Freigeben über


Windows-Einstellungen, die Sie über ein Intune Endpoint Protection-Profil verwalten können

Hinweis

Intune unterstützen möglicherweise mehr Einstellungen als die in diesem Artikel aufgeführten Einstellungen. Nicht alle Einstellungen sind dokumentiert und werden nicht dokumentiert. Um die Einstellungen anzuzeigen, die Sie konfigurieren können, erstellen Sie eine Gerätekonfigurationsrichtlinie, und wählen Sie Einstellungskatalog aus. Weitere Informationen finden Sie unter Einstellungskatalog.

Microsoft Intune enthält viele Einstellungen zum Schutz Ihrer Geräte. In diesem Artikel werden die Einstellungen in der Endpoint Protection-Vorlage für die Gerätekonfiguration beschrieben. Zum Verwalten der Gerätesicherheit können Sie auch Endpunktsicherheitsrichtlinien verwenden, die sich direkt auf Teilmengen der Gerätesicherheit konzentrieren. Informationen zum Konfigurieren Microsoft Defender Antivirus finden Sie unter Windows-Geräteeinschränkungen oder Verwenden der Endpunktsicherheits-Antivirenrichtlinie.

Bevor Sie beginnen

Erstellen Sie ein Endpoint Protection-Gerätekonfigurationsprofil.

Weitere Informationen zu Konfigurationsdienstanbietern (CSPs) finden Sie unter Referenz zu Konfigurationsdienstanbietern.

Microsoft Defender Application Guard

Für Microsoft Edge schützt Microsoft Defender Application Guard Ihre Umgebung vor Websites, denen Ihr organization nicht vertraut. Mit Application Guard werden Websites, die sich nicht in Ihrer isolierten Netzwerkgrenze befinden, in einer virtuellen Hyper-V-Browsersitzung geöffnet. Vertrauenswürdige Standorte werden durch eine Netzwerkgrenze definiert, die in der Gerätekonfiguration konfiguriert werden. Weitere Informationen finden Sie unter Erstellen einer Netzwerkgrenze auf Windows-Geräten.

Application Guard ist nur für 64-Bit-Windows-Geräte verfügbar. Mithilfe dieses Profils wird eine Win32-Komponente installiert, um Application Guard zu aktivieren.

  • Application Guard
    Standard: Nicht konfiguriert
    Application Guard CSP: Settings/AllowWindowsDefenderApplicationGuard

    • Aktiviert für Edge : Aktiviert dieses Feature, das nicht vertrauenswürdige Websites in einem virtualisierten Hyper-V-Browsercontainer öffnet.
    • Nicht konfiguriert : Jeder Standort (vertrauenswürdig und nicht vertrauenswürdig) kann auf dem Gerät geöffnet werden.
  • Verhalten der Zwischenablage
    Standard: Nicht konfiguriert
    Application Guard CSP: Settings/ClipboardSettings

    Wählen Sie aus, welche Kopier- und Einfügeaktionen zwischen dem lokalen PC und dem Application Guard virtuellen Browser zulässig sind.

    • Nicht konfiguriert
    • Kopieren und Einfügen nur vom PC in den Browser zulassen
    • Kopieren und Einfügen nur vom Browser auf den PC zulassen
    • Kopieren und Einfügen zwischen PC und Browser zulassen
    • Kopieren und Einfügen zwischen PC und Browser blockieren
  • Inhalt der Zwischenablage
    Diese Einstellung ist nur verfügbar, wenn das Verhalten der Zwischenablage auf eine der Zulassungseinstellungen festgelegt ist.
    Standard: Nicht konfiguriert
    Application Guard CSP: Settings/ClipboardFileType

    Wählen Sie den zulässigen Inhalt der Zwischenablage aus.

    • Nicht konfiguriert
    • Text
    • Images
    • Text und Bilder
  • Externe Inhalte auf Unternehmenswebsites
    Standard: Nicht konfiguriert
    Application Guard CSP: Settings/BlockNonEnterpriseContent

    • Blockieren : Blockiert das Laden von Inhalten von nicht genehmigten Websites.
    • Nicht konfiguriert : Unternehmensfremde Websites können auf dem Gerät geöffnet werden.
  • Drucken über einen virtuellen Browser
    Standard: Nicht konfiguriert
    Application Guard CSP: Settings/PrintingSettings

    • Zulassen : Ermöglicht das Drucken ausgewählter Inhalte im virtuellen Browser.
    • Nicht konfiguriert Deaktivieren Sie alle Druckfunktionen.

    Wenn Sie Drucken zulassen , können Sie die folgende Einstellung konfigurieren:

    • Drucktyp(en) Wählen Sie eine oder mehrere der folgenden Optionen aus:
      • PDF
      • XPS
      • Lokale Drucker
      • Netzwerkdrucker
  • Sammeln von Protokollen
    Standard: Nicht konfiguriert
    Application Guard CSP: Audit/AuditApplicationGuard

    • Zulassen: Sammeln Sie Protokolle für Ereignisse, die innerhalb einer Application Guard Browsersitzung auftreten.
    • Nicht konfiguriert : Sammeln Sie keine Protokolle innerhalb der Browsersitzung.
  • Beibehalten von benutzergenerierten Browserdaten
    Standard: Nicht konfiguriert
    Application Guard CSP: Einstellungen/AllowPersistence

    • Erlauben Speichern Sie Benutzerdaten (z. B. Kennwörter, Favoriten und Cookies), die während einer Application Guard virtuellen Browsersitzung erstellt werden.
    • Nicht konfiguriert Verwerfen sie vom Benutzer heruntergeladene Dateien und Daten, wenn das Gerät neu gestartet wird oder wenn sich ein Benutzer abmeldet.
  • Grafikbeschleunigung
    Standard: Nicht konfiguriert
    Application Guard CSP: Einstellungen/AllowVirtualGPU

    • Aktivieren : Laden Sie grafikintensive Websites und Videos schneller, indem Sie Zugriff auf eine virtuelle Grafikverarbeitungseinheit erhalten.
    • Nicht konfiguriert Verwenden Sie die CPU des Geräts für Grafiken. Verwenden Sie nicht die virtuelle Grafikverarbeitungseinheit.
  • Herunterladen von Dateien zum Hostdateisystem
    Standard: Nicht konfiguriert
    Application Guard CSP: Settings/SaveFilesToHost

    • Aktivieren : Benutzer können Dateien aus dem virtualisierten Browser auf das Hostbetriebssystem herunterladen.
    • Nicht konfiguriert : Behält die Dateien lokal auf dem Gerät bei und lädt keine Dateien in das Hostdateisystem herunter.

Windows-Firewall

Globale Einstellungen

Diese Einstellungen gelten für alle Netzwerktypen.

  • File Transfer Protocol
    Standard: Nicht konfiguriert
    Firewall-CSP: MdmStore/Global/DisableStatefulFtp

    • Blockieren : Deaktiviert zustandsbehaftetes FTP.
    • Nicht konfiguriert : Die Firewall führt zustandsbehaftete FTP-Filterung durch, um sekundäre Verbindungen zuzulassen.
  • Leerlaufzeit der Sicherheitszuordnung vor dem Löschen
    Standard: Nicht konfiguriert
    Firewall-CSP: MdmStore/Global/SaIdleTime

    Geben Sie eine Leerlaufzeit in Sekunden an, nach der Sicherheitszuordnungen gelöscht werden.

  • Codierung mit vorinstalliertem Schlüssel
    Standard: Nicht konfiguriert
    Firewall-CSP: MdmStore/Global/PresharedKeyEncoding

    • Aktivieren : Codieren Von vordefinierten Schlüsseln mithilfe von UTF-8.
    • Nicht konfiguriert : Codieren Sie vordefinierte Schlüssel mithilfe des Werts des lokalen Speichers.
  • IPsec-Ausnahmen
    Standard: 0 ausgewählt
    Firewall-CSP: MdmStore/Global/IPsecExempt

    Wählen Sie einen oder mehrere der folgenden Arten von Datenverkehr aus, der von IPsec ausgenommen werden soll:

    • Neighbor discover IPv6 ICMP type-codes
    • ICMP
    • IPv6-ICMP-Typcodes für Routerermittlung
    • IPv4- und IPv6-DHCP-Netzwerkdatenverkehr
  • Überprüfung der Zertifikatsperrliste
    Standard: Nicht konfiguriert
    Firewall-CSP: MdmStore/Global/CRLcheck

    Wählen Sie aus, wie das Gerät die Zertifikatsperrliste überprüft. Die folgenden Optionen stehen zur Verfügung:

    • Deaktivieren der Zertifikatsperrlistenüberprüfung
    • Fehler bei der Überprüfung der Zertifikatsperrliste nur für widerrufenes Zertifikat
    • Fehler bei der Überprüfung der Zertifikatsperrliste bei einem aufgetretenen Fehler.
  • Authentifizierungssatz pro Schlüsselmodul opportunistisch abgleichen
    Standard: Nicht konfiguriert
    Firewall-CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • Ermöglichen Schlüsselerstellungsmodule dürfen nur die Authentifizierungssammlungen ignorieren, die sie nicht unterstützen.
    • Nicht konfiguriert, müssen Schlüsselerstellungsmodule den gesamten Authentifizierungssatz ignorieren, wenn sie nicht alle in der Gruppe angegebenen Authentifizierungssammlungen unterstützen.
  • Paketwarteschlange
    Standard: Nicht konfiguriert
    Firewall-CSP: MdmStore/Global/EnablePacketQueue

    Geben Sie an, wie die Softwareskalierung auf der Empfangsseite für den verschlüsselten Empfang und die Klartextweiterleitung für das IPsec-Tunnelgatewayszenario aktiviert ist. Diese Einstellung bestätigt, dass die Paketreihenfolge beibehalten wird. Die folgenden Optionen stehen zur Verfügung:

    • Nicht konfiguriert
    • Deaktivieren aller Paketwarteschlangen
    • Nur eingehende verschlüsselte Pakete in der Warteschlange
    • Warteschlangenpakete nach der Entschlüsselung nur für die Weiterleitung
    • Konfigurieren von eingehenden und ausgehenden Paketen

Netzwerkeinstellungen

Die folgenden Einstellungen werden jeweils ein einziges Mal in diesem Artikel aufgeführt, aber alle gelten für die drei spezifischen Netzwerktypen:

  • Domänennetzwerk (Arbeitsplatz)
  • Privates (auffindbares) Netzwerk
  • Öffentliches (nicht erkennbares) Netzwerk

Allgemein

  • Windows-Firewall
    Standard: Nicht konfiguriert
    Firewall-CSP: EnableFirewall

    • Aktivieren : Aktivieren Sie die Firewall und die erweiterte Sicherheit.
    • Nicht konfiguriert Lässt den gesamten Netzwerkdatenverkehr zu, unabhängig von anderen Richtlinieneinstellungen.
  • Stealth-Modus
    Standard: Nicht konfiguriert
    Firewall-CSP: DisableStealthMode

    • Nicht konfiguriert
    • Blockieren : Die Firewall kann nicht im stealth-Modus ausgeführt werden. Das Blockieren des Stealth-Modus ermöglicht es Ihnen, auch die Ausnahme von geschützten IPsec-Paketen zu blockieren.
    • Zulassen : Die Firewall arbeitet im verdeckten Modus, wodurch Reaktionen auf Abfragen von Anforderungen verhindert werden.
  • IPsec-Schutzpaketausnahme im Stealth-Modus
    Standard: Nicht konfiguriert
    Firewall-CSP: DisableStealthModeIpsecSecuredPacketExemption

    Diese Option wird ignoriert, wenn der Stealth-Modus auf Blockieren festgelegt ist.

