Windows-inställningar som du kan hantera via en Intune Endpoint Protection-profil

Artikel
11/14/2023

Obs!

Intune kan ha stöd för fler inställningar än de inställningar som anges i den här artikeln. Alla inställningar är inte dokumenterade och kommer inte att dokumenteras. Om du vill se de inställningar som du kan konfigurera skapar du en enhetskonfigurationsprincip och väljer Inställningskatalog. Mer information finns i Inställningskatalog.

Microsoft Intune innehåller många inställningar för att skydda dina enheter. I den här artikeln beskrivs inställningarna i mallen endpoint protection för enhetskonfiguration. Om du vill hantera enhetssäkerhet kan du också använda slutpunktssäkerhetsprinciper som fokuserar direkt på delmängder av enhetssäkerhet. Information om hur du konfigurerar Microsoft Defender Antivirus finns i Begränsningar för Windows-enheter eller använda antivirusprincip för slutpunktssäkerhet.

Innan du börjar

Skapa en enhetskonfigurationsprofil för slutpunktsskydd.

Mer information om konfigurationstjänstleverantörer finns i Referens för konfigurationstjänstprovider.

Microsoft Defender Application Guard

För Microsoft Edge skyddar Microsoft Defender Application Guard din miljö från webbplatser som inte är betrodda av din organisation. Med Application Guard öppnas webbplatser som inte finns i din isolerade nätverksgräns i en virtuell Hyper-V-webbläsarsession. Betrodda platser definieras av en nätverksgräns som konfigureras i Enhetskonfiguration. Mer information finns i Skapa en nätverksgräns på Windows-enheter.

Application Guard är endast tillgängligt för 64-bitars Windows-enheter. Med den här profilen installeras en Win32-komponent för att aktivera Application Guard.

Programskydd som
Standard: Inte konfigurerat
Application Guard CSP: Settings/AllowWindowsDefenderApplicationGuard
- Aktiverad för Edge – Aktiverar den här funktionen, som öppnar ej betrodda webbplatser i en virtualiserad Hyper-V-webbläsarcontainer.
- Inte konfigurerad – Alla webbplatser (betrodda och ej betrodda) kan öppnas på enheten.
Beteende för Urklipp
Standard: Inte konfigurerat
Application Guard CSP: Inställningar/UrklippInställningar

Välj vilka kopierings- och inklistringsåtgärder som tillåts mellan den lokala datorn och den Application Guard virtuella webbläsaren.
- Inte konfigurerad
- Tillåt endast kopiering och inklistring från dator till webbläsare
- Tillåt endast kopiering och inklistring från webbläsare till dator
- Tillåt kopiering och inklistring mellan dator och webbläsare
- Blockera kopiera och klistra in mellan dator och webbläsare
Urklippsinnehåll
Den här inställningen är endast tillgänglig när urklippsbeteendet är inställt på någon av tillåtna inställningar.
Standard: Inte konfigurerat
Application Guard CSP: Settings/ClipboardFileType

Välj det tillåtna Innehållet i Urklipp.
- Inte konfigurerad
- Text
- Bilder
- Text och bilder
Externt innehåll på företagswebbplatser
Standard: Inte konfigurerat
Application Guard CSP: Settings/BlockNonEnterpriseContent
- Blockera – Blockera inläsning av innehåll från webbplatser som inte har godkänts.
- Inte konfigurerad – Webbplatser som inte är företag kan öppnas på enheten.
Skriv ut från virtuell webbläsare
Standard: Inte konfigurerat
Application Guard CSP: Inställningar/utskriftInställningar
- Tillåt – Tillåter utskrift av markerat innehåll från den virtuella webbläsaren.
- Inte konfigurerad Inaktivera alla utskriftsfunktioner.
När du tillåter utskrift kan du konfigurera följande inställning:
- Utskriftstyper Välj ett eller flera av följande alternativ:
  - PDF
  - XPS
  - Lokala skrivare
  - Nätverksskrivare
Samla in loggar
Standard: Inte konfigurerat
Application Guard CSP: Audit/AuditApplicationGuard
- Tillåt – Samla in loggar för händelser som inträffar inom en Application Guard webbläsarsession.
- Inte konfigurerad – Samla inte in några loggar i webbläsarsessionen.
Behåll användargenererade webbläsardata
Standard: Inte konfigurerat
Application Guard CSP: Settings/AllowPersistence
- Tillåta Spara användardata (till exempel lösenord, favoriter och cookies) som skapas under en Application Guard virtuell webbläsarsession.
- Inte konfigurerad Ignorera användarnedladdade filer och data när enheten startas om eller när en användare loggar ut.
Grafikacceleration
Standard: Inte konfigurerat
Application Guard CSP: Settings/AllowVirtualGPU
- Aktivera – Läs in grafikintensiva webbplatser och video snabbare genom att få åtkomst till en virtuell grafikprocessor.
- Inte konfigurerad Använd enhetens PROCESSOR för grafik. Använd inte den virtuella grafikprocessorn.
Ladda ned filer till värdfilsystemet
Standard: Inte konfigurerat
Application Guard CSP: Settings/SaveFilesToHost
- Aktivera – Användare kan ladda ned filer från den virtualiserade webbläsaren till värdoperativsystemet.
- Inte konfigurerad – Håller filerna lokala på enheten och laddar inte ned filer till värdfilsystemet.

Windows-brandväggen

Globala inställningar

De här inställningarna gäller för alla nätverkstyper.

File Transfer Protocol
Standard: Inte konfigurerat
CSP:n Firewall: MdmStore/Global/DisableStatefulFtp
- Blockera – Inaktivera tillståndskänslig FTP.
- Inte konfigurerad – Brandväggen utför tillståndskänslig FTP-filtrering för att tillåta sekundära anslutningar.
Inaktivitetstid för säkerhetsassociation före borttagning
Standard: Inte konfigurerat
CSP:n Firewall: MdmStore/Global/SaIdleTime

Ange en inaktivitetstid i sekunder, varefter säkerhetsassociationer tas bort.
Kodning av i förväg delad nyckel
Standard: Inte konfigurerat
CSP:n Firewall: MdmStore/Global/PresharedKeyEncoding
- Aktivera – Koda fördefinierade nycklar med UTF-8.
- Inte konfigurerad – Koda fördefinierade nycklar med det lokala butiksvärdet.
IPsec-undantag
Standard: 0 har valts
CSP:n Firewall: MdmStore/Global/IPsecExempt

Välj en eller flera av följande typer av trafik som ska undantas från IPsec:
- Granne identifierar IPv6 ICMP-typkoder
- ICMP
- Router upptäcker IPv6 ICMP-typkoder
- Både IPv4- och IPv6 DHCP-nätverkstrafik
Verifiering av listan över återkallade certifikat
Standard: Inte konfigurerat
CSP:n Firewall: MdmStore/Global/CRLcheck

Välj hur enheten verifierar listan över återkallade certifikat. Alternativen är:
- Inaktivera CRL-verifiering
- Crl-verifiering misslyckas endast för återkallade certifikat
- Crl-verifieringen misslyckas för eventuella fel som påträffas.
Matcha autentiseringsuppsättningen per nyckelmodul opportunistiskt
Standard: Inte konfigurerat
CSP:n Firewall: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM
- Aktivera Nyckelmoduler får endast ignorera de autentiseringspaket som de inte stöder.
- Inte konfigurerad, nyckelmoduler måste ignorera hela autentiseringsuppsättningen om de inte stöder alla autentiseringspaket som anges i uppsättningen.
Paketköer
Standard: Inte konfigurerat
CSP:n Firewall: MdmStore/Global/EnablePacketQueue

Ange hur programvaruskalning på mottagarsidan ska aktiveras för krypterad mottagning och rensa text framåt för scenariot med IPsec-tunnelgatewayen. Den här inställningen bekräftar att paketordningen bevaras. Alternativen är:
- Inte konfigurerad
- Inaktivera alla paketköer
- Köa endast inkommande krypterade paket
- Köpaket efter dekryptering utförs endast för vidarebefordring
- Konfigurera både inkommande och utgående paket

Nätverksinställningar

Följande inställningar visas var och en i den här artikeln en gång, men alla gäller för de tre specifika nätverkstyperna:

Domännätverk (arbetsplats)
Privat (identifierbart) nätverk
Offentligt nätverk (kan inte identifieras)

Allmän

Windows Firewall
Standard: Inte konfigurerat
CSP för brandvägg: EnableFirewall
- Aktivera – Aktivera brandväggen och avancerad säkerhet.
- Inte konfigurerad Tillåter all nätverkstrafik, oavsett andra principinställningar.
Dolt läge
Standard: Inte konfigurerat
CSP för brandvägg: DisableStealthMode
- Inte konfigurerad
- Blockera – Brandväggen blockeras från att fungera i dolt läge. Om du blockerar dolt läge kan du även blockera IPsec-skyddat paketundantag.
- Tillåt – Brandväggen fungerar i dolt läge, vilket hjälper till att förhindra svar på avsökningsbegäranden.
IPsec-skyddat paketundantag med dolt läge
Standard: Inte konfigurerat
CSP:n Firewall: DisableStealthModeIpsecSecuredPacketExemption

