Windows-Einstellungen, die Sie über ein Intune Endpoint Protection-Profil verwalten können
Hinweis
Intune unterstützen möglicherweise mehr Einstellungen als die in diesem Artikel aufgeführten Einstellungen. Nicht alle Einstellungen sind dokumentiert und werden nicht dokumentiert. Um die Einstellungen anzuzeigen, die Sie konfigurieren können, erstellen Sie eine Gerätekonfigurationsrichtlinie, und wählen Sie Einstellungskatalog aus. Weitere Informationen finden Sie unter Einstellungskatalog.
Microsoft Intune enthält viele Einstellungen zum Schutz Ihrer Geräte. In diesem Artikel werden die Einstellungen in der Endpoint Protection-Vorlage für die Gerätekonfiguration beschrieben. Zum Verwalten der Gerätesicherheit können Sie auch Endpunktsicherheitsrichtlinien verwenden, die sich direkt auf Teilmengen der Gerätesicherheit konzentrieren. Informationen zum Konfigurieren Microsoft Defender Antivirus finden Sie unter Windows-Geräteeinschränkungen oder Verwenden der Endpunktsicherheits-Antivirenrichtlinie.
Bevor Sie beginnen
Erstellen Sie ein Endpoint Protection-Gerätekonfigurationsprofil.
Weitere Informationen zu Konfigurationsdienstanbietern (CSPs) finden Sie unter Referenz zu Konfigurationsdienstanbietern.
Microsoft Defender Application Guard
Für Microsoft Edge schützt Microsoft Defender Application Guard Ihre Umgebung vor Websites, denen Ihr organization nicht vertraut. Mit Application Guard werden Websites, die sich nicht in Ihrer isolierten Netzwerkgrenze befinden, in einer virtuellen Hyper-V-Browsersitzung geöffnet. Vertrauenswürdige Standorte werden durch eine Netzwerkgrenze definiert, die in der Gerätekonfiguration konfiguriert werden. Weitere Informationen finden Sie unter Erstellen einer Netzwerkgrenze auf Windows-Geräten.
Application Guard ist nur für 64-Bit-Windows-Geräte verfügbar. Mithilfe dieses Profils wird eine Win32-Komponente installiert, um Application Guard zu aktivieren.
Application Guard
Standard: Nicht konfiguriert
Application Guard CSP: Settings/AllowWindowsDefenderApplicationGuard- Aktiviert für Edge : Aktiviert dieses Feature, das nicht vertrauenswürdige Websites in einem virtualisierten Hyper-V-Browsercontainer öffnet.
- Nicht konfiguriert : Jeder Standort (vertrauenswürdig und nicht vertrauenswürdig) kann auf dem Gerät geöffnet werden.
Verhalten der Zwischenablage
Standard: Nicht konfiguriert
Application Guard CSP: Settings/ClipboardSettingsWählen Sie aus, welche Kopier- und Einfügeaktionen zwischen dem lokalen PC und dem Application Guard virtuellen Browser zulässig sind.
- Nicht konfiguriert
- Kopieren und Einfügen nur vom PC in den Browser zulassen
- Kopieren und Einfügen nur vom Browser auf den PC zulassen
- Kopieren und Einfügen zwischen PC und Browser zulassen
- Kopieren und Einfügen zwischen PC und Browser blockieren
Inhalt der Zwischenablage
Diese Einstellung ist nur verfügbar, wenn das Verhalten der Zwischenablage auf eine der Zulassungseinstellungen festgelegt ist.
Standard: Nicht konfiguriert
Application Guard CSP: Settings/ClipboardFileTypeWählen Sie den zulässigen Inhalt der Zwischenablage aus.
- Nicht konfiguriert
- Text
- Images
- Text und Bilder
Externe Inhalte auf Unternehmenswebsites
Standard: Nicht konfiguriert
Application Guard CSP: Settings/BlockNonEnterpriseContent- Blockieren : Blockiert das Laden von Inhalten von nicht genehmigten Websites.
- Nicht konfiguriert : Unternehmensfremde Websites können auf dem Gerät geöffnet werden.
Drucken über einen virtuellen Browser
Standard: Nicht konfiguriert
Application Guard CSP: Settings/PrintingSettings- Zulassen : Ermöglicht das Drucken ausgewählter Inhalte im virtuellen Browser.
- Nicht konfiguriert Deaktivieren Sie alle Druckfunktionen.
Wenn Sie Drucken zulassen , können Sie die folgende Einstellung konfigurieren:
-
Drucktyp(en) Wählen Sie eine oder mehrere der folgenden Optionen aus:
- XPS
- Lokale Drucker
- Netzwerkdrucker
Sammeln von Protokollen
Standard: Nicht konfiguriert
Application Guard CSP: Audit/AuditApplicationGuard- Zulassen: Sammeln Sie Protokolle für Ereignisse, die innerhalb einer Application Guard Browsersitzung auftreten.
- Nicht konfiguriert : Sammeln Sie keine Protokolle innerhalb der Browsersitzung.
Beibehalten von benutzergenerierten Browserdaten
Standard: Nicht konfiguriert
Application Guard CSP: Einstellungen/AllowPersistence- Erlauben Speichern Sie Benutzerdaten (z. B. Kennwörter, Favoriten und Cookies), die während einer Application Guard virtuellen Browsersitzung erstellt werden.
- Nicht konfiguriert Verwerfen sie vom Benutzer heruntergeladene Dateien und Daten, wenn das Gerät neu gestartet wird oder wenn sich ein Benutzer abmeldet.
Grafikbeschleunigung
Standard: Nicht konfiguriert
Application Guard CSP: Einstellungen/AllowVirtualGPU- Aktivieren : Laden Sie grafikintensive Websites und Videos schneller, indem Sie Zugriff auf eine virtuelle Grafikverarbeitungseinheit erhalten.
- Nicht konfiguriert Verwenden Sie die CPU des Geräts für Grafiken. Verwenden Sie nicht die virtuelle Grafikverarbeitungseinheit.
Herunterladen von Dateien zum Hostdateisystem
Standard: Nicht konfiguriert
Application Guard CSP: Settings/SaveFilesToHost- Aktivieren : Benutzer können Dateien aus dem virtualisierten Browser auf das Hostbetriebssystem herunterladen.
- Nicht konfiguriert : Behält die Dateien lokal auf dem Gerät bei und lädt keine Dateien in das Hostdateisystem herunter.
Windows-Firewall
Globale Einstellungen
Diese Einstellungen gelten für alle Netzwerktypen.
File Transfer Protocol
Standard: Nicht konfiguriert
Firewall-CSP: MdmStore/Global/DisableStatefulFtp- Blockieren : Deaktiviert zustandsbehaftetes FTP.
- Nicht konfiguriert : Die Firewall führt zustandsbehaftete FTP-Filterung durch, um sekundäre Verbindungen zuzulassen.
Leerlaufzeit der Sicherheitszuordnung vor dem Löschen
Standard: Nicht konfiguriert
Firewall-CSP: MdmStore/Global/SaIdleTimeGeben Sie eine Leerlaufzeit in Sekunden an, nach der Sicherheitszuordnungen gelöscht werden.
Codierung mit vorinstalliertem Schlüssel
Standard: Nicht konfiguriert
Firewall-CSP: MdmStore/Global/PresharedKeyEncoding- Aktivieren : Codieren Von vordefinierten Schlüsseln mithilfe von UTF-8.
- Nicht konfiguriert : Codieren Sie vordefinierte Schlüssel mithilfe des Werts des lokalen Speichers.
IPsec-Ausnahmen
Standard: 0 ausgewählt
Firewall-CSP: MdmStore/Global/IPsecExemptWählen Sie einen oder mehrere der folgenden Arten von Datenverkehr aus, der von IPsec ausgenommen werden soll:
- Neighbor discover IPv6 ICMP type-codes
- ICMP
- IPv6-ICMP-Typcodes für Routerermittlung
- IPv4- und IPv6-DHCP-Netzwerkdatenverkehr
Überprüfung der Zertifikatsperrliste
Standard: Nicht konfiguriert
Firewall-CSP: MdmStore/Global/CRLcheckWählen Sie aus, wie das Gerät die Zertifikatsperrliste überprüft. Die folgenden Optionen stehen zur Verfügung:
- Deaktivieren der Zertifikatsperrlistenüberprüfung
- Fehler bei der Überprüfung der Zertifikatsperrliste nur für widerrufenes Zertifikat
- Fehler bei der Überprüfung der Zertifikatsperrliste bei einem aufgetretenen Fehler.
Authentifizierungssatz pro Schlüsselmodul opportunistisch abgleichen
Standard: Nicht konfiguriert
Firewall-CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM- Ermöglichen Schlüsselerstellungsmodule dürfen nur die Authentifizierungssammlungen ignorieren, die sie nicht unterstützen.
- Nicht konfiguriert, müssen Schlüsselerstellungsmodule den gesamten Authentifizierungssatz ignorieren, wenn sie nicht alle in der Gruppe angegebenen Authentifizierungssammlungen unterstützen.
Paketwarteschlange
Standard: Nicht konfiguriert
Firewall-CSP: MdmStore/Global/EnablePacketQueueGeben Sie an, wie die Softwareskalierung auf der Empfangsseite für den verschlüsselten Empfang und die Klartextweiterleitung für das IPsec-Tunnelgatewayszenario aktiviert ist. Diese Einstellung bestätigt, dass die Paketreihenfolge beibehalten wird. Die folgenden Optionen stehen zur Verfügung:
- Nicht konfiguriert
- Deaktivieren aller Paketwarteschlangen
- Nur eingehende verschlüsselte Pakete in der Warteschlange
- Warteschlangenpakete nach der Entschlüsselung nur für die Weiterleitung
- Konfigurieren von eingehenden und ausgehenden Paketen
Netzwerkeinstellungen
Die folgenden Einstellungen werden jeweils ein einziges Mal in diesem Artikel aufgeführt, aber alle gelten für die drei spezifischen Netzwerktypen:
- Domänennetzwerk (Arbeitsplatz)
- Privates (auffindbares) Netzwerk
- Öffentliches (nicht erkennbares) Netzwerk
Allgemein
Windows-Firewall
Standard: Nicht konfiguriert
Firewall-CSP: EnableFirewall- Aktivieren : Aktivieren Sie die Firewall und die erweiterte Sicherheit.
- Nicht konfiguriert Lässt den gesamten Netzwerkdatenverkehr zu, unabhängig von anderen Richtlinieneinstellungen.
Stealth-Modus
Standard: Nicht konfiguriert
Firewall-CSP: DisableStealthMode- Nicht konfiguriert
- Blockieren : Die Firewall kann nicht im stealth-Modus ausgeführt werden. Das Blockieren des Stealth-Modus ermöglicht es Ihnen, auch die Ausnahme von geschützten IPsec-Paketen zu blockieren.
- Zulassen : Die Firewall arbeitet im verdeckten Modus, wodurch Reaktionen auf Abfragen von Anforderungen verhindert werden.
IPsec-Schutzpaketausnahme im Stealth-Modus
Standard: Nicht konfiguriert
Firewall-CSP: DisableStealthModeIpsecSecuredPacketExemptionDiese Option wird ignoriert, wenn der Stealth-Modus auf Blockieren festgelegt ist.
- Nicht konfiguriert
- Blockieren : IpSec-gesicherte Pakete erhalten keine Ausnahmen.
