Richtlinien-CSP – Sicherheit
AllowAddProvisioningPackage
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1507 [10.0.10240] und höher |
./Device/Vendor/MSFT/Policy/Config/Security/AllowAddProvisioningPackage
Gibt an, ob der Laufzeitkonfigurations-Agent Bereitstellungspakete installieren darf.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Nicht zulässig |
| 1 (Standard) | Zugelassen. |
AllowManualRootCertificateInstallation
Hinweis
Diese Richtlinie ist veraltet und kann in einer zukünftigen Version entfernt werden.
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
❌ Pro ❌ Enterprise ❌ Education ❌ Windows SE ❌ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1507 [10.0.10240] und höher |
./Device/Vendor/MSFT/Policy/Config/Security/AllowManualRootCertificateInstallation
Diese Einstellung ist veraltet.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Nicht zulässig |
| 1 (Standard) | Zugelassen. |
AllowRemoveProvisioningPackage
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1507 [10.0.10240] und höher |
./Device/Vendor/MSFT/Policy/Config/Security/AllowRemoveProvisioningPackage
Gibt an, ob der Laufzeitkonfigurations-Agent Bereitstellungspakete entfernen kann.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Nicht zulässig |
| 1 (Standard) | Zugelassen. |
AntiTheftMode
Hinweis
Diese Richtlinie ist veraltet und kann in einer zukünftigen Version entfernt werden.
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
Nicht zutreffend | ✅Windows 10, Version 1507 [10.0.10240] und höher |
./Device/Vendor/MSFT/Policy/Config/Security/AntiTheftMode
Diese Einstellung ist veraltet.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Deaktiviert. |
| 1 (Standard) | Aktiviert. |
ClearTPMIfNotReady
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/Security/ClearTPMIfNotReady
Diese Richtlinieneinstellung konfiguriert das System so, dass der Benutzer aufgefordert wird, das TPM zu löschen, wenn erkannt wird, dass sich das TPM in einem anderen Zustand als Bereit befindet. Diese Richtlinie wird nur wirksam, wenn sich das TPM des Systems in einem anderen Zustand als Bereit befindet. Dies gilt auch, wenn das TPM "Bereit, mit eingeschränkter Funktionalität" lautet. Die Aufforderung zum Löschen des TPM beginnt nach dem nächsten Neustart, wenn sich der Benutzer nur dann anmeldet, wenn der angemeldete Benutzer Teil der Gruppe Administratoren für das System ist. Die Eingabeaufforderung kann geschlossen werden, wird aber nach jedem Neustart und jeder Anmeldung erneut angezeigt, bis die Richtlinie deaktiviert ist oder sich das TPM im Zustand Bereit befindet.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Erzwingt keine Wiederherstellung aus einem nicht bereiten TPM-Zustand. |
| 1 | Fordert auf, das TPM zu löschen, wenn sich das TPM in einem nicht bereiten Zustand (oder einer eingeschränkten Funktionalität) befindet, der mit einem TPM Clear behoben werden kann. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | ClearTPMIfNotReady_Name |
| Anzeigename | Konfigurieren Sie das System so, dass das TPM gelöscht wird, wenn es sich nicht in einem bereit-Zustand befindet. |
| Pfad | Computerkonfiguration |
| Pfad | System > Trusted Platform Module Services |
| Registrierungsschlüsselname | Software\Policies\Microsoft\TPM |
| Name des Registrierungswertes | ClearTPMIfNotReadyGP |
| ADMX-Dateiname | TPM.admx |
ConfigureWindowsPasswords
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Policy/Config/Security/ConfigureWindowsPasswords
Konfiguriert die Verwendung von Kennwörtern für Windows-Features.
Hinweis
Diese Richtlinie wird nur in Windows 10 S unterstützt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 2 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Kennwörter nicht zulassen (asymmetrische Anmeldeinformationen werden höher gestuft, um Kennwörter in Windows-Features zu ersetzen). |
| 1 | Kennwörter zulassen (Kennwörter dürfen weiterhin für Windows-Features verwendet werden). |
| 2 (Standard) | Gemäß SKU und Gerätefunktionen. Windows 10 S-Geräte weisen den Standardwert "Kennwörter zulassen" auf, und alle anderen Geräte verwenden standardmäßig "Kennwörter zulassen". |
PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
Gibt an, ob die automatische Geräteverschlüsselung während der Windows-Willkommensseite zugelassen werden soll, wenn das Gerät Microsoft Entra eingebunden ist.
Weitere Informationen finden Sie unter BitLocker-Geräteverschlüsselung.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Verschlüsselung aktiviert. |
| 1 | Verschlüsselung deaktiviert. |
RecoveryEnvironmentAuthentication
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./User/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
./Device/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
Diese Richtlinie steuert die Anforderung der Admin Authentication in RecoveryEnvironment.