Det här alternativet ignoreras om Dolt läge är inställt på Blockera.
- Inte konfigurerad
- Blockera – IPSec-skyddade paket får inte undantag.
- Tillåt – Aktivera undantag. Brandväggens dolt läge FÅR INTE hindra värddatorn från att svara på oönskad nätverkstrafik som skyddas av IPsec.
Skärmad
Standard: Inte konfigurerat
CSP för brandvägg: Avskärmad
- Inte konfigurerad
- Blockera – När Windows-brandväggen är aktiverad och den här inställningen är inställd på Blockera blockeras all inkommande trafik, oavsett andra principinställningar.
- Tillåt – När inställningen är inställd på Tillåt inaktiveras den här inställningen och inkommande trafik tillåts baserat på andra principinställningar.
Unicast-svar på multicast-sändningar
Standard: Inte konfigurerat
CSP för brandvägg: DisableUnicastResponsesToMulticastBroadcast

Normalt vill du inte ta emot unicast-svar på multicast- eller broadcast-meddelanden. Dessa svar kan tyda på en DOS-attack (Denial of Service) eller en angripare som försöker avsöka en känd livedator.
- Inte konfigurerad
- Blockera – Inaktivera unicast-svar på multicast-sändningar.
- Tillåt – Tillåt unicast-svar på multicast-sändningar.
Inkommande meddelanden
Standard: Inte konfigurerat
CSP för brandvägg: DisableInboundNotifications
- Inte konfigurerad
- Blockera – Dölj meddelanden för användning när en app blockeras från att lyssna på en port.
- Tillåt – Aktiverar den här inställningen och kan visa ett meddelande till användare när en app blockeras från att lyssna på en port.
Standardåtgärd för utgående anslutningar
Standard: Inte konfigurerat
CSP för brandvägg: DefaultOutboundAction

Konfigurera standardåtgärden som brandväggen utför på utgående anslutningar. Den här inställningen tillämpas på Windows version 1809 och senare.
- Inte konfigurerad
- Blockera – Standardåtgärden för brandväggen körs inte på utgående trafik om den inte uttryckligen anges att den inte ska blockeras.
- Tillåt – Standardinställda brandväggsåtgärder körs på utgående anslutningar.
Standardåtgärd för inkommande anslutningar
Standard: Inte konfigurerat
CSP för brandvägg: DefaultInboundAction
- Inte konfigurerad
- Blockera – Standardåtgärden för brandväggen körs inte på inkommande anslutningar.
- Tillåt – Standardåtgärder för brandväggar körs på inkommande anslutningar.

Regelsammanslagningen

Auktoriserade windows-brandväggsregler från det lokala arkivet
Standard: Inte konfigurerat
CSP för brandvägg: AuthAppsAllowUserPrefMerge
- Inte konfigurerad
- Blockera – De auktoriserade brandväggsreglerna för program i det lokala arkivet ignoreras och framtvingas inte.
- Tillåt – Välj Aktivera Tillämpar brandväggsregler i det lokala arkivet så att de identifieras och framtvingas.
Globala Windows-portbrandväggsregler från det lokala arkivet
Standard: Inte konfigurerat
CSP för brandvägg: GlobalPortsAllowUserPrefMerge
- Inte konfigurerad
- Blockera – De globala portbrandväggsreglerna i det lokala arkivet ignoreras och framtvingas inte.
- Tillåt – Använd globala portbrandväggsregler i det lokala arkivet för att identifieras och framtvingas.
Windows-brandväggsregler från det lokala arkivet
Standard: Inte konfigurerat
CSP:n Firewall: AllowLocalPolicyMerge
- Inte konfigurerad
- Blockera – Brandväggsregler från det lokala arkivet ignoreras och framtvingas inte.
- Tillåt – Tillämpa brandväggsregler i det lokala arkivet för att identifieras och framtvingas.
IPsec-regler från det lokala arkivet
Standard: Inte konfigurerat
CSP:n Firewall: AllowLocalIpsecPolicyMerge
- Inte konfigurerad
- Blockera – Anslutningssäkerhetsreglerna från det lokala arkivet ignoreras och framtvingas inte, oavsett schemaversion och version av anslutningssäkerhetsregeln.
- Tillåt – Tillämpa anslutningssäkerhetsregler från det lokala arkivet, oavsett schema- eller anslutningssäkerhetsregelversioner.

Brandväggsregler

Du kan lägga till en eller flera anpassade brandväggsregler. Mer information finns i Lägga till anpassade brandväggsregler för Windows-enheter.

Anpassade brandväggsregler stöder följande alternativ:

Allmänna inställningar

Namn
Standard: Inget namn

Ange ett eget namn för regeln. Det här namnet visas i listan över regler som hjälper dig att identifiera det.
Beskrivning
Standard: Ingen beskrivning

Ange en beskrivning av regeln.
Riktning
Standard: Inte konfigurerat
CSP för brandvägg: FirewallRules/FirewallRuleName/Direction

Ange om den här regeln gäller för inkommande eller utgående trafik. När den anges som Inte konfigurerad gäller regeln automatiskt för utgående trafik.
Åtgärd
Standard: Inte konfigurerat
CSP för brandvägg: FirewallRules/FirewallRuleName/Action och FirewallRules/FirewallRuleName/Action/Type

Välj från Tillåt eller Blockera. När den har angetts som Inte konfigurerad tillåts trafik som standard av regeln.
Nätverkstyp
Standard: 0 har valts
CSP för brandvägg: FirewallRules/FirewallRuleName/Profiles

Välj upp till tre typer av nätverkstyper som den här regeln tillhör. Alternativen är Domän, Privat och Offentlig. Om inga nätverkstyper har valts gäller regeln för alla tre nätverkstyperna.

Programinställningar

Program
Standard: Alla

Kontrollera anslutningar för en app eller ett program. Appar och program kan anges antingen efter filsökväg, paketfamiljenamn eller tjänstnamn:
- Paketfamiljenamn – Ange ett paketfamiljenamn. Om du vill hitta paketfamiljenamnet använder du PowerShell-kommandot Get-AppxPackage.
  CSP för brandvägg: FirewallRules/FirewallRuleName/App/PackageFamilyName
- Filsökväg – Du måste ange en filsökväg till en app på klientenheten, som kan vara en absolut sökväg eller en relativ sökväg. Exempel: C:\Windows\System\Notepad.exe eller %WINDIR%\Notepad.exe.
  CSP för brandvägg: FirewallRules/FirewallRuleName/App/FilePath
- Windows-tjänsten – Ange kortnamnet för Windows-tjänsten om det är en tjänst och inte ett program som skickar eller tar emot trafik. Om du vill hitta tjänstens korta namn använder du PowerShell-kommandot Get-Service.
  CSP för brandvägg: FirewallRules/FirewallRuleName/App/ServiceName
- Alla – inga konfigurationer krävs

IP-adressinställningar

Ange de lokala adresser och fjärradresser som den här regeln gäller för.

Lokala adresser
Standard: Alla adresser
CSP för brandvägg: FirewallRules/FirewallRuleName/LocalPortRanges

Välj Valfri adress eller Angiven adress.

När du använder Angiven adress lägger du till en eller flera adresser som en kommaavgränsad lista över lokala adresser som omfattas av regeln. Giltiga token är:
- Använd en asterisk * för alla lokala adresser. Om du använder en asterisk måste det vara den enda token som du använder.
- Ange ett undernät med nätmasken eller nätverksprefixet notation. Om en nätmask eller ett nätverksprefix inte anges är nätmasken som standard 255.255.255.255.255.
- En giltig IPv6-adress.
- Ett IPv4-adressintervall i formatet "startadress – slutadress" utan blanksteg.
- Ett IPv6-adressintervall i formatet "startadress – slutadress" utan blanksteg.
Fjärradresser
Standard: Alla adresser
CSP för brandvägg: FirewallRules/FirewallRuleName/RemoteAddressRanges

Välj Valfri adress eller Angiven adress.

När du använder Angiven adress lägger du till en eller flera adresser som en kommaavgränsad lista över fjärradresser som omfattas av regeln. Token är inte skiftlägeskänsliga. Giltiga token är:
- Använd en asterisk "*" för alla fjärradresser. Om du använder en asterisk måste det vara den enda token som du använder.
- Defaultgateway
- DHCP
- DNS
- WINS
- Intranet (stöds i Windows version 1809 och senare)
- RmtIntranet (stöds i Windows version 1809 och senare)
- Internet (stöds i Windows version 1809 och senare)
- Ply2Renders (stöds i Windows version 1809 och senare)
- LocalSubnet anger en lokal adress i det lokala undernätet.
- Ange ett undernät med nätmasken eller nätverksprefixet notation. Om en nätmask eller ett nätverksprefix inte anges är nätmasken som standard 255.255.255.255.255.
- En giltig IPv6-adress.
- Ett IPv4-adressintervall i formatet "startadress – slutadress" utan blanksteg.
- Ett IPv6-adressintervall i formatet "startadress – slutadress" utan blanksteg.

Port- och protokollinställningar

Ange de lokala portar och fjärrportar som regeln gäller för.

Protokoll
Standard: Alla
CSP för brandvägg: FirewallRules/FirewallRuleName/Protocol
Välj mellan följande och slutför alla nödvändiga konfigurationer:
- Alla – ingen konfiguration är tillgänglig.
- TCP – Konfigurera lokala portar och fjärrportar. Båda alternativen stöder Alla portar eller Angivna portar. Ange Angivna portar med hjälp av en kommaavgränsad lista.
  - Lokala portar – CSP för brandvägg: FirewallRules/FirewallRuleName/LocalPortRanges
  - Fjärrportar – CSP för brandvägg: FirewallRules/FirewallRuleName/RemotePortRanges
- UDP – Konfigurera lokala portar och fjärrportar. Båda alternativen stöder Alla portar eller Angivna portar. Ange Angivna portar med hjälp av en kommaavgränsad lista.
  - Lokala portar – CSP för brandvägg: FirewallRules/FirewallRuleName/LocalPortRanges
  - Fjärrportar – CSP för brandvägg: FirewallRules/FirewallRuleName/RemotePortRanges
- Anpassad – Ange ett anpassat protokollnummer från 0 till 255.

Avancerad konfiguration

Gränssnittstyper
Standard: 0 har valts
CSP för brandvägg: FirewallRules/FirewallRuleName/InterfaceTypes

Välj bland följande alternativ:
- Fjärråtkomst
- Trådlös
- Lokalt nätverk
Tillåt endast anslutningar från dessa användare
Standard: Alla användare (standard för alla användningsområden när ingen lista har angetts)
CSP för brandvägg: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

Ange en lista över behöriga lokala användare för den här regeln. En lista över behöriga användare kan inte anges om den här regeln gäller för en Windows-tjänst.

Microsoft Defender SmartScreen-inställningar

Microsoft Edge måste vara installerat på enheten.

SmartScreen för appar och filer
Standard: Inte konfigurerat
CSP för SmartScreen: SmartScreen/EnableSmartScreenInShell
- Inte konfigurerat – Inaktiverar användning av SmartScreen.
- Aktivera – Aktivera Windows SmartScreen för filkörning och appar som körs. SmartScreen är en molnbaserad komponent för skydd mot nätfiske och skadlig kod.
Körning av overifierade filer
Standard: Inte konfigurerat
CSP för SmartScreen: SmartScreen/PreventOverrideForFilesInShell
- Inte konfigurerad – Inaktiverar den här funktionen och tillåter slutanvändare att köra filer som inte har verifierats.
- Blockera – Förhindra att slutanvändare kör filer som inte har verifierats av Windows SmartScreen.

Windows-kryptering

Windows-inställningar

Kryptera enheter
Standard: Inte konfigurerat
BitLocker CSP: RequireDeviceEncryption
- Kräv – Uppmana användarna att aktivera enhetskryptering. Beroende på Windows-utgåvan och systemkonfigurationen kan användarna tillfrågas:
  - Bekräfta att kryptering från en annan provider inte är aktiverat.
  - Du måste inaktivera BitLocker-diskkryptering och sedan aktivera BitLocker igen.
- Inte konfigurerad
Om Windows-kryptering är aktiverat medan en annan krypteringsmetod är aktiv kan enheten bli instabil.

BitLocker-basinställningar

Basinställningar är universella BitLocker-inställningar för alla typer av dataenheter. De här inställningarna hanterar vilka diskkrypteringsuppgifter eller konfigurationsalternativ som slutanvändaren kan ändra på alla typer av dataenheter.

Varning för annan diskkryptering
Standard: Inte konfigurerat
BitLocker CSP: AllowWarningForOtherDiskEncryption
- Blockera – Inaktivera varningsmeddelandet om en annan diskkrypteringstjänst finns på enheten.
- Inte konfigurerat – Tillåt att varningen för annan diskkryptering visas.
Tips

Om du vill installera BitLocker automatiskt och tyst på en enhet som är Microsoft Entra ansluten och kör Windows 1809 eller senare måste den här inställningen vara inställd på Blockera. Mer information finns i Aktivera BitLocker tyst på enheter.

När värdet är Blockera kan du konfigurera följande inställning:
- Tillåt standardanvändare att aktivera kryptering under Microsoft Entra anslutning
  Den här inställningen gäller endast för Microsoft Entra anslutna (Azure ADJ)-enheter och beror på föregående inställning, Warning for other disk encryption.
  Standard: Inte konfigurerat
  BitLocker CSP: AllowStandardUserEncryption
  - Tillåt – Standardanvändare (icke-administratörer) kan aktivera BitLocker-kryptering när de är inloggade.
  - Inte konfigurerad Endast administratörer kan aktivera BitLocker-kryptering på enheten.
Tips

Om du vill installera BitLocker automatiskt och tyst på en enhet som är Microsoft Entra ansluten och kör Windows 1809 eller senare måste den här inställningen vara inställd på Tillåt. Mer information finns i Aktivera BitLocker tyst på enheter.
Konfigurera krypteringsmetoder
Standard: Inte konfigurerat
BitLocker CSP: EncryptionMethodByDriveType
- Aktivera – Konfigurera krypteringsalgoritmer för operativsystem, data och flyttbara enheter.
- Inte konfigurerad – BitLocker använder XTS-AES 128-bitars som standardkrypteringsmetod eller använder krypteringsmetoden som anges av ett installationsskript.
När inställningen är Aktivera kan du konfigurera följande inställningar:
- Kryptering för operativsystemenheter
  Standard: XTS-AES 128-bitars
  
  Välj krypteringsmetod för operativsystemenheter. Vi rekommenderar att du använder XTS-AES-algoritmen.
  - AES-CBC 128-bitars
  - AES-CBC 256-bitars
  - XTS-AES 128-bitars
  - XTS-AES 256-bitars
- Kryptering för fasta dataenheter
  Standard: AES-CBC 128-bitars
  
  Välj krypteringsmetod för fasta (inbyggda) dataenheter. Vi rekommenderar att du använder XTS-AES-algoritmen.
  - AES-CBC 128-bitars
  - AES-CBC 256-bitars
  - XTS-AES 128-bitars
  - XTS-AES 256-bitars
- Kryptering för flyttbara dataenheter
  Standard: AES-CBC 128-bitars
  
  Välj krypteringsmetod för flyttbara dataenheter. Om den flyttbara enheten används med enheter som inte körs Windows 10/11 rekommenderar vi att du använder AES-CBC-algoritmen.
  - AES-CBC 128-bitars
  - AES-CBC 256-bitars
  - XTS-AES 128-bitars
  - XTS-AES 256-bitars

Inställningar för BitLocker OS-enhet

De här inställningarna gäller specifikt för operativsystemdataenheter.

Ytterligare autentisering vid start
Standard: Inte konfigurerat
BitLocker CSP: SystemDrivesRequireStartupAuthentication
- Kräv – Konfigurera autentiseringskraven för datorstart, inklusive användning av Trusted Platform Module (TPM).
- Inte konfigurerad – Konfigurera endast grundläggande alternativ på enheter med en TPM.
När värdet är Kräv kan du konfigurera följande inställningar:
- BitLocker med icke-kompatibelt TPM-chip
  Standard: Inte konfigurerat
  - Blockera – Inaktivera användning av BitLocker när en enhet inte har ett kompatibelt TPM-chip.
  - Inte konfigurerad – Användare kan använda BitLocker utan ett kompatibelt TPM-chip. BitLocker kan kräva ett lösenord eller en startnyckel.
- Kompatibel TPM-start
  Standard: Tillåt TPM
  
  Konfigurera om TPM tillåts, krävs eller inte tillåts.
  - Tillåt TPM
  - Tillåt inte TPM
  - Kräv TPM
- Kompatibel PIN-kod för TPM-start
  Standard: Tillåt pin-kod för start med TPM
  
  Välj att tillåta, inte tillåta eller kräva att du använder en pin-kod för start med TPM-kretsen. Aktivering av en PIN-kod för start kräver interaktion från slutanvändaren.
  - Tillåt pin-kod för start med TPM
  - Tillåt inte pin-kod för start med TPM
  - Kräv pin-kod för start med TPM
  Tips
  
  Om du vill installera BitLocker automatiskt och tyst på en enhet som är Microsoft Entra ansluten och kör Windows 1809 eller senare får den här inställningen inte vara inställd på Kräv pin-kod för start med TPM. Mer information finns i Aktivera BitLocker tyst på enheter.
- Kompatibel TPM-startnyckel
  Standard: Tillåt startnyckel med TPM
  
  Välj att tillåta, inte tillåta eller kräva att du använder en startnyckel med TPM-kretsen. Aktivering av en startnyckel kräver interaktion från slutanvändaren.
  - Tillåt startnyckel med TPM
  - Tillåt inte startnyckel med TPM
  - Kräv startnyckel med TPM
  Tips
  
  Om du vill installera BitLocker automatiskt och tyst på en enhet som är Microsoft Entra ansluten och kör Windows 1809 eller senare får den här inställningen inte vara inställd på Kräv startnyckel med TPM. Mer information finns i Aktivera BitLocker tyst på enheter.
- Kompatibel TPM-startnyckel och PIN-kod
  Standard: Tillåt startnyckel och PIN-kod med TPM
  
  Välj att tillåta, inte tillåta eller kräva att du använder en startnyckel och PIN-kod med TPM-chipet. Aktivering av startnyckel och PIN-kod kräver interaktion från slutanvändaren.
  - Tillåt startnyckel och PIN-kod med TPM
  - Tillåt inte startnyckel och PIN-kod med TPM
  - Kräv startnyckel och PIN-kod med TPM
  Tips
  