- Zulassen : Aktivieren sie Ausnahmen. Der heimliche Modus der Firewall DARF NICHT verhindern, dass der Hostcomputer auf unerwünschten Netzwerkdatenverkehr reagiert, der durch IPsec gesichert ist.
Abgeschirmt
Standard: Nicht konfiguriert
Firewall-CSP: Abgeschirmt- Nicht konfiguriert
- Blockieren : Wenn die Windows-Firewall aktiviert ist und diese Einstellung auf Blockieren festgelegt ist, wird der gesamte eingehende Datenverkehr blockiert, unabhängig von anderen Richtlinieneinstellungen.
- Zulassen : Wenn diese Einstellung auf Zulassen festgelegt ist, ist diese Einstellung deaktiviert, und eingehender Datenverkehr wird basierend auf anderen Richtlinieneinstellungen zugelassen.
Unicastantworten auf Multicastübertragungen
Standard: Nicht konfiguriert
Firewall-CSP: DisableUnicastResponsesToMulticastBroadcastIn der Regel möchten Sie keine Unicastantworten auf Multicast- oder Broadcastnachrichten empfangen. Diese Antworten können auf einen Denial-of-Service-Angriff (DOS) oder einen Angreifer hinweisen, der versucht, einen bekannten Livecomputer zu testen.
- Nicht konfiguriert
- Blockieren : Deaktiviert Unicastantworten auf Multicastübertragungen.
- Zulassen : Unicastantworten auf Multicastübertragungen zulassen.
Eingehende Benachrichtigungen
Standard: Nicht konfiguriert
Firewall-CSP: DisableInboundNotifications- Nicht konfiguriert
- Blockieren : Blendet Benachrichtigungen aus, die verwendet werden sollen, wenn eine App daran gehindert wird, an einem Port zu lauschen.
- Zulassen : Aktiviert diese Einstellung und zeigt benutzern möglicherweise eine Benachrichtigung an, wenn eine App daran gehindert wird, an einem Port zu lauschen.
Standardaktion für ausgehende Verbindungen
Standard: Nicht konfiguriert
Firewall-CSP: DefaultOutboundActionKonfigurieren Sie die Standardaktion, die die Firewall für ausgehende Verbindungen ausführt. Diese Einstellung wird auf Windows Version 1809 und höher angewendet.
- Nicht konfiguriert
- Blockieren : Die Standardfirewallaktion wird nicht für ausgehenden Datenverkehr ausgeführt, es sei denn, sie wird explizit zum Blockieren angegeben.
- Zulassen : Standardmäßige Firewallaktionen werden bei ausgehenden Verbindungen ausgeführt.
Standardaktion für eingehende Verbindungen
Standard: Nicht konfiguriert
Firewall-CSP: DefaultInboundAction- Nicht konfiguriert
- Blockieren : Die Standardfirewallaktion wird nicht für eingehende Verbindungen ausgeführt.
- Zulassen : Standardmäßige Firewallaktionen werden bei eingehenden Verbindungen ausgeführt.
Zusammenführen von Regeln
Windows-Firewallregeln für autorisierte Anwendungen aus dem lokalen Speicher
Standard: Nicht konfiguriert
Firewall-CSP: AuthAppsAllowUserPrefMerge- Nicht konfiguriert
- Blockieren : Die autorisierten Anwendungsfirewallregeln im lokalen Speicher werden ignoriert und nicht erzwungen.
- Zulassen : Wählen Sie Aktivieren Firewallregeln im lokalen Speicher an, damit diese erkannt und erzwungen werden.
Globale Windows-Firewallregeln aus dem lokalen Speicher
Standard: Nicht konfiguriert
Firewall-CSP: GlobalPortsAllowUserPrefMerge- Nicht konfiguriert
- Blockieren : Die Firewallregeln für den globalen Port im lokalen Speicher werden ignoriert und nicht erzwungen.
- Zulassen : Wenden Sie globale Portfirewallregeln im lokalen Speicher an, um erkannt und erzwungen zu werden.
Windows-Firewallregeln aus dem lokalen Speicher
Standard: Nicht konfiguriert
Firewall-CSP: AllowLocalPolicyMerge- Nicht konfiguriert
- Blockieren : Firewallregeln aus dem lokalen Speicher werden ignoriert und nicht erzwungen.
- Zulassen : Wenden Sie Firewallregeln im lokalen Speicher an, um erkannt und erzwungen zu werden.
IPsec-Regeln aus dem lokalen Speicher
Standard: Nicht konfiguriert
Firewall-CSP: AllowLocalIpsecPolicyMerge- Nicht konfiguriert
- Blockieren : Die Verbindungssicherheitsregeln aus dem lokalen Speicher werden ignoriert und nicht erzwungen, unabhängig von der Schemaversion und der Version der Verbindungssicherheitsregeln.
- Zulassen : Wenden Sie Verbindungssicherheitsregeln aus dem lokalen Speicher unabhängig von schema- oder verbindungssicherheitsregelversionen an.
Firewallregeln
Sie können eine oder mehrere benutzerdefinierte Firewallregeln hinzufügen . Weitere Informationen finden Sie unter Hinzufügen von benutzerdefinierten Firewallregeln für Windows-Geräte.
Benutzerdefinierte Firewallregeln unterstützen die folgenden Optionen:
Allgemeine Einstellungen
Name
Standard: Kein NameGeben Sie einen Anzeigenamen für Ihre Regel an. Dieser Name wird in der Liste der Regeln angezeigt, damit Sie ihn leichter identifizieren können.
Beschreibung
Standard:Keine BeschreibungGeben Sie eine Beschreibung der Regel an.
Richtung
Standard: Nicht konfiguriert
Firewall-CSP: FirewallRules/FirewallRuleName/DirectionGeben Sie an, ob diese Regel für eingehenden oder ausgehenden Datenverkehr gilt. Bei Festlegung auf Nicht konfiguriert gilt die Regel automatisch für ausgehenden Datenverkehr.
Aktion
Standard: Nicht konfiguriert
Firewall-CSP: FirewallRules/FirewallRuleName/Action und FirewallRules/FirewallRuleName/Action/TypeWählen Sie Zulassen oder Blockieren aus. Wenn die Einstellung Nicht konfiguriert festgelegt ist, lässt die Regel standardmäßig Datenverkehr zu.
Netzwerktyp
Standard: 0 ausgewählt
Firewall-CSP: FirewallRules/FirewallRuleName/ProfilesWählen Sie bis zu drei Netzwerktypen aus, zu denen diese Regel gehört. Zu den Optionen gehören "Domäne", "Privat" und " Öffentlich". Wenn keine Netzwerktypen ausgewählt sind, gilt die Regel für alle drei Netzwerktypen.
Anwendungseinstellungen
Anwendungen
Standard: AlleSteuern von Verbindungen für eine App oder ein Programm. Apps und Programme können entweder anhand des Dateipfads, des Paketfamiliennamens oder des Dienstnamens angegeben werden:
Paketfamilienname : Geben Sie einen Paketfamiliennamen an. Verwenden Sie den PowerShell-Befehl Get-AppxPackage, um den Paketfamiliennamen zu ermitteln.
Firewall-CSP: FirewallRules/FirewallRuleName/App/PackageFamilyNameDateipfad : Sie müssen einen Dateipfad zu einer App auf dem Clientgerät angeben, bei dem es sich um einen absoluten Pfad oder einen relativen Pfad handeln kann. Beispiel: C:\Windows\System\Notepad.exe oder %WINDIR%\Notepad.exe.
Firewall-CSP: FirewallRules/FirewallRuleName/App/FilePathWindows-Dienst : Geben Sie den Kurznamen des Windows-Diensts an, wenn es sich um einen Dienst handelt und nicht um eine Anwendung, die Datenverkehr sendet oder empfängt. Verwenden Sie den PowerShell-Befehl Get-Service, um den Kurznamen des Diensts zu ermitteln.
Firewall-CSP: FirewallRules/FirewallRuleName/App/ServiceNameAlle– Es sind keine Konfigurationen erforderlich.
IP-Adresseinstellungen
Geben Sie die lokalen und Remoteadressen an, für die diese Regel gilt.
Lokale Adressen
Standard: Beliebige Adresse
Firewall-CSP: FirewallRules/FirewallRuleName/LocalPortRangesWählen Sie Beliebige Adresse oder Angegebene Adresse aus.
Wenn Sie Angegebene Adresse verwenden, fügen Sie eine oder mehrere Adressen als durch Trennzeichen getrennte Liste lokaler Adressen hinzu, die von der Regel abgedeckt werden. Gültige Token sind:
- Verwenden Sie ein Sternchen
*
für jede lokale Adresse. Wenn Sie ein Sternchen verwenden, muss es das einzige Token sein, das Sie verwenden. - Geben Sie ein Subnetz entweder mit der Subnetzmaske oder der Netzwerkpräfixnotation an. Wenn keine Subnetzmaske oder ein Netzwerkpräfix angegeben ist, wird die Subnetzmaske standardmäßig auf 255.255.255.255 festgelegt.
- Eine gültige IPv6-Adresse.
- Ein IPv4-Adressbereich im Format "Startadresse – Endadresse" ohne Leerzeichen.
- Ein IPv6-Adressbereich im Format "Startadresse - Endadresse" ohne Leerzeichen.
- Verwenden Sie ein Sternchen
Remoteadressen
Standard: Beliebige Adresse
Firewall-CSP: FirewallRules/FirewallRuleName/RemoteAddressRangesWählen Sie Beliebige Adresse oder Angegebene Adresse aus.
Wenn Sie Angegebene Adresse verwenden, fügen Sie eine oder mehrere Adressen als durch Trennzeichen getrennte Liste von Remoteadressen hinzu, die von der Regel abgedeckt werden. Bei Token wird die Groß-/Kleinschreibung nicht beachtet. Gültige Token sind:
- Verwenden Sie ein Sternchen "*" für jede Remoteadresse. Wenn Sie ein Sternchen verwenden, muss es das einzige Token sein, das Sie verwenden.
Defaultgateway
DHCP
DNS
WINS
-
Intranet
(unterstützt unter Windows-Versionen 1809 und höher) -
RmtIntranet
(unterstützt unter Windows-Versionen 1809 und höher) -
Internet
(unterstützt unter Windows-Versionen 1809 und höher) -
Ply2Renders
(unterstützt unter Windows-Versionen 1809 und höher) -
LocalSubnet
gibt eine beliebige lokale Adresse im lokalen Subnetz an. - Geben Sie ein Subnetz entweder mit der Subnetzmaske oder der Netzwerkpräfixnotation an. Wenn keine Subnetzmaske oder ein Netzwerkpräfix angegeben ist, wird die Subnetzmaske standardmäßig auf 255.255.255.255 festgelegt.
- Eine gültige IPv6-Adresse.
- Ein IPv4-Adressbereich im Format "Startadresse – Endadresse" ohne Leerzeichen.
- Ein IPv6-Adressbereich im Format "Startadresse - Endadresse" ohne Leerzeichen.
Port- und Protokolleinstellungen
Geben Sie die lokalen und Remoteports an, für die diese Regel gilt.
-
Protocol
Standard: Beliebig
Firewall-CSP: FirewallRules/FirewallRuleName/Protocol
Wählen Sie eine der folgenden Optionen aus, und schließen Sie alle erforderlichen Konfigurationen ab:- Alle : Es ist keine Konfiguration verfügbar.
