HoloLens 2安全基线
重要
此安全基线中使用的一些策略在我们的最新 预览体验成员版本中引入。 这些策略仅在更新到最新预览体验成员版本的设备上起作用。
本文列出并介绍了可以使用配置服务提供程序 (CSP) 在HoloLens 2上配置的各种安全基线设置。 作为使用 Microsoft Endpoint Manager (正式称为Microsoft Intune) 的移动设备管理的一部分,请根据组织的策略和需求使用以下标准或高级安全基线设置。 使用这些安全基线设置来帮助保护组织资源。
- 标准安全基线设置适用于所有类型的用户,无论用例方案和行业垂直。
- 对于对其环境具有严格安全控制并要求对其环境中使用的设备实施严格安全策略的用户,建议使用高级安全基线设置。
这些安全基线设置基于 Microsoft 在向各个行业的客户部署和支持HoloLens 2设备方面获得的最佳做法准则和经验。
查看安全基线并决定使用这两个或部分后,检查如何启用这些安全基线
1. 标准安全基线设置
以下部分介绍作为标准安全基线配置文件的一部分的每个 CSP 的建议设置。
1.1 策略 CSP
| 策略名称 | 值 | 说明 |
|---|---|---|
| 帐户 | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – 不允许 | 限制用户使用 MSA 帐户进行非电子邮件相关的连接身份验证和服务。 |
| 应用程序管理 | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - 显式拒绝 | 显式拒绝非 Microsoft Store 应用。 |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – 允许 | 允许从 Microsoft Store 自动更新应用。 |
| ApplicationManagement/AllowDeveloperUnlock | 0 - 显式拒绝 | 限制用户解锁开发人员模式,该模式允许用户从 IDE 在设备上安装应用。 |
| 浏览器 | ||
| Browser/AllowCookies | 1 – 仅阻止来自第三方网站的 Cookie | 使用此策略,可以将 Microsoft Edge 配置为仅阻止第三方 Cookie 或阻止所有 Cookie。 |
| 浏览器/AllowPasswordManager | 0 - 不允许 | 禁止 Microsoft Edge 使用密码管理器。 |
| Browser/AllowSmartScreen | 1 – 已打开 | 打开 smartScreen Windows Defender并阻止用户将其关闭。 |
| 连接 | ||
| Connectivity/AllowUSBConnection | 0 - 不允许 | 禁用设备和计算机之间的 USB 连接,以将文件与设备同步,或使用开发人员工具部署或调试应用程序。 |
| 设备锁定 | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 - 不允许 | 禁止在没有 PIN 或密码的情况下从空闲状态返回。 |
| DeviceLock/AllowSimpleDevicePassword | 0 – 已阻止 | 阻止 PIN 或密码,例如“1111”或“1234”。 |
| DeviceLock/AlphanumericDevicePasswordRequired | 1 - 需要密码或数字 PIN | 需要密码或字母数字 PIN。 |
| DeviceLock/DevicePasswordEnabled | 0 = 启用 | 设备锁定已启用。 |
| DeviceLock/MaxInactivityTimeDeviceLock | 一个整数 X,其中 0 < X < 999 建议值:3 | 指定设备空闲后) 允许的最长时间 (分钟数,这将导致设备锁定 PIN 或密码。 |
| DeviceLock/MinDevicePasswordComplexCharacters | 1 - 仅数字 | 强 PIN 或密码所需的复杂元素类型(大写和小写字母、数字和标点符号)的数量。 |
| DeviceLock/MinDevicePasswordLength | 一个整数 X,其中客户端设备的 4 < X < 16 建议值:8 | 指定 PIN 或密码中所需的最小字符数。 |
| MDM 注册 | ||
| Experience/AllowManualMDMUnenrollment | 0 - 不允许 | 禁止用户使用工作区控制面板删除工作区帐户。 |
| 标识 | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | 缓存的有效天数建议值:7 天 | Microsoft Entra组成员身份缓存应有效的天数。 |
| 电源 | ||
| Power/DisplayOffTimeoutPluggedIn | 空闲时间(以秒为单位)建议值:60 秒 | 允许指定 Windows 关闭显示器之前处于非活动状态的时间段。 |
| 设置 | ||
| Settings/AllowVPN | 0 - 不允许 | 禁止用户更改 VPN 设置。 |
| Settings/PageVisibilityList | 对用户可见的页面的缩短名称。 将提供用于选择或取消选择页面名称的 UI。 查看要隐藏的建议页面的注释。 | 仅允许在“设置”应用中向用户显示列出的页面。 |
| 系统 | ||
| System/AllowStorageCard | 0 - 不允许 | 不允许使用 SD 卡,USB 驱动器已禁用。 此设置不会阻止以编程方式访问存储卡。 |
| 更新 | ||
