Windows instellingen die u kunt beheren via een Intune Endpoint Protection-profiel

  • Artikel
  • 43 minuten om te lezen

Notitie

Intune ondersteunt mogelijk meer instellingen dan de instellingen in dit artikel. Niet alle instellingen worden gedocumenteerd en worden niet gedocumenteerd. Als u de instellingen wilt zien die u kunt configureren, maakt u een apparaatconfiguratieprofiel en selecteert u Instellingen Catalogus. Zie de catalogus Instellingen voor meer informatie.

Microsoft Intune bevat veel instellingen om uw apparaten te beschermen. In dit artikel worden de instellingen in de eindpuntbeveiligingssjabloon voor apparaatconfiguratie beschreven. Als u apparaatbeveiliging wilt beheren, kunt u ook eindpuntbeveiligingsbeleid gebruiken, dat zich rechtstreeks richt op subsets van apparaatbeveiliging. Zie Windows apparaatbeperkingen of gebruik antivirusbeleid voor eindpuntbeveiliging om Microsoft Defender Antivirus te configureren.

Voordat u begint

Maak een configuratieprofiel voor eindpuntbeveiligingsapparaten.

Zie de naslaginformatie over configuratieserviceproviders voor meer informatie over configuratieserviceproviders (CSP's).

Microsoft Defender Application Guard

Voor Microsoft Edge beschermt Microsoft Defender Application Guard uw omgeving tegen sites die niet worden vertrouwd door uw organisatie. Met Application Guard worden sites die zich niet in uw geïsoleerde netwerkgrens bevinden, geopend in een virtuele browsersessie van Hyper-V. Vertrouwde sites worden gedefinieerd door een netwerkgrens die is geconfigureerd in Apparaatconfiguratie. Zie Een netwerkgrens maken op Windows apparaten voor meer informatie.

Application Guard is alleen beschikbaar voor 64-bits Windows-apparaten. Met dit profiel wordt een Win32-onderdeel geïnstalleerd om Application Guard te activeren.

  • Application Guard
    Standaard: Niet geconfigureerd
    Application Guard CSP: Instellingen/AllowWindowsDefenderApplicationGuard

    • Ingeschakeld voor Edge : hiermee schakelt u deze functie in, waarmee niet-vertrouwde sites worden geopend in een gevirtualiseerde Hyper-V-browsercontainer.
    • Niet geconfigureerd : elke site (vertrouwd en niet-vertrouwd) kan op het apparaat worden geopend.

  • Klembordgedrag
    Standaard: Niet geconfigureerd
    Application Guard CSP: Instellingen/ClipboardSettings

    Kies welke kopieer- en plakacties zijn toegestaan tussen de lokale pc en de virtuele Application Guard-browser.

    • Niet geconfigureerd
    • Kopiëren en plakken alleen van pc naar browser toestaan
    • Alleen kopiëren en plakken van browser naar pc toestaan
    • Kopiëren en plakken tussen pc en browser toestaan
    • Kopiëren en plakken tussen pc en browser blokkeren

  • Klembordinhoud
    Deze instelling is alleen beschikbaar wanneer klembordgedrag is ingesteld op een van de toegestane instellingen.
    Standaard: Niet geconfigureerd
    Application Guard CSP: Instellingen/ClipboardFileType

    Selecteer de toegestane klembordinhoud.

    • Niet geconfigureerd
    • Tekst
    • Afbeeldingen
    • Tekst en afbeeldingen

  • Externe inhoud op bedrijfssites
    Standaard: Niet geconfigureerd
    Application Guard CSP: Instellingen/BlockNonEnterpriseContent

    • Blokkeren : voorkomen dat inhoud van niet-goedgekeurde websites wordt geladen.
    • Niet geconfigureerd : niet-bedrijfssites kunnen op het apparaat worden geopend.

  • Afdrukken vanuit virtuele browser
    Standaard: Niet geconfigureerd
    Application Guard CSP: Instellingen/PrintingSettings

    • Toestaan : hiermee staat u het afdrukken van geselecteerde inhoud vanuit de virtuele browser toe.
    • Niet geconfigureerd Schakel alle afdrukfuncties uit.

    Wanneer u afdrukken toestaat , kunt u de volgende instelling configureren:

    • Afdruktype(s) Selecteer een of meer van de volgende opties:
      • PDF
      • XPS
      • Lokale printers
      • Netwerkprinters

  • Logboeken verzamelen
    Standaard: Niet geconfigureerd
    Application Guard CSP: Audit/AuditApplicationGuard

    • Toestaan : verzamel logboeken voor gebeurtenissen die zich voordoen in een Application Guard-browsersessie.
    • Niet geconfigureerd : verzamel geen logboeken in de browsersessie.

  • Door de gebruiker gegenereerde browsergegevens behouden
    Standaard: Niet geconfigureerd
    Application Guard CSP: Instellingen/AllowPersistence

    • Toestaan Sla gebruikersgegevens (zoals wachtwoorden, favorieten en cookies) op die zijn gemaakt tijdens een virtuele browsersessie van Application Guard.
    • Niet geconfigureerd Door de gebruiker gedownloade bestanden en gegevens verwijderen wanneer het apparaat opnieuw wordt opgestart of wanneer een gebruiker zich afmeldt.

  • Grafische versnelling
    Standaard: Niet geconfigureerd
    Application Guard CSP: Instellingen/AllowVirtualGPU

    • Inschakelen : grafisch intensieve websites en video's sneller laden door toegang te krijgen tot een virtuele grafische verwerkingseenheid.
    • Niet geconfigureerd Gebruik de CPU van het apparaat voor afbeeldingen; Gebruik de virtuele grafische verwerkingseenheid niet.

  • Bestanden downloaden naar het hostbestandssysteem
    Standaard: Niet geconfigureerd
    Application Guard CSP: Instellingen/SaveFilesToHost

    • Inschakelen : gebruikers kunnen bestanden van de gevirtualiseerde browser downloaden naar het hostbesturingssysteem.
    • Niet geconfigureerd : houdt de bestanden lokaal op het apparaat en downloadt geen bestanden naar het hostbestandssysteem.

Microsoft Defender Firewall

Algemene instellingen

Deze instellingen zijn van toepassing op alle netwerktypen.

  • File Transfer Protocol
    Standaard: Niet geconfigureerd
    Firewall-CSP: MdmStore/Global/DisableStatefulFtp

    • Blokkeren - Stateful FTP uitschakelen.
    • Niet geconfigureerd : de firewall voert stateful FTP-filtering uit om secundaire verbindingen toe te staan.

  • Niet-actieve tijd van beveiligingskoppeling vóór verwijdering
    Standaard: Niet geconfigureerd
    Firewall-CSP: MdmStore/Global/SaIdleTime

    Geef een niet-actieve tijd in seconden op, waarna beveiligingskoppelingen worden verwijderd.

  • Vooraf gedeelde sleutelcodering
    Standaard: Niet geconfigureerd
    Firewall-CSP: MdmStore/Global/PresharedKeyEncoding

    • Inschakelen : codeer vooraf gedefinieerde sleutels met behulp van UTF-8.
    • Niet geconfigureerd : codeer vooraf gedefinieerde sleutels met behulp van de waarde van het lokale archief.

  • IPsec-uitzonderingen
    Standaard: 0 geselecteerd
    Firewall-CSP: MdmStore/Global/IPsecExempt

    Selecteer een of meer van de volgende typen verkeer dat moet worden uitgesloten van IPsec:

    • IPv6 ICMP-typecodes detecteren met neighbor
    • ICMP
    • IPv6 ICMP-typecodes detecteren met router
    • Zowel IPv4- als IPv6 DHCP-netwerkverkeer

  • Verificatie van certificaat intrekkingslijst
    Standaard: Niet geconfigureerd
    Firewall-CSP: MdmStore/Global/CRLcheck

    Kies hoe het apparaat de certificaatintrekkingslijst verifieert. Opties zijn onder andere:

    • CRL-verificatie uitschakelen
    • CRL-verificatie mislukt alleen bij ingetrokken certificaat
    • Crl-verificatie mislukt bij een fout die is opgetreden.

  • Opportunistisch overeenkomende verificatieset per sleutelmodule
    Standaard: Niet geconfigureerd
    Firewall-CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • Inschakelen Sleutelmodules moeten alleen de verificatiesuites negeren die niet worden ondersteund.
    • Niet geconfigureerd, moeten sleutelmodules de volledige verificatieset negeren als ze niet alle verificatiesuites ondersteunen die in de set zijn opgegeven.

  • Pakketwachtrijen
    Standaard: Niet geconfigureerd
    Firewall-CSP: MdmStore/Global/EnablePacketQueue

    Geef op hoe softwareschaalaanpassing aan de ontvangstzijde is ingeschakeld voor de versleutelde ontvangst en tekst vooruit wissen voor het scenario met de IPsec-tunnelgateway. Met deze instelling wordt bevestigd dat de pakketvolgorde behouden blijft. Opties zijn onder andere:

    • Niet geconfigureerd
    • Alle pakketwachtrijen uitschakelen
    • Alleen binnenkomende versleutelde pakketten in de wachtrij plaatsen
    • Wachtrijpakketten na ontsleuteling worden alleen uitgevoerd voor doorsturen
    • Zowel binnenkomende als uitgaande pakketten configureren

Netwerkinstellingen

De volgende instellingen worden elk één keer in dit artikel vermeld, maar zijn allemaal van toepassing op de drie specifieke netwerktypen:

  • Domeinnetwerk (werkplek)
  • Privénetwerk (detecteerbaar)
  • Openbaar (niet-detecteerbaar) netwerk

Algemene instellingen

  • Microsoft Defender Firewall
    Standaard: Niet geconfigureerd
    Firewall-CSP: EnableFirewall

    • Inschakelen : schakel de firewall en geavanceerde beveiliging in.
    • Niet geconfigureerd Hiermee staat u al het netwerkverkeer toe, ongeacht eventuele andere beleidsinstellingen.

  • Verborgen modus
    Standaard: Niet geconfigureerd
    Firewall-CSP: DisableStealthMode

    • Niet geconfigureerd
    • Blokkeren - Firewall kan niet worden gebruikt in de verborgen modus. Door de verborgen modus te blokkeren, kunt u ook IPsec-beveiligde pakketuitsluiting blokkeren.
    • Toestaan : de firewall werkt in de verborgen modus, waardoor reacties op het testen van aanvragen worden voorkomen.

  • IPsec-beveiligde pakketuitsluiting met verborgen modus
    Standaard: Niet geconfigureerd
    Firewall-CSP: DisableStealthModeIpsecSecuredPacketExemption

    Deze optie wordt genegeerd als de verborgen modus is ingesteld op Blokkeren.

    • Niet geconfigureerd
    • Blokkeren : met IPSec beveiligde pakketten ontvangen geen uitzonderingen.
    • Toestaan - Uitzonderingen inschakelen. De verborgen modus van de firewall MAG NIET voorkomen dat de hostcomputer reageert op ongevraagd netwerkverkeer dat wordt beveiligd door IPsec.

  • Afgeschermd
    Standaard: Niet geconfigureerd
    Firewall-CSP: afgeschermd

    • Niet geconfigureerd
    • Blokkeren : wanneer microsoft Defender Firewall is ingeschakeld en deze instelling is ingesteld op Blokkeren, wordt al het binnenkomende verkeer geblokkeerd, ongeacht andere beleidsinstellingen.
    • Toestaan : als deze instelling is ingesteld op Toestaan, wordt deze instelling uitgeschakeld en wordt binnenkomend verkeer toegestaan op basis van andere beleidsinstellingen.

  • Unicast-antwoorden op multicast-broadcasts
    Standaard: Niet geconfigureerd
    Firewall-CSP: DisableUnicastResponsesToMulticastBroadcast

    Normaal gesproken wilt u geen unicast-antwoorden ontvangen op multicast- of broadcast-berichten. Deze antwoorden kunnen duiden op een DOS-aanval (Denial of Service) of een aanvaller die een bekende livecomputer probeert te testen.

    • Niet geconfigureerd
    • Blokkeren : unicast-antwoorden voor multicast-broadcasts uitschakelen.
    • Toestaan : unicast-antwoorden voor multicast-broadcasts toestaan.

  • Binnenkomende meldingen
    Standaard: Niet geconfigureerd
    Firewall-CSP: DisableInboundNotifications

    • Niet geconfigureerd
    • Blokkeren : meldingen verbergen voor gebruik wanneer een app wordt geblokkeerd om te luisteren op een poort.
    • Toestaan : hiermee schakelt u deze instelling in en wordt mogelijk een melding weergegeven aan gebruikers wanneer een app wordt geblokkeerd om te luisteren op een poort.

  • Standaardactie voor uitgaande verbindingen
    Standaard: Niet geconfigureerd
    Firewall-CSP: DefaultOutboundAction

    Configureer de standaardactiefirewall die wordt uitgevoerd op uitgaande verbindingen. Deze instelling wordt toegepast op Windows versie 1809 en hoger.

    • Niet geconfigureerd
    • Blokkeren : de standaardfirewallactie wordt niet uitgevoerd op uitgaand verkeer, tenzij expliciet is opgegeven dat deze niet mag worden geblokkeerd.
    • Toestaan : standaardfirewallacties worden uitgevoerd op uitgaande verbindingen.

  • Standaardactie voor binnenkomende verbindingen
    Standaard: Niet geconfigureerd
    Firewall-CSP: DefaultInboundAction

    • Niet geconfigureerd
    • Blokkeren : de standaardfirewallactie wordt niet uitgevoerd op binnenkomende verbindingen.
    • Toestaan : standaardfirewallacties worden uitgevoerd op binnenkomende verbindingen.

Regel samenvoegen

  • Geautoriseerde toepassing Microsoft Defender Firewall-regels uit het lokale archief
    Standaard: Niet geconfigureerd
    Firewall-CSP: AuthAppsAllowUserPrefMerge

    • Niet geconfigureerd
    • Blokkeren : de firewallregels voor geautoriseerde toepassingen in het lokale archief worden genegeerd en worden niet afgedwongen.
    • Toestaan - Kies Firewallregels inschakelen in het lokale archief, zodat deze worden herkend en afgedwongen.

  • Algemene poort voor Microsoft Defender Firewall-regels uit het lokale archief
    Standaard: Niet geconfigureerd
    Firewall-CSP: GlobalPortsAllowUserPrefMerge

    • Niet geconfigureerd
    • Blokkeren : de algemene poortfirewallregels in het lokale archief worden genegeerd en worden niet afgedwongen.
    • Toestaan : algemene poortfirewallregels toepassen in het lokale archief om te worden herkend en afgedwongen.

  • Microsoft Defender Firewall-regels uit het lokale archief
    Standaard: Niet geconfigureerd
    Firewall-CSP: AllowLocalPolicyMerge

    • Niet geconfigureerd
    • Blokkeren : firewallregels uit het lokale archief worden genegeerd en worden niet afgedwongen.
    • Toestaan : firewallregels toepassen in het lokale archief om te worden herkend en afgedwongen.

  • IPsec-regels uit het lokale archief
    Standaard: Niet geconfigureerd
    Firewall-CSP: AllowLocalIpsecPolicyMerge

    • Niet geconfigureerd
    • Blokkeren : de beveiligingsregels voor verbindingen uit het lokale archief worden genegeerd en worden niet afgedwongen, ongeacht de schemaversie en de versie van de verbindingsbeveiligingsregel.
    • Toestaan : beveiligingsregels voor verbindingen toepassen vanuit het lokale archief, ongeacht de versies van de schema- of verbindingsbeveiligingsregel.

Firewallregels

U kunt een of meer aangepaste firewallregels toevoegen . Zie Aangepaste firewallregels toevoegen voor Windows apparaten voor meer informatie.

Aangepaste firewallregels ondersteunen de volgende opties:

Algemene instellingen:

  • Naam
    Standaard: geen naam

    Geef een beschrijvende naam op voor uw regel. Deze naam wordt weergegeven in de lijst met regels om u te helpen deze te identificeren.

  • Beschrijving
    Standaard: Geen beschrijving

    Geef een beschrijving van de regel op.

  • Richting
    Standaard: Niet geconfigureerd
    Firewall-CSP: FirewallRules/FirewallRuleName/Direction

    Geef op of deze regel van toepassing is op binnenkomend of uitgaand verkeer. Wanneer deze optie is ingesteld als Niet geconfigureerd, is de regel automatisch van toepassing op uitgaand verkeer.

  • Actie
    Standaard: Niet geconfigureerd
    Firewall-CSP: FirewallRules/FirewallRuleName/Action en FirewallRules/FirewallRuleName/Action/Type

    Selecteer toestaan of blokkeren. Als de regel is ingesteld als Niet geconfigureerd, wordt verkeer standaard toegestaan.

  • Netwerktype
    Standaard: 0 geselecteerd
    Firewall-CSP: FirewallRules/FirewallRuleName/Profiles

    Selecteer maximaal drie typen netwerktypen waartoe deze regel behoort. Opties zijn domein, privé en openbaar. Als er geen netwerktypen zijn geselecteerd, is de regel van toepassing op alle drie de netwerktypen.

Toepassingsinstellingen

  • Toepassing(en)
    Standaard: alle

    Verbindingen voor een app of programma beheren. Apps en programma's kunnen worden opgegeven op bestandspad, pakketfamilienaam of servicenaam:

    • Pakketfamilienaam : geef een pakketfamilienaam op. Gebruik de PowerShell-opdracht Get-AppxPackage om de familienaam van het pakket te vinden.
      Firewall-CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName

    • Bestandspad : u moet een bestandspad opgeven naar een app op het clientapparaat. Dit kan een absoluut pad of een relatief pad zijn. Bijvoorbeeld: C:\Windows\System\Notepad.exe of %WINDIR%\Notepad.exe.
      Firewall-CSP: FirewallRules/FirewallRuleName/App/FilePath

    • Windows-service: geef de korte naam van de Windows service op als het een service is en niet een toepassing die verkeer verzendt of ontvangt. Gebruik de PowerShell-opdracht Get-Service om de korte naam van de service te vinden.
      Firewall-CSP: FirewallRules/FirewallRuleName/App/ServiceName

    • Alle: er zijn geen configuraties vereist

IP-adresinstellingen

Geef de lokale en externe adressen op waarop deze regel van toepassing is.

  • Lokale adressen
    Standaard: elk adres
    Firewall-CSP: FirewallRules/FirewallRuleName/LocalPortRanges

    Selecteer Een adres of opgegeven adres.

    Wanneer u Opgegeven adres gebruikt, voegt u een of meer adressen toe als een door komma's gescheiden lijst met lokale adressen die onder de regel vallen. Geldige tokens zijn onder andere:

    • Gebruik een sterretje * voor een lokaal adres. Als u een sterretje gebruikt, moet dit het enige token zijn dat u gebruikt.
    • Geef een subnet op door het subnetmasker of de netwerkvoorvoegselnotatie op te geven. Als er geen subnetmasker of een netwerkvoorvoegsel is opgegeven, wordt het subnetmasker standaard ingesteld op 255.255.255.255.
    • Een geldig IPv6-adres.
    • Een IPv4-adresbereik in de indeling 'beginadres - eindadres' zonder spaties.
    • Een IPv6-adresbereik in de indeling 'beginadres - eindadres' zonder spaties.

  • Externe adressen
    Standaard: elk adres
    Firewall-CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

    Selecteer Een adres of opgegeven adres.

    Wanneer u Opgegeven adres gebruikt, voegt u een of meer adressen toe als een door komma's gescheiden lijst met externe adressen die onder de regel vallen. Tokens zijn niet hoofdlettergevoelig. Geldige tokens zijn onder andere:

    • Gebruik een sterretje *voor elk extern adres. Als u een sterretje gebruikt, moet dit het enige token zijn dat u gebruikt.
    • Defaultgateway
    • DHCP
    • DNS
    • WINS
    • Intranet(ondersteund op Windows versie 1809 en later)
    • RmtIntranet(ondersteund op Windows versie 1809 en later)
    • Internet(ondersteund op Windows versie 1809 en later)
    • Ply2Renders(ondersteund op Windows versie 1809 en later)
    • LocalSubnet geeft een lokaal adres op het lokale subnet aan.
    • Geef een subnet op door het subnetmasker of de netwerkvoorvoegselnotatie op te geven. Als er geen subnetmasker of een netwerkvoorvoegsel is opgegeven, wordt het subnetmasker standaard ingesteld op 255.255.255.255.
    • Een geldig IPv6-adres.
    • Een IPv4-adresbereik in de indeling 'beginadres - eindadres' zonder spaties.
    • Een IPv6-adresbereik in de indeling 'beginadres - eindadres' zonder spaties.

Poort- en protocolinstellingen

Geef de lokale en externe poorten op waarop deze regel van toepassing is.

Geavanceerde configuratie

  • Interfacetypen
    Standaard: 0 geselecteerd
    Firewall-CSP: FirewallRules/FirewallRuleName/InterfaceTypes

    Selecteer een van de volgende opties:

    • Ras
    • Draadloze
    • Lokaal netwerk

  • Alleen verbindingen van deze gebruikers toestaan
    Standaard: Alle gebruikers (standaard voor alle toepassingen wanneer er geen lijst is opgegeven)
    Firewall-CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    Geef een lijst op met geautoriseerde lokale gebruikers voor deze regel. Er kan geen lijst met geautoriseerde gebruikers worden opgegeven als deze regel van toepassing is op een Windows-service.

Microsoft Defender SmartScreen-instellingen

Microsoft Edge moet op het apparaat zijn geïnstalleerd.

  • SmartScreen voor apps en bestanden
    Standaard: Niet geconfigureerd
    SmartScreen CSP: SmartScreen/EnableSmartScreenInShell

    • Niet geconfigureerd : hiermee wordt het gebruik van SmartScreen uitgeschakeld.
    • Inschakelen: schakel Windows SmartScreen in voor het uitvoeren van bestanden en het uitvoeren van apps. SmartScreen is een antiphishing- en antimalwareonderdeel in de cloud.

  • Uitvoering van niet-geverifieerde bestanden
    Standaard: Niet geconfigureerd
    SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell

    • Niet geconfigureerd : hiermee schakelt u deze functie uit en kunnen eindgebruikers bestanden uitvoeren die niet zijn geverifieerd.
    • Blokkeren: voorkomen dat eindgebruikers bestanden uitvoeren die niet zijn geverifieerd door Windows SmartScreen.

Windows versleuteling

Windows Instellingen

  • Apparaten versleutelen
    Standaard: Niet geconfigureerd
    BitLocker-CSP: RequireDeviceEncryption

    • Vereisen : gebruikers vragen om apparaatversleuteling in te schakelen. Afhankelijk van de Windows editie en systeemconfiguratie kunnen gebruikers worden gevraagd:
      • Om te bevestigen dat versleuteling van een andere provider niet is ingeschakeld.
      • U moet BitLocker-stationsversleuteling uitschakelen en BitLocker weer inschakelen.
    • Niet geconfigureerd

    Als Windows versleuteling is ingeschakeld terwijl een andere versleutelingsmethode actief is, kan het apparaat instabiel worden.

BitLocker-basisinstellingen

Basisinstellingen zijn universele BitLocker-instellingen voor alle typen gegevensstations. Deze instellingen beheren welke stationsversleutelingstaken of configuratieopties de eindgebruiker kan wijzigen voor alle typen gegevensstations.

  • Waarschuwing voor andere schijfversleuteling
    Standaard: Niet geconfigureerd
    BitLocker-CSP: AllowWarningForOtherDiskEncryption

    • Blokkeren : schakel de waarschuwingsprompt uit als er een andere schijfversleutelingsservice op het apparaat staat.
    • Niet geconfigureerd : hiermee staat u toe dat de waarschuwing voor andere schijfversleuteling wordt weergegeven.

    Tip

    Als u BitLocker automatisch en op de achtergrond wilt installeren op een apparaat dat is toegevoegd aan Azure AD en wordt uitgevoerd Windows 1809 of later, moet deze instelling worden ingesteld op Blokkeren. Zie BitLocker op de achtergrond inschakelen op apparaten voor meer informatie.

    Wanneer deze optie is ingesteld op Blokkeren, kunt u de volgende instelling configureren:

    • Standaardgebruikers toestaan versleuteling in te schakelen tijdens Azure AD Join
      Deze instelling is alleen van toepassing op Azure Active Directory Gekoppelde (Azure ADJ)-apparaten en is afhankelijk van de vorige instelling. Warning for other disk encryption
      Standaard: Niet geconfigureerd
      BitLocker CSP: AllowStandardUserEncryption

      • Toestaan : standaardgebruikers (niet-beheerders) kunnen BitLocker-versleuteling inschakelen wanneer ze zijn aangemeld.
      • Niet alleen beheerders kunnen BitLocker-versleuteling op het apparaat inschakelen.

    Tip

    Als u BitLocker automatisch en op de achtergrond wilt installeren op een apparaat dat is toegevoegd aan Azure AD en wordt uitgevoerd Windows 1809 of later, moet deze instelling worden ingesteld op Toestaan. Zie BitLocker op de achtergrond inschakelen op apparaten voor meer informatie.

  • Versleutelingsmethoden configureren
    Standaard: Niet geconfigureerd
    BitLocker CSP: EncryptionMethodByDriveType

    • Inschakelen : versleutelingsalgoritmen configureren voor besturingssysteem, gegevens en verwisselbare stations.
    • Niet geconfigureerd : BitLocker gebruikt XTS-AES 128-bits als de standaardversleutelingsmethode of gebruikt de versleutelingsmethode die is opgegeven door een installatiescript.

    Wanneer deze optie is ingesteld op Inschakelen, kunt u de volgende instellingen configureren:

    • Versleuteling voor besturingssysteemstations
      Standaard: XTS-AES 128-bits

      Kies de versleutelingsmethode voor besturingssysteemstations. U wordt aangeraden het XTS-AES-algoritme te gebruiken.

      • AES-CBC 128-bits
      • AES-CBC 256-bits
      • XTS-AES 128-bits
      • XTS-AES 256-bits

    • Versleuteling voor vaste gegevensstations
      Standaard: AES-CBC 128-bits

      Kies de versleutelingsmethode voor vaste (ingebouwde) gegevensstations. U wordt aangeraden het XTS-AES-algoritme te gebruiken.

      • AES-CBC 128-bits
      • AES-CBC 256-bits
      • XTS-AES 128-bits
      • XTS-AES 256-bits

    • Versleuteling voor verwisselbare gegevensstations
      Standaard: AES-CBC 128-bits

      Kies de versleutelingsmethode voor verwisselbare gegevensstations. Als het verwisselbare station wordt gebruikt met apparaten waarop Windows 10/11 niet wordt uitgevoerd, raden we u aan het AES-CBC-algoritme te gebruiken.

      • AES-CBC 128-bits
      • AES-CBC 256-bits
      • XTS-AES 128-bits
      • XTS-AES 256-bits

BitLocker-instellingen voor het besturingssysteemstation

Deze instellingen zijn specifiek van toepassing op gegevensstations van het besturingssysteem.

  • Aanvullende verificatie bij het opstarten
    Standaard: Niet geconfigureerd
    BitLocker CSP: SystemDrivesRequireStartupAuthentication

    • Vereisen : configureer de verificatievereisten voor het opstarten van de computer, inclusief het gebruik van TPM (Trusted Platform Module).
    • Niet geconfigureerd : configureer alleen basisopties op apparaten met een TPM.

    Als dit is ingesteld op Vereisen, kunt u de volgende instellingen configureren:

    • BitLocker met niet-compatibele TPM-chip
      Standaard: Niet geconfigureerd

      • Blokkeren : het gebruik van BitLocker uitschakelen wanneer een apparaat geen compatibele TPM-chip heeft.
      • Niet geconfigureerd : gebruikers kunnen BitLocker gebruiken zonder een compatibele TPM-chip. BitLocker vereist mogelijk een wachtwoord of een opstartsleutel.

    • Compatibele TPM opstarten
      Standaard: TPM toestaan

      Configureer of TPM is toegestaan, vereist of niet is toegestaan.

      • TPM toestaan
      • TPM niet toestaan
      • TPM vereisen

    • Compatibele TPM-opstartpincode
      Standaardinstelling: opstartpincode met TPM toestaan

      Kies ervoor om het gebruik van een opstartpincode met de TPM-chip toe te staan, niet toe te staan of te vereisen. Voor het inschakelen van een opstartpincode is interactie van de eindgebruiker vereist.

      • Opstartpincode met TPM toestaan
      • Opstartpincode met TPM niet toestaan
      • Opstartpincode met TPM vereisen

      Tip

      Als u BitLocker automatisch en op de achtergrond wilt installeren op een apparaat dat is toegevoegd aan Azure AD en wordt uitgevoerd Windows 1809 of later, moet deze instelling niet worden ingesteld op Opstartpincode met TPM vereisen. Zie BitLocker op de achtergrond inschakelen op apparaten voor meer informatie.

    • Compatibele TPM-opstartsleutel
      Standaardinstelling: opstartsleutel met TPM toestaan

      Kies ervoor om het gebruik van een opstartsleutel met de TPM-chip toe te staan, niet toe te staan of te vereisen. Voor het inschakelen van een opstartsleutel is interactie van de eindgebruiker vereist.

      • Opstartsleutel met TPM toestaan
      • Opstartsleutel met TPM niet toestaan
      • Opstartsleutel vereisen met TPM

      Tip

      Als u BitLocker automatisch en op de achtergrond wilt installeren op een apparaat dat is toegevoegd aan Azure AD en wordt uitgevoerd Windows 1809 of later, moet deze instelling niet worden ingesteld op Opstartsleutel vereisen met TPM. Zie BitLocker op de achtergrond inschakelen op apparaten voor meer informatie.

    • Compatibele TPM-opstartsleutel en pincode
      Standaardinstelling: opstartsleutel en pincode met TPM toestaan

      Kies ervoor om het gebruik van een opstartsleutel en pincode met de TPM-chip toe te staan, niet toe te staan of te vereisen. Voor het inschakelen van de opstartsleutel en pincode is interactie van de eindgebruiker vereist.

      • Opstartsleutel en pincode met TPM toestaan
      • Opstartsleutel en pincode met TPM niet toestaan
      • Opstartsleutel en pincode vereisen met TPM

      Tip

      Als u BitLocker automatisch en op de achtergrond wilt installeren op een apparaat dat is toegevoegd aan Azure AD en wordt uitgevoerd Windows 1809 of later, moet deze instelling niet worden ingesteld op Opstartsleutel en pincode vereisen met TPM. Zie BitLocker op de achtergrond inschakelen op apparaten voor meer informatie.

  • Minimale lengte pincode
    Standaard: Niet geconfigureerd
    BitLocker CSP: SystemDrivesMinimumPINLength

    • Inschakelen Configureer een minimale lengte voor de TPM-opstartpincode.
    • Niet geconfigureerd : gebruikers kunnen een opstartpincode van elke lengte tussen 6 en 20 cijfers configureren.

    Als dit is ingesteld op Inschakelen, kunt u de volgende instelling configureren:

    • Minimale tekens
      Standaard: Niet geconfigureerde BitLocker-CSP: SystemDrivesMinimumPINLength

      Voer het aantal tekens in dat is vereist voor de opstartpincode vanaf 420-.

  • Herstel van besturingssysteemstation
    Standaard: Niet geconfigureerd
    BitLocker CSP: SystemDrivesRecoveryOptions

    • Inschakelen : bepalen hoe met BitLocker beveiligde besturingssysteemstations worden hersteld wanneer de vereiste opstartgegevens niet beschikbaar zijn.
    • Niet geconfigureerd : standaardherstelopties worden ondersteund, inclusief DRA. De eindgebruiker kan herstelopties opgeven. Er wordt geen back-up van herstelgegevens naar AD DS.

    Wanneer deze optie is ingesteld op Inschakelen, kunt u de volgende instellingen configureren:

    • Agent voor gegevensherstel op basis van certificaten
      Standaard: Niet geconfigureerd

      • Blokkeren : voorkomen dat de agent voor gegevensherstel wordt gebruikt met met BitLocker beveiligde besturingssysteemstations.
      • Niet geconfigureerd : sta toe dat agents voor gegevensherstel worden gebruikt met met BitLocker beveiligde besturingssysteemstations.

    • Het maken van een herstelwachtwoord door de gebruiker
      Standaard: herstelwachtwoord van 48 cijfers toestaan

      Kies of gebruikers een herstelwachtwoord van 48 cijfers mogen genereren, vereist of niet mogen genereren.

      • Herstelwachtwoord van 48 cijfers toestaan
      • Herstelwachtwoord van 48 cijfers niet toestaan
      • Herstelwachtwoord van 48 cijfers vereisen

    • Het maken van een herstelsleutel door de gebruiker
      Standaard: 256-bits herstelsleutel toestaan

      Kies of gebruikers een 256-bits herstelsleutel mogen genereren, vereist of niet.

      • 256-bits herstelsleutel toestaan
      • 256-bits herstelsleutel niet toestaan
      • 256-bits herstelsleutel vereisen

    • Herstelopties in de installatiewizard van BitLocker
      Standaard: Niet geconfigureerd

      • Blokkeren : gebruikers kunnen de herstelopties niet zien en wijzigen. Wanneer ingesteld op
      • Niet geconfigureerd : gebruikers kunnen de herstelopties zien en wijzigen wanneer ze BitLocker inschakelen.

    • BitLocker-herstelgegevens opslaan in Azure Active Directory
      Standaard: Niet geconfigureerd

      • Inschakelen: de BitLocker-herstelgegevens opslaan in Azure Active Directory (Azure AD).
      • Niet geconfigureerd : BitLocker-herstelgegevens worden niet opgeslagen in Azure AD.

    • BitLocker-herstelgegevens die zijn opgeslagen in Azure Active Directory
      Standaard: Back-up maken van herstelwachtwoorden en sleutelpakketten

      Configureer welke onderdelen van BitLocker-herstelgegevens worden opgeslagen in Azure AD. Kies uit:

      • Back-up maken van herstelwachtwoorden en sleutelpakketten
      • Alleen back-upherstelwachtwoorden

    • Clientgestuurde rotatie van herstelwachtwoorden
      Standaard: Sleutelrotatie ingeschakeld voor apparaten die zijn gekoppeld aan Azure AD
      BitLocker-CSP: ConfigureRecoveryPasswordRotation

      Met deze instelling wordt een clientgestuurde herstelwachtwoordrotatie gestart na herstel van het besturingssysteemstation (met behulp van bootmgr of WinRE).

      • Niet geconfigureerd
      • Sleutelrotatie uitgeschakeld
      • Sleutelrotatie ingeschakeld voor aan Azure AD gekoppeldeices
      • Sleutelrotatie ingeschakeld voor Azure AD- en hybride gekoppelde apparaten

    • Herstelgegevens opslaan in Azure Active Directory voordat BitLocker wordt ingeschakeld
      Standaard: Niet geconfigureerd

      Voorkomen dat gebruikers BitLocker inschakelen, tenzij de computer een back-up maakt van de BitLocker-herstelgegevens naar Azure Active Directory.

      • Vereisen : voorkomen dat gebruikers BitLocker inschakelen, tenzij de BitLocker-herstelgegevens zijn opgeslagen in Azure AD.
      • Niet geconfigureerd : gebruikers kunnen BitLocker inschakelen, zelfs als herstelgegevens niet zijn opgeslagen in Azure AD.

  • Pre-boot herstelbericht en URL
    Standaard: Niet geconfigureerd
    BitLocker CSP: SystemDrivesRecoveryMessage

    • Inschakelen : configureer het bericht en de URL die worden weergegeven op het herstelscherm van de pre-bootsleutel.
    • Niet geconfigureerd - Schakel deze functie uit.

    Als dit is ingesteld op Inschakelen, kunt u de volgende instelling configureren:

    • Preboot-herstelbericht
      Standaard: standaardherstelbericht en -URL gebruiken

      Configureer hoe het preboot-herstelbericht wordt weergegeven voor gebruikers. Kies uit:

      • Standaardherstelbericht en -URL gebruiken
      • Leeg herstelbericht en URL gebruiken
      • Aangepast herstelbericht gebruiken
      • Aangepaste herstel-URL gebruiken

BitLocker-instellingen voor vaste gegevensstations

Deze instellingen zijn specifiek van toepassing op vaste gegevensstations.

  • Schrijftoegang tot vaste gegevensstations die niet worden beveiligd door BitLocker
    Standaard: Niet geconfigureerd
    BitLocker CSP: FixedDrivesRequireEncryption

    • Blokkeren : alleen-lezentoegang verlenen tot gegevensstations die niet met BitLocker zijn beveiligd.
    • Niet geconfigureerd : standaard lees- en schrijftoegang tot gegevensstations die niet zijn versleuteld.

  • Herstel van station opgelost
    Standaard: Niet geconfigureerd
    BitLocker-CSP: FixedDrivesRecoveryOptions

    • Inschakelen : bepalen hoe met BitLocker beveiligde vaste schijven worden hersteld wanneer de vereiste opstartgegevens niet beschikbaar zijn.
    • Niet geconfigureerd - Schakel deze functie uit.

    Wanneer deze optie is ingesteld op Inschakelen, kunt u de volgende instellingen configureren:

    • Agent voor gegevensherstel
      Standaard: Niet geconfigureerd

      • Blokkeren : voorkom het gebruik van de agent voor gegevensherstel met met BitLocker beveiligde beleidseditor voor vaste schijven.
      • Niet geconfigureerd : hiermee schakelt u het gebruik van agents voor gegevensherstel met met BitLocker beveiligde vaste schijven in.

    • Het maken van een herstelwachtwoord door de gebruiker
      Standaard: herstelwachtwoord van 48 cijfers toestaan

      Kies of gebruikers een herstelwachtwoord van 48 cijfers mogen genereren, vereist of niet mogen genereren.

      • Herstelwachtwoord van 48 cijfers toestaan
      • Herstelwachtwoord van 48 cijfers niet toestaan
      • Herstelwachtwoord van 48 cijfers vereisen

    • Het maken van een herstelsleutel door de gebruiker
      Standaard: 256-bits herstelsleutel toestaan

      Kies of gebruikers een 256-bits herstelsleutel mogen genereren, vereist of niet.

      • 256-bits herstelsleutel toestaan
      • 256-bits herstelsleutel niet toestaan
      • 256-bits herstelsleutel vereisen

    • Herstelopties in de installatiewizard van BitLocker
      Standaard: Niet geconfigureerd

      • Blokkeren : gebruikers kunnen de herstelopties niet zien en wijzigen. Wanneer ingesteld op
      • Niet geconfigureerd : gebruikers kunnen de herstelopties zien en wijzigen wanneer ze BitLocker inschakelen.