-
TCP : Konfigurieren Sie lokale und Remoteports. Beide Optionen unterstützen Alle Ports oder Angegebene Ports. Geben Sie Angegebene Ports mithilfe einer durch Trennzeichen getrennten Liste ein.
- Lokale Ports – Firewall-CSP: FirewallRules/FirewallRuleName/LocalPortRanges
- Remoteports – Firewall-CSP: FirewallRules/FirewallRuleName/RemotePortRanges
-
UDP : Konfigurieren Sie lokale und Remoteports. Beide Optionen unterstützen Alle Ports oder Angegebene Ports. Geben Sie Angegebene Ports mithilfe einer durch Trennzeichen getrennten Liste ein.
- Lokale Ports – Firewall-CSP: FirewallRules/FirewallRuleName/LocalPortRanges
- Remoteports – Firewall-CSP: FirewallRules/FirewallRuleName/RemotePortRanges
- Benutzerdefiniert : Geben Sie eine benutzerdefinierte Protokollnummer zwischen 0 und 255 an.
Erweiterte Konfiguration
Schnittstellentypen
Standard: 0 ausgewählt
Firewall-CSP: FirewallRules/FirewallRuleName/InterfaceTypesFolgende Optionen stehen zur Auswahl:
- Remotezugriff
- Drahtlos
- Lokales Netzwerk
Nur Verbindungen von diesen Benutzern zulassen
Standard: Alle Benutzer (Standardmäßig werden alle Verwendungen verwendet, wenn keine Liste angegeben ist)
Firewall-CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationListGeben Sie eine Liste der autorisierten lokalen Benutzer für diese Regel an. Eine Liste der autorisierten Benutzer kann nicht angegeben werden, wenn diese Regel für einen Windows-Dienst gilt.
Microsoft Defender SmartScreen-Einstellungen
Microsoft Edge muss auf dem Gerät installiert sein.
SmartScreen für Apps und Dateien
Standard: Nicht konfiguriert
SmartScreen CSP: SmartScreen/EnableSmartScreenInShell- Nicht konfiguriert : Deaktiviert die Verwendung von SmartScreen.
- Aktivieren : Aktivieren Sie Windows SmartScreen für die Dateiausführung und die Ausführung von Apps. SmartScreen ist eine cloudbasierte Anti-Phishing- und Anti-Malware-Komponente.
Ausführung nicht überprüfter Dateien
Standard: Nicht konfiguriert
SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell- Nicht konfiguriert : Deaktiviert dieses Feature und ermöglicht Endbenutzern das Ausführen von Dateien, die nicht überprüft wurden.
- Blockieren : Verhindert, dass Endbenutzer Dateien ausführen, die nicht von Windows SmartScreen überprüft wurden.
Windows-Verschlüsselung
Windows-Einstellungen
Geräte verschlüsseln
Standard: Nicht konfiguriert
BitLocker CSP: RequireDeviceEncryption-
Erforderlich : Benutzer werden aufgefordert, die Geräteverschlüsselung zu aktivieren. Je nach Windows-Edition und Systemkonfiguration werden Benutzer möglicherweise gefragt:
- Um zu bestätigen, dass die Verschlüsselung von einem anderen Anbieter nicht aktiviert ist.
- Sie müssen die BitLocker-Laufwerkverschlüsselung deaktivieren und dann BitLocker wieder aktivieren.
- Nicht konfiguriert
Wenn die Windows-Verschlüsselung aktiviert ist, während eine andere Verschlüsselungsmethode aktiv ist, kann das Gerät instabil werden.
-
Erforderlich : Benutzer werden aufgefordert, die Geräteverschlüsselung zu aktivieren. Je nach Windows-Edition und Systemkonfiguration werden Benutzer möglicherweise gefragt:
BitLocker-Basiseinstellungen
Basiseinstellungen sind universelle BitLocker-Einstellungen für alle Arten von Datenlaufwerken. Diese Einstellungen verwalten, welche Laufwerksverschlüsselungsaufgaben oder Konfigurationsoptionen der Endbenutzer für alle Arten von Datenlaufwerken ändern kann.
Warnung für andere Datenträgerverschlüsselung
Standard: Nicht konfiguriert
BitLocker CSP: AllowWarningForOtherDiskEncryption- Blockieren : Deaktivieren Sie die Warnungsaufforderung, wenn sich ein anderer Datenträgerverschlüsselungsdienst auf dem Gerät befindet.
- Nicht konfiguriert : Zulassen, dass die Warnung für andere Datenträgerverschlüsselung angezeigt wird.
Tipp
Um BitLocker automatisch und automatisch auf einem Gerät zu installieren, das Microsoft Entra eingebunden ist und Windows 1809 oder höher ausführt, muss diese Einstellung auf Blockieren festgelegt werden. Weitere Informationen finden Sie unter Automatisches Aktivieren von BitLocker auf Geräten.
Bei Festlegung auf Blockieren können Sie die folgende Einstellung konfigurieren:
Zulassen, dass Standardbenutzer die Verschlüsselung während Microsoft Entra Joins aktivieren
Diese Einstellung gilt nur für Microsoft Entra eingebundene Geräte (Azure ADJ) und hängt von der vorherigen Einstellung abWarning for other disk encryption
.
Standard: Nicht konfiguriert
BitLocker CSP: AllowStandardUserEncryption- Zulassen: Standard Benutzer (keine Administratoren) die BitLocker-Verschlüsselung aktivieren können, wenn sie angemeldet sind.
- Nicht konfiguriert Nur Administratoren können die BitLocker-Verschlüsselung auf dem Gerät aktivieren.
Tipp
Um BitLocker automatisch und automatisch auf einem Gerät zu installieren, das Microsoft Entra eingebunden ist und Windows 1809 oder höher ausführt, muss diese Einstellung auf Zulassen festgelegt werden. Weitere Informationen finden Sie unter Automatisches Aktivieren von BitLocker auf Geräten.
Konfigurieren von Verschlüsselungsmethoden
Standard: Nicht konfiguriert
BitLocker CSP: EncryptionMethodByDriveType- Aktivieren : Konfigurieren Sie Verschlüsselungsalgorithmen für Betriebssystem, Daten und Wechseldatenträger.
- Nicht konfiguriert : BitLocker verwendet XTS-AES 128 Bit als Standardverschlüsselungsmethode oder die verschlüsselungsmethode, die von jedem Setupskript angegeben wird.
Bei Festlegung auf Aktivieren können Sie die folgenden Einstellungen konfigurieren:
Verschlüsselung für Betriebssystemlaufwerke
Standard: XTS-AES 128-BitWählen Sie die Verschlüsselungsmethode für Betriebssystemlaufwerke aus. Es wird empfohlen, den XTS-AES-Algorithmus zu verwenden.
- AES-CBC 128-Bit
- AES-CBC 256-Bit
- XTS-AES 128-Bit
- XTS-AES 256-Bit
Verschlüsselung für Festplattenlaufwerke
Standard: AES-CBC 128-BitWählen Sie die Verschlüsselungsmethode für feste (integrierte) Datenlaufwerke aus. Es wird empfohlen, den XTS-AES-Algorithmus zu verwenden.
- AES-CBC 128-Bit
- AES-CBC 256-Bit
- XTS-AES 128-Bit
- XTS-AES 256-Bit
Verschlüsselung für Wechseldatenträger
Standard: AES-CBC 128-BitWählen Sie die Verschlüsselungsmethode für Wechseldatenträger aus. Wenn der Wechseldatenträger mit Geräten verwendet wird, auf denen Windows 10/11 nicht ausgeführt wird, empfehlen wir die Verwendung des AES-CBC-Algorithmus.
- AES-CBC 128-Bit
- AES-CBC 256-Bit
- XTS-AES 128-Bit
- XTS-AES 256-Bit
Einstellungen für BitLocker-Betriebssystemlaufwerke
Diese Einstellungen gelten speziell für Betriebssystemdatenlaufwerke.
Zusätzliche Authentifizierung beim Start
Standard: Nicht konfiguriert
BitLocker CSP: SystemDrivesRequireStartupAuthentication- Erforderlich : Konfigurieren Sie die Authentifizierungsanforderungen für den Computerstart, einschließlich der Verwendung des Trusted Platform Module (TPM).
- Nicht konfiguriert : Konfigurieren Sie nur grundlegende Optionen auf Geräten mit einem TPM.
Bei Festlegung auf Erforderlich können Sie die folgenden Einstellungen konfigurieren:
BitLocker mit nicht kompatiblem TPM-Chip
Standard: Nicht konfiguriert- Blockieren : Deaktivieren Sie die Verwendung von BitLocker, wenn ein Gerät nicht über einen kompatiblen TPM-Chip verfügt.
- Nicht konfiguriert : Benutzer können BitLocker ohne kompatiblen TPM-Chip verwenden. BitLocker erfordert möglicherweise ein Kennwort oder einen Startschlüssel.
Kompatibler TPM-Start
Standard: TPM zulassenKonfigurieren Sie, ob TPM zulässig, erforderlich oder nicht zulässig ist.
- TPM zulassen
- TPM nicht zulassen
- TPM erforderlich
Kompatible TPM-Start-PIN
Standard: Start-PIN mit TPM zulassenWählen Sie die Verwendung einer Start-PIN mit dem TPM-Chip zulassen, nicht zulassen oder erfordern. Das Aktivieren einer Start-PIN erfordert eine Interaktion des Endbenutzers.
- Zulassen der Start-PIN mit TPM
- Start-PIN mit TPM nicht zulassen
- Anfordern der Start-PIN mit TPM
Tipp
Um BitLocker automatisch und automatisch auf einem Gerät zu installieren, das Microsoft Entra eingebunden ist und Windows 1809 oder höher ausführt, darf diese Einstellung nicht auf Start-PIN mit TPM erforderlich festgelegt werden. Weitere Informationen finden Sie unter Automatisches Aktivieren von BitLocker auf Geräten.
Kompatibler TPM-Startschlüssel
Standard: Startschlüssel mit TPM zulassenWählen Sie die Verwendung eines Startschlüssels mit dem TPM-Chip zulassen, nicht zulassen oder erfordern. Zum Aktivieren eines Startschlüssels ist eine Interaktion des Endbenutzers erforderlich.
- Startschlüssel mit TPM zulassen
- Startschlüssel mit TPM nicht zulassen
- Anfordern des Startschlüssels mit TPM
Tipp
Um BitLocker automatisch und automatisch auf einem Gerät zu installieren, das Microsoft Entra eingebunden ist und Windows 1809 oder höher ausführt, darf diese Einstellung nicht auf Startschlüssel mit TPM erforderlich festgelegt werden. Weitere Informationen finden Sie unter Automatisches Aktivieren von BitLocker auf Geräten.
Kompatibler TPM-Startschlüssel und -PIN
Standard: Startschlüssel und PIN mit TPM zulassenWählen Sie die Verwendung eines Startschlüssels und einer PIN mit dem TPM-Chip zulassen, nicht zulassen oder erfordern. Das Aktivieren des Startschlüssels und der PIN erfordert eine Interaktion des Endbenutzers.
- Startschlüssel und PIN mit TPM zulassen
- Startschlüssel und PIN mit TPM nicht zulassen
- Erfordern eines Startschlüssels und einer PIN mit TPM
Tipp
Um BitLocker automatisch und automatisch auf einem Gerät zu installieren, das Microsoft Entra eingebunden ist und Windows 1809 oder höher ausführt, darf diese Einstellung nicht auf Startschlüssel und PIN mit TPM erforderlich festgelegt werden. Weitere Informationen finden Sie unter Automatisches Aktivieren von BitLocker auf Geräten.