    • Nicht konfiguriert
    • Blockieren : IpSec-gesicherte Pakete erhalten keine Ausnahmen.
    • Zulassen : Aktivieren sie Ausnahmen. Der heimliche Modus der Firewall DARF NICHT verhindern, dass der Hostcomputer auf unerwünschten Netzwerkdatenverkehr reagiert, der durch IPsec gesichert ist.
  • Abgeschirmt
    Standard: Nicht konfiguriert
    Firewall-CSP: Abgeschirmt

    • Nicht konfiguriert
    • Blockieren : Wenn die Windows-Firewall aktiviert ist und diese Einstellung auf Blockieren festgelegt ist, wird der gesamte eingehende Datenverkehr blockiert, unabhängig von anderen Richtlinieneinstellungen.
    • Zulassen : Wenn diese Einstellung auf Zulassen festgelegt ist, ist diese Einstellung deaktiviert, und eingehender Datenverkehr wird basierend auf anderen Richtlinieneinstellungen zugelassen.
  • Unicastantworten auf Multicastübertragungen
    Standard: Nicht konfiguriert
    Firewall-CSP: DisableUnicastResponsesToMulticastBroadcast

    In der Regel möchten Sie keine Unicastantworten auf Multicast- oder Broadcastnachrichten empfangen. Diese Antworten können auf einen Denial-of-Service-Angriff (DOS) oder einen Angreifer hinweisen, der versucht, einen bekannten Livecomputer zu testen.

    • Nicht konfiguriert
    • Blockieren : Deaktiviert Unicastantworten auf Multicastübertragungen.
    • Zulassen : Unicastantworten auf Multicastübertragungen zulassen.
  • Eingehende Benachrichtigungen
    Standard: Nicht konfiguriert
    Firewall-CSP: DisableInboundNotifications

    • Nicht konfiguriert
    • Blockieren : Blendet Benachrichtigungen aus, die verwendet werden sollen, wenn eine App daran gehindert wird, an einem Port zu lauschen.
    • Zulassen : Aktiviert diese Einstellung und zeigt benutzern möglicherweise eine Benachrichtigung an, wenn eine App daran gehindert wird, an einem Port zu lauschen.
  • Standardaktion für ausgehende Verbindungen
    Standard: Nicht konfiguriert
    Firewall-CSP: DefaultOutboundAction

    Konfigurieren Sie die Standardaktion, die die Firewall für ausgehende Verbindungen ausführt. Diese Einstellung wird auf Windows Version 1809 und höher angewendet.

    • Nicht konfiguriert
    • Blockieren : Die Standardfirewallaktion wird nicht für ausgehenden Datenverkehr ausgeführt, es sei denn, sie wird explizit zum Blockieren angegeben.
    • Zulassen : Standardmäßige Firewallaktionen werden bei ausgehenden Verbindungen ausgeführt.
  • Standardaktion für eingehende Verbindungen
    Standard: Nicht konfiguriert
    Firewall-CSP: DefaultInboundAction

    • Nicht konfiguriert
    • Blockieren : Die Standardfirewallaktion wird nicht für eingehende Verbindungen ausgeführt.
    • Zulassen : Standardmäßige Firewallaktionen werden bei eingehenden Verbindungen ausgeführt.

Zusammenführen von Regeln

  • Windows-Firewallregeln für autorisierte Anwendungen aus dem lokalen Speicher
    Standard: Nicht konfiguriert
    Firewall-CSP: AuthAppsAllowUserPrefMerge

    • Nicht konfiguriert
    • Blockieren : Die autorisierten Anwendungsfirewallregeln im lokalen Speicher werden ignoriert und nicht erzwungen.
    • Zulassen : Wählen Sie Aktivieren Firewallregeln im lokalen Speicher an, damit diese erkannt und erzwungen werden.
  • Globale Windows-Firewallregeln aus dem lokalen Speicher
    Standard: Nicht konfiguriert
    Firewall-CSP: GlobalPortsAllowUserPrefMerge

    • Nicht konfiguriert
    • Blockieren : Die Firewallregeln für den globalen Port im lokalen Speicher werden ignoriert und nicht erzwungen.
    • Zulassen : Wenden Sie globale Portfirewallregeln im lokalen Speicher an, um erkannt und erzwungen zu werden.
  • Windows-Firewallregeln aus dem lokalen Speicher
    Standard: Nicht konfiguriert
    Firewall-CSP: AllowLocalPolicyMerge

    • Nicht konfiguriert
    • Blockieren : Firewallregeln aus dem lokalen Speicher werden ignoriert und nicht erzwungen.
    • Zulassen : Wenden Sie Firewallregeln im lokalen Speicher an, um erkannt und erzwungen zu werden.
  • IPsec-Regeln aus dem lokalen Speicher
    Standard: Nicht konfiguriert
    Firewall-CSP: AllowLocalIpsecPolicyMerge

    • Nicht konfiguriert
    • Blockieren : Die Verbindungssicherheitsregeln aus dem lokalen Speicher werden ignoriert und nicht erzwungen, unabhängig von der Schemaversion und der Version der Verbindungssicherheitsregeln.
    • Zulassen : Wenden Sie Verbindungssicherheitsregeln aus dem lokalen Speicher unabhängig von schema- oder verbindungssicherheitsregelversionen an.

Firewallregeln

Sie können eine oder mehrere benutzerdefinierte Firewallregeln hinzufügen . Weitere Informationen finden Sie unter Hinzufügen von benutzerdefinierten Firewallregeln für Windows-Geräte.

Benutzerdefinierte Firewallregeln unterstützen die folgenden Optionen:

Allgemeine Einstellungen

  • Name
    Standard: Kein Name

    Geben Sie einen Anzeigenamen für Ihre Regel an. Dieser Name wird in der Liste der Regeln angezeigt, damit Sie ihn leichter identifizieren können.

  • Beschreibung
    Standard:Keine Beschreibung

    Geben Sie eine Beschreibung der Regel an.

  • Richtung
    Standard: Nicht konfiguriert
    Firewall-CSP: FirewallRules/FirewallRuleName/Direction

    Geben Sie an, ob diese Regel für eingehenden oder ausgehenden Datenverkehr gilt. Bei Festlegung auf Nicht konfiguriert gilt die Regel automatisch für ausgehenden Datenverkehr.

  • Aktion
    Standard: Nicht konfiguriert
    Firewall-CSP: FirewallRules/FirewallRuleName/Action und FirewallRules/FirewallRuleName/Action/Type

    Wählen Sie Zulassen oder Blockieren aus. Wenn die Einstellung Nicht konfiguriert festgelegt ist, lässt die Regel standardmäßig Datenverkehr zu.

  • Netzwerktyp
    Standard: 0 ausgewählt
    Firewall-CSP: FirewallRules/FirewallRuleName/Profiles

    Wählen Sie bis zu drei Netzwerktypen aus, zu denen diese Regel gehört. Zu den Optionen gehören "Domäne", "Privat" und " Öffentlich". Wenn keine Netzwerktypen ausgewählt sind, gilt die Regel für alle drei Netzwerktypen.

Anwendungseinstellungen

  • Anwendungen
    Standard: Alle

    Steuern von Verbindungen für eine App oder ein Programm. Apps und Programme können entweder anhand des Dateipfads, des Paketfamiliennamens oder des Dienstnamens angegeben werden:

    • Paketfamilienname : Geben Sie einen Paketfamiliennamen an. Verwenden Sie den PowerShell-Befehl Get-AppxPackage, um den Paketfamiliennamen zu ermitteln.
      Firewall-CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName

    • Dateipfad : Sie müssen einen Dateipfad zu einer App auf dem Clientgerät angeben, bei dem es sich um einen absoluten Pfad oder einen relativen Pfad handeln kann. Beispiel: C:\Windows\System\Notepad.exe oder %WINDIR%\Notepad.exe.
      Firewall-CSP: FirewallRules/FirewallRuleName/App/FilePath

    • Windows-Dienst : Geben Sie den Kurznamen des Windows-Diensts an, wenn es sich um einen Dienst handelt und nicht um eine Anwendung, die Datenverkehr sendet oder empfängt. Verwenden Sie den PowerShell-Befehl Get-Service, um den Kurznamen des Diensts zu ermitteln.
      Firewall-CSP: FirewallRules/FirewallRuleName/App/ServiceName

    • AlleEs sind keine Konfigurationen erforderlich.

IP-Adresseinstellungen

Geben Sie die lokalen und Remoteadressen an, für die diese Regel gilt.

  • Lokale Adressen
    Standard: Beliebige Adresse
    Firewall-CSP: FirewallRules/FirewallRuleName/LocalPortRanges

    Wählen Sie Beliebige Adresse oder Angegebene Adresse aus.

    Wenn Sie Angegebene Adresse verwenden, fügen Sie eine oder mehrere Adressen als durch Trennzeichen getrennte Liste lokaler Adressen hinzu, die von der Regel abgedeckt werden. Gültige Token sind:

    • Verwenden Sie ein Sternchen * für jede lokale Adresse. Wenn Sie ein Sternchen verwenden, muss es das einzige Token sein, das Sie verwenden.
    • Geben Sie ein Subnetz entweder mit der Subnetzmaske oder der Netzwerkpräfixnotation an. Wenn keine Subnetzmaske oder ein Netzwerkpräfix angegeben ist, wird die Subnetzmaske standardmäßig auf 255.255.255.255 festgelegt.
    • Eine gültige IPv6-Adresse.
    • Ein IPv4-Adressbereich im Format "Startadresse – Endadresse" ohne Leerzeichen.
    • Ein IPv6-Adressbereich im Format "Startadresse - Endadresse" ohne Leerzeichen.
  • Remoteadressen
    Standard: Beliebige Adresse
    Firewall-CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

    Wählen Sie Beliebige Adresse oder Angegebene Adresse aus.

    Wenn Sie Angegebene Adresse verwenden, fügen Sie eine oder mehrere Adressen als durch Trennzeichen getrennte Liste von Remoteadressen hinzu, die von der Regel abgedeckt werden. Bei Token wird die Groß-/Kleinschreibung nicht beachtet. Gültige Token sind:

    • Verwenden Sie ein Sternchen "*" für jede Remoteadresse. Wenn Sie ein Sternchen verwenden, muss es das einzige Token sein, das Sie verwenden.
    • Defaultgateway
    • DHCP
    • DNS
    • WINS
    • Intranet (unterstützt unter Windows-Versionen 1809 und höher)
    • RmtIntranet (unterstützt unter Windows-Versionen 1809 und höher)
    • Internet (unterstützt unter Windows-Versionen 1809 und höher)
    • Ply2Renders (unterstützt unter Windows-Versionen 1809 und höher)
    • LocalSubnet gibt eine beliebige lokale Adresse im lokalen Subnetz an.
    • Geben Sie ein Subnetz entweder mit der Subnetzmaske oder der Netzwerkpräfixnotation an. Wenn keine Subnetzmaske oder ein Netzwerkpräfix angegeben ist, wird die Subnetzmaske standardmäßig auf 255.255.255.255 festgelegt.
    • Eine gültige IPv6-Adresse.
    • Ein IPv4-Adressbereich im Format "Startadresse – Endadresse" ohne Leerzeichen.
    • Ein IPv6-Adressbereich im Format "Startadresse - Endadresse" ohne Leerzeichen.

Port- und Protokolleinstellungen

Geben Sie die lokalen und Remoteports an, für die diese Regel gilt.

Erweiterte Konfiguration

  • Schnittstellentypen
    Standard: 0 ausgewählt
    Firewall-CSP: FirewallRules/FirewallRuleName/InterfaceTypes

    Folgende Optionen stehen zur Auswahl:

    • Remotezugriff
    • Drahtlos
    • Lokales Netzwerk
  • Nur Verbindungen von diesen Benutzern zulassen
    Standard: Alle Benutzer (Standardmäßig werden alle Verwendungen verwendet, wenn keine Liste angegeben ist)
    Firewall-CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    Geben Sie eine Liste der autorisierten lokalen Benutzer für diese Regel an. Eine Liste der autorisierten Benutzer kann nicht angegeben werden, wenn diese Regel für einen Windows-Dienst gilt.

Microsoft Defender SmartScreen-Einstellungen

Microsoft Edge muss auf dem Gerät installiert sein.

  • SmartScreen für Apps und Dateien
    Standard: Nicht konfiguriert
    SmartScreen CSP: SmartScreen/EnableSmartScreenInShell

    • Nicht konfiguriert : Deaktiviert die Verwendung von SmartScreen.
    • Aktivieren : Aktivieren Sie Windows SmartScreen für die Dateiausführung und die Ausführung von Apps. SmartScreen ist eine cloudbasierte Anti-Phishing- und Anti-Malware-Komponente.
  • Ausführung nicht überprüfter Dateien
    Standard: Nicht konfiguriert
    SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell

    • Nicht konfiguriert : Deaktiviert dieses Feature und ermöglicht Endbenutzern das Ausführen von Dateien, die nicht überprüft wurden.
    • Blockieren : Verhindert, dass Endbenutzer Dateien ausführen, die nicht von Windows SmartScreen überprüft wurden.

Windows-Verschlüsselung

Windows-Einstellungen

  • Geräte verschlüsseln
    Standard: Nicht konfiguriert
    BitLocker CSP: RequireDeviceEncryption

    • Erforderlich : Benutzer werden aufgefordert, die Geräteverschlüsselung zu aktivieren. Je nach Windows-Edition und Systemkonfiguration werden Benutzer möglicherweise gefragt:
      • Um zu bestätigen, dass die Verschlüsselung von einem anderen Anbieter nicht aktiviert ist.
      • Sie müssen die BitLocker-Laufwerkverschlüsselung deaktivieren und dann BitLocker wieder aktivieren.
    • Nicht konfiguriert

    Wenn die Windows-Verschlüsselung aktiviert ist, während eine andere Verschlüsselungsmethode aktiv ist, kann das Gerät instabil werden.

BitLocker-Basiseinstellungen

Basiseinstellungen sind universelle BitLocker-Einstellungen für alle Arten von Datenlaufwerken. Diese Einstellungen verwalten, welche Laufwerksverschlüsselungsaufgaben oder Konfigurationsoptionen der Endbenutzer für alle Arten von Datenlaufwerken ändern kann.

  • Warnung für andere Datenträgerverschlüsselung
    Standard: Nicht konfiguriert
    BitLocker CSP: AllowWarningForOtherDiskEncryption

    • Blockieren : Deaktivieren Sie die Warnungsaufforderung, wenn sich ein anderer Datenträgerverschlüsselungsdienst auf dem Gerät befindet.
    • Nicht konfiguriert : Zulassen, dass die Warnung für andere Datenträgerverschlüsselung angezeigt wird.

    Tipp

    Um BitLocker automatisch und automatisch auf einem Gerät zu installieren, das Microsoft Entra eingebunden ist und Windows 1809 oder höher ausführt, muss diese Einstellung auf Blockieren festgelegt werden. Weitere Informationen finden Sie unter Automatisches Aktivieren von BitLocker auf Geräten.

    Bei Festlegung auf Blockieren können Sie die folgende Einstellung konfigurieren:

    • Zulassen, dass Standardbenutzer die Verschlüsselung während Microsoft Entra Joins aktivieren
      Diese Einstellung gilt nur für Microsoft Entra eingebundene Geräte (Azure ADJ) und hängt von der vorherigen Einstellung abWarning for other disk encryption.
      Standard: Nicht konfiguriert
      BitLocker CSP: AllowStandardUserEncryption

      • Zulassen: Standard Benutzer (keine Administratoren) die BitLocker-Verschlüsselung aktivieren können, wenn sie angemeldet sind.
      • Nicht konfiguriert Nur Administratoren können die BitLocker-Verschlüsselung auf dem Gerät aktivieren.

    Tipp

    Um BitLocker automatisch und automatisch auf einem Gerät zu installieren, das Microsoft Entra eingebunden ist und Windows 1809 oder höher ausführt, muss diese Einstellung auf Zulassen festgelegt werden. Weitere Informationen finden Sie unter Automatisches Aktivieren von BitLocker auf Geräten.

  • Konfigurieren von Verschlüsselungsmethoden
    Standard: Nicht konfiguriert
    BitLocker CSP: EncryptionMethodByDriveType

    • Aktivieren : Konfigurieren Sie Verschlüsselungsalgorithmen für Betriebssystem, Daten und Wechseldatenträger.
    • Nicht konfiguriert : BitLocker verwendet XTS-AES 128 Bit als Standardverschlüsselungsmethode oder die verschlüsselungsmethode, die von jedem Setupskript angegeben wird.

    Bei Festlegung auf Aktivieren können Sie die folgenden Einstellungen konfigurieren:

    • Verschlüsselung für Betriebssystemlaufwerke
      Standard: XTS-AES 128-Bit

      Wählen Sie die Verschlüsselungsmethode für Betriebssystemlaufwerke aus. Es wird empfohlen, den XTS-AES-Algorithmus zu verwenden.

      • AES-CBC 128-Bit
      • AES-CBC 256-Bit
      • XTS-AES 128-Bit
      • XTS-AES 256-Bit
    • Verschlüsselung für Festplattenlaufwerke
      Standard: AES-CBC 128-Bit

      Wählen Sie die Verschlüsselungsmethode für feste (integrierte) Datenlaufwerke aus. Es wird empfohlen, den XTS-AES-Algorithmus zu verwenden.

      • AES-CBC 128-Bit
      • AES-CBC 256-Bit
      • XTS-AES 128-Bit
      • XTS-AES 256-Bit
    • Verschlüsselung für Wechseldatenträger
      Standard: AES-CBC 128-Bit

      Wählen Sie die Verschlüsselungsmethode für Wechseldatenträger aus. Wenn der Wechseldatenträger mit Geräten verwendet wird, auf denen Windows 10/11 nicht ausgeführt wird, empfehlen wir die Verwendung des AES-CBC-Algorithmus.

      • AES-CBC 128-Bit
      • AES-CBC 256-Bit
      • XTS-AES 128-Bit
      • XTS-AES 256-Bit

Einstellungen für BitLocker-Betriebssystemlaufwerke

Diese Einstellungen gelten speziell für Betriebssystemdatenlaufwerke.

  • Zusätzliche Authentifizierung beim Start
    Standard: Nicht konfiguriert
    BitLocker CSP: SystemDrivesRequireStartupAuthentication

    • Erforderlich : Konfigurieren Sie die Authentifizierungsanforderungen für den Computerstart, einschließlich der Verwendung des Trusted Platform Module (TPM).
    • Nicht konfiguriert : Konfigurieren Sie nur grundlegende Optionen auf Geräten mit einem TPM.

    Bei Festlegung auf Erforderlich können Sie die folgenden Einstellungen konfigurieren:

    • BitLocker mit nicht kompatiblem TPM-Chip
      Standard: Nicht konfiguriert

      • Blockieren : Deaktivieren Sie die Verwendung von BitLocker, wenn ein Gerät nicht über einen kompatiblen TPM-Chip verfügt.
      • Nicht konfiguriert : Benutzer können BitLocker ohne kompatiblen TPM-Chip verwenden. BitLocker erfordert möglicherweise ein Kennwort oder einen Startschlüssel.
    • Kompatibler TPM-Start
      Standard: TPM zulassen

      Konfigurieren Sie, ob TPM zulässig, erforderlich oder nicht zulässig ist.

      • TPM zulassen
      • TPM nicht zulassen
      • TPM erforderlich
    • Kompatible TPM-Start-PIN
      Standard: Start-PIN mit TPM zulassen

      Wählen Sie die Verwendung einer Start-PIN mit dem TPM-Chip zulassen, nicht zulassen oder erfordern. Das Aktivieren einer Start-PIN erfordert eine Interaktion des Endbenutzers.

      • Zulassen der Start-PIN mit TPM
      • Start-PIN mit TPM nicht zulassen
      • Anfordern der Start-PIN mit TPM

      Tipp

      Um BitLocker automatisch und automatisch auf einem Gerät zu installieren, das Microsoft Entra eingebunden ist und Windows 1809 oder höher ausführt, darf diese Einstellung nicht auf Start-PIN mit TPM erforderlich festgelegt werden. Weitere Informationen finden Sie unter Automatisches Aktivieren von BitLocker auf Geräten.

    • Kompatibler TPM-Startschlüssel
      Standard: Startschlüssel mit TPM zulassen

      Wählen Sie die Verwendung eines Startschlüssels mit dem TPM-Chip zulassen, nicht zulassen oder erfordern. Zum Aktivieren eines Startschlüssels ist eine Interaktion des Endbenutzers erforderlich.

