CSP de Política – Segurança
Políticas de segurança
- Security/AllowAddProvisioningPackage
- Security/AllowAutomaticDeviceEncryptionForAzureADJoinedDevices
- Security/AllowRemoveProvisioningPackage
- Security/ClearTPMIfNotReady
- Security/ConfigureWindowsPasswords
- Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
- Security/RecoveryEnvironmentAuthentication
- Security/RequireDeviceEncryption
- Security/RequireProvisioningPackageSignature
- Security/RequireRetrieveHealthCertificateOnBoot
Security/AllowAddProvisioningPackage
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Não | Não |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Especifica se o agente de configuração de runtime deve instalar pacotes de provisionamento.
A lista a seguir mostra os valores com suporte:
- 0 – Não permitido.
- 1 (padrão) – Permitido.
Security/AllowAutomaticDeviceEncryptionForAzureADJoinedDevices
Observação
- Essa política foi preterida no Windows 10, versão 1607.
Especifica se é necessário permitir a criptografia automática de dispositivo durante o OOBE quando o dispositivo é Azure AD ingressado.
A lista a seguir mostra os valores com suporte:
- 0 – Não permitido.
- 1 (padrão) – Permitido.
Security/AllowRemoveProvisioningPackage
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Não | Não |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Especifica se o agente de configuração de runtime deve remover pacotes de provisionamento.
A lista a seguir mostra os valores com suporte:
- 0 – Não permitido.
- 1 (padrão) – Permitido.
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | ||
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
O acesso de administrador é necessário. O prompt será exibido no primeiro logon de administrador após uma reinicialização, quando o TPM estiver em um estado não pronto que possa ser corrigido com um TPM Clear. O prompt terá uma descrição do que limpar o TPM faz e que requer uma reinicialização. O usuário pode ignorá-lo, mas ele aparecerá no próximo logon do administrador após a reinicialização.
Informações do ADMX:
- Nome amigável da GP: configure o sistema para limpar o TPM se ele não estiver em um estado pronto.
- Nome da Política de Grupo: ClearTPMIfNotReady_Name
- Caminho da Política de Grupo: Serviços de Módulo de Plataforma Confiável/Sistema
- Nome do arquivo ADMX da GP: TPM.admx
A lista a seguir mostra os valores com suporte:
- 0 (padrão) – não forçará a recuperação de um estado TPM não pronto.
- 1 – Solicitará a limpeza do TPM, se o TPM estiver em um estado não pronto (ou funcionalidade reduzida) que pode ser corrigido com um TPM Clear.
Security/ConfigureWindowsPasswords
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Não | Não |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Configura o uso de senhas para Windows recursos.
Observação
Essa política só tem suporte no Windows 10 S.
A lista a seguir mostra os valores com suporte:
- 0 - Não permitir senhas (as credenciais assimétricas serão promovidas para substituir senhas em Windows recursos).
- 1- Permitir senhas (as senhas continuam a ser permitidas para serem usadas para Windows recursos).
- 2- Padrão (o recurso usa como padrão de acordo com o SKU e os recursos do dispositivo. Windows 10 dispositivos S exibirão o padrão "Não permitir senhas" e todos os outros dispositivos terão como padrão "Permitir senhas").
Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Não | Não |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Adicionado no Windows 10, versão 1607 para substituir a política preterida Security/AllowAutomaticDeviceEncryptionForAzureADJoinedDevices.
Especifica se é necessário permitir a criptografia automática de dispositivo durante o OOBE quando o dispositivo é Azure AD ingressado.
A lista a seguir mostra os valores com suporte:
- 0 (padrão) – Criptografia habilitada.
- 1 – Criptografia desabilitada.
Security/RecoveryEnvironmentAuthentication
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Não | Não |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Usuário
- Dispositivo
Essa política controla o requisito de Autenticação de Administrador no RecoveryEnvironment.