Minimale PIN-Länge
Standard: Nicht konfiguriert
BitLocker CSP: SystemDrivesMinimumPINLength- Ermöglichen Konfigurieren Sie eine Mindestlänge für die TPM-Start-PIN.
- Nicht konfiguriert : Benutzer können eine Start-PIN mit einer beliebigen Länge zwischen 6 und 20 Ziffern konfigurieren.
Wenn diese Einstellung auf Aktivieren festgelegt ist, können Sie die folgende Einstellung konfigurieren:
Mindestzeichen
Standard: Nicht konfigurierter BitLocker-CSP: SystemDrivesMinimumPINLengthGeben Sie die Anzahl der Zeichen ein, die für die Start-PIN von 4-20 erforderlich sind.
Wiederherstellung des Betriebssystemlaufwerks
Standard: Nicht konfiguriert
BitLocker CSP: SystemDrivesRecoveryOptions- Aktivieren : Steuern Sie, wie bitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden, wenn die erforderlichen Startinformationen nicht verfügbar sind.
- Nicht konfiguriert : Standardwiederherstellungsoptionen werden unterstützt, einschließlich DRA. Der Endbenutzer kann Wiederherstellungsoptionen angeben. Wiederherstellungsinformationen werden nicht in AD DS gesichert.
Bei Festlegung auf Aktivieren können Sie die folgenden Einstellungen konfigurieren:
Zertifikatbasierter Datenwiederherstellungs-Agent
Standard: Nicht konfiguriert- Blockieren : Verhindern Sie die Verwendung des Datenwiederherstellungs-Agents mit BitLocker-geschützten Betriebssystemlaufwerken.
- Nicht konfiguriert : Lassen Sie die Verwendung von Datenwiederherstellungs-Agents mit BitLocker-geschützten Betriebssystemlaufwerken zu.
Benutzererstellung des Wiederherstellungskennworts
Standard: 48-stelliges Wiederherstellungskennwort zulassenWählen Sie aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort generieren dürfen, erforderlich oder nicht.
- 48-stelliges Wiederherstellungskennwort zulassen
- 48-stelliges Wiederherstellungskennwort nicht zulassen
- 48-stelliges Wiederherstellungskennwort erforderlich
Benutzererstellung des Wiederherstellungsschlüssels
Standard: 256-Bit-Wiederherstellungsschlüssel zulassenWählen Sie aus, ob Benutzer einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen, erforderlich oder nicht.
- 256-Bit-Wiederherstellungsschlüssel zulassen
- 256-Bit-Wiederherstellungsschlüssel nicht zulassen
- 256-Bit-Wiederherstellungsschlüssel erforderlich
Wiederherstellungsoptionen im BitLocker-Setup-Assistenten
Standard: Nicht konfiguriert- Blockieren : Benutzer können die Wiederherstellungsoptionen nicht anzeigen und ändern. Wenn auf festgelegt ist
- Nicht konfiguriert : Benutzer können die Wiederherstellungsoptionen anzeigen und ändern, wenn sie BitLocker aktivieren.
Speichern von BitLocker-Wiederherstellungsinformationen in Microsoft Entra ID
Standard: Nicht konfiguriert- Aktivieren: Speichern Sie die BitLocker-Wiederherstellungsinformationen in Microsoft Entra ID.
- Nicht konfiguriert: BitLocker-Wiederherstellungsinformationen werden nicht in Microsoft Entra ID gespeichert.
BitLocker-Wiederherstellungsinformationen, die in Microsoft Entra ID gespeichert werden
Standard: Sichern von Wiederherstellungskennwörtern und SchlüsselpaketenKonfigurieren Sie, welche Teile der BitLocker-Wiederherstellungsinformationen in Microsoft Entra ID gespeichert werden. Wählen Sie zwischen:
- Sichern von Wiederherstellungskennwörtern und Schlüsselpaketen
- Nur Wiederherstellungskennwörter für Sicherungen
Clientgesteuerte Kennwortrotation für die Wiederherstellung
Standard: Nicht konfiguriert
BitLocker CSP: ConfigureRecoveryPasswordRotationDiese Einstellung initiiert eine clientgesteuerte Wiederherstellungskennwortrotation nach der Wiederherstellung eines Betriebssystemlaufwerks (entweder mithilfe von bootmgr oder WinRE).
- Nicht konfiguriert
- Schlüsselrotation deaktiviert
- Für Microsoft Entra verknüpfte Instanzen aktivierte Schlüsselrotation
- Für Microsoft Entra ID und hybrid eingebundene Geräte aktivierte Schlüsselrotation
Speichern von Wiederherstellungsinformationen in Microsoft Entra ID vor dem Aktivieren von BitLocker
Standard: Nicht konfiguriertVerhindern Sie, dass Benutzer BitLocker aktivieren, es sei denn, der Computer sichert die BitLocker-Wiederherstellungsinformationen erfolgreich in Microsoft Entra ID.
- Erforderlich: Benutzer können BitLocker nicht aktivieren, es sei denn, die BitLocker-Wiederherstellungsinformationen werden erfolgreich in Microsoft Entra ID gespeichert.
- Nicht konfiguriert: Benutzer können BitLocker auch dann aktivieren, wenn Wiederherstellungsinformationen nicht erfolgreich in Microsoft Entra ID gespeichert wurden.
Wiederherstellungsnachricht und URL vor dem Start
Standard: Nicht konfiguriert
BitLocker CSP: SystemDrivesRecoveryMessage- Aktivieren : Konfigurieren Sie die Meldung und URL, die auf dem Bildschirm für die Wiederherstellung vor dem Startschlüssel angezeigt wird.
- Nicht konfiguriert : Deaktivieren Sie dieses Feature.
Wenn diese Einstellung auf Aktivieren festgelegt ist, können Sie die folgende Einstellung konfigurieren:
Wiederherstellungsnachricht vor dem Start
Standard: Standardwiederherstellungsmeldung und -URL verwendenKonfigurieren Sie, wie die Wiederherstellungsmeldung vor dem Start für Benutzer angezeigt wird. Wählen Sie zwischen:
- Standardwiederherstellungsnachricht und -URL verwenden
- Leere Wiederherstellungsnachricht und URL verwenden
- Verwenden einer benutzerdefinierten Wiederherstellungsnachricht
- Verwenden einer benutzerdefinierten Wiederherstellungs-URL
Einstellungen für BitLocker-Festplattenlaufwerke
Diese Einstellungen gelten speziell für Festplattenlaufwerke.
Schreibzugriff auf Festplattenlaufwerk, das nicht durch BitLocker geschützt ist
Standard: Nicht konfiguriert
BitLocker CSP: FixedDrivesRequireEncryption- Blockieren : Gewähren Sie schreibgeschützten Zugriff auf Datenlaufwerke, die nicht durch BitLocker geschützt sind.
- Nicht konfiguriert : Standardmäßig Lese- und Schreibzugriff auf Datenlaufwerke, die nicht verschlüsselt sind.
Wiederherstellung von Festplattenlaufwerken
Standard: Nicht konfiguriert
BitLocker CSP: FixedDrivesRecoveryOptions- Aktivieren : Steuern Sie, wie bitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden, wenn die erforderlichen Startinformationen nicht verfügbar sind.
- Nicht konfiguriert : Deaktivieren Sie dieses Feature.
Bei Festlegung auf Aktivieren können Sie die folgenden Einstellungen konfigurieren:
Datenwiederherstellungs-Agent
Standard: Nicht konfiguriert- Blockieren: Verhindern Sie die Verwendung des Datenwiederherstellungs-Agents mit BitLocker-geschützten Festplattenrichtlinien Editor.
- Nicht konfiguriert : Ermöglicht die Verwendung von Datenwiederherstellungs-Agents mit durch BitLocker geschützten Festplattenlaufwerken.
Benutzererstellung des Wiederherstellungskennworts
Standard: 48-stelliges Wiederherstellungskennwort zulassenWählen Sie aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort generieren dürfen, erforderlich oder nicht.
- 48-stelliges Wiederherstellungskennwort zulassen
- 48-stelliges Wiederherstellungskennwort nicht zulassen
- 48-stelliges Wiederherstellungskennwort erforderlich
Benutzererstellung des Wiederherstellungsschlüssels
Standard: 256-Bit-Wiederherstellungsschlüssel zulassenWählen Sie aus, ob Benutzer einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen, erforderlich oder nicht.
- 256-Bit-Wiederherstellungsschlüssel zulassen
- 256-Bit-Wiederherstellungsschlüssel nicht zulassen
- 256-Bit-Wiederherstellungsschlüssel erforderlich
Wiederherstellungsoptionen im BitLocker-Setup-Assistenten
Standard: Nicht konfiguriert- Blockieren : Benutzer können die Wiederherstellungsoptionen nicht anzeigen und ändern. Wenn auf festgelegt ist
- Nicht konfiguriert : Benutzer können die Wiederherstellungsoptionen anzeigen und ändern, wenn sie BitLocker aktivieren.
Speichern von BitLocker-Wiederherstellungsinformationen in Microsoft Entra ID
Standard: Nicht konfiguriert- Aktivieren: Speichern Sie die BitLocker-Wiederherstellungsinformationen in Microsoft Entra ID.
- Nicht konfiguriert: BitLocker-Wiederherstellungsinformationen werden nicht in Microsoft Entra ID gespeichert.
BitLocker-Wiederherstellungsinformationen, die in Microsoft Entra ID gespeichert werden
Standard: Sichern von Wiederherstellungskennwörtern und SchlüsselpaketenKonfigurieren Sie, welche Teile der BitLocker-Wiederherstellungsinformationen in Microsoft Entra ID gespeichert werden. Wählen Sie zwischen:
- Sichern von Wiederherstellungskennwörtern und Schlüsselpaketen
- Nur Wiederherstellungskennwörter für Sicherungen
Speichern von Wiederherstellungsinformationen in Microsoft Entra ID vor dem Aktivieren von BitLocker
Standard: Nicht konfiguriertVerhindern Sie, dass Benutzer BitLocker aktivieren, es sei denn, der Computer sichert die BitLocker-Wiederherstellungsinformationen erfolgreich in Microsoft Entra ID.
- Erforderlich: Benutzer können BitLocker nicht aktivieren, es sei denn, die BitLocker-Wiederherstellungsinformationen werden erfolgreich in Microsoft Entra ID gespeichert.
- Nicht konfiguriert: Benutzer können BitLocker auch dann aktivieren, wenn Wiederherstellungsinformationen nicht erfolgreich in Microsoft Entra ID gespeichert wurden.
Einstellungen für BitLocker-Wechseldatenträger
Diese Einstellungen gelten speziell für Wechseldatenträger.
Schreibzugriff auf wechselbare Datenlaufwerke, die nicht durch BitLocker geschützt sind
Standard: Nicht konfiguriert
BitLocker CSP: RemovableDrivesRequireEncryption- Blockieren : Gewähren Sie schreibgeschützten Zugriff auf Datenlaufwerke, die nicht durch BitLocker geschützt sind.
- Nicht konfiguriert : Standardmäßig Lese- und Schreibzugriff auf Datenlaufwerke, die nicht verschlüsselt sind.
Wenn diese Einstellung auf Aktivieren festgelegt ist, können Sie die folgende Einstellung konfigurieren:
Schreibzugriff auf Geräte, die in einer anderen organization
Standard: Nicht konfiguriert- Blockieren: Blockiert den Schreibzugriff auf Geräte, die in einer anderen organization konfiguriert sind.
- Nicht konfiguriert : Schreibzugriff verweigern.
Microsoft Defender Exploit Guard
Verwenden Sie Exploit-Schutz , um die Angriffsfläche von Apps zu verwalten und zu reduzieren, die von Ihren Mitarbeitern verwendet werden.
Verringerung der Angriffsfläche
Regeln zur Verringerung der Angriffsfläche helfen dabei, Verhaltensweisen zu verhindern, die von Schadsoftware häufig verwendet werden, um Computer mit bösartigem Code zu infizieren.
Regeln zur Verringerung der Angriffsfläche
Weitere Informationen finden Sie unter Regeln zur Verringerung der Angriffsfläche in der Microsoft Defender for Endpoint-Dokumentation.
Mergeverhalten für Regeln zur Verringerung der Angriffsfläche in Intune:
Regeln zur Verringerung der Angriffsfläche unterstützen eine Zusammenführung von Einstellungen aus verschiedenen Richtlinien, um eine Obermenge von Richtlinien für jedes Gerät zu erstellen. Nur die Einstellungen, die nicht in Konflikt stehen, werden zusammengeführt, während in Konflikt stehende Einstellungen nicht der Obermenge der Regeln hinzugefügt werden. Wenn bisher zwei Richtlinien Konflikte für eine einzelne Einstellung enthielten, wurden beide Richtlinien als in Konflikt gekennzeichnet, und es wurden keine Einstellungen aus beiden Profilen bereitgestellt.
Verhalten der Regel zur Verringerung der Angriffsfläche sieht wie folgt aus:
- Regeln zur Verringerung der Angriffsfläche aus den folgenden Profilen werden für jedes Gerät ausgewertet, für das die Regeln gelten:
- Gerätekonfigurationsrichtlinie >> Endpoint Protection-Profil > Microsoft Defender Verringerung der Angriffsfläche von Exploit Guard >
- Endpunktsicherheit > Richtlinie > zur Verringerung der Angriffsfläche: Regeln zur Verringerung der Angriffsfläche
- Endpunktsicherheit > Sicherheitsbaselines > Microsoft Defender for Endpoint Baseline-Regeln >zur Verringerung der Angriffsfläche.
- Einstellungen ohne Konflikte werden einer Obermenge der Richtlinie für das Gerät hinzugefügt.
- Wenn zwei oder mehr Richtlinien in Konflikt stehende Einstellungen aufweisen, werden die in Konflikt stehenden Einstellungen der kombinierten Richtlinie nicht hinzugefügt. Einstellungen, die keinen Konflikt verursachen, werden der Übergeordneten Richtlinie hinzugefügt, die für ein Gerät gilt.
- Nur die Konfigurationen für in Konflikt stehende Einstellungen werden zurückgehalten.
Einstellungen in diesem Profil:
Kennzeichnen des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität
Standard: Nicht konfiguriert
Regel: Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität (lsass.exe)Verhindern Sie Aktionen und Apps, die in der Regel von Exploit-suchender Schadsoftware verwendet werden, um Computer zu infizieren.
- Nicht konfiguriert
- Aktivieren : Kennzeichnen Sie den Diebstahl von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität (lsass.exe).
- Nur Überwachung
Prozesserstellung aus Adobe Reader (Beta)
Standard: Nicht konfiguriert
Regel: Blockieren der Erstellung untergeordneter Prozesse durch Adobe Reader- Nicht konfiguriert
- Aktivieren : Blockieren von untergeordneten Prozessen, die aus Adobe Reader erstellt werden.
- Nur Überwachung
Regeln zum Verhindern von Bedrohungen durch Office-Makros
Verhindern Sie, dass Office-Apps die folgenden Aktionen ausführen:
Office-Apps, die in andere Prozesse eingefügt werden (keine Ausnahmen)
Standard: Nicht konfiguriert
Regel: Blockieren der Einschleusung von Code in andere Prozesse durch Office-Anwendungen- Nicht konfiguriert
- Blockieren : Blockieren Sie die Einschleusung von Office-Apps in andere Prozesse.
- Nur Überwachung
Office-Apps/Makros, die ausführbare Inhalte erstellen
Standard: Nicht konfiguriert
Regel: Blockieren der Erstellung ausführbarer Inhalte durch Office-Anwendungen- Nicht konfiguriert
- Blockieren : Blockieren Sie die Erstellung ausführbarer Inhalte durch Office-Apps und -Makros.
- Nur Überwachung
Office-Apps starten untergeordnete Prozesse
Standard: Nicht konfiguriert
Regel: Blockieren der Erstellung untergeordneter Prozesse durch alle Office-Anwendungen- Nicht konfiguriert
- Blockieren : Blockieren Sie das Starten untergeordneter Prozesse durch Office-Apps.
- Nur Überwachung
Win32-Importe aus Office-Makrocode
Standard: Nicht konfiguriert
Regel: Win32-API-Aufrufe von Office-Makros blockieren- Nicht konfiguriert
- Blockieren : Blockieren Sie Win32-Importe aus Makrocode in Office.
- Nur Überwachung
Prozesserstellung aus Office-Kommunikationsprodukten
Standard: Nicht konfiguriert
Regel: Blockieren der Office-Kommunikationsanwendung am Erstellen untergeordneter Prozesse- Nicht konfiguriert
- Aktivieren : Blockieren sie die Erstellung untergeordneter Prozesse aus Office-Kommunikations-Apps.
- Nur Überwachung
Regeln zum Verhindern von Skriptbedrohungen
Blockieren Sie Folgendes, um Skriptbedrohungen zu verhindern:
Verschleierter js/vbs/ps/macro-Code
Standard: Nicht konfiguriert
Regel: Blockieren der Ausführung potenziell verschleierter Skripts- Nicht konfiguriert
- Blockieren : Blockieren Sie jeglichen verschleierten js/vbs/ps/macro-Code.
- Nur Überwachung
js/vbs, das aus dem Internet heruntergeladene Nutzlast ausführt (keine Ausnahmen)
Standard: Nicht konfiguriert
Regel: Blockieren des Startens heruntergeladener ausführbarer Inhalte durch JavaScript oder VBScript- Nicht konfiguriert
- Blockieren : Blockieren Sie js/vbs für die Ausführung von aus dem Internet heruntergeladenen Nutzdaten.
- Nur Überwachung
Prozesserstellung aus PSExec- und WMI-Befehlen
Standard: Nicht konfiguriert
Regel: Blockieren von Prozesserstellungen aus PSExec- und WMI-Befehlen- Nicht konfiguriert
- Blockieren : Blockieren Von PSExec- und WMI-Befehlen ausgehende Prozesserstellungen.
- Nur Überwachung
Nicht vertrauenswürdige und nicht signierte Prozesse, die ab USB ausgeführt werden
Standard: Nicht konfiguriert
Regel: Blockieren von nicht vertrauenswürdigen und nicht signierten Prozessen, die über USB ausgeführt werden- Nicht konfiguriert
- Blockieren : Blockieren Sie nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden.
- Nur Überwachung
Ausführbare Dateien, die keine Prävalenz-, Alters- oder vertrauenswürdigen Listenkriterien erfüllen
Standard: Nicht konfiguriert
Regel: Ausführung ausführbarer Dateien blockieren, es sei denn, sie erfüllen ein Prävalenz-, Alters- oder vertrauenswürdiges Listenkriterium- Nicht konfiguriert
- Blockieren : Verhindert die Ausführung ausführbarer Dateien, es sei denn, sie erfüllen ein Prävalenz-, Alters- oder vertrauenswürdiges Listenkriterium.
- Nur Überwachung
Regeln zum Verhindern von E-Mail-Bedrohungen
Blockieren Sie Folgendes, um E-Mail-Bedrohungen zu verhindern:
Ausführung von ausführbaren Inhalten (exe, DLL, ps, js, vbs usw.), die aus E-Mail (Webmail/Mail-Client) gelöscht wurden (keine Ausnahmen)
Standard: Nicht konfiguriert
Regel: Blockieren ausführbarer Inhalte aus E-Mail-Client und Webmail- Nicht konfiguriert
- Blockieren : Blockieren Sie die Ausführung ausführbarer Inhalte (exe, DLL, ps, js, vbs usw.), die aus E-Mail (webmail/mail-client) gelöscht wurden.
- Nur Überwachung
Regeln zum Schutz vor Ransomware
Erweiterter Ransomware-Schutz
Standard: Nicht konfiguriert
Regel: Verwenden Des erweiterten Schutzes vor Ransomware- Nicht konfiguriert
- Aktivieren : Verwenden Sie aggressiven Ransomware-Schutz.
- Nur Überwachung
Ausnahmen zur Verringerung der Angriffsfläche
Dateien und Ordner, die von Regeln zur Verringerung der Angriffsfläche ausgeschlossen werden sollen
Defender CSP: AttackSurfaceReductionOnlyExclusions- Importieren Sie eine .csv Datei, die Dateien und Ordner enthält, die von Regeln zur Verringerung der Angriffsfläche ausgeschlossen werden sollen.
- Fügen Sie lokale Dateien oder Ordner manuell hinzu.
Wichtig
Um eine ordnungsgemäße Installation und Ausführung von Branchen-Win32-Apps zu ermöglichen, sollten Antischadsoftwareeinstellungen die folgenden Verzeichnisse von der Überprüfung ausschließen:
Auf X64-Clientcomputern:
C:\Programme (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache
Auf X86-Clientcomputern:
C:\Programme\Microsoft Intune Management Extension\Content
C:\windows\IMECache
Weitere Informationen finden Sie unter Empfehlungen zur Virenüberprüfung für Unternehmenscomputer, auf denen derzeit unterstützte Versionen von Windows ausgeführt werden.
Kontrollierter Ordnerzugriff
Schützen Sie wertvolle Daten vor schädlichen Apps und Bedrohungen wie Ransomware.
Ordnerschutz
Standard: Nicht konfiguriert
Defender CSP: EnableControlledFolderAccessSchützen Sie Dateien und Ordner vor nicht autorisierten Änderungen durch unfreundliche Apps.
- Nicht konfiguriert
- Enable
- Nur Überwachung
- Änderung des Datenträgers blockieren
- Datenträgeränderung überwachen
Wenn Sie eine andere Konfiguration als Nicht konfiguriert auswählen, können Sie Folgendes konfigurieren:
Liste der Apps, die Zugriff auf geschützte Ordner haben
Defender CSP: ControlledFolderAccessAllowedApplications- Importieren Sie eine .csv Datei, die eine App-Liste enthält.
- Fügen Sie apps manuell zu dieser Liste hinzu.
Liste der zusätzlichen Ordner, die geschützt werden müssen
Defender CSP: ControlledFolderAccessProtectedFolders- Importieren Sie eine .csv Datei, die eine Ordnerliste enthält.
- Fügen Sie dieser Liste manuell Ordner hinzu.
Netzwerkfilterung
Blockieren sie ausgehende Verbindungen von einer beliebigen App zu IP-Adressen oder Domänen mit geringem Ruf. Die Netzwerkfilterung wird sowohl im Überwachungs- als auch im Blockmodus unterstützt.
Netzwerkschutz
Standard: Nicht konfiguriert
Defender CSP: EnableNetworkProtectionDie Absicht dieser Einstellung besteht darin, Endbenutzer vor Apps mit Zugriff auf Phishing-Betrug, Exploit-Hosting-Websites und schädlichen Inhalten im Internet zu schützen. Es verhindert auch, dass Browser von Drittanbietern eine Verbindung mit gefährlichen Websites herstellen.