| Update/AllowUpdateService | 1 – 允许 | 允许访问 Microsoft 更新、Windows Server Update Services (WSUS) 或 Microsoft Store。 |
| Update/ManagePreviewBuilds | 0 - 禁用预览版 | 禁止在设备上安装预览版本。 |
1.2 ClientCertificateInstall CSP
建议将此 CSP 配置为最佳做法,但对于此 CSP 中每个节点的特定值没有建议。
1.3 PassportForWork CSP
| 节点名称 | 值 | 说明 |
|---|---|---|
| 租户 ID | TenantId | 全局唯一标识符 (GUID) ,不带大括号 ( { , } ) ,用作Windows Hello 企业版预配和管理的一部分。 |
| TenantId/Policies/UsePassportForWork | True | 将Windows Hello 企业版设置为登录到 Windows 的方法。 |
| TenantId/Policies/RequireSecurityDevice | True | 需要受信任的平台模块 (TPM) Windows Hello 企业版。 |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | False | 允许将 TPM 修订版 1.2 模块与 Windows Hello 企业版 一起使用。 |
| TenantId/Policies/EnablePinRecovery | False | 不会创建或存储 PIN 恢复机密。 |
| TenantId/Policies/UseCertificateForOnPremAuth | False | 在用户登录时预配 PIN,而无需等待证书有效负载。 |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | PIN 长度必须大于或等于此数字。 |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | PIN 长度必须小于或等于此数字。 |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | 数字是必需的,不允许使用所有其他字符集。 |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | 数字是必需的,不允许使用所有其他字符集。 |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | 不允许在 PIN 中使用特殊字符。 |
| TenantId/Policies/PINComplexity/Digits | 0 | 允许在 PIN 中使用数字。 |
| TenantId/Policies/PINComplexity/History | 10 | 可以关联到无法重复使用的用户帐户的过去 PIN 数。 |
| TenantId/Policies/PINComplexity/Expiration | 90 | 在系统要求用户更改 PIN 之前,) 可以使用 PIN 的时间段 (天。 |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | False | 应用程序不使用Windows Hello 企业版证书作为智能卡证书,当要求用户授权使用证书私钥时,生物识别因素可用。 |
1.4 RootCATrustedCertificates CSP
建议在此 CSP 中配置 Root、CA、TrustedPublisher 和 TrustedPeople 节点作为最佳做法,但不建议使用此 CSP 中每个节点的特定值。
1.5 TenantLockdown CSP
| 节点名称 | 值 | 说明 |
|---|---|---|
| RequireNetworkInOOBE | True | 当设备在首次登录或重置后通过 OOBE 时,用户需要在继续之前选择网络。 没有“暂时跳过”选项。 此选项可确保设备在发生意外或有意重置或擦除时仍绑定到租户。 |
1.6 VPNv2 CSP
建议将此 CSP 配置为最佳做法,但我们没有针对此 CSP 中每个节点的特定值的建议。 大多数设置都与客户环境相关。
1.7 WiFi CSP
建议将此 CSP 配置为最佳做法,但我们没有针对此 CSP 中每个节点的特定值的建议。 大多数设置都与客户环境相关。
2 高级安全基线设置
以下部分介绍作为高级安全基线配置文件一部分的每个 CSP 的建议设置。
2.1 策略 CSP
| 策略名称 | 值 | 说明 |
|---|---|---|
| 帐户 | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – 不允许 | 限制用户使用 MSA 帐户进行与电子邮件无关的连接身份验证和服务。 |
| 应用程序管理 | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - 显式拒绝 | 显式拒绝非 Microsoft Store 应用。 |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – 允许 | 允许从 Microsoft Store 自动更新应用。 |
| ApplicationManagement/AllowDeveloperUnlock | 0 - 显式拒绝 | 限制用户解锁开发人员模式,允许用户从 IDE 在设备上安装应用。 |
| 身份验证 | ||
| Authentication/AllowFastReconnect | 0 - 不允许 | 禁止对 EAP 方法 TLS 尝试 EAP 快速重新连接。 |