      • Startschlüssel mit TPM zulassen
      • Startschlüssel mit TPM nicht zulassen
      • Anfordern des Startschlüssels mit TPM

      Tipp

      Um BitLocker automatisch und automatisch auf einem Gerät zu installieren, das Microsoft Entra eingebunden ist und Windows 1809 oder höher ausführt, darf diese Einstellung nicht auf Startschlüssel mit TPM erforderlich festgelegt werden. Weitere Informationen finden Sie unter Automatisches Aktivieren von BitLocker auf Geräten.

    • Kompatibler TPM-Startschlüssel und -PIN
      Standard: Startschlüssel und PIN mit TPM zulassen

      Wählen Sie die Verwendung eines Startschlüssels und einer PIN mit dem TPM-Chip zulassen, nicht zulassen oder erfordern. Das Aktivieren des Startschlüssels und der PIN erfordert eine Interaktion des Endbenutzers.

      • Startschlüssel und PIN mit TPM zulassen
      • Startschlüssel und PIN mit TPM nicht zulassen
      • Erfordern eines Startschlüssels und einer PIN mit TPM

      Tipp

      Um BitLocker automatisch und automatisch auf einem Gerät zu installieren, das Microsoft Entra eingebunden ist und Windows 1809 oder höher ausführt, darf diese Einstellung nicht auf Startschlüssel und PIN mit TPM erforderlich festgelegt werden. Weitere Informationen finden Sie unter Automatisches Aktivieren von BitLocker auf Geräten.

  • Minimale PIN-Länge
    Standard: Nicht konfiguriert
    BitLocker CSP: SystemDrivesMinimumPINLength

    • Ermöglichen Konfigurieren Sie eine Mindestlänge für die TPM-Start-PIN.
    • Nicht konfiguriert : Benutzer können eine Start-PIN mit einer beliebigen Länge zwischen 6 und 20 Ziffern konfigurieren.

    Wenn diese Einstellung auf Aktivieren festgelegt ist, können Sie die folgende Einstellung konfigurieren:

    • Mindestzeichen
      Standard: Nicht konfigurierter BitLocker-CSP: SystemDrivesMinimumPINLength

      Geben Sie die Anzahl der Zeichen ein, die für die Start-PIN von 4-20 erforderlich sind.

  • Wiederherstellung des Betriebssystemlaufwerks
    Standard: Nicht konfiguriert
    BitLocker CSP: SystemDrivesRecoveryOptions

    • Aktivieren : Steuern Sie, wie bitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden, wenn die erforderlichen Startinformationen nicht verfügbar sind.
    • Nicht konfiguriert : Standardwiederherstellungsoptionen werden unterstützt, einschließlich DRA. Der Endbenutzer kann Wiederherstellungsoptionen angeben. Wiederherstellungsinformationen werden nicht in AD DS gesichert.

    Bei Festlegung auf Aktivieren können Sie die folgenden Einstellungen konfigurieren:

    • Zertifikatbasierter Datenwiederherstellungs-Agent
      Standard: Nicht konfiguriert

      • Blockieren : Verhindern Sie die Verwendung des Datenwiederherstellungs-Agents mit BitLocker-geschützten Betriebssystemlaufwerken.
      • Nicht konfiguriert : Lassen Sie die Verwendung von Datenwiederherstellungs-Agents mit BitLocker-geschützten Betriebssystemlaufwerken zu.
    • Benutzererstellung des Wiederherstellungskennworts
      Standard: 48-stelliges Wiederherstellungskennwort zulassen

      Wählen Sie aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort generieren dürfen, erforderlich oder nicht.

      • 48-stelliges Wiederherstellungskennwort zulassen
      • 48-stelliges Wiederherstellungskennwort nicht zulassen
      • 48-stelliges Wiederherstellungskennwort erforderlich
    • Benutzererstellung des Wiederherstellungsschlüssels
      Standard: 256-Bit-Wiederherstellungsschlüssel zulassen

      Wählen Sie aus, ob Benutzer einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen, erforderlich oder nicht.

      • 256-Bit-Wiederherstellungsschlüssel zulassen
      • 256-Bit-Wiederherstellungsschlüssel nicht zulassen
      • 256-Bit-Wiederherstellungsschlüssel erforderlich
    • Wiederherstellungsoptionen im BitLocker-Setup-Assistenten
      Standard: Nicht konfiguriert

      • Blockieren : Benutzer können die Wiederherstellungsoptionen nicht anzeigen und ändern. Wenn auf festgelegt ist
      • Nicht konfiguriert : Benutzer können die Wiederherstellungsoptionen anzeigen und ändern, wenn sie BitLocker aktivieren.
    • Speichern von BitLocker-Wiederherstellungsinformationen in Microsoft Entra ID
      Standard: Nicht konfiguriert

      • Aktivieren: Speichern Sie die BitLocker-Wiederherstellungsinformationen in Microsoft Entra ID.
      • Nicht konfiguriert: BitLocker-Wiederherstellungsinformationen werden nicht in Microsoft Entra ID gespeichert.
    • BitLocker-Wiederherstellungsinformationen, die in Microsoft Entra ID gespeichert werden
      Standard: Sichern von Wiederherstellungskennwörtern und Schlüsselpaketen

      Konfigurieren Sie, welche Teile der BitLocker-Wiederherstellungsinformationen in Microsoft Entra ID gespeichert werden. Wählen Sie zwischen:

      • Sichern von Wiederherstellungskennwörtern und Schlüsselpaketen
      • Nur Wiederherstellungskennwörter für Sicherungen
    • Clientgesteuerte Kennwortrotation für die Wiederherstellung
      Standard: Nicht konfiguriert
      BitLocker CSP: ConfigureRecoveryPasswordRotation

      Diese Einstellung initiiert eine clientgesteuerte Wiederherstellungskennwortrotation nach der Wiederherstellung eines Betriebssystemlaufwerks (entweder mithilfe von bootmgr oder WinRE).

      • Nicht konfiguriert
      • Schlüsselrotation deaktiviert
      • Für Microsoft Entra verknüpfte Instanzen aktivierte Schlüsselrotation
      • Für Microsoft Entra ID und hybrid eingebundene Geräte aktivierte Schlüsselrotation
    • Speichern von Wiederherstellungsinformationen in Microsoft Entra ID vor dem Aktivieren von BitLocker
      Standard: Nicht konfiguriert

      Verhindern Sie, dass Benutzer BitLocker aktivieren, es sei denn, der Computer sichert die BitLocker-Wiederherstellungsinformationen erfolgreich in Microsoft Entra ID.

      • Erforderlich: Benutzer können BitLocker nicht aktivieren, es sei denn, die BitLocker-Wiederherstellungsinformationen werden erfolgreich in Microsoft Entra ID gespeichert.
      • Nicht konfiguriert: Benutzer können BitLocker auch dann aktivieren, wenn Wiederherstellungsinformationen nicht erfolgreich in Microsoft Entra ID gespeichert wurden.
  • Wiederherstellungsnachricht und URL vor dem Start
    Standard: Nicht konfiguriert
    BitLocker CSP: SystemDrivesRecoveryMessage

    • Aktivieren : Konfigurieren Sie die Meldung und URL, die auf dem Bildschirm für die Wiederherstellung vor dem Startschlüssel angezeigt wird.
    • Nicht konfiguriert : Deaktivieren Sie dieses Feature.

    Wenn diese Einstellung auf Aktivieren festgelegt ist, können Sie die folgende Einstellung konfigurieren:

    • Wiederherstellungsnachricht vor dem Start
      Standard: Standardwiederherstellungsmeldung und -URL verwenden

      Konfigurieren Sie, wie die Wiederherstellungsmeldung vor dem Start für Benutzer angezeigt wird. Wählen Sie zwischen:

      • Standardwiederherstellungsnachricht und -URL verwenden
      • Leere Wiederherstellungsnachricht und URL verwenden
      • Verwenden einer benutzerdefinierten Wiederherstellungsnachricht
      • Verwenden einer benutzerdefinierten Wiederherstellungs-URL

Einstellungen für BitLocker-Festplattenlaufwerke

Diese Einstellungen gelten speziell für Festplattenlaufwerke.

  • Schreibzugriff auf Festplattenlaufwerk, das nicht durch BitLocker geschützt ist
    Standard: Nicht konfiguriert
    BitLocker CSP: FixedDrivesRequireEncryption

    • Blockieren : Gewähren Sie schreibgeschützten Zugriff auf Datenlaufwerke, die nicht durch BitLocker geschützt sind.
    • Nicht konfiguriert : Standardmäßig Lese- und Schreibzugriff auf Datenlaufwerke, die nicht verschlüsselt sind.
  • Wiederherstellung von Festplattenlaufwerken
    Standard: Nicht konfiguriert
    BitLocker CSP: FixedDrivesRecoveryOptions

    • Aktivieren : Steuern Sie, wie bitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden, wenn die erforderlichen Startinformationen nicht verfügbar sind.
    • Nicht konfiguriert : Deaktivieren Sie dieses Feature.

    Bei Festlegung auf Aktivieren können Sie die folgenden Einstellungen konfigurieren:

    • Datenwiederherstellungs-Agent
      Standard: Nicht konfiguriert

      • Blockieren: Verhindern Sie die Verwendung des Datenwiederherstellungs-Agents mit BitLocker-geschützten Festplattenrichtlinien Editor.
      • Nicht konfiguriert : Ermöglicht die Verwendung von Datenwiederherstellungs-Agents mit durch BitLocker geschützten Festplattenlaufwerken.
    • Benutzererstellung des Wiederherstellungskennworts
      Standard: 48-stelliges Wiederherstellungskennwort zulassen

      Wählen Sie aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort generieren dürfen, erforderlich oder nicht.

      • 48-stelliges Wiederherstellungskennwort zulassen
      • 48-stelliges Wiederherstellungskennwort nicht zulassen
      • 48-stelliges Wiederherstellungskennwort erforderlich
    • Benutzererstellung des Wiederherstellungsschlüssels
      Standard: 256-Bit-Wiederherstellungsschlüssel zulassen

      Wählen Sie aus, ob Benutzer einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen, erforderlich oder nicht.

