Compartir a través de

Bloqueo de configuración de pc de núcleo protegido

  • Artículo
  • Se aplica a:
    Windows 11

En una organización empresarial, los administradores de TI aplican directivas en sus dispositivos corporativos para mantener los dispositivos en un estado conforme y proteger el sistema operativo evitando que los usuarios cambien las configuraciones y creen un desfase de configuración. El desfase de configuración se produce cuando los usuarios con derechos de administrador local cambian la configuración y ponen el dispositivo fuera de sincronización con las directivas de seguridad. Los dispositivos en un estado no conforme pueden ser vulnerables hasta la siguiente sincronización y restablecimiento de configuración con mdm. Windows 11 con bloqueo de configuración permite a los administradores de TI evitar el desfase de configuración y mantener la configuración del sistema operativo en el estado deseado. Con el bloqueo de configuración, el sistema operativo supervisa las claves del Registro que configuran cada característica y, cuando detecta un desfase, vuelve al estado deseado por TI en segundos.

El bloqueo de configuración de núcleo protegido (bloqueo de configuración) es una nueva característica de PC de núcleo protegido (SCPC) que evita el desfase de configuración de las características de pc de núcleo protegido causado por una configuración incorrecta involuntaria. En resumen, garantiza que un dispositivo diseñado para ser un equipo de núcleo seguro sigue siendo un equipo de núcleo protegido.

Para resumir, bloqueo de configuración:

  • Permite a TI "bloquear" las características de pc de núcleo protegido cuando se administra a través de MDM
  • Detecta correcciones de desfase en cuestión de segundos
  • No evita ataques malintencionados

Requisitos de licencia y de la edición de Windows

En la tabla siguiente se enumeran las ediciones de Windows que admiten el bloqueo de configuración De núcleo protegido:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

Los derechos de licencia de bloqueo de configuración de núcleo protegido se conceden mediante las siguientes licencias:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.

Flujo de configuración

Una vez que un equipo de núcleo protegido llega al escritorio, el bloqueo de configuración evitará el desfase de configuración mediante la detección de si el dispositivo es un equipo de núcleo protegido o no. Cuando el dispositivo no es un equipo de núcleo protegido, el bloqueo no se aplica. Si el dispositivo es un equipo de núcleo protegido, el bloqueo de configuración bloquea las directivas enumeradas en Lista de directivas bloqueadas.

Habilitación del bloqueo de configuración mediante Microsoft Intune

El bloqueo de configuración no está habilitado de forma predeterminada ni está activado por el sistema operativo durante el arranque. En su lugar, tienes que activarlo.

Los pasos para activar el bloqueo de configuración mediante Microsoft Intune son los siguientes:

  1. Asegúrese de que el dispositivo para activar el bloqueo de configuración está inscrito en Microsoft Intune.

  2. En el Centro de administración de Intune, seleccione Dispositivos> Perfiles >de configuraciónCrear un perfil.

  3. Seleccione lo siguiente y presione Crear:

    • Plataforma: Windows 10 and later
    • Tipo de perfil: Templates
    • Nombre de plantilla: Personalizado

    En Perfiles de configuración, se muestra la página Crear un perfil, con la plataforma establecida en Windows 10 y versiones posteriores y un tipo de perfil de plantillas.

  4. Asigne un nombre al perfil.

  5. Cuando llegue al paso Configuración, seleccione "Agregar" y agregue la siguiente información:

    • OMA-URI: ./Vendor/MSFT/DMClient/Provider/MS%20DM%20Server/ConfigLock/Lock
    • Tipo de datos: Integer
    • Valor: 1

    Para desactivar el bloqueo de configuración, cambie el valor a 0.

    En el paso Configuración, la página Editar fila se muestra con un nombre de bloqueo de configuración, una descripción del bloqueo de configuración activado y el conjunto OMA-URI, junto con un tipo de datos entero establecido en un valor de 1.

  6. Seