Ustawienia systemu Windows, które można zarządzać za pośrednictwem profilu programu Endpoint Protection usługi Intune

  • Artykuł

Uwaga

Usługa Intune może obsługiwać więcej ustawień niż ustawienia wymienione w tym artykule. Nie wszystkie ustawienia są udokumentowane i nie zostaną udokumentowane. Aby wyświetlić ustawienia, które można skonfigurować, utwórz zasady konfiguracji urządzenia i wybierz pozycję Katalog ustawień. Aby uzyskać więcej informacji, przejdź do katalogu ustawień.

Microsoft Intune zawiera wiele ustawień ułatwiających ochronę urządzeń. W tym artykule opisano ustawienia w szablonie ochrony punktu końcowego konfiguracji urządzenia. Aby zarządzać zabezpieczeniami urządzeń, można również użyć zasad zabezpieczeń punktu końcowego, które koncentrują się bezpośrednio na podzestawach zabezpieczeń urządzeń. Aby skonfigurować program antywirusowy Microsoft Defender, zobacz Ograniczenia urządzeń z systemem Windows lub Użyj zasad ochrony antywirusowej zabezpieczeń punktu końcowego.

Przed rozpoczęciem

Utwórz profil konfiguracji urządzenia ochrony punktu końcowego.

Aby uzyskać więcej informacji na temat dostawców usług konfiguracji , zobacz Dokumentacja dostawcy usług konfiguracji.

Microsoft Defender Application Guard

W przypadku przeglądarki Microsoft Edge Microsoft Defender Application Guard chroni środowisko przed witrynami, które nie są zaufane przez organizację. W przypadku Application Guard witryny, które nie znajdują się w izolowanej granicy sieci, są otwarte w wirtualnej sesji przeglądania funkcji Hyper-V. Zaufane lokacje są definiowane przez granicę sieci skonfigurowaną w konfiguracji urządzenia. Aby uzyskać więcej informacji, zobacz Tworzenie granicy sieci na urządzeniach z systemem Windows.

Application Guard jest dostępna tylko dla 64-bitowych urządzeń z systemem Windows. Użycie tego profilu powoduje zainstalowanie składnika Win32 w celu aktywowania Application Guard.

  • Application Guard
    Ustawienie domyślne: Nie skonfigurowano
    Application Guard CSP: Settings/AllowWindowsDefenderApplicationGuard

    • Włączone dla przeglądarki Edge — włącza tę funkcję, która otwiera niezaufane witryny w zwirtualizowanym kontenerze przeglądania funkcji Hyper-V.
    • Nieskonfigurowane — dowolna witryna (zaufana i niezaufana) może zostać otwarta na urządzeniu.

  • Zachowanie schowka
    Ustawienie domyślne: Nie skonfigurowano
    Application Guard CSP: Ustawienia/SchowekUstawienia

    Wybierz dozwolone akcje kopiowania i wklejania między komputerem lokalnym a Application Guard przeglądarką wirtualną.

    • Nie skonfigurowano
    • Zezwalaj na kopiowanie i wklejanie tylko z komputera do przeglądarki
    • Zezwalaj na kopiowanie i wklejanie tylko z przeglądarki na komputer
    • Zezwalaj na kopiowanie i wklejanie między komputerem i przeglądarką
    • Blokuj kopiowanie i wklejanie między komputerem i przeglądarką

  • Zawartość schowka
    To ustawienie jest dostępne tylko wtedy, gdy zachowanie Schowka jest ustawione na jedno z ustawień zezwalania .
    Ustawienie domyślne: Nie skonfigurowano
    Application Guard CSP: Settings/SchowekFileType

    Wybierz dozwoloną zawartość schowka.

    • Nie skonfigurowano
    • Text (Tekst)
    • Obrazów
    • Tekst i obrazy

  • Zawartość zewnętrzna w witrynach przedsiębiorstwa
    Ustawienie domyślne: Nie skonfigurowano
    Application Guard CSP: Settings/BlockNonEnterpriseContent

    • Blokuj — blokuj ładowanie zawartości z niezatwierdowanych witryn internetowych.
    • Nieskonfigurowane — witryny spoza przedsiębiorstwa mogą być otwierane na urządzeniu.

  • Drukowanie z przeglądarki wirtualnej
    Ustawienie domyślne: Nie skonfigurowano
    Application Guard CSP: Settings/PrintingSettings

    • Zezwalaj — umożliwia drukowanie wybranej zawartości z przeglądarki wirtualnej.
    • Nie skonfigurowano Wyłącz wszystkie funkcje drukowania.

    Po wybraniu opcji Zezwalaj na drukowanie można skonfigurować następujące ustawienie:

    • Typy drukowania Wybierz co najmniej jedną z następujących opcji:
      • PDF
      • XPS
      • Drukarki lokalne
      • Drukarki sieciowe

  • Zbieranie dzienników
    Ustawienie domyślne: Nie skonfigurowano
    Application Guard CSP: Audit/AuditApplicationGuard

    • Zezwalaj — zbiera dzienniki zdarzeń występujących w Application Guard sesji przeglądania.
    • Nie skonfigurowano — nie zbieraj żadnych dzienników w sesji przeglądania.

  • Zachowywanie danych przeglądarki wygenerowanych przez użytkownika
    Ustawienie domyślne: Nie skonfigurowano
    dostawca CSP Application Guard: Ustawienia/AllowPersistence

    • Umożliwić swobodne otworzenie Zapisz dane użytkownika (takie jak hasła, ulubione i pliki cookie) utworzone podczas Application Guard sesji przeglądania wirtualnego.
    • Nie skonfigurowano Odrzuć pliki i dane pobrane przez użytkownika po ponownym uruchomieniu urządzenia lub po wylogowaniu się użytkownika.

  • Przyspieszanie grafiki
    Ustawienie domyślne: Nie skonfigurowano
    Application Guard CSP: Settings/AllowVirtualGPU

    • Włącz — szybciej ładuj witryny internetowe i wideo intensywnie korzystające z grafiki, uzyskując dostęp do wirtualnej jednostki przetwarzania grafiki.
    • Nie skonfigurowano Użyj procesora CPU urządzenia na potrzeby grafiki; Nie używaj wirtualnej jednostki przetwarzania grafiki.

  • Pobieranie plików do systemu plików hosta
    Ustawienie domyślne: Nie skonfigurowano
    dostawca CSP Application Guard: Settings/SaveFilesToHost

    • Włącz — użytkownicy mogą pobierać pliki ze zwirtualizowanej przeglądarki do systemu operacyjnego hosta.
    • Nie skonfigurowano — przechowuje pliki lokalne na urządzeniu i nie pobiera plików do systemu plików hosta.

Zapora systemu Windows

Ustawienia globalne

Te ustawienia mają zastosowanie do wszystkich typów sieci.

  • Protokół transferu plików
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: MdmStore/Global/DisableStatefulFtp

    • Blokuj — wyłącz stanowy protokół FTP.
    • Nie skonfigurowano — zapora wykonuje stanowe filtrowanie FTP, aby zezwolić na połączenia pomocnicze.

  • Czas bezczynności skojarzenia zabezpieczeń przed usunięciem
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: MdmStore/Global/SaIdleTime

    Określ czas bezczynności w sekundach, po którym skojarzenia zabezpieczeń zostaną usunięte.

  • Kodowanie klucza wstępnego
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: MdmStore/Global/PresharedKeyEncoding

    • Włącz — kodowanie wstępnie zaszyfrowanych kluczy przy użyciu formatu UTF-8.
    • Nie skonfigurowano — kodowanie wstępnie ustawionych kluczy przy użyciu wartości magazynu lokalnego.

  • Wykluczenia protokołu IPsec
    Wartość domyślna: wybrano 0
    Dostawca CSP zapory: MdmStore/Global/IPsecExempt

    Wybierz co najmniej jeden z następujących typów ruchu, który ma zostać wykluczony z protokołu IPsec:

    • Odnajdywanie kodów typów protokołu ICMP protokołu IPv6 przez sąsiada
    • ICMP
    • Odnajdywanie kodów typów protokołu ICMP protokołu IPv6 przez router
    • Zarówno ruch sieciowy IPv4, jak i IPv6 DHCP

  • Weryfikacja listy odwołania certyfikatów
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: MdmStore/Global/CRLcheck

    Wybierz sposób, w jaki urządzenie weryfikuje listę odwołania certyfikatów. Dostępne opcje:

    • Wyłączanie weryfikacji listy CRL
    • Niepowodzenie weryfikacji listy CRL tylko dla odwołanego certyfikatu
    • Niepowodzenie weryfikacji listy CRL w przypadku napotkanego błędu.

  • Oportunistycznie dopasuj zestaw uwierzytelniania dla modułu kluczy
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • Włączyć Moduły kluczy muszą ignorować tylko zestawy uwierzytelniania, których nie obsługują.
    • Nieskonfigurowane moduły kluczy muszą ignorować cały zestaw uwierzytelniania, jeśli nie obsługują wszystkich zestawów uwierzytelniania określonych w zestawie.

  • Kolejkowanie pakietów
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: MdmStore/Global/EnablePacketQueue

    Określ, w jaki sposób skalowanie oprogramowania po stronie odbierającego jest włączone dla zaszyfrowanego odbierania i czyszczenia tekstu do przodu w scenariuszu bramy tunelu IPsec. To ustawienie potwierdza, że kolejność pakietów jest zachowywana. Dostępne opcje:

    • Nie skonfigurowano
    • Wyłączanie wszystkich kolejkowania pakietów
    • Kolejkowanie tylko zaszyfrowanych pakietów przychodzących
    • Pakiety kolejek po odszyfrowywaniu są wykonywane tylko na potrzeby przekazywania dalej
    • Konfigurowanie pakietów przychodzących i wychodzących

Ustawienia sieci

Poniższe ustawienia są wyświetlane w tym artykule pojedynczo, ale wszystkie mają zastosowanie do trzech określonych typów sieci:

  • Sieć domeny (miejsca pracy)
  • Sieć prywatna (wykrywalna)
  • Sieć publiczna (nieodkrywalna)

Ogólne

  • Zapora systemu Windows
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: EnableFirewall

    • Włącz — włącz zaporę i zaawansowane zabezpieczenia.
    • Nie skonfigurowano Zezwala na cały ruch sieciowy, niezależnie od innych ustawień zasad.

  • Tryb niewidzialności
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: DisableStealthMode

    • Nie skonfigurowano
    • Blokuj — zapora nie działa w trybie niewidzialności. Blokowanie trybu niewidzialności pozwala również zablokować wykluczenie pakietów zabezpieczonych przez protokół IPsec.
    • Zezwalaj — zapora działa w trybie niewidzialności, co pomaga zapobiegać odpowiedziom na żądania sondowania.

