Share via

Principinställningar för minskning av attackytan för slutpunktssäkerhet i Intune

  • Artikel

Visa de inställningar som du kan konfigurera i profiler för policyn Minskning av attackytan i noden slutpunktssäkerhet i Intune som en del av en endpoint security-princip.

Gäller för:

  • Windows 11
  • Windows 10

Plattformar och profiler som stöds:

  • Windows 10 och senare – Använd den här plattformen för principer som du distribuerar till enheter som hanteras med Intune.

    • Profil: App- och webbläsarisolering
    • Profil: Programkontroll
    • Profil: Regler för minskning av attackytan
    • Profil: Enhetskontroll
    • Profil: Sårbarhetsskydd
    • Profil: Webbskydd (Microsoft Edge (äldre version))

  • Windows 10 och senare (ConfigMgr): Använd den här plattformen för principer som du distribuerar till enheter som hanteras av Configuration Manager.

    • Profil: Exploit Protection(ConfigMgr)(förhandsversion)
    • Profil: Webbskydd (ConfigMgr)(förhandsversion)

  • Windows 10, Windows 11 och Windows Server: Använd den här plattformen för principer som du distribuerar till enheter som hanteras via Säkerhetshantering för Microsoft Defender för Endpoint.

    • Profil: Regler för minskning av attackytan

Minskning av attackytan (MDM)

App- och webbläsarisoleringsprofil

Obs!

Det här avsnittet beskriver inställningarna i app- och webbläsarisoleringsprofiler som skapats före den 18 april 2023. Profiler som skapats efter det datumet använder ett nytt inställningsformat som finns i inställningskatalogen. Med den här ändringen kan du inte längre skapa nya versioner av den gamla profilen och de utvecklas inte längre. Även om du inte längre kan skapa nya instanser av den äldre profilen kan du fortsätta att redigera och använda instanser av den som du skapade tidigare.

För profiler som använder det nya inställningsformatet behåller Intune inte längre en lista över varje inställning efter namn. I stället tas namnet på varje inställning, dess konfigurationsalternativ och dess förklarande text som visas i Microsoft Intune administrationscenter direkt från inställningarnas auktoritativa innehåll. Innehållet kan ge mer information om användningen av inställningen i rätt kontext. När du visar en inställningsinformationstext kan du använda länken Läs mer för att öppna innehållet.

App- och webbläsarisolering

  • Aktivera Application Guard
    CSP: AllowWindowsDefenderApplicationGuard

    • Inte konfigurerad (standard) – Microsoft Defender Application Guard har inte konfigurerats för Microsoft Edge- eller isolerade Windows-miljöer.
    • Aktiverad för Edge – Application Guard öppnar ej godkända webbplatser i en virtualiserad Hyper-V-webbläsarcontainer.
    • Aktiverad för isolerade Windows-miljöer – Application Guard är aktiverat för alla program som är aktiverade för App Guard i Windows.
    • Aktiverad för Edge OCH isolerade Windows-miljöer – Application Guard har konfigurerats för båda scenarierna.

    Obs!

    Om du distribuerar Application Guard för Microsoft Edge via Intune måste principen för Nätverksisolering i Windows konfigureras som en förutsättning. Nätverksisolering kan konfigureras via olika profiler, inklusive app- och broswerisolering under inställningen Windows-nätverksisolering .

    När inställningen är Aktiverad för Edge eller Aktiverad för Edge OCH isolerade Windows-miljöer är följande inställningar tillgängliga, som gäller för Edge:

    • Beteende för Urklipp
      CSP: UrklippInställningar

      Välj vilka kopierings- och inklistringsåtgärder som tillåts från den lokala datorn och en Application Guard virtuell webbläsare.

      • Inte konfigurerad (standard)
      • Blockera kopiera och klistra in mellan dator och webbläsare
      • Tillåt endast kopiering och inklistring från webbläsare till dator
      • Tillåt endast kopiering och inklistring från dator till webbläsare
      • Tillåt kopiering och inklistring mellan dator och webbläsare

    • Blockera externt innehåll från icke-företagsgodkända webbplatser
      CSP: BlockNonEnterpriseContent

      • Inte konfigurerad (standard)
      • Ja – Blockera inläsning av innehåll från webbplatser som inte har godkänts.

    • Samla in loggar för händelser som inträffar inom en Application Guard webbläsarsession
      CSP: AuditApplicationGuard

      • Inte konfigurerad (standard)
      • Ja – Samla in loggar för händelser som inträffar i en Application Guard virtuell webbläsarsession.

    • Tillåt att användargenererade webbläsardata sparas
      CSP: AllowPersistence

      • Inte konfigurerad (standard)
      • Ja – Tillåt att användardata som skapas under en Application Guard virtuell webbläsarsession sparas. Exempel på användardata är lösenord, favoriter och cookies.

    • Aktivera maskinvaruacceleration för grafik
      CSP: AllowVirtualGPU

      • Inte konfigurerad (standard)
      • Ja – I den Application Guard virtuella webbläsarsessionen använder du en virtuell grafikprocessor för att läsa in grafikintensiva webbplatser snabbare.

    • Tillåt användare att ladda ned filer till värden
      CSP: SaveFilesToHost

      • Inte konfigurerad (standard)
      • Ja – Tillåt användare att ladda ned filer från den virtualiserade webbläsaren till värdoperativsystemet.

    • Application Guard tillåta kamera- och mikrofonåtkomst
      CSP: AllowCameraMicrophoneRedirection

      • Inte konfigurerad (standard) – Program i Microsoft Defender Application Guard kan inte komma åt kameran och mikrofonen på användarens enhet.
      • Ja – Program i Microsoft Defender Application Guard kan komma åt kameran och mikrofonen på användarens enhet.
      • Nej – Program i Microsoft Defender Application Guard kan inte komma åt kameran och mikrofonen på användarens enhet. Det här är samma beteende som Inte konfigurerat.

  • Application Guard tillåter utskrift till lokala skrivare

    • Inte konfigurerad (standard)
    • Ja – Tillåt utskrift till lokala skrivare.

  • Application Guard tillåter utskrift till nätverksskrivare

    • Inte konfigurerad (standard)
    • Ja – Tillåt utskrift till nätverksskrivare.

  • Application Guard tillåter utskrift till PDF

    • Inte konfigurerad (standard)
    • Ja – Tillåt utskrift till PDF.

  • Application Guard tillåter utskrift till XPS

    • Inte konfigurerad (standard)
    • Ja – – Tillåt utskrift till XPS.

  • Application Guard tillåta användning av rotcertifikatutfärdare från användarens enhet
    CSP: CertificateThumbprints

    Konfigurera certifikattumavtryck för att automatiskt överföra det matchande rotcertifikatet till Microsoft Defender Application Guard containern.

    Om du vill lägga till tumavtryck en i taget väljer du Lägg till. Du kan använda Importera för att ange en .CSV fil som innehåller flera tumavtrycksposter som alla läggs till i profilen samtidigt. När du använder en .CSV fil måste varje tumavtryck avgränsas med ett kommatecken. Till exempel: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

    Alla poster som visas i profilen är aktiva. Du behöver inte markera en kryssruta för en tumavtryckspost för att göra den aktiv. Använd i stället kryssrutorna för att hantera de poster som har lagts till i profilen. Du kan till exempel markera kryssrutan för en eller flera tumavtrycksposter för certifikat och sedan Ta bort dessa poster från profilen med en enda åtgärd.

  • Princip för nätverksisolering i Windows

    • Inte konfigurerad (standard)
    • Ja – Konfigurera en princip för nätverksisolering i Windows.

    När värdet är Ja kan du konfigurera följande inställningar:

    • IP-intervall
      Expandera listrutan, välj Lägg till och ange sedan en lägre adress och sedan en övre adress.

    • Molnresurser
      Expandera listrutan, välj Lägg till och ange sedan en IP-adress eller FQDN och en proxy.

    • Nätverksdomäner
      Expandera listrutan, välj Lägg till och ange sedan Nätverksdomäner.

    • Proxyservrar
      Expandera listrutan, välj Lägg till och ange sedan Proxyservrar.

    • Interna proxyservrar
      Expandera listrutan, välj Lägg till och ange sedan Interna proxyservrar.

    • Neutrala resurser
      Expandera listrutan, välj Lägg till och ange sedan Neutrala resurser.

    • Inaktivera automatisk identifiering av andra företagsproxyservrar

      • Inte konfigurerad (standard)
      • Ja – Inaktivera automatisk identifiering av andra företagsproxyservrar.

    • Inaktivera automatisk identifiering av andra företags-IP-intervall

      • Inte konfigurerad (standard)
      • Ja – Inaktivera automatisk identifiering av andra företags-IP-intervall.

    Obs!

    När profilen har skapats har alla enheter som principen ska tillämpas på Microsoft Defender Application Guard aktiverade. Användarna kan behöva starta om sina enheter för att skyddet ska vara på plats.

Profil för programkontroll

Microsoft Defender programkontroll

  • Programkontroll för applås
    CSP: AppLocker

    • Inte konfigurerad (standard)
    • Framtvinga komponenter och Store-appar
    • Granska komponenter och Store-appar
    • Framtvinga komponenter, Store-appar och Smartlocker
    • Granska komponenter, Store-appar och Smartlocker

  • Blockera användare från att ignorera SmartScreen-varningar
    CSP: SmartScreen/PreventOverrideForFilesInShell

    • Inte konfigurerad (standard) – Användare kan ignorera SmartScreen-varningar för filer och skadliga appar.
    • Ja – SmartScreen är aktiverat och användarna kan inte kringgå varningar för filer eller skadliga appar.

  • Aktivera Windows SmartScreen
    CSP: SmartScreen/EnableSmartScreenInShell

    • Inte konfigurerad (standard) – Returnera inställningen till Windows standard, vilket är att aktivera SmartScreen, men användarna kan ändra den här inställningen. Om du vill inaktivera SmartScreen använder du en anpassad URI.
    • Ja – Framtvinga användning av SmartScreen för alla användare.

Profil för regler för minskning av attackytan

Regler för minskning av attackytan

Mer information om regler för minskning av attackytan finns i Referens för regler för minskning av attackytan i Microsoft 365-dokumentationen.

Obs!

Det här avsnittet beskriver inställningarna i profiler för regler för minskning av attackytan som skapades före den 5 april 2022. Profiler som skapats efter det datumet använder ett nytt inställningsformat som finns i inställningskatalogen. Med den här ändringen kan du inte längre skapa nya versioner av den gamla profilen och de utvecklas inte längre. Även om du inte längre kan skapa nya instanser av den äldre profilen kan du fortsätta att redigera och använda instanser av den som du skapade tidigare.

För profiler som använder det nya inställningsformatet behåller Intune inte längre en lista över varje inställning efter namn. I stället tas namnet på varje inställning, dess konfigurationsalternativ och dess förklarande text som visas i Microsoft Intune administrationscenter direkt från inställningarnas auktoritativa innehåll. Innehållet kan ge mer information om användningen av inställningen i rätt kontext. När du visar en inställningsinformationstext kan du använda länken Läs mer för att öppna innehållet.

  • Blockera beständighet via WMI-händelseprenumeration
    Minska attackytor med regler för minskning av attackytan

    Den här regeln för minskning av attackytan (ASR) styrs via följande GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

    Den här regeln förhindrar att skadlig kod missbrukar WMI för att uppnå beständighet på en enhet. Fillösa hot använder olika metoder för att hålla sig dolda, för att undvika att ses i filsystemet och för att få regelbunden körningskontroll. Vissa hot kan missbruka WMI-lagringsplatsen och händelsemodellen för att förbli dolda.

    • Inte konfigurerad (standard) – Inställningen återgår till Windows-standardvärdet, som är inaktiverat och beständighet inte blockeras.
    • Blockera – Beständighet via WMI blockeras.
    • Granska – Utvärdera hur den här regeln påverkar din organisation om den är aktiverad (inställd på Blockera).
    • Inaktivera – Inaktivera den här regeln. Beständighet blockeras inte.

    Mer information om den här inställningen finns i Blockera beständighet via WMI-händelseprenumeration.

  • Blockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe)
    Skydda enheter från exploatering

    Den här regeln för minskning av attackytan (ASR) styrs via följande GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • Inte konfigurerad (standard) – Inställningen återgår till Windows-standardvärdet, som är inaktiverat.
    • Användardefinierad
    • Aktivera – Försök att stjäla autentiseringsuppgifter via lsass.exe blockeras.
    • Granskningsläge – Användare blockeras inte från farliga domäner och Windows-händelser aktiveras i stället.
    • Varna – För Windows 10 version 1809 eller senare och Windows 11 får enhetsanvändaren ett meddelande om att de kan kringgå Blockera för inställningen. På enheter som kör tidigare versioner av Windows 10 framtvingar regeln beteendet Aktivera.

  • Blockera Adobe Reader från att skapa underordnade processer
    Minska attackytor med regler för minskning av attackytan

    Den här ASR-regeln styrs via följande GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

    • Inte konfigurerad (standard) – Windows-standardinställningen återställs, är att inte blockera skapandet av underordnade processer.
    • Användardefinierad
    • Aktivera – Adobe Reader blockeras från att skapa underordnade processer.
    • Granskningsläge – Windows-händelser aktiveras i stället för att blockera underordnade processer.
    • Varna – För Windows 10 version 1809 eller senare och Windows 11 får enhetsanvändaren ett meddelande om att de kan kringgå Blockera för inställningen. På enheter som kör tidigare versioner av Windows 10 framtvingar regeln beteendet Aktivera.

  • Blockera Office-program från att mata in kod i andra processer
    Skydda enheter från exploatering

    Den här ASR-regeln styrs via följande GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • Inte konfigurerad (standard) – Inställningen återgår till Windows-standardvärdet, som är inaktiverat.
    • Blockera – Office-program blockeras från att mata in kod i andra processer.
    • Granskningsläge – Windows-händelser aktiveras i stället för att blockeras.
    • Varna – För Windows 10 version 1809 eller senare och Windows 11 får enhetsanvändaren ett meddelande om att de kan kringgå Blockera för inställningen. På enheter som kör tidigare versioner av Windows 10 framtvingar regeln beteendet Aktivera.
    • Inaktivera – Den här inställningen är inaktiverad.

  • Blockera Office-program från att skapa körbart innehåll
    Skydda enheter från exploatering

    Den här ASR-regeln styrs via följande GUID: 3B576869-A4EC-4529-8536-B80A7769E899

    • Inte konfigurerad (standard) – Inställningen återgår till Windows-standardvärdet, som är inaktiverat.
    • Blockera – Office-program blockeras från att skapa körbart innehåll.
    • Granskningsläge – Windows-händelser aktiveras i stället för att blockeras.
    • Varna – För Windows 10 version 1809 eller senare och Windows 11 får enhetsanvändaren ett meddelande om att de kan kringgå Blockera för inställningen. På enheter som kör tidigare versioner av Windows 10 framtvingar regeln beteendet Aktivera.
    • Inaktivera – Den här inställningen är inaktiverad.

  • Blockera alla Office-program från att skapa underordnade processer
    Skydda enheter från exploatering

    Den här ASR-regeln styrs via följande GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • Inte konfigurerad (standard) – Inställningen återgår till Windows-standardvärdet, som är inaktiverat.
    • Blockera – Office-program blockeras från att skapa underordnade processer.
    • Granskningsläge – Windows-händelser aktiveras i stället för att blockeras.
    • Varna – För Windows 10 version 1809 eller senare och Windows 11 får enhetsanvändaren ett meddelande om att de kan kringgå Blockera för inställningen. På enheter som kör tidigare versioner av Windows 10 framtvingar regeln beteendet Aktivera.
    • Inaktivera – Den här inställningen är inaktiverad.

  • Blockera Win32 API-anrop från Office-makro
    Skydda enheter från exploatering

    Den här ASR-regeln styrs via följande GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

    • Inte konfigurerad (standard) – Inställningen återgår till Windows-standardvärdet, som är inaktiverat.
    • Blockera – Office-makron blockeras från att använda Win32 API-anrop.
    • Granskningsläge – Windows-händelser aktiveras i stället för att blockeras.
    • Varna – För Windows 10 version 1809 eller senare och Windows 11 får enhetsanvändaren ett meddelande om att de kan kringgå Blockera för inställningen. På enheter som kör tidigare versioner av Windows 10 framtvingar regeln beteendet Aktivera.
    • Inaktivera – Den här inställningen är inaktiverad.

  • Blockera Office-kommunikationsappar från att skapa underordnade processer
    Skydda enheter från exploatering

    Den här ASR-regeln styrs via följande GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869.

    • Inte konfigurerad (standard) – Windows-standardvärdet återställs, vilket är att inte blockera skapandet av underordnade processer.
    • Användardefinierad
    • Aktivera – Office-kommunikationsprogram blockeras från att skapa underordnade processer.
    • Granskningsläge – Windows-händelser aktiveras i stället för att blockera underordnade processer.
    • Varna – För Windows 10 version 1809 eller senare och Windows 11 får enhetsanvändaren ett meddelande om att de kan kringgå Blockera för inställningen. På enheter som kör tidigare versioner av Windows 10 framtvingar regeln beteendet Aktivera.

  • Blockera körning av potentiellt dolda skript (js/vbs/ps)
    Skydda enheter från exploatering

    Den här ASR-regeln styrs via följande GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • Inte konfigurerad (standard) – Inställningen återgår till Windows-standardvärdet, som är inaktiverat.
    • Blockera – Defender blockerar körning av dolda skript.
    • Granskningsläge – Windows-händelser aktiveras i stället för att blockeras.
    • Varna – För Windows 10 version 1809 eller senare och Windows 11 får enhetsanvändaren ett meddelande om att de kan kringgå Blockera för inställningen. På enheter som kör tidigare versioner av Windows 10 framtvingar regeln beteendet Aktivera.
    • Inaktivera – Den här inställningen är inaktiverad.

  • Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll
    Skydda enheter från exploatering

    Den här ASR-regeln styrs via följande GUID: D3E037E1-3EB8-44C8-A917-57927947596D

    • Inte konfigurerad (standard) – Inställningen återgår till Windows-standardvärdet, som är inaktiverat.
    • Blockera – Defender blockerar JavaScript- eller VBScript-filer som har laddats ned från Internet från att köras.
    • Granskningsläge – Windows-händelser aktiveras i stället för att blockeras.
    • Inaktivera – Den här inställningen är inaktiverad.

  • Blockera processskapanden från PSExec- och WMI-kommandon
    Skydda enheter från exploatering

    Den här ASR-regeln styrs via följande GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

    • Inte konfigurerad (standard) – Inställningen återgår till Windows-standardvärdet, som är inaktiverat.
    • Blockera – Processskapande av PSExec- eller WMI-kommandon blockeras.
    • Granskningsläge – Windows-händelser aktiveras i stället för att blockeras.
    • Varna – För Windows 10 version 1809 eller senare och Windows 11 får enhetsanvändaren ett meddelande om att de kan kringgå Blockera för inställningen. På enheter som kör tidigare versioner av Windows 10 framtvingar regeln beteendet Aktivera.
    • Inaktivera – Den här inställningen är inaktiverad.

