Capacidades na Pré-visualização Técnica 1710 para Gestor de Configuração

  • Artigo

Aplica-se a: Gestor de Configuração (ramo de pré-visualização técnica)

Este artigo introduz as funcionalidades disponíveis na Pré-visualização Técnica para Gestor de Configuração, versão 1710. Pode instalar esta versão para atualizar e adicionar novas capacidades ao seu site de pré-visualização técnica do Gestor de Configuração. Antes de instalar esta versão da pré-visualização técnica, reveja a Pré-visualização Técnica do Gestor de Configuração para se familiarizar com os requisitos gerais e limitações para a utilização de uma pré-visualização técnica, como atualizar entre versões e como fornecer feedback sobre as funcionalidades numa pré-visualização técnica.

Questões conhecidas nesta Pré-visualização Técnica:

  • Suporte para Windows 10, versão 1709 (também conhecida como Atualização de Criadores de outono). A partir deste Windows lançamento, Windows meios de comunicação inclui várias edições. Ao configurar uma sequência de tarefas para utilizar um pacote de atualização do sistema operativo ou imagem do sistema operativo, certifique-se de selecionar uma edição que seja suportada para utilização pelo Gestor de Configuração.

  • A atualização para uma nova versão de pré-visualização falha quando tem um servidor de site em modo passivo. Quando executar uma versão de pré-visualização que tenha um servidor de site primário em modo passivo,tem de desinstalar o servidor do site do modo passivo antes de poder atualizar com sucesso o seu site de pré-visualização para esta nova versão de pré-visualização. Pode reinstalar o servidor do site do modo passivo depois de o seu site concluir a atualização.

    Para desinstalar o servidor do site do modo passivo:

    1. Na consola aceda a Servidores de Configuração do Site de Visão Geral da Administração > > > e funções do sistema de site, e, em seguida, selecione o servidor do site do modo passivo.
    2. No painel 'Funções do Sistema de Sítio', clique no botão direito na função do servidor do Site e, em seguida, escolha Remover Função.
    3. Clique com o botão direito no servidor do site do modo passivo e, em seguida, escolha Eliminar.
    4. Após o servidor do site desinstalar, no servidor do site primário ativo reinicia o serviço CONFIGURATION_MANAGER_UPDATE.

Seguem-se novas funcionalidades que pode experimentar com esta versão.

Melhorias para implementar Scripts PowerShell do Gestor de Configuração

Com esta versão, os scripts PowerShell que implementa agora suportam a utilização das seguintes melhorias:

  • Âmbitos de Segurança. Os scripts agora usam âmbitos de segurança para controlar a autoria e execução de scripts. Isto é feito através da atribuição de tags que representam grupos de utilizadores. Para obter mais informações sobre a utilização de âmbitos de segurança, consulte a administração baseada em funções configure para o Gestor de Configuração.
  • Monitorização em tempo real. Quando monitorizas a execução de um guião, está agora em tempo real à medida que o script é executado.
  • Validação de parâmetros. Cada parâmetro no seu script tem um diálogo Script Parameter Properties para que possa adicionar validação para esse parâmetro. Após a adição de validação, deverá obter erros se estiver a introduzir um valor para um parâmetro que não satisfaça a sua validação.

A implementação de scripts PowerShell foi introduzida pela primeira vez na Preview Tech Preview 1706. Foram introduzidas melhorias adicionais com o Tech Preview 1707 e, em seguida, o Tech Preview 1708.

Experimente!

Para experimentar utilizando a funcionalidade 'Scripts' de execução, consulte Criar e executar scripts.

Limitar Windows 10 Dados melhorados apenas para enviar dados relevantes para Windows a saúde do dispositivo de análise

Com esta versão, pode agora definir o nível de recolha de dados de diagnóstico Windows 10 para Enhanced (Limited). Esta definição permite-lhe obter uma visão acccídita sobre dispositivos no seu ambiente sem que os dispositivos reportem todos os dados no nível Melhorado com Windows 10 versão 1709 ou posterior.

O nível melhorado (limitado) inclui métricas a partir do nível básico, bem como um subconjunto de dados recolhidos do nível melhorado relevante para Windows Analytics.

O Software Center já não distorce ícones maiores do que 250x250

Com esta versão, o Software Center deixará de distorcer ícones que sejam maiores do que 250x250. O Software Center fez com que tais ícones parecendo desfocados. Agora pode definir um ícone com uma dimensão de pixel de até 512x512, e apresenta-se sem distorção.

Experimente!

Adicione um ícone para a sua aplicação no Software Center. Para experimentá-lo ver Criar aplicações.

Verifique a conformidade do Software Center para dispositivos cogeridos

Nesta versão, os utilizadores podem utilizar o Software Center para verificar a conformidade dos seus dispositivos de Windows 10 cogeridos, mesmo quando o acesso condicional é gerido pela Intune. Para mais informações, consulte a cogestão para dispositivos Windows 10.