  • Wykluczenie pakietów zabezpieczonych przez protokół IPsec w trybie niewidzialności
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: DisableStealthModeIpsecSecuredPacketExemption

    Ta opcja jest ignorowana, jeśli tryb niewidzialności jest ustawiony na wartość Blokuj.

    • Nie skonfigurowano
    • Blokuj — pakiety zabezpieczone ipsec nie otrzymują wykluczeń.
    • Zezwalaj — włącz wykluczenia. Tryb niewidzialności zapory NIE MOŻE uniemożliwiać komputerowi hosta reagowania na niechciany ruch sieciowy zabezpieczony przez protokół IPsec.

  • Ekranowane
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: chroniony

    • Nie skonfigurowano
    • Blokuj — gdy zapora systemu Windows jest włączona i to ustawienie ma wartość Blokuj, cały ruch przychodzący jest blokowany, niezależnie od innych ustawień zasad.
    • Zezwalaj — po ustawieniu opcji Zezwalaj to ustawienie jest wyłączone , a ruch przychodzący jest dozwolony na podstawie innych ustawień zasad.

  • Odpowiedzi emisji pojedynczej na emisje multiemisji
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: DisableUnicastResponsesToMulticastBroadcast

    Zazwyczaj nie chcesz otrzymywać odpowiedzi emisji pojedynczej na wiadomości multiemisji lub emisji. Te odpowiedzi mogą wskazywać na atak typu "odmowa usługi" (DOS) lub próbę sondowania znanego komputera na żywo przez osobę atakującą.

    • Nie skonfigurowano
    • Blokuj — wyłączanie odpowiedzi emisji pojedynczej na emisje multiemisji.
    • Zezwalaj — zezwalaj na odpowiedzi emisji pojedynczej na emisje multiemisji.

  • Powiadomienia przychodzące
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: DisableInboundNotifications

    • Nie skonfigurowano
    • Blokuj — ukrywa powiadomienia do użycia, gdy aplikacja nie może nasłuchiwać na porcie.
    • Zezwalaj — włącza to ustawienie i może wyświetlać użytkownikom powiadomienie, gdy aplikacja nie może nasłuchiwać na porcie.

  • Domyślna akcja dla połączeń wychodzących
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: DefaultOutboundAction

    Skonfiguruj domyślną akcję wykonywaną przez zaporę dla połączeń wychodzących. To ustawienie zostanie zastosowane do systemu Windows w wersji 1809 lub nowszej.

    • Nie skonfigurowano
    • Blokuj — domyślna akcja zapory nie jest uruchamiana w ruchu wychodzącym, chyba że jawnie określono, aby nie blokować.
    • Zezwalaj — domyślne akcje zapory są uruchamiane w przypadku połączeń wychodzących.

  • Domyślna akcja dla połączeń przychodzących
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: DefaultInboundAction

    • Nie skonfigurowano
    • Blokuj — domyślna akcja zapory nie jest uruchamiana w przypadku połączeń przychodzących.
    • Zezwalaj — domyślne akcje zapory są uruchamiane w przypadku połączeń przychodzących.

Scalanie reguł

  • Reguły zapory systemu Windows autoryzowanej aplikacji z magazynu lokalnego
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: AuthAppsAllowUserPrefMerge

    • Nie skonfigurowano
    • Blokuj — reguły zapory autoryzowanej aplikacji w magazynie lokalnym są ignorowane i nie są wymuszane.
    • Zezwalaj — wybierz pozycję Włącz stosuje reguły zapory w magazynie lokalnym, aby były rozpoznawane i wymuszane.

  • Globalne reguły zapory systemu Windows portów z magazynu lokalnego
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: GlobalPortsAllowUserPrefMerge

    • Nie skonfigurowano
    • Blokuj — globalne reguły zapory portów w magazynie lokalnym są ignorowane i nie są wymuszane.
    • Zezwalaj — zastosuj globalne reguły zapory portów w magazynie lokalnym, aby były rozpoznawane i wymuszane.

  • Reguły zapory systemu Windows z magazynu lokalnego
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: AllowLocalPolicyMerge

    • Nie skonfigurowano
    • Blokuj — reguły zapory z magazynu lokalnego są ignorowane i nie są wymuszane.
    • Zezwalaj — zastosuj reguły zapory w magazynie lokalnym, aby były rozpoznawane i wymuszane.

  • Reguły protokołu IPsec z magazynu lokalnego
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: AllowLocalIpsecPolicyMerge

    • Nie skonfigurowano
    • Blokuj — reguły zabezpieczeń połączeń z magazynu lokalnego są ignorowane i nie są wymuszane, niezależnie od wersji schematu i wersji reguły zabezpieczeń połączeń.
    • Zezwalaj — zastosuj reguły zabezpieczeń połączeń z magazynu lokalnego, niezależnie od wersji reguł zabezpieczeń schematu lub połączenia.

Reguły zapory

Możesz dodać co najmniej jedną niestandardową regułę zapory. Aby uzyskać więcej informacji, zobacz Dodawanie niestandardowych reguł zapory dla urządzeń z systemem Windows.

Niestandardowe reguły zapory obsługują następujące opcje:

Ustawienia ogólne

  • Nazwa
    Ustawienie domyślne: Brak nazwy

    Określ przyjazną nazwę reguły. Ta nazwa zostanie wyświetlona na liście reguł, które ułatwiają jej identyfikację.

  • Opis
    Ustawienie domyślne: Brak opisu

    Podaj opis reguły.

  • Kierunek
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: FirewallRules/FirewallRuleName/Direction

    Określ, czy ta reguła ma zastosowanie do ruchu przychodzącego lub wychodzącego . Po ustawieniu wartości Nieskonfigurowane reguła jest automatycznie stosowana do ruchu wychodzącego.

  • Akcja
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP zapory: FirewallRules/FirewallRuleName/Action i FirewallRules/FirewallRuleName/Action/Type

    Wybierz pozycję Zezwalaj lub Blokuj. Po ustawieniu wartości Nieskonfigurowane reguła domyślnie zezwala na ruch.

  • Typ sieci
    Wartość domyślna: wybrano 0
    Dostawca CSP zapory: FirewallRules/FirewallRuleName/Profiles

    Wybierz maksymalnie trzy typy typów sieci, do których należy ta reguła. Opcje obejmują domeny, prywatne i publiczne. Jeśli nie wybrano żadnych typów sieci, reguła ma zastosowanie do wszystkich trzech typów sieci.

Ustawienia aplikacji

  • Aplikacje
    Wartość domyślna: Wszystkie

    Kontrolowanie połączeń dla aplikacji lub programu. Aplikacje i programy można określić za pomocą ścieżki pliku, nazwy rodziny pakietów lub nazwy usługi:

    • Nazwa rodziny pakietów — określ nazwę rodziny pakietów. Aby znaleźć nazwę rodziny pakietów, użyj polecenia programu PowerShell Get-AppxPackage.
      Dostawca CSP zapory: FirewallRules/FirewallRuleName/App/PackageFamilyName

    • Ścieżka pliku — należy określić ścieżkę pliku do aplikacji na urządzeniu klienckim, która może być ścieżką bezwzględną lub ścieżką względną. Na przykład: C:\Windows\System\Notepad.exe lub %WINDIR%\Notepad.exe.
      Dostawca CSP zapory: FirewallRules/FirewallRuleName/App/FilePath

    • Usługa systemu Windows — określ krótką nazwę usługi systemu Windows, jeśli jest to usługa, a nie aplikacja, która wysyła lub odbiera ruch. Aby znaleźć krótką nazwę usługi, użyj polecenia programu PowerShell Get-Service.
      Dostawca CSP zapory: FirewallRules/FirewallRuleName/App/ServiceName

    • Wszystkienie są wymagane żadne konfiguracje

Ustawienia adresów IP

Określ adresy lokalne i zdalne, do których ma zastosowanie ta reguła.

  • Adresy lokalne
    Domyślne: dowolny adres
    Dostawca CSP zapory: FirewallRules/FirewallRuleName/LocalPortRanges

    Wybierz pozycję Dowolny adres lub Określony adres.

    Gdy używasz określonego adresu, dodajesz co najmniej jeden adres jako rozdzielaną przecinkami listę adresów lokalnych, które są objęte regułą. Prawidłowe tokeny obejmują:

    • Użyj gwiazdki * dla dowolnego adresu lokalnego. Jeśli używasz gwiazdki, musi to być jedyny token, którego używasz.
    • Określ podsieć za pomocą maski podsieci lub notacji prefiksu sieci. Jeśli nie określono maski podsieci lub prefiksu sieci, maska podsieci domyślnie ma wartość 255.255.255.255.
    • Prawidłowy adres IPv6.
    • Zakres adresów IPv4 w formacie "adres początkowy — adres końcowy" bez uwzględniania spacji.
    • Zakres adresów IPv6 w formacie "adres początkowy — adres końcowy" bez uwzględniania spacji.

  • Adresy zdalne
    Domyślne: dowolny adres
    Dostawca CSP zapory: FirewallRules/FirewallRuleName/RemoteAddressRanges

    Wybierz pozycję Dowolny adres lub Określony adres.

    Gdy używasz określonego adresu, dodajesz jeden lub więcej adresów jako rozdzielaną przecinkami listę adresów zdalnych, które są objęte regułą. Tokeny nie uwzględniają wielkości liter. Prawidłowe tokeny obejmują:

    • Użyj gwiazdki "*" dla dowolnego adresu zdalnego. Jeśli używasz gwiazdki, musi to być jedyny token, którego używasz.
    • Defaultgateway
    • DHCP
    • DNS
    • WINS
    • Intranet (obsługiwane w systemie Windows w wersji 1809 lub nowszej)
    • RmtIntranet (obsługiwane w systemie Windows w wersji 1809 lub nowszej)
    • Internet (obsługiwane w systemie Windows w wersji 1809 lub nowszej)
    • Ply2Renders (obsługiwane w systemie Windows w wersji 1809 lub nowszej)
    • LocalSubnet wskazuje dowolny adres lokalny w podsieci lokalnej.
    • Określ podsieć za pomocą maski podsieci lub notacji prefiksu sieci. Jeśli nie określono maski podsieci lub prefiksu sieci, maska podsieci domyślnie ma wartość 255.255.255.255.
    • Prawidłowy adres IPv6.
    • Zakres adresów IPv4 w formacie "adres początkowy — adres końcowy" bez uwzględniania spacji.
    • Zakres adresów IPv6 w formacie "adres początkowy — adres końcowy" bez uwzględniania spacji.