    • BitLocker-herstelgegevens opslaan in Azure Active Directory
      Standaard: Niet geconfigureerd

      • Inschakelen: de BitLocker-herstelgegevens opslaan in Azure Active Directory (Azure AD).
      • Niet geconfigureerd : BitLocker-herstelgegevens worden niet opgeslagen in Azure AD.

    • BitLocker-herstelgegevens die zijn opgeslagen in Azure Active Directory
      Standaard: Back-up maken van herstelwachtwoorden en sleutelpakketten

      Configureer welke onderdelen van BitLocker-herstelgegevens worden opgeslagen in Azure AD. Kies uit:

      • Back-up maken van herstelwachtwoorden en sleutelpakketten
      • Alleen back-upherstelwachtwoorden

    • Herstelgegevens opslaan in Azure Active Directory voordat BitLocker wordt ingeschakeld
      Standaard: Niet geconfigureerd

      Voorkomen dat gebruikers BitLocker inschakelen, tenzij de computer een back-up maakt van de BitLocker-herstelgegevens naar Azure Active Directory.

      • Vereisen : voorkomen dat gebruikers BitLocker inschakelen, tenzij de BitLocker-herstelgegevens zijn opgeslagen in Azure AD.
      • Niet geconfigureerd : gebruikers kunnen BitLocker inschakelen, zelfs als herstelgegevens niet zijn opgeslagen in Azure AD.

BitLocker-instellingen voor verwisselbare gegevensstations

Deze instellingen zijn specifiek van toepassing op verwisselbare gegevensstations.

  • Schrijftoegang tot een verwisselbaar gegevensstation dat niet wordt beveiligd door BitLocker
    Standaard: Niet geconfigureerd
    BitLocker CSP: RemovableDrivesRequireEncryption

    • Blokkeren : alleen-lezentoegang verlenen tot gegevensstations die niet met BitLocker zijn beveiligd.
    • Niet geconfigureerd : standaard lees- en schrijftoegang tot gegevensstations die niet zijn versleuteld.

    Als dit is ingesteld op Inschakelen, kunt u de volgende instelling configureren:

    • Schrijftoegang tot apparaten die zijn geconfigureerd in een andere organisatie
      Standaard: Niet geconfigureerd

      • Blokkeren : schrijftoegang blokkeren voor apparaten die zijn geconfigureerd in een andere organisatie.
      • Niet geconfigureerd : schrijftoegang weigeren.

Microsoft Defender Exploit Guard

Gebruik exploit protection om het aanvalsoppervlak te beheren en te verminderen van apps die door uw werknemers worden gebruikt.

Kwetsbaarheid voor aanvallen verminderen

Regels voor het verminderen van kwetsbaarheid voor aanvallen helpen voorkomen dat malware vaak gebruikt om computers te infecteren met schadelijke code.

Regels voor het verminderen van kwetsbaarheid voor aanvallen

Zie regels voor het verminderen van kwetsbaarheid voor aanvallen in de documentatie voor Microsoft Defender voor Eindpunt voor meer informatie.

Samenvoeggedrag voor regels voor het verminderen van kwetsbaarheid voor aanvallen in Intune:

Regels voor het verminderen van kwetsbaarheid voor aanvallen ondersteunen een samenvoeging van instellingen uit verschillende beleidsregels om een superset beleid voor elk apparaat te maken. Alleen de instellingen die niet conflicteren, worden samengevoegd, terwijl instellingen die conflicteren niet worden toegevoegd aan de superset van regels. Als twee beleidsregels eerder conflicten voor één instelling bevatten, werden beide beleidsregels gemarkeerd als conflicterende beleidsregels en zouden er geen instellingen van een van beide profielen worden geïmplementeerd.

Het samenvoeggedrag van regels voor het verminderen van kwetsbaarheid voor aanvallen is als volgt:

  • Regels voor het verminderen van kwetsbaarheid voor aanvallen van de volgende profielen worden geëvalueerd voor elk apparaat waarvoor de regels van toepassing zijn:
    • Apparaten > Configuratiebeleid > Endpoint Protection-profiel > Microsoft Defender Exploit Guard > Kwetsbaarheid voor aanvallen verminderen
    • Beleid voor het verminderen van kwetsbaarheid voor aanvallen > eindpuntbeveiliging > regels voor het verminderen van kwetsbaarheid voor aanvallen
    • Eindpuntbeveiliging > beveiligingsbasislijnen > Microsoft Defender voor Eindpunt regels voor het verminderen van kwetsbaarheid voor aanvallen > basislijn.
  • Instellingen die geen conflicten hebben, worden toegevoegd aan een superset beleid voor het apparaat.
  • Wanneer twee of meer beleidsregels conflicterende instellingen hebben, worden de conflicterende instellingen niet toegevoegd aan het gecombineerde beleid. Instellingen die geen conflict veroorzaken, worden toegevoegd aan het supersetbeleid dat van toepassing is op een apparaat.
  • Alleen de configuraties voor conflicterende instellingen worden tegengehouden.

Instellingen in dit profiel:

Regels om Office macrobedreigingen te voorkomen

Voorkomen dat Office apps de volgende acties uitvoeren:

Regels om scriptbedreigingen te voorkomen

Blokkeer het volgende om scriptbedreigingen te voorkomen:

Regels om e-mailbedreigingen te voorkomen

Blokkeer het volgende om e-mailbedreigingen te voorkomen:

  • Uitvoering van uitvoerbare inhoud (exe, dll, ps, js, vbs, etc.) verwijderd uit e-mail (webmail/mailclient) (geen uitzonderingen)
    Standaard: Niet geconfigureerd
    Regel: Uitvoerbare inhoud van e-mailclient en webmail blokkeren

    • Niet geconfigureerd
    • Blokkeren : uitvoering blokkeren van uitvoerbare inhoud (exe, dll, ps, js, vbs, enzovoort) die is verwijderd uit e-mail (webmail/mail-client).
    • Alleen audit

Regels om te beschermen tegen ransomware

Uitzonderingen voor kwetsbaarheid voor aanvallen verminderen

  • Bestanden en mappen die moeten worden uitgesloten van regels voor het verminderen van kwetsbaarheid voor aanvallen
    Defender CSP: AttackSurfaceReductionOnlyExclusions

    • Importeer een .csv-bestand dat bestanden en mappen bevat die moeten worden uitgesloten van regels voor het verminderen van kwetsbaarheid voor aanvallen.
    • Lokale bestanden of mappen handmatig toevoegen.

Belangrijk

Als u de juiste installatie en uitvoering van LOB Win32-apps wilt toestaan, moeten de antimalwareinstellingen voorkomen dat de volgende mappen worden gescand:
Op X64-clientcomputers:
C:\Program Files (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Op X86-clientcomputers:
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Zie aanbevelingen voor virusscans voor Enterprise-computers waarop momenteel ondersteunde versies van Windows worden uitgevoerd.

Gecontroleerde mappentoegang

Help waardevolle gegevens te beschermen tegen schadelijke apps en bedreigingen, zoals ransomware.

  • Mapbeveiliging
    Standaard: Niet geconfigureerd
    Defender CSP: EnableControlledFolderAccess

    Bestanden en mappen beveiligen tegen niet-geautoriseerde wijzigingen door onvriendelijke apps.

    • Niet geconfigureerd
    • Inschakelen
    • Alleen audit
    • Schijfwijziging blokkeren
    • Schijfwijziging controleren

    Wanneer u een andere configuratie selecteert dan Niet geconfigureerd, kunt u vervolgens het volgende configureren:

    • Lijst met apps die toegang hebben tot beveiligde mappen
      Defender CSP: ControlledFolderAccessAllowedApplications

      • Importeer een .csv-bestand dat een app-lijst bevat.
      • Apps handmatig aan deze lijst toevoegen.

    • Lijst met extra mappen die moeten worden beveiligd
      Defender CSP: ControlledFolderAccessProtectedFolders

      • Importeer een .csv bestand dat een mappenlijst bevat.
      • Mappen handmatig toevoegen aan deze lijst.

Netwerkfiltering

Blokkeer uitgaande verbindingen van elke app naar IP-adressen of domeinen met een lage reputatie. Netwerkfiltering wordt ondersteund in de controle- en blokkeringsmodus.

  • Netwerkbeveiliging
    Standaard: Niet geconfigureerd
    Defender CSP: EnableNetworkProtection

    Het doel van deze instelling is om eindgebruikers te beschermen tegen apps met toegang tot phishingpraktijken, sites voor misbruikhosting en schadelijke inhoud op internet. Het voorkomt ook dat browsers van derden verbinding maken met gevaarlijke sites.

    • Niet geconfigureerd - Schakel deze functie uit. Gebruikers en apps worden niet geblokkeerd om verbinding te maken met gevaarlijke domeinen. Beheerders kunnen deze activiteit niet zien in Microsoft Defender-beveiligingscentrum.
    • Inschakelen : netwerkbeveiliging inschakelen en voorkomen dat gebruikers en apps verbinding maken met gevaarlijke domeinen. Beheerders kunnen deze activiteit zien in Microsoft Defender-beveiligingscentrum.
    • Alleen controle: - Gebruikers en apps worden niet geblokkeerd om verbinding te maken met gevaarlijke domeinen. Beheerders kunnen deze activiteit zien in Microsoft Defender-beveiligingscentrum.

Bescherming tegen misbruik

  • Upload XML
    Standaard: Niet geconfigureerd

    Als u Exploit Protection wilt gebruiken om apparaten te beschermen tegen aanvallen, maakt u een XML-bestand met de gewenste systeem- en toepassingsbeperkingsinstellingen. Er zijn twee methoden om het XML-bestand te maken:

    • PowerShell: gebruik een of meer van de PowerShell-cmdlets Get-ProcessMitigation, Set-ProcessMitigation en ConvertTo-ProcessMitigationPolicy . De cmdlets configureren risicobeperkingsinstellingen en exporteren hiervan een XML-weergave.