Apoio à Guarda de Exploração

Esta versão adiciona suporte para Windows Defender Exploit Guard. Pode configurar e implementar políticas que gerem os quatro componentes da Exploit Guard. Estes componentes incluem:

  • Redução da Superfície de Ataque
  • Acesso a pastas controladas
  • Exploit Protection
  • Proteção de rede

Os dados de conformidade para a implementação da política da Exploit Guard estão disponíveis a partir da consola Do Gestor de Configuração.

Para obter mais informações sobre a Proteção de Exploração e componentes e regras específicos, consulte Windows Defender Exploit Guard na biblioteca de documentação Windows.

Pré-requisitos

Os dispositivos geridos devem ser executados Windows 10 1709 Fall Creators Update ou mais tarde e satisfazer os seguintes requisitos dependendo dos componentes e regras configurados:

Explorar componente da Guarda Pré-requisitos adicionais
Redução da Superfície de Ataque Os dispositivos devem ter Windows Defender proteção em tempo real ativada.
Acesso a pastas controladas Os dispositivos devem ter Windows Defender proteção em tempo real ativada.
Exploit Protection Nenhuma
Proteção de rede Os dispositivos devem ter Windows Defender proteção em tempo real ativada.

Criar uma política de Guarda de Exploração

  1. Na consola 'Gestor de Configuração', aceda a Ativos e compliance > Endpoint Protection e, em seguida, clique em Windows Defender Exploit Guard.
  2. No separador Casa, no grupo Criar, clique em Criar Política de Exploração.
  3. Na página Geral do Assistente de Criação de Item de Configuração, especifique um nome e uma descrição opcional para o item de configuração.
  4. Em seguida, selecione os componentes da Proteção de Exploração que pretende gerir com esta política. Para cada componente que selecionar, pode então configurar detalhes adicionais.
    • Redução da superfície de ataque: Configure a ameaça Office, ameaças de script e ameaças de e-mail que pretende bloquear ou auditar. Também pode excluir ficheiros ou pastas específicos desta regra.
    • Acesso de pasta controlada: Configure o bloqueio ou a auditoria e, em seguida, adicione Apps que possam contornar esta política. Também pode especificar pastas adicionais que não estão protegidas por defeito.
    • Proteção de exploração: Especifique um ficheiro XML que contenha configurações para atenuar as explorações de processos e aplicações do sistema. Pode exportar estas definições a partir da aplicação Windows Defender Security Center num dispositivo Windows 10.
    • Proteção da rede: Desconfie a proteção da rede para bloquear ou auditar o acesso a domínios suspeitos.
  5. Preencha o assistente para criar a política, que pode ser implementada mais tarde nos dispositivos.

Implementar uma política de Guarda de Exploração

Depois de criar as políticas de Proteção de Exploração, utilize o assistente de política de proteção de exploração de implementação para as implementar. Para tal, abra a consola Do Gestor de Configuração para Ativos e compliance > Endpoint Protection e, em seguida, clique em Implementar a Política de Guarda de Exploração.

Suporte limitado para certificados de CNG

A partir desta versão, pode agora utilizar modelos de certificados Cryptography API: Next Generation (CNG) para os seguintes cenários:

  • Registo e comunicação do cliente com um ponto de gestão HTTPS.
  • Distribuição de software e implementação de aplicações com um ponto de distribuição HTTPS.
  • Implementação do sistema operativo.
  • Mensagens de cliente SDK (com a mais recente atualização) e Proxy ISV.
  • Configuração do Gateway de Gestão de Nuvem.

Para utilizar certificados de CNG, a sua autoridade de certificação (CA) precisa de fornecer modelos de certificados de CNG para máquinas-alvo. Os detalhes do modelo variam de acordo com o cenário; no entanto, são necessárias as seguintes propriedades:

  • Separador de compatibilidade

    • A Autoridade de Certificados deve ser Windows Server 2008 ou posterior. (Windows Server 2012 é recomendado.)

    • O destinatário do certificado deve ser Windows Vista/Servidor 2008 ou posterior. (recomenda-se Windows 8/Windows Server 2012.)

  • Separador criptografia

    • A categoria de fornecedor deve ser o Fornecedor chave Armazenamento. (Obrigatório)

Para obter os melhores resultados, recomendamos a construção do Nome do Assunto a partir de informações do Ative Directory. Utilize o nome DNS para o formato nome do assunto e inclua o nome DNS no nome do sujeito alternativo. Caso contrário, tem de fornecer esta informação quando o dispositivo se inscreve no perfil do certificado.

Descrições melhoradas para o recomeço do computador pendente

Na pré-visualização técnica 1708,acrescentámos a capacidade de identificar dispositivos que estão pendentes de um reinício a partir da consola Do Gestor de Configuração.

A partir desta pré-visualização técnica, a consola apresenta detalhes adicionais que fornecem informações sobre o processo ou ação que está a solicitar o reboot.

