分享方式:

Intune 中端點安全性的受攻擊面縮小原則設定

  • 文章

檢視您可以在 Intune 端點安全性節點中受 攻擊面縮小 原則的配置檔中設定的設定,作為 端點安全策略的一部分。

適用於:

  • Windows 11
  • Windows 10

支援的平台與設定檔:

  • Windows 10 及更新版本 - 針對您部署至使用 Intune 管理之裝置的原則使用此平臺。

    • 配置檔: 應用程式和瀏覽器隔離
    • 配置檔: 應用程控
    • 配置檔: 受攻擊面縮小規則
    • 配置檔: 裝置控制件
    • 配置檔: 惡意探索保護
    • 設定檔:Web 保護 (舊版 Microsoft Edge)

  • Windows 10 及更新版本 (ConfigMgr) :針對您部署到由 Configuration Manager 管理之裝置的原則,請使用此平臺。

    • 設定檔: (ConfigMgr) (預覽)
    • 設定檔: Web 保護 (ConfigMgr) (預覽)

  • Windows 10、Windows 11 和 Windows Server:針對您透過安全性管理為 適用於端點的 Microsoft Defender 部署到受管理裝置的原則,請使用此平臺。

    • 配置檔: 受攻擊面縮小規則

MDM (受攻擊面縮小)

應用程式和瀏覽器隔離配置檔

注意事項

本節詳細說明在 2023 年 4 月 18 日之前建立的應用程式和瀏覽器隔離配置檔中的設定。 在該日期之後建立的配置檔會使用 [設定目錄] 中找到的新設定格式。 透過這項變更,您就無法再建立舊配置檔的新版本,也無法再進行開發。 雖然您無法再建立舊版配置檔的新實例,但您可以繼續編輯並使用您先前建立的檔案實例。

針對使用新設定格式的配置檔,Intune 不再依名稱維護每個設定的清單。 相反地,每個設定的名稱、其組態選項,以及您在 Microsoft Intune 系統管理中心看到的說明文字,都會直接從設定授權內容取得。 該內容可以提供有關在其適當內容中使用設定的詳細資訊。 檢視設定資訊文字時,您可以使用其 [ 深入瞭解] 鏈接來開啟該內容。

應用程式和瀏覽器隔離

  • 開啟 應用程式防護
    CSP: AllowWindowsDefenderApplicationGuard

    • 未設定 (預設) - 未針對 Microsoft Edge 或隔離的 Windows 環境設定 Microsoft Defender 應用程式防護。
    • 啟用 Edge - 應用程式防護 會在 Hyper-V 虛擬化流覽容器中開啟未經核准的網站。
    • 針對隔離的 Windows 環境啟用 - 已針對 Windows 內啟用 App Guard 的任何應用程式開啟 應用程式防護。
    • 針對 Edge 和隔離的 Windows 環境啟用 - 應用程式防護 已針對這兩種案例進行設定。

    注意事項

    如果您要透過 Intune 部署適用於 Microsoft Edge 的 應用程式防護,則必須將 Windows 網路隔離原則設定為必要條件。 網路隔離可以透過各種配置檔來設定,包括 Windows 網路隔離設定下的應用程式和通道隔離

    當設定 為 [啟用 Edge ] 或 [已針對 Edge 啟用] 和隔離的 Windows 環境時,可以使用下列設定,這適用於 Edge:

    • 剪貼簿行為
      CSP: ClipboardSettings

      選擇本機計算機和 應用程式防護 虛擬瀏覽器允許的複製和貼上動作。

      • 未設定 ()
      • 封鎖電腦與瀏覽器之間的複製和貼上
      • 只允許從瀏覽器複製並貼到電腦
      • 只允許從電腦複製並貼到瀏覽器
      • 允許在電腦和瀏覽器之間複製和貼上