    • Microsoft Defender-beveiligingscentrum UI: selecteer in de Microsoft Defender-beveiligingscentrum app & browserbesturingselement en schuif vervolgens naar de onderkant van het resulterende scherm om Exploit Protection te vinden. Gebruik eerst de tabbladen Systeeminstellingen en Programma-instellingen om risicobeperkingsinstellingen te configureren. Zoek vervolgens de koppeling Instellingen exporteren onder aan het scherm om een XML-weergave van deze instellingen te exporteren.

  • Gebruikers bewerken van de interface voor misbruikbeveiliging
    Standaard: Niet geconfigureerd
    ExploitGuard CSP: ExploitProtectionSettings

    • Blokkeren: Upload een XML-bestand waarmee u geheugen, controlestroom en beleidsbeperkingen kunt configureren. De instellingen in het XML-bestand kunnen worden gebruikt om een toepassing te blokkeren tegen aanvallen.
    • Niet geconfigureerd : er wordt geen aangepaste configuratie gebruikt.

Microsoft Defender-toepassingsbeheer

Kies apps die moeten worden gecontroleerd door of die worden vertrouwd om te worden uitgevoerd door Microsoft Defender Application Control. Windows onderdelen en alle apps uit Windows Store worden automatisch vertrouwd om te worden uitgevoerd.

  • Integriteitsbeleid voor code voor toepassingsbeheer
    Standaard: Niet geconfigureerd
    CSP: AppLocker CSP

    • Afdwingen : kies het integriteitsbeleid voor code voor toepassingsbeheer voor de apparaten van uw gebruikers.

      Nadat toepassingsbeheer is ingeschakeld op een apparaat, kan het alleen worden uitgeschakeld door de modus te wijzigen van Alleen afdwingen in Controle. Als u de modus wijzigt van Afdwingen in Niet geconfigureerd , wordt Toepassingsbeheer nog steeds afgedwongen op toegewezen apparaten.

    • Niet geconfigureerd : toepassingsbeheer wordt niet toegevoegd aan apparaten. Instellingen die eerder zijn toegevoegd, worden echter nog steeds afgedwongen op toegewezen apparaten.

    • Alleen controle : toepassingen worden niet geblokkeerd. Alle gebeurtenissen worden vastgelegd in de logboeken van de lokale client.

      Notitie

      Als u deze instelling gebruikt, vraagt AppLocker CSP-gedrag eindgebruikers om hun computer opnieuw op te starten wanneer een beleid wordt geïmplementeerd.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard beschermt tegen aanvallen tegen diefstal van referenties. Het isoleert geheimen zodat alleen bevoegde systeemsoftware toegang heeft tot deze geheimen.

  • Credential Guard
    Standaardinstelling: Uitschakelen
    DeviceGuard CSP

    • Uitschakelen - Schakel Credential Guard extern uit als deze eerder was ingeschakeld met de optie Ingeschakeld zonder UEFI-vergrendeling .

    • Inschakelen met UEFI-vergrendeling - Credential Guard kan niet extern worden uitgeschakeld met behulp van een registersleutel of groepsbeleid.

      Notitie

      Als u deze instelling gebruikt en Credential Guard later wilt uitschakelen, moet u de groepsbeleid instellen op Uitgeschakeld. En de UEFI-configuratiegegevens fysiek van elke computer wissen. Zolang de UEFI-configuratie zich blijft voordoen, is Credential Guard ingeschakeld.

    • Inschakelen zonder UEFI-vergrendeling: hiermee kan Credential Guard extern worden uitgeschakeld met behulp van groepsbeleid. Op de apparaten waarop deze instelling wordt gebruikt, moet Windows 10 versie 1511 en hoger of Windows 11 worden uitgevoerd.

    Wanneer u Credential Guard inschakelt , zijn de volgende vereiste functies ook ingeschakeld:

    • Beveiliging op basis van virtualisatie (VBS)
      Wordt ingeschakeld tijdens de volgende herstart. Beveiliging op basis van virtualisatie maakt gebruik van de Windows Hypervisor om ondersteuning te bieden voor beveiligingsservices.
    • Beveiligd opstarten met directorygeheugentoegang
      Hiermee schakelt u VBS met beveiligd opstarten en DMA-beveiliging (Direct Memory Access) in. DMA-beveiligingen vereisen hardwareondersteuning en zijn alleen ingeschakeld op correct geconfigureerde apparaten.

Microsoft Defender-beveiligingscentrum

Microsoft Defender-beveiligingscentrum werkt als een afzonderlijke app of een afzonderlijk proces van elk van de afzonderlijke functies. Er worden meldingen weergegeven via het actiecentrum. Het fungeert als een collector of één plaats om de status te bekijken en een configuratie uit te voeren voor elk van de functies. Meer informatie vindt u in de Microsoft Defender-documenten .

Microsoft Defender-beveiligingscentrum app en meldingen

Eindgebruikerstoegang tot de verschillende gebieden van de Microsoft Defender-beveiligingscentrum-app blokkeren. Als u een sectie verbergt, worden ook gerelateerde meldingen geblokkeerd.

  • Virus- en bedreigingsbeveiliging
    Standaard: Niet geconfigureerd
    WindowsDefenderSecurityCenter CSP: DisableVirusUI

    Configureer of eindgebruikers het gebied Virus- en bedreigingsbeveiliging in de Microsoft Defender-beveiligingscentrum kunnen bekijken. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot virus- en bedreigingsbeveiliging geblokkeerd.

    • Niet geconfigureerd
    • Verbergen

  • Ransomwarebeveiliging
    Standaard: Niet geconfigureerd
    WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

    Configureer of eindgebruikers het ransomware-beveiligingsgebied in de Microsoft Defender-beveiligingscentrum kunnen bekijken. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot ransomwarebeveiliging geblokkeerd.

    • Niet geconfigureerd
    • Verbergen

  • Accountbeveiliging
    Standaard: Niet geconfigureerd
    WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI

    Configureer of eindgebruikers het gebied Accountbeveiliging in de Microsoft Defender-beveiligingscentrum kunnen bekijken. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot accountbeveiliging geblokkeerd.

    • Niet geconfigureerd
    • Verbergen

  • Firewall- en netwerkbeveiliging
    Standaard: Niet geconfigureerd
    WindowsDefenderSecurityCenter CSP: DisableNetworkUI

    Configureer of eindgebruikers het gebied voor firewall- en netwerkbeveiliging in het Microsoft Defender-beveiligingscentrum kunnen bekijken. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot firewall- en netwerkbeveiliging geblokkeerd.

    • Niet geconfigureerd
    • Verbergen

  • App- en browserbeheer
    Standaard: Niet geconfigureerd
    WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

    Configureer of eindgebruikers het gebied voor app- en browserbesturingselementen in het Microsoft Defender-beveiligingscentrum kunnen bekijken. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot app- en browserbeheer geblokkeerd.

    • Niet geconfigureerd
    • Verbergen

  • Hardwarebeveiliging
    Standaard: Niet geconfigureerd
    WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

    Configureer of eindgebruikers het gebied Hardwarebeveiliging in de Microsoft Defender-beveiligingscentrum kunnen bekijken. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot hardwarebeveiliging geblokkeerd.

    • Niet geconfigureerd
    • Verbergen

  • Apparaatprestaties en -status
    Standaard: Niet geconfigureerd
    WindowsDefenderSecurityCenter CSP: DisableHealthUI

    Configureer of eindgebruikers het gebied apparaatprestaties en -status kunnen bekijken in het Microsoft Defender-beveiligingscentrum. Als u deze sectie verbergt, worden ook alle meldingen geblokkeerd die betrekking hebben op de prestaties en status van het apparaat.

    • Niet geconfigureerd
    • Verbergen

  • Gezinsopties
    Standaard: Niet geconfigureerd
    WindowsDefenderSecurityCenter CSP: DisableFamilyUI

    Configureer of eindgebruikers het gebied Met gezinsopties in het Microsoft Defender-beveiligingscentrum kunnen bekijken. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot gezinsopties geblokkeerd.

    • Niet geconfigureerd
    • Verbergen

  • Meldingen van de weergegeven gebieden van de app
    Standaard: Niet geconfigureerd
    WindowsDefenderSecurityCenter CSP: DisableNotifications

    Kies welke meldingen moeten worden weergegeven voor eindgebruikers. Niet-kritieke meldingen bevatten samenvattingen van Microsoft Defender Antivirus activiteit, inclusief meldingen wanneer scans zijn voltooid. Alle andere meldingen worden als kritiek beschouwd.

    • Niet geconfigureerd
    • Niet-kritieke meldingen blokkeren
    • Alle meldingen blokkeren

  • Windows-beveiliging centerpictogram in het systeemvak
    Standaard: Niet geconfigureerd

    Configureer de weergave van het besturingselement voor het systeemvak. De gebruiker moet zich afmelden en aanmelden of de computer opnieuw opstarten om deze instelling van kracht te laten worden.

    • Niet geconfigureerd
    • Verbergen

  • Knop TPM wissen
    Standaard: Niet geconfigureerd

    Configureer de weergave van de knop TPM wissen.

    • Niet geconfigureerd
    • Uitschakelen

  • TPM-firmware-updatewaarschuwing
    Standaard: Niet geconfigureerd

    Configureer de weergave van TPM-firmware bijwerken wanneer er een kwetsbare firmware wordt gedetecteerd.