- Nicht konfiguriert : Deaktivieren Sie dieses Feature. Benutzer und Apps werden nicht daran gehindert, eine Verbindung mit gefährlichen Domänen herzustellen. Administratoren können diese Aktivität in Microsoft Defender Security Center nicht sehen.
- Aktivieren : Aktivieren Sie den Netzwerkschutz, und blockieren Sie, dass Benutzer und Apps eine Verbindung mit gefährlichen Domänen herstellen. Administratoren können diese Aktivität in Microsoft Defender Security Center anzeigen.
- Nur Überwachen: – Benutzer und Apps werden nicht daran gehindert, eine Verbindung mit gefährlichen Domänen herzustellen. Administratoren können diese Aktivität in Microsoft Defender Security Center anzeigen.
Exploit-Schutz
Hochladen von XML
Standard: Nicht konfiguriertUm Exploit-Schutz zum Schutz von Geräten vor Exploits zu verwenden, erstellen Sie eine XML-Datei, die die gewünschten Einstellungen für System und Anwendungsminderung enthält. Es gibt zwei Methoden zum Erstellen der XML-Datei:
PowerShell : Verwenden Sie mindestens eines der PowerShell-Cmdlets Get-ProcessMitigation, Set-ProcessMitigation und ConvertTo-ProcessMitigationPolicy . Die Cmdlets konfigurieren Die Entschärfungseinstellungen und exportieren eine XML-Darstellung dieser Einstellungen.
Microsoft Defender Security Center-Benutzeroberfläche: Wählen Sie im Microsoft Defender Security Center App & Browsersteuerelement aus, und scrollen Sie dann zum unteren Rand des angezeigten Bildschirms, um nach Exploit-Schutz zu suchen. Verwenden Sie zunächst die Registerkarten Systemeinstellungen und Programmeinstellungen, um Die Entschärfungseinstellungen zu konfigurieren. Suchen Sie dann unten auf dem Bildschirm nach dem Link Exporteinstellungen, um eine XML-Darstellung dieser Einstellungen zu exportieren.
Benutzerbearbeitung der Exploit-Schutzschnittstelle
Standard: Nicht konfiguriert
ExploitGuard CSP: ExploitProtectionSettings- Blockieren : Laden Sie eine XML-Datei hoch, mit der Sie Arbeitsspeicher-, Ablaufsteuerungs- und Richtlinieneinschränkungen konfigurieren können. Die Einstellungen in der XML-Datei können verwendet werden, um eine Anwendung vor Exploits zu blockieren.
- Nicht konfiguriert : Es wird keine benutzerdefinierte Konfiguration verwendet.
Microsoft Defender-Anwendungssteuerung
Wählen Sie Apps aus, die von überwacht werden sollen oder die vertrauenswürdig sind, um von Microsoft Defender Anwendungssteuerung ausgeführt zu werden. Windows-Komponenten und alle Apps aus dem Windows Store werden automatisch als vertrauenswürdig eingestuft.
Codeintegritätsrichtlinien für die Anwendungssteuerung
Standard: Nicht konfiguriert
CSP: AppLocker CSPErzwingen : Wählen Sie die Codeintegritätsrichtlinien für die Anwendungssteuerung für die Geräte Ihrer Benutzer aus.
Nachdem sie auf einem Gerät aktiviert wurde, kann die Anwendungssteuerung nur deaktiviert werden, indem Sie den Modus von Erzwingen in Nur Überwachen ändern. Das Ändern des Modus von Erzwingen in Nicht konfiguriert führt dazu, dass die Anwendungssteuerung weiterhin auf zugewiesenen Geräten erzwungen wird.
Nicht konfiguriert : Die Anwendungssteuerung wird nicht zu Geräten hinzugefügt. Einstellungen, die zuvor hinzugefügt wurden, werden jedoch weiterhin auf zugewiesenen Geräten erzwungen.
Nur Überwachen : Anwendungen werden nicht blockiert. Alle Ereignisse werden in den Protokollen des lokalen Clients protokolliert.
Hinweis
Wenn Sie diese Einstellung verwenden, fordert das AppLocker-CSP-Verhalten endbenutzer derzeit auf, ihren Computer neu zu starten, wenn eine Richtlinie bereitgestellt wird.
Microsoft Defender Credential Guard
Microsoft Defender Credential Guard schützt vor Diebstahl von Anmeldeinformationen. Es isoliert Geheimnisse, sodass nur privilegierte Systemsoftware darauf zugreifen kann.
Credential Guard
Standard: Deaktivieren
DeviceGuard CSPDeaktivieren : Deaktivieren Sie Credential Guard remote, wenn sie zuvor mit der Option Ohne UEFI-Sperre aktiviert aktiviert wurde.
Aktivieren mit UEFI-Sperre : Credential Guard kann nicht remote mithilfe eines Registrierungsschlüssels oder einer Gruppenrichtlinie deaktiviert werden.
Hinweis
Wenn Sie diese Einstellung verwenden und Credential Guard später deaktivieren möchten, müssen Sie die Gruppenrichtlinie auf Deaktiviert festlegen. Löschen Sie außerdem die UEFI-Konfigurationsinformationen von jedem Computer physisch. Solange die UEFI-Konfiguration beibehalten wird, ist Credential Guard aktiviert.
Aktivieren ohne UEFI-Sperre: Ermöglicht das Remotedeaktivieren von Credential Guard mithilfe von Gruppenrichtlinie. Die Geräte, die diese Einstellung verwenden, müssen Windows 10 Version 1511 und höher oder Windows 11 ausgeführt werden.
Wenn Sie Credential Guard aktivieren , sind auch die folgenden erforderlichen Features aktiviert:
-
Virtualisierungsbasierte Sicherheit (VBS)
Wird während des nächsten Neustarts aktiviert. Bei der virtualisierungsbasierten Sicherheit wird der Windows-Hypervisor verwendet, um Unterstützung für Sicherheitsdienste bereitzustellen. -
Sicherer Start mit Verzeichnisspeicherzugriff
Aktiviert VBS mit Schutzfunktionen für sicheren Start und direkten Speicherzugriff (DMA). DMA-Schutz erfordert Hardwareunterstützung und ist nur auf ordnungsgemäß konfigurierten Geräten aktiviert.
Microsoft Defender Security Center
Microsoft Defender Security Center arbeitet als separate App oder als separater Prozess von den einzelnen Features. Es werden Benachrichtigungen über das Info-Center angezeigt. Es fungiert als Collector oder einzelner Ort, um die status anzuzeigen und eine Konfiguration für jedes der Features auszuführen. Weitere Informationen finden Sie in der Microsoft Defender-Dokumentation.
Microsoft Defender Security Center-App und Benachrichtigungen
Blockieren Sie den Endbenutzerzugriff auf die verschiedenen Bereiche der Microsoft Defender Security Center-App. Das Ausblenden eines Abschnitts blockiert auch verwandte Benachrichtigungen.
Viren- und Bedrohungsschutz
Standard: Nicht konfiguriert
WindowsDefenderSecurityCenter-CSP: DisableVirusUIKonfigurieren Sie, ob Endbenutzer den Bereich Viren- und Bedrohungsschutz im Microsoft Defender Security Center anzeigen können. Wenn Sie diesen Abschnitt ausblenden, werden auch alle Benachrichtigungen im Zusammenhang mit Viren- und Bedrohungsschutz blockiert.
- Nicht konfiguriert
- Hide
Ransomware-Schutz
Standard: Nicht konfiguriert
WindowsDefenderSecurityCenter-CSP: HideRansomwareDataRecoveryKonfigurieren Sie, ob Endbenutzer den Ransomware-Schutzbereich im Microsoft Defender Security Center anzeigen können. Wenn Sie diesen Abschnitt ausblenden, werden auch alle Benachrichtigungen im Zusammenhang mit Ransomware-Schutz blockiert.
- Nicht konfiguriert
- Hide
Kontoschutz
Standard: Nicht konfiguriert
WindowsDefenderSecurityCenter-CSP: DisableAccountProtectionUIKonfigurieren Sie, ob Endbenutzer den Bereich Kontoschutz im Microsoft Defender Security Center anzeigen können. Durch das Ausblenden dieses Abschnitts werden auch alle Benachrichtigungen im Zusammenhang mit dem Kontoschutz blockiert.
- Nicht konfiguriert
- Hide
Firewall- und Netzwerkschutz
Standard: Nicht konfiguriert
WindowsDefenderSecurityCenter-CSP: DisableNetworkUIKonfigurieren Sie, ob Endbenutzer den Bereich Firewall und Netzwerkschutz im Microsoft Defender Security Center anzeigen können. Wenn Sie diesen Abschnitt ausblenden, werden auch alle Benachrichtigungen im Zusammenhang mit Firewall- und Netzwerkschutz blockiert.
- Nicht konfiguriert
- Hide
App- und Browsersteuerung
Standard: Nicht konfiguriert
WindowsDefenderSecurityCenter-CSP: DisableAppBrowserUIKonfigurieren Sie, ob Endbenutzer den App- und Browsersteuerungsbereich im Microsoft Defender Security Center anzeigen können. Durch das Ausblenden dieses Abschnitts werden auch alle Benachrichtigungen im Zusammenhang mit der App- und Browsersteuerung blockiert.
- Nicht konfiguriert
- Hide
Hardwareschutz
Standard: Nicht konfiguriert
WindowsDefenderSecurityCenter-CSP: DisableDeviceSecurityUIKonfigurieren Sie, ob Endbenutzer den Hardwareschutzbereich im Microsoft Defender Security Center anzeigen können. Durch das Ausblenden dieses Abschnitts werden auch alle Benachrichtigungen im Zusammenhang mit dem Hardwareschutz blockiert.
- Nicht konfiguriert
- Hide
Geräteleistung und -integrität
Standard: Nicht konfiguriert
WindowsDefenderSecurityCenter-CSP: DisableHealthUIKonfigurieren Sie, ob Endbenutzer den Bereich Geräteleistung und -integrität im Microsoft Defender Security Center anzeigen können. Durch das Ausblenden dieses Abschnitts werden auch alle Benachrichtigungen im Zusammenhang mit der Geräteleistung und -integrität blockiert.
- Nicht konfiguriert
- Hide
Familienoptionen
Standard: Nicht konfiguriert
WindowsDefenderSecurityCenter-CSP: DisableFamilyUIKonfigurieren Sie, ob Endbenutzer den Bereich Familienoptionen im Microsoft Defender Security Center anzeigen können. Wenn Sie diesen Abschnitt ausblenden, werden auch alle Benachrichtigungen blockiert, die sich auf Family-Optionen beziehen.
- Nicht konfiguriert
- Hide
Benachrichtigungen aus den angezeigten App-Bereichen
Standard: Nicht konfiguriert
WindowsDefenderSecurityCenter-CSP: DisableNotificationsWählen Sie aus, welche Benachrichtigungen endbenutzern angezeigt werden sollen. Nicht kritische Benachrichtigungen enthalten Zusammenfassungen der Microsoft Defender Antivirus-Aktivität, einschließlich Benachrichtigungen, wenn Überprüfungen abgeschlossen wurden. Alle anderen Benachrichtigungen werden als kritisch betrachtet.
- Nicht konfiguriert
- Blockieren nicht kritischer Benachrichtigungen
- Alle Benachrichtigungen blockieren
Windows-Sicherheit Center-Symbol auf der Taskleiste
Standard: Nicht konfigurierter WindowsDefenderSecurityCenter-CSP: HideWindowsSecurityNotificationAreaControlKonfigurieren Sie die Anzeige des Benachrichtigungsbereichs-Steuerelements. Der Benutzer muss sich entweder abmelden und anmelden oder den Computer neu starten, damit diese Einstellung wirksam wird.
- Nicht konfiguriert
- Hide
Schaltfläche "TPM löschen"
Standardeinstellung: Nicht konfigurierter WindowsDefenderSecurityCenter-CSP: DisableClearTpmButtonKonfigurieren Sie die Anzeige der Schaltfläche TPM löschen.
- Nicht konfiguriert
- Disable
TPM-Firmwareupdatewarnung
Standard: Nicht konfigurierter WindowsDefenderSecurityCenter-CSP: DisableTpmFirmwareUpdateWarningKonfigurieren Sie die Anzeige der TPM-Firmware aktualisieren, wenn eine anfällige Firmware erkannt wird.
- Nicht konfiguriert
- Hide
Manipulationsschutz
Standard: Nicht konfiguriertAktivieren oder deaktivieren Sie den Manipulationsschutz auf Geräten. Um manipulationsschutz verwenden zu können, müssen Sie Microsoft Defender for Endpoint in Intune integrieren und über Enterprise Mobility + Security E5-Lizenzen verfügen.
- Nicht konfiguriert : Es werden keine Änderungen an den Geräteeinstellungen vorgenommen.
- Aktiviert : Der Manipulationsschutz ist aktiviert, und Einschränkungen werden auf Geräten erzwungen.
- Deaktiviert : Der Manipulationsschutz ist deaktiviert, und Einschränkungen werden nicht erzwungen.
IT-Kontaktinformationen
Geben Sie IT-Kontaktinformationen an, die in der Microsoft Defender Security Center-App und den App-Benachrichtigungen angezeigt werden sollen.
Sie können in App und in Benachrichtigungen anzeigen, Nur in App anzeigen, Nur in Benachrichtigungen anzeigen oder Nicht anzeigen auswählen. Geben Sie den It-organization Namen und mindestens eine der folgenden Kontaktoptionen ein:
IT-Kontaktinformationen
Standardeinstellung: Nicht anzeigen
WindowsDefenderSecurityCenter-CSP: EnableCustomizedToastsKonfigurieren Sie, wo IT-Kontaktinformationen für Endbenutzer angezeigt werden sollen.
- Anzeigen in Der App und in Benachrichtigungen
- Nur in der App anzeigen
- Nur in Benachrichtigungen anzeigen
- Nicht anzeigen
Wenn sie für die Anzeige konfiguriert ist, können Sie die folgenden Einstellungen konfigurieren:
IT-organization Name
Standard: Nicht konfiguriert
WindowsDefenderSecurityCenter CSP: CompanyNameTelefonnummer der IT-Abteilung oder Skype-ID
Standard: Nicht konfiguriert
WindowsDefenderSecurityCenter-CSP: TelefonE-Mail-Adresse der IT-Abteilung
Standard: Nicht konfiguriert
WindowsDefenderSecurityCenter-CSP: EmailURL der IT-Supportwebsite
Standard: Nicht konfiguriert
WindowsDefenderSecurityCenter-CSP: URL
Sicherheitsoptionen für lokales Gerät
Verwenden Sie diese Optionen, um die lokalen Sicherheitseinstellungen auf Windows 10/11-Geräten zu konfigurieren.
Konten
Hinzufügen neuer Microsoft-Konten
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: Accounts_BlockMicrosoftAccounts- Block Verhindern, dass Benutzer dem Gerät neue Microsoft-Konten hinzufügen.
- Nicht konfiguriert : Benutzer können Microsoft-Konten auf dem Gerät verwenden.
Remoteanmeldung ohne Kennwort
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly- Blockieren : Nur lokale Konten mit leeren Kennwörtern können sich über die Tastatur des Geräts anmelden.
- Nicht konfiguriert : Lokale Konten mit leeren Kennwörtern können sich von anderen Standorten als dem physischen Gerät aus anmelden.
Administrator
Lokales Administratorkonto
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly- Block Verhindern Sie die Verwendung eines lokalen Administratorkontos.
- Nicht konfiguriert
Umbenennen des Administratorkontos
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: Accounts_RenameAdministratorAccountDefinieren Sie einen anderen Kontonamen, der der Sicherheits-ID (SID) für das Konto "Administrator" zugeordnet werden soll.
Gast
Gastkonto
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions- Blockieren : Verhindert die Verwendung eines Gastkontos.
- Nicht konfiguriert
Umbenennen des Gastkontos
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccountDefinieren Sie einen anderen Kontonamen, der der Sicherheits-ID (SID) für das Konto "Guest" zugeordnet werden soll.
Geräte
Gerät ohne Anmeldung ausdocken
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: Devices_AllowUndockWithoutHavingToLogon- Blockieren : Ein Benutzer muss sich beim Gerät anmelden und die Berechtigung zum Ausdocken des Geräts erhalten.
- Nicht konfiguriert : Benutzer können die physische Auswurftaste eines angedockten tragbaren Geräts drücken, um das Gerät sicher abzudocken.
Installieren von Druckertreibern für freigegebene Drucker
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters- Aktiviert : Jeder Benutzer kann einen Druckertreiber als Teil der Verbindung mit einem freigegebenen Drucker installieren.
- Nicht konfiguriert : Nur Administratoren können einen Druckertreiber im Rahmen der Verbindung mit einem freigegebenen Drucker installieren.
Beschränken des CD-ROM-Zugriffs auf lokal aktive Benutzer
Standard: Nicht konfiguriert
CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly- Aktiviert : Nur der interaktiv angemeldete Benutzer kann die CD-ROM-Medien verwenden. Wenn diese Richtlinie aktiviert ist und niemand interaktiv angemeldet ist, wird über das Netzwerk auf die CD-ROM zugegriffen.
- Nicht konfiguriert : Jeder hat Zugriff auf die CD-ROM.
Formatieren und Auswerfen von Wechselmedien
Standard: Administratoren
CSP: Devices_AllowedToFormatAndEjectRemovableMediaDefinieren Sie, wer ntfs-Wechselmedien formatieren und auswerfen darf:
- Nicht konfiguriert
- Administratoren
- Administratoren und PowerUser
- Administratoren und interaktive Benutzer
Interaktive Anmeldung
Inaktivität des Sperrbildschirms in Minuten, bis der Bildschirmschoner aktiviert ist
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: InteractiveLogon_MachineInactivityLimitGeben Sie die maximalen Minuten der Inaktivität ein, bis der Bildschirmschoner aktiviert wird. (0 - 999999)
Strg+ALT+ENTF für die Anmeldung erforderlich
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DoNotRequireCTRLALTDEL- Aktivieren : Benutzer müssen STRG+ALT+ENTF drücken, bevor sie sich bei Windows anmelden.
- Nicht konfiguriert : Das Drücken von STRG+ALT+ENTF ist nicht erforderlich, damit sich Benutzer anmelden können.
Intelligentes Karte-Entfernungsverhalten
Standard: Keine Aktion LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehaviorBestimmt, was geschieht, wenn die intelligente Karte für einen angemeldeten Benutzer aus dem Smart Karte-Reader entfernt wird. Ihre Optionen:
- Arbeitsstation sperren: Die Arbeitsstation wird gesperrt, wenn die intelligente Karte entfernt wird. Mit dieser Option können Benutzer den Bereich verlassen, ihre smarten Karte mitnehmen und trotzdem eine geschützte Sitzung verwalten.
- Keine Aktion
- Abmelden erzwingen: Der Benutzer wird automatisch abgemeldet, wenn die intelligente Karte entfernt wird.
- Trennen, wenn eine Remotedesktopdienste-Sitzung getrennt wird: Das Entfernen des intelligenten Karte trennt die Sitzung, ohne den Benutzer abzumelden. Mit dieser Option kann der Benutzer die intelligente Karte einfügen und die Sitzung später oder an einem anderen Computer mit Lesegerät Karte fortsetzen, ohne sich erneut anmelden zu müssen. Wenn die Sitzung lokal ist, funktioniert diese Richtlinie identisch mit Arbeitsstation sperren.
Anzeige
Benutzerinformationen auf dem Sperrbildschirm
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLockedKonfigurieren Sie die Benutzerinformationen, die angezeigt werden, wenn die Sitzung gesperrt ist. Wenn nicht konfiguriert, werden der Anzeigename, die Domäne und der Benutzername des Benutzers angezeigt.
- Nicht konfiguriert
- Benutzeranzeigename, Domäne und Benutzername
- Nur Benutzeranzeigename
- Benutzerinformationen nicht anzeigen
Zuletzt angemeldeter Benutzer ausblenden
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DoNotDisplayLastSignedIn- Aktivieren : Blendet den Benutzernamen aus.
- Nicht konfiguriert : Zeigt den letzten Benutzernamen an.
Benutzername bei Anmeldung ausblendenStandard: Nicht konfiguriert
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn- Aktivieren : Blendet den Benutzernamen aus.
- Nicht konfiguriert : Zeigt den letzten Benutzernamen an.
Titel der Anmeldenachricht
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOnLegen Sie den Nachrichtentitel für Benutzer fest, die sich anmelden.
Anmeldemeldungstext
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOnLegen Sie den Nachrichtentext für Benutzer fest, die sich anmelden.
Netzwerkzugriff und -sicherheit
Anonymer Zugriff auf Named Pipes und Freigaben
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares- Nicht konfiguriert : Schränken Sie den anonymen Zugriff auf Freigabe- und Named Pipe-Einstellungen ein. Gilt für die Einstellungen, auf die anonym zugegriffen werden kann.
- Blockieren : Deaktivieren Sie diese Richtlinie, sodass anonymer Zugriff verfügbar ist.
Anonyme Enumeration von SAM-Konten
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts- Nicht konfiguriert : Anonyme Benutzer können SAM-Konten auflisten.
- Blockieren : Anonyme Enumeration von SAM-Konten verhindern.
Anonyme Enumeration von SAM-Konten und -Freigaben
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares- Nicht konfiguriert : Anonyme Benutzer können die Namen von Domänenkonten und Netzwerkfreigaben auflisten.
- Blockieren : Verhindert die anonyme Enumeration von SAM-Konten und -Freigaben.
Bei Kennwortänderung gespeicherter LAN-Manager-Hashwert
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChangeErmitteln Sie, ob der Hashwert für Kennwörter gespeichert wird, wenn das Kennwort das nächste Mal geändert wird.
- Nicht konfiguriert : Der Hashwert wird nicht gespeichert.
- Blockieren : Der LAN-Manager (LM) speichert den Hashwert für das neue Kennwort.
PKU2U-Authentifizierungsanforderungen
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests- Nicht konfiguriert: Pu2U-Anforderungen zulassen.
- Blockieren : Blockieren Sie PKU2U-Authentifizierungsanforderungen an das Gerät.
Einschränken von REMOTE-RPC-Verbindungen auf SAM
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAMNicht konfiguriert : Verwenden Sie den Standardsicherheitsdeskriptor, mit dem Benutzer und Gruppen remote RPC-Aufrufe an sam durchführen können.
Zulassen : Benutzer und Gruppen können RPC-Remoteaufrufe an den Security Accounts Manager (SAM) verweigern, in dem Benutzerkonten und Kennwörter gespeichert werden. Mit Zulassen können Sie auch die Standardzeichenfolge der SDDL (Security Descriptor Definition Language) ändern, um Benutzern und Gruppen explizit zu erlauben oder zu verweigern, diese Remoteaufrufe zu tätigen.
-
Sicherheitsbeschreibung
Standard: Nicht konfiguriert
-
Sicherheitsbeschreibung
Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients
Standardeinstellung: Keine
LocalPoliciesSecurityOptions-CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClientsDiese Sicherheitseinstellung ermöglicht es einem Server, die Aushandlung von 128-Bit-Verschlüsselung und/oder NTLMv2-Sitzungssicherheit zu erfordern.
- Keine
- NtLMv2-Sitzungssicherheit erforderlich
- 128-Bit-Verschlüsselung erforderlich
- NTLMv2- und 128-Bit-Verschlüsselung
Minimale Sitzungssicherheit für NTLM SSP-basierte Server
Standardeinstellung: Keine
LocalPoliciesSecurityOptions-CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServersDiese Sicherheitseinstellung bestimmt, welches Challenge/Response-Authentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird.
- Keine
- NtLMv2-Sitzungssicherheit erforderlich
- 128-Bit-Verschlüsselung erforderlich
- NTLMv2- und 128-Bit-Verschlüsselung
LAN-Manager-Authentifizierungsebene
Standard: LM und NTLM
LocalPoliciesSecurityOptions-CSP: NetworkSecurity_LANManagerAuthenticationLevel- LM und NTLM
- LM, NTLM und NTLMv2
- NTLM
- NTLMv2
- NTLMv2 und nicht LM
- NTLMv2 und nicht LM oder NTLM
Unsichere Gastanmeldungen
Standard: Nicht konfiguriert
LanmanWorkstation CSP: LanmanWorkstationWenn Sie diese Einstellung aktivieren, lehnt der SMB-Client unsichere Gastanmeldungen ab.
- Nicht konfiguriert
- Blockieren : Der SMB-Client lehnt unsichere Gastanmeldungen ab.
Wiederherstellungskonsole und Herunterfahren
Auslagerungsdatei des virtuellen Speichers beim Herunterfahren löschen
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: Shutdown_ClearVirtualMemoryPageFile- Aktivieren : Löschen Sie die Auslagerungsdatei des virtuellen Speichers, wenn das Gerät heruntergefahren wird.
- Nicht konfiguriert : Löscht den virtuellen Arbeitsspeicher nicht.
Herunterfahren ohne Anmeldung
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn- Blockieren : Blendet die Option zum Herunterfahren auf dem Windows-Anmeldebildschirm aus. Benutzer müssen sich beim Gerät anmelden und dann herunterfahren.
- Nicht konfiguriert : Ermöglicht Benutzern das Herunterfahren des Geräts über den Windows-Anmeldebildschirm.
Benutzerkontensteuerung
UIA-Integrität ohne sicheren Standort
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations- Blockieren : Apps, die sich an einem sicheren Speicherort im Dateisystem befinden, werden nur mit UIAccess-Integrität ausgeführt.
- Nicht konfiguriert : Ermöglicht die Ausführung von Apps mit UIAccess-Integrität, auch wenn sich die Apps nicht an einem sicheren Speicherort im Dateisystem befinden.
Virtualisieren von Datei- und Registrierungsschreibfehlern an benutzerspezifische Speicherorte
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations- Aktiviert : Anwendungen, die Daten an geschützte Speicherorte schreiben, schlagen fehl.
- Nicht konfiguriert : Fehler beim Schreiben von Anwendungen werden zur Laufzeit an definierte Benutzerspeicherorte für das Dateisystem und die Registrierung umgeleitet.
Nur ausführbare Dateien erhöhen, die signiert und überprüft wurden
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations- Aktiviert : Erzwingen Sie die Überprüfung des PKI-Zertifizierungspfads für eine ausführbare Datei, bevor sie ausgeführt werden kann.
- Nicht konfiguriert : Erzwingen Sie keine Überprüfung des PKI-Zertifizierungspfads, bevor eine ausführbare Datei ausgeführt werden kann.
UIA-Rechteeingabeaufforderungsverhalten
Aufforderung zur Erhöhung der Rechte für Administratoren
Standard: Aufforderung zur Zustimmung für Nicht-Windows-Binärdateien
LocalPoliciesSecurityOptions-CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministratorsDefinieren Sie das Verhalten der Eingabeaufforderung für Rechteerweiterungen für Administratoren im Admin Genehmigungsmodus.
- Nicht konfiguriert
- Erhöhen ohne Aufforderung
- Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop
- Aufforderung zur Eingabe von Anmeldeinformationen
- Aufforderung zur Zustimmung
- Aufforderung zur Zustimmung für Nicht-Windows-Binärdateien
Eingabeaufforderung für Rechteerweiterungen für Standardbenutzer
Standard: Aufforderung zur Eingabe von Anmeldeinformationen
LocalPoliciesSecurityOptions-CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsersDefinieren Sie das Verhalten der Eingabeaufforderung für Rechteerweiterungen für Standardbenutzer.
- Nicht konfiguriert
- Anforderungen zur automatischen Ablehnung von Rechteerweiterungen
- Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop
- Aufforderung zur Eingabe von Anmeldeinformationen
Weiterleiten von Eingabeaufforderungen zur Erhöhung an den interaktiven Desktop des Benutzers
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation- Aktiviert : Alle Rechteerweiterungsanforderungen, um auf den Desktop des interaktiven Benutzers anstatt auf den sicheren Desktop zu wechseln. Alle Richtlinieneinstellungen für das Eingabeaufforderungsverhalten für Administratoren und Standardbenutzer werden verwendet.
- Nicht konfiguriert : Erzwingen Sie, dass alle Anforderungen für Rechteerweiterungen an den sicheren Desktop gesendet werden, unabhängig von den Richtlinieneinstellungen für das Eingabeaufforderungsverhalten für Administratoren und Standardbenutzer.
Aufforderung mit erhöhten Rechten für App-Installationen
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation- Aktiviert : Anwendungsinstallationspakete werden nicht erkannt oder zur Erhöhung aufgefordert.
- Nicht konfiguriert : Benutzer werden zur Eingabe eines Administratorbenutzernamens und -kennworts aufgefordert, wenn ein Anwendungsinstallationspaket erhöhte Berechtigungen erfordert.
UIA-Eingabeaufforderung zur Erhöhung ohne sicheren Desktop
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevationAktivieren : Zulassen, dass UIAccess-Apps die Rechteerweiterung auffordern, ohne den sicheren Desktop zu verwenden.
Nicht konfiguriert : Eingabeaufforderungen zur Erhöhung verwenden einen sicheren Desktop.
Admin-Genehmigungsmodus
Admin Genehmigungsmodus für den integrierten Administrator
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: UserAccountControl_UseAdminApprovalMode- Aktiviert: Ermöglicht dem integrierten Administratorkonto die Verwendung Admin Genehmigungsmodus. Jeder Vorgang, der rechteerweiterungen erfordert, fordert den Benutzer auf, den Vorgang zu genehmigen.
- Nicht konfiguriert : Führt alle Apps mit vollständigen Administratorrechten aus.
Ausführen aller Administratoren im Admin Genehmigungsmodus
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode- Aktiviert: Aktivieren Sie Admin Genehmigungsmodus.
- Nicht konfiguriert: Deaktivieren Sie Admin Genehmigungsmodus und alle zugehörigen UAC-Richtlinieneinstellungen.
Microsoft-Netzwerkclient
Digitales Signieren von Kommunikationen (wenn der Server zustimmt)
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgreesBestimmt, ob der SMB-Client die SMB-Paketsignierung aushandelt.
- Blockieren : Der SMB-Client handelt nie die SMB-Paketsignierung aus.
- Nicht konfiguriert : Der Microsoft-Netzwerkclient fordert den Server auf, die SMB-Paketsignatur beim Einrichten der Sitzung auszuführen. Wenn die Paketsignatur auf dem Server aktiviert ist, wird die Paketsignierung ausgehandelt.
Senden eines unverschlüsselten Kennworts an SMB-Server von Drittanbietern
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers- Blockieren : Der SMB-Redirector (Server Message Block) kann Klartextkennwörter an Nicht-Microsoft-SMB-Server senden, die die Kennwortverschlüsselung während der Authentifizierung nicht unterstützen.
- Nicht konfiguriert : Blockieren sie das Senden von Klartextkennwörtern. Die Kennwörter sind verschlüsselt.
Digitales Signieren von Kommunikationen (immer)
Standard: Nicht konfiguriert
LocalPoliciesSecurityOptions-CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways- Aktivieren : Der Microsoft-Netzwerkclient kommuniziert nicht mit einem Microsoft-Netzwerkserver, es sei denn, dieser Server stimmt der SMB-Paketsignierung zu.
- Nicht konfiguriert : Die SMB-Paketsignierung wird zwischen Client und Server ausgehandelt.
Microsoft-Netzwerkserver
Digitales Signieren von Kommunikationen (wenn der Kunde zustimmt)
Standard: Nicht konfiguriert
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees- Aktivieren : Der Microsoft-Netzwerkserver handelt die SMB-Paketsignierung wie vom Client angefordert aus. Das heißt, wenn die Paketsignierung auf dem Client aktiviert ist, wird die Paketsignierung ausgehandelt.
- Nicht konfiguriert : Der SMB-Client handelt nie die SMB-Paketsignierung aus.
Digitales Signieren von Kommunikationen (immer)
Standard: Nicht konfiguriert
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways- Aktivieren : Der Microsoft-Netzwerkserver kommuniziert nicht mit einem Microsoft-Netzwerkclient, es sei denn, dieser Client stimmt der SMB-Paketsignierung zu.
- Nicht konfiguriert : Die SMB-Paketsignierung wird zwischen Client und Server ausgehandelt.
Xbox-Dienste
Xbox Game Save Task
Standard: Nicht konfiguriert
CSP: TaskScheduler/EnableXboxGameSaveTaskDiese Einstellung bestimmt, ob die Xbox Game Save-Aufgabe aktiviert oder deaktiviert ist.
- Enabled
- Nicht konfiguriert
Xbox-Zubehörverwaltungsdienst
Standard: Manuell
CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupModeDiese Einstellung bestimmt den Starttyp des Zubehörverwaltungsdiensts.
- Manuell
- Automatisch
- Disabled
Xbox Live Auth Manager-Dienst
Standard: Manuell
CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupModeDiese Einstellung bestimmt den Starttyp des Live-Authentifizierungs-Manager-Diensts.
- Manuell
- Automatisch
- Disabled
Xbox Live-Spielspeicherdienst
Standard: Manuell
CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupModeDiese Einstellung bestimmt den Starttyp des Live Game Save Service.
- Manuell
- Automatisch
- Disabled
Xbox Live-Netzwerkdienst
Standard: Manuell
CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupModeDiese Einstellung bestimmt den Starttyp des Netzwerkdiensts.
- Manuell
- Automatisch
- Disabled
Nächste Schritte
Das Profil wird erstellt, aber es tut noch nichts. Weisen Sie als Nächstes das Profil zu, und überwachen Sie dessen status.
Konfigurieren Sie Endpoint Protections-Einstellungen auf macOS-Geräten .