Alterações na política da Guarda de Dispositivos

Com a construção de pré-visualização técnica de 1710, foram feitas as seguintes três alterações em relação às políticas da Proteção de Dispositivos:

Políticas da Proteção de Dispositivos renomeadas para Windows Defender políticas de Controlo de Aplicações

As políticas da Proteção de Dispositivos foram renomeadas para Windows Defender políticas de Controlo de Aplicações. Assim, por exemplo, o assistente de política create device guard é agora chamado Criar Windows Defender assistente de política de controlo de aplicações.

O reinício não é necessário para aplicar políticas

A partir da Atualização de Criadores de outono para Windows versão 1709, os dispositivos que utilizam a nova versão do Windows não necessitam de reiniciar a aplicação das políticas de Controlo de Aplicações Windows Defender.

Reiniciar é o padrão.

Experimente!

Se quiser desligar o recomeço, siga estes passos:

  1. Abra o assistente de política de controlo de aplicações create Windows Defender.
  2. Na página geral, limpe a caixa de verificação para impor um reinício dos dispositivos para que esta política possa ser aplicada para todos os processos.
  3. Clique em seguida até que o assistente esteja completo.

Para versões mais antigas de Windows, ainda é aplicado um reinício automatizado.

Executar automaticamente software confiável pela Graph de Segurança Inteligente

Os administradores têm agora a opção de permitir que dispositivos bloqueados executem software fidedigno com uma boa reputação determinada pelo Microsoft Intelligent Security Graph (ISG). O ISG é composto por Windows Defender SmartScreen e outros serviços Microsoft.

Os dispositivos devem estar a funcionar Windows Defender SmartScreen para que o software seja confiável.

Experimente!

Para permitir que um dispositivo em funcionamento Windows Defender smartScreen executar software fidedigno, siga estes passos:

  1. Abra o assistente de política de controlo de aplicações create Windows Defender.
  2. Na página Inclusãos, verifique a caixa para software autorizado que é fidedigno pela Graph de Segurança Inteligente.
  3. Nos ficheiros ou na caixa de pastas Trust, adicione os ficheiros e pastas em que pretende ser de confiança.
  4. Clique em seguida até que o assistente esteja completo.

Configurar e implementar políticas de Windows Defender Application Guard

Windows Defender Application Guard é uma nova funcionalidade Windows que ajuda a proteger os seus utilizadores abrindo web sites não fided os falsos num recipiente isolado seguro que não é acessível por outras partes do sistema operativo. Nesta pré-visualização técnica, adicionámos suporte para configurar esta funcionalidade utilizando as definições de conformidade do Gestor de Configuração que configura e, em seguida, implantamos numa coleção. Esta funcionalidade será lançada em pré-visualização para a versão de 64 bits da Windows 10 Creator's Update. Para testar esta funcionalidade agora, deve estar a utilizar uma versão de pré-visualização desta atualização.

Antes de começar

Para criar e implementar políticas Windows Defender Application Guard, os dispositivos Windows 10 para os quais implementa a política devem ser configurados com uma política de isolamento de rede. Para mais informações, consulte o post de blog referenciado mais tarde. Esta capacidade funciona apenas com a atual construção de Windows 10 Insider. Para testá-lo, os seus clientes devem estar a executar uma Windows 10 recente da Insider Build.

Experimente!

Para compreender o básico sobre Windows Defender Application Guard, leia a publicação do blog.

Para criar uma política e navegar nas definições disponíveis:

  1. Na consola 'Gestor de Configuração', escolha Ativos e Conformidade.

  2. No espaço de trabalho Ativos e Conformidade, escolha a Windows Defender Application Guard > de Proteção de Pontos > Finais.

  3. No separador Casa, no grupo Criar, clique em Criar Windows Defender Application Guard Política.

  4. Utilizando o post de blog como referência, pode navegar e configurar as definições disponíveis para experimentar a funcionalidade.

  5. Nesta versão, adicionámos a nova página de Definição de Rede ao assistente. Aqui, especifique a identidade corporativa e defina o limite da sua rede corporativa.

    Nota

    Windows 10 Os computadores armazenam apenas uma lista de isolamento de rede no cliente. Nesta versão, pode criar dois tipos diferentes de listas de isolamento de rede (uma de Windows Proteção de Informação e outra de Windows Defender Application Guard), e implantá-las para o cliente. Se implementar ambas as políticas, estas listas de isolamento de rede devem coincidir. Se implementar listas que não correspondam ao mesmo cliente, a implementação falhará.

    Pode encontrar mais informações sobre como especificar definições de rede na documentação [Windows Proteção de Informação]- Proteja os dados da sua empresa utilizando Windows Proteção de Informação (WIP).

  6. Quando terminar, complete o assistente e desloque a política para um ou mais dispositivos Windows 10.

Leitura adicional

Para ler mais sobre Windows Defender Application Guard, consulte esta publicação de blog. Além disso, para saber mais sobre Windows Defender Application Guard modo Autónomo, consulte esta publicação de blog.

Passos Seguintes

Para obter informações sobre a instalação ou atualização do ramo de pré-visualização técnica, consulte pré-visualização técnica para o Gestor de Configuração.