Ustawienia portów i protokołów

Określ porty lokalne i zdalne, do których ma zastosowanie ta reguła.

Konfiguracja zaawansowana

  • Typy interfejsów
    Wartość domyślna: wybrano 0
    Dostawca CSP zapory: FirewallRules/FirewallRuleName/InterfaceTypes

    Wybierz jedną z następujących opcji:

    • Dostęp zdalny
    • Bezprzewodowy
    • Sieć lokalna

  • Zezwalaj tylko na połączenia od tych użytkowników
    Domyślne: Wszyscy użytkownicy (domyślnie dla wszystkich używa, gdy nie określono listy)
    Dostawca CSP zapory: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    Określ listę autoryzowanych użytkowników lokalnych dla tej reguły. Nie można określić listy autoryzowanych użytkowników, jeśli ta reguła ma zastosowanie do usługi systemu Windows.

Microsoft Defender ustawienia filtru SmartScreen

Przeglądarka Microsoft Edge musi być zainstalowana na urządzeniu.

  • Filtr SmartScreen dla aplikacji i plików
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP smartscreen: SmartScreen/EnableSmartScreenInShell

    • Nie skonfigurowano — wyłącza korzystanie z filtru SmartScreen.
    • Włącz — włącz filtr Windows SmartScreen na potrzeby wykonywania plików i uruchamiania aplikacji. SmartScreen to oparty na chmurze składnik chroniący przed wyłudzaniem informacji i chroniący przed złośliwym oprogramowaniem.

  • Wykonywanie niezweryfikowanych plików
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP smartscreen: SmartScreen/PreventOverrideForFilesInShell

    • Nie skonfigurowano — wyłącza tę funkcję i umożliwia użytkownikom końcowym uruchamianie plików, które nie zostały zweryfikowane.
    • Blokuj — uniemożliwia użytkownikom końcowym uruchamianie plików, które nie zostały zweryfikowane przez filtr Windows SmartScreen.

Szyfrowanie systemu Windows

Ustawienia systemu Windows

  • Szyfrowanie urządzeń
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP funkcji BitLocker: RequireDeviceEncryption

    • Wymagaj — monituj użytkowników o włączenie szyfrowania urządzenia. W zależności od wersji systemu Windows i konfiguracji systemu można poprosić użytkowników:
      • Aby potwierdzić, że szyfrowanie od innego dostawcy nie jest włączone.
      • Należy wyłączyć szyfrowanie dysków funkcji BitLocker, a następnie ponownie włączyć funkcję BitLocker.
    • Nie skonfigurowano

    Jeśli szyfrowanie systemu Windows jest włączone, gdy inna metoda szyfrowania jest aktywna, urządzenie może stać się niestabilne.

Ustawienia podstawowe funkcji BitLocker

Ustawienia podstawowe to uniwersalne ustawienia funkcji BitLocker dla wszystkich typów dysków danych. Te ustawienia umożliwiają zarządzanie zadaniami szyfrowania dysków lub opcjami konfiguracji, które użytkownik końcowy może modyfikować we wszystkich typach dysków danych.

  • Ostrzeżenie dotyczące innego szyfrowania dysku
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP funkcji BitLocker: AllowWarningForOtherDiskEncryption

    • Blokuj — wyłącz monit ostrzegawczy, jeśli na urządzeniu znajduje się inna usługa szyfrowania dysków.
    • Nie skonfigurowano — umożliwia wyświetlenie ostrzeżenia dotyczącego innego szyfrowania dysków.

    Porada

    Aby automatycznie i w trybie dyskretnym zainstalować funkcję BitLocker na urządzeniu, które jest Microsoft Entra przyłączone do systemu Windows 1809 lub nowszym, należy ustawić ustawienie Blokuj. Aby uzyskać więcej informacji, zobacz Włączanie funkcji BitLocker w trybie dyskretnym na urządzeniach.

    Po ustawieniu opcji Blokuj można skonfigurować następujące ustawienie:

    • Zezwalaj użytkownikom standardowym na włączanie szyfrowania podczas dołączania Microsoft Entra
      To ustawienie dotyczy tylko urządzeń przyłączonych Microsoft Entra (Azure ADJ) i zależy od poprzedniego ustawienia . Warning for other disk encryption
      Ustawienie domyślne: Nie skonfigurowano
      Dostawca CSP funkcji BitLocker: AllowStandardUserEncryption

      • Zezwalaj — użytkownicy standardowi (nieadministratorzy) mogą włączyć szyfrowanie funkcją BitLocker po zalogowaniu.
      • Nies skonfigurowano tylko administratorzy mogą włączyć szyfrowanie funkcji BitLocker na urządzeniu.

    Porada

    Aby automatycznie i w trybie dyskretnym zainstalować funkcję BitLocker na urządzeniu, które jest Microsoft Entra przyłączone do systemu Windows 1809 lub nowszym, należy ustawić ustawienie Zezwalaj. Aby uzyskać więcej informacji, zobacz Włączanie funkcji BitLocker w trybie dyskretnym na urządzeniach.

  • Konfigurowanie metod szyfrowania
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP funkcji BitLocker: EncryptionMethodByDriveType

    • Włącz — skonfiguruj algorytmy szyfrowania dla systemów operacyjnych, danych i dysków wymiennych.
    • Nieskonfigurowane — funkcja BitLocker używa 128-bitowej funkcji XTS-AES jako domyślnej metody szyfrowania lub używa metody szyfrowania określonej przez dowolny skrypt konfiguracji.

    Po ustawieniu opcji Włącz można skonfigurować następujące ustawienia:

    • Szyfrowanie dysków systemu operacyjnego
      Domyślne: XTS-AES 128-bitowy

      Wybierz metodę szyfrowania dla dysków systemu operacyjnego. Zalecamy użycie algorytmu XTS-AES.

      • AES-CBC 128-bitowy
      • AES-CBC 256-bitowy
      • XTS-AES 128-bitowy
      • XTS-AES 256-bitowy

    • Szyfrowanie stałych dysków danych
      Ustawienie domyślne: 128-bitowe AES-CBC

      Wybierz metodę szyfrowania dla stałych (wbudowanych) dysków danych. Zalecamy użycie algorytmu XTS-AES.

      • AES-CBC 128-bitowy
      • AES-CBC 256-bitowy
      • XTS-AES 128-bitowy
      • XTS-AES 256-bitowy

    • Szyfrowanie wymiennych dysków danych
      Ustawienie domyślne: 128-bitowe AES-CBC

      Wybierz metodę szyfrowania dla wymiennych dysków danych. Jeśli dysk wymienny jest używany z urządzeniami, które nie działają Windows 10/11, zalecamy użycie algorytmu AES-CBC.

      • AES-CBC 128-bitowy
      • AES-CBC 256-bitowy
      • XTS-AES 128-bitowy
      • XTS-AES 256-bitowy

Ustawienia dysku systemu operacyjnego funkcji BitLocker

Te ustawienia dotyczą w szczególności dysków danych systemu operacyjnego.

  • Dodatkowe uwierzytelnianie podczas uruchamiania
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP funkcji BitLocker: SystemDrivesRequireStartupAuthentication

    • Wymagaj — skonfiguruj wymagania dotyczące uwierzytelniania dla uruchamiania komputera, w tym użycie modułu TPM (Trusted Platform Module).
    • Nieskonfigurowane — skonfiguruj tylko podstawowe opcje na urządzeniach z modułem TPM.

    Po ustawieniu opcji Wymagaj można skonfigurować następujące ustawienia:

    • Funkcja BitLocker z niezgodnym mikroukładem TPM
      Ustawienie domyślne: Nie skonfigurowano

      • Blokuj — wyłącz używanie funkcji BitLocker, gdy urządzenie nie ma zgodnego mikroukładu modułu TPM.
      • Nie skonfigurowano — użytkownicy mogą używać funkcji BitLocker bez zgodnego mikroukładu modułu TPM. Funkcja BitLocker może wymagać hasła lub klucza uruchamiania.

    • Uruchamianie zgodnego modułu TPM
      Ustawienie domyślne: Zezwalaj na moduł TPM

      Skonfiguruj, czy moduł TPM jest dozwolony, wymagany lub niedozwolony.

      • Zezwalaj na moduł TPM
      • Nie zezwalaj na moduł TPM
      • Wymagaj modułu TPM

    • Numer PIN uruchamiania zgodnego modułu TPM
      Ustawienie domyślne: zezwalaj na numer PIN uruchamiania przy użyciu modułu TPM

      Wybierz opcję Zezwalaj, Nie zezwalaj lub wymagaj użycia numeru PIN uruchamiania z mikroukładem modułu TPM. Włączenie numeru PIN uruchamiania wymaga interakcji ze strony użytkownika końcowego.

      • Zezwalaj na uruchamianie numeru PIN przy użyciu modułu TPM
      • Nie zezwalaj na uruchamianie numeru PIN przy użyciu modułu TPM
      • Wymagaj numeru PIN uruchamiania przy użyciu modułu TPM

      Porada

      Aby automatycznie i w trybie dyskretnym zainstalować funkcję BitLocker na urządzeniu, które jest Microsoft Entra przyłączone i działa system Windows 1809 lub nowszy, to ustawienie nie może być ustawione na wartość Wymagaj numeru PIN uruchamiania z modułem TPM. Aby uzyskać więcej informacji, zobacz Włączanie funkcji BitLocker w trybie dyskretnym na urządzeniach.

    • Zgodny klucz uruchamiania modułu TPM
      Ustawienie domyślne: Zezwalaj na klucz uruchamiania przy użyciu modułu TPM

      Wybierz opcję zezwalania, braku zezwolenia lub wymagania użycia klucza uruchamiania z mikroukładem modułu TPM. Włączenie klucza uruchamiania wymaga interakcji od użytkownika końcowego.

      • Zezwalaj na klucz uruchamiania przy użyciu modułu TPM
      • Nie zezwalaj na klucz uruchamiania przy użyciu modułu TPM
      • Wymagaj klucza uruchamiania przy użyciu modułu TPM

      Porada

      Aby automatycznie i dyskretnie zainstalować funkcję BitLocker na urządzeniu Microsoft Entra przyłączonym i uruchomionym w systemie Windows 1809 lub nowszym, to ustawienie nie może być ustawione na wartość Wymagaj klucza uruchamiania przy użyciu modułu TPM. Aby uzyskać więcej informacji, zobacz Włączanie funkcji BitLocker w trybie dyskretnym na urządzeniach.

    • Zgodny klucz startowy modułu TPM i numer PIN
      Ustawienie domyślne: Zezwalaj na klucz uruchamiania i numer PIN za pomocą modułu TPM

      Wybierz opcję Zezwalaj, Nie zezwalaj lub wymagaj użycia klucza uruchamiania i numeru PIN z mikroukładem modułu TPM. Włączenie klucza uruchamiania i numeru PIN wymaga interakcji ze strony użytkownika końcowego.

      • Zezwalaj na klucz startowy i numer PIN za pomocą modułu TPM
      • Nie zezwalaj na klucz startowy i numer PIN przy użyciu modułu TPM
      • Wymagaj klucza uruchamiania i numeru PIN przy użyciu modułu TPM

      Porada

      Aby zainstalować funkcję BitLocker automatycznie i w trybie dyskretnym na urządzeniu, które jest Microsoft Entra przyłączone i działa system Windows 1809 lub nowszy, to ustawienie nie może być ustawione na wartość Wymagaj klucza uruchamiania i numeru PIN z modułem TPM. Aby uzyskać więcej informacji, zobacz Włączanie funkcji BitLocker w trybie dyskretnym na urządzeniach.

  • Minimalna długość numeru PIN
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP funkcji BitLocker: SystemDrivesMinimumPINLength

    • Włączyć Skonfiguruj minimalną długość numeru PIN uruchamiania modułu TPM.
    • Nieskonfigurowane — użytkownicy mogą skonfigurować numer PIN uruchamiania o dowolnej długości od 6 do 20 cyfr.

    Po ustawieniu opcji Włącz można skonfigurować następujące ustawienie:

    • Znaki minimalne
      Ustawienie domyślne: Nie skonfigurowano dostawcy CSP funkcji BitLocker: SystemDrivesMinimumPINLength

      Wprowadź liczbę znaków wymaganych dla numeru PIN uruchamiania z 4-20.

  • Odzyskiwanie dysku systemu operacyjnego
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP funkcji BitLocker: SystemDrivesRecoveryOptions

    • Włącz — umożliwia kontrolowanie sposobu odzyskiwania dysków systemu operacyjnego chronionego przez funkcję BitLocker, gdy wymagane informacje o uruchamianiu nie są dostępne.
    • Nie skonfigurowano — obsługiwane są domyślne opcje odzyskiwania, w tym funkcja DRA. Użytkownik końcowy może określić opcje odzyskiwania. Nie są wykonywane kopie zapasowe informacji odzyskiwania w usługach AD DS.

    Po ustawieniu opcji Włącz można skonfigurować następujące ustawienia:

    • Agent odzyskiwania danych oparty na certyfikatach
      Ustawienie domyślne: Nie skonfigurowano

      • Blokuj — uniemożliwia korzystanie z agenta odzyskiwania danych z dyskami systemu operacyjnego chronionymi przez funkcję BitLocker.
      • Nieskonfigurowane — zezwalaj na używanie agentów odzyskiwania danych z dyskami systemu operacyjnego chronionymi przez funkcję BitLocker.

    • Tworzenie hasła odzyskiwania przez użytkownika
      Ustawienie domyślne: zezwalaj na 48-cyfrowe hasło odzyskiwania

      Określ, czy użytkownicy mają dozwolone, wymagane lub niedozwolone generowanie 48-cyfrowego hasła odzyskiwania.

      • Zezwalaj na 48-cyfrowe hasło odzyskiwania
      • Nie zezwalaj na 48-cyfrowe hasło odzyskiwania
      • Wymagaj 48-cyfrowego hasła odzyskiwania

    • Tworzenie klucza odzyskiwania przez użytkownika
      Domyślne: Zezwalaj na 256-bitowy klucz odzyskiwania

      Określ, czy użytkownicy mają dozwolone, wymagane lub niedozwolone generowanie 256-bitowego klucza odzyskiwania.

      • Zezwalaj na 256-bitowy klucz odzyskiwania
      • Nie zezwalaj na 256-bitowy klucz odzyskiwania
      • Wymagaj 256-bitowego klucza odzyskiwania

    • Opcje odzyskiwania w kreatorze instalacji funkcji BitLocker
      Ustawienie domyślne: Nie skonfigurowano

      • Blokuj — użytkownicy nie widzą i nie zmieniają opcji odzyskiwania. Po ustawieniu na wartość
      • Nieskonfigurowane — użytkownicy mogą wyświetlać i zmieniać opcje odzyskiwania po włączeniu funkcji BitLocker.

    • Zapisywanie informacji odzyskiwania funkcji BitLocker w celu Microsoft Entra identyfikatora
      Ustawienie domyślne: Nie skonfigurowano

      • Włącz — przechowuj informacje odzyskiwania funkcji BitLocker, aby Microsoft Entra identyfikator.
      • Nieskonfigurowane — informacje odzyskiwania funkcji BitLocker nie są przechowywane w Microsoft Entra identyfikatorze.

    • Informacje o odzyskiwaniu funkcji BitLocker przechowywane w Microsoft Entra identyfikatorze
      Ustawienie domyślne: Tworzenie kopii zapasowych haseł odzyskiwania i pakietów kluczy

      Skonfiguruj, które części informacji odzyskiwania funkcji BitLocker są przechowywane w Microsoft Entra identyfikatorze. Wybierz jedną z następujących opcji:

      • Tworzenie kopii zapasowych haseł odzyskiwania i pakietów kluczy
      • Tylko hasła odzyskiwania kopii zapasowej

    • Rotacja haseł odzyskiwania oparta na kliencie
      Ustawienie domyślne: Nie skonfigurowano
      Dostawca CSP funkcji BitLocker: ConfigureRecoveryPasswordRotation

      To ustawienie inicjuje rotację hasła odzyskiwania opartego na kliencie po odzyskiwaniu dysku systemu operacyjnego (przy użyciu programu bootmgr lub WinRE).

      • Nie skonfigurowano
      • Wyłączono rotację kluczy
      • Włączono rotację kluczy dla Microsoft Entra przyłączonych deices
      • Włączono rotację kluczy dla urządzeń z identyfikatorem Microsoft Entra i urządzeniami przyłączonymi hybrydowo

    • Przechowywanie informacji odzyskiwania w identyfikatorze Microsoft Entra przed włączeniem funkcji BitLocker
      Ustawienie domyślne: Nie skonfigurowano

      Uniemożliwiaj użytkownikom włączanie funkcji BitLocker, chyba że komputer pomyślnie tworzy kopię zapasową informacji odzyskiwania funkcji BitLocker w celu Microsoft Entra identyfikatora.

      • Wymagaj — uniemożliwia użytkownikom włączanie funkcji BitLocker, chyba że informacje odzyskiwania funkcji BitLocker zostały pomyślnie zapisane w identyfikatorze Microsoft Entra.
      • Nieskonfigurowane — użytkownicy mogą włączyć funkcję BitLocker, nawet jeśli informacje odzyskiwania nie są pomyślnie przechowywane w Microsoft Entra identyfikatorze.

  • Komunikat i adres URL odzyskiwania przed rozruchem
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP funkcji BitLocker: SystemDrivesRecoveryMessage

    • Włącz — skonfiguruj komunikat i adres URL wyświetlany na ekranie odzyskiwania klucza przed rozruchem.
    • Nie skonfigurowano — wyłącz tę funkcję.

    Po ustawieniu opcji Włącz można skonfigurować następujące ustawienie:

    • Komunikat odzyskiwania przed rozruchem
      Domyślne: użyj domyślnego komunikatu odzyskiwania i adresu URL

      Skonfiguruj sposób wyświetlania użytkownikom komunikatu odzyskiwania przed rozruchem. Wybierz jedną z następujących opcji:

      • Użyj domyślnego komunikatu odzyskiwania i adresu URL
      • Używanie pustego komunikatu odzyskiwania i adresu URL
      • Używanie niestandardowego komunikatu odzyskiwania
      • Używanie niestandardowego adresu URL odzyskiwania

Ustawienia stałego dysku danych funkcji BitLocker

Te ustawienia dotyczą konkretnie stałych dysków danych.

  • Dostęp do zapisu na stałym dysku danych, który nie jest chroniony przez funkcję BitLocker
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP funkcji BitLocker: FixedDrivesRequireEncryption

    • Blokuj — zapewnia dostęp tylko do odczytu do dysków danych, które nie są chronione przez funkcję BitLocker.
    • Nieskonfigurowane — domyślnie dostęp do odczytu i zapisu do dysków danych, które nie są szyfrowane.

  • Odzyskiwanie dysku stałego
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP funkcji BitLocker: FixedDrivesRecoveryOptions

    • Włącz — umożliwia kontrolowanie sposobu odzyskiwania dysków stałych chronionych przez funkcję BitLocker, gdy wymagane informacje o uruchamianiu nie są dostępne.
    • Nie skonfigurowano — wyłącz tę funkcję.

    Po ustawieniu opcji Włącz można skonfigurować następujące ustawienia:

    • Agent odzyskiwania danych
      Ustawienie domyślne: Nie skonfigurowano

      • Blokuj — uniemożliwia korzystanie z agenta odzyskiwania danych w edytorze zasad chronionych przez funkcję BitLocker dysków stałych.
      • Nieskonfigurowane — umożliwia korzystanie z agentów odzyskiwania danych z dyskami stałymi chronionymi przez funkcję BitLocker.

    • Tworzenie hasła odzyskiwania przez użytkownika
      Ustawienie domyślne: zezwalaj na 48-cyfrowe hasło odzyskiwania

      Określ, czy użytkownicy mają dozwolone, wymagane lub niedozwolone generowanie 48-cyfrowego hasła odzyskiwania.

      • Zezwalaj na 48-cyfrowe hasło odzyskiwania
      • Nie zezwalaj na 48-cyfrowe hasło odzyskiwania
      • Wymagaj 48-cyfrowego hasła odzyskiwania

    • Tworzenie klucza odzyskiwania przez użytkownika
      Domyślne: Zezwalaj na 256-bitowy klucz odzyskiwania

      Określ, czy użytkownicy mają dozwolone, wymagane lub niedozwolone generowanie 256-bitowego klucza odzyskiwania.

      • Zezwalaj na 256-bitowy klucz odzyskiwania
      • Nie zezwalaj na 256-bitowy klucz odzyskiwania
      • Wymagaj 256-bitowego klucza odzyskiwania

    • Opcje odzyskiwania w kreatorze instalacji funkcji BitLocker
      Ustawienie domyślne: Nie skonfigurowano

      • Blokuj — użytkownicy nie widzą i nie zmieniają opcji odzyskiwania. Po ustawieniu na wartość
      • Nieskonfigurowane — użytkownicy mogą wyświetlać i zmieniać opcje odzyskiwania po włączeniu funkcji BitLocker.

    • Zapisywanie informacji odzyskiwania funkcji BitLocker w celu Microsoft Entra identyfikatora
      Ustawienie domyślne: Nie skonfigurowano

      • Włącz — przechowuj informacje odzyskiwania funkcji BitLocker, aby Microsoft Entra identyfikator.
      • Nieskonfigurowane — informacje odzyskiwania funkcji BitLocker nie są przechowywane w Microsoft Entra identyfikatorze.

    • Informacje o odzyskiwaniu funkcji BitLocker przechowywane w Microsoft Entra identyfikatorze
      Ustawienie domyślne: Tworzenie kopii zapasowych haseł odzyskiwania i pakietów kluczy

      Skonfiguruj, które części informacji odzyskiwania funkcji BitLocker są przechowywane w Microsoft Entra identyfikatorze. Wybierz jedną z następujących opcji:

      • Tworzenie kopii zapasowych haseł odzyskiwania i pakietów kluczy
      • Tylko hasła odzyskiwania kopii zapasowej

    • Przechowywanie informacji odzyskiwania w identyfikatorze Microsoft Entra przed włączeniem funkcji BitLocker
      Ustawienie domyślne: Nie skonfigurowano

      Uniemożliwiaj użytkownikom włączanie funkcji BitLocker, chyba że komputer pomyślnie tworzy kopię zapasową informacji odzyskiwania funkcji BitLocker w celu Microsoft Entra identyfikatora.

      • Wymagaj — uniemożliwia użytkownikom włączanie funkcji BitLocker, chyba że informacje odzyskiwania funkcji BitLocker zostały pomyślnie zapisane w identyfikatorze Microsoft Entra.
      • Nieskonfigurowane — użytkownicy mogą włączyć funkcję BitLocker, nawet jeśli informacje odzyskiwania nie są pomyślnie przechowywane w Microsoft Entra identyfikatorze.

Ustawienia wymiennego dysku danych funkcji BitLocker

Te ustawienia dotyczą w szczególności wymiennych dysków danych.

  • Dostęp do zapisu na wymiennym dysku danych, który nie jest chroniony przez funkcję BitLocker
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP funkcji BitLocker: RemovableDrivesRequireEncryption

    • Blokuj — zapewnia dostęp tylko do odczytu do dysków danych, które nie są chronione przez funkcję BitLocker.
    • Nieskonfigurowane — domyślnie dostęp do odczytu i zapisu do dysków danych, które nie są szyfrowane.

    Po ustawieniu opcji Włącz można skonfigurować następujące ustawienie:

    • Zapisywanie dostępu do urządzeń skonfigurowanych w innej organizacji
      Ustawienie domyślne: Nie skonfigurowano

      • Blokuj — blokuj dostęp do zapisu na urządzeniach skonfigurowanych w innej organizacji.
      • Nie skonfigurowano — odmowa dostępu do zapisu.

Microsoft Defender Exploit Guard

Użyj ochrony przed lukami w zabezpieczeniach , aby zarządzać obszarem ataków aplikacji używanych przez pracowników i zmniejszać ich liczbę.

Zmniejszanie obszaru podatnego na ataki

Reguły zmniejszania obszaru podatnego na ataki pomagają zapobiegać zachowaniom, których złośliwe oprogramowanie często używa do infekowania komputerów złośliwym kodem.

Reguły zmniejszania obszaru podatnego na ataki

Aby dowiedzieć się więcej, zobacz Reguły zmniejszania obszaru podatnego na ataki w dokumentacji Ochrona punktu końcowego w usłudze Microsoft Defender.

Zachowanie scalania dla reguł zmniejszania obszaru ataków w usłudze Intune:

Reguły zmniejszania obszaru podatnego na ataki obsługują łączenie ustawień z różnych zasad w celu utworzenia nadzbioru zasad dla każdego urządzenia. Scalane są tylko ustawienia, które nie są w konflikcie, a ustawienia, które są w konflikcie, nie są dodawane do nadzbioru reguł. Wcześniej, jeśli dwie zasady zawierały konflikty dla jednego ustawienia, obie zasady były oflagowane jako będące w konflikcie i żadne ustawienia z żadnego z profilów nie były wdrażane.

Zachowanie scalania reguł zmniejszania obszaru podatnego na ataki jest następujące:

  • Reguły zmniejszania obszaru ataków z następujących profilów są oceniane dla każdego urządzenia, do których mają zastosowanie reguły:
    • Zasady konfiguracji > urządzeń > Profil > ochrony punktu końcowego Microsoft Defender zmniejszanie obszaru ataków funkcji Exploit Guard >
    • Zasady zmniejszania obszaru podatnego na ataki zabezpieczeń > punktu końcowego Reguły >zmniejszania obszaru ataków
    • Punkty odniesienia > zabezpieczeń > punktu końcowego Ochrona punktu końcowego w usłudze Microsoft Defender reguły zmniejszania obszaru podatnego na ataki według planu bazowego>.
  • Ustawienia, które nie mają konfliktów, są dodawane do nadzbioru zasad dla urządzenia.
  • Jeśli co najmniej dwie zasady mają ustawienia powodujące konflikt, ustawienia powodujące konflikt nie są dodawane do połączonych zasad. Ustawienia, które nie powodują konfliktu, są dodawane do zasad nadzbioru, które mają zastosowanie do urządzenia.
  • Tylko konfiguracje ustawień powodujących konflikt są wstrzymywane.

Ustawienia w tym profilu:

Reguły zapobiegania zagrożeniom makr pakietu Office

Zablokuj aplikacjom pakietu Office możliwość wykonywania następujących akcji:

Reguły zapobiegania zagrożeniom skryptu

Zablokuj następujące elementy, aby zapobiec zagrożeniom skryptów:

Reguły zapobiegania zagrożeniom poczty e-mail

Zablokuj następujące elementy, aby zapobiec zagrożeniom wiadomości e-mail:

  • Wykonywanie zawartości wykonywalnej (np. plików dll, ps, js, vbs itp.) porzuconych z poczty e-mail (poczta internetowa/klient poczty) (bez wyjątków)
    Ustawienie domyślne: Nie skonfigurowano
    Reguła: blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej

    • Nie skonfigurowano
    • Blokuj — blokuj wykonywanie zawartości wykonywalnej (np. plików dll, ps, js, vbs itp.) porzuconych z poczty e-mail (webmail/mail-client).
    • Tylko inspekcja

Zasady ochrony przed oprogramowaniem wymuszającym okup

Wyjątki dotyczące zmniejszania obszaru podatnego na ataki

  • Pliki i foldery do wykluczenia z reguł zmniejszania obszaru ataków
    Dostawca CSP usługi Defender: AttackSurfaceReductionOnlyExclusions

    • Zaimportuj plik .csv zawierający pliki i foldery do wykluczenia z reguł zmniejszania obszaru podatnego na ataki.
    • Ręcznie dodaj lokalne pliki lub foldery.

Ważna

Aby umożliwić prawidłową instalację i wykonywanie aplikacji LOB Win32, ustawienia ochrony przed złośliwym oprogramowaniem powinny wykluczać ze skanowania następujące katalogi:
Na maszynach klienckich X64:
C:\Program Files (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Na maszynach klienckich X86:
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące skanowania wirusów dla komputerów z przedsiębiorstwem z aktualnie obsługiwanymi wersjami systemu Windows.

Kontrolowany dostęp do folderu

Ochrona cennych danych przed złośliwymi aplikacjami i zagrożeniami, takimi jak oprogramowanie wymuszające okup.

  • Ochrona folderów
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP usługi Defender: EnableControlledFolderAccess

    Ochrona plików i folderów przed nieautoryzowanymi zmianami przez nieprzyjazne aplikacje.

    • Nie skonfigurowano
    • Włączyć
    • Tylko inspekcja
    • Blokuj modyfikowanie dysku
    • Inspekcja modyfikacji dysku

    Po wybraniu konfiguracji innej niż Nieskonfigurowane można skonfigurować:

    • Lista aplikacji, które mają dostęp do chronionych folderów
      Dostawca CSP usługi Defender: ControlledFolderAccessAllowedApplications

      • Zaimportuj plik .csv zawierający listę aplikacji.
      • Ręcznie dodaj aplikacje do tej listy.

    • Lista dodatkowych folderów, które muszą być chronione
      Dostawca CSP usługi Defender: ControlledFolderAccessProtectedFolders

      • Zaimportuj plik .csv zawierający listę folderów.
      • Dodaj foldery do tej listy ręcznie.

Filtrowanie sieci

Blokuj połączenia wychodzące z dowolnej aplikacji do adresów IP lub domen o niskiej reputacji. Filtrowanie sieci jest obsługiwane zarówno w trybie inspekcji, jak i bloku.

  • Ochrona sieci
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP usługi Defender: EnableNetworkProtection

    Celem tego ustawienia jest ochrona użytkowników końcowych przed aplikacjami z dostępem do wyłudzania informacji, witryn hostujących luki w zabezpieczeniach i złośliwej zawartości w Internecie. Uniemożliwia to również przeglądarce innej firmy łączenie się z niebezpiecznymi witrynami.

    • Nie skonfigurowano — wyłącz tę funkcję. Użytkownicy i aplikacje nie mogą łączyć się z niebezpiecznymi domenami. Administratorzy nie widzą tego działania w Centrum zabezpieczeń usługi Microsoft Defender.
    • Włącz — włącz ochronę sieci i zablokuj użytkownikom i aplikacjom możliwość łączenia się z niebezpiecznymi domenami. Administrator może zobaczyć to działanie w Centrum zabezpieczeń usługi Microsoft Defender.
    • Tylko inspekcja: — użytkownicy i aplikacje nie mogą łączyć się z niebezpiecznymi domenami. Administrator może zobaczyć to działanie w Centrum zabezpieczeń usługi Microsoft Defender.

Ochrona przed wykorzystywaniem

  • Przekazywanie kodu XML
    Ustawienie domyślne: Nie skonfigurowano

    Aby chronić urządzenia przed lukami w zabezpieczeniach za pomocą funkcji Exploit Protection, utwórz plik XML zawierający odpowiednie ustawienia ograniczania ryzyka dla systemu i aplikacji. Istnieją dwie metody tworzenia pliku XML:

    • PowerShell — użyj co najmniej jednego polecenia cmdlet programu PowerShell Get-ProcessMitigation, Set-ProcessMitigation i ConvertTo-ProcessMitigationPolicy . Polecenia cmdlet konfigurują ustawienia ograniczania ryzyka i eksportują ich reprezentację XML.