      • 256-Bit-Wiederherstellungsschlüssel zulassen
      • 256-Bit-Wiederherstellungsschlüssel nicht zulassen
      • 256-Bit-Wiederherstellungsschlüssel erforderlich
    • Wiederherstellungsoptionen im BitLocker-Setup-Assistenten
      Standard: Nicht konfiguriert

      • Blockieren : Benutzer können die Wiederherstellungsoptionen nicht anzeigen und ändern. Wenn auf festgelegt ist
      • Nicht konfiguriert : Benutzer können die Wiederherstellungsoptionen anzeigen und ändern, wenn sie BitLocker aktivieren.
    • Speichern von BitLocker-Wiederherstellungsinformationen in Microsoft Entra ID
      Standard: Nicht konfiguriert

      • Aktivieren: Speichern Sie die BitLocker-Wiederherstellungsinformationen in Microsoft Entra ID.
      • Nicht konfiguriert: BitLocker-Wiederherstellungsinformationen werden nicht in Microsoft Entra ID gespeichert.
    • BitLocker-Wiederherstellungsinformationen, die in Microsoft Entra ID gespeichert werden
      Standard: Sichern von Wiederherstellungskennwörtern und Schlüsselpaketen

      Konfigurieren Sie, welche Teile der BitLocker-Wiederherstellungsinformationen in Microsoft Entra ID gespeichert werden. Wählen Sie zwischen:

      • Sichern von Wiederherstellungskennwörtern und Schlüsselpaketen
      • Nur Wiederherstellungskennwörter für Sicherungen
    • Speichern von Wiederherstellungsinformationen in Microsoft Entra ID vor dem Aktivieren von BitLocker
      Standard: Nicht konfiguriert

      Verhindern Sie, dass Benutzer BitLocker aktivieren, es sei denn, der Computer sichert die BitLocker-Wiederherstellungsinformationen erfolgreich in Microsoft Entra ID.

      • Erforderlich: Benutzer können BitLocker nicht aktivieren, es sei denn, die BitLocker-Wiederherstellungsinformationen werden erfolgreich in Microsoft Entra ID gespeichert.
      • Nicht konfiguriert: Benutzer können BitLocker auch dann aktivieren, wenn Wiederherstellungsinformationen nicht erfolgreich in Microsoft Entra ID gespeichert wurden.

Einstellungen für BitLocker-Wechseldatenträger

Diese Einstellungen gelten speziell für Wechseldatenträger.

  • Schreibzugriff auf wechselbare Datenlaufwerke, die nicht durch BitLocker geschützt sind
    Standard: Nicht konfiguriert
    BitLocker CSP: RemovableDrivesRequireEncryption

    • Blockieren : Gewähren Sie schreibgeschützten Zugriff auf Datenlaufwerke, die nicht durch BitLocker geschützt sind.
    • Nicht konfiguriert : Standardmäßig Lese- und Schreibzugriff auf Datenlaufwerke, die nicht verschlüsselt sind.

    Wenn diese Einstellung auf Aktivieren festgelegt ist, können Sie die folgende Einstellung konfigurieren:

    • Schreibzugriff auf Geräte, die in einer anderen organization
      Standard: Nicht konfiguriert

      • Blockieren: Blockiert den Schreibzugriff auf Geräte, die in einer anderen organization konfiguriert sind.
      • Nicht konfiguriert : Schreibzugriff verweigern.

Microsoft Defender Exploit Guard

Verwenden Sie Exploit-Schutz , um die Angriffsfläche von Apps zu verwalten und zu reduzieren, die von Ihren Mitarbeitern verwendet werden.

Verringerung der Angriffsfläche

Regeln zur Verringerung der Angriffsfläche helfen dabei, Verhaltensweisen zu verhindern, die von Schadsoftware häufig verwendet werden, um Computer mit bösartigem Code zu infizieren.

Regeln zur Verringerung der Angriffsfläche

Weitere Informationen finden Sie unter Regeln zur Verringerung der Angriffsfläche in der Microsoft Defender for Endpoint-Dokumentation.

Mergeverhalten für Regeln zur Verringerung der Angriffsfläche in Intune:

Regeln zur Verringerung der Angriffsfläche unterstützen eine Zusammenführung von Einstellungen aus verschiedenen Richtlinien, um eine Obermenge von Richtlinien für jedes Gerät zu erstellen. Nur die Einstellungen, die nicht in Konflikt stehen, werden zusammengeführt, während in Konflikt stehende Einstellungen nicht der Obermenge der Regeln hinzugefügt werden. Wenn bisher zwei Richtlinien Konflikte für eine einzelne Einstellung enthielten, wurden beide Richtlinien als in Konflikt gekennzeichnet, und es wurden keine Einstellungen aus beiden Profilen bereitgestellt.

Verhalten der Regel zur Verringerung der Angriffsfläche sieht wie folgt aus:

  • Regeln zur Verringerung der Angriffsfläche aus den folgenden Profilen werden für jedes Gerät ausgewertet, für das die Regeln gelten:
    • Gerätekonfigurationsrichtlinie >> Endpoint Protection-Profil > Microsoft Defender Verringerung der Angriffsfläche von Exploit Guard >
    • Endpunktsicherheit > Richtlinie > zur Verringerung der Angriffsfläche: Regeln zur Verringerung der Angriffsfläche
    • Endpunktsicherheit > Sicherheitsbaselines > Microsoft Defender for Endpoint Baseline-Regeln >zur Verringerung der Angriffsfläche.
  • Einstellungen ohne Konflikte werden einer Obermenge der Richtlinie für das Gerät hinzugefügt.
  • Wenn zwei oder mehr Richtlinien in Konflikt stehende Einstellungen aufweisen, werden die in Konflikt stehenden Einstellungen der kombinierten Richtlinie nicht hinzugefügt. Einstellungen, die keinen Konflikt verursachen, werden der Übergeordneten Richtlinie hinzugefügt, die für ein Gerät gilt.
  • Nur die Konfigurationen für in Konflikt stehende Einstellungen werden zurückgehalten.

Einstellungen in diesem Profil:

Regeln zum Verhindern von Bedrohungen durch Office-Makros

Verhindern Sie, dass Office-Apps die folgenden Aktionen ausführen:

Regeln zum Verhindern von Skriptbedrohungen

Blockieren Sie Folgendes, um Skriptbedrohungen zu verhindern:

Regeln zum Verhindern von E-Mail-Bedrohungen

Blockieren Sie Folgendes, um E-Mail-Bedrohungen zu verhindern:

  • Ausführung von ausführbaren Inhalten (exe, DLL, ps, js, vbs usw.), die aus E-Mail (Webmail/Mail-Client) gelöscht wurden (keine Ausnahmen)
    Standard: Nicht konfiguriert
    Regel: Blockieren ausführbarer Inhalte aus E-Mail-Client und Webmail

    • Nicht konfiguriert
    • Blockieren : Blockieren Sie die Ausführung ausführbarer Inhalte (exe, DLL, ps, js, vbs usw.), die aus E-Mail (webmail/mail-client) gelöscht wurden.
    • Nur Überwachung

Regeln zum Schutz vor Ransomware

Ausnahmen zur Verringerung der Angriffsfläche

  • Dateien und Ordner, die von Regeln zur Verringerung der Angriffsfläche ausgeschlossen werden sollen
    Defender CSP: AttackSurfaceReductionOnlyExclusions

    • Importieren Sie eine .csv Datei, die Dateien und Ordner enthält, die von Regeln zur Verringerung der Angriffsfläche ausgeschlossen werden sollen.
    • Fügen Sie lokale Dateien oder Ordner manuell hinzu.

Wichtig

Um eine ordnungsgemäße Installation und Ausführung von Branchen-Win32-Apps zu ermöglichen, sollten Antischadsoftwareeinstellungen die folgenden Verzeichnisse von der Überprüfung ausschließen:
Auf X64-Clientcomputern:
C:\Programme (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Auf X86-Clientcomputern:
C:\Programme\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Weitere Informationen finden Sie unter Empfehlungen zur Virenüberprüfung für Unternehmenscomputer, auf denen derzeit unterstützte Versionen von Windows ausgeführt werden.

Kontrollierter Ordnerzugriff

Schützen Sie wertvolle Daten vor schädlichen Apps und Bedrohungen wie Ransomware.

  • Ordnerschutz
    Standard: Nicht konfiguriert
    Defender CSP: EnableControlledFolderAccess

    Schützen Sie Dateien und Ordner vor nicht autorisierten Änderungen durch unfreundliche Apps.

    • Nicht konfiguriert
    • Enable
    • Nur Überwachung
    • Änderung des Datenträgers blockieren
    • Datenträgeränderung überwachen

    Wenn Sie eine andere Konfiguration als Nicht konfiguriert auswählen, können Sie Folgendes konfigurieren:

    • Liste der Apps, die Zugriff auf geschützte Ordner haben
      Defender CSP: ControlledFolderAccessAllowedApplications

      • Importieren Sie eine .csv Datei, die eine App-Liste enthält.
      • Fügen Sie apps manuell zu dieser Liste hinzu.
    • Liste der zusätzlichen Ordner, die geschützt werden müssen
      Defender CSP: ControlledFolderAccessProtectedFolders

      • Importieren Sie eine .csv Datei, die eine Ordnerliste enthält.
      • Fügen Sie dieser Liste manuell Ordner hinzu.

Netzwerkfilterung

Blockieren sie ausgehende Verbindungen von einer beliebigen App zu IP-Adressen oder Domänen mit geringem Ruf. Die Netzwerkfilterung wird sowohl im Überwachungs- als auch im Blockmodus unterstützt.

  • Netzwerkschutz
    Standard: Nicht konfiguriert
    Defender CSP: EnableNetworkProtection

    Die Absicht dieser Einstellung besteht darin, Endbenutzer vor Apps mit Zugriff auf Phishing-Betrug, Exploit-Hosting-Websites und schädlichen Inhalten im Internet zu schützen. Es verhindert auch, dass Browser von Drittanbietern eine Verbindung mit gefährlichen Websites herstellen.

    • Nicht konfiguriert : Deaktivieren Sie dieses Feature. Benutzer und Apps werden nicht daran gehindert, eine Verbindung mit gefährlichen Domänen herzustellen. Administratoren können diese Aktivität in Microsoft Defender Security Center nicht sehen.
    • Aktivieren : Aktivieren Sie den Netzwerkschutz, und blockieren Sie, dass Benutzer und Apps eine Verbindung mit gefährlichen Domänen herstellen. Administratoren können diese Aktivität in Microsoft Defender Security Center anzeigen.
    • Nur Überwachen: – Benutzer und Apps werden nicht daran gehindert, eine Verbindung mit gefährlichen Domänen herzustellen. Administratoren können diese Aktivität in Microsoft Defender Security Center anzeigen.

Exploit-Schutz

  • Hochladen von XML
    Standard: Nicht konfiguriert

    Um Exploit-Schutz zum Schutz von Geräten vor Exploits zu verwenden, erstellen Sie eine XML-Datei, die die gewünschten Einstellungen für System und Anwendungsminderung enthält. Es gibt zwei Methoden zum Erstellen der XML-Datei:

    • PowerShell : Verwenden Sie mindestens eines der PowerShell-Cmdlets Get-ProcessMitigation, Set-ProcessMitigation und ConvertTo-ProcessMitigationPolicy . Die Cmdlets konfigurieren Die Entschärfungseinstellungen und exportieren eine XML-Darstellung dieser Einstellungen.