  • Blockera obetrodda och osignerade processer som körs från USB
    Skydda enheter från exploatering

    Den här ASR-regeln styrs via följande GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • Inte konfigurerad (standard) – Inställningen återgår till Windows-standardvärdet, som är inaktiverat.
    • Blockera – Obetrodda och osignerade processer som körs från en USB-enhet blockeras.
    • Granskningsläge – Windows-händelser aktiveras i stället för att blockeras.
    • Varna – För Windows 10 version 1809 eller senare och Windows 11 får enhetsanvändaren ett meddelande om att de kan kringgå Blockera för inställningen. På enheter som kör tidigare versioner av Windows 10 framtvingar regeln beteendet Aktivera.
    • Inaktivera – Den här inställningen är inaktiverad.

  • Blockera körbara filer från att köras om de inte uppfyller ett villkor för prevalens, ålder eller betrodd lista
    Skydda enheter från exploatering

    Den här ASR-regeln styrs via följande GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25e

    • Inte konfigurerad (standard) – Inställningen återgår till Windows-standardvärdet, som är inaktiverat.
    • Blockera
    • Granskningsläge – Windows-händelser aktiveras i stället för att blockeras.
    • Varna – För Windows 10 version 1809 eller senare och Windows 11 får enhetsanvändaren ett meddelande om att de kan kringgå Blockera för inställningen. På enheter som kör tidigare versioner av Windows 10 framtvingar regeln beteendet Aktivera.
    • Inaktivera – Den här inställningen är inaktiverad.

  • Blockera nedladdning av körbart innehåll från e-post- och webbmailklienter
    Skydda enheter från exploatering

    • Inte konfigurerad (standard) – Inställningen återgår till Windows-standardvärdet, som är inaktiverat.
    • Blockera – Körbart innehåll som laddas ned från e-post- och webbmailklienter blockeras.
    • Granskningsläge – Windows-händelser aktiveras i stället för att blockeras.
    • Varna – För Windows 10 version 1809 eller senare och Windows 11 får enhetsanvändaren ett meddelande om att de kan kringgå Blockera för inställningen. På enheter som kör tidigare versioner av Windows 10 framtvingar regeln beteendet Aktivera.
    • Inaktivera – Den här inställningen är inaktiverad.

  • Använda avancerat skydd mot utpressningstrojaner
    Skydda enheter från exploatering

    Den här ASR-regeln styrs via följande GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

    • Inte konfigurerad (standard) – Inställningen återgår till Windows-standardvärdet, som är inaktiverat.
    • Användardefinierad
    • Aktivera
    • Granskningsläge – Windows-händelser aktiveras i stället för att blockeras.

  • Aktivera mappskydd
    CSP: EnableControlledFolderAccess

    • Inte konfigurerad (standard) – Den här inställningen återgår till standardvärdet, vilket är att inga läs- eller skrivåtgärder blockeras.
    • Aktivera – För ej betrodda appar blockerar Defender försök att ändra eller ta bort filer i skyddade mappar eller skriva till disksektorer. Defender avgör automatiskt vilka program som kan vara betrodda. Du kan också definiera en egen lista över betrodda program.
    • Granskningsläge – Windows-händelser aktiveras när ej betrodda program får åtkomst till kontrollerade mappar, men inga block framtvingas.
    • Blockera diskändring – Endast försök att skriva till disksektorer blockeras.
    • Granska diskändring – Windows-händelser aktiveras i stället för att blockera försök att skriva till disksektorer.

  • Lista över ytterligare mappar som behöver skyddas
    CSP: ControlledFolderAccessProtectedFolders

    Definiera en lista över diskplatser som ska skyddas från ej betrodda program.

  • Lista över appar som har åtkomst till skyddade mappar
    CSP: ControlledFolderAccessAllowedApplications

    Definiera en lista över appar som har åtkomst till läs-/skrivbehörighet till kontrollerade platser.

  • Undanta filer och sökvägar från regler för minskning av attackytan
    CSP: AttackSurfaceReductionOnlyExclusions

    Expandera listrutan och välj sedan Lägg till för att definiera en sökväg till en fil eller mapp som ska undantas från reglerna för minskning av attackytan.

Profil för enhetskontroll

Enhetskontroll

Obs!

Det här avsnittet beskriver inställningarna som finns i Enhetskontrollprofiler som skapats före den 23 maj 2022. Profiler som skapats efter det datumet använder ett nytt inställningsformat som finns i inställningskatalogen. Även om du inte längre kan skapa nya instanser av den ursprungliga profilen kan du fortsätta att redigera och använda dina befintliga profiler.

För profiler som använder det nya inställningsformatet behåller Intune inte längre en lista över varje inställning efter namn. I stället tas namnet på varje inställning, dess konfigurationsalternativ och dess förklarande text som visas i Microsoft Intune administrationscenter direkt från inställningarnas auktoritativa innehåll. Innehållet kan ge mer information om användningen av inställningen i rätt kontext. När du visar en inställningsinformationstext kan du använda länken Läs mer för att öppna innehållet.