  Om du vill installera BitLocker automatiskt och tyst på en enhet som är Microsoft Entra ansluten och kör Windows 1809 eller senare får den här inställningen inte vara inställd på Kräv startnyckel och PIN-kod med TPM. Mer information finns i Aktivera BitLocker tyst på enheter.
Minsta PIN-kodslängd
Standard: Inte konfigurerat
BitLocker CSP: SystemDrivesMinimumPINLength
- Aktivera Konfigurera en minsta längd för PIN-koden för TPM-start.
- Inte konfigurerad – Användare kan konfigurera en PIN-kod för start av valfri längd mellan 6 och 20 siffror.
När värdet är Aktivera kan du konfigurera följande inställning:
- Minsta tecken
  Standard: Inte konfigurerad BitLocker CSP: SystemDrivesMinimumPINLength
  
  Ange det antal tecken som krävs för pin-koden för start från 4-20.
Återställning av operativsystemenhet
Standard: Inte konfigurerat
BitLocker CSP: SystemDrivesRecoveryOptions
- Aktivera – Styr hur BitLocker-skyddade operativsystemenheter återställs när nödvändig startinformation inte är tillgänglig.
- Inte konfigurerat – Standardåterställningsalternativ stöds inklusive DRA. Slutanvändaren kan ange återställningsalternativ. Återställningsinformationen säkerhetskopieras inte till AD DS.
När inställningen är Aktivera kan du konfigurera följande inställningar:
- Certifikatbaserad dataåterställningsagent
  Standard: Inte konfigurerat
  - Blockera – Förhindra användning av dataåterställningsagent med BitLocker-skyddade OS-enheter.
  - Inte konfigurerad – Tillåt att dataåterställningsagenter används med BitLocker-skyddade operativsystemenheter.
- Skapa återställningslösenord för användare
  Standard: Tillåt 48-siffrigt återställningslösenord
  
  Välj om användare tillåts, krävs eller inte får generera ett 48-siffrigt återställningslösenord.
  - Tillåt 48-siffrigt återställningslösenord
  - Tillåt inte 48-siffrigt återställningslösenord
  - Kräv 48-siffrigt återställningslösenord
- Skapa återställningsnyckel för användare
  Standard: Tillåt 256-bitars återställningsnyckel
  
  Välj om användare tillåts, krävs eller inte får generera en 256-bitars återställningsnyckel.
  - Tillåt 256-bitars återställningsnyckel
  - Tillåt inte 256-bitars återställningsnyckel
  - Kräv 256-bitars återställningsnyckel
- Återställningsalternativ i installationsguiden för BitLocker
  Standard: Inte konfigurerat
  - Blockera – Användarna kan inte se och ändra återställningsalternativen. När det är inställt på
  - Inte konfigurerad – Användarna kan se och ändra återställningsalternativen när de aktiverar BitLocker.
- Spara BitLocker-återställningsinformation till Microsoft Entra-ID
  Standard: Inte konfigurerat
  - Aktivera – Lagra BitLocker-återställningsinformationen för att Microsoft Entra-ID.
  - Inte konfigurerad – BitLocker-återställningsinformation lagras inte i Microsoft Entra ID.
- BitLocker-återställningsinformation som lagras i Microsoft Entra-ID
  Standard: Säkerhetskopiering av återställningslösenord och nyckelpaket
  
  Konfigurera vilka delar av BitLocker-återställningsinformation som lagras i Microsoft Entra ID. Välj mellan:
  - Säkerhetskopiera återställningslösenord och nyckelpaket
  - Endast lösenord för säkerhetskopieringsåterställning
- Klientdriven rotering av återställningslösenord
  Standard: Inte konfigurerat
  BitLocker CSP: ConfigureRecoveryPasswordRotation
  
  Den här inställningen initierar en klientdriven återställningslösenordsrotation efter en återställning av operativsystemenhet (antingen med bootmgr eller WinRE).
  - Inte konfigurerad
  - Nyckelrotation inaktiverad
  - Nyckelrotation aktiverad för Microsoft Entra anslutna deices
  - Nyckelrotation aktiverad för Microsoft Entra-ID och Hybrid-anslutna enheter
- Lagra återställningsinformation i Microsoft Entra-ID innan du aktiverar BitLocker
  Standard: Inte konfigurerat
  
  Förhindra användare från att aktivera BitLocker om inte datorn säkerhetskopierar BitLocker-återställningsinformationen till Microsoft Entra-ID.
  - Kräv – Hindra användare från att aktivera BitLocker om inte BitLocker-återställningsinformationen har lagrats i Microsoft Entra-ID.
  - Inte konfigurerad – Användare kan aktivera BitLocker, även om återställningsinformation inte har lagrats i Microsoft Entra-ID.
Återställningsmeddelande och URL före start
Standard: Inte konfigurerat
BitLocker CSP: SystemDrivesRecoveryMessage
- Aktivera – Konfigurera meddelandet och URL:en som visas på återställningsskärmen för förstartsnyckeln.
- Inte konfigurerad – Inaktivera den här funktionen.
När värdet är Aktivera kan du konfigurera följande inställning:
- Återställningsmeddelande före start
  Standard: Använd standardåterställningsmeddelande och URL
  
  Konfigurera hur återställningsmeddelandet före start visas för användarna. Välj mellan:
  - Använd standardåterställningsmeddelande och URL
  - Använd tomt återställningsmeddelande och url
  - Använda anpassat återställningsmeddelande
  - Använda anpassad återställnings-URL

BitLocker-inställningar för fast dataenhet

De här inställningarna gäller specifikt för fasta dataenheter.

Skrivåtkomst till fast dataenhet som inte skyddas av BitLocker
Standard: Inte konfigurerat
BitLocker CSP: FixedDrivesRequireEncryption
- Blockera – Ge skrivskyddad åtkomst till dataenheter som inte är BitLocker-skyddade.
- Inte konfigurerad – som standard läs- och skrivåtkomst till dataenheter som inte är krypterade.
Återställning av fast enhet
Standard: Inte konfigurerat
BitLocker CSP: FixedDrivesRecoveryOptions
- Aktivera – Styr hur BitLocker-skyddade fasta enheter återställs när nödvändig startinformation inte är tillgänglig.
- Inte konfigurerad – Inaktivera den här funktionen.
När inställningen är Aktivera kan du konfigurera följande inställningar:
- Dataåterställningsagent
  Standard: Inte konfigurerat
  - Blockera – Förhindra användning av dataåterställningsagenten med Principredigeraren för BitLocker-skyddade fasta enheter.
  - Inte konfigurerad – Aktiverar användning av dataåterställningsagenter med BitLocker-skyddade fasta enheter.
- Skapa återställningslösenord för användare
  Standard: Tillåt 48-siffrigt återställningslösenord
  
  Välj om användare tillåts, krävs eller inte får generera ett 48-siffrigt återställningslösenord.
  - Tillåt 48-siffrigt återställningslösenord
  - Tillåt inte 48-siffrigt återställningslösenord
  - Kräv 48-siffrigt återställningslösenord
- Skapa återställningsnyckel för användare
  Standard: Tillåt 256-bitars återställningsnyckel
  
  Välj om användare tillåts, krävs eller inte får generera en 256-bitars återställningsnyckel.
  - Tillåt 256-bitars återställningsnyckel
  - Tillåt inte 256-bitars återställningsnyckel
  - Kräv 256-bitars återställningsnyckel
- Återställningsalternativ i installationsguiden för BitLocker
  Standard: Inte konfigurerat
  - Blockera – Användarna kan inte se och ändra återställningsalternativen. När det är inställt på
  - Inte konfigurerad – Användarna kan se och ändra återställningsalternativen när de aktiverar BitLocker.
- Spara BitLocker-återställningsinformation till Microsoft Entra-ID
  Standard: Inte konfigurerat
  - Aktivera – Lagra BitLocker-återställningsinformationen för att Microsoft Entra-ID.
  - Inte konfigurerad – BitLocker-återställningsinformation lagras inte i Microsoft Entra ID.
- BitLocker-återställningsinformation som lagras i Microsoft Entra-ID
  Standard: Säkerhetskopiering av återställningslösenord och nyckelpaket
  
  Konfigurera vilka delar av BitLocker-återställningsinformation som lagras i Microsoft Entra ID. Välj mellan:
  - Säkerhetskopiera återställningslösenord och nyckelpaket
  - Endast lösenord för säkerhetskopieringsåterställning
- Lagra återställningsinformation i Microsoft Entra-ID innan du aktiverar BitLocker
  Standard: Inte konfigurerat
  
  Förhindra användare från att aktivera BitLocker om inte datorn säkerhetskopierar BitLocker-återställningsinformationen till Microsoft Entra-ID.
  - Kräv – Hindra användare från att aktivera BitLocker om inte BitLocker-återställningsinformationen har lagrats i Microsoft Entra-ID.
  - Inte konfigurerad – Användare kan aktivera BitLocker, även om återställningsinformation inte har lagrats i Microsoft Entra-ID.

BitLocker-inställningar för flyttbara dataenheter

De här inställningarna gäller specifikt för flyttbara dataenheter.

Skrivåtkomst till flyttbar dataenhet som inte skyddas av BitLocker
Standard: Inte konfigurerat
BITLocker CSP: RemovableDrivesRequireEncryption
- Blockera – Ge skrivskyddad åtkomst till dataenheter som inte är BitLocker-skyddade.
- Inte konfigurerad – som standard läs- och skrivåtkomst till dataenheter som inte är krypterade.
När värdet är Aktivera kan du konfigurera följande inställning:
- Skrivåtkomst till enheter som konfigurerats i en annan organisation
  Standard: Inte konfigurerat
  - Blockera – Blockera skrivåtkomst till enheter som konfigurerats i en annan organisation.
  - Inte konfigurerad – Neka skrivåtkomst.