    • Niet geconfigureerd
    • Verbergen

  • Manipulatiebeveiliging
    Standaard: Niet geconfigureerd

    Manipulatiebeveiliging in- of uitschakelen op apparaten. Als u Manipulatiebeveiliging wilt gebruiken, moet u Microsoft Defender voor Eindpunt integreren met Intune en Enterprise Mobility + Security E5-licenties hebben.

    • Niet geconfigureerd : er wordt geen wijziging aangebracht in de apparaatinstellingen.
    • Ingeschakeld : manipulatiebeveiliging is ingeschakeld en beperkingen worden afgedwongen op apparaten.
    • Uitgeschakeld : manipulatiebeveiliging is uitgeschakeld en beperkingen worden niet afgedwongen.

It-contactgegevens

Geef IT-contactgegevens op die moeten worden weergegeven in de Microsoft Defender-beveiligingscentrum-app en de app-meldingen.

U kunt ervoor kiezen om weer te geven in app en in meldingen, alleen in app weer te geven, alleen in meldingen weer te geven of niet weer te geven. Voer de naam van de IT-organisatie en ten minste een van de volgende contactopties in:

  • IT-contactgegevens
    Standaardinstelling: Niet weergeven
    WindowsDefenderSecurityCenter CSP: EnableCustomizedToasts

    Configureer waar IT-contactgegevens moeten worden weergegeven voor eindgebruikers.

    • Weergeven in app en in meldingen
    • Alleen weergeven in app
    • Alleen weergeven in meldingen
    • Niet weergeven

    Wanneer deze is geconfigureerd om weer te geven, kunt u de volgende instellingen configureren:

    • Naam VAN IT-organisatie
      Standaard: Niet geconfigureerd
      WindowsDefenderSecurityCenter CSP: CompanyName

    • Telefoonnummer of Skype-id van de IT-afdeling
      Standaard: Niet geconfigureerd
      WindowsDefenderSecurityCenter CSP: Telefoon

    • E-mailadres van IT-afdeling
      Standaard: Niet geconfigureerd
      WindowsDefenderSecurityCenter CSP: E-mail

    • URL van DE IT-ondersteuningswebsite
      Standaard: Niet geconfigureerd
      WindowsDefenderSecurityCenter CSP: URL

Beveiligingsopties voor lokale apparaten

Gebruik deze opties om de lokale beveiligingsinstellingen op Windows 10/11-apparaten te configureren.

Accounts

  • Nieuwe Microsoft-accounts toevoegen
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: Accounts_BlockMicrosoftAccounts

    • Blok Voorkomen dat gebruikers nieuwe Microsoft-accounts toevoegen aan het apparaat.
    • Niet geconfigureerd : gebruikers kunnen Microsoft-accounts op het apparaat gebruiken.

  • Extern aanmelden zonder wachtwoord
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Blokkeren : alleen lokale accounts met lege wachtwoorden toestaan zich aan te melden met behulp van het toetsenbord van het apparaat.
    • Niet geconfigureerd : lokale accounts met lege wachtwoorden toestaan zich aan te melden vanaf andere locaties dan het fysieke apparaat.

Beheerder

Guest (Gast)

  • Gastaccount
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: LocalPoliciesSecurityOptions

    • Blokkeren : het gebruik van een gastaccount voorkomen.
    • Niet geconfigureerd

  • Naam van gastaccount wijzigen
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: Accounts_RenameGuestAccount

    Definieer een andere accountnaam die moet worden gekoppeld aan de beveiligings-id (SID) voor het account 'Gast'.

Apparaten

  • Apparaat ontkoppelen zonder aanmelding
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: Devices_AllowUndockWithoutHavingToLogon

    • Blokkeren : een gebruiker moet zich aanmelden bij het apparaat en toestemming krijgen om het apparaat los te maken.
    • Niet geconfigureerd : gebruikers kunnen op de fysieke uitwerpknop van een gedokt draagbaar apparaat drukken om het apparaat veilig los te koppelen.

  • Printerstuurprogramma's voor gedeelde printers installeren
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

    • Ingeschakeld : elke gebruiker kan een printerstuurprogramma installeren als onderdeel van het verbinden met een gedeelde printer.
    • Niet geconfigureerd : alleen beheerders kunnen een printerstuurprogramma installeren als onderdeel van het maken van verbinding met een gedeelde printer.

  • Cd-romtoegang beperken tot lokale actieve gebruiker
    Standaard: Niet geconfigureerd
    CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

    • Ingeschakeld : alleen de interactief aangemelde gebruiker kan de CD-ROM-media gebruiken. Als dit beleid is ingeschakeld en niemand interactief is aangemeld, wordt de cd-rom geopend via het netwerk.
    • Niet geconfigureerd : iedereen heeft toegang tot de cd-rom.

  • Verwisselbare media opmaken en uitwerpen
    Standaard: Beheerders
    CSP: Devices_AllowedToFormatAndEjectRemovableMedia

    Definieer wie verwisselbare NTFS-media mag opmaken en uitwerpen:

    • Niet geconfigureerd
    • Beheerders
    • Beheerders en hoofdgebruikers
    • Beheerders en interactieve gebruikers

Interactieve aanmelding

  • Minuten van inactiviteit van vergrendelingsscherm totdat schermbeveiliging wordt geactiveerd
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_MachineInactivityLimit

    Voer het maximum aantal minuten van inactiviteit in totdat de schermbeveiliging wordt geactiveerd. (0 - 99999)

  • Ctrl+Alt+DEL vereisen om u aan te melden
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DoNotRequireCTRLALTDEL

    • Inschakelen: vereisen dat gebruikers op Ctrl+Alt+DEL drukken voordat ze zich aanmelden bij Windows.
    • Niet geconfigureerd : gebruikers hoeven zich niet aan te melden door op Ctrl+Alt+DEL te drukken.

  • Gedrag bij het verwijderen van smartcards
    Standaard: Werkstation vergrendelen
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_SmartCardRemovalBehavior

    Bepaalt wat er gebeurt wanneer de smartcard voor een aangemelde gebruiker wordt verwijderd uit de smartcardlezer. Uw opties:

    • Werkstation vergrendelen : het werkstation is vergrendeld wanneer de smartcard wordt verwijderd. Met deze optie kunnen gebruikers het gebied verlaten, hun smartcard meenemen en nog steeds een beveiligde sessie onderhouden.
    • Geen actie
    • Afmelden afdwingen : de gebruiker wordt automatisch afgemeld wanneer de smartcard wordt verwijderd.
    • Verbinding verbreken als een sessie van Extern bureaublad-services - Het verwijderen van de smartcard verbreekt de sessie zonder de gebruiker af te melden. Met deze optie kan de gebruiker de smartcard invoegen en de sessie later hervatten, of op een andere computer met een smartcardlezer, zonder zich opnieuw aan te melden. Als de sessie lokaal is, werkt dit beleid op dezelfde manier als Werkstation vergrendelen.

Weergeven

  • Gebruikersgegevens op vergrendelingsscherm
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

    Configureer de gebruikersgegevens die worden weergegeven wanneer de sessie is vergrendeld. Als dit niet is geconfigureerd, worden de weergavenaam, het domein en de gebruikersnaam van de gebruiker weergegeven.

    • Niet geconfigureerd
    • Weergavenaam, domein en gebruikersnaam van gebruiker
    • Alleen weergavenaam van gebruiker
    • Gebruikersgegevens niet weergeven

  • Laatste aangemelde gebruiker verbergen
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DoNotDisplayLastSignedIn

    • Inschakelen - Verberg de gebruikersnaam.
    • Niet geconfigureerd : de laatste gebruikersnaam weergeven.

  • Gebruikersnaam verbergen bij aanmelden Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn

    • Inschakelen - Verberg de gebruikersnaam.
    • Niet geconfigureerd : de laatste gebruikersnaam weergeven.

  • Titel van aanmeldingsbericht
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

    Stel de berichttitel in voor gebruikers die zich aanmelden.

  • Tekst van aanmeldingsbericht
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

    Stel de berichttekst in voor gebruikers die zich aanmelden.

Netwerktoegang en -beveiliging

  • Anonieme toegang tot Named Pipes en Shares
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

    • Niet geconfigureerd : anonieme toegang beperken tot instellingen voor delen en Named Pipe. Is van toepassing op de instellingen die anoniem kunnen worden geopend.
    • Blokkeren : schakel dit beleid uit, zodat anonieme toegang beschikbaar wordt.

  • Anonieme inventarisatie van SAM-accounts
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

    • Niet geconfigureerd : anonieme gebruikers kunnen SAM-accounts inventariseren.
    • Blokkeren : anonieme inventarisatie van SAM-accounts voorkomen.

  • Anonieme inventarisatie van SAM-accounts en -shares
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

    • Niet geconfigureerd : anonieme gebruikers kunnen de namen van domeinaccounts en netwerkshares opsommen.
    • Blokkeren : anonieme inventarisatie van SAM-accounts en -shares voorkomen.

  • HASH-waarde van LAN Manager opgeslagen bij wachtwoordwijziging
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

    Bepaal of de hash-waarde voor wachtwoorden wordt opgeslagen wanneer het wachtwoord de volgende keer wordt gewijzigd.

    • Niet geconfigureerd : de hash-waarde wordt niet opgeslagen
    • Blok : de LAN Manager (LM) slaat de hash-waarde voor het nieuwe wachtwoord op.

  • PKU2U-verificatieaanvragen
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests

    • Niet geconfigureerd: PU2U-aanvragen toestaan.
    • Blokkeren : PKU2U-verificatieaanvragen voor het apparaat blokkeren.

  • Externe RPC-verbindingen met SAM beperken
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

    • Niet geconfigureerd : gebruik de standaardbeveiligingsdescriptor, waarmee gebruikers en groepen externe RPC-aanroepen naar de SAM kunnen uitvoeren.