  • Tillåt installation av maskinvaruenheter efter enhetsidentifierare

    • Inte konfigurerat(standard)
    • Ja – Windows kan installera eller uppdatera alla enheter vars Plug and Play maskinvaru-ID eller kompatibla ID visas i listan som du skapar om inte en annan principinställning specifikt förhindrar installationen. Om du aktiverar den här principinställningen på en fjärrskrivbordsserver påverkar principinställningen omdirigeringen av de angivna enheterna från en fjärrskrivbordsklient till fjärrskrivbordsservern.
    • Nej

    När värdet är Ja kan du konfigurera följande alternativ:

    • Tillåt lista – Använd Lägg till, Importera och Exportera för att hantera en lista över enhetsidentifierare.

  • Blockera installation av maskinvaruenheter efter enhetsidentifierare
    CSP: AllowInstallationOfMatchingDeviceIDs

    • Inte konfigurerat(standard)
    • Ja – Ange en lista över Plug and Play maskinvaru-ID:t och kompatibla ID:t för enheter som Windows hindras från att installera. Den här principen har företräde framför andra principinställningar som gör att Windows kan installera en enhet. Om du aktiverar den här principinställningen på en fjärrskrivbordsserver påverkar principinställningen omdirigeringen av de angivna enheterna från en fjärrskrivbordsklient till fjärrskrivbordsservern.
    • Nej

    När värdet är Ja kan du konfigurera följande alternativ:

    • Ta bort matchande maskinvaruenheter

      • Ja
      • Inte konfigurerat(standard)

    • Blockeringslista – Använd Lägg till, Importera och Exportera för att hantera en lista över enhetsidentifierare.

  • Tillåt installation av maskinvaruenheter efter installationsklass

    • Inte konfigurerat(standard)
    • Ja – Windows kan installera eller uppdatera enhetsdrivrutiner vars enhetsinstallationsklass-GUID visas i listan som du skapar om inte en annan principinställning specifikt förhindrar installationen. Om du aktiverar den här principinställningen på en fjärrskrivbordsserver påverkar principinställningen omdirigeringen av de angivna enheterna från en fjärrskrivbordsklient till fjärrskrivbordsservern.
    • Nej

    När värdet är Ja kan du konfigurera följande alternativ:

    • Tillåt lista – Använd Lägg till, Importera och Exportera för att hantera en lista över enhetsidentifierare.

  • Blockera installation av maskinvaruenheter efter installationsklasser
    CSP: AllowInstallationOfMatchingDeviceSetupClasses

    • Inte konfigurerat(standard)
    • Ja – Ange en lista över enhetsinstallationsklassens globalt unika identifierare (GUID) för enhetsdrivrutiner som Windows hindras från att installera. Den här principinställningen har företräde framför andra principinställningar som gör att Windows kan installera en enhet. Om du aktiverar den här principinställningen på en fjärrskrivbordsserver påverkar principinställningen omdirigeringen av de angivna enheterna från en fjärrskrivbordsklient till fjärrskrivbordsservern.
    • Nej

    När värdet är Ja kan du konfigurera följande alternativ:

    • Ta bort matchande maskinvaruenheter

      • Ja
      • Inte konfigurerat(standard)

    • Blockeringslista – Använd Lägg till, Importera och Exportera för att hantera en lista över enhetsidentifierare.

  • Tillåt installation av maskinvaruenheter efter enhetsinstansidentifierare

    • Inte konfigurerat(standard)
    • Ja – Windows kan installera eller uppdatera alla enheter vars Plug and Play enhetsinstans-ID visas i listan som du skapar om inte en annan principinställning specifikt förhindrar installationen. Om du aktiverar den här principinställningen på en fjärrskrivbordsserver påverkar principinställningen omdirigeringen av de angivna enheterna från en fjärrskrivbordsklient till fjärrskrivbordsservern.
    • Nej

    När värdet är Ja kan du konfigurera följande alternativ:

    • Tillåt lista – Använd Lägg till, Importera och Exportera för att hantera en lista över enhetsidentifierare.

  • Blockera installation av maskinvaruenheter efter enhetsinstansidentifierare
    Om du aktiverar den här principinställningen på en fjärrskrivbordsserver påverkar principinställningen omdirigeringen av de angivna enheterna från en fjärrskrivbordsklient till fjärrskrivbordsservern.

    • Inte konfigurerat(standard)
    • Ja – Ange en lista över Plug and Play maskinvaru-ID:t och kompatibla ID:t för enheter som Windows hindras från att installera. Den här principen har företräde framför andra principinställningar som gör att Windows kan installera en enhet. Om du aktiverar den här principinställningen på en fjärrskrivbordsserver påverkar principinställningen omdirigeringen av de angivna enheterna från en fjärrskrivbordsklient till fjärrskrivbordsservern.
    • Nej

    När värdet är Ja kan du konfigurera följande alternativ:

    • Ta bort matchande maskinvaruenheter

      • Ja
      • Inte konfigurerat(standard)

    • Blockeringslista – Använd Lägg till, Importera och Exportera för att hantera en lista över enhetsidentifierare.