    • Microsoft Defender Security Center-Benutzeroberfläche: Wählen Sie im Microsoft Defender Security Center App & Browsersteuerelement aus, und scrollen Sie dann zum unteren Rand des angezeigten Bildschirms, um nach Exploit-Schutz zu suchen. Verwenden Sie zunächst die Registerkarten Systemeinstellungen und Programmeinstellungen, um Die Entschärfungseinstellungen zu konfigurieren. Suchen Sie dann unten auf dem Bildschirm nach dem Link Exporteinstellungen, um eine XML-Darstellung dieser Einstellungen zu exportieren.

  • Benutzerbearbeitung der Exploit-Schutzschnittstelle
    Standard: Nicht konfiguriert
    ExploitGuard CSP: ExploitProtectionSettings

    • Blockieren : Laden Sie eine XML-Datei hoch, mit der Sie Arbeitsspeicher-, Ablaufsteuerungs- und Richtlinieneinschränkungen konfigurieren können. Die Einstellungen in der XML-Datei können verwendet werden, um eine Anwendung vor Exploits zu blockieren.
    • Nicht konfiguriert : Es wird keine benutzerdefinierte Konfiguration verwendet.

Microsoft Defender-Anwendungssteuerung

Wählen Sie Apps aus, die von überwacht werden sollen oder die vertrauenswürdig sind, um von Microsoft Defender Anwendungssteuerung ausgeführt zu werden. Windows-Komponenten und alle Apps aus dem Windows Store werden automatisch als vertrauenswürdig eingestuft.

  • Codeintegritätsrichtlinien für die Anwendungssteuerung
    Standard: Nicht konfiguriert
    CSP: AppLocker CSP

    • Erzwingen : Wählen Sie die Codeintegritätsrichtlinien für die Anwendungssteuerung für die Geräte Ihrer Benutzer aus.

      Nachdem sie auf einem Gerät aktiviert wurde, kann die Anwendungssteuerung nur deaktiviert werden, indem Sie den Modus von Erzwingen in Nur Überwachen ändern. Das Ändern des Modus von Erzwingen in Nicht konfiguriert führt dazu, dass die Anwendungssteuerung weiterhin auf zugewiesenen Geräten erzwungen wird.

    • Nicht konfiguriert : Die Anwendungssteuerung wird nicht zu Geräten hinzugefügt. Einstellungen, die zuvor hinzugefügt wurden, werden jedoch weiterhin auf zugewiesenen Geräten erzwungen.

    • Nur Überwachen : Anwendungen werden nicht blockiert. Alle Ereignisse werden in den Protokollen des lokalen Clients protokolliert.

      Hinweis

      Wenn Sie diese Einstellung verwenden, fordert das AppLocker-CSP-Verhalten endbenutzer derzeit auf, ihren Computer neu zu starten, wenn eine Richtlinie bereitgestellt wird.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard schützt vor Diebstahl von Anmeldeinformationen. Es isoliert Geheimnisse, sodass nur privilegierte Systemsoftware darauf zugreifen kann.

  • Credential Guard
    Standard: Deaktivieren
    DeviceGuard CSP

    • Deaktivieren : Deaktivieren Sie Credential Guard remote, wenn sie zuvor mit der Option Ohne UEFI-Sperre aktiviert aktiviert wurde.

    • Aktivieren mit UEFI-Sperre : Credential Guard kann nicht remote mithilfe eines Registrierungsschlüssels oder einer Gruppenrichtlinie deaktiviert werden.

      Hinweis

      Wenn Sie diese Einstellung verwenden und Credential Guard später deaktivieren möchten, müssen Sie die Gruppenrichtlinie auf Deaktiviert festlegen. Löschen Sie außerdem die UEFI-Konfigurationsinformationen von jedem Computer physisch. Solange die UEFI-Konfiguration beibehalten wird, ist Credential Guard aktiviert.

    • Aktivieren ohne UEFI-Sperre: Ermöglicht das Remotedeaktivieren von Credential Guard mithilfe von Gruppenrichtlinie. Die Geräte, die diese Einstellung verwenden, müssen Windows 10 Version 1511 und höher oder Windows 11 ausgeführt werden.

    Wenn Sie Credential Guard aktivieren , sind auch die folgenden erforderlichen Features aktiviert:

    • Virtualisierungsbasierte Sicherheit (VBS)
      Wird während des nächsten Neustarts aktiviert. Bei der virtualisierungsbasierten Sicherheit wird der Windows-Hypervisor verwendet, um Unterstützung für Sicherheitsdienste bereitzustellen.
    • Sicherer Start mit Verzeichnisspeicherzugriff
      Aktiviert VBS mit Schutzfunktionen für sicheren Start und direkten Speicherzugriff (DMA). DMA-Schutz erfordert Hardwareunterstützung und ist nur auf ordnungsgemäß konfigurierten Geräten aktiviert.

Microsoft Defender Security Center

Microsoft Defender Security Center arbeitet als separate App oder als separater Prozess von den einzelnen Features. Es werden Benachrichtigungen über das Info-Center angezeigt. Es fungiert als Collector oder einzelner Ort, um die status anzuzeigen und eine Konfiguration für jedes der Features auszuführen. Weitere Informationen finden Sie in der Microsoft Defender-Dokumentation.

Microsoft Defender Security Center-App und Benachrichtigungen

Blockieren Sie den Endbenutzerzugriff auf die verschiedenen Bereiche der Microsoft Defender Security Center-App. Das Ausblenden eines Abschnitts blockiert auch verwandte Benachrichtigungen.

  • Viren- und Bedrohungsschutz
    Standard: Nicht konfiguriert
    WindowsDefenderSecurityCenter-CSP: DisableVirusUI

    Konfigurieren Sie, ob Endbenutzer den Bereich Viren- und Bedrohungsschutz im Microsoft Defender Security Center anzeigen können. Wenn Sie diesen Abschnitt ausblenden, werden auch alle Benachrichtigungen im Zusammenhang mit Viren- und Bedrohungsschutz blockiert.

    • Nicht konfiguriert
    • Hide
  • Ransomware-Schutz
    Standard: Nicht konfiguriert
    WindowsDefenderSecurityCenter-CSP: HideRansomwareDataRecovery

    Konfigurieren Sie, ob Endbenutzer den Ransomware-Schutzbereich im Microsoft Defender Security Center anzeigen können. Wenn Sie diesen Abschnitt ausblenden, werden auch alle Benachrichtigungen im Zusammenhang mit Ransomware-Schutz blockiert.

    • Nicht konfiguriert
    • Hide
  • Kontoschutz
    Standard: Nicht konfiguriert
    WindowsDefenderSecurityCenter-CSP: DisableAccountProtectionUI

    Konfigurieren Sie, ob Endbenutzer den Bereich Kontoschutz im Microsoft Defender Security Center anzeigen können. Durch das Ausblenden dieses Abschnitts werden auch alle Benachrichtigungen im Zusammenhang mit dem Kontoschutz blockiert.

    • Nicht konfiguriert
    • Hide
  • Firewall- und Netzwerkschutz
    Standard: Nicht konfiguriert
    WindowsDefenderSecurityCenter-CSP: DisableNetworkUI

    Konfigurieren Sie, ob Endbenutzer den Bereich Firewall und Netzwerkschutz im Microsoft Defender Security Center anzeigen können. Wenn Sie diesen Abschnitt ausblenden, werden auch alle Benachrichtigungen im Zusammenhang mit Firewall- und Netzwerkschutz blockiert.

    • Nicht konfiguriert
    • Hide
  • App- und Browsersteuerung
    Standard: Nicht konfiguriert
    WindowsDefenderSecurityCenter-CSP: DisableAppBrowserUI

    Konfigurieren Sie, ob Endbenutzer den App- und Browsersteuerungsbereich im Microsoft Defender Security Center anzeigen können. Durch das Ausblenden dieses Abschnitts werden auch alle Benachrichtigungen im Zusammenhang mit der App- und Browsersteuerung blockiert.

    • Nicht konfiguriert
    • Hide
  • Hardwareschutz
    Standard: Nicht konfiguriert
    WindowsDefenderSecurityCenter-CSP: DisableDeviceSecurityUI

    Konfigurieren Sie, ob Endbenutzer den Hardwareschutzbereich im Microsoft Defender Security Center anzeigen können. Durch das Ausblenden dieses Abschnitts werden auch alle Benachrichtigungen im Zusammenhang mit dem Hardwareschutz blockiert.

    • Nicht konfiguriert
    • Hide
  • Geräteleistung und -integrität
    Standard: Nicht konfiguriert
    WindowsDefenderSecurityCenter-CSP: DisableHealthUI

    Konfigurieren Sie, ob Endbenutzer den Bereich Geräteleistung und -integrität im Microsoft Defender Security Center anzeigen können. Durch das Ausblenden dieses Abschnitts werden auch alle Benachrichtigungen im Zusammenhang mit der Geräteleistung und -integrität blockiert.

    • Nicht konfiguriert
    • Hide
  • Familienoptionen
    Standard: Nicht konfiguriert
    WindowsDefenderSecurityCenter-CSP: DisableFamilyUI

    Konfigurieren Sie, ob Endbenutzer den Bereich Familienoptionen im Microsoft Defender Security Center anzeigen können. Wenn Sie diesen Abschnitt ausblenden, werden auch alle Benachrichtigungen blockiert, die sich auf Family-Optionen beziehen.

    • Nicht konfiguriert
    • Hide
  • Benachrichtigungen aus den angezeigten App-Bereichen
    Standard: Nicht konfiguriert
    WindowsDefenderSecurityCenter-CSP: DisableNotifications

    Wählen Sie aus, welche Benachrichtigungen endbenutzern angezeigt werden sollen. Nicht kritische Benachrichtigungen enthalten Zusammenfassungen der Microsoft Defender Antivirus-Aktivität, einschließlich Benachrichtigungen, wenn Überprüfungen abgeschlossen wurden. Alle anderen Benachrichtigungen werden als kritisch betrachtet.

    • Nicht konfiguriert
    • Blockieren nicht kritischer Benachrichtigungen
    • Alle Benachrichtigungen blockieren
  • Windows-Sicherheit Center-Symbol auf der Taskleiste
    Standard: Nicht konfigurierter WindowsDefenderSecurityCenter-CSP: HideWindowsSecurityNotificationAreaControl

    Konfigurieren Sie die Anzeige des Benachrichtigungsbereichs-Steuerelements. Der Benutzer muss sich entweder abmelden und anmelden oder den Computer neu starten, damit diese Einstellung wirksam wird.

