Sdílet prostřednictvím

Nastavení zásad omezení potenciální oblasti útoku pro zabezpečení koncových bodů v Intune

  • Článek

Podívejte se na nastavení, která můžete nakonfigurovat v profilech pro zásady omezení potenciální oblasti útoku v uzlu zabezpečení koncového bodu Intune jako součást zásad zabezpečení koncového bodu.

Platí pro:

  • Windows 11
  • Windows 10

Podporované platformy a profily:

  • Windows 10 a novější – tuto platformu použijte pro zásady, které nasazujete na zařízení spravovaná pomocí Intune.

    • Profil: Izolace aplikací a prohlížeče
    • Profil: Řízení aplikací
    • Profil: Pravidla omezení potenciální oblasti útoku
    • Profil: Řízení zařízení
    • Profil: Ochrana před zneužitím
    • Profil: Webová ochrana (starší verze Microsoft Edge)

  • Windows 10 a novější (ConfigMgr): Tuto platformu použijte pro zásady, které nasadíte do zařízení spravovaných službou Configuration Manager.

    • Profil: Ochrana před zneužitím (ConfigMgr)(Preview)
    • Profil: Webová ochrana (ConfigMgr)(Preview)

  • Windows 10, Windows 11 a Windows Server: Tuto platformu použijte pro zásady, které nasadíte na zařízení spravovaná prostřednictvím správy zabezpečení pro Microsoft Defender for Endpoint.

    • Profil: Pravidla omezení potenciální oblasti útoku

Omezení potenciální oblasti útoku (MDM)

Profil izolace aplikací a prohlížečů

Poznámka

Tato část podrobně popisuje nastavení v profilech izolace aplikací a prohlížečů vytvořených před 18. dubnem 2023. Profily vytvořené po tomto datu používají nový formát nastavení, který najdete v katalogu nastavení. Díky této změně už nebudete moct vytvářet nové verze starého profilu a už se nevyvíjí. I když už nemůžete vytvářet nové instance staršího profilu, můžete pokračovat v úpravách a používání jeho instancí, které jste vytvořili dříve.

U profilů, které používají nový formát nastavení, už Intune neudržuje seznam jednotlivých nastavení podle názvu. Místo toho se názvy jednotlivých nastavení, jejich možnosti konfigurace a vysvětlující text, který se zobrazí v centru pro správu Microsoft Intune, převzaty přímo z autoritativního obsahu nastavení. Tento obsah může poskytnout další informace o použití nastavení ve správném kontextu. Při prohlížení textu s informacemi o nastavení můžete tento obsah otevřít pomocí odkazu Další informace .

Izolace aplikací a prohlížečů

  • Zapnutí Ochrana Application Guard
    CSP: AllowWindowsDefenderApplicationGuard

    • Nenakonfigurováno (výchozí) – Ochrana Application Guard v programu Microsoft Defender není nakonfigurované pro Microsoft Edge nebo izolovaná prostředí Windows.
    • Povoleno pro Edge – Ochrana Application Guard otevře neschválené weby ve virtualizovaném kontejneru procházení Hyper-V.
    • Povoleno pro izolovaná prostředí Windows – Ochrana Application Guard je zapnutá pro všechny aplikace, které mají ve Windows povolenou ochranu App Guard.
    • Povoleno pro edge a izolovaná prostředí Windows – Ochrana Application Guard je nakonfigurovaná pro oba scénáře.

    Poznámka

    Pokud nasazujete Ochrana Application Guard pro Microsoft Edge prostřednictvím Intune, musí být jako předpoklad nakonfigurované zásady izolace sítě ve Windows. Izolaci sítě je možné nakonfigurovat prostřednictvím různých profilů, včetně izolace aplikací a aplikací v nastavení Izolace sítě ve Windows .

    Pokud je nastavení povoleno pro Edge nebo Povoleno pro edge a izolovaná prostředí Windows, jsou k dispozici následující nastavení, která platí pro Edge:

    • Chování schránky
      CSP: ClipboardSettings

      Zvolte, jaké akce kopírování a vkládání jsou povolené z místního počítače a z Ochrana Application Guard virtuálního prohlížeče.

      • Nenakonfigurováno (výchozí)
      • Blokování kopírování a vkládání mezi počítačem a prohlížečem
      • Povolit kopírování a vkládání jenom z prohlížeče do počítače
      • Povolit kopírování a vkládání jenom z počítače do prohlížeče
      • Povolit kopírování a vkládání mezi počítačem a prohlížečem

    • Blokování externího obsahu z webů neschválených podnikem
      CSP: BlockNonEnterpriseContent

      • Nenakonfigurováno (výchozí)
      • Ano – Zablokuje načítání obsahu z neschválaných webů.

    • Shromažďování protokolů pro události, ke kterým dochází v rámci relace procházení Ochrana Application Guard
      CSP: AuditApplicationGuard

      • Nenakonfigurováno (výchozí)
      • Ano – shromážděte protokoly pro události, ke kterým dochází v rámci relace Ochrana Application Guard virtuálního procházení.