| 蓝牙 | ||
| Bluetooth/AllowDiscoverableMode | 0 - 不允许 | 其他设备将无法检测此设备。 |
| 浏览器 | ||
| Browser/AllowAutofill | 0 – 已阻止/不允许 | 防止用户使用自动填充功能自动填充 Microsoft Edge 中的表单字段。 |
| Browser/AllowCookies | 1 – 仅阻止来自第三方网站的 Cookie | 仅阻止来自第三方网站的 Cookie。 |
| Browser/AllowDoNotTrack | 0 - 从不发送跟踪信息 | 从不发送跟踪信息。 |
| 浏览器/AllowPasswordManager | 0 - 不允许 | 禁止 Microsoft Edge 使用密码管理器。 |
| Browser/AllowPopups | 1 – 打开弹出窗口阻止程序 | 打开弹出窗口阻止程序,阻止弹出窗口打开。 |
| Browser/AllowSearchSuggestionsinAddressBar | 0 – 已阻止/不允许 | 在 Microsoft Edge 的地址栏中隐藏搜索建议。 |
| Browser/AllowSmartScreen | 1 – 已打开 | 打开 smartScreen Windows Defender并阻止用户将其关闭。 |
| 连接 | ||
| Connectivity/AllowBluetooth | 0 – 不允许蓝牙 | 蓝牙控制面板灰显,用户无法打开蓝牙。 |
| Connectivity/AllowUSBConnection | 0 - 不允许 | 禁用设备和计算机之间的 USB 连接,以将文件与设备同步,或使用开发人员工具部署或调试应用程序。 |
| 设备锁定 | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 - 不允许 | 禁止在没有 PIN 或密码的情况下从空闲状态返回。 |
| DeviceLock/AllowSimpleDevicePassword | 0 – 已阻止 | 阻止 PIN 或密码,例如“1111”或“1234”。 |
| DeviceLock/AlphanumericDevicePasswordRequired | 0 - 需要密码或字母数字 PIN | 需要密码或字母数字 PIN。 |
| DeviceLock/DevicePasswordEnabled | 0 = 启用 | 设备锁定已启用。 |
| DeviceLock/DevicePasswordHistory | 一个整数 X,其中 0 < X < 50 建议值:15 | 指定可以在历史记录中存储的不能使用的密码数。 |
| DeviceLock/MaxDevicePasswordFailedAttempts | 一个整数 X,其中客户端设备的 4 < X < 16 建议值:10 | 擦除设备之前允许的身份验证失败次数。 |
| DeviceLock/MaxInactivityTimeDeviceLock | 一个整数 X,其中 0 < X < 999 建议值:3 | 指定设备空闲后) 允许的最长时间 (分钟数,这将导致设备锁定 PIN 或密码。 |
| DeviceLock/MinDevicePasswordComplexCharacters | 3 - 需要数字、小写字母和大写字母 | 强 PIN 或密码所需的复杂元素类型(大写和小写字母、数字和标点符号)的数量。 |
| DeviceLock/MinDevicePasswordLength | 一个整数 X,其中客户端设备的 4 < X < 16 建议值:12 | 指定 PIN 或密码中所需的最小字符数。 |
| MDM 注册 | ||
| Experience/AllowManualMDMUnenrollment | 0 - 不允许 | 禁止用户使用工作区控制面板删除工作区帐户。 |
| 标识 | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | 缓存的有效天数建议值:7 天 | Microsoft Entra组成员身份缓存应有效的天数。 |
| 电源 | ||
| Power/DisplayOffTimeoutPluggedIn | 空闲时间(以秒为单位)建议值:60 秒 | 允许指定 Windows 关闭显示器之前处于非活动状态的时间段。 |
| 隐私 | ||
| Privacy/LetAppsAccess AccountInfo |
2 - 强制拒绝 | 拒绝 Windows 应用访问帐户信息。 |
| Privacy/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Windows 应用的以分号分隔的程序包系列名称列表 | 列出的 Windows 应用允许访问帐户信息。 |
| Privacy/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Windows 应用的以分号分隔的程序包系列名称列表 | 列出的 Windows 应用被拒绝访问帐户信息。 |
| Privacy/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Windows 应用的以分号分隔的程序包系列名称列表 | 用户能够控制列出的 Windows 应用的帐户信息隐私设置。 |
| Privacy/LetAppsAccess BackgroundSpatialPerception |
2 - 强制拒绝 | 当应用在后台运行时,拒绝 Windows 应用访问用户的头部、手部、运动控制器和其他跟踪对象的移动。 |
