv6-adres.
    • Een IPv4-adresbereik in de indeling 'beginadres - eindadres' zonder spaties.
    • Een IPv6-adresbereik in de indeling 'beginadres - eindadres' zonder spaties.

  • Externe adressen
    Standaardinstelling: elk adres
    Firewall-CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

    Selecteer Elk adres of Opgegeven adres.

    Wanneer u Opgegeven adres gebruikt, voegt u een of meer adressen toe als een door komma's gescheiden lijst met externe adressen die onder de regel vallen. Tokens zijn niet hoofdlettergevoelig. Geldige tokens zijn onder andere:

    • Gebruik een sterretje *voor een extern adres. Als u een sterretje gebruikt, moet dit het enige token zijn dat u gebruikt.
    • Defaultgateway
    • DHCP
    • DNS
    • WINS
    • Intranet (ondersteund in Windows-versies 1809 en hoger)
    • RmtIntranet (ondersteund in Windows-versies 1809 en hoger)
    • Internet (ondersteund in Windows-versies 1809 en hoger)
    • Ply2Renders (ondersteund in Windows-versies 1809 en hoger)
    • LocalSubnet geeft een lokaal adres in het lokale subnet aan.
    • Geef een subnet op door de subnetmasker- of netwerkvoorvoegselnotatie. Als er geen subnetmasker of netwerkvoorvoegsel is opgegeven, wordt het subnetmasker standaard ingesteld op 255.255.255.255.
    • Een geldig IPv6-adres.
    • Een IPv4-adresbereik in de indeling 'beginadres - eindadres' zonder spaties.
    • Een IPv6-adresbereik in de indeling 'beginadres - eindadres' zonder spaties.

Poort- en protocolinstellingen

Geef de lokale en externe poorten op waarop deze regel van toepassing is.

Geavanceerde configuratie

  • Interfacetypen
    Standaardinstelling: 0 geselecteerd
    Firewall-CSP: FirewallRules/FirewallRuleName/InterfaceTypes

    Selecteer een van de volgende opties:

    • Ras
    • Draadloze
    • Local Area Network

  • Alleen verbindingen van deze gebruikers toestaan
    Standaard: alle gebruikers (standaard ingesteld op alle toepassingen wanneer er geen lijst is opgegeven)
    Firewall-CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    Geef een lijst op met geautoriseerde lokale gebruikers voor deze regel. Er kan geen lijst met geautoriseerde gebruikers worden opgegeven als deze regel van toepassing is op een Windows-service.

SmartScreen-instellingen Microsoft Defender

Microsoft Edge moet op het apparaat zijn geïnstalleerd.

  • SmartScreen voor apps en bestanden
    Standaardinstelling: niet geconfigureerd
    SmartScreen CSP: SmartScreen/EnableSmartScreenInShell

    • Niet geconfigureerd : hiermee schakelt u het gebruik van SmartScreen uit.
    • Inschakelen : schakel Windows SmartScreen in voor het uitvoeren van bestanden en het uitvoeren van apps. SmartScreen is een cloudonderdeel voor antiphishing en antimalware.

  • Niet-geverifieerde bestanden uitvoeren
    Standaardinstelling: niet geconfigureerd
    SmartScreen-CSP: SmartScreen/PreventOverrideForFilesInShell

    • Niet geconfigureerd : hiermee schakelt u deze functie uit en kunnen eindgebruikers bestanden uitvoeren die niet zijn geverifieerd.
    • Blokkeren : voorkomen dat eindgebruikers bestanden uitvoeren die niet zijn geverifieerd door Windows SmartScreen.

Windows-versleuteling

Windows-instellingen

  • Apparaten versleutelen
    Standaardinstelling: niet geconfigureerd
    BitLocker CSP: RequireDeviceEncryption

    • Vereisen : gebruikers vragen om apparaatversleuteling in te schakelen. Afhankelijk van de Windows-editie en systeemconfiguratie kunnen gebruikers het volgende worden gevraagd:
      • Om te bevestigen dat versleuteling van een andere provider niet is ingeschakeld.
      • U moet BitLocker-stationsversleuteling uitschakelen en BitLocker weer inschakelen.
    • Niet geconfigureerd

    Als Windows-versleuteling is ingeschakeld terwijl een andere versleutelingsmethode actief is, kan het apparaat instabiel worden.

BitLocker-basisinstellingen

Basisinstellingen zijn universele BitLocker-instellingen voor alle typen gegevensstations. Deze instellingen beheren welke stationsversleutelingstaken of configuratieopties de eindgebruiker kan wijzigen voor alle typen gegevensstations.

  • Waarschuwing voor andere schijfversleuteling
    Standaardinstelling: niet geconfigureerd
    BitLocker CSP: AllowWarningForOtherDiskEncryption

    • Blokkeren : schakel de waarschuwingsprompt uit als een andere schijfversleutelingsservice zich op het apparaat bevindt.
    • Niet geconfigureerd : hiermee staat u toe dat de waarschuwing voor andere schijfversleuteling wordt weergegeven.

    Tip

    Als u BitLocker automatisch en op de achtergrond wilt installeren op een apparaat dat is Microsoft Entra gekoppeld en waarop Windows 1809 of hoger wordt uitgevoerd, moet deze instelling worden ingesteld op Blokkeren. Zie BitLocker op de achtergrond inschakelen op apparaten voor meer informatie.

    Wanneer deze instelling is ingesteld op Blokkeren, kunt u vervolgens de volgende instelling configureren:

    • Standaardgebruikers toestaan om versleuteling in te schakelen tijdens Microsoft Entra join
      Deze instelling is alleen van toepassing op Microsoft Entra gekoppelde (Azure ADJ)-apparaten en is afhankelijk van de vorige instelling, Warning for other disk encryption.
      Standaardinstelling: niet geconfigureerd
      BitLocker CSP: AllowStandardUserEncryption

      • Toestaan : standaardgebruikers (niet-beheerders) kunnen BitLocker-versleuteling inschakelen wanneer ze zijn aangemeld.
      • Niet geconfigureerd alleen beheerders kunnen BitLocker-versleuteling op het apparaat inschakelen.

    Tip

    Als u BitLocker automatisch en op de achtergrond wilt installeren op een apparaat dat is Microsoft Entra gekoppeld en waarop Windows 1809 of hoger wordt uitgevoerd, moet deze instelling zijn ingesteld op Toestaan. Zie BitLocker op de achtergrond inschakelen op apparaten voor meer informatie.

  • Versleutelingsmethoden configureren
    Standaardinstelling: niet geconfigureerd
    BitLocker CSP: EncryptionMethodByDriveType

    • Inschakelen : versleutelingsalgoritmen configureren voor besturingssysteem, gegevens en verwisselbare stations.
    • Niet geconfigureerd : BitLocker gebruikt XTS-AES 128-bits als de standaardversleutelingsmethode of gebruikt de versleutelingsmethode die is opgegeven door een installatiescript.

    Wanneer deze optie is ingesteld op Inschakelen, kunt u de volgende instellingen configureren:

    • Versleuteling voor besturingssysteemstations
      Standaardinstelling: XTS-AES 128-bits

      Kies de versleutelingsmethode voor besturingssysteemstations. U wordt aangeraden het algoritme XTS-AES te gebruiken.

      • AES-CBC 128-bits
      • AES-CBC 256-bits
      • XTS-AES 128-bits
      • XTS-AES 256-bits

    • Versleuteling voor vaste gegevensstations
      Standaardinstelling: AES-CBC 128-bits

      Kies de versleutelingsmethode voor vaste (ingebouwde) gegevensstations. U wordt aangeraden het algoritme XTS-AES te gebruiken.

      • AES-CBC 128-bits
      • AES-CBC 256-bits
      • XTS-AES 128-bits
      • XTS-AES 256-bits

    • Versleuteling voor verwisselbare gegevensstations
      Standaardinstelling: AES-CBC 128-bits

      Kies de versleutelingsmethode voor verwisselbare gegevensstations. Als het verwisselbare station wordt gebruikt met apparaten waarop niet Windows 10/11 wordt uitgevoerd, raden we u aan het AES-CBC-algoritme te gebruiken.

      • AES-CBC 128-bits
      • AES-CBC 256-bits
      • XTS-AES 128-bits
      • XTS-AES 256-bits

Instellingen voor BitLocker-besturingssysteemstation

Deze instellingen zijn specifiek van toepassing op gegevensstations van het besturingssysteem.

  • Aanvullende verificatie bij het opstarten
    Standaardinstelling: niet geconfigureerd
    BitLocker CSP: SystemDrivesRequireStartupAuthentication

    • Vereisen : configureer de verificatievereisten voor het opstarten van de computer, inclusief het gebruik van Tpm (Trusted Platform Module).
    • Niet geconfigureerd : configureer alleen basisopties op apparaten met een TPM.

    Wanneer deze optie is ingesteld op Vereisen, kunt u de volgende instellingen configureren:

    • BitLocker met niet-compatibele TPM-chip
      Standaardinstelling: niet geconfigureerd

      • Blokkeren : schakel het gebruik van BitLocker uit wanneer een apparaat geen compatibele TPM-chip heeft.
      • Niet geconfigureerd : gebruikers kunnen BitLocker gebruiken zonder een compatibele TPM-chip. Voor BitLocker is mogelijk een wachtwoord of opstartsleutel vereist.

    • Compatibele TPM-opstart
      Standaardinstelling: TPM toestaan

      Configureer of TPM is toegestaan, vereist of niet is toegestaan.

      • TPM toestaan
      • TPM niet toestaan
      • TPM vereisen

    • Compatibele TPM-opstartpincode
      Standaardinstelling: Opstartpincode met TPM toestaan

      Kies ervoor om het gebruik van een opstartpincode met de TPM-chip toe te staan, niet toe te staan of te vereisen. Voor het inschakelen van een opstartpincode is interactie van de eindgebruiker vereist.

      • Opstartpincode met TPM toestaan
      • Opstartpincode met TPM niet toestaan
      • Opstartpincode met TPM vereisen

      Tip

      Als u BitLocker automatisch en op de achtergrond wilt installeren op een apparaat dat is Microsoft Entra gekoppeld en waarop Windows 1809 of hoger wordt uitgevoerd, moet deze instelling niet worden ingesteld op Opstartpincode vereisen met TPM. Zie BitLocker op de achtergrond inschakelen op apparaten voor meer informatie.

    • Compatibele TPM-opstartsleutel
      Standaardinstelling: Opstartsleutel met TPM toestaan

      Kies ervoor om het gebruik van een opstartsleutel met de TPM-chip toe te staan, niet toe te staan of te vereisen. Voor het inschakelen van een opstartsleutel is interactie van de eindgebruiker vereist.

      • Opstartsleutel met TPM toestaan
      • Opstartsleutel met TPM niet toestaan
      • Opstartsleutel met TPM vereisen

      Tip

      Als u BitLocker automatisch en op de achtergrond wilt installeren op een apparaat dat is Microsoft Entra gekoppeld en waarop Windows 1809 of hoger wordt uitgevoerd, mag deze instelling niet worden ingesteld op Opstartsleutel vereisen met TPM. Zie BitLocker op de achtergrond inschakelen op apparaten voor meer informatie.

    • Compatibele TPM-opstartsleutel en -pincode
      Standaardinstelling: Opstartsleutel en pincode met TPM toestaan

      Kies ervoor om het gebruik van een opstartsleutel en pincode met de TPM-chip toe te staan, niet toe te staan of te vereisen. Voor het inschakelen van de opstartsleutel en pincode is interactie van de eindgebruiker vereist.

      • Opstartsleutel en pincode toestaan met TPM
      • Opstartsleutel en pincode niet toestaan met TPM
      • Opstartsleutel en pincode vereisen met TPM

      Tip

      Als u BitLocker automatisch en op de achtergrond wilt installeren op een apparaat dat is Microsoft Entra gekoppeld en waarop Windows 1809 of hoger wordt uitgevoerd, moet deze instelling niet worden ingesteld op Opstartsleutel en pincode vereisen met TPM. Zie BitLocker op de achtergrond inschakelen op apparaten voor meer informatie.

  • Minimale lengte van pincode
    Standaardinstelling: niet geconfigureerd
    BitLocker CSP: SystemDrivesMinimumPINLength

    • Inschakelen Configureer een minimale lengte voor de TPM-opstartpincode.
    • Niet geconfigureerd : gebruikers kunnen een opstartpincode van elke lengte tussen 6 en 20 cijfers configureren.

    Wanneer deze optie is ingesteld op Inschakelen, kunt u de volgende instelling configureren:

    • Minimale tekens
      Standaardinstelling: Niet geconfigureerde BitLocker-CSP: SystemDrivesMinimumPINLength

      Voer het aantal tekens in dat is vereist voor de opstartpincode van 4-20.

  • Herstel van besturingssysteemstation
    Standaardinstelling: niet geconfigureerd
    BitLocker CSP: SystemDrivesRecoveryOptions

    • Inschakelen : bepaal hoe met BitLocker beveiligde besturingssysteemstations worden hersteld wanneer de vereiste opstartgegevens niet beschikbaar zijn.
    • Niet geconfigureerd : standaardherstelopties worden ondersteund, inclusief DRA. De eindgebruiker kan herstelopties opgeven. Er wordt geen back-up gemaakt van herstelgegevens naar AD DS.

    Wanneer deze optie is ingesteld op Inschakelen, kunt u de volgende instellingen configureren:

    • Agent voor gegevensherstel op basis van certificaten
      Standaardinstelling: niet geconfigureerd

      • Blokkeren : voorkom het gebruik van een agent voor gegevensherstel met met BitLocker beveiligde besturingssysteemstations.
      • Niet geconfigureerd : sta toe dat agents voor gegevensherstel worden gebruikt met met BitLocker beveiligde besturingssysteemstations.

    • Gebruikers maken van herstelwachtwoord
      Standaardinstelling: 48-cijferig herstelwachtwoord toestaan

      Kies of gebruikers een herstelwachtwoord van 48 cijfers mogen genereren, verplicht of niet mogen genereren.

      • 48-cijferig herstelwachtwoord toestaan
      • Herstelwachtwoord van 48 cijfers niet toestaan
      • Herstelwachtwoord van 48 cijfers vereisen

    • Gebruikers maken van de herstelsleutel
      Standaardinstelling: 256-bits herstelsleutel toestaan

      Kies of gebruikers een 256-bits herstelsleutel mogen genereren, verplicht of niet mogen genereren.

      • 256-bits herstelsleutel toestaan
      • 256-bits herstelsleutel niet toestaan
      • 256-bits herstelsleutel vereisen

    • Herstelopties in de wizard BitLocker instellen
      Standaardinstelling: niet geconfigureerd

      • Blokkeren : gebruikers kunnen de herstelopties niet zien en wijzigen. Wanneer ingesteld op
      • Niet geconfigureerd : gebruikers kunnen de herstelopties zien en wijzigen wanneer ze BitLocker inschakelen.

    • BitLocker-herstelgegevens opslaan in Microsoft Entra-id
      Standaardinstelling: niet geconfigureerd

      • Inschakelen: sla de BitLocker-herstelgegevens op Microsoft Entra-id.
      • Niet geconfigureerd: BitLocker-herstelgegevens worden niet opgeslagen in Microsoft Entra-id.

    • BitLocker-herstelgegevens die zijn opgeslagen op Microsoft Entra-id
      Standaardinstelling: Back-up van herstelwachtwoorden en sleutelpakketten

      Configureer welke onderdelen van BitLocker-herstelgegevens worden opgeslagen in Microsoft Entra-id. Kies uit:

      • Back-upherstelwachtwoorden en sleutelpakketten
      • Alleen back-upwachtwoorden voor herstel

    • Wachtwoordrotatie op basis van clientgestuurd herstel
      Standaardinstelling: niet geconfigureerd
      BitLocker CSP: ConfigureRecoveryPasswordRotation

      Deze instelling initieert een clientgestuurde herstelwachtwoordrotatie na herstel van een besturingssysteemstation (met behulp van bootmgr of WinRE).

      • Niet geconfigureerd
      • Sleutelrotatie uitgeschakeld
      • Sleutelrotatie ingeschakeld voor Microsoft Entra gekoppelde deices
      • Sleutelrotatie ingeschakeld voor Microsoft Entra-id en hybride gekoppelde apparaten

    • Herstelgegevens opslaan in Microsoft Entra-id voordat u BitLocker inschakelt
      Standaardinstelling: niet geconfigureerd

      Voorkomen dat gebruikers BitLocker inschakelen, tenzij de computer een back-up maakt van de BitLocker-herstelgegevens naar Microsoft Entra-id.

      • Vereisen: voorkomen dat gebruikers BitLocker inschakelen, tenzij de BitLocker-herstelgegevens zijn opgeslagen in Microsoft Entra-id.
      • Niet geconfigureerd: gebruikers kunnen BitLocker inschakelen, zelfs als herstelgegevens niet zijn opgeslagen in Microsoft Entra-id.

  • Pre-boot herstelbericht en URL
    Standaardinstelling: niet geconfigureerd
    BitLocker CSP: SystemDrivesRecoveryMessage

    • Inschakelen : configureer het bericht en de URL die worden weergegeven op het scherm voor herstel van de pre-bootsleutel.
    • Niet geconfigureerd : schakel deze functie uit.

    Wanneer deze optie is ingesteld op Inschakelen, kunt u de volgende instelling configureren:

    • Pre-boot-herstelbericht
      Standaardinstelling: Standaardherstelbericht en URL gebruiken

      Configureer hoe het pre-boot-herstelbericht wordt weergegeven voor gebruikers. Kies uit:

      • Standaard herstelbericht en URL gebruiken
      • Leeg herstelbericht en URL gebruiken
      • Aangepast herstelbericht gebruiken
      • Aangepaste herstel-URL gebruiken

BitLocker-instellingen voor vaste gegevensstations

Deze instellingen zijn specifiek van toepassing op vaste gegevensstations.

  • Schrijftoegang tot een vast gegevensstation dat niet wordt beveiligd met BitLocker
    Standaardinstelling: niet geconfigureerd
    BitLocker CSP: FixedDrivesRequireEncryption

    • Blokkeren : geef alleen-lezentoegang tot gegevensstations die niet met BitLocker zijn beveiligd.
    • Niet geconfigureerd : standaard lees- en schrijftoegang tot gegevensstations die niet zijn versleuteld.

  • Herstel van vaste schijf
    Standaardinstelling: niet geconfigureerd
    BitLocker CSP: FixedDrivesRecoveryOptions

    • Inschakelen : bepaal hoe met BitLocker beveiligde vaste stations worden hersteld wanneer de vereiste opstartgegevens niet beschikbaar zijn.
    • Niet geconfigureerd : schakel deze functie uit.

    Wanneer deze optie is ingesteld op Inschakelen, kunt u de volgende instellingen configureren:

    • Agent voor gegevensherstel
      Standaardinstelling: niet geconfigureerd

      • Blokkeren : voorkom het gebruik van de agent voor gegevensherstel met met BitLocker beveiligde vaste stations beleidseditor.
      • Niet geconfigureerd : hiermee kunt u agents voor gegevensherstel gebruiken met met BitLocker beveiligde vaste stations.

    • Gebruikers maken van herstelwachtwoord
      Standaardinstelling: 48-cijferig herstelwachtwoord toestaan

      Kies of gebruikers een herstelwachtwoord van 48 cijfers mogen genereren, verplicht of niet mogen genereren.

      • 48-cijferig herstelwachtwoord toestaan
      • Herstelwachtwoord van 48 cijfers niet toestaan
      • Herstelwachtwoord van 48 cijfers vereisen

    • Gebruikers maken van de herstelsleutel
      Standaardinstelling: 256-bits herstelsleutel toestaan

      Kies of gebruikers een 256-bits herstelsleutel mogen genereren, verplicht of niet mogen genereren.

      • 256-bits herstelsleutel toestaan
      • 256-bits herstelsleutel niet toestaan
      • 256-bits herstelsleutel vereisen

    • Herstelopties in de wizard BitLocker instellen
      Standaardinstelling: niet geconfigureerd

      • Blokkeren : gebruikers kunnen de herstelopties niet zien en wijzigen. Wanneer ingesteld op
      • Niet geconfigureerd : gebruikers kunnen de herstelopties zien en wijzigen wanneer ze BitLocker inschakelen.

    • BitLocker-herstelgegevens opslaan in Microsoft Entra-id
      Standaardinstelling: niet geconfigureerd

      • Inschakelen: sla de BitLocker-herstelgegevens op Microsoft Entra-id.
      • Niet geconfigureerd: BitLocker-herstelgegevens worden niet opgeslagen in Microsoft Entra-id.

    • BitLocker-herstelgegevens die zijn opgeslagen op Microsoft Entra-id
      Standaardinstelling: Back-up van herstelwachtwoorden en sleutelpakketten

      Configureer welke onderdelen van BitLocker-herstelgegevens worden opgeslagen in Microsoft Entra-id. Kies uit:

      • Back-upherstelwachtwoorden en sleutelpakketten
      • Alleen back-upwachtwoorden voor herstel

    • Herstelgegevens opslaan in Microsoft Entra-id voordat u BitLocker inschakelt
      Standaardinstelling: niet geconfigureerd

      Voorkomen dat gebruikers BitLocker inschakelen, tenzij de computer een back-up maakt van de BitLocker-herstelgegevens naar Microsoft Entra-id.

      • Vereisen: voorkomen dat gebruikers BitLocker inschakelen, tenzij de BitLocker-herstelgegevens zijn opgeslagen in Microsoft Entra-id.
      • Niet geconfigureerd: gebruikers kunnen BitLocker inschakelen, zelfs als herstelgegevens niet zijn opgeslagen in Microsoft Entra-id.

BitLocker-instellingen voor verwisselbaar gegevensstation

Deze instellingen zijn specifiek van toepassing op verwisselbare gegevensstations.

  • Schrijftoegang tot verwisselbaar gegevensstation dat niet is beveiligd met BitLocker
    Standaardinstelling: niet geconfigureerd
    BitLocker CSP: RemovableDrivesRequireEncryption

    • Blokkeren : geef alleen-lezentoegang tot gegevensstations die niet met BitLocker zijn beveiligd.
    • Niet geconfigureerd : standaard lees- en schrijftoegang tot gegevensstations die niet zijn versleuteld.

    Wanneer deze optie is ingesteld op Inschakelen, kunt u de volgende instelling configureren:

    • Schrijftoegang tot apparaten die zijn geconfigureerd in een andere organisatie
      Standaardinstelling: niet geconfigureerd

      • Blokkeren : schrijftoegang blokkeren voor apparaten die zijn geconfigureerd in een andere organisatie.
      • Niet geconfigureerd: schrijftoegang weigeren.

Microsoft Defender Exploit Guard

Gebruik exploit protection om de kwetsbaarheid voor aanvallen van apps die door uw werknemers worden gebruikt, te beheren en te verminderen.

Kwetsbaarheid voor aanvallen verminderen

Regels voor het verminderen van kwetsbaarheid voor aanvallen helpen voorkomen dat malware vaak gebruikt om computers te infecteren met schadelijke code.

Regels voor het verminderen van kwetsbaarheid voor aanvallen

Zie Regels voor het verminderen van kwetsbaarheid voor aanvallen in de documentatie voor Microsoft Defender voor Eindpunt voor meer informatie.

Samenvoeggedrag voor regels voor het verminderen van kwetsbaarheid voor aanvallen in Intune:

Regels voor het verminderen van kwetsbaarheid voor aanvallen ondersteunen een samenvoeging van instellingen van verschillende beleidsregels om een superset van beleid voor elk apparaat te maken. Alleen de instellingen die niet conflicteren, worden samengevoegd, terwijl instellingen die conflicteren niet worden toegevoegd aan de superset van regels. Als twee beleidsregels voorheen conflicten bevatten voor één instelling, werden beide beleidsregels gemarkeerd als conflict en werden er geen instellingen van een van beide profielen geïmplementeerd.

Het samenvoeggedrag van regels voor het verminderen van de kwetsbaarheid voor aanvallen is als volgt:

  • Regels voor het verminderen van kwetsbaarheid voor aanvallen van de volgende profielen worden geëvalueerd voor elk apparaat waarvoor de regels van toepassing zijn:
    • Apparaten > Configuratiebeleid > Eindpuntbeveiligingsprofiel > Microsoft Defender Exploit Guard >Kwetsbaarheid voor aanvallen verminderen
    • Eindpuntbeveiliging > Beleid voor het verminderen van > kwetsbaarheid voor aanvallen Regels voor het verminderen van kwetsbaarheid
    • Eindpuntbeveiligingsbasislijnen >> Microsoft Defender voor Eindpunt Regels voor het verminderen van kwetsbaarheid voor aanvallen volgens basislijn>.
  • Instellingen die geen conflicten hebben, worden toegevoegd aan een superset van beleid voor het apparaat.
  • Wanneer twee of meer beleidsregels conflicterende instellingen hebben, worden de conflicterende instellingen niet toegevoegd aan het gecombineerde beleid. Instellingen die geen conflict veroorzaken, worden toegevoegd aan het supersetbeleid dat van toepassing is op een apparaat.
  • Alleen de configuraties voor conflicterende instellingen worden tegengehouden.

Instellingen in dit profiel:

Regels om Office-macrobedreigingen te voorkomen

Voorkomen dat Office-apps de volgende acties uitvoeren:

Regels om scriptbedreigingen te voorkomen

Blokkeer het volgende om scriptbedreigingen te voorkomen:

Regels om e-mailbedreigingen te voorkomen

Blokkeer het volgende om e-mailbedreigingen te voorkomen:

  • Uitvoering van uitvoerbare inhoud (exe, dll, ps, js, vbs, enzovoort) verwijderd uit e-mail (webmail/mailclient) (geen uitzonderingen)
    Standaardinstelling: niet geconfigureerd
    Regel: Uitvoerbare inhoud van e-mailclient en webmail blokkeren

    • Niet geconfigureerd
    • Blokkeren : de uitvoering blokkeren van uitvoerbare inhoud (exe, dll, ps, js, vbs, enzovoort) die uit e-mail is verwijderd (webmail/mail-client).
    • Alleen audit

Regels ter bescherming tegen ransomware

Uitzonderingen voor kwetsbaarheid voor aanvallen verminderen

  • Bestanden en mappen die moeten worden uitgesloten van regels voor het verminderen van kwetsbaarheid voor aanvallen
    Defender CSP: AttackSurfaceReductionOnlyExclusions

    • Importeer een .csv-bestand dat bestanden en mappen bevat om uit te sluiten van regels voor het verminderen van kwetsbaarheid voor aanvallen.
    • Lokale bestanden of mappen handmatig toevoegen.

Belangrijk

Om de juiste installatie en uitvoering van LOB Win32-apps mogelijk te maken, moeten antimalwareinstellingen de volgende mappen uitsluiten van het scannen van de volgende mappen:
Op X64-clientcomputers:
C:\Program Files (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Op X86-clientcomputers:
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Zie Aanbevelingen voor virusscans voor bedrijfscomputers waarop momenteel ondersteunde versies van Windows worden uitgevoerd voor meer informatie.

Gecontroleerde mappentoegang

Bescherm waardevolle gegevens tegen schadelijke apps en bedreigingen, zoals ransomware.

  • Mapbeveiliging
    Standaardinstelling: niet geconfigureerd
    Defender CSP: EnableControlledFolderAccess

    Beveilig bestanden en mappen tegen niet-geautoriseerde wijzigingen door onvriendelijke apps.

    • Niet geconfigureerd
    • Inschakelen
    • Alleen audit
    • Schijfwijziging blokkeren
    • Schijfwijziging controleren

    Wanneer u een andere configuratie dan Niet geconfigureerd selecteert, kunt u vervolgens het volgende configureren:

    • Lijst met apps die toegang hebben tot beveiligde mappen
      Defender CSP: ControlledFolderAccessAllowedApplications

      • Importeer een .csv-bestand dat een app-lijst bevat.
      • Voeg apps handmatig toe aan deze lijst.

    • Lijst met extra mappen die moeten worden beveiligd
      Defender CSP: ControlledFolderAccessProtectedFolders

      • Importeer een .csv-bestand dat een mappenlijst bevat.
      • Mappen handmatig toevoegen aan deze lijst.

Netwerkfiltering

Blokkeer uitgaande verbindingen van apps naar IP-adressen of domeinen met een lage reputatie. Netwerkfiltering wordt ondersteund in de modus Audit en Block.

  • Netwerkbeveiliging
    Standaardinstelling: niet geconfigureerd
    Defender CSP: EnableNetworkProtection

    De bedoeling van deze instelling is om eindgebruikers te beschermen tegen apps met toegang tot phishing-oplichting, exploit-hostingsites en schadelijke inhoud op internet. Het voorkomt ook dat browsers van derden verbinding maken met gevaarlijke sites.

    • Niet geconfigureerd : schakel deze functie uit. Gebruikers en apps worden niet geblokkeerd om verbinding te maken met gevaarlijke domeinen. Beheerders kunnen deze activiteit niet zien in Microsoft Defender-beveiligingscentrum.
    • Inschakelen : schakel netwerkbeveiliging in en voorkom dat gebruikers en apps verbinding maken met gevaarlijke domeinen. Beheerders kunnen deze activiteit zien in Microsoft Defender-beveiligingscentrum.
    • Alleen controleren: gebruikers en apps worden niet geblokkeerd om verbinding te maken met gevaarlijke domeinen. Beheerders kunnen deze activiteit zien in Microsoft Defender-beveiligingscentrum.

Bescherming tegen misbruik

  • XML uploaden
    Standaardinstelling: niet geconfigureerd

    Als u Exploit Protection wilt gebruiken om apparaten te beschermen tegen aanvallen, maakt u een XML-bestand met de gewenste instellingen voor systeem- en toepassingsbeperking. Er zijn twee methoden om het XML-bestand te maken:

    • PowerShell : gebruik een of meer PowerShell-cmdlets Get-ProcessMitigation, Set-ProcessMitigation en ConvertTo-ProcessMitigationPolicy . De cmdlets configureren instellingen voor risicobeperking en exporteren er een XML-weergave van.

    • Microsoft Defender-beveiligingscentrum gebruikersinterface: selecteer in de Microsoft Defender-beveiligingscentrum App & browserbesturingselement en schuif vervolgens naar de onderkant van het scherm om Exploit Protection te vinden. Gebruik eerst de tabbladen Systeeminstellingen en Programma-instellingen om instellingen voor risicobeperking te configureren. Zoek vervolgens de koppeling Exportinstellingen onder aan het scherm om een XML-weergave ervan te exporteren.

  • Gebruikers bewerken van de interface voor exploit protection
    Standaardinstelling: niet geconfigureerd
    ExploitGuard CSP: ExploitProtectionSettings

    • Blokkeren : upload een XML-bestand waarmee u geheugen, besturingsstroom en beleidsbeperkingen kunt configureren. De instellingen in het XML-bestand kunnen worden gebruikt om misbruik van een toepassing te blokkeren.
    • Niet geconfigureerd : er wordt geen aangepaste configuratie gebruikt.

toepassingsbeheer Microsoft Defender

Kies apps die moeten worden gecontroleerd door of die worden vertrouwd om te worden uitgevoerd door Microsoft Defender Application Control. Windows-onderdelen en alle apps uit de Windows Store worden automatisch vertrouwd om te worden uitgevoerd.

  • Integriteitsbeleid voor toepassingsbeheercode
    Standaardinstelling: niet geconfigureerd
    CSP: AppLocker CSP

    • Afdwingen : kies het integriteitsbeleid voor toepassingsbeheercode voor de apparaten van uw gebruikers.

      Nadat toepassingsbeheer is ingeschakeld op een apparaat, kan toepassingsbeheer alleen worden uitgeschakeld door de modus te wijzigen van Afdwingen in Alleen controleren. Als u de modus wijzigt van Afdwingen in Niet geconfigureerd , wordt toepassingsbeheer nog steeds afgedwongen op toegewezen apparaten.

    • Niet geconfigureerd : toepassingsbeheer wordt niet toegevoegd aan apparaten. Instellingen die eerder zijn toegevoegd, worden echter nog steeds afgedwongen op toegewezen apparaten.

    • Alleen controle : toepassingen worden niet geblokkeerd. Alle gebeurtenissen worden geregistreerd in de logboeken van de lokale client.

      Opmerking

      Als u deze instelling gebruikt, vraagt AppLocker CSP-gedrag eindgebruikers momenteel om hun computer opnieuw op te starten wanneer een beleid wordt geïmplementeerd.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard beschermt tegen aanvallen met diefstal van referenties. Geheimen worden geïsoleerd, zodat alleen bevoegde systeemsoftware er toegang toe heeft.

  • Credential Guard
    Standaardinstelling: Uitschakelen
    DeviceGuard CSP

    • Uitschakelen : schakel Credential Guard op afstand uit als dit eerder was ingeschakeld met de optie Ingeschakeld zonder UEFI-vergrendeling .

    • Inschakelen met UEFI-vergrendeling : Credential Guard kan niet extern worden uitgeschakeld met behulp van een registersleutel of groepsbeleid.

      Opmerking

      Als u deze instelling gebruikt en credential Guard later wilt uitschakelen, moet u de groepsbeleid instellen op Uitgeschakeld. En wis de UEFI-configuratiegegevens van elke computer fysiek. Zolang de UEFI-configuratie blijft bestaan, is Credential Guard ingeschakeld.

    • Inschakelen zonder UEFI-vergrendeling: hiermee kan Credential Guard extern worden uitgeschakeld met behulp van groepsbeleid. Op de apparaten die deze instelling gebruiken, moet Windows 10 versie 1511 en hoger of Windows 11 worden uitgevoerd.

    Wanneer u Credential Guard inschakelt , zijn de volgende vereiste functies ook ingeschakeld:

    • Beveiliging op basis van virtualisatie (VBS)
      Wordt ingeschakeld tijdens de volgende herstart. Beveiliging op basis van virtualisatie maakt gebruik van de Windows Hypervisor om ondersteuning te bieden voor beveiligingsservices.
    • Beveiligd opstarten met toegang tot mapgeheugen
      Hiermee schakelt u VBS met beveiligd opstarten en DMA-beveiliging (Direct Memory Access) in. DMA-beveiligingen vereisen hardwareondersteuning en worden alleen ingeschakeld op correct geconfigureerde apparaten.

Microsoft Defender-beveiligingscentrum

Microsoft Defender-beveiligingscentrum werkt als een afzonderlijke app of proces van elk van de afzonderlijke functies. Er worden meldingen weergegeven via het actiecentrum. Het fungeert als een collector of enkele plaats om de status te bekijken en een configuratie uit te voeren voor elk van de functies. Meer informatie vindt u in de Microsoft Defender-documenten.

Microsoft Defender-beveiligingscentrum app en meldingen

Blokkeer de toegang van eindgebruikers tot de verschillende gebieden van de Microsoft Defender-beveiligingscentrum-app. Als u een sectie verbergt, worden ook gerelateerde meldingen geblokkeerd.

  • Virus- en bedreigingsbeveiliging
    Standaardinstelling: niet geconfigureerd
    WindowsDefenderSecurityCenter CSP: DisableVirusUI

    Configureer of eindgebruikers het gebied Virus- en bedreigingsbeveiliging in de Microsoft Defender-beveiligingscentrum kunnen bekijken. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot virus- en bedreigingsbeveiliging geblokkeerd.

    • Niet geconfigureerd
    • Verbergen

  • Ransomware-beveiliging
    Standaardinstelling: niet geconfigureerd
    WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

    Configureer of eindgebruikers het gebied Ransomware-beveiliging in de Microsoft Defender-beveiligingscentrum kunnen bekijken. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot Ransomware-beveiliging geblokkeerd.

    • Niet geconfigureerd
    • Verbergen

  • Accountbeveiliging
    Standaardinstelling: niet geconfigureerd
    WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI

    Configureer of eindgebruikers het gebied Accountbeveiliging in de Microsoft Defender-beveiligingscentrum kunnen bekijken. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot accountbeveiliging geblokkeerd.

    • Niet geconfigureerd
    • Verbergen

  • Firewall- en netwerkbeveiliging
    Standaardinstelling: niet geconfigureerd
    WindowsDefenderSecurityCenter CSP: DisableNetworkUI

    Configureer of eindgebruikers het gebied firewall- en netwerkbeveiliging kunnen bekijken in de Microsoft Defender Security Center. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot firewall- en netwerkbeveiliging geblokkeerd.

    • Niet geconfigureerd
    • Verbergen

  • App- en browserbeheer
    Standaardinstelling: niet geconfigureerd
    WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

    Configureer of eindgebruikers het gebied app- en browserbeheer kunnen bekijken in het Microsoft Defender Security Center. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot app- en browserbeheer geblokkeerd.

    • Niet geconfigureerd
    • Verbergen

  • Hardwarebeveiliging
    Standaardinstelling: niet geconfigureerd
    WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

    Configureer of eindgebruikers het gebied Hardwarebeveiliging in de Microsoft Defender-beveiligingscentrum kunnen bekijken. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot hardwarebeveiliging geblokkeerd.