    • Povolit ukládání dat vygenerovaných uživatelem v prohlížeči
      CSP: AllowPersistence

      • Nenakonfigurováno (výchozí)
      • Ano – Povolí ukládání uživatelských dat vytvořených během relace Ochrana Application Guard virtuálního procházení. Mezi příklady uživatelských dat patří hesla, oblíbené položky a soubory cookie.

    • Povolit hardwarovou akceleraci grafiky
      CSP: AllowVirtualGPU

      • Nenakonfigurováno (výchozí)
      • Ano – V rámci relace Ochrana Application Guard virtuálního procházení použijte virtuální jednotku pro zpracování grafiky, která načítá weby náročné na grafiku rychleji.

    • Povolit uživatelům stahovat soubory do hostitele
      CSP: SaveFilesToHost

      • Nenakonfigurováno (výchozí)
      • Ano – Umožňuje uživatelům stahovat soubory z virtualizovaného prohlížeče do hostitelského operačního systému.

    • Ochrana Application Guard povolit přístup ke kameře a mikrofonu
      CSP: AllowCameraMicrophoneRedirection

      • Nenakonfigurováno (výchozí) – Aplikace uvnitř Ochrana Application Guard v programu Microsoft Defender nemají přístup ke kameře a mikrofonu na zařízení uživatele.
      • Ano – aplikace uvnitř Ochrana Application Guard v programu Microsoft Defender mají přístup ke kameře a mikrofonu na zařízení uživatele.
      • Ne – aplikace uvnitř Ochrana Application Guard v programu Microsoft Defender nemají přístup ke kameře a mikrofonu na zařízení uživatele. Jedná se o stejné chování jako Nenakonfigurováno.

  • Ochrana Application Guard umožňuje tisk na místních tiskárnách

    • Nenakonfigurováno (výchozí)
    • Ano – Povolí tisk na místních tiskárnách.

  • Ochrana Application Guard umožňuje tisk na síťových tiskárnách

    • Nenakonfigurováno (výchozí)
    • Ano – Povolí tisk na síťových tiskárnách.

  • Ochrana Application Guard umožňuje tisk do PDF

    • Nenakonfigurováno (výchozí)
    • Ano – Povolí tisk do PDF.

  • Ochrana Application Guard umožňuje tisk ve formátu XPS

    • Nenakonfigurováno (výchozí)
    • Ano – – Povolí tisk na XPS.

  • Ochrana Application Guard povolit použití kořenových certifikačních autorit ze zařízení uživatele
    CSP: CertificateThumbprints

    Nakonfigurujte kryptografické otisky certifikátu tak, aby automaticky přenášely odpovídající kořenový certifikát do kontejneru Ochrana Application Guard v programu Microsoft Defender.

    Pokud chcete přidávat kryptografické otisky po jednom, vyberte Přidat. Pomocí importu můžete zadat soubor .CSV, který obsahuje více položek kryptografického otisku, které se do profilu přidají najednou. Při použití souboru .CSV musí být každý kryptografický otisk oddělený čárkou. Například: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

    Všechny položky uvedené v profilu jsou aktivní. Pokud chcete, aby položka kryptografického otisku byla aktivní, nemusíte zaškrtnout políčko. Místo toho pomocí zaškrtávacích políček můžete spravovat položky, které byly přidány do profilu. Můžete například zaškrtnout políčko u jedné nebo více položek kryptografického otisku certifikátu a potom odstranit tyto položky z profilu pomocí jediné akce.

  • Zásady izolace sítě ve Windows

    • Nenakonfigurováno (výchozí)
    • Ano – Nakonfigurujte zásady izolace sítě ve Windows.

    Pokud je tato možnost nastavená na Ano, můžete nakonfigurovat následující nastavení:

    • Rozsahy IP adres
      Rozbalte rozevírací seznam, vyberte Přidat a pak zadejte nižší adresu a pak horní adresu.

    • Cloudové prostředky
      Rozbalte rozevírací seznam, vyberte Přidat a pak zadejte IP adresu nebo plně kvalifikovaný název domény a proxy server.

    • Síťové domény
      Rozbalte rozevírací seznam, vyberte Přidat a pak zadejte Síťové domény.

    • Proxy servery
      Rozbalte rozevírací seznam, vyberte Přidat a pak zadejte Proxy servery.

    • Interní proxy servery
      Rozbalte rozevírací seznam, vyberte Přidat a pak zadejte Interní proxy servery.

    • Neutrální prostředky
      Rozbalte rozevírací seznam, vyberte Přidat a pak zadejte Neutrální prostředky.

    • Zákaz automatického zjišťování jiných podnikových proxy serverů

      • Nenakonfigurováno (výchozí)
      • Ano – Zakažte automatické zjišťování jiných podnikových proxy serverů.

    • Zákaz automatického zjišťování jiných rozsahů podnikových IP adres

      • Nenakonfigurováno (výchozí)
      • Ano – Zakažte automatické zjišťování jiných rozsahů podnikových IP adres.

    Poznámka

    Po vytvoření profilu budou mít všechna zařízení, na která se mají zásady vztahovat, Ochrana Application Guard v programu Microsoft Defender povolené. Uživatelé možná budou muset restartovat svá zařízení, aby byla zavedena ochrana.

Profil řízení aplikací

Microsoft Defender řízení aplikací

  • Řízení aplikací nástroje App Locker
    CSP: AppLocker

    • Nenakonfigurováno (výchozí)
    • Vynucení komponent a aplikací pro Store
    • Auditovat komponenty a aplikace pro Store
    • Vynucení komponent, aplikací pro Store a smartlockeru
    • Auditování komponent, aplikací pro Store a smartlockeru

  • Blokovat uživatelům ignorování upozornění filtru SmartScreen
    CSP: SmartScreen/PreventOverrideForFilesInShell

    • Nenakonfigurováno (výchozí) – Uživatelé můžou ignorovat upozornění filtru SmartScreen pro soubory a škodlivé aplikace.
    • Ano – Filtr SmartScreen je povolený a uživatelé nemůžou obejít upozornění na soubory nebo škodlivé aplikace.

  • Zapnutí filtru Windows SmartScreen
    CSP: SmartScreen/EnableSmartScreenInShell

    • Nenakonfigurováno (výchozí) – Vrátí nastavení systému Windows na výchozí, což je povolení filtru SmartScreen, ale uživatelé můžou toto nastavení změnit. Pokud chcete filtr SmartScreen zakázat, použijte vlastní identifikátor URI.
    • Ano – vynucuje používání filtru SmartScreen pro všechny uživatele.

Profil pravidel omezení potenciální oblasti útoku

Pravidla pro omezení potenciální oblasti útoku

Další informace o pravidlech omezení potenciální oblasti útoku najdete v tématu Referenční informace k pravidlům omezení potenciální oblasti útoku v dokumentaci k Microsoftu 365.

Poznámka

Tato část podrobně popisuje nastavení v profilech pravidel omezení potenciálních oblastí útoku vytvořených před 5. dubnem 2022. Profily vytvořené po tomto datu používají nový formát nastavení, který najdete v katalogu nastavení. Díky této změně už nebudete moct vytvářet nové verze starého profilu a už se nevyvíjí. I když už nemůžete vytvářet nové instance staršího profilu, můžete pokračovat v úpravách a používání jeho instancí, které jste vytvořili dříve.

U profilů, které používají nový formát nastavení, už Intune neudržuje seznam jednotlivých nastavení podle názvu. Místo toho se názvy jednotlivých nastavení, jejich možnosti konfigurace a vysvětlující text, který se zobrazí v centru pro správu Microsoft Intune, převzaty přímo z autoritativního obsahu nastavení. Tento obsah může poskytnout další informace o použití nastavení ve správném kontextu. Při prohlížení textu s informacemi o nastavení můžete tento obsah otevřít pomocí odkazu Další informace .

  • Blokování trvalosti prostřednictvím odběru událostí WMI
    Omezení potenciálních oblastí útoku pomocí pravidel omezení potenciální oblasti útoku

    Toto pravidlo omezení potenciální oblasti útoku (ASR) se řídí pomocí následujícího identifikátoru GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

    Toto pravidlo zabraňuje malwaru ve zneužití rozhraní WMI k dosažení trvalosti na zařízení. Hrozby bez souborů používají různé taktiky, aby zůstaly skryté, aby se vyhnuly zobrazení v systému souborů a získaly pravidelnou kontrolu nad prováděním. Některé hrozby můžou zneužít úložiště služby WMI a model událostí, aby zůstaly skryté.

    • Nenakonfigurováno (výchozí) – Nastavení se vrátí do výchozího nastavení Windows, které je vypnuté a trvalost není zablokovaná.
    • Blokovat – trvalost prostřednictvím rozhraní WMI je zablokovaná.
    • Audit – vyhodnoťte, jak toto pravidlo ovlivňuje vaši organizaci, pokud je povolené (nastavené na Blokovat).
    • Zakázat – vypněte toto pravidlo. Trvalost není blokována.

    Další informace o tomto nastavení najdete v tématu Blokování trvalosti prostřednictvím odběru událostí rozhraní WMI.

  • Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe)
    Ochrana zařízení před zneužitím

    Toto pravidlo omezení potenciální oblasti útoku (ASR) se řídí pomocí následujícího identifikátoru GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • Nenakonfigurováno (výchozí) – Nastavení se vrátí do výchozího nastavení Windows, které je vypnuté.
    • Definované uživatelem
    • Povolit – pokusy o odcizení přihlašovacích údajů prostřednictvím lsass.exe se zablokují.
    • Režim auditování – Uživatelé nejsou blokováni nebezpečnými doménami a místo toho se aktivují události Windows.
    • Upozornění – u Windows 10 verze 1809 nebo novější a Windows 11 se uživateli zařízení zobrazí zpráva, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.