    • 封鎖來自非企業核准網站的外部內容
      CSP: BlockNonEnterpriseContent

      • 未設定 ()
      • - 禁止來自未經核准網站的內容載入。

    • 收集 應用程式防護 瀏覽會話內所發生事件的記錄
      CSP: AuditApplicationGuard

      • 未設定 ()
      • - 收集 應用程式防護 虛擬瀏覽會話內所發生事件的記錄。

    • 允許儲存用戶產生的瀏覽器數據
      CSP: AllowPersistence

      • 未設定 ()
      • -允許儲存在 應用程式防護 虛擬瀏覽會話期間建立的用戶數據。 用戶數據的範例包括密碼、我的最愛和 Cookie。

    • 啟用硬體圖形加速
      CSP: AllowVirtualGPU

      • 未設定 ()
      • - 在 應用程式防護 虛擬瀏覽會話內,使用虛擬圖形處理器來更快速地載入需要大量圖形的網站。

    • 允許使用者將檔案下載到主機上
      CSP: SaveFilesToHost

      • 未設定 ()
      • -允許使用者從虛擬化瀏覽器將檔案下載到主機作業系統。

    • 應用程式防護 允許相機和麥克風存取
      CSP: AllowCameraMicrophoneRedirection

      • 未設定 (預設) - Microsoft Defender 應用程式防護 內的應用程式無法存取使用者裝置上的相機和麥克風。
      • -Microsoft Defender 應用程式防護 內的應用程式可以存取使用者裝置上的相機和麥克風。
      • - Microsoft Defender 應用程式防護 內的應用程式無法存取使用者裝置上的相機和麥克風。 這與 [未設定] 的行為相同。

  • 應用程式防護允許印表到本機印表機

    • 未設定 ()
    • -允許列印到本機印表機。

  • 應用程式防護允許列印到網路印表機

    • 未設定 ()
    • -允許列印到網路印表機。

  • 應用程式防護允許列印至 PDF

    • 未設定 ()
    • - 允許列印至 PDF。

  • 應用程式防護允許列印至 XPS

    • 未設定 ()
    • -允許列印至 XPS。

  • 應用程式防護 允許從用戶的裝置使用跟證書授權單位
    CSP: CertificateThumbprints

    設定憑證指紋,以自動將相符的跟證書傳送至 Microsoft Defender 應用程式防護 容器。

    若要一次新增一個指紋,請選取 [ 新增]。 您可以使用 Import 來指定 .CSV 檔案,其中包含多個同時新增至配置檔的指紋專案。 當您使用 .CSV 檔案時,每個指紋都必須以逗號分隔。 例如:b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

    配置檔中列出的所有專案都是使用中。 您不需要選取指紋項目的複選框,即可讓它成為作用中專案。 請改用複選框來協助您管理已新增至配置檔的專案。 例如,您可以選取一或多個憑證指紋項目的複選框,然後使用單一動作從配置檔 中刪除 這些專案。

  • Windows 網路隔離原則

    • 未設定 ()
    • - 設定 Windows 網路隔離原則。

    當設定為 [是] 時,您可以設定下列設定:

    • IP 範圍
      展開下拉式清單,選取 [ 新增],然後指定 較低的位址 ,然後指定 上一個位址

    • 雲端資源
      展開下拉式清單,選取 [ 新增],然後指定 IP位址或 FQDNProxy

    • 網路網域
      展開下拉式清單,選取 [ 新增],然後指定 [網络網域]

    • Proxy 伺服器
      展開下拉式清單,選取 [ 新增],然後指定 Proxy 伺服器

    • 內部 Proxy 伺服器
      展開下拉式清單,選取 [ 新增],然後指定 [內部 Proxy 伺服器]

    • 中性資源
      展開下拉式清單,選取 [ 新增],然後指定 [中性資源]

    • 停用自動偵測其他企業 Proxy 伺服器

      • 未設定 ()
      • - 停用自動偵測其他企業 Proxy 伺服器。

    • 停用自動偵測其他企業IP範圍

      • 未設定 ()
      • - 停用其他企業 IP 範圍的自動偵測。

    注意事項

    建立配置檔之後,應該套用原則的任何裝置都會啟用 Microsoft Defender 應用程式防護。 使用者可能必須重新啟動其裝置,才能備妥保護。

應用程控配置檔

Microsoft Defender 應用程控

  • App Locker 應用程控
    CSP: AppLocker

    • 未設定 ()
    • 強制執行元件和市集應用程式
    • 稽核元件和市集應用程式
    • 強制執行元件、市集應用程式和Smartlocker
    • 稽核元件、市集應用程式和Smartlocker

  • 禁止使用者忽略SmartScreen警告
    CSP: SmartScreen/PreventOverrideForFilesInShell

    • 未設定 (預設) - 使用者可以忽略檔案和惡意應用程式的 SmartScreen 警告。
    • - 已啟用 SmartScreen,且使用者無法略過檔案或惡意應用程式的警告。

  • 開啟 Windows SmartScreen
    CSP: SmartScreen/EnableSmartScreenInShell

    • 未設定 (預設) - 將設定傳回 Windows 預設值,也就是啟用 SmartScreen,不過使用者可能會變更此設定。 若要停用 SmartScreen,請使用自訂 URI。
    • - 強制所有使用者使用 SmartScreen。

受攻擊面縮小規則配置檔

受攻擊面縮小規則

若要深入瞭解受攻擊面縮小規則,請參閱 Microsoft 365 檔中的 受攻擊面縮小規則參考

注意事項

本節詳細說明在 2022 年 4 月 5 日之前建立的受攻擊面縮小規則配置檔中的設定。 在該日期之後建立的配置檔會使用 [設定目錄] 中找到的新設定格式。 透過這項變更,您就無法再建立舊配置檔的新版本,也無法再進行開發。 雖然您無法再建立舊版配置檔的新實例,但您可以繼續編輯並使用您先前建立的檔案實例。

針對使用新設定格式的配置檔,Intune 不再依名稱維護每個設定的清單。 相反地,每個設定的名稱、其組態選項,以及您在 Microsoft Intune 系統管理中心看到的說明文字,都會直接從設定授權內容取得。 該內容可以提供有關在其適當內容中使用設定的詳細資訊。 檢視設定資訊文字時,您可以使用其 [ 深入瞭解] 鏈接來開啟該內容。

  • 透過 WMI 事件訂閱封鎖持續性
    使用受攻擊面縮小規則減少受攻擊面

    此受攻擊面縮小 (ASR) 規則是透過下列 GUID 來控制:e6db77e5-3df2-4cf1-b95a-636979351e5b

    此規則可防範惡意程式碼濫用 WMI,以獲得裝置上的持續性。 無檔案威脅會採用各種策略來保持隱藏,以避免在檔案系統中顯示,以及取得定期執行控制。 某些威脅可能會濫用 WMI 存放庫和事件模型來保持隱藏。

    • 未設定 (預設) – 設定會回到 Windows 預設值,該預設值已關閉且不會封鎖持續性。
    • 封鎖 – 封鎖透過 WMI 的持續性。
    • 稽核 – 評估啟用此規則 (設定為 [封鎖) , 會對您的組織產生何種影響。
    • 停用 - 關閉此規則。 不會封鎖持續性。

    若要深入瞭解此設定,請參閱 透過 WMI 事件訂閱封鎖持續性

  • 封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證
    保護裝置不遭惡意探索

    此攻擊面縮小 (ASR) 規則是透過下列 GUID 來控制:9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • 未設定 (預設) - 設定會回到關閉的 Windows 預設值。
    • 用戶定義
    • 啟用 -封鎖透過 lsass.exe 竊取認證的嘗試。
    • 稽核模式 - 不會封鎖使用者使用危險的網域,而是引發 Windows 事件。
    • 警告 - 針對 Windows 10 1809 版或更新版本,Windows 11,裝置使用者會收到一則訊息,指出他們可以略過 [封鎖] 設定。 在執行舊版 Windows 10 的裝置上,此規則會強制執行啟用行為。

  • 封鎖 Adobe Reader 使其無法建立子程序
    使用受攻擊面縮小規則減少受攻擊面

    此 ASR 規則是透過下列 GUID 來控制:7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

    • 未設定 (預設) - Windows 預設值已還原,就是不封鎖子進程的建立。
    • 用戶定義
    • 啟用 - Adobe Reader 遭到封鎖,無法建立子進程。
    • 稽核模式 - 會引發 Windows 事件,而不是封鎖子進程。
    • 警告 - 針對 Windows 10 1809 版或更新版本,Windows 11,裝置使用者會收到一則訊息,指出他們可以略過 [封鎖] 設定。 在執行舊版 Windows 10 的裝置上,此規則會強制執行啟用行為。

  • 封鎖 Office 應用程式使其無法將程式碼插入其他程序
    保護裝置不遭惡意探索

    此 ASR 規則是透過下列 GUID 來控制:75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • 未設定 (預設) - 設定會回到關閉的 Windows 預設值。
    • 封鎖 - Office 應用程式會遭到封鎖,無法將程式代碼插入其他進程。
    • 稽核模式 - 會引發 Windows 事件,而不是封鎖。
    • 警告 - 針對 Windows 10 1809 版或更新版本,Windows 11,裝置使用者會收到一則訊息,指出他們可以略過 [封鎖] 設定。 在執行舊版 Windows 10 的裝置上,此規則會強制執行啟用行為。
    • 停用 - 此設定已關閉。

  • 封鎖 Office 應用程式使其無法建立可執行的內容
    保護裝置不遭惡意探索

    此 ASR 規則是透過下列 GUID 來控制:3B576869-A4EC-4529-8536-B80A7769E899

    • 未設定 (預設) - 設定會回到關閉的 Windows 預設值。
    • 封鎖 - 禁止 Office 應用程式建立可執行文件內容。
    • 稽核模式 - 會引發 Windows 事件,而不是封鎖。
    • 警告 - 針對 Windows 10 1809 版或更新版本,Windows 11,裝置使用者會收到一則訊息,指出他們可以略過 [封鎖] 設定。 在執行舊版 Windows 10 的裝置上,此規則會強制執行啟用行為。
    • 停用 - 此設定已關閉。

  • 封鎖所有 Office 應用程式使其無法建立子程序
    保護裝置不遭惡意探索

    此 ASR 規則是透過下列 GUID 來控制:D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • 未設定 (預設) - 設定會回到關閉的 Windows 預設值。
    • 封鎖 - Office 應用程式會遭到封鎖,無法建立子進程。
    • 稽核模式 - 會引發 Windows 事件,而不是封鎖。
    • 警告 - 針對 Windows 10 1809 版或更新版本,Windows 11,裝置使用者會收到一則訊息,指出他們可以略過 [封鎖] 設定。 在執行舊版 Windows 10 的裝置上,此規則會強制執行啟用行為。
    • 停用 - 此設定已關閉。

  • 封鎖來自 Office 宏的 Win32 API 呼叫
    保護裝置不遭惡意探索

    此 ASR 規則是透過下列 GUID 來控制:92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

    • 未設定 (預設) - 設定會回到關閉的 Windows 預設值。
    • 封鎖 - 禁止 Office 宏使用 Win32 API 呼叫。
    • 稽核模式 - 會引發 Windows 事件,而不是封鎖。
    • 警告 - 針對 Windows 10 1809 版或更新版本,Windows 11,裝置使用者會收到一則訊息,指出他們可以略過 [封鎖] 設定。 在執行舊版 Windows 10 的裝置上,此規則會強制執行啟用行為。
    • 停用 - 此設定已關閉。

  • 禁止 Office 通訊應用程式建立子處理程序
    保護裝置不遭惡意探索

    此 ASR 規則是透過下列 GUID 來控制:26190899-1602-49e8-8b27-eb1d0a1ce869。

    • 未設定 (預設) - Windows 預設值會還原,這不會封鎖子進程的建立。
    • 用戶定義
    • 啟用 - Office 通訊應用程式遭到封鎖,無法建立子進程。
    • 稽核模式 - 會引發 Windows 事件,而不是封鎖子進程。
    • 警告 - 針對 Windows 10 1809 版或更新版本,Windows 11,裝置使用者會收到一則訊息,指出他們可以略過 [封鎖] 設定。 在執行舊版 Windows 10 的裝置上,此規則會強制執行啟用行為。

  • 封鎖 js/vbs/ps (可能模糊化腳本的執行)
    保護裝置不遭惡意探索

    此 ASR 規則是透過下列 GUID 來控制:5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • 未設定 (預設) - 設定會回到關閉的 Windows 預設值。
    • 封鎖 - Defender 會封鎖模糊化腳本的執行。
    • 稽核模式 - 會引發 Windows 事件,而不是封鎖。
    • 警告 - 針對 Windows 10 1809 版或更新版本,Windows 11,裝置使用者會收到一則訊息,指出他們可以略過 [封鎖] 設定。 在執行舊版 Windows 10 的裝置上,此規則會強制執行啟用行為。
    • 停用 - 此設定已關閉。

  • 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容
    保護裝置不遭惡意探索

    此 ASR 規則是透過下列 GUID 來控制:D3E037E1-3EB8-44C8-A917-57927947596D

    • 未設定 (預設) - 設定會回到關閉的 Windows 預設值。
    • 封鎖 - Defender 會封鎖已從因特網下載的 JavaScript 或 VBScript 檔案執行。
    • 稽核模式 - 會引發 Windows 事件,而不是封鎖。
    • 停用 - 此設定已關閉。