    • Niet geconfigureerd
    • Verbergen

  • Apparaatprestaties en -status
    Standaardinstelling: niet geconfigureerd
    WindowsDefenderSecurityCenter CSP: DisableHealthUI

    Configureer of eindgebruikers het gebied Apparaatprestaties en -status kunnen bekijken in het Microsoft Defender Security Center. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot de prestaties en status van het apparaat geblokkeerd.

    • Niet geconfigureerd
    • Verbergen

  • Gezinsopties
    Standaardinstelling: niet geconfigureerd
    WindowsDefenderSecurityCenter CSP: DisableFamilyUI

    Configureer of eindgebruikers het gebied Gezinsopties kunnen bekijken in het Microsoft Defender Security Center. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot gezinsopties geblokkeerd.

    • Niet geconfigureerd
    • Verbergen

  • Meldingen van de weergegeven gebieden van de app
    Standaardinstelling: niet geconfigureerd
    WindowsDefenderSecurityCenter CSP: DisableNotifications

    Kies welke meldingen u wilt weergeven voor eindgebruikers. Niet-kritieke meldingen bevatten samenvattingen van Microsoft Defender Antivirus-activiteit, inclusief meldingen wanneer scans zijn voltooid. Alle andere meldingen worden als kritiek beschouwd.

    • Niet geconfigureerd
    • Niet-kritieke meldingen blokkeren
    • Alle meldingen blokkeren

  • Windows-beveiliging pictogram Center in het systeemvak
    Standaardinstelling: Niet geconfigureerde WindowsDefenderSecurityCenter CSP: HideWindowsSecurityNotificationAreaControl

    Configureer de weergave van het besturingselement voor het systeemvak. De gebruiker moet zich afmelden en aanmelden of de computer opnieuw opstarten om deze instelling van kracht te laten worden.

    • Niet geconfigureerd
    • Verbergen

  • TPM-knop wissen
    Standaardinstelling: Niet geconfigureerde WindowsDefenderSecurityCenter CSP: DisableClearTpmButton

    Configureer de weergave van de knop TPM wissen.

    • Niet geconfigureerd
    • Uitschakelen

  • Waarschuwing tpm-firmware-update
    Standaardinstelling: Niet geconfigureerd WindowsDefenderSecurityCenter CSP: DisableTpmFirmwareUpdateWarning

    Configureer de weergave van tpm-firmware bijwerken wanneer een kwetsbare firmware wordt gedetecteerd.

    • Niet geconfigureerd
    • Verbergen

  • Manipulatiebeveiliging
    Standaardinstelling: niet geconfigureerd

    Schakel Manipulatiebeveiliging in of uit op apparaten. Als u Manipulatiebeveiliging wilt gebruiken, moet u Microsoft Defender voor Eindpunt integreren met Intune en Enterprise Mobility + Security E5-licenties hebben.

    • Niet geconfigureerd : er wordt geen wijziging aangebracht in de apparaatinstellingen.
    • Ingeschakeld : Manipulatiebeveiliging is ingeschakeld en er worden beperkingen toegepast op apparaten.
    • Uitgeschakeld : manipulatiebeveiliging is uitgeschakeld en beperkingen worden niet afgedwongen.

IT-contactgegevens

Geef de CONTACTGEGEVENS van DE IT op die moeten worden weergegeven in de Microsoft Defender-beveiligingscentrum-app en de app-meldingen.

U kunt kiezen tussen Weergeven in app en in meldingen, Alleen weergeven in app, Alleen weergeven in meldingen of Niet weergeven. Voer de naam van de IT-organisatie en ten minste een van de volgende contactopties in:

  • IT-contactgegevens
    Standaardinstelling: Niet weergeven
    WindowsDefenderSecurityCenter CSP: EnableCustomizedToasts

    Configureren waar it-contactgegevens worden weergegeven voor eindgebruikers.

    • Weergeven in app en in meldingen
    • Alleen weergeven in app
    • Alleen weergeven in meldingen
    • Niet weergeven

    Wanneer deze is geconfigureerd om weer te geven, kunt u de volgende instellingen configureren:

    • NAAM VAN IT-organisatie
      Standaardinstelling: niet geconfigureerd
      WindowsDefenderSecurityCenter CSP: CompanyName

    • Telefoonnummer of Skype-id van it-afdeling
      Standaardinstelling: niet geconfigureerd
      WindowsDefenderSecurityCenter CSP: Telefoon

    • E-mailadres van IT-afdeling
      Standaardinstelling: niet geconfigureerd
      WindowsDefenderSecurityCenter CSP: Email

    • URL van it-ondersteuningswebsite
      Standaardinstelling: niet geconfigureerd
      WindowsDefenderSecurityCenter CSP: URL

Beveiligingsopties voor lokale apparaten

Gebruik deze opties om de lokale beveiligingsinstellingen op Windows 10/11-apparaten te configureren.

Accounts

  • Nieuwe Microsoft-accounts toevoegen
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: Accounts_BlockMicrosoftAccounts

    • Blok Voorkomen dat gebruikers nieuwe Microsoft-accounts toevoegen aan het apparaat.
    • Niet geconfigureerd : gebruikers kunnen Microsoft-accounts op het apparaat gebruiken.

  • Extern aanmelden zonder wachtwoord
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Blokkeren : alleen lokale accounts met lege wachtwoorden mogen zich aanmelden met het toetsenbord van het apparaat.
    • Niet geconfigureerd : lokale accounts met lege wachtwoorden toestaan zich aan te melden vanaf andere locaties dan het fysieke apparaat.

Beheerder

  • Lokaal beheerdersaccount
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Blok Het gebruik van een lokaal beheerdersaccount voorkomen.
    • Niet geconfigureerd

  • Naam van beheerdersaccount wijzigen
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: Accounts_RenameAdministratorAccount

    Definieer een andere accountnaam die moet worden gekoppeld aan de beveiligings-id (SID) voor het account 'Administrator'.

Guest (Gast)

  • Gastaccount
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: LocalPoliciesSecurityOptions

    • Blokkeren : het gebruik van een gastaccount voorkomen.
    • Niet geconfigureerd

  • Naam van gastaccount wijzigen
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: Accounts_RenameGuestAccount

    Definieer een andere accountnaam die moet worden gekoppeld aan de beveiligings-id (SID) voor het account 'Gast'.

Apparaten

  • Apparaat loskoppelen zonder aanmelding
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: Devices_AllowUndockWithoutHavingToLogon

    • Blokkeren : een gebruiker moet zich aanmelden bij het apparaat en toestemming krijgen om het apparaat los te koppelen.
    • Niet geconfigureerd : gebruikers kunnen op de fysieke uitwerpknop van een vastgezet draagbaar apparaat drukken om het apparaat veilig los te koppelen.

  • Printerstuurprogramma's voor gedeelde printers installeren
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

    • Ingeschakeld : elke gebruiker kan een printerstuurprogramma installeren als onderdeel van het maken van verbinding met een gedeelde printer.
    • Niet geconfigureerd : alleen beheerders kunnen een printerstuurprogramma installeren als onderdeel van het maken van verbinding met een gedeelde printer.

  • Toegang tot cd-rom beperken tot lokale actieve gebruiker
    Standaardinstelling: niet geconfigureerd
    CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

    • Ingeschakeld : alleen de interactief aangemelde gebruiker kan de cd-rom-media gebruiken. Als dit beleid is ingeschakeld en niemand interactief is aangemeld, wordt de cd-rom geopend via het netwerk.
    • Niet geconfigureerd : iedereen heeft toegang tot de cd-rom.

  • Verwisselbare media opmaken en uitwerpen
    Standaardinstelling: Beheerders
    CSP: Devices_AllowedToFormatAndEjectRemovableMedia

    Definieer wie verwisselbare NTFS-media mag formatteren en uitwerpen:

    • Niet geconfigureerd
    • Beheerders
    • Beheerders en hoofdgebruikers
    • Beheerders en interactieve gebruikers

Interactieve aanmelding

  • Minuten van inactiviteit van het vergrendelingsscherm totdat schermbeveiliging wordt geactiveerd
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_MachineInactivityLimit

    Voer het maximum aantal minuten van inactiviteit in totdat de schermbeveiliging wordt geactiveerd. (0 - 99999)

  • Ctrl+Alt+DEL vereisen om u aan te melden
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DoNotRequireCTRLALTDEL

    • Inschakelen : vereisen dat gebruikers op Ctrl+Alt+DEL drukken voordat ze zich aanmelden bij Windows.
    • Niet geconfigureerd : u hoeft niet op Ctrl+Alt+DEL te drukken om zich aan te melden.

  • Gedrag van smartcardverwijdering
    Standaardinstelling: Geen actie LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

    Bepaalt wat er gebeurt wanneer de smartcard voor een aangemelde gebruiker uit de smartcardlezer wordt verwijderd. Uw opties:

    • Werkstation vergrendelen : het werkstation wordt vergrendeld wanneer de smartcard wordt verwijderd. Met deze optie kunnen gebruikers het gebied verlaten, hun smartcard meenemen en toch een beveiligde sessie onderhouden.
    • Geen actie
    • Afmelden forceren : de gebruiker wordt automatisch afgemeld wanneer de smartcard wordt verwijderd.
    • Verbinding verbreken als een extern bureaublad-servicessessie : als u de smartcard verwijdert, wordt de sessie verbroken zonder de gebruiker af te melden. Met deze optie kan de gebruiker de smartcard invoegen en de sessie later hervatten, of op een andere computer met smartcardlezer, zonder zich opnieuw aan te melden. Als de sessie lokaal is, werkt dit beleid identiek aan Werkstation vergrendelen.

Weergeven

  • Gebruikersgegevens op het vergrendelingsscherm
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

    Configureer de gebruikersgegevens die worden weergegeven wanneer de sessie is vergrendeld. Als deze niet is geconfigureerd, worden de weergavenaam, het domein en de gebruikersnaam van de gebruiker weergegeven.

    • Niet geconfigureerd
    • Weergavenaam, domein en gebruikersnaam van gebruiker
    • Alleen weergavenaam van gebruiker
    • Gebruikersgegevens niet weergeven

  • Laatst aangemelde gebruiker verbergen
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DoNotDisplayLastSignedIn

    • Inschakelen : de gebruikersnaam verbergen.
    • Niet geconfigureerd : de laatste gebruikersnaam weergeven.

  • Gebruikersnaam verbergen bij aanmeldingStandaardinstelling: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn

    • Inschakelen : de gebruikersnaam verbergen.
    • Niet geconfigureerd : de laatste gebruikersnaam weergeven.

  • Titel van aanmeldingsbericht
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

    Stel de berichttitel in voor gebruikers die zich aanmelden.

  • Tekst van aanmeldingsbericht
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

    Stel de berichttekst in voor gebruikers die zich aanmelden.

Netwerktoegang en -beveiliging

  • Anonieme toegang tot Named Pipes en Shares
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

    • Niet geconfigureerd : anonieme toegang beperken tot share- en Named Pipe-instellingen. Is van toepassing op de instellingen die anoniem kunnen worden geopend.
    • Blokkeren : schakel dit beleid uit en maak anonieme toegang beschikbaar.

  • Anonieme opsomming van SAM-accounts
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

    • Niet geconfigureerd : anonieme gebruikers kunnen SAM-accounts opsommen.
    • Blokkeren : anonieme inventarisatie van SAM-accounts voorkomen.

  • Anonieme opsomming van SAM-accounts en -shares
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

    • Niet geconfigureerd : anonieme gebruikers kunnen de namen van domeinaccounts en netwerkshares opsommen.
    • Blokkeren : anonieme inventarisatie van SAM-accounts en -shares voorkomen.

  • HASH-waarde van LAN Manager opgeslagen bij wachtwoordwijziging
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

    Bepaal of de hash-waarde voor wachtwoorden wordt opgeslagen wanneer het wachtwoord de volgende keer wordt gewijzigd.

    • Niet geconfigureerd : de hash-waarde wordt niet opgeslagen
    • Blokkeren : in LAN Manager (LM) wordt de hash-waarde voor het nieuwe wachtwoord opgeslagen.

  • PKU2U-verificatieaanvragen
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests

    • Niet geconfigureerd: PU2U-aanvragen toestaan.
    • Blokkeren : PKU2U-verificatieaanvragen voor het apparaat blokkeren.

  • Externe RPC-verbindingen beperken tot SAM
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

    • Niet geconfigureerd : gebruik de standaardbeveiligingsdescriptor, waarmee gebruikers en groepen externe RPC-aanroepen naar de SAM kunnen uitvoeren.

    • Toestaan : hiermee kunnen gebruikers en groepen geen externe RPC-aanroepen uitvoeren naar de Security Accounts Manager (SAM), die gebruikersaccounts en wachtwoorden opslaat. Met Toestaan kunt u ook de standaard-SDDL-tekenreeks (Security Descriptor Definition Language) wijzigen, zodat gebruikers en groepen expliciet toestaan of weigeren deze externe aanroepen uit te voeren.

      • Beveiligingsdescriptor
        Standaardinstelling: niet geconfigureerd

  • Minimale sessiebeveiliging voor op NTLM SSP gebaseerde clients
    Standaardinstelling: Geen
    LocalPoliciesSecurityOptions-CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

    Met deze beveiligingsinstelling kan een server de onderhandeling van 128-bits versleuteling en/of NTLMv2-sessiebeveiliging vereisen.

    • Geen
    • NTLMv2-sessiebeveiliging vereisen
    • 128-bits versleuteling vereisen
    • NTLMv2 en 128-bits versleuteling

  • Minimale sessiebeveiliging voor op NTLM SSP gebaseerde server
    Standaardinstelling: Geen
    LocalPoliciesSecurityOptions-CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

    Met deze beveiligingsinstelling wordt bepaald welk verificatieprotocol voor uitdagingen/antwoorden wordt gebruikt voor netwerkaanmeldingen.

    • Geen
    • NTLMv2-sessiebeveiliging vereisen
    • 128-bits versleuteling vereisen
    • NTLMv2 en 128-bits versleuteling

  • Verificatieniveau LAN Manager
    Standaardinstelling: LM en NTLM
    LocalPoliciesSecurityOptions-CSP: NetworkSecurity_LANManagerAuthenticationLevel

    • LM en NTLM
    • LM, NTLM en NTLMv2
    • NTLM
    • NTLMv2
    • NTLMv2 en niet LM
    • NTLMv2 en niet LM of NTLM

  • Onveilige gastaanmeldingen
    Standaardinstelling: niet geconfigureerd
    LanmanWorkstation CSP: LanmanWorkstation

    Als u deze instelling inschakelt, weigert de SMB-client onveilige gastaanmeldingen.

    • Niet geconfigureerd
    • Blokkeren : de SMB-client weigert onveilige gastaanmeldingen.