  • Blockera skrivåtkomst till flyttbar lagring
    CSP: RemovableDiskDenyWriteAccess

    • Inte konfigurerat(standard)
    • Ja – Skrivåtkomst nekas till flyttbar lagring.
    • Nej – Skrivåtkomst tillåts.

  • Sök igenom flyttbara enheter vid fullständig genomsökning
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • Inte konfigurerad (standard) – Inställningen återgår till klientens standardvärde, som söker igenom flyttbara enheter, men användaren kan inaktivera den här genomsökningen.
    • Ja – Vid en fullständig genomsökning genomsöks flyttbara enheter (till exempel USB-flashminnen).

  • Blockera direkt minnesåtkomst
    CSP: DataProtection/AllowDirectMemoryAccess

    Den här principinställningen tillämpas endast när BitLocker eller enhetskryptering är aktiverat.

    • Inte konfigurerad (standard)
    • Ja – blockera direkt minnesåtkomst (DMA) för alla underordnade PCI-portar som kan anslutas till frekvent anslutning tills en användare loggar in i Windows. När en användare har loggat in räknar Windows upp PCI-enheterna som är anslutna till värd plug PCI-portarna. Varje gång användaren låser datorn blockeras DMA på PCI-portar utan underordnade enheter förrän användaren loggar in igen. Enheter som redan var uppräknade när datorn var upplåst fortsätter att fungera tills de kopplas från.

  • Uppräkning av externa enheter som är inkompatibla med Kernel DMA Protection
    CSP: DmaGuard/DeviceEnumerationPolicy

    Den här principen kan ge ytterligare säkerhet mot externa DMA-kompatibla enheter. Det ger mer kontroll över uppräkningen av externa DMA-kompatibla enheter som är inkompatibla med DMA-ommappning/minnesisolering och sandbox-miljö för enheter.

    Den här principen träder endast i kraft när Kernel DMA Protection stöds och aktiveras av systemets inbyggda programvara. Kernel DMA Protection är en plattformsfunktion som måste stödjas av systemet vid tidpunkten för tillverkningen. Kontrollera om systemet stöder Kernel DMA Protection genom att kontrollera fältet Kernel DMA Protection på sidan Sammanfattning i MSINFO32.exe.

    • Inte konfigurerad – (standard)
    • Blockera alla
    • Tillåt alla

  • Blockera Bluetooth-anslutningar
    CSP: Bluetooth/AllowDiscoverableMode

    • Inte konfigurerad (standard)
    • Ja – Blockera Bluetooth-anslutningar till och från enheten.

  • Blockera bluetooth-identifiering
    CSP: Bluetooth/AllowDiscoverableMode

    • Inte konfigurerad (standard)
    • Ja – Förhindrar att enheten kan identifieras av andra Bluetooth-aktiverade enheter.

  • Blockera bluetooth-förkoppling
    CSP: Bluetooth/AllowPrepairing

    • Inte konfigurerad (standard)
    • Ja – Förhindrar att vissa Bluetooth-enheter automatiskt parkopplas med värdenheten.

  • Blockera Bluetooth-annonsering
    CSP: Bluetooth/AllowAdvertising

    • Inte konfigurerad (standard)
    • Ja – Förhindrar att enheten skickar ut Bluetooth-annonser.

  • Blockera bluetooth-proximala anslutningar
    CSP: Bluetooth/AllowPromptedProximalConnections Blockera användare från att använda Swift Pair och andra närhetsbaserade scenarier

    • Inte konfigurerad (standard)
    • Ja – Hindrar en enhetsanvändare från att använda Swift Pair och andra närhetsbaserade scenarier.

    Bluetooth/AllowPromptedProximalConnections CSP

  • Bluetooth-tillåtna tjänster
    CSP: Bluetooth/ServicesAllowedList.
    Mer information om tjänstlistan finns i Användningsguide för ServicesAllowedList

    • Lägg till – Ange tillåtna Bluetooth-tjänster och -profiler som hexadecimala strängar, till exempel {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}.
    • Importera – Importera en .csv fil som innehåller en lista över Bluetooth-tjänster och -profiler, som hexadecimala strängar, till exempel {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}

  • Flyttbar lagring
    CSP: Storage/RemovableDiskDenyWriteAccess

    • Blockera (standard) – Förhindra att användare använder externa lagringsenheter, till exempel SD-kort med enheten.
    • Inte konfigurerad

  • USB-anslutningar (endast HoloLens)
    CSP: Connectivity/AllowUSBConnection

    • Blockera – Förhindra användning av en USB-anslutning mellan enheten och en dator för att synkronisera filer, eller för att använda utvecklarverktyg för att distribuera eller felsöka program. USB-laddning påverkas inte.
    • Inte konfigurerad (standard)

Profil för sårbarhetsskydd

Exploateringsskydd

Obs!