Microsoft Defender Exploit Guard

Använd exploateringsskydd för att hantera och minska attackytan för appar som används av dina anställda.

Minskning av attackytan

Regler för minskning av attackytan hjälper till att förhindra beteenden som skadlig kod ofta använder för att infektera datorer med skadlig kod.

Regler för minskning av attackytan

Mer information finns i Regler för minskning av attackytan i dokumentationen om Microsoft Defender för Endpoint.

Sammanslagningsbeteende för regler för minskning av attackytan i Intune:

Regler för minskning av attackytan stöder en sammanslagning av inställningar från olika principer för att skapa en överordnad principuppsättning för varje enhet. Endast de inställningar som inte är i konflikt slås samman, medan inställningar som är i konflikt inte läggs till i superuppsättningen med regler. Om två principer tidigare innehöll konflikter för en enda inställning flaggades båda principerna som i konflikt och inga inställningar från någon av profilerna skulle distribueras.

Beteendet för regelsammanslagning för minskning av attackytan är följande:

Regler för minskning av attackytan från följande profiler utvärderas för varje enhet som reglerna gäller för:
- Enhetskonfigurationsprincip >> Endpoint Protection-profil > Microsoft Defender Minskning av attackytan för Exploit Guard >
- Policy för minskning av > attackytans slutpunktssäkerhet >– regler för minskning av attackytan
- Säkerhetsbaslinjer för slutpunktssäkerhet >> Microsoft Defender för Endpoint regler för minskning av baslinjeangreppsytan>.
Inställningar som inte har konflikter läggs till i en överordnad principuppsättning för enheten.
När två eller flera principer har motstridiga inställningar läggs inte de motstridiga inställningarna till i den kombinerade principen. Inställningar som inte är i konflikt läggs till i superuppsättningsprincipen som gäller för en enhet.
Endast konfigurationerna för motstridiga inställningar hålls tillbaka.

Inställningar i den här profilen:

Flagga stöld av autentiseringsuppgifter från undersystemet windows local security authority
Standard: Inte konfigurerat
Regel: Blockera stöld av autentiseringsuppgifter från undersystemet för den lokala säkerhetsmyndigheten i Windows (lsass.exe)

Hjälp till att förhindra åtgärder och appar som vanligtvis används av sårbarhetssökande skadlig kod för att infektera datorer.
- Inte konfigurerad
- Aktivera – Flagga stöld av autentiseringsuppgifter från undersystemet windows local security authority (lsass.exe).
- Granska endast
Processskapande från Adobe Reader (beta)
Standard: Inte konfigurerat
Regel: Blockera Adobe Reader från att skapa underordnade processer
- Inte konfigurerad
- Aktivera – Blockera underordnade processer som skapas från Adobe Reader.
- Granska endast

Regler för att förhindra office-makrohot

Blockera Office-appar från att vidta följande åtgärder:

Office-appar som matas in i andra processer (inga undantag)
Standard: Inte konfigurerat
Regel: Blockera Office-program från att mata in kod i andra processer
- Inte konfigurerad
- Blockera – Blockera Office-appar från att mata in i andra processer.
- Granska endast
Office-appar/makron skapar körbart innehåll
Standard: Inte konfigurerat
Regel: Blockera Office-program från att skapa körbart innehåll
- Inte konfigurerad
- Blockera – Blockera Office-appar och -makron från att skapa körbart innehåll.
- Granska endast
Office-appar startar underordnade processer
Standard: Inte konfigurerat
Regel: Blockera alla Office-program från att skapa underordnade processer
- Inte konfigurerad
- Blockera – Blockera Office-appar från att starta underordnade processer.
- Granska endast
Win32-importer från Office-makrokod
Standard: Inte konfigurerat
Regel: Blockera Win32 API-anrop från Office-makron
- Inte konfigurerad
- Blockera – Blockera Win32-importer från makrokod i Office.
- Granska endast
Processskapande från Office-kommunikationsprodukter
Standard: Inte konfigurerat
Regel: Blockera Office-kommunikationsprogram från att skapa underordnade processer
- Inte konfigurerad
- Aktivera – Blockera skapande av underordnade processer från Office-kommunikationsappar.
- Granska endast

Regler för att förhindra skripthot

Blockera följande för att förhindra skripthot:

Dold js/vbs/ps/makrokod
Standard: Inte konfigurerat
Regel: Blockera körning av potentiellt dolda skript
- Inte konfigurerad
- Blockera – Blockera eventuell dold js/vbs/ps/makrokod.
- Granska endast
js/vbs som kör nyttolasten som laddats ned från Internet (inga undantag)
Standard: Inte konfigurerat
Regel: Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll
- Inte konfigurerad
- Blockera – Blockera js/vbs från att köra nyttolasten som laddats ned från Internet.
- Granska endast
Processskapande från PSExec- och WMI-kommandon
Standard: Inte konfigurerat
Regel: Blockera processskapanden som kommer från PSExec- och WMI-kommandon
- Inte konfigurerad
- Blockera – Blockera processskapanden som kommer från PSExec- och WMI-kommandon.
- Granska endast
Icke betrodda och osignerade processer som körs från USB
Standard: Inte konfigurerat
Regel: Blockera obetrodda och osignerade processer som körs från USB
- Inte konfigurerad
- Blockera – Blockera obetrodda och osignerade processer som körs från USB.
- Granska endast
Körbara filer som inte uppfyller kriterier för prevalens, ålder eller betrodd lista
Standard: Inte konfigurerat
Regel: Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista
- Inte konfigurerad
- Blockera – Blockera körbara filer från att köras om de inte uppfyller ett villkor för prevalens, ålder eller betrodd lista.
- Granska endast

Regler för att förhindra e-posthot

Blockera följande för att förhindra e-posthot:

Körning av körbart innehåll (exe, dll, ps, js, vbs osv.) som tagits bort från e-post (webmail/e-postklient) (inga undantag)
Standard: Inte konfigurerat
Regel: Blockera körbart innehåll från e-postklienten och webbmeddelandet
- Inte konfigurerad
- Blockera – Blockera körning av körbart innehåll (exe, dll, ps, js, vbs osv.) som tagits bort från e-post (webmail/mail-client).
- Granska endast

Regler för att skydda mot utpressningstrojaner

Avancerat skydd mot utpressningstrojaner
Standard: Inte konfigurerat
Regel: Använd avancerat skydd mot utpressningstrojaner
- Inte konfigurerad
- Aktivera – Använd aggressivt skydd mot utpressningstrojaner.
- Granska endast

Undantag för minskning av attackytan

Filer och mappar som ska undantas från regler för minskning av attackytan
CSP för Defender: AttackSurfaceReductionOnlyExclusions
- Importera en .csv fil som innehåller filer och mappar som ska undantas från regler för minskning av attackytan.
- Lägg till lokala filer eller mappar manuellt.

Viktigt

För att tillåta korrekt installation och körning av LOB Win32-appar bör inställningarna för skadlig kod undanta följande kataloger från att genomsökas:
På X64-klientdatorer:
C:\Program Files (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache

På X86-klientdatorer:
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Mer information finns i Virusgenomsökningsrekommendationer för Företagsdatorer som kör versioner av Windows som stöds för närvarande.

Reglerad mappåtkomst

Skydda värdefulla data från skadliga appar och hot, till exempel utpressningstrojaner.

Mappskydd
Standard: Inte konfigurerat
Defender CSP: EnableControlledFolderAccess

Skydda filer och mappar från obehöriga ändringar av ovänliga appar.
- Inte konfigurerad
- Aktivera
- Granska endast
- Blockera diskändring
- Granska diskändring
När du väljer en annan konfiguration än Inte konfigurerad kan du sedan konfigurera:
- Lista över appar som har åtkomst till skyddade mappar
  CSP för Defender: ControlledFolderAccessAllowedApplications
  - Importera en .csv fil som innehåller en applista.
  - Lägg till appar i den här listan manuellt.
- Lista över ytterligare mappar som behöver skyddas
  CSP för Defender: ControlledFolderAccessProtectedFolders
  - Importera en .csv fil som innehåller en mapplista.
  - Lägg till mappar i den här listan manuellt.

Nätverksfiltrering

Blockera utgående anslutningar från alla appar till IP-adresser eller domäner med lågt rykte. Nätverksfiltrering stöds i både gransknings- och blockeringsläge.

Nätverksskydd
Standard: Inte konfigurerat
Defender CSP: EnableNetworkProtection

Syftet med den här inställningen är att skydda slutanvändarna från appar med åtkomst till nätfiskebedrägerier, exploateringsvärdwebbplatser och skadligt innehåll på Internet. Det förhindrar också att webbläsare från tredje part ansluter till farliga platser.
- Inte konfigurerad – Inaktivera den här funktionen. Användare och appar blockeras inte från att ansluta till farliga domäner. Administratörer kan inte se den här aktiviteten i Microsoft Defender Säkerhetscenter.
- Aktivera – Aktivera nätverksskydd och blockera användare och appar från att ansluta till farliga domäner. Administratörer kan se den här aktiviteten i Microsoft Defender Säkerhetscenter.
- Endast granskning: – Användare och appar blockeras inte från att ansluta till farliga domäner. Administratörer kan se den här aktiviteten i Microsoft Defender Säkerhetscenter.