| Privacy/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Windows 应用商店应用的以分号分隔的程序包系列名称列表 | 当应用在后台运行时,允许列出的应用访问用户的移动。 |
| Privacy/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Windows 应用商店应用的以分号分隔的程序包系列名称列表 | 当应用在后台运行时,列出的应用将被拒绝访问用户的移动。 |
| Privacy/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Windows 应用商店应用的以分号分隔的程序包系列名称列表 | 用户能够控制所列应用的用户移动隐私设置。 |
| Privacy/LetAppsAccess Microphone_ForceDenyTheseApps |
Microsoft Store 应用的以分号分隔的程序包系列名称列表 | 列出的应用被拒绝访问麦克风。 |
| Privacy/LetAppsAccess Microphone_UserInControlOfTheseApps |
Microsoft Store 应用的以分号分隔的程序包系列名称列表 | 用户能够控制所列应用的麦克风隐私设置。 |
| 搜索 | ||
| Search/AllowSearchToUseLocation | 0 - 不允许 | 禁止搜索以使用位置信息。 |
| 安全性 | ||
| Security/AllowAddProvisioningPackage | 0 - 不允许 | 不允许运行时配置代理安装预配包。 |
| 设置 | ||
| Settings/AllowVPN | 0 - 不允许 | 禁止用户更改 VPN 设置。 |
| Settings/PageVisibilityList | 用户可见的页的缩短名称将提供用于选择或取消选择页面名称的 UI。 查看要隐藏的建议页面的注释。 | 仅允许在“设置”应用中向用户显示列出的页面。 |
| 系统 | ||
| System/AllowStorageCard | 0 - 不允许 | 不允许使用 SD 卡,USB 驱动器已禁用。 此设置不会阻止以编程方式访问存储卡。 |
| System/AllowTelemetry | 0 - 不允许 | 禁止设备发送诊断和使用情况遥测数据,例如 Watson。 |
| 更新 | ||
| Update/AllowUpdateService | 1 – 允许 | 允许访问 Microsoft 更新、Windows Server Update Services (WSUS) 或 Microsoft Store。 |
| Update/ManagePreviewBuilds | 0 - 禁用预览版 | 禁止在设备上安装预览版。 |
| Wi-Fi | ||
| Wifi/AllowManualWiFiConfiguration | 0 - 不允许 | 禁止连接到 MDM 服务器安装网络之外的 Wi-Fi。 |
2.2 帐户管理 CSP
| 节点名称 | 值 | 说明 |
|---|---|---|
| UserProfileManagement/EnableProfileManager | True | 为共享或公用设备方案启用配置文件生存期管理。 |
| UserProfileManagement/DeletionPolicy | 2 - 按存储容量阈值和配置文件非活动阈值删除 | 配置何时删除配置文件。 |
| UserProfileManagement/StorageCapacityStartDeletion | 25% | 当可用存储容量低于此阈值时开始删除配置文件,以配置文件可用总存储的百分比表示。 将首先删除处于非活动状态时间最长的配置文件。 |
| UserProfileManagement/StorageCapacityStopDeletion | 50% | 当可用存储容量达到此阈值(以配置文件可用总存储的百分比表示)时,停止删除配置文件。 |
| UserProfileManagement/ProfileInactivityThreshold | 30 | 在指定时间段内未登录配置文件时开始删除这些配置文件(以天数为单位)。 |
2.3 ApplicationControl CSP
| 节点名称 | 值 | 说明 |
|---|---|---|
| 策略/策略 GUID | 策略 Blob 中的策略 ID | 策略 Blob 中的策略 ID。 |
| 策略/策略 GUID/策略 | 策略 Blob | 在 base64 中编码的策略二进制 Blob。 |
2.4 ClientCertificate安装 CSP
建议将此 CSP 配置为最佳做法,但对于此 CSP 中每个节点的特定值没有建议。
2.5 PassportForWork CSP
| 节点名称 | 值 | 说明 |
|---|---|---|
| 租户 ID | TenantId | 全局唯一标识符 (GUID) ,不带大括号 ( { , } ) ,用作Windows Hello 企业版预配和管理的一部分。 |
| TenantId/Policies/UsePassportForWork | True | 将Windows Hello 企业版设置为登录 Windows 的方法。 |
| TenantId/Policies/RequireSecurityDevice | True | 需要受信任的平台模块 (TPM) Windows Hello 企业版。 |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | False | 允许将 TPM 修订版 1.2 模块与 Windows Hello 企业版 一起使用。 |