  • Blokovat Adobe Readeru vytváření podřízených procesů
    Omezení potenciálních oblastí útoku pomocí pravidel omezení potenciální oblasti útoku

    Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

    • Nenakonfigurováno (výchozí) – Výchozí nastavení systému Windows se obnoví, je neblokovat vytváření podřízených procesů.
    • Definované uživatelem
    • Povolit – Adobe Reader nemůže vytvářet podřízené procesy.
    • Režim auditování – události Systému Windows se aktivují místo blokování podřízených procesů.
    • Upozornění – u Windows 10 verze 1809 nebo novější a Windows 11 se uživateli zařízení zobrazí zpráva, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.

  • Blokování vkládání kódu do jiných procesů aplikací Office
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • Nenakonfigurováno (výchozí) – Nastavení se vrátí do výchozího nastavení Windows, které je vypnuté.
    • Blokovat – aplikacím Office se zablokuje vkládání kódu do jiných procesů.
    • Režim auditování – události Windows se neblokují, ale aktivují se.
    • Upozornění – u Windows 10 verze 1809 nebo novější a Windows 11 se uživateli zařízení zobrazí zpráva, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
    • Zakázat – toto nastavení je vypnuté.

  • Blokování aplikací Office ve vytváření spustitelného obsahu
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: 3B576869-A4EC-4529-8536-B80A7769E899

    • Nenakonfigurováno (výchozí) – Nastavení se vrátí do výchozího nastavení Windows, které je vypnuté.
    • Blokovat – aplikacím Office se zablokuje vytváření spustitelného obsahu.
    • Režim auditování – události Windows se neblokují, ale aktivují se.
    • Upozornění – u Windows 10 verze 1809 nebo novější a Windows 11 se uživateli zařízení zobrazí zpráva, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
    • Zakázat – toto nastavení je vypnuté.

  • Blokovat vytváření podřízených procesů všem aplikacím Office
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • Nenakonfigurováno (výchozí) – Nastavení se vrátí do výchozího nastavení Windows, které je vypnuté.
    • Blokovat – aplikacím Office se zablokuje vytváření podřízených procesů.
    • Režim auditování – události Windows se neblokují, ale aktivují se.
    • Upozornění – u Windows 10 verze 1809 nebo novější a Windows 11 se uživateli zařízení zobrazí zpráva, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
    • Zakázat – toto nastavení je vypnuté.

  • Blokování volání rozhraní API Win32 z makra Office
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

    • Nenakonfigurováno (výchozí) – Nastavení se vrátí do výchozího nastavení Windows, které je vypnuté.
    • Blokovat – u maker Office se zablokuje používání volání rozhraní API Win32.
    • Režim auditování – události Windows se neblokují, ale aktivují se.
    • Upozornění – u Windows 10 verze 1809 nebo novější a Windows 11 se uživateli zařízení zobrazí zpráva, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
    • Zakázat – toto nastavení je vypnuté.

  • Blokování komunikačních aplikací Office ve vytváření podřízených procesů
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869.

    • Nenakonfigurováno (výchozí) – Obnoví se výchozí nastavení Windows, což je neblokovat vytváření podřízených procesů.
    • Definované uživatelem
    • Povolit – komunikačním aplikacím Office se zablokuje vytváření podřízených procesů.
    • Režim auditování – události Systému Windows se aktivují místo blokování podřízených procesů.
    • Upozornění – u Windows 10 verze 1809 nebo novější a Windows 11 se uživateli zařízení zobrazí zpráva, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.

  • Blokování spouštění potenciálně obfuskovaných skriptů (js/vbs/ps)
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • Nenakonfigurováno (výchozí) – Nastavení se vrátí do výchozího nastavení Windows, které je vypnuté.
    • Blok – Defender blokuje spuštění obfuskovaných skriptů.
    • Režim auditování – události Windows se neblokují, ale aktivují se.
    • Upozornění – u Windows 10 verze 1809 nebo novější a Windows 11 se uživateli zařízení zobrazí zpráva, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
    • Zakázat – toto nastavení je vypnuté.

  • Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: D3E037E1-3EB8-44C8-A917-57927947596D

    • Nenakonfigurováno (výchozí) – Nastavení se vrátí do výchozího nastavení Windows, které je vypnuté.
    • Blokovat – Defender blokuje spuštění souborů JavaScriptu nebo VBScriptu stažených z internetu.
    • Režim auditování – události Windows se neblokují, ale aktivují se.
    • Zakázat – toto nastavení je vypnuté.

  • Blokování vytváření procesů pocházejících z příkazů PSExec a WMI
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

    • Nenakonfigurováno (výchozí) – Nastavení se vrátí do výchozího nastavení Windows, které je vypnuté.
    • Block – vytváření procesů pomocí příkazů PSExec nebo WMI je blokované.
    • Režim auditování – události Windows se neblokují, ale aktivují se.
    • Upozornění – u Windows 10 verze 1809 nebo novější a Windows 11 se uživateli zařízení zobrazí zpráva, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
    • Zakázat – toto nastavení je vypnuté.

  • Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • Nenakonfigurováno (výchozí) – Nastavení se vrátí do výchozího nastavení Windows, které je vypnuté.
    • Blokovat – nedůvěryhodné a nepodepsané procesy, které se spouští z USB flash disku, jsou blokované.
    • Režim auditování – události Windows se neblokují, ale aktivují se.
    • Upozornění – u Windows 10 verze 1809 nebo novější a Windows 11 se uživateli zařízení zobrazí zpráva, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
    • Zakázat – toto nastavení je vypnuté.

  • Blokovat spuštění spustitelných souborů, pokud nesplňují kritéria pro rozšíření, věk nebo seznam důvěryhodných souborů
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25e

    • Nenakonfigurováno (výchozí) – Nastavení se vrátí do výchozího nastavení Windows, které je vypnuté.
    • Blokování
    • Režim auditování – události Windows se neblokují, ale aktivují se.
    • Upozornění – u Windows 10 verze 1809 nebo novější a Windows 11 se uživateli zařízení zobrazí zpráva, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
    • Zakázat – toto nastavení je vypnuté.

  • Blokování stahování spustitelného obsahu z e-mailových a webových e-mailových klientů
    Ochrana zařízení před zneužitím

    • Nenakonfigurováno (výchozí) – Nastavení se vrátí do výchozího nastavení Windows, které je vypnuté.
    • Blokovat – spustitelný obsah stažený z e-mailu a klientů webové pošty je zablokovaný.
    • Režim auditování – události Windows se neblokují, ale aktivují se.
    • Upozornění – u Windows 10 verze 1809 nebo novější a Windows 11 se uživateli zařízení zobrazí zpráva, že může obejít blokování nastavení. Na zařízeních se staršími verzemi Windows 10 pravidlo vynucuje chování Povolit.
    • Zakázat – toto nastavení je vypnuté.

  • Použití pokročilé ochrany proti ransomwaru
    Ochrana zařízení před zneužitím

    Toto pravidlo ASR se řídí pomocí následujícího identifikátoru GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

    • Nenakonfigurováno (výchozí) – Nastavení se vrátí do výchozího nastavení Windows, které je vypnuté.
    • Definované uživatelem
    • Zapnout
    • Režim auditování – Události Windows se neblokují, ale aktivují se.

  • Povolení ochrany složek
    CSP: EnableControlledFolderAccess

    • Nenakonfigurováno (výchozí) – Toto nastavení se vrátí k výchozímu nastavení, což je žádné čtení ani zápisy se neblokují.
    • Povolit – u nedůvěryhodných aplikací defender blokuje pokusy o úpravu nebo odstranění souborů v chráněných složkách nebo zápis do diskových sektorů. Defender automaticky určuje, kterým aplikacím lze důvěřovat. Případně můžete definovat vlastní seznam důvěryhodných aplikací.
    • Režim auditování – Události Windows se aktivují, když nedůvěryhodné aplikace přistupují k řízeným složkám, ale nevynucují se žádné bloky.
    • Blokovat úpravy disku – blokují se jenom pokusy o zápis do diskových sektorů.
    • Auditovat úpravy disku – události Windows se aktivují místo blokování pokusů o zápis do diskových sektorů.

  • Seznam dalších složek, které je potřeba chránit
    CSP: ControlledFolderAccessProtectedFolders

    Definujte seznam umístění disků, která budou chráněna před nedůvěryhodnými aplikacemi.

  • Seznam aplikací, které mají přístup k chráněným složkám
    CSP: ControlledFolderAccessAllowedApplications

    Definujte seznam aplikací, které mají přístup ke čtení a zápisu do kontrolovaných umístění.

  • Vyloučení souborů a cest z pravidel omezení potenciální oblasti útoku
    CSP: AttackSurfaceReductionOnlyExclusions

    Rozbalte rozevírací seznam a pak vyberte Přidat a definujte cestu k souboru nebo složce, která se má vyloučit z pravidel omezení potenciální oblasti útoku.

Profil řízení zařízení

Řízení zařízení

Poznámka

Tato část podrobně popisuje nastavení nalezená v části Profily ovládacích prvků zařízení vytvořené před 23. květnem 2022. Profily vytvořené po tomto datu používají nový formát nastavení, který najdete v katalogu nastavení. I když už nemůžete vytvářet nové instance původního profilu, můžete pokračovat v úpravách a používání stávajících profilů.

U profilů, které používají nový formát nastavení, už Intune neudržuje seznam jednotlivých nastavení podle názvu. Místo toho se názvy jednotlivých nastavení, jejich možnosti konfigurace a vysvětlující text, který se zobrazí v centru pro správu Microsoft Intune, převzaty přímo z autoritativního obsahu nastavení. Tento obsah může poskytnout další informace o použití nastavení ve správném kontextu. Při prohlížení textu s informacemi o nastavení můžete tento obsah otevřít pomocí odkazu Další informace .

  • Povolit instalaci hardwarového zařízení podle identifikátorů zařízení

    • Nenakonfigurováno(výchozí)
    • Ano – Systém Windows může nainstalovat nebo aktualizovat jakékoli zařízení, jehož technologie Plug and Play ID hardwaru nebo kompatibilní ID se zobrazí v seznamu, který vytvoříte, pokud instalaci výslovně nebrání jiné nastavení zásad. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, ovlivní nastavení zásad přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.
    • Ne

    Pokud nastavíte ano, můžete nakonfigurovat následující možnosti:

    • Seznam povolených – pomocí možnosti Přidat, Importovat a Exportovat můžete spravovat seznam identifikátorů zařízení.

  • Blokování instalace hardwarového zařízení podle identifikátorů zařízení
    CSP: AllowInstallationOfMatchingDeviceID

    • Nenakonfigurováno(výchozí)
    • Ano – zadejte seznam ID hardwaru technologie Plug and Play a kompatibilních ID pro zařízení, která windows neinstaluje. Tato zásada má přednost před jakýmkoli jiným nastavením zásad, které systému Windows umožňuje nainstalovat zařízení. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, ovlivní nastavení zásad přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.
    • Ne

    Pokud nastavíte ano, můžete nakonfigurovat následující možnosti:

    • Odebrání odpovídajících hardwarových zařízení

      • Ano
      • Nenakonfigurováno(výchozí)

    • Seznam blokovaných položek – Pomocí funkce Přidat, Importovat a Exportovat můžete spravovat seznam identifikátorů zařízení.

  • Povolit instalaci hardwarového zařízení podle třídy nastavení

    • Nenakonfigurováno(výchozí)
    • Ano – Systém Windows může nainstalovat nebo aktualizovat ovladače zařízení, jejichž identifikátory GUID třídy nastavení zařízení se zobrazí v seznamu, který vytvoříte, pokud instalaci výslovně nebrání jiné nastavení zásad. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, ovlivní nastavení zásad přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.
    • Ne

    Pokud nastavíte ano, můžete nakonfigurovat následující možnosti:

    • Seznam povolených – pomocí možnosti Přidat, Importovat a Exportovat můžete spravovat seznam identifikátorů zařízení.

  • Blokování instalace hardwarového zařízení podle tříd nastavení
    CSP: AllowInstallationOfMatchingDeviceSetupClasses

    • Nenakonfigurováno(výchozí)
    • Ano – Zadejte seznam globálně jedinečných identifikátorů (GUID) třídy nastavení zařízení pro ovladače zařízení, které systém Windows nemá možnost instalovat. Toto nastavení zásad má přednost před jakýmkoli jiným nastavením zásad, které systému Windows umožňuje nainstalovat zařízení. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, ovlivní nastavení zásad přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.
    • Ne

    Pokud nastavíte ano, můžete nakonfigurovat následující možnosti:

    • Odebrání odpovídajících hardwarových zařízení

      • Ano
      • Nenakonfigurováno(výchozí)

    • Seznam blokovaných položek – Pomocí funkce Přidat, Importovat a Exportovat můžete spravovat seznam identifikátorů zařízení.

  • Povolit instalaci hardwarového zařízení podle identifikátorů instancí zařízení

    • Nenakonfigurováno(výchozí)
    • Ano – systém Windows může nainstalovat nebo aktualizovat jakékoli zařízení, jehož id instance zařízení technologie Plug and Play se zobrazí v seznamu, který vytvoříte, pokud instalaci výslovně nebrání jiné nastavení zásad. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, ovlivní nastavení zásad přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.
    • Ne

    Pokud nastavíte ano, můžete nakonfigurovat následující možnosti:

    • Seznam povolených – pomocí možnosti Přidat, Importovat a Exportovat můžete spravovat seznam identifikátorů zařízení.

  • Blokování instalace hardwarového zařízení podle identifikátorů instancí zařízení
    Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, ovlivní nastavení zásad přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.

    • Nenakonfigurováno(výchozí)
    • Ano – zadejte seznam ID hardwaru technologie Plug and Play a kompatibilních ID pro zařízení, která windows neinstaluje. Tato zásada má přednost před jakýmkoli jiným nastavením zásad, které systému Windows umožňuje nainstalovat zařízení. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, ovlivní nastavení zásad přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.
    • Ne

    Pokud nastavíte ano, můžete nakonfigurovat následující možnosti:

    • Odebrání odpovídajících hardwarových zařízení

      • Ano
      • Nenakonfigurováno(výchozí)

    • Seznam blokovaných položek – Pomocí funkce Přidat, Importovat a Exportovat můžete spravovat seznam identifikátorů zařízení.

  • Blokování přístupu pro zápis do vyměnitelného úložiště
    CSP: RemovableDiskDenyWriteAccess

    • Nenakonfigurováno(výchozí)
    • Ano – Přístup k zápisu do vyměnitelného úložiště je odepřen.
    • Ne – Přístup k zápisu je povolený.