    • Toestaan : gebruikers en groepen weigeren externe RPC-aanroepen te doen naar Security Accounts Manager (SAM), waarin gebruikersaccounts en wachtwoorden worden opgeslagen. Met Toestaan kunt u ook de standaard SDDL-tekenreeks (Security Descriptor Definition Language) wijzigen om gebruikers en groepen expliciet toe te staan of te weigeren om deze externe aanroepen uit te voeren.

      • Security descriptor
        Standaard: Niet geconfigureerd

  • Minimale sessiebeveiliging voor NTLM SSP-clients
    Standaard: Geen
    LocalPoliciesSecurityOptions-CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

    Met deze beveiligingsinstelling kan een server de onderhandeling van 128-bits versleuteling en/of NTLMv2-sessiebeveiliging vereisen.

    • Geen
    • NTLMv2-sessiebeveiliging vereisen
    • 128-bits versleuteling vereisen
    • NTLMv2- en 128-bits versleuteling

  • Minimale sessiebeveiliging voor NTLM SSP-server
    Standaard: Geen
    LocalPoliciesSecurityOptions-CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

    Deze beveiligingsinstelling bepaalt welk verificatieprotocol voor uitdaging/antwoord wordt gebruikt voor netwerkaanmeldingen.

    • Geen
    • NTLMv2-sessiebeveiliging vereisen
    • 128-bits versleuteling vereisen
    • NTLMv2- en 128-bits versleuteling

  • LAN Manager-verificatieniveau
    Standaard: LM en NTLM
    LocalPoliciesSecurityOptions-CSP: NetworkSecurity_LANManagerAuthenticationLevel

    • LM en NTLM
    • LM, NTLM en NTLMv2
    • NTLM
    • NTLMv2
    • NTLMv2 en niet LM
    • NTLMv2 en niet LM of NTLM

  • Onveilige gastaanmeldingen
    Standaard: Niet geconfigureerd
    LanmanWorkstation CSP: LanmanWorkstation

    Als u deze instelling inschakelt, weigert de SMB-client onveilige gastaanmeldingen.

    • Niet geconfigureerd
    • Blokkeren : de SMB-client weigert onveilige gastaanmeldingen.

Herstelconsole en afsluiten

  • Wisselbestand voor virtueel geheugen wissen bij het afsluiten
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: Shutdown_ClearVirtualMemoryPageFile

    • Inschakelen : wis het wisselbestand van het virtuele geheugen wanneer het apparaat wordt uitgeschakeld.
    • Niet geconfigureerd : het virtuele geheugen wordt niet gewist.

  • Afsluiten zonder u aan te melden
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

    • Blokkeren: verberg de afsluitoptie op het Windows aanmeldingsscherm. Gebruikers moeten zich aanmelden bij het apparaat en vervolgens afsluiten.
    • Niet geconfigureerd: gebruikers toestaan het apparaat af te sluiten vanaf het Windows aanmeldingsscherm.

Gebruikersaccountbeheer

  • UIA-integriteit zonder veilige locatie
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Blokkeren : apps die zich op een veilige locatie in het bestandssysteem bevinden, worden alleen uitgevoerd met UIAccess-integriteit.
    • Niet geconfigureerd : hiermee kunnen apps worden uitgevoerd met UIAccess-integriteit, zelfs als de apps zich niet op een veilige locatie in het bestandssysteem bevinden.

  • Schrijffouten in bestanden en registers virtualiseren naar locaties per gebruiker
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

    • Ingeschakeld : toepassingen die gegevens naar beveiligde locaties schrijven, mislukken.
    • Niet geconfigureerd : schrijffouten van toepassingen worden tijdens runtime omgeleid naar gedefinieerde gebruikerslocaties voor het bestandssysteem en register.

  • Alleen uitvoerbare bestanden uitbreiden die zijn ondertekend en gevalideerd
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Ingeschakeld : dwing de validatie van het PKI-certificeringspad af voor een uitvoerbaar bestand voordat het kan worden uitgevoerd.
    • Niet geconfigureerd : dwing de validatie van het PKI-certificeringspad niet af voordat een uitvoerbaar bestand kan worden uitgevoerd.

Gedrag van UIA-vragen om benodigde bevoegdheden

  • Vragen om benodigde bevoegdheden voor beheerders
    Standaardinstelling: vragen om toestemming voor niet-Windows binaire bestanden
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

    Definieer het gedrag van de vragen om benodigde bevoegdheden voor beheerders in de modus Door administrator goedkeuren.

    • Niet geconfigureerd
    • Verhogen zonder te vragen
    • Vragen om referenties op het beveiligde bureaublad
    • Vragen om referenties
    • Vragen om toestemming
    • Vragen om toestemming voor niet-Windows binaire bestanden

  • Vragen om benodigde bevoegdheden voor standaardgebruikers
    Standaardinstelling: vragen om referenties
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

    Definieer het gedrag van de uitbreidingsprompt voor standaardgebruikers.

    • Niet geconfigureerd
    • Aanvragen voor benodigde bevoegdheden automatisch weigeren
    • Vragen om referenties op het beveiligde bureaublad
    • Vragen om referenties

  • Vragen om benodigde bevoegdheden doorsturen naar het interactieve bureaublad van de gebruiker
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

    • Ingeschakeld : alle uitbreidingsaanvragen om naar het bureaublad van de interactieve gebruiker te gaan in plaats van naar het beveiligde bureaublad. Alle beleidsinstellingen voor promptgedrag voor beheerders en standaardgebruikers worden gebruikt.
    • Niet geconfigureerd : forceer dat alle uitbreidingsaanvragen naar het beveiligde bureaublad gaan, ongeacht eventuele beleidsinstellingen voor promptgedrag voor beheerders en standaardgebruikers.

  • Verhoogde prompt voor app-installaties
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

    • Ingeschakeld : toepassingsinstallatiepakketten worden niet gedetecteerd of gevraagd om benodigde bevoegdheden.
    • Niet geconfigureerd : gebruikers wordt gevraagd om een gebruikersnaam en wachtwoord met beheerdersrechten wanneer voor een toepassingsinstallatiepakket verhoogde bevoegdheden zijn vereist.

  • UIA-vragen om benodigde bevoegdheden zonder beveiligd bureaublad
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

  • Inschakelen : uiAccess-apps toestaan om te vragen om benodigde bevoegdheden, zonder het beveiligde bureaublad te gebruiken.

  • Niet geconfigureerd : vragen om benodigde bevoegdheden maken gebruik van een beveiligd bureaublad.

Modus Door administrator goedkeuren

  • Modus Door administrator goedkeuren voor ingebouwde beheerder
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_UseAdminApprovalMode

    • Ingeschakeld : hiermee staat u toe dat het ingebouwde beheerdersaccount de modus Door administrator goedkeuren gebruikt. Elke bewerking waarvoor uitbreiding van bevoegdheden is vereist, vraagt de gebruiker om de bewerking goed te keuren.
    • Niet geconfigureerd : alle apps met volledige beheerdersbevoegdheden worden uitgevoerd.

  • Alle beheerders uitvoeren in de modus Door administrator goedkeuren
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

    • Ingeschakeld: modus Door administrator goedkeuren inschakelen.
    • Niet geconfigureerd : schakel de modus Door administrator goedkeuren en alle gerelateerde UAC-beleidsinstellingen uit.

Microsoft Network Client

  • Communicatie digitaal ondertekenen (als de server hiermee akkoord gaat)
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

    Bepaalt of de SMB-client onderhandelt over SMB-pakketondertekening.

    • Blokkeren : de SMB-client onderhandelt nooit over SMB-pakketondertekening.
    • Niet geconfigureerd : de Microsoft-netwerkclient vraagt de server om SMB-pakketondertekening uit te voeren bij het instellen van de sessie. Als pakketondertekening is ingeschakeld op de server, wordt onderhandeld over pakketondertekening.

  • Niet-versleuteld wachtwoord verzenden naar SMB-servers van derden
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

    • Blokkeren : de SMB-omleiding (Server Message Block) kan wachtwoorden zonder opmaak verzenden naar niet-Microsoft SMB-servers die geen ondersteuning bieden voor wachtwoordversleuteling tijdens verificatie.
    • Niet geconfigureerd : het verzenden van wachtwoorden zonder opmaak blokkeren. De wachtwoorden zijn versleuteld.

  • Communicatie digitaal ondertekenen (altijd)
    Standaard: Niet geconfigureerd
    LocalPoliciesSecurityOptions-CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

    • Inschakelen : de Microsoft-netwerkclient communiceert niet met een Microsoft-netwerkserver, tenzij die server akkoord gaat met SMB-pakketondertekening.
    • Niet geconfigureerd : er wordt onderhandeld over SMB-pakketondertekening tussen de client en de server.

Microsoft Network Server

  • Communicatie digitaal ondertekenen (indien de klant hiermee akkoord gaat)
    Standaard: Niet geconfigureerd
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

    • Inschakelen : de Microsoft-netwerkserver onderhandelt over SMB-pakketondertekening zoals aangevraagd door de client. Als pakketondertekening is ingeschakeld op de client, wordt er onderhandeld over pakketondertekening.
    • Niet geconfigureerd : de SMB-client onderhandelt nooit over SMB-pakketondertekening.

  • Communicatie digitaal ondertekenen (altijd)
    Standaard: Niet geconfigureerd
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

    • Inschakelen : de Microsoft-netwerkserver communiceert niet met een Microsoft-netwerkclient, tenzij die client akkoord gaat met SMB-pakketondertekening.
    • Niet geconfigureerd : er wordt onderhandeld over SMB-pakketondertekening tussen de client en de server.

Xbox-services

Volgende stappen

Het profiel wordt gemaakt, maar er wordt nog niets gedaan. Wijs vervolgens het profiel toe en controleer de status ervan.

Instellingen voor eindpuntbeveiliging configureren op macOS-apparaten .