Exploateringsskydd

Ladda upp XML
Standard: Inte konfigurerat

Om du vill använda Sårbarhetsskydd för att skydda enheter från kryphål skapar du en XML-fil som innehåller de inställningar för system- och programreducering som du vill använda. Det finns två metoder för att skapa XML-filen:
- PowerShell – Använd en eller flera av PowerShell-cmdletarna Get-ProcessMitigation, Set-ProcessMitigation och ConvertTo-ProcessMitigationPolicy . Cmdletarna konfigurerar åtgärdsinställningar och exporterar en XML-representation av dem.
- Microsoft Defender Säkerhetscenter användargränssnitt – I Microsoft Defender Säkerhetscenter väljer du App & webbläsarkontroll och bläddrar sedan längst ned på den resulterande skärmen för att hitta Exploit Protection. Använd först flikarna Systeminställningar och Programinställningar för att konfigurera åtgärdsinställningar. Leta sedan upp länken Exportera inställningar längst ned på skärmen för att exportera en XML-representation av dem.
Användarredigering av gränssnittet för sårbarhetsskydd
Standard: Inte konfigurerat
ExploitGuard CSP: ExploitProtectionSettings
- Blockera – Ladda upp en XML-fil som gör att du kan konfigurera minnes-, kontrollflödes- och principbegränsningar. Inställningarna i XML-filen kan användas för att blockera ett program från kryphål.
- Inte konfigurerad – Ingen anpassad konfiguration används.

Microsoft Defender programkontroll

Välj appar som ska granskas av eller som är betrodda att köras av Microsoft Defender Programkontroll. Windows-komponenter och alla appar från Windows Store är automatiskt betrodda att köras.

Kodintegritetsprinciper för programkontroll
Standard: Inte konfigurerat
CSP: AppLocker CSP
- Framtvinga – Välj kodintegritetsprinciper för programkontroll för användarnas enheter.
  
  När programkontrollen har aktiverats på en enhet kan den bara inaktiveras genom att ändra läget från Framtvinga till Endast granskning. Om du ändrar läget från Framtvinga till Inte konfigurerad fortsätter programkontrollen att tillämpas på tilldelade enheter.
- Inte konfigurerad – Programkontroll läggs inte till på enheter. Inställningar som tidigare lagts till fortsätter dock att tillämpas på tilldelade enheter.
- Endast granskning – program blockeras inte. Alla händelser loggas i den lokala klientens loggar.
  
  Obs!
  
  Om du använder den här inställningen uppmanar AppLocker CSP-beteende för närvarande slutanvändaren att starta om datorn när en princip distribueras.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard skyddar mot stöld av autentiseringsuppgifter. Det isolerar hemligheter så att endast privilegierad systemprogramvara kan komma åt dem.

Credential Guard
Standard: Inaktivera
DeviceGuard CSP
- Inaktivera – Fjärraktivera Credential Guard om den tidigare var aktiverad med alternativet Aktiverad utan UEFI-lås .
- Aktivera med UEFI-lås – Credential Guard kan inte fjärraktiveras med hjälp av en registernyckel eller grupprincip.
  
  Obs!
  
  Om du använder den här inställningen och senare vill inaktivera Credential Guard måste du ange grupprincip till Inaktiverad. Och rensa UEFI-konfigurationsinformationen fysiskt från varje dator. Så länge UEFI-konfigurationen kvarstår är Credential Guard aktiverat.
- Aktivera utan UEFI-lås – Tillåter att Credential Guard fjärraktiveras med hjälp av grupprincip. De enheter som använder den här inställningen måste köra Windows 10 version 1511 och senare, eller Windows 11.
När du aktiverar Credential Guard aktiveras även följande nödvändiga funktioner:
- Virtualiseringsbaserad säkerhet (VBS)
  Aktiveras vid nästa omstart. Virtualiseringsbaserad säkerhet använder Windows Hypervisor för att ge stöd för säkerhetstjänster.
- Säker start med åtkomst till katalogminne
  Aktiverar VBS med skydd för säker start och direkt minnesåtkomst (DMA). DMA-skydd kräver maskinvarustöd och aktiveras endast på korrekt konfigurerade enheter.

Microsoft Defender Säkerhetscenter

Microsoft Defender Säkerhetscenter fungerar som en separat app eller process från var och en av de enskilda funktionerna. Den visar meddelanden via Åtgärdscenter. Den fungerar som en insamlare eller en enda plats för att se statusen och köra en konfiguration för var och en av funktionerna. Läs mer i Microsoft Defender dokument.

Microsoft Defender Säkerhetscenter app och meddelanden

Blockera slutanvändarens åtkomst till de olika områdena i Microsoft Defender Säkerhetscenter-appen. Om du döljer ett avsnitt blockeras även relaterade meddelanden.

Skydd mot virus och hot
Standard: Inte konfigurerat
CSP för WindowsDefenderSecurityCenter: DisableVirusUI

Konfigurera om slutanvändarna kan visa området skydd mot virus och hot i Microsoft Defender Säkerhetscenter. Om du döljer det här avsnittet blockeras även alla meddelanden som rör virus- och hotskydd.
- Inte konfigurerad
- Dölja
Skydd mot utpressningstrojaner
Standard: Inte konfigurerat
CSP för WindowsDefenderSecurityCenter: HideRansomwareDataRecovery

Konfigurera om slutanvändarna kan visa skyddsområdet för utpressningstrojaner i Microsoft Defender Säkerhetscenter. Om du döljer det här avsnittet blockeras även alla meddelanden som rör skydd mot utpressningstrojaner.
- Inte konfigurerad
- Dölja
Kontoskydd
Standard: Inte konfigurerat
CSP för WindowsDefenderSecurityCenter: DisableAccountProtectionUI

Konfigurera om slutanvändare kan visa området Kontoskydd i Microsoft Defender Säkerhetscenter. Om du döljer det här avsnittet blockeras även alla meddelanden som rör kontoskydd.
- Inte konfigurerad
- Dölja
Brandväggs- och nätverksskydd
Standard: Inte konfigurerat
CSP för WindowsDefenderSecurityCenter: DisableNetworkUI

Konfigurera om slutanvändarna kan visa området Brandvägg och nätverksskydd i Microsoft Defender Security Center. Om du döljer det här avsnittet blockeras även alla meddelanden som rör brandvägg och nätverksskydd.
- Inte konfigurerad
- Dölja
App- och webbläsarkontroll
Standard: Inte konfigurerat
CSP för WindowsDefenderSecurityCenter: DisableAppBrowserUI

Konfigurera om slutanvändarna kan visa kontrollområdet App och webbläsare i Microsoft Defender Security Center. Om du döljer det här avsnittet blockeras även alla meddelanden som rör app- och webbläsarkontroll.
- Inte konfigurerad
- Dölja
Maskinvaruskydd
Standard: Inte konfigurerat
CSP för WindowsDefenderSecurityCenter: DisableDeviceSecurityUI

Konfigurera om slutanvändarna kan visa området Maskinvaruskydd i Microsoft Defender Säkerhetscenter. Om du döljer det här avsnittet blockeras även alla meddelanden som rör maskinvaruskydd.
- Inte konfigurerad
- Dölja
Enhetens prestanda och hälsa
Standard: Inte konfigurerat
CSP för WindowsDefenderSecurityCenter: DisableHealthUI

Konfigurera om slutanvändarna kan visa området Enhetsprestanda och hälsotillstånd i Microsoft Defender Security Center. Om du döljer det här avsnittet blockeras även alla meddelanden som rör enhetens prestanda och hälsa.
- Inte konfigurerad
- Dölja
Familjealternativ
Standard: Inte konfigurerat
CSP för WindowsDefenderSecurityCenter: DisableFamilyUI

Konfigurera om slutanvändarna kan visa området Familjealternativ i Microsoft Defender Security Center. Om du döljer det här avsnittet blockeras även alla meddelanden som är relaterade till familjealternativ.
- Inte konfigurerad
- Dölja
Meddelanden från de områden som visas i appen
Standard: Inte konfigurerat
CSP för WindowsDefenderSecurityCenter: DisableNotifications

Välj vilka meddelanden som ska visas för slutanvändarna. Icke-kritiska meddelanden innehåller sammanfattningar av Microsoft Defender antivirusaktivitet, inklusive meddelanden när genomsökningar har slutförts. Alla andra meddelanden anses vara kritiska.
- Inte konfigurerad
- Blockera icke-kritiska meddelanden
- Blockera alla meddelanden
Windows-säkerhet Center-ikonen i systemfältet
Standard: Inte konfigurerad CSP för WindowsDefenderSecurityCenter: HideWindowsSecurityNotificationAreaControl

Konfigurera visningen av meddelandeområdeskontrollen. Användaren måste antingen logga ut och logga in eller starta om datorn för att den här inställningen ska börja gälla.
- Inte konfigurerad
- Dölja
Knappen Rensa TPM
Standard: Inte konfigurerad CSP för WindowsDefenderSecurityCenter: DisableClearTpmButton

Konfigurera visningen av knappen Rensa TPM.
- Inte konfigurerad
- Inaktivera
Varning om uppdatering av inbyggd TPM-programvara
Standard: Inte konfigurerad CSP för WindowsDefenderSecurityCenter: DisableTpmFirmwareUpdateWarning

Konfigurera visning av uppdatering av inbyggd TPM-programvara när en sårbar inbyggd programvara identifieras.
- Inte konfigurerad
- Dölja
Manipulationsskydd
Standard: Inte konfigurerat

Aktivera eller inaktivera manipulationsskydd på enheter. Om du vill använda manipulationsskydd måste du integrera Microsoft Defender för Endpoint med Intune och ha Enterprise Mobility + Security E5-licenser.
- Inte konfigurerad – Ingen ändring görs i enhetsinställningarna.
- Aktiverad – Manipulationsskydd är aktiverat och begränsningar tillämpas på enheter.
- Inaktiverad – Manipulationsskydd är inaktiverat och begränsningar tillämpas inte.

IT-kontaktinformation

Ange IT-kontaktuppgifter som ska visas i Microsoft Defender Säkerhetscenter-appen och appaviseringar.

Du kan välja att Visa i appen och i meddelanden, Visa endast i appen, Visa endast i meddelanden eller Visa inte. Ange IT-organisationens namn och minst ett av följande kontaktalternativ:

IT-kontaktuppgifter
Standard: Visa inte
CSP för WindowsDefenderSecurityCenter: EnableCustomizedToasts

Konfigurera var IT-kontaktuppgifter ska visas för slutanvändarna.
- Visa i appen och i meddelanden
- Visa endast i appen
- Visa endast i meddelanden
- Visa inte
När du har konfigurerat att visa kan du konfigurera följande inställningar:
- IT-organisationsnamn
  Standard: Inte konfigurerat
  CSP för WindowsDefenderSecurityCenter: CompanyName
- IT-avdelningens telefonnummer eller Skype-ID
  Standard: Inte konfigurerat
  CSP för WindowsDefenderSecurityCenter: Phone
- E-postadress till IT-avdelningen
  Standard: Inte konfigurerat
  CSP för WindowsDefenderSecurityCenter: Email
- URL för IT-supportwebbplats
  Standard: Inte konfigurerat
  CSP:en WindowsDefenderSecurityCenter: URL

Säkerhetsalternativ för lokala enheter

Använd de här alternativen för att konfigurera de lokala säkerhetsinställningarna på Windows 10/11-enheter.

Konton

Lägga till nya Microsoft-konton
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: Accounts_BlockMicrosoftAccounts
- Blockera Förhindra användare från att lägga till nya Microsoft-konton på enheten.
- Inte konfigurerad – Användare kan använda Microsoft-konton på enheten.
Fjärrinloggning utan lösenord
Standard: Inte konfigurerat
CSP:en LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
- Blockera – Tillåt endast lokala konton med tomma lösenord att logga in med enhetens tangentbord.
- Inte konfigurerad – Tillåt att lokala konton med tomma lösenord loggar in från andra platser än den fysiska enheten.

Administratör

Lokalt administratörskonto
Standard: Inte konfigurerat
CSP:en LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
- Blockera Förhindra användning av ett lokalt administratörskonto.
- Inte konfigurerad
Byt namn på administratörskonto
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: Accounts_RenameAdministratorAccount

Definiera ett annat kontonamn som ska associeras med säkerhetsidentifieraren (SID) för kontot "Administratör".

Pensionat

Gästkonto
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: LocalPoliciesSecurityOptions
- Blockera – Förhindra användning av ett gästkonto.
- Inte konfigurerad
Byt namn på gästkonto
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: Accounts_RenameGuestAccount

Definiera ett annat kontonamn som ska associeras med säkerhetsidentifieraren (SID) för kontot "Gäst".

Enheter

Ta bort dockning av enhet utan inloggning
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: Devices_AllowUndockWithoutHavingToLogon
- Blockera – En användare måste logga in på enheten och få behörighet att avdocka enheten.
- Inte konfigurerad – Användarna kan trycka på en dockad bärbar enhets fysiska utmatningsknapp för att på ett säkert sätt koppla bort enheten.
Installera skrivardrivrutiner för delade skrivare
Standard: Inte konfigurerat
CSP:Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters LocalPoliciesSecurityOptions
- Aktiverad – Alla användare kan installera en skrivardrivrutin som en del av anslutningen till en delad skrivare.
- Inte konfigurerad – Endast administratörer kan installera en skrivardrivrutin som en del av anslutningen till en delad skrivare.
Begränsa CD-ROM-åtkomst till lokal aktiv användare
Standard: Inte konfigurerat
CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
- Aktiverad – Endast den interaktivt inloggade användaren kan använda CD-ROM-mediet. Om den här principen är aktiverad och ingen är inloggad interaktivt kommer CD-ROM-enheten att nås via nätverket.
- Inte konfigurerad – Alla har åtkomst till CD-ROM.
Formatera och mata ut flyttbara medier
Standard: Administratörer
CSP: Devices_AllowedToFormatAndEjectRemovableMedia

Definiera vem som får formatera och mata ut flyttbara NTFS-media:
- Inte konfigurerad
- Administratörer
- Administratörer och power-användare
- Administratörer och interaktiva användare

Interaktiv inloggning

Minuter av inaktivitet på låsskärmen tills skärmsläckaren aktiveras
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: InteractiveLogon_MachineInactivityLimit

Ange maximalt antal minuter av inaktivitet tills skärmsläckare aktiveras. (0 - 99999)
Kräv CTRL+ALT+DEL för att logga in
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: InteractiveLogon_DoNotRequireCTRLALTDEL
- Aktivera – Kräv att användarna trycker på CTRL+ALT+DEL innan de loggar in på Windows.
- Inte konfigurerad – Om du trycker på CTRL+ALT+DEL krävs det inte för att användarna ska kunna logga in.
Beteende vid borttagning av smartkort
Standard: Csp:n LocalPoliciesSecurityOptions: InteractiveLogon_SmartCardRemovalBehavior

Avgör vad som händer när smartkortet för en inloggad användare tas bort från smartkortsläsaren. Dina alternativ:
- Lås arbetsstation – Arbetsstationen låses när smartkortet tas bort. Med det här alternativet kan användare lämna området, ta med sig smartkortet och ändå underhålla en skyddad session.
- Ingen åtgärd
- Tvinga utloggning – Användaren loggas ut automatiskt när smartkortet tas bort.
- Koppla från om en fjärrskrivbordstjänstsession – Borttagning av smartkortet kopplar från sessionen utan att logga ut användaren. Med det här alternativet kan användaren infoga smartkortet och återuppta sessionen senare, eller på en annan dator med smartkortsläsare, utan att behöva logga in igen. Om sessionen är lokal fungerar den här principen identiskt med Lås arbetsstation.

Visning

Användarinformation på låsskärmen
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Konfigurera den användarinformation som visas när sessionen är låst. Om det inte är konfigurerat visas användarens visningsnamn, domän och användarnamn.
- Inte konfigurerad
- Användarens visningsnamn, domän och användarnamn
- Endast användarens visningsnamn
- Visa inte användarinformation
Dölj senast inloggad användare
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayLastSignedIn
- Aktivera – Dölj användarnamnet.
- Inte konfigurerat – Visa det senaste användarnamnet.
Dölj användarnamn vid inloggningstandard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayUsernameAtSignIn
- Aktivera – Dölj användarnamnet.
- Inte konfigurerat – Visa det senaste användarnamnet.
Rubrik på inloggningsmeddelande
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Ange meddelanderubriken för användare som loggar in.
Meddelandetext för inloggning
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Ange meddelandetexten för användare som loggar in.

Nätverksåtkomst och säkerhet

Anonym åtkomst till namngivna pipes och resurser
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
- Inte konfigurerad – Begränsa anonym åtkomst till delnings- och namngivna pipe-inställningar. Gäller för de inställningar som kan nås anonymt.
- Blockera – Inaktivera den här principen, vilket gör anonym åtkomst tillgänglig.
Anonym uppräkning av SAM-konton
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
- Inte konfigurerad – Anonyma användare kan räkna upp SAM-konton.
- Blockera – Förhindra anonym uppräkning av SAM-konton.
Anonym uppräkning av SAM-konton och -resurser
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
- Inte konfigurerad – Anonyma användare kan räkna upp namnen på domänkonton och nätverksresurser.
- Blockera – Förhindra anonym uppräkning av SAM-konton och -resurser.
LAN Manager-hashvärde som lagras vid lösenordsändring
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Kontrollera om hash-värdet för lösenord lagras nästa gång lösenordet ändras.
- Inte konfigurerat – hash-värdet lagras inte
- Blockera – LAN Manager (LM) lagrar hash-värdet för det nya lösenordet.
PKU2U-autentiseringsbegäranden
Standard: Inte konfigurerat
CSP:en LocalPoliciesSecurityOptions: NetworkSecurity_AllowPKU2UAuthenticationRequests
- Inte konfigurerad – Tillåt PU2U-begäranden.
- Blockera – Blockera PKU2U-autentiseringsbegäranden till enheten.
Begränsa RPC-fjärranslutningar till SAM
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
- Inte konfigurerad – Använd standardsäkerhetsbeskrivningen, som kan göra det möjligt för användare och grupper att göra RPC-fjärranrop till SAM.
- Tillåt – Neka användare och grupper från att göra fjärr-RPC-anrop till Säkerhetskontohanteraren (SAM), som lagrar användarkonton och lösenord. Tillåt låter dig också ändra standardsträngen för SDDL (Security Descriptor Definition Language) för att uttryckligen tillåta eller neka användare och grupper att göra dessa fjärranrop.
  - Säkerhetsbeskrivning
    Standard: Inte konfigurerat
Minsta sessionssäkerhet för NTLM SSP-baserade klienter
Standard: Ingen
CSP:et LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Med den här säkerhetsinställningen kan en server kräva förhandling om 128-bitars kryptering och/eller NTLMv2-sessionssäkerhet.
- Ingen
- Kräv NTLMv2-sessionssäkerhet
- Kräv 128-bitars kryptering
- NTLMv2- och 128-bitarskryptering
Lägsta sessionssäkerhet för NTLM SSP-baserad server
Standard: Ingen
CSP:et LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Den här säkerhetsinställningen avgör vilket protokoll för autentisering av utmaning/svar som används för nätverksinloggningar.
- Ingen
- Kräv NTLMv2-sessionssäkerhet
- Kräv 128-bitars kryptering
- NTLMv2- och 128-bitarskryptering
LAN Manager-autentiseringsnivå
Standard: LM och NTLM
CSP:et LocalPoliciesSecurityOptions: NetworkSecurity_LANManagerAuthenticationLevel
- LM och NTLM
- LM, NTLM och NTLMv2
- NTLM
- NTLMv2
- NTLMv2 och inte LM
- NTLMv2 och inte LM eller NTLM
Osäkra gästinloggningar
Standard: Inte konfigurerat
CSP för LanmanWorkstation: LanmanWorkstation

Om du aktiverar den här inställningen avvisar SMB-klienten osäkra gästinloggningar.
- Inte konfigurerad
- Blockera – SMB-klienten avvisar osäkra gästinloggningar.

Återställningskonsol och avstängning

Rensa växlingsfilen för virtuellt minne när du stänger av
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: Shutdown_ClearVirtualMemoryPageFile
- Aktivera – Rensa växlingsfilen för virtuellt minne när enheten stängs av.
- Inte konfigurerad – rensar inte det virtuella minnet.
Stäng av utan inloggning
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
- Blockera – Dölj avstängningsalternativet på Windows-inloggningsskärmen. Användarna måste logga in på enheten och sedan stänga av.
- Inte konfigurerad – Tillåt användare att stänga av enheten från Windows-inloggningsskärmen.

Kontroll av användarkonto

UIA-integritet utan säker plats
Standard: Inte konfigurerad
CSP:et LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
- Blockera – Appar som finns på en säker plats i filsystemet körs endast med UIAccess-integritet.
- Inte konfigurerad – Gör att appar kan köras med UIAccess-integritet, även om apparna inte finns på en säker plats i filsystemet.
Virtualisera fil- och registerskrivningsfel till platser per användare
Standard: Inte konfigurerad
CSP:et LocalPoliciesSecurityOptions: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
- Aktiverad – Program som skriver data till skyddade platser misslyckas.
- Inte konfigurerad – Programskrivningsfel omdirigeras vid körning till definierade användarplatser för filsystemet och registret.
Höj endast körbara filer som är signerade och verifierade
Standard: Inte konfigurerad
CSP:et LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
- Aktiverad – Framtvinga validering av PKI-certifieringssökväg för en körbar fil innan den kan köras.
- Inte konfigurerad – Framtvinga inte validering av PKI-certifieringssökväg innan en körbar fil kan köras.

UIA-fråga om utökade privilegier

Fråga om utökade privilegier för administratörer
Standard: Fråga efter medgivande för binärfiler som inte kommer från Windows
CSP:et LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Definiera beteendet för fråga om utökade privilegier för administratörer i Admin godkännandeläge.
- Inte konfigurerad
- Höj utan att fråga
- Fråga efter autentiseringsuppgifter på det skyddade skrivbordet
- Fråga efter autentiseringsuppgifter
- Fråga efter medgivande
- Fråga efter medgivande för binärfiler som inte kommer från Windows
Fråga om utökade privilegier för standardanvändare
Standard: Fråga efter autentiseringsuppgifter
CSP:et LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Definiera beteendet för fråga om utökade privilegier för standardanvändare.
- Inte konfigurerad
- Neka begäranden om utökade privilegier automatiskt
- Fråga efter autentiseringsuppgifter på det skyddade skrivbordet
- Fråga efter autentiseringsuppgifter
Dirigera frågor om utökade privilegier till användarens interaktiva skrivbord
Standard: Inte konfigurerad
CSP:et LocalPoliciesSecurityOptions: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
- Aktiverad – Alla begäranden om utökade privilegier för att gå till den interaktiva användarens skrivbord i stället för det säkra skrivbordet. Eventuella principinställningar för frågande för administratörer och standardanvändare används.
- Inte konfigurerad – Tvinga alla begäranden om utökade privilegier att gå till det skyddade skrivbordet, oavsett eventuella principinställningar för frågande för administratörer och standardanvändare.
Upphöjd uppmaning för appinstallationer
Standard: Inte konfigurerad
CSP:en LocalPoliciesSecurityOptions: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
- Aktiverad – Programinstallationspaket identifieras inte eller tillfrågas om utökade privilegier.
- Inte konfigurerad – Användarna uppmanas att ange ett administrativt användarnamn och lösenord när ett programinstallationspaket kräver utökade privilegier.
Fråga om UIA-utökade privilegier utan säkert skrivbord
Standard: Inte konfigurerad
CSP:et LocalPoliciesSecurityOptions: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Aktivera – Tillåt att UIAccess-appar frågar om utökade privilegier, utan att använda det säkra skrivbordet.
Inte konfigurerat – Frågor om utökade privilegier använder ett säkert skrivbord.

Admin godkännandeläge

Admin godkännandeläge för inbyggd administratör
Standard: Inte konfigurerad
CSP:et LocalPoliciesSecurityOptions: UserAccountControl_UseAdminApprovalMode
- Aktiverad – Tillåt att det inbyggda administratörskontot använder Admin godkännandeläge. Alla åtgärder som kräver utökade privilegier uppmanar användaren att godkänna åtgärden.
- Inte konfigurerad – kör alla appar med fullständig administratörsbehörighet.
Kör alla administratörer i Admin godkännandeläge
Standard: Inte konfigurerad
CSP:et LocalPoliciesSecurityOptions: UserAccountControl_RunAllAdministratorsInAdminApprovalMode
- Aktiverad – Aktivera Admin godkännandeläge.
- Inte konfigurerat – Inaktivera Admin godkännandeläge och alla relaterade UAC-principinställningar.

Microsoft Network Client

Signera kommunikation digitalt (om servern tillåter)
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Avgör om SMB-klienten förhandlar SMB-paketsignering.
- Blockera – SMB-klienten förhandlar aldrig SMB-paketsignering.
- Inte konfigurerad – Microsoft-nätverksklienten ber servern att köra SMB-paketsignering vid sessionskonfiguration. Om paketsignering är aktiverat på servern förhandlas paketsignering.
Skicka okrypterade lösenord till SMB-servrar från tredje part
Standard: Inte konfigurerat
CSP:en LocalPoliciesSecurityOptions: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
- Blockera – SMB-omdirigeraren (Server Message Block) kan skicka lösenord i klartext till SMB-servrar som inte har stöd för lösenordskryptering under autentisering.
- Inte konfigurerad – Blockera sändning av lösenord i klartext. Lösenorden är krypterade.
Signera kommunikation digitalt (alltid)
Standard: Inte konfigurerat
CSP:et LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsAlways
- Aktivera – Microsoft-nätverksklienten kommunicerar inte med en Microsoft-nätverksserver om inte den servern godkänner signering av SMB-paket.
- Inte konfigurerad – SMB-paketsignering förhandlas mellan klienten och servern.

Microsoft Network Server

Signera kommunikation digitalt (om klienten samtycker)
Standard: Inte konfigurerat
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
- Aktivera – Microsoft-nätverksservern förhandlar SMB-paketsignering på begäran av klienten. Om paketsignering är aktiverat på klienten förhandlas alltså paketsignering.
- Inte konfigurerad – SMB-klienten förhandlar aldrig SMB-paketsignering.
Signera kommunikation digitalt (alltid)
Standard: Inte konfigurerat
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways
- Aktivera – Microsoft-nätverksservern kommunicerar inte med en Microsoft-nätverksklient om inte klienten godkänner signering av SMB-paket.
- Inte konfigurerad – SMB-paketsignering förhandlas mellan klienten och servern.

Xbox-tjänster

Spara xbox-speluppgift
Standard: Inte konfigurerat
CSP: TaskScheduler/EnableXboxGameSaveTask

Den här inställningen avgör om Xbox Game Save-uppgiften är Aktiverad eller Inaktiverad.
- Aktiverat
- Inte konfigurerad
Hanteringstjänst för Xbox-tillbehör
Standard: Manuell
CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupMode

Den här inställningen avgör starttypen för tillbehörshanteringstjänsten.
- Manuell
- Automatisk
- Inaktiverad
Tjänsten Xbox Live Auth Manager
Standard: Manuell
CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupMode

Den här inställningen avgör starttypen för Live Auth Manager-tjänsten.
- Manuell
- Automatisk
- Inaktiverad
Spara Xbox Live-speltjänst
Standard: Manuell
CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupMode

Den här inställningen avgör starttypen för Live Game Save Service.
- Manuell
- Automatisk
- Inaktiverad
Xbox Live Networking Service
Standard: Manuell
CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupMode

Den här inställningen avgör nätverkstjänstens starttyp.
- Manuell
- Automatisk
- Inaktiverad

Nästa steg

Profilen har skapats, men den gör ingenting ännu. Tilldela sedan profilen och övervaka dess status.

Konfigurera inställningar för slutpunktsskydd på macOS-enheter .