Validierungsverfahren:
Um diese Richtlinie zu überprüfen, überprüfen Sie, ob "Aktualisieren" ("Meine Dateien beibehalten") und "Zurücksetzen" ("Alles entfernen") eine Administratorauthentifizierung in der Windows-Wiederherstellungsumgebung (WinRE) erfordern.
- Starten Sie zunächst das Zurücksetzen auf Knopfdruck (PBR) in WinRE. Öffnen Sie eine Eingabeaufforderung als Administrator, und führen Sie den folgenden Befehl aus:
reagentc /boottore - Das Gerät sollte mit WinRE neu gestartet werden. Wechseln Sie in der WinRE-Schnittstelle zu Problembehandlung , und wählen Sie Diesen PC zurücksetzen aus. Es sollten zwei Optionen angezeigt werden: Meine Dateien beibehalten und Alles entfernen.
- Wählen Sie die Option Meine Dateien beibehalten aus. Zeigen Sie das Verhalten für die Authentifizierung an.
- Wählen Sie den Zurück-Pfeil und dann Alles entfernen aus. Zeigen Sie das Verhalten für die Authentifizierung an.
Anstatt zurückzugehen, können Sie alternativ die Zurücksetzungsoptionen durchgehen und auf der letzten Bestätigungsseite Abbrechen auswählen. Anschließend kehrt sie zur Standard WinRE-Schnittstelle zurück.
Die folgende Tabelle zeigt, welches Verhalten für die Richtlinieneinstellungen für jedes Szenario erwartet wird:
- ✔️ Es wird zur Authentifizierung aufgefordert.
- ❌ Es ist keine Authentifizierung erforderlich, und es wird mit den Zurücksetzungsoptionen fortgesetzt.
| Richtlinie | Meine Dateien beibehalten | Alles entfernen |
|---|---|---|
Standard (0) |
✔️ | ❌ |
RequireAuthentication" (1) |
✔️ | ✔️ |
NoRequireAuthentication" (2) |
❌ | ❌ |
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aktuelles) Verhalten. |
| 1 | RequireAuthentication: Admin Authentifizierung ist für Komponenten in RecoveryEnvironment immer erforderlich. |
| 2 | NoRequireAuthentication: Admin-Authentifizierung ist für Komponenten in RecoveryEnvironment nicht erforderlich. |
RequireDeviceEncryption
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Security/RequireDeviceEncryption
Ermöglicht es Unternehmen, die interne Speicherverschlüsselung zu aktivieren. Der am stärksten eingeschränkte Wert ist 1. Wichtig. Wenn die Verschlüsselung aktiviert wurde, kann sie nicht mithilfe dieser Richtlinie deaktiviert werden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Eine Verschlüsselung ist nicht erforderlich. |
| 1 | Verschlüsselung ist erforderlich. |
RequireProvisioningPackageSignature
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1507 [10.0.10240] und höher |
./Device/Vendor/MSFT/Policy/Config/Security/RequireProvisioningPackageSignature
Gibt an, ob Bereitstellungspakete über ein Zertifikat verfügen müssen, das von einer vertrauenswürdigen Gerätezertifizierungsstelle signiert wurde.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Nicht erforderlich. |
| 1 | Erforderlich. |
RequireRetrieveHealthCertificateOnBoot
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1507 [10.0.10240] und höher |
./Device/Vendor/MSFT/Policy/Config/Security/RequireRetrieveHealthCertificateOnBoot
Gibt an, ob TCG-Startprotokolle abgerufen und bereitgestellt und ein verschlüsselter oder signierter Integritätsnachweisbericht aus dem Microsoft Health Attestation Service (HAS) abgerufen oder zwischengespeichert werden soll, wenn ein Gerät gestartet oder neu gestartet wird. Durch Festlegen dieser Richtlinie auf 1 (Erforderlich):D Wird festgelegt, ob ein Gerät in der Lage ist, einen Remotegeräteintegritätsnachweis zu erstellen, indem überprüft wird, ob das Gerät über TPM 2 verfügt. 0. Verbessert die Leistung des Geräts, indem dem Gerät das Abrufen und Zwischenspeichern von Daten ermöglicht wird, um die Latenz während der Überprüfung der Geräteintegrität zu verringern.
Hinweis
Es wird empfohlen, diese Richtlinie nach der MDM-Registrierung auf Erforderlich festzulegen. Der am stärksten eingeschränkte Wert ist 1.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Nicht erforderlich. |
| 1 | Erforderlich. |