    • Nicht konfiguriert
    • Hide
  • Schaltfläche "TPM löschen"
    Standardeinstellung: Nicht konfigurierter WindowsDefenderSecurityCenter-CSP: DisableClearTpmButton

    Konfigurieren Sie die Anzeige der Schaltfläche TPM löschen.

    • Nicht konfiguriert
    • Disable
  • TPM-Firmwareupdatewarnung
    Standard: Nicht konfigurierter WindowsDefenderSecurityCenter-CSP: DisableTpmFirmwareUpdateWarning

    Konfigurieren Sie die Anzeige der TPM-Firmware aktualisieren, wenn eine anfällige Firmware erkannt wird.

    • Nicht konfiguriert
    • Hide
  • Manipulationsschutz
    Standard: Nicht konfiguriert

    Aktivieren oder deaktivieren Sie den Manipulationsschutz auf Geräten. Um manipulationsschutz verwenden zu können, müssen Sie Microsoft Defender for Endpoint in Intune integrieren und über Enterprise Mobility + Security E5-Lizenzen verfügen.

    • Nicht konfiguriert : Es werden keine Änderungen an den Geräteeinstellungen vorgenommen.
    • Aktiviert : Der Manipulationsschutz ist aktiviert, und Einschränkungen werden auf Geräten erzwungen.
    • Deaktiviert : Der Manipulationsschutz ist deaktiviert, und Einschränkungen werden nicht erzwungen.

IT-Kontaktinformationen

Geben Sie IT-Kontaktinformationen an, die in der Microsoft Defender Security Center-App und den App-Benachrichtigungen angezeigt werden sollen.

Sie können in App und in Benachrichtigungen anzeigen, Nur in App anzeigen, Nur in Benachrichtigungen anzeigen oder Nicht anzeigen auswählen. Geben Sie den It-organization Namen und mindestens eine der folgenden Kontaktoptionen ein:

  • IT-Kontaktinformationen
    Standardeinstellung: Nicht anzeigen
    WindowsDefenderSecurityCenter-CSP: EnableCustomizedToasts

    Konfigurieren Sie, wo IT-Kontaktinformationen für Endbenutzer angezeigt werden sollen.

    • Anzeigen in Der App und in Benachrichtigungen
    • Nur in der App anzeigen
    • Nur in Benachrichtigungen anzeigen
    • Nicht anzeigen

    Wenn sie für die Anzeige konfiguriert ist, können Sie die folgenden Einstellungen konfigurieren:

    • IT-organization Name
      Standard: Nicht konfiguriert
      WindowsDefenderSecurityCenter CSP: CompanyName

    • Telefonnummer der IT-Abteilung oder Skype-ID
      Standard: Nicht konfiguriert
      WindowsDefenderSecurityCenter-CSP: Telefon

    • E-Mail-Adresse der IT-Abteilung
      Standard: Nicht konfiguriert
      WindowsDefenderSecurityCenter-CSP: Email

    • URL der IT-Supportwebsite
      Standard: Nicht konfiguriert
      WindowsDefenderSecurityCenter-CSP: URL

Sicherheitsoptionen für lokales Gerät

Verwenden Sie diese Optionen, um die lokalen Sicherheitseinstellungen auf Windows 10/11-Geräten zu konfigurieren.

Konten

  • Hinzufügen neuer Microsoft-Konten
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: Accounts_BlockMicrosoftAccounts

    • Block Verhindern, dass Benutzer dem Gerät neue Microsoft-Konten hinzufügen.
    • Nicht konfiguriert : Benutzer können Microsoft-Konten auf dem Gerät verwenden.
  • Remoteanmeldung ohne Kennwort
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Blockieren : Nur lokale Konten mit leeren Kennwörtern können sich über die Tastatur des Geräts anmelden.
    • Nicht konfiguriert : Lokale Konten mit leeren Kennwörtern können sich von anderen Standorten als dem physischen Gerät aus anmelden.

Administrator

  • Lokales Administratorkonto
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Block Verhindern Sie die Verwendung eines lokalen Administratorkontos.
    • Nicht konfiguriert
  • Umbenennen des Administratorkontos
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: Accounts_RenameAdministratorAccount

    Definieren Sie einen anderen Kontonamen, der der Sicherheits-ID (SID) für das Konto "Administrator" zugeordnet werden soll.

Gast

  • Gastkonto
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions

    • Blockieren : Verhindert die Verwendung eines Gastkontos.
    • Nicht konfiguriert
  • Umbenennen des Gastkontos
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

    Definieren Sie einen anderen Kontonamen, der der Sicherheits-ID (SID) für das Konto "Guest" zugeordnet werden soll.

Geräte

  • Gerät ohne Anmeldung ausdocken
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: Devices_AllowUndockWithoutHavingToLogon

    • Blockieren : Ein Benutzer muss sich beim Gerät anmelden und die Berechtigung zum Ausdocken des Geräts erhalten.
    • Nicht konfiguriert : Benutzer können die physische Auswurftaste eines angedockten tragbaren Geräts drücken, um das Gerät sicher abzudocken.
  • Installieren von Druckertreibern für freigegebene Drucker
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

    • Aktiviert : Jeder Benutzer kann einen Druckertreiber als Teil der Verbindung mit einem freigegebenen Drucker installieren.
    • Nicht konfiguriert : Nur Administratoren können einen Druckertreiber im Rahmen der Verbindung mit einem freigegebenen Drucker installieren.
  • Beschränken des CD-ROM-Zugriffs auf lokal aktive Benutzer
    Standard: Nicht konfiguriert
    CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

    • Aktiviert : Nur der interaktiv angemeldete Benutzer kann die CD-ROM-Medien verwenden. Wenn diese Richtlinie aktiviert ist und niemand interaktiv angemeldet ist, wird über das Netzwerk auf die CD-ROM zugegriffen.
    • Nicht konfiguriert : Jeder hat Zugriff auf die CD-ROM.
  • Formatieren und Auswerfen von Wechselmedien
    Standard: Administratoren
    CSP: Devices_AllowedToFormatAndEjectRemovableMedia

    Definieren Sie, wer ntfs-Wechselmedien formatieren und auswerfen darf:

    • Nicht konfiguriert
    • Administratoren
    • Administratoren und PowerUser
    • Administratoren und interaktive Benutzer

Interaktive Anmeldung

  • Inaktivität des Sperrbildschirms in Minuten, bis der Bildschirmschoner aktiviert ist
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_MachineInactivityLimit

    Geben Sie die maximalen Minuten der Inaktivität ein, bis der Bildschirmschoner aktiviert wird. (0 - 999999)

  • Strg+ALT+ENTF für die Anmeldung erforderlich
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DoNotRequireCTRLALTDEL

    • Aktivieren : Benutzer müssen STRG+ALT+ENTF drücken, bevor sie sich bei Windows anmelden.
    • Nicht konfiguriert : Das Drücken von STRG+ALT+ENTF ist nicht erforderlich, damit sich Benutzer anmelden können.
  • Intelligentes Karte-Entfernungsverhalten
    Standard: Keine Aktion LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

    Bestimmt, was geschieht, wenn die intelligente Karte für einen angemeldeten Benutzer aus dem Smart Karte-Reader entfernt wird. Ihre Optionen:

    • Arbeitsstation sperren: Die Arbeitsstation wird gesperrt, wenn die intelligente Karte entfernt wird. Mit dieser Option können Benutzer den Bereich verlassen, ihre smarten Karte mitnehmen und trotzdem eine geschützte Sitzung verwalten.
    • Keine Aktion
    • Abmelden erzwingen: Der Benutzer wird automatisch abgemeldet, wenn die intelligente Karte entfernt wird.
    • Trennen, wenn eine Remotedesktopdienste-Sitzung getrennt wird: Das Entfernen des intelligenten Karte trennt die Sitzung, ohne den Benutzer abzumelden. Mit dieser Option kann der Benutzer die intelligente Karte einfügen und die Sitzung später oder an einem anderen Computer mit Lesegerät Karte fortsetzen, ohne sich erneut anmelden zu müssen. Wenn die Sitzung lokal ist, funktioniert diese Richtlinie identisch mit Arbeitsstation sperren.

Anzeige

  • Benutzerinformationen auf dem Sperrbildschirm
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

    Konfigurieren Sie die Benutzerinformationen, die angezeigt werden, wenn die Sitzung gesperrt ist. Wenn nicht konfiguriert, werden der Anzeigename, die Domäne und der Benutzername des Benutzers angezeigt.

    • Nicht konfiguriert
    • Benutzeranzeigename, Domäne und Benutzername
    • Nur Benutzeranzeigename
    • Benutzerinformationen nicht anzeigen
  • Zuletzt angemeldeter Benutzer ausblenden
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DoNotDisplayLastSignedIn

    • Aktivieren : Blendet den Benutzernamen aus.
    • Nicht konfiguriert : Zeigt den letzten Benutzernamen an.
  • Benutzername bei Anmeldung ausblendenStandard: Nicht konfiguriert
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn

    • Aktivieren : Blendet den Benutzernamen aus.
    • Nicht konfiguriert : Zeigt den letzten Benutzernamen an.
  • Titel der Anmeldenachricht
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

    Legen Sie den Nachrichtentitel für Benutzer fest, die sich anmelden.

  • Anmeldemeldungstext
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

    Legen Sie den Nachrichtentext für Benutzer fest, die sich anmelden.

Netzwerkzugriff und -sicherheit

  • Anonymer Zugriff auf Named Pipes und Freigaben
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

    • Nicht konfiguriert : Schränken Sie den anonymen Zugriff auf Freigabe- und Named Pipe-Einstellungen ein. Gilt für die Einstellungen, auf die anonym zugegriffen werden kann.
    • Blockieren : Deaktivieren Sie diese Richtlinie, sodass anonymer Zugriff verfügbar ist.
  • Anonyme Enumeration von SAM-Konten
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

    • Nicht konfiguriert : Anonyme Benutzer können SAM-Konten auflisten.
    • Blockieren : Anonyme Enumeration von SAM-Konten verhindern.
  • Anonyme Enumeration von SAM-Konten und -Freigaben
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

    • Nicht konfiguriert : Anonyme Benutzer können die Namen von Domänenkonten und Netzwerkfreigaben auflisten.
    • Blockieren : Verhindert die anonyme Enumeration von SAM-Konten und -Freigaben.
  • Bei Kennwortänderung gespeicherter LAN-Manager-Hashwert
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

    Ermitteln Sie, ob der Hashwert für Kennwörter gespeichert wird, wenn das Kennwort das nächste Mal geändert wird.