Valores com suporte:
- 0 – Padrão: continue usando o comportamento padrão (atual).
- 1 - RequireAuthentication: a autenticação de administrador é sempre necessária para componentes no RecoveryEnvironment.
- 2 - NoRequireAuthentication: a Autenticação de Administrador não é necessária para componentes no RecoveryEnvironment.
Procedimento de validação
A validação requer uma verificação se Atualizar ("Manter meus arquivos") e Redefinir ("Remover tudo") requer autenticação de administrador no WinRE. O processo de iniciar a PBR (Redefinição de Botão de Push) no WinRE:
- Abra um cmd como Administrador, execute o comando "restartc /boottore" e reinicie o sistema operacional para inicializar no WinRE.
- O sistema operacional deve ser inicializado na tela azul da interface do usuário do WinRE, passar por TroubleShoot -> Redefinir este computador, ele deve mostrar duas opções: "Manter meus arquivos" e "Remover tudo".
Se a política de MDM estiver definida como "Padrão" (0) ou não existir, o fluxo de autenticação do administrador deverá funcionar como comportamento padrão:
- Inicie o PBR no WinRE, escolha "Manter meus arquivos", ele deverá exibir a autenticação de administrador.
- Clique no botão "<-" (seta para a direita) e escolha "Remover tudo", ele não deve exibir a autenticação de administrador e apenas ir para as opções de PBR.
Se a política de MDM estiver definida como "RequireAuthentication" (1)
- Inicie o PBR no WinRE, escolha "Manter meus arquivos", ele deverá exibir a autenticação de administrador.
- Clique no botão "<-" (seta para a direita) e escolha "Remover tudo", ele também deverá exibir a autenticação de administrador.
Se a política de MDM estiver definida como "NoRequireAuthentication" (2)
- Inicie o PBR no WinRE, escolha "Manter meus arquivos", ele não deve exibir a autenticação de administrador.
- Percorrer as opções de PBR e clicar em "cancelar" na página de confirmação final, a unidade de espera que a interface do usuário está de volta.
- Clique em "Solução de Problemas" > "Redefinir este computador" novamente, escolha "Remover tudo", ela também não deve exibir a autenticação de administrador.
Security/RequireDeviceEncryption
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Sim | Sim |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Permite que a empresa ative a criptografia de armazenamento interno.
O valor de restrição máxima é 1.
Importante
Se a criptografia tiver sido habilitada, ela não poderá ser desativada usando essa política.
A lista a seguir mostra os valores com suporte:
- 0 (padrão) – a criptografia não é necessária.
- 1 – A criptografia é necessária.
Security/RequireProvisioningPackageSignature
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Não | Não |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Especifica se os pacotes de provisionamento devem ter um certificado assinado por uma autoridade confiável do dispositivo.
A lista a seguir mostra os valores com suporte:
- 0 (padrão) – Não obrigatório.
- 1 – Obrigatório.
Security/RequireRetrieveHealthCertificateOnBoot
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Sim | Sim |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Especifica se é necessário recuperar e postar logs de inicialização do TCG e obter ou armazenar em cache um Relatório de Atestado de Integridade criptografado ou assinado do HAS (Serviço de Atestado de Microsoft Health), quando um dispositivo é inicializado ou reinicializado.
Definindo essa política como 1 (Obrigatório):
- Determina se um dispositivo é capaz de atestado de integridade do dispositivo remoto, verificando se o dispositivo tem o TPM 2.0.
- Melhora o desempenho do dispositivo permitindo que o dispositivo busque e armazene dados em cache para reduzir a latência durante a Verificação de Integridade do Dispositivo.
Observação
Recomendamos que essa política seja definida como Obrigatória após o registro do MDM.
O valor de restrição máxima é 1.
A lista a seguir mostra os valores com suporte:
- 0 (padrão) – Não obrigatório.
- 1 – Obrigatório.
Tópicos relacionados
Comentários
Submeter e ver comentários