Herstelconsole en afsluiten

  • Paginabestand voor virtueel geheugen wissen bij afsluiten
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: Shutdown_ClearVirtualMemoryPageFile

    • Inschakelen : wis het paginabestand van het virtuele geheugen wanneer het apparaat wordt uitgeschakeld.
    • Niet geconfigureerd : hiermee wordt het virtuele geheugen niet gewist.

  • Afsluiten zonder aanmelden
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

    • Blokkeren : verberg de afsluitoptie op het windows-aanmeldingsscherm. Gebruikers moeten zich aanmelden bij het apparaat en vervolgens afsluiten.
    • Niet geconfigureerd : gebruikers toestaan het apparaat af te sluiten via het Windows-aanmeldingsscherm.

Gebruikersaccountbeheer

  • UIA-integriteit zonder beveiligde locatie
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Blokkeren : apps die zich op een veilige locatie in het bestandssysteem bevinden, worden alleen uitgevoerd met UIAccess-integriteit.
    • Niet geconfigureerd : hiermee kunnen apps worden uitgevoerd met UIAccess-integriteit, zelfs als de apps zich niet op een veilige locatie in het bestandssysteem bevinden.

  • Schrijffouten voor bestanden en registers virtualiseren naar locaties per gebruiker
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

    • Ingeschakeld : toepassingen die gegevens naar beveiligde locaties schrijven, mislukken.
    • Niet geconfigureerd : schrijffouten in toepassingen worden tijdens de uitvoering omgeleid naar gedefinieerde gebruikerslocaties voor het bestandssysteem en het register.

  • Alleen uitvoerbare bestanden verhogen die zijn ondertekend en gevalideerd
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Ingeschakeld : de validatie van het PKI-certificeringspad afdwingen voor een uitvoerbaar bestand voordat het kan worden uitgevoerd.
    • Niet geconfigureerd : geen validatie van PKI-certificeringspaden afdwingen voordat een uitvoerbaar bestand kan worden uitgevoerd.

Gedrag van UIA-verhogingsprompt

  • Vraag om verhoging van bevoegdheden voor beheerders
    Standaardinstelling: vragen om toestemming voor niet-Windows-binaire bestanden
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

    Definieer het gedrag van de prompt voor verhoging van bevoegdheden voor beheerders in Beheer goedkeuringsmodus.

    • Niet geconfigureerd
    • Verhogen zonder te vragen
    • Vragen om referenties op het beveiligde bureaublad
    • Vragen om referenties
    • Vragen om toestemming
    • Vragen om toestemming voor niet-Windows-binaire bestanden

  • Vraag om verhoging van de bevoegdheden voor standaardgebruikers
    Standaardinstelling: vragen om referenties
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

    Definieer het gedrag van de uitbreidingsprompt voor standaardgebruikers.

    • Niet geconfigureerd
    • Aanvragen voor verhoging van bevoegdheden automatisch weigeren
    • Vragen om referenties op het beveiligde bureaublad
    • Vragen om referenties

  • Prompts voor verhoging van bevoegdheden routeren naar het interactieve bureaublad van de gebruiker
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

    • Ingeschakeld : alle aanvragen voor uitbreiding van bevoegdheden gaan naar het bureaublad van de interactieve gebruiker in plaats van het beveiligde bureaublad. Alle beleidsinstellingen voor promptgedrag voor beheerders en standaardgebruikers worden gebruikt.
    • Niet geconfigureerd : dwing af dat alle uitbreidingsaanvragen naar het beveiligde bureaublad gaan, ongeacht eventuele beleidsinstellingen voor promptgedrag voor beheerders en standaardgebruikers.

  • Prompt met verhoogde bevoegdheid voor app-installaties
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

    • Ingeschakeld : toepassingsinstallatiepakketten worden niet gedetecteerd of gevraagd om uitbreiding.
    • Niet geconfigureerd : gebruikers worden gevraagd om een gebruikersnaam en wachtwoord voor beheerdersrechten wanneer voor een toepassingsinstallatiepakket verhoogde bevoegdheden zijn vereist.

  • UIA-uitbreidingsprompt zonder beveiligd bureaublad
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

  • Inschakelen : toestaan dat UIAccess-apps om uitbreiding vragen, zonder het beveiligde bureaublad te gebruiken.

  • Niet geconfigureerd : prompts voor uitbreiding maken gebruik van een beveiligd bureaublad.

Beheer-goedkeuringsmodus

  • Beheer goedkeuringsmodus voor ingebouwde beheerder
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_UseAdminApprovalMode

    • Ingeschakeld: sta het ingebouwde beheerdersaccount toe om Beheer goedkeuringsmodus te gebruiken. Elke bewerking waarvoor uitbreiding van bevoegdheden is vereist, vraagt de gebruiker om de bewerking goed te keuren.
    • Niet geconfigureerd: alle apps met volledige beheerdersbevoegdheden worden uitgevoerd.

  • Alle beheerders uitvoeren in Beheer goedkeuringsmodus
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

    • Ingeschakeld: schakel Beheer goedkeuringsmodus in.
    • Niet geconfigureerd: schakel Beheer goedkeuringsmodus en alle gerelateerde UAC-beleidsinstellingen uit.

Microsoft-netwerkclient

  • Communicatie digitaal ondertekenen (als de server hiermee akkoord gaat)
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

    Bepaalt of de SMB-client onderhandelt over SMB-pakketondertekening.

    • Blokkeren : de SMB-client onderhandelt nooit over SMB-pakketondertekening.
    • Niet geconfigureerd : de Microsoft-netwerkclient vraagt de server om SMB-pakketondertekening uit te voeren bij het instellen van de sessie. Als pakketondertekening is ingeschakeld op de server, wordt er onderhandeld over pakketondertekening.

  • Niet-versleuteld wachtwoord verzenden naar externe SMB-servers
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

    • Blokkeren : de SMB-redirector (Server Message Block) kan wachtwoorden zonder opmaak verzenden naar niet-Microsoft SMB-servers die geen ondersteuning bieden voor wachtwoordversleuteling tijdens verificatie.
    • Niet geconfigureerd : het verzenden van wachtwoorden zonder opmaak blokkeren. De wachtwoorden zijn versleuteld.

  • Communicatie digitaal ondertekenen (altijd)
    Standaardinstelling: niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

    • Inschakelen : de Microsoft-netwerkclient communiceert niet met een Microsoft-netwerkserver, tenzij die server akkoord gaat met SMB-pakketondertekening.
    • Niet geconfigureerd : er wordt onderhandeld over SMB-pakketondertekening tussen de client en de server.

Microsoft Network Server

  • Communicatie digitaal ondertekenen (als de client hiermee akkoord gaat)
    Standaardinstelling: niet geconfigureerd
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

    • Inschakelen : de Microsoft-netwerkserver onderhandelt over SMB-pakketondertekening zoals aangevraagd door de client. Dat wil gezegd, als pakketondertekening is ingeschakeld op de client, wordt er onderhandeld over pakketondertekening.
    • Niet geconfigureerd: de SMB-client onderhandelt nooit over SMB-pakketondertekening.

  • Communicatie digitaal ondertekenen (altijd)
    Standaardinstelling: niet geconfigureerd
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

    • Inschakelen : de Microsoft-netwerkserver communiceert niet met een Microsoft-netwerkclient, tenzij die client akkoord gaat met SMB-pakketondertekening.
    • Niet geconfigureerd : er wordt onderhandeld over SMB-pakketondertekening tussen de client en de server.

Xbox-services

Volgende stappen

Het profiel is gemaakt, maar er wordt nog niets gedaan. Wijs vervolgens het profiel toe en controleer de status ervan.

Instellingen voor eindpuntbeveiliging configureren op macOS-apparaten .