  • Kontrola vyměnitelných jednotek během úplné kontroly
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • Nenakonfigurováno (výchozí) – Nastavení se vrátí na výchozí nastavení klienta, které kontroluje vyměnitelné jednotky, ale uživatel může tuto kontrolu zakázat.
    • Ano – Během úplné kontroly se kontrolují vyměnitelné jednotky (například USB flash disky).

  • Blokovat přímý přístup k paměti
    CSP: DataProtection/AllowDirectMemoryAccess

    Toto nastavení zásad se vynucuje jenom v případě, že je povolené šifrování nástrojem BitLocker nebo zařízením.

    • Nenakonfigurováno (výchozí)
    • Ano – blokovat přímý přístup do paměti (DMA) pro všechny porty PCI připojitelné za chodu, dokud se uživatel přihlásí do Windows. Po přihlášení uživatele systém Windows vytvoří výčet zařízení PCI připojených k portům PCI pro připojení hostitele. Pokaždé, když uživatel uzamkne počítač, je DMA blokován na portech PCI s horkou zástrčkou bez podřízených zařízení, dokud se uživatel znovu nepřihlásí. Zařízení, která už byla vyčíslována, když byl počítač odemknut, budou dál fungovat, dokud se neodpojí.

  • Výčet externích zařízení nekompatibilních s ochranou jádra DMA
    CSP: DmaGuard/DeviceEnumerationPolicy

    Tato zásada může poskytovat dodatečné zabezpečení vůči externím zařízením s podporou DMA. Umožňuje větší kontrolu nad výčtem externích zařízení s podporou DMA nekompatibilních s přemapováním DMA / izolací paměti zařízení a sandboxem.

    Tato zásada se projeví pouze v případě, že je ochrana DMA jádra podporovaná a povolená firmwarem systému. Ochrana DMA jádra je funkce platformy, kterou musí systém podporovat v době výroby. Pokud chcete zkontrolovat, jestli systém podporuje ochranu DMA jádra, zaškrtněte pole Ochrana jádra DMA na stránce Souhrn MSINFO32.exe.

    • Nenakonfigurováno – (výchozí)
    • Blokovat vše
    • Povolit vše

  • Blokování připojení Bluetooth
    CSP: Bluetooth/AllowDiscoverableMode

    • Nenakonfigurováno (výchozí)
    • Ano – Zablokuje připojení Bluetooth k zařízení a z zařízení.

  • Blokování zjistitelnosti přes Bluetooth
    CSP: Bluetooth/AllowDiscoverableMode

    • Nenakonfigurováno (výchozí)
    • Ano – zabrání tomu, aby bylo zařízení zjistitelné jinými zařízeními s podporou Bluetooth.

  • Blokování předběžného párování Bluetooth
    CSP: Bluetooth/AllowPrepairing

    • Nenakonfigurováno (výchozí)
    • Ano – Zabrání automatickému párování konkrétních zařízení Bluetooth s hostitelským zařízením.

  • Blokování reklamy přes Bluetooth
    CSP: Bluetooth/AllowAdvertising

    • Nenakonfigurováno (výchozí)
    • Ano – Zabrání zařízení v odesílání reklam Bluetooth.

  • Blokování proximálních připojení Bluetooth
    CSP: Bluetooth/AllowPromptedProximalConnections Blokuje uživatelům používání rychlého párování a dalších scénářů založených na bezkontaktní komunikaci

    • Nenakonfigurováno (výchozí)
    • Ano – Zabrání uživateli zařízení v používání rychlého párování a dalších scénářů založených na bezkontaktní komunikaci.

    Bluetooth/AllowPromptedProximalConnections CSP

  • Povolené služby Bluetooth
    CSP: Bluetooth/ServicesAllowedList.
    Další informace o seznamu služeb najdete v průvodci používáním SlužebAllowedList.

    • Přidat – jako šestnáctkové řetězce zadejte povolené služby a profily Bluetooth, například {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}.
    • Import – importuje .csv soubor, který obsahuje seznam služeb a profilů Bluetooth, jako jsou šestnáctkové řetězce, například {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}

  • Vyměnitelné úložiště
    CSP: Storage/RemovableDiskDenyWriteAccess

    • Blokovat (výchozí) – Zabrání uživatelům v používání externích úložných zařízení, jako jsou karty SD, se zařízením.
    • Nenakonfigurováno

  • Připojení USB (jenom HoloLens)
    CSP: Připojení / AllowUSBConnection

    • Blokovat – zabrání použití připojení USB mezi zařízením a počítačem k synchronizaci souborů nebo použití vývojářských nástrojů k nasazení nebo ladění aplikací. Na nabíjení USB to nemá vliv.
    • Nenakonfigurováno (výchozí)

Profil ochrany před zneužitím

Ochrana před zneužitím

Poznámka

Tato část podrobně popisuje nastavení, která najdete v části Profily ochrany před zneužitím vytvořené před 5. dubnem 2022. Profily vytvořené po tomto datu používají nový formát nastavení, který najdete v katalogu nastavení. Díky této změně už nebudete moct vytvářet nové verze starého profilu a už se nevyvíjí. I když už nemůžete vytvářet nové instance staršího profilu, můžete pokračovat v úpravách a používání jeho instancí, které jste vytvořili dříve.