    • Centrum zabezpieczeń usługi Microsoft Defender interfejsu użytkownika — w Centrum zabezpieczeń usługi Microsoft Defender wybierz pozycję App & kontrolkę przeglądarki, a następnie przewiń do dołu ekranu wynikowego, aby znaleźć program Exploit Protection. Najpierw użyj kart Ustawienia systemu i Ustawienia programu, aby skonfigurować ustawienia ograniczania ryzyka. Następnie znajdź link Eksportuj ustawienia w dolnej części ekranu, aby wyeksportować ich reprezentację XML.

  • Edytowanie interfejsu ochrony przed lukami w zabezpieczeniach przez użytkownika
    Ustawienie domyślne: Nie skonfigurowano
    ExploitGuard CSP: ExploitProtectionSettings

    • Blokuj — przekaż plik XML, który umożliwia konfigurowanie ograniczeń dotyczących pamięci, przepływu sterowania i zasad. Ustawienia w pliku XML mogą służyć do blokowania aplikacji przed lukami w zabezpieczeniach.
    • Nie skonfigurowano — nie jest używana żadna konfiguracja niestandardowa.

Microsoft Defender kontrolka aplikacji

Wybierz aplikacje, które mają być poddaane inspekcji lub które są zaufane do uruchamiania przez Microsoft Defender Application Control. Składniki systemu Windows i wszystkie aplikacje ze Sklepu Windows są automatycznie zaufane do uruchamiania.

  • Zasady integralności kodu kontroli aplikacji
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca usług kryptograficznych: dostawca CSP funkcji AppLocker

    • Wymuszaj — wybierz zasady integralności kodu kontroli aplikacji dla urządzeń użytkowników.

      Po włączeniu na urządzeniu kontrolkę aplikacji można wyłączyć tylko przez zmianę trybu z Wymuszajna Tylko inspekcja. Zmiana trybu z Wymuszaj na Nies skonfigurowano powoduje, że kontrola aplikacji będzie nadal wymuszana na przypisanych urządzeniach.

    • Nie skonfigurowano — kontrolka aplikacji nie jest dodawana do urządzeń. Jednak ustawienia, które zostały wcześniej dodane, nadal są wymuszane na przypisanych urządzeniach.

    • Tylko inspekcja — aplikacje nie są blokowane. Wszystkie zdarzenia są rejestrowane w dziennikach klienta lokalnego.

      Uwaga

      Jeśli używasz tego ustawienia, zachowanie dostawcy CSP funkcji AppLocker obecnie monituje użytkownika końcowego o ponowne uruchomienie komputera po wdrożeniu zasad.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard chroni przed atakami kradzieży poświadczeń. Izoluje wpisy tajne, dzięki czemu tylko uprzywilejowane oprogramowanie systemowe może uzyskiwać do nich dostęp.

  • Credential Guard
    Ustawienie domyślne: Wyłącz
    DeviceGuard CSP

    • Wyłącz — zdalnie wyłącz funkcję Credential Guard, jeśli została wcześniej włączona z opcją Włączone bez blokady UEFI .

    • Włącz za pomocą blokady UEFI — funkcji Credential Guard nie można wyłączyć zdalnie przy użyciu klucza rejestru lub zasad grupy.

      Uwaga

      Jeśli użyjesz tego ustawienia, a następnie chcesz wyłączyć funkcję Credential Guard, musisz ustawić zasady grupy wyłączone. I fizycznie wyczyścić informacje o konfiguracji UEFI z każdego komputera. Dopóki konfiguracja UEFI będzie się powtarzać, funkcja Credential Guard jest włączona.

    • Włączanie bez blokady UEFI — umożliwia zdalne wyłączenie funkcji Credential Guard przy użyciu zasady grupy. Urządzenia korzystające z tego ustawienia muszą być uruchomione Windows 10 wersji 1511 lub nowszej lub Windows 11.

    Po włączeniu funkcji Credential Guard są również włączone następujące wymagane funkcje:

    • Zabezpieczenia oparte na wirtualizacji (VBS)
      Włącza się podczas następnego ponownego rozruchu. Zabezpieczenia oparte na wirtualizacji używają funkcji Hypervisor systemu Windows do zapewnienia obsługi usług zabezpieczeń.
    • Bezpieczny rozruch z dostępem do pamięci katalogu
      Włącza usługę VBS z zabezpieczeniami bezpiecznego rozruchu i bezpośrednim dostępem do pamięci (DMA). Zabezpieczenia DMA wymagają obsługi sprzętu i są włączone tylko na poprawnie skonfigurowanych urządzeniach.

Centrum zabezpieczeń usługi Microsoft Defender

Centrum zabezpieczeń usługi Microsoft Defender działa jako oddzielna aplikacja lub proces od każdej z poszczególnych funkcji. Wyświetla powiadomienia za pośrednictwem Centrum akcji. Działa jako moduł zbierający lub pojedyncze miejsce, aby wyświetlić stan i uruchomić konfigurację dla każdej z funkcji. Dowiedz się więcej w dokumentacji Microsoft Defender.

Centrum zabezpieczeń usługi Microsoft Defender aplikacji i powiadomień

Blokuj dostęp użytkowników końcowych do różnych obszarów aplikacji Centrum zabezpieczeń usługi Microsoft Defender. Ukrywanie sekcji blokuje również powiązane powiadomienia.

  • Ochrona przed wirusami i zagrożeniami
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP systemu WindowsDefenderSecurityCenter: DisableVirusUI

    Skonfiguruj, czy użytkownicy końcowi mogą wyświetlać obszar Ochrona przed wirusami i zagrożeniami w Centrum zabezpieczeń usługi Microsoft Defender. Ukrycie tej sekcji spowoduje również zablokowanie wszystkich powiadomień związanych z ochroną przed wirusami i zagrożeniami.

    • Nie skonfigurowano
    • Ukryć

  • Ochrona przed oprogramowaniem wymuszającym okup
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP systemu WindowsDefenderSecurityCenter: HideRansomwareDataRecovery

    Skonfiguruj, czy użytkownicy końcowi mogą wyświetlać obszar ochrony przed oprogramowaniem wymuszającym okup w Centrum zabezpieczeń usługi Microsoft Defender. Ukrycie tej sekcji spowoduje również zablokowanie wszystkich powiadomień związanych z ochroną przed oprogramowaniem wymuszającym okup.

    • Nie skonfigurowano
    • Ukryć

  • Ochrona konta
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP systemu WindowsDefenderSecurityCenter: DisableAccountProtectionUI

    Skonfiguruj, czy użytkownicy końcowi mogą wyświetlać obszar Ochrona konta w Centrum zabezpieczeń usługi Microsoft Defender. Ukrycie tej sekcji spowoduje również zablokowanie wszystkich powiadomień związanych z ochroną konta.

    • Nie skonfigurowano
    • Ukryć

  • Zapora i ochrona sieci
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP systemu WindowsDefenderSecurityCenter: DisableNetworkUI

    Skonfiguruj, czy użytkownicy końcowi mogą wyświetlać obszar Zapora i ochrona sieci w centrum zabezpieczeń Microsoft Defender. Ukrycie tej sekcji spowoduje również zablokowanie wszystkich powiadomień związanych z zaporą i ochroną sieci.

    • Nie skonfigurowano
    • Ukryć

  • Kontrolka aplikacji i przeglądarki
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP systemu WindowsDefenderSecurityCenter: DisableAppBrowserUI

    Skonfiguruj, czy użytkownicy końcowi mogą wyświetlać obszar sterowania aplikacjami i przeglądarką w centrum zabezpieczeń Microsoft Defender. Ukrycie tej sekcji spowoduje również zablokowanie wszystkich powiadomień związanych z kontrolą aplikacji i przeglądarki.

    • Nie skonfigurowano
    • Ukryć

  • Ochrona sprzętu
    Ustawienie domyślne: Nie skonfigurowano
    WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

    Skonfiguruj, czy użytkownicy końcowi mogą wyświetlać obszar Ochrona sprzętu w Centrum zabezpieczeń usługi Microsoft Defender. Ukrycie tej sekcji spowoduje również zablokowanie wszystkich powiadomień związanych z ochroną sprzętu.

    • Nie skonfigurowano
    • Ukryć

  • Wydajność i kondycja urządzenia
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP systemu WindowsDefenderSecurityCenter: DisableHealthUI

    Skonfiguruj, czy użytkownicy końcowi mogą wyświetlać obszar Wydajność i kondycja urządzenia w centrum zabezpieczeń Microsoft Defender. Ukrycie tej sekcji spowoduje również zablokowanie wszystkich powiadomień związanych z wydajnością i kondycją urządzenia.

    • Nie skonfigurowano
    • Ukryć

  • Opcje rodziny
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP systemu WindowsDefenderSecurityCenter: DisableFamilyUI

    Skonfiguruj, czy użytkownicy końcowi mogą wyświetlać obszar Opcje rodziny w centrum zabezpieczeń Microsoft Defender. Ukrycie tej sekcji spowoduje również zablokowanie wszystkich powiadomień związanych z opcjami rodziny.

    • Nie skonfigurowano
    • Ukryć

  • Powiadomienia z wyświetlonych obszarów aplikacji
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP systemu WindowsDefenderSecurityCenter: DisableNotifications

    Wybierz powiadomienia, które mają być wyświetlane użytkownikom końcowym. Powiadomienia niekrytyczne obejmują podsumowania działania programu antywirusowego Microsoft Defender, w tym powiadomienia po zakończeniu skanowania. Wszystkie inne powiadomienia są uważane za krytyczne.

    • Nie skonfigurowano
    • Blokuj powiadomienia niekrytyczne
    • Blokuj wszystkie powiadomienia

  • ikona centrum Zabezpieczenia Windows w zasobniku systemowym
    Ustawienie domyślne: Nie skonfigurowano dostawcy CSP WindowsDefenderSecurityCenter: HideWindowsSecurityNotificationAreaControl

    Skonfiguruj wyświetlanie kontrolki obszaru powiadomień. Aby to ustawienie zostało zastosowane, użytkownik musi się wylogować i zalogować lub ponownie uruchomić komputer.

    • Nie skonfigurowano
    • Ukryć

  • Wyczyść przycisk TPM
    Ustawienie domyślne: Nie skonfigurowano dostawcy CSP WindowsDefenderSecurityCenter: DisableClearTpmButton

    Skonfiguruj wyświetlanie przycisku Wyczyść moduł TPM.

    • Nie skonfigurowano
    • Wyłączyć

  • Ostrzeżenie o aktualizacji oprogramowania układowego modułu TPM
    Ustawienie domyślne: Nie skonfigurowano dostawcy CSP WindowsDefenderSecurityCenter: DisableTpmFirmwareUpdateWarning

    Skonfiguruj wyświetlanie aktualizacji oprogramowania układowego modułu TPM po wykryciu podatnego na zagrożenia oprogramowania układowego.

    • Nie skonfigurowano
    • Ukryć

  • Ochrona przed naruszeniami
    Ustawienie domyślne: Nie skonfigurowano

    Włącz lub wyłącz ochronę przed naruszeniami na urządzeniach. Aby korzystać z ochrony przed naruszeniami, musisz zintegrować Ochrona punktu końcowego w usłudze Microsoft Defender z usługą Intune i mieć licencje Enterprise Mobility + Security E5.

    • Nieskonfigurowane — nie wprowadzono żadnych zmian w ustawieniach urządzenia.
    • Włączone — ochrona przed naruszeniami jest włączona, a ograniczenia są wymuszane na urządzeniach.
    • Wyłączone — ochrona przed naruszeniami jest wyłączona i ograniczenia nie są wymuszane.

Informacje kontaktowe IT

Podaj informacje kontaktowe IT, które będą wyświetlane w aplikacji Centrum zabezpieczeń usługi Microsoft Defender i powiadomieniach aplikacji.

Możesz wybrać opcję Wyświetl w aplikacji i w powiadomieniach, Wyświetlaj tylko w aplikacji, Wyświetlaj tylko w powiadomieniach lub Nie wyświetlaj. Wprowadź nazwę organizacji IT i co najmniej jedną z następujących opcji kontaktu:

  • Informacje kontaktowe IT
    Ustawienie domyślne: Nie wyświetlaj
    Dostawca CSP systemu WindowsDefenderSecurityCenter: EnableCustomizedToasts

    Skonfiguruj miejsce wyświetlania informacji kontaktowych IT użytkownikom końcowym.

    • Wyświetlanie w aplikacji i w powiadomieniach
    • Wyświetlanie tylko w aplikacji
    • Wyświetlanie tylko w powiadomieniach
    • Nie wyświetlaj

    Po skonfigurowaniu wyświetlania można skonfigurować następujące ustawienia:

    • Nazwa organizacji IT
      Ustawienie domyślne: Nie skonfigurowano
      Dostawca CSP systemu WindowsDefenderSecurityCenter: CompanyName

    • Numer telefonu działu IT lub identyfikator Skype'a
      Ustawienie domyślne: Nie skonfigurowano
      WindowsDefenderSecurityCenter CSP: Telefon

    • Adres e-mail działu IT
      Ustawienie domyślne: Nie skonfigurowano
      Dostawca CSP systemu WindowsDefenderSecurityCenter: Email

    • Adres URL witryny internetowej pomocy technicznej IT
      Ustawienie domyślne: Nie skonfigurowano
      Dostawca CSP systemu WindowsDefenderSecurityCenter: adres URL

Opcje zabezpieczeń urządzeń lokalnych

Te opcje umożliwiają skonfigurowanie lokalnych ustawień zabezpieczeń na urządzeniach Windows 10/11.

Konta

  • Dodawanie nowych kont Microsoft
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: Accounts_BlockMicrosoftAccounts

    • Bloku Uniemożliwiaj użytkownikom dodawanie nowych kont Microsoft do urządzenia.
    • Nieskonfigurowane — użytkownicy mogą używać kont Microsoft na urządzeniu.

  • Zdalne logowanie bez hasła
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Blokuj — zezwalaj na logowanie się przy użyciu klawiatury urządzenia tylko na kontach lokalnych z pustymi hasłami.
    • Nieskonfigurowane — zezwalaj kontom lokalnym z pustymi hasłami na logowanie się z lokalizacji innych niż urządzenie fizyczne.

Administrator

  • Konto administratora lokalnego
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Bloku Zapobiegaj używaniu konta administratora lokalnego.
    • Nie skonfigurowano

  • Zmienianie nazwy konta administratora
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: Accounts_RenameAdministratorAccount

    Zdefiniuj inną nazwę konta, która ma być skojarzona z identyfikatorem zabezpieczeń (SID) dla konta "Administrator".

Opinie gości

  • Konto gościa
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: LocalPoliciesSecurityOptions

    • Blokuj — uniemożliwia korzystanie z konta gościa.
    • Nie skonfigurowano

  • Zmienianie nazwy konta gościa
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: Accounts_RenameGuestAccount

    Zdefiniuj inną nazwę konta, która ma być skojarzona z identyfikatorem zabezpieczeń (SID) dla konta "Gość".

Urządzeń

  • Oddokuj urządzenie bez logowania
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: Devices_AllowUndockWithoutHavingToLogon

    • Blokuj — użytkownik musi zalogować się do urządzenia i otrzymać uprawnienie do oddokładowywania urządzenia.
    • Nie skonfigurowano — użytkownicy mogą nacisnąć fizyczny przycisk wysuwania zadokowanego urządzenia przenośnego, aby bezpiecznie oddokować urządzenie.

  • Instalowanie sterowników drukarek dla drukarek udostępnionych
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

    • Włączone — każdy użytkownik może zainstalować sterownik drukarki w ramach nawiązywania połączenia z drukarką udostępnioną.
    • Nie skonfigurowano — tylko administratorzy mogą zainstalować sterownik drukarki w ramach nawiązywania połączenia z drukarką udostępnioną.

  • Ograniczanie dostępu do dysku CD-ROM dla aktywnego użytkownika lokalnego
    Ustawienie domyślne: Nie skonfigurowano
    Zasady zabezpieczeń zawartości: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

    • Włączone — tylko zalogowany interaktywnie użytkownik może korzystać z nośnika CD-ROM. Jeśli te zasady są włączone i nikt nie jest zalogowany interaktywnie, dostęp do dysku CD-ROM jest uzyskiwany za pośrednictwem sieci.
    • Nie skonfigurowano — każdy ma dostęp do dysku CD-ROM.

  • Formatowanie i wysuwanie nośnika wymiennego
    Ustawienie domyślne: Administratorzy
    Zasady zabezpieczeń zawartości: Devices_AllowedToFormatAndEjectRemovableMedia

    Zdefiniuj, kto może formatować i wyrzucać wymienne nośniki NTFS:

    • Nie skonfigurowano
    • Administratorzy
    • Administratorzy i użytkownicy usługi Power Users
    • Administratorzy i użytkownicy interaktywni

Interakcyjne

  • Minuty braku aktywności ekranu blokady do momentu aktywowania wygaszacza ekranu
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: InteractiveLogon_MachineInactivityLimit

    Wprowadź maksymalną liczbę minut braku aktywności do momentu aktywowania wygaszacz ekranu. (0 - 99999)

  • Wymagaj ctrl+ALT+DEL, aby się zalogować
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotRequireCTRLALTDEL

    • Włącz — wymagaj od użytkowników naciśnięcia klawiszy CTRL+ALT+DEL przed zalogowaniem się do systemu Windows.
    • Nie skonfigurowano — naciśnięcie klawiszy CTRL+ALT+DEL nie jest wymagane do logowania użytkowników.

  • Zachowanie usuwania karty inteligentnej
    Ustawienie domyślne: Brak akcji LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

    Określa, co się stanie, gdy karta inteligentna zalogowanego użytkownika zostanie usunięta z czytnika kart inteligentnych. Dostępne opcje:

    • Zablokuj stację roboczą — stacja robocza jest zablokowana po usunięciu karty inteligentnej. Ta opcja pozwala użytkownikom opuścić obszar, zabrać ze sobą kartę inteligentną i nadal obsługiwać chronioną sesję.
    • Brak akcji
    • Wymuś wylogowanie — użytkownik jest automatycznie wylogowowany po usunięciu karty inteligentnej.
    • Rozłącz, jeśli sesja usług pulpitu zdalnego — usunięcie karty inteligentnej rozłączy sesję bez wylogowywania użytkownika. Ta opcja umożliwia użytkownikowi wstawienie karty inteligentnej i wznowienie sesji później lub na innym komputerze wyposażonym w czytnik kart inteligentnych bez konieczności ponownego logowania. Jeśli sesja jest lokalna, te zasady działają identycznie jak Blokada stacji roboczej.

Wyświetl

  • Informacje o użytkowniku na ekranie blokady
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

    Skonfiguruj informacje o użytkowniku wyświetlane po zablokowaniu sesji. Jeśli nie skonfigurowano, wyświetlana jest nazwa wyświetlana użytkownika, domena i nazwa użytkownika.

    • Nie skonfigurowano
    • Nazwa wyświetlana użytkownika, domena i nazwa użytkownika
    • Tylko nazwa wyświetlana użytkownika
    • Nie wyświetlaj informacji o użytkowniku

  • Ukryj ostatniego zalogowanego użytkownika
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayLastSignedIn

    • Włącz — ukryj nazwę użytkownika.
    • Nie skonfigurowano — pokaż ostatnią nazwę użytkownika.

  • Ukryj nazwę użytkownika przy domyślnym logowanie: nieskonfigurowane
    Dostawca CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayUsernameAtSignIn

    • Włącz — ukryj nazwę użytkownika.
    • Nie skonfigurowano — pokaż ostatnią nazwę użytkownika.

  • Tytuł komunikatu logowania
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

    Ustaw tytuł komunikatu dla użytkowników logujących się.

  • Tekst wiadomości logowania
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

    Ustaw tekst wiadomości dla użytkowników logujących się.

Dostęp do sieci i zabezpieczenia

  • Dostęp anonimowy do nazwanych potoków i udziałów
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

    • Nieskonfigurowane — ograniczanie dostępu anonimowego do ustawień udostępniania i nazwanych potoków. Dotyczy ustawień, do których można uzyskać dostęp anonimowo.
    • Blokuj — wyłącz te zasady, udostępniając dostęp anonimowy.

  • Anonimowe wyliczanie kont SAM
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

    • Nieskonfigurowane — użytkownicy anonimowi mogą wyliczać konta SAM.
    • Blokuj — zapobiegaj anonimowemu wyliczaniem kont SAM.

  • Anonimowe wyliczenie kont SAM i udziałów
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

    • Nieskonfigurowane — użytkownicy anonimowi mogą wyliczać nazwy kont domeny i udziałów sieciowych.
    • Blokuj — zapobiegaj anonimowemu wyliczaniem kont SAM i udziałów.

  • Wartość skrótu programu LAN Manager przechowywana podczas zmiany hasła
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

    Ustal, czy wartość skrótu haseł jest przechowywana przy następnej zmianie hasła.

    • Nie skonfigurowano — wartość skrótu nie jest przechowywana
    • Blokuj — menedżer LAN (LM) przechowuje wartość skrótu dla nowego hasła.

  • Żądania uwierzytelniania PKU2U
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: NetworkSecurity_AllowPKU2UAuthenticationRequests

    • Nie skonfigurowano — zezwalaj na żądania PU2U.
    • Blokuj — blokuj żądania uwierzytelniania PKU2U do urządzenia.