  • 封鎖源自 PSExec 與 WMI 命令的程序建立
    保護裝置不遭惡意探索

    此 ASR 規則是透過下列 GUID 來控制:d1e49aac-8f56-4280-b9ba-993a6d77406c

    • 未設定 (預設) - 設定會回到關閉的 Windows 預設值。
    • 封鎖 - 封鎖 PSExec 或 WMI 命令所建立的進程。
    • 稽核模式 - 會引發 Windows 事件,而不是封鎖。
    • 警告 - 針對 Windows 10 1809 版或更新版本,Windows 11,裝置使用者會收到一則訊息,指出他們可以略過 [封鎖] 設定。 在執行舊版 Windows 10 的裝置上,此規則會強制執行啟用行為。
    • 停用 - 此設定已關閉。

  • 封鎖從 USB 執行的未受信任與未簽署程序
    保護裝置不遭惡意探索

    此 ASR 規則是透過下列 GUID 來控制:b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • 未設定 (預設) - 設定會回到關閉的 Windows 預設值。
    • 封鎖 - 從 USB 磁碟驅動器執行的不受信任和未簽署的進程會遭到封鎖。
    • 稽核模式 - 會引發 Windows 事件,而不是封鎖。
    • 警告 - 針對 Windows 10 1809 版或更新版本,Windows 11,裝置使用者會收到一則訊息,指出他們可以略過 [封鎖] 設定。 在執行舊版 Windows 10 的裝置上,此規則會強制執行啟用行為。
    • 停用 - 此設定已關閉。

  • 封鎖可執行檔執行,除非它們符合普遍性、存留期或受信任的清單準則
    保護裝置不遭惡意探索

    此 ASR 規則是透過下列 GUID 來控制:01443614-cd74-433a-b99e-2ecdc07bfc25e

    • 未設定 (預設) - 設定會回到關閉的 Windows 預設值。
    • 封鎖
    • 稽核模式 - 會引發 Windows 事件,而不是封鎖。
    • 警告 - 針對 Windows 10 1809 版或更新版本,Windows 11,裝置使用者會收到一則訊息,指出他們可以略過 [封鎖] 設定。 在執行舊版 Windows 10 的裝置上,此規則會強制執行啟用行為。
    • 停用 - 此設定已關閉。

  • 封鎖從電子郵件和 Webmail 用戶端下載的可執行文件內容
    保護裝置不遭惡意探索

    • 未設定 (預設) - 設定會回到關閉的 Windows 預設值。
    • 封鎖 - 封鎖從電子郵件和 Webmail 用戶端下載的可執行文件內容。
    • 稽核模式 - 會引發 Windows 事件,而不是封鎖。
    • 警告 - 針對 Windows 10 1809 版或更新版本,Windows 11,裝置使用者會收到一則訊息,指出他們可以略過 [封鎖] 設定。 在執行舊版 Windows 10 的裝置上,此規則會強制執行啟用行為。
    • 停用 - 此設定已關閉。

  • 對惡意勒索軟體使用進階保護
    保護裝置不遭惡意探索

    此 ASR 規則是透過下列 GUID 來控制:c1db55ab-c21a-4637-bb3f-a12568109d35

    • 未設定 (預設) - 設定會回到關閉的 Windows 預設值。
    • 用戶定義
    • Enable
    • 稽核模式 - -會引發 Windows 事件,而不是封鎖。

  • 啟用資料夾保護
    CSP: EnableControlledFolderAccess

    • 未設定 (預設) - 此設定會回到其預設值,也就是不會封鎖讀取或寫入。
    • 啟用 - 針對不受信任的應用程式,Defender 會封鎖嘗試修改或刪除受保護資料夾中的檔案,或寫入磁碟扇區。 Defender 會自動判斷哪些應用程式可以信任。 或者,您可以定義自己的信任應用程式清單。
    • 稽核模式 - 當不受信任的應用程式存取受控制的資料夾,但沒有強制執行任何區塊時,就會引發 Windows 事件。
    • 封鎖磁碟修改 - 只會封鎖寫入磁碟扇區的嘗試。
    • 稽核磁碟修改 - 會引發 Windows 事件,而不是封鎖寫入磁碟扇區的嘗試。

  • 需要保護的其他資料夾清單
    CSP: ControlledFolderAccessProtectedFolders

    定義將保護不受信任應用程式的磁碟位置清單。

  • 可存取受保護資料夾的應用程式清單
    CSP: ControlledFolderAccessAllowedApplications

    定義可存取讀取/寫入受控制位置的應用程式清單。

  • 從受攻擊面縮小規則排除檔案和路徑
    CSP: AttackSurfaceReductionOnlyExclusions

    展開下拉式清單,然後選取 [ 新增 ] 以定義要從受攻擊面縮小規則排除的檔案或資料夾 路徑

裝置控制項配置檔

裝置控制

注意事項

本節詳細說明在 2022 年 5 月 23 日之前建立的裝置控件配置檔中找到的設定。 在該日期之後建立的配置檔會使用 [設定目錄] 中找到的新設定格式。 雖然您無法再建立原始配置檔的新實例,但您可以繼續編輯和使用現有的配置檔。

針對使用新設定格式的配置檔,Intune 不再依名稱維護每個設定的清單。 相反地,每個設定的名稱、其組態選項,以及您在 Microsoft Intune 系統管理中心看到的說明文字,都會直接從設定授權內容取得。 該內容可以提供有關在其適當內容中使用設定的詳細資訊。 檢視設定資訊文字時,您可以使用其 [ 深入瞭解] 鏈接來開啟該內容。

  • 允許依裝置識別碼安裝硬體裝置

    • 沒有設定 預設 ()
    • - Windows 可以安裝或更新任何裝置,其 隨插即用 硬體識別碼或相容標識碼會出現在您建立的清單中,除非另一個原則設定特別防止該安裝。 如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。

    當設定為 [是] 時,您可以設定下列選項:

    • 允許清單 - 使用 [新增]、[ 匯入] 和 [ 出] 來管理裝置標識符清單。

  • 依裝置標識碼封鎖硬體裝置安裝
    CSP: AllowInstallationOfMatchingDeviceIDs

    • 沒有設定 預設 ()
    • - 針對 Windows 無法安裝的裝置,指定 隨插即用 硬體識別碼和相容識別碼的清單。 此原則的優先順序高於允許 Windows 安裝裝置的任何其他原則設定。 如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。

    當設定為 [是] 時,您可以設定下列選項:

    • 拿掉相符的硬體裝置

      • 沒有設定 預設 ()

    • 封鎖清單 - 使用 [新增]、[ 匯入] 和 [ 出] 來管理裝置標識符清單。

  • 依安裝類別允許硬體裝置安裝

    • 沒有設定 預設 ()
    • - Windows 可以安裝或更新設備驅動器,除非另一個原則設定特別防止該安裝,否則裝置安裝類別 GUID 會出現在您建立的清單中。 如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。

    當設定為 [是] 時,您可以設定下列選項:

    • 允許清單 - 使用 [新增]、[ 匯入] 和 [ 出] 來管理裝置標識符清單。

  • 依安裝類別封鎖硬體裝置安裝
    CSP: AllowInstallationOfMatchingDeviceSetupClasses

    • 沒有設定 預設 ()
    • - 針對 Windows 無法安裝的設備驅動器,指定裝置安裝類別的全域唯一識別碼清單 (GUID) 。 此原則設定的優先順序高於允許 Windows 安裝裝置的任何其他原則設定。 如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。

    當設定為 [是] 時,您可以設定下列選項:

    • 拿掉相符的硬體裝置

      • 沒有設定 預設 ()

    • 封鎖清單 - 使用 [新增]、[ 匯入] 和 [ 出] 來管理裝置標識符清單。

  • 允許依裝置實例標識碼安裝硬體裝置

    • 沒有設定 預設 ()
    • - Windows 可以安裝或更新任何裝置,除非另一個原則設定特別防止該安裝,否則 隨插即用 裝置實例識別碼會出現在您建立的清單中。 如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。

    當設定為 [是] 時,您可以設定下列選項:

    • 允許清單 - 使用 [新增]、[ 匯入] 和 [ 出] 來管理裝置標識符清單。

  • 依裝置實例標識碼封鎖硬體裝置安裝
    如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。

    • 沒有設定 預設 ()
    • - 針對 Windows 無法安裝的裝置,指定 隨插即用 硬體識別碼和相容識別碼的清單。 此原則的優先順序高於允許 Windows 安裝裝置的任何其他原則設定。 如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。

    當設定為 [是] 時,您可以設定下列選項:

    • 拿掉相符的硬體裝置

      • 沒有設定 預設 ()

    • 封鎖清單 - 使用 [新增]、[ 匯入] 和 [ 出] 來管理裝置標識符清單。

  • 封鎖抽取式記憶體的寫入存取
    CSP: RemovableDiskDenyWriteAccess

    • 沒有設定 預設 ()
    • -卸除式記憶體的寫入存取遭到拒絕。
    • - 允許寫入存取權。

  • 在完整掃描期間掃描抽取式磁碟驅動器
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • 未設定 (預設) - 此設定會回到客戶端預設值,這會掃描抽取式磁碟驅動器,但使用者可以停用此掃描。
    • - 在完整掃描期間,會掃描卸載式磁碟 (,例如USB快閃磁碟驅動器) 。

  • 封鎖直接記憶體存取
    CSP: DataProtection/AllowDirectMemoryAccess

    只有在啟用 BitLocker 或裝置加密時,才會強制執行此原則設定。

    • 未設定 ()
    • - 封鎖所有熱外掛程式 PCI 下游埠的直接記憶體存取 (DMA) ,直到使用者登入 Windows 為止。 使用者登入之後,Windows 會列舉連線到主機外掛程式 PCI 埠的 PCI 裝置。 每次使用者鎖定計算機時,在使用者再次登入之前,不會在沒有子裝置的熱插頭PCI埠上封鎖 DMA。 計算機解除鎖定時已列舉的裝置會繼續運作,直到解除封鎖為止。

  • 列舉與 Kernel DMA Protection 不相容的外部裝置
    CSP: DmaGuard/DeviceEnumerationPolicy

    此原則可為支援 DMA 的外部裝置提供額外的安全性。 它可讓您進一步控制與 DMA 重新對應/裝置記憶體隔離和沙箱處理不相容的外部 DMA 裝置列舉。

    只有在系統韌體支援並啟用 Kernel DMA Protection 時,此原則才會生效。 核心 DMA 保護是製造時系統必須支援的平臺功能。 若要檢查系統是否支援 Kernel DMA Protection,請檢查 [MSINFO32.exe 摘要] 頁面中的 [核心 DMA 保護] 字段。

    • 未設定 - (預設)
    • 全部封鎖
    • 全部允許

  • 封鎖藍牙連線
    CSP: Bluetooth/AllowDiscoverableMode

    • 未設定 ()
    • - 封鎖與裝置的藍牙連線。

  • 封鎖藍牙探索能力
    CSP: Bluetooth/AllowDiscoverableMode

    • 未設定 ()
    • - 防止其他已啟用藍牙的裝置探索裝置。

  • 封鎖藍牙預先配對
    CSP: 藍牙/AllowPrepairing

    • 未設定 ()
    • - 防止特定藍牙裝置自動與主機裝置配對。

  • 封鎖藍牙廣告
    CSP: 藍牙/AllowAdvertising

    • 未設定 ()
    • - 防止裝置傳送藍牙廣告。

  • 封鎖藍牙近似值連線
    CSP: 藍牙/AllowPromptedProximalConnections 封鎖使用者使用 Swift 配對和其他近接式案例

    • 未設定 ()
    • - 防止裝置使用者使用 Swift 配對和其他近接式案例。

    藍牙/AllowPromptedProximalConnections CSP

  • 允許藍牙的服務
    CSP: Bluetooth/ServicesAllowedList
    如需服務清單的詳細資訊,請參閱 ServicesAllowedList 使用指南

    • 新增 - 將允許的藍牙服務和設定檔指定為十六進位字串,例如 {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}
    • 匯入 - 匯入包含藍牙服務和配置檔清單的 .csv 檔案,作為十六進位字串,例如 {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}

  • 卸除式儲存裝置
    CSP: Storage/RemovableDiskDenyWriteAccess

    • 封鎖 (預設) - 防止使用者使用外部儲存設備,例如搭配裝置使用 SD 卡。
    • 未設定

  • 僅限 HoloLens (USB 連線)
    CSP: Connectivity/AllowUSBConnection

    • 封鎖 - 防止在裝置與計算機之間使用 USB 連線來同步處理檔案,或使用開發人員工具來部署或偵錯應用程式。 USB 充電不會受到影響。
    • 未設定 ()

惡意探索保護配置檔

入侵防護

注意事項

本節詳細說明您可以在 2022 年 4 月 5 日之前建立的惡意探索保護配置檔中找到的設定。 在該日期之後建立的配置檔會使用 [設定目錄] 中找到的新設定格式。 透過這項變更,您就無法再建立舊配置檔的新版本,也無法再進行開發。 雖然您無法再建立舊版配置檔的新實例,但您可以繼續編輯並使用您先前建立的檔案實例。

針對使用新設定格式的配置檔,Intune 不再依名稱維護每個設定的清單。 相反地,每個設定的名稱、其組態選項,以及您在 Microsoft Intune 系統管理中心看到的說明文字,都會直接從設定授權內容取得。 該內容可以提供有關在其適當內容中使用設定的詳細資訊。 檢視設定資訊文字時,您可以使用其 [ 深入瞭解] 鏈接來開啟該內容。

  • 上傳 XML
    CSP: ExploitProtectionSettings

    可讓IT系統管理員將代表所需系統和應用程式風險降低選項的設定推送至組織中的所有裝置。 組態是由 XML 檔案表示。 惡意探索保護可協助保護裝置免於使用惡意探索來散佈和感染的惡意代碼。 您可以使用 Windows 安全性應用程式或 PowerShell 來建立一組風險降低措施 (稱為設定)。 然後,您可以將此組態匯出為 XML 檔案,並與網路上的多部機器共用,讓它們都有一組相同的風險降低設定。 您也可以將現有的 EMET 組態 XML 檔案轉換並匯入至惡意探索保護組態 XML。

    選擇 [選取 XML 檔案],指定 XML 檔案上傳,然後按下 [ 選取]

    • 未設定 ()

  • 封鎖使用者編輯惡意探索防護保護介面
    CSP: DisallowExploitProtectionOverride

    • 未設定 (預設) - 本機使用者可以在惡意探索保護設定區域中進行變更。
    • - 防止使用者變更 Microsoft Defender 資訊安全中心 中的惡意探索保護設定區域。

Web 保護 (舊版 Microsoft Edge) 配置檔

Web 保護 (舊版 Microsoft Edge)

  • 啟用網路保護
    CSP: EnableNetworkProtection

    • 未設定 (預設) - 設定會回到停用的 Windows 預設值。
    • 用戶定義
    • 啟用 -系統上的所有使用者都已啟用網路保護。
    • 稽核模式 - 不會封鎖使用者使用危險的網域,而是引發 Windows 事件。

  • 需要適用於 Microsoft Edge 的 SmartScreen
    CSP: Browser/AllowSmartScreen

    • - 使用 SmartScreen 保護使用者免於潛在的網路釣魚詐騙和惡意軟體。
    • 未設定 ()

  • 封鎖惡意網站存取
    CSP: Browser/PreventSmartScreenPromptOverride

    • - 封鎖使用者忽略 Microsoft Defender SmartScreen 篩選工具警告,並封鎖他們前往網站。
    • 未設定 ()

  • 封鎖未經驗證的檔案下載
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • - 禁止使用者忽略 Microsoft Defender SmartScreen 篩選工具警告,並封鎖他們下載未經驗證的檔案。
    • 未設定 ()

ConfigMgr) (受攻擊面縮小

惡意探索保護 (ConfigMgr) (預覽) 配置檔

惡意探索保護

  • 上傳 XML
    CSP: ExploitProtectionSettings

    可讓IT系統管理員將代表所需系統和應用程式風險降低選項的設定推送至組織中的所有裝置。 組態是由 XML 檔案表示。 惡意探索保護可協助保護裝置免於使用惡意探索來散佈和感染的惡意代碼。 您可以使用 Windows 安全性應用程式或 PowerShell 來建立一組風險降低措施 (稱為設定)。 然後,您可以將此組態匯出為 XML 檔案,並與網路上的多部機器共用,讓它們都有一組相同的風險降低設定。 您也可以將現有的 EMET 組態 XML 檔案轉換並匯入至惡意探索保護組態 XML。

    選擇 [選取 XML 檔案],指定 XML 檔案上傳,然後按下 [ 選取]

  • 不允許惡意探索保護覆寫
    CSP: DisallowExploitProtectionOverride

    • 未設定 預設 ()
    • (停用) 允許本機使用者在惡意探索保護設定區域中進行變更
    • (啟用) 本機用戶無法變更惡意探索保護設定區域

Web 保護 (ConfigMgr) (預覽) 配置檔

Web 保護

後續步驟

ASR 的端點安全策略