Det här avsnittet beskriver de inställningar som du hittar i Sårbarhetsskyddsprofiler som skapats före den 5 april 2022. Profiler som skapats efter det datumet använder ett nytt inställningsformat som finns i inställningskatalogen. Med den här ändringen kan du inte längre skapa nya versioner av den gamla profilen och de utvecklas inte längre. Även om du inte längre kan skapa nya instanser av den äldre profilen kan du fortsätta att redigera och använda instanser av den som du skapade tidigare.

För profiler som använder det nya inställningsformatet behåller Intune inte längre en lista över varje inställning efter namn. I stället tas namnet på varje inställning, dess konfigurationsalternativ och dess förklarande text som visas i Microsoft Intune administrationscenter direkt från inställningarnas auktoritativa innehåll. Innehållet kan ge mer information om användningen av inställningen i rätt kontext. När du visar en inställningsinformationstext kan du använda länken Läs mer för att öppna innehållet.

  • Ladda upp XML
    CSP: ExploitProtectionSettings

    Gör det möjligt för IT-administratören att push-överföra en konfiguration som representerar önskade alternativ för system- och programreducering till alla enheter i organisationen. Konfigurationen representeras av en XML-fil. Exploateringsskydd kan hjälpa till att skydda enheter från skadlig kod som använder kryphål för att sprida och infektera. Du använder Windows-säkerhet-appen eller PowerShell för att skapa en uppsättning skyddsåtgärder (kallas för en konfiguration). Du kan sedan exportera den här konfigurationen som en XML-fil och dela den med flera datorer i nätverket så att alla har samma uppsättning åtgärdsinställningar. Du kan också konvertera och importera en befintlig EMET-konfigurations-XML-fil till en XML för exploateringsskyddskonfiguration.

    Välj Välj XML-fil, ange XML-filuppladdningen och klicka sedan på Välj.

    • Inte konfigurerad (standard)
    • Ja

  • Blockera användare från att redigera Exploit Guard-skyddsgränssnittet
    CSP: DisallowExploitProtectionOverride

    • Inte konfigurerad (standard) – Lokala användare kan göra ändringar i inställningarna för sårbarhetsskydd.
    • Ja – Förhindra att användare gör ändringar i inställningarna för exploateringsskydd i Microsoft Defender Säkerhetscenter.

Profil för webbskydd (Microsoft Edge (äldre version))

Webbskydd (Microsoft Edge (äldre version))

  • Aktivera nätverksskydd
    CSP: EnableNetworkProtection

    • Inte konfigurerad (standard) – Inställningen återgår till Windows-standardvärdet, som är inaktiverat.
    • Användardefinierad
    • Aktivera – Nätverksskydd är aktiverat för alla användare i systemet.
    • Granskningsläge – Användare blockeras inte från farliga domäner och Windows-händelser aktiveras i stället.

  • Kräv SmartScreen för Microsoft Edge
    CSP: Browser/AllowSmartScreen

    • Ja – Använd SmartScreen för att skydda användare från potentiella nätfiskebedrägerier och skadlig programvara.
    • Inte konfigurerad (standard)

  • Blockera åtkomst till skadlig webbplats
    CSP: Browser/PreventSmartScreenPromptOverride

    • Ja – Blockera användare från att ignorera Microsoft Defender SmartScreen-filtervarningar och blockera dem från att gå till webbplatsen.
    • Inte konfigurerad (standard)

  • Blockera nedladdning av overifierad fil
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • Ja – Blockera användare från att ignorera Microsoft Defender SmartScreen-filtervarningar och blockera dem från att ladda ned overifierade filer.
    • Inte konfigurerad (standard)

Minskning av attackytan (ConfigMgr)

Sårbarhetsskydd (ConfigMgr)(förhandsversion) profil

Sårbarhetsskydd

  • Ladda upp XML
    CSP: ExploitProtectionSettings

    Gör det möjligt för IT-administratören att push-överföra en konfiguration som representerar önskade alternativ för system- och programreducering till alla enheter i organisationen. Konfigurationen representeras av en XML-fil. Exploateringsskydd kan hjälpa till att skydda enheter från skadlig kod som använder kryphål för att sprida och infektera. Du använder Windows-säkerhet-appen eller PowerShell för att skapa en uppsättning skyddsåtgärder (kallas för en konfiguration). Du kan sedan exportera den här konfigurationen som en XML-fil och dela den med flera datorer i nätverket så att alla har samma uppsättning åtgärdsinställningar. Du kan också konvertera och importera en befintlig EMET-konfigurations-XML-fil till en XML för exploateringsskyddskonfiguration.

    Välj Välj XML-fil, ange XML-filuppladdningen och klicka sedan på Välj.

  • Tillåt inte åsidosättning av exploateringsskydd
    CSP: DisallowExploitProtectionOverride

    • Inte konfigurerad (standard)
    • (Inaktivera) Lokala användare kan göra ändringar i inställningarna för exploateringsskydd.
    • (Aktivera) Lokala användare kan inte göra ändringar i inställningarna för exploateringsskydd

Profil för webbskydd (ConfigMgr)(förhandsversion)

Webbskydd

Nästa steg

Slutpunktssäkerhetsprincip för ASR