  • Ograniczanie zdalnych połączeńReja
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

    • Nie skonfigurowano — użyj domyślnego deskryptora zabezpieczeń, który może zezwalać użytkownikom i grupom na wykonywanie zdalnych wywołań RPC do sam.

    • Zezwalaj — uniemożliwia użytkownikom i grupom wykonywanie zdalnych wywołań RPC do Menedżera kont zabezpieczeń (SAM), który przechowuje konta użytkowników i hasła. Ustawienie Zezwalaj umożliwia również zmianę domyślnego ciągu języka SDDL (Security Descriptor Definition Language) na jawne zezwalanie użytkownikom i grupom na wykonywanie tych zdalnych wywołań lub odmawianie ich wykonywania.

      • Deskryptor zabezpieczeń
        Ustawienie domyślne: Nie skonfigurowano

  • Minimalne zabezpieczenia sesji dla klientów opartych na programie SSP NTLM
    Wartość domyślna: Brak
    Dostawca CSP LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

    To ustawienie zabezpieczeń umożliwia serwerowi wymaganie negocjacji 128-bitowego szyfrowania i/lub zabezpieczeń sesji NTLMv2.

    • Brak
    • Wymagaj zabezpieczeń sesji NTLMv2
    • Wymagaj szyfrowania 128-bitowego
    • Szyfrowanie NTLMv2 i 128-bitowe

  • Minimalne zabezpieczenia sesji dla serwera SSP NTLM
    Wartość domyślna: Brak
    Dostawca CSP LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

    To ustawienie zabezpieczeń określa, który protokół uwierzytelniania challenge/response jest używany do logowania do sieci.

    • Brak
    • Wymagaj zabezpieczeń sesji NTLMv2
    • Wymagaj szyfrowania 128-bitowego
    • Szyfrowanie NTLMv2 i 128-bitowe

  • Poziom uwierzytelniania menedżera SIECI LAN
    Ustawienie domyślne: LM i NTLM
    Dostawca CSP LocalPoliciesSecurityOptions: NetworkSecurity_LANManagerAuthenticationLevel

    • LM i NTLM
    • LM, NTLM i NTLMv2
    • NTLM
    • NTLMv2
    • NTLMv2, a nie LM
    • NTLMv2, a nie LM lub NTLM

  • Niezabezpieczone logowanie gościa
    Ustawienie domyślne: Nie skonfigurowano
    LanmanWorkstation CSP: LanmanWorkstation

    Jeśli to ustawienie zostanie włączone, klient SMB odrzuci niezabezpieczone logowania gościa.

    • Nie skonfigurowano
    • Blokuj — klient SMB odrzuca niezabezpieczone logowania gościa.

Konsola odzyskiwania i zamykanie

  • Wyczyść plik stronicowania pamięci wirtualnej podczas zamykania
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: Shutdown_ClearVirtualMemoryPageFile

    • Włącz — wyczyść plik stronicowania pamięci wirtualnej, gdy urządzenie jest wyłączone.
    • Nie skonfigurowano — nie czyści pamięci wirtualnej.

  • Zamykanie bez logowania
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

    • Blokuj — ukryj opcję zamykania na ekranie logowania systemu Windows. Użytkownicy muszą zalogować się do urządzenia, a następnie zamknąć.
    • Nie skonfigurowano — zezwalaj użytkownikom na zamykanie urządzenia z ekranu logowania systemu Windows.

Kontrola konta użytkownika

  • Integralność interfejsu użytkownika bez bezpiecznej lokalizacji
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Blokuj — aplikacje znajdujące się w bezpiecznej lokalizacji w systemie plików będą uruchamiane tylko z integralnością funkcji UIAccess.
    • Nieskonfigurowane — umożliwia aplikacjom uruchamianie z integralnością funkcji UIAccess, nawet jeśli aplikacje nie są w bezpiecznej lokalizacji w systemie plików.

  • Wirtualizowanie błędów zapisu plików i rejestru w lokalizacjach poszczególnych użytkowników
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

    • Włączone — aplikacje zapisujące dane w chronionych lokalizacjach nie powiodły się.
    • Nie skonfigurowano — błędy zapisu aplikacji są przekierowywane w czasie wykonywania do zdefiniowanych lokalizacji użytkowników dla systemu plików i rejestru.

  • Podnieś poziom tylko plików wykonywalnych, które są podpisane i zweryfikowane
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Włączone — wymuś weryfikację ścieżki certyfikacji infrastruktury kluczy publicznych dla pliku wykonywalnego, zanim będzie można go uruchomić.
    • Nieskonfigurowane — nie wymuszaj weryfikacji ścieżki certyfikacji infrastruktury kluczy publicznych przed uruchomieniem pliku wykonywalnego.

Zachowanie monitu o podniesienie uprawnień interfejsu użytkownika

  • Monit o podniesienie uprawnień dla administratorów
    Ustawienie domyślne: monituj o zgodę dla plików binarnych innych niż Windows
    Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

    Zdefiniuj zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania Administracja.

    • Nie skonfigurowano
    • Podwyższaj poziom bez monitowania
    • Monituj o poświadczenia na bezpiecznym pulpicie
    • Monituj o poświadczenia
    • Monituj o zgodę
    • Monituj o zgodę dla plików binarnych innych niż Windows

  • Monit o podniesienie uprawnień dla użytkowników standardowych
    Ustawienie domyślne: Monituj o poświadczenia
    Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

    Zdefiniuj zachowanie monitu o podniesienie uprawnień dla użytkowników standardowych.

    • Nie skonfigurowano
    • Automatyczne odrzucanie żądań podniesienia uprawnień
    • Monituj o poświadczenia na bezpiecznym pulpicie
    • Monituj o poświadczenia

  • Kierowanie monitów o podniesienie uprawnień do pulpitu interaktywnego użytkownika
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

    • Włączone — wszystkie żądania podniesienia uprawnień, aby przejść do pulpitu użytkownika interaktywnego, a nie do bezpiecznego pulpitu. Wszystkie ustawienia zasad zachowania monitu dla administratorów i użytkowników standardowych są używane.
    • Nieskonfigurowane — wymuszaj, aby wszystkie żądania podniesienia uprawnień przechodziły do bezpiecznego pulpitu, niezależnie od ustawień zasad zachowania monitu dla administratorów i użytkowników standardowych.

  • Monit z podwyższonym poziomem uprawnień dla instalacji aplikacji
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

    • Włączone — pakiety instalacyjne aplikacji nie są wykrywane ani monitowane o podniesienie uprawnień.
    • Nie skonfigurowano — użytkownicy są monitowane o podanie nazwy użytkownika administracyjnego i hasła, gdy pakiet instalacyjny aplikacji wymaga podwyższonego poziomu uprawnień.

  • Monit o podniesienie uprawnień interfejsu użytkownika bez bezpiecznego pulpitu
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

  • Włącz — zezwalaj aplikacjom funkcji UIAccess na monitowanie o podniesienie uprawnień bez korzystania z bezpiecznego pulpitu.

  • Nie skonfigurowano — monity o podniesienie uprawnień używają bezpiecznego pulpitu.

tryb zatwierdzania Administracja

  • tryb zatwierdzania Administracja dla wbudowanego administratora
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_UseAdminApprovalMode

    • Włączone — zezwala wbudowanemu kontu administratora na używanie trybu zatwierdzania Administracja. Każda operacja wymagająca podniesienia uprawnień monituje użytkownika o zatwierdzenie operacji.
    • Nie skonfigurowano — uruchamia wszystkie aplikacje z pełnymi uprawnieniami administratora.

  • Uruchamianie wszystkich administratorów w trybie zatwierdzania Administracja
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

    • Włączone — włącz tryb zatwierdzania Administracja.
    • Nieskonfigurowane — wyłącz tryb zatwierdzania Administracja i wszystkie powiązane ustawienia zasad funkcji UAC.

Klient sieci firmy Microsoft

  • Podpisz cyfrowo komunikację (jeśli serwer wyrazi zgodę)
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

    Określa, czy klient SMB negocjuje podpisywanie pakietów SMB.

    • Blokuj — klient SMB nigdy nie negocjuje podpisywania pakietów SMB.
    • Nie skonfigurowano — klient sieci firmy Microsoft prosi serwer o uruchomienie podpisywania pakietów SMB podczas konfiguracji sesji. Jeśli podpisywanie pakietów jest włączone na serwerze, podpisywanie pakietów jest negocjowane.

  • Wysyłanie niezaszyfrowanego hasła do serwerów SMB innych firm
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

    • Blokuj — przekierowanie bloku komunikatów serwera (SMB) może wysyłać hasła w postaci zwykłego tekstu do serwerów SMB innych niż Microsoft, które nie obsługują szyfrowania haseł podczas uwierzytelniania.
    • Nie skonfigurowano — blokuj wysyłanie haseł w postaci zwykłego tekstu. Hasła są szyfrowane.

  • Podpisz cyfrowo komunikację (zawsze)
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

    • Włącz — klient sieci firmy Microsoft nie komunikuje się z serwerem sieciowym firmy Microsoft, chyba że ten serwer zgadza się na podpisywanie pakietów SMB.
    • Nie skonfigurowano — podpisywanie pakietów SMB jest negocjowane między klientem a serwerem.

Microsoft Network Server

  • Podpisz cyfrowo komunikację (jeśli klient wyrazi na to zgodę)
    Ustawienie domyślne: Nie skonfigurowano
    Zasady zabezpieczeń zawartości: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

    • Włącz — serwer sieci firmy Microsoft negocjuje podpisywanie pakietów SMB zgodnie z żądaniem klienta. Oznacza to, że jeśli podpisywanie pakietów jest włączone na kliencie, podpisywanie pakietów jest negocjowane.
    • Nie skonfigurowano — klient SMB nigdy nie negocjuje podpisywania pakietów SMB.

  • Podpisz cyfrowo komunikację (zawsze)
    Ustawienie domyślne: Nie skonfigurowano
    Dostawca usług kryptograficznych: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

    • Włącz — serwer sieci firmy Microsoft nie komunikuje się z klientem sieci firmy Microsoft, chyba że klient wyrazi zgodę na podpisywanie pakietów SMB.
    • Nie skonfigurowano — podpisywanie pakietów SMB jest negocjowane między klientem a serwerem.

Usługi Xbox

Następne kroki

Profil został utworzony, ale jeszcze nic nie robi. Następnie przypisz profil i monitoruj jego stan.

Konfigurowanie ustawień ochrony punktu końcowego na urządzeniach z systemem macOS .