| TenantId/Policies/EnablePinRecovery | False | 不会创建或存储 PIN 恢复机密。 |
| TenantId/Policies/UseCertificateForOnPremAuth | False | PIN 是在用户登录时预配的,无需等待证书有效负载。 |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | PIN 长度必须大于或等于此数字。 |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | PIN 长度必须小于或等于此数字。 |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | 数字是必需的,不允许使用所有其他字符集。 |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | 数字是必需的,不允许使用所有其他字符集。 |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | 不允许在 PIN 中使用特殊字符。 |
| TenantId/Policies/PINComplexity/Digits | 0 | 允许在 PIN 中使用数字。 |
| TenantId/Policies/PINComplexity/History | 10 | 可以关联到无法重复使用的用户帐户的过去 PIN 数。 |
| TenantId/Policies/PINComplexity/Expiration | 90 | 在系统要求用户更改 PIN 之前,) 可以使用 PIN 的时间段 (天。 |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | False | 应用程序不使用Windows Hello 企业版证书作为智能卡证书,当要求用户授权使用证书私钥时,生物识别因素可用。 |
2.6 RootCATrustedCertificates CSP
建议在此 CSP 中配置 Root、CA、TrustedPublisher 和 TrustedPeople 节点作为最佳做法,但不建议使用此 CSP 中每个节点的特定值。
2.7 TenantLockdown CSP
| 节点名称 | 值 | 说明 |
|---|---|---|
| RequireNetworkInOOBE | True | 当设备在首次登录或重置后通过 OOBE 时,用户需要先选择一个网络,然后再继续操作。 没有“暂时跳过”选项。 这可确保设备在发生意外或有意重置或擦除时仍与租户绑定。 |
2.8 VPNv2 CSP
建议将 VPN 配置文件配置为最佳做法,但不建议为此 CSP 中的每个节点提供特定值。 大多数设置都与客户环境相关。
2.9 WiFi CSP
建议将 WiFi 配置文件配置为最佳做法,但不建议为此 CSP 中的每个节点提供特定值。 大多数设置都与客户环境相关。
如何启用这些安全基线
- 查看安全基线,并决定要应用的内容。
- 确定要向其分配基线的 Azure 组。 (有关用户和组) 的详细信息
- 创建基线。
下面介绍如何创建基线。
可以使用“设置”目录添加许多设置,但有时可能存在尚未填充到“设置”目录的设置。 在这些情况下,你将使用自定义策略或 OMA-URI (Open Mobile Alliance - 统一资源标识符) 。 首先查看“设置”目录,如果未找到,请按照以下说明通过 OMA-URI 创建自定义策略。
设置目录
在 MEM 管理中心登录到你的帐户。
- 导航到 “设备 ”->“配置文件 ”“+>”创建配置文件”。 对于“平台”,选择“Windows 10及更高版本”,对于配置文件类型,选择“设置目录 (预览) ”。
- 为配置文件创建名称,然后选择“ 下一步 ”按钮。
- 在“配置设置”屏幕上,选择“ + 添加设置”。
使用上述基线中的策略名称,可以搜索策略。 设置目录将分隔名称,因此若要查找“Accounts/AllowMicrosoftAccountConnection”,需要搜索“允许 Microsoft 帐户连接”。 搜索后,你将看到策略列表已缩减为仅包含此策略的 CSP。 选择“ 帐户 (或与当前搜索) 相关的 CSP,完成后,会看到下面的策略结果。 选中策略的框。
完成后,左侧的面板将添加 CSP 类别和添加的设置。 在此处,可以从默认设置将其配置为更安全。
可以继续向同一配置文件添加多个配置,这样一次分配就更容易了。
添加自定义 OMA-URI 策略
某些策略可能尚在“设置”目录中不可用。 对于这些策略,需要 创建自定义 OMA-URI 配置文件。在 MEM 管理中心登录到你的帐户。
- 导航到 “设备 ”->“配置文件 ”“+>”创建配置文件”。 对于“平台”,选择“Windows 10及更高版本”,对于“配置文件类型”,请选择“模板”,然后选择“自定义”。
- 为配置文件创建名称,然后选择“ 下一步 ”按钮。
- 选择“添加”按钮。
需要填写几个字段。
- 名称,可以将其命名为与策略相关的任何所需内容。 这可以是用于识别它的速记名称。
- 说明将是可能需要的更多详细信息。
- OMA-URI 将是策略所在的完整 OMA-URI 字符串。 示例:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - 数据类型是此策略接受的值的类型。 在本示例中,它是一个介于 0 和 60 之间的数字,因此选择了 Integer。
- 选择数据类型后,便可以将所需的值写出或上传到 字段中。
完成后,策略将添加到main窗口。 可以继续将所有自定义策略添加到同一自定义配置。 这有助于减少管理多个设备配置,并简化分配。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