    • Nicht konfiguriert : Der Hashwert wird nicht gespeichert.
    • Blockieren : Der LAN-Manager (LM) speichert den Hashwert für das neue Kennwort.
  • PKU2U-Authentifizierungsanforderungen
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests

    • Nicht konfiguriert: Pu2U-Anforderungen zulassen.
    • Blockieren : Blockieren Sie PKU2U-Authentifizierungsanforderungen an das Gerät.
  • Einschränken von REMOTE-RPC-Verbindungen auf SAM
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

    • Nicht konfiguriert : Verwenden Sie den Standardsicherheitsdeskriptor, mit dem Benutzer und Gruppen remote RPC-Aufrufe an sam durchführen können.

    • Zulassen : Benutzer und Gruppen können RPC-Remoteaufrufe an den Security Accounts Manager (SAM) verweigern, in dem Benutzerkonten und Kennwörter gespeichert werden. Mit Zulassen können Sie auch die Standardzeichenfolge der SDDL (Security Descriptor Definition Language) ändern, um Benutzern und Gruppen explizit zu erlauben oder zu verweigern, diese Remoteaufrufe zu tätigen.

      • Sicherheitsbeschreibung
        Standard: Nicht konfiguriert
  • Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients
    Standardeinstellung: Keine
    LocalPoliciesSecurityOptions-CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

    Diese Sicherheitseinstellung ermöglicht es einem Server, die Aushandlung von 128-Bit-Verschlüsselung und/oder NTLMv2-Sitzungssicherheit zu erfordern.

    • Keine
    • NtLMv2-Sitzungssicherheit erforderlich
    • 128-Bit-Verschlüsselung erforderlich
    • NTLMv2- und 128-Bit-Verschlüsselung
  • Minimale Sitzungssicherheit für NTLM SSP-basierte Server
    Standardeinstellung: Keine
    LocalPoliciesSecurityOptions-CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

    Diese Sicherheitseinstellung bestimmt, welches Challenge/Response-Authentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird.

    • Keine
    • NtLMv2-Sitzungssicherheit erforderlich
    • 128-Bit-Verschlüsselung erforderlich
    • NTLMv2- und 128-Bit-Verschlüsselung
  • LAN-Manager-Authentifizierungsebene
    Standard: LM und NTLM
    LocalPoliciesSecurityOptions-CSP: NetworkSecurity_LANManagerAuthenticationLevel

    • LM und NTLM
    • LM, NTLM und NTLMv2
    • NTLM
    • NTLMv2
    • NTLMv2 und nicht LM
    • NTLMv2 und nicht LM oder NTLM
  • Unsichere Gastanmeldungen
    Standard: Nicht konfiguriert
    LanmanWorkstation CSP: LanmanWorkstation

    Wenn Sie diese Einstellung aktivieren, lehnt der SMB-Client unsichere Gastanmeldungen ab.

    • Nicht konfiguriert
    • Blockieren : Der SMB-Client lehnt unsichere Gastanmeldungen ab.

Wiederherstellungskonsole und Herunterfahren

  • Auslagerungsdatei des virtuellen Speichers beim Herunterfahren löschen
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: Shutdown_ClearVirtualMemoryPageFile

    • Aktivieren : Löschen Sie die Auslagerungsdatei des virtuellen Speichers, wenn das Gerät heruntergefahren wird.
    • Nicht konfiguriert : Löscht den virtuellen Arbeitsspeicher nicht.
  • Herunterfahren ohne Anmeldung
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

    • Blockieren : Blendet die Option zum Herunterfahren auf dem Windows-Anmeldebildschirm aus. Benutzer müssen sich beim Gerät anmelden und dann herunterfahren.
    • Nicht konfiguriert : Ermöglicht Benutzern das Herunterfahren des Geräts über den Windows-Anmeldebildschirm.

Benutzerkontensteuerung

  • UIA-Integrität ohne sicheren Standort
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Blockieren : Apps, die sich an einem sicheren Speicherort im Dateisystem befinden, werden nur mit UIAccess-Integrität ausgeführt.
    • Nicht konfiguriert : Ermöglicht die Ausführung von Apps mit UIAccess-Integrität, auch wenn sich die Apps nicht an einem sicheren Speicherort im Dateisystem befinden.
  • Virtualisieren von Datei- und Registrierungsschreibfehlern an benutzerspezifische Speicherorte
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

    • Aktiviert : Anwendungen, die Daten an geschützte Speicherorte schreiben, schlagen fehl.
    • Nicht konfiguriert : Fehler beim Schreiben von Anwendungen werden zur Laufzeit an definierte Benutzerspeicherorte für das Dateisystem und die Registrierung umgeleitet.
  • Nur ausführbare Dateien erhöhen, die signiert und überprüft wurden
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Aktiviert : Erzwingen Sie die Überprüfung des PKI-Zertifizierungspfads für eine ausführbare Datei, bevor sie ausgeführt werden kann.
    • Nicht konfiguriert : Erzwingen Sie keine Überprüfung des PKI-Zertifizierungspfads, bevor eine ausführbare Datei ausgeführt werden kann.

UIA-Rechteeingabeaufforderungsverhalten

  • Aufforderung zur Erhöhung der Rechte für Administratoren
    Standard: Aufforderung zur Zustimmung für Nicht-Windows-Binärdateien
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

    Definieren Sie das Verhalten der Eingabeaufforderung für Rechteerweiterungen für Administratoren im Admin Genehmigungsmodus.

    • Nicht konfiguriert
    • Erhöhen ohne Aufforderung
    • Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop
    • Aufforderung zur Eingabe von Anmeldeinformationen
    • Aufforderung zur Zustimmung
    • Aufforderung zur Zustimmung für Nicht-Windows-Binärdateien
  • Eingabeaufforderung für Rechteerweiterungen für Standardbenutzer
    Standard: Aufforderung zur Eingabe von Anmeldeinformationen
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

    Definieren Sie das Verhalten der Eingabeaufforderung für Rechteerweiterungen für Standardbenutzer.

    • Nicht konfiguriert
    • Anforderungen zur automatischen Ablehnung von Rechteerweiterungen
    • Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop
    • Aufforderung zur Eingabe von Anmeldeinformationen
  • Weiterleiten von Eingabeaufforderungen zur Erhöhung an den interaktiven Desktop des Benutzers
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

    • Aktiviert : Alle Rechteerweiterungsanforderungen, um auf den Desktop des interaktiven Benutzers anstatt auf den sicheren Desktop zu wechseln. Alle Richtlinieneinstellungen für das Eingabeaufforderungsverhalten für Administratoren und Standardbenutzer werden verwendet.
    • Nicht konfiguriert : Erzwingen Sie, dass alle Anforderungen für Rechteerweiterungen an den sicheren Desktop gesendet werden, unabhängig von den Richtlinieneinstellungen für das Eingabeaufforderungsverhalten für Administratoren und Standardbenutzer.
  • Aufforderung mit erhöhten Rechten für App-Installationen
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

    • Aktiviert : Anwendungsinstallationspakete werden nicht erkannt oder zur Erhöhung aufgefordert.
    • Nicht konfiguriert : Benutzer werden zur Eingabe eines Administratorbenutzernamens und -kennworts aufgefordert, wenn ein Anwendungsinstallationspaket erhöhte Berechtigungen erfordert.
  • UIA-Eingabeaufforderung zur Erhöhung ohne sicheren Desktop
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

  • Aktivieren : Zulassen, dass UIAccess-Apps die Rechteerweiterung auffordern, ohne den sicheren Desktop zu verwenden.

  • Nicht konfiguriert : Eingabeaufforderungen zur Erhöhung verwenden einen sicheren Desktop.

Admin-Genehmigungsmodus

  • Admin Genehmigungsmodus für den integrierten Administrator
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_UseAdminApprovalMode

    • Aktiviert: Ermöglicht dem integrierten Administratorkonto die Verwendung Admin Genehmigungsmodus. Jeder Vorgang, der rechteerweiterungen erfordert, fordert den Benutzer auf, den Vorgang zu genehmigen.
    • Nicht konfiguriert : Führt alle Apps mit vollständigen Administratorrechten aus.
  • Ausführen aller Administratoren im Admin Genehmigungsmodus
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

    • Aktiviert: Aktivieren Sie Admin Genehmigungsmodus.
    • Nicht konfiguriert: Deaktivieren Sie Admin Genehmigungsmodus und alle zugehörigen UAC-Richtlinieneinstellungen.

Microsoft-Netzwerkclient

  • Digitales Signieren von Kommunikationen (wenn der Server zustimmt)
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

    Bestimmt, ob der SMB-Client die SMB-Paketsignierung aushandelt.

    • Blockieren : Der SMB-Client handelt nie die SMB-Paketsignierung aus.
    • Nicht konfiguriert : Der Microsoft-Netzwerkclient fordert den Server auf, die SMB-Paketsignatur beim Einrichten der Sitzung auszuführen. Wenn die Paketsignatur auf dem Server aktiviert ist, wird die Paketsignierung ausgehandelt.
  • Senden eines unverschlüsselten Kennworts an SMB-Server von Drittanbietern
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

    • Blockieren : Der SMB-Redirector (Server Message Block) kann Klartextkennwörter an Nicht-Microsoft-SMB-Server senden, die die Kennwortverschlüsselung während der Authentifizierung nicht unterstützen.
    • Nicht konfiguriert : Blockieren sie das Senden von Klartextkennwörtern. Die Kennwörter sind verschlüsselt.
  • Digitales Signieren von Kommunikationen (immer)
    Standard: Nicht konfiguriert
    LocalPoliciesSecurityOptions-CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

    • Aktivieren : Der Microsoft-Netzwerkclient kommuniziert nicht mit einem Microsoft-Netzwerkserver, es sei denn, dieser Server stimmt der SMB-Paketsignierung zu.
    • Nicht konfiguriert : Die SMB-Paketsignierung wird zwischen Client und Server ausgehandelt.

Microsoft-Netzwerkserver

  • Digitales Signieren von Kommunikationen (wenn der Kunde zustimmt)
    Standard: Nicht konfiguriert
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

    • Aktivieren : Der Microsoft-Netzwerkserver handelt die SMB-Paketsignierung wie vom Client angefordert aus. Das heißt, wenn die Paketsignierung auf dem Client aktiviert ist, wird die Paketsignierung ausgehandelt.
    • Nicht konfiguriert : Der SMB-Client handelt nie die SMB-Paketsignierung aus.
  • Digitales Signieren von Kommunikationen (immer)
    Standard: Nicht konfiguriert
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

    • Aktivieren : Der Microsoft-Netzwerkserver kommuniziert nicht mit einem Microsoft-Netzwerkclient, es sei denn, dieser Client stimmt der SMB-Paketsignierung zu.
    • Nicht konfiguriert : Die SMB-Paketsignierung wird zwischen Client und Server ausgehandelt.

Xbox-Dienste

Nächste Schritte

Das Profil wird erstellt, aber es tut noch nichts. Weisen Sie als Nächstes das Profil zu, und überwachen Sie dessen status.

Konfigurieren Sie Endpoint Protections-Einstellungen auf macOS-Geräten .