U profilů, které používají nový formát nastavení, už Intune neudržuje seznam jednotlivých nastavení podle názvu. Místo toho se názvy jednotlivých nastavení, jejich možnosti konfigurace a vysvětlující text, který se zobrazí v centru pro správu Microsoft Intune, převzaty přímo z autoritativního obsahu nastavení. Tento obsah může poskytnout další informace o použití nastavení ve správném kontextu. Při prohlížení textu s informacemi o nastavení můžete tento obsah otevřít pomocí odkazu Další informace .

  • Nahrát XML
    CSP: ExploitProtectionSettings

    Umožňuje správci IT odeslat konfiguraci představující požadované možnosti omezení rizik systému a aplikací na všechna zařízení v organizaci. Konfigurace je reprezentována souborem XML. Ochrana před zneužitím pomáhá chránit zařízení před malwarem, který využívá zneužití k šíření a napadení. Pomocí aplikace Zabezpečení Windows nebo PowerShellu vytvoříte sadu zmírnění rizik (označovanou jako konfigurace). Tuto konfiguraci pak můžete exportovat jako soubor XML a sdílet ji s více počítači v síti, aby měly všechny stejnou sadu nastavení omezení rizik. Můžete také převést a importovat existující konfigurační soubor XML EMET do xml konfigurace ochrany exploit protection.

    Zvolte Vybrat soubor XML, zadejte nahrání souboru XML a klikněte na Vybrat.

    • Nenakonfigurováno (výchozí)
    • Ano

  • Blokovat uživatelům úpravy rozhraní ochrany Exploit Guard
    CSP: DisallowExploitProtectionOverride

    • Nenakonfigurováno (výchozí) – Místní uživatelé můžou provádět změny v oblasti nastavení ochrany exploit protection.
    • Ano – Zabrání uživatelům v provádění změn v oblasti nastavení ochrany exploit protection v Centrum zabezpečení v programu Microsoft Defender.

Profil webové ochrany (starší verze Microsoft Edge)

Webová ochrana (starší verze Microsoft Edge)

  • Povolení ochrany sítě
    CSP: EnableNetworkProtection

    • Nenakonfigurováno (výchozí) – Nastavení se vrátí na výchozí hodnotu Windows, která je zakázaná.
    • Definované uživatelem
    • Povolit – Ochrana sítě je povolená pro všechny uživatele v systému.
    • Režim auditování – Uživatelé nejsou blokováni nebezpečnými doménami a místo toho se aktivují události Windows.

  • Vyžadovat filtr SmartScreen pro Microsoft Edge
    CSP: Browser/AllowSmartScreen

    • Ano – Filtr SmartScreen slouží k ochraně uživatelů před potenciálními útoky phishing a škodlivým softwarem.
    • Nenakonfigurováno (výchozí)

  • Blokování škodlivého přístupu k webu
    CSP: Browser/PreventSmartScreenPromptOverride

    • Ano – Zablokujte uživatelům ignorování Microsoft Defender upozornění filtru SmartScreen a zablokujte jim přechod na web.
    • Nenakonfigurováno (výchozí)

  • Blokovat stahování neověřených souborů
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • Ano – Zablokujte uživatelům ignorovat upozornění filtru SmartScreen Microsoft Defender a zablokujte jim stahování neověřených souborů.
    • Nenakonfigurováno (výchozí)

Zmenšení prostoru útoku (ConfigMgr)

Profil ochrany před zneužitím (ConfigMgr)(Preview)

Ochrana před zneužitím

  • Nahrát XML
    CSP: ExploitProtectionSettings

    Umožňuje správci IT odeslat konfiguraci představující požadované možnosti omezení rizik systému a aplikací na všechna zařízení v organizaci. Konfigurace je reprezentována souborem XML. Ochrana před zneužitím pomáhá chránit zařízení před malwarem, který využívá zneužití k šíření a napadení. Pomocí aplikace Zabezpečení Windows nebo PowerShellu vytvoříte sadu zmírnění rizik (označovanou jako konfigurace). Tuto konfiguraci pak můžete exportovat jako soubor XML a sdílet ji s více počítači v síti, aby měly všechny stejnou sadu nastavení omezení rizik. Můžete také převést a importovat existující konfigurační soubor XML EMET do xml konfigurace ochrany exploit protection.

    Zvolte Vybrat soubor XML, zadejte nahrání souboru XML a klikněte na Vybrat.

  • Zakázat přepsání ochrany před zneužitím
    CSP: DisallowExploitProtectionOverride

    • Nenakonfigurováno (výchozí)
    • (Zakázat) Místní uživatelé můžou provádět změny v oblasti nastavení ochrany exploit protection.
    • (Povolit) Místní uživatelé nemůžou provádět změny v oblasti nastavení ochrany před zneužitím.

Profil webové ochrany (ConfigMgr)(Preview)

Webová ochrana

Další kroky

Zásady zabezpečení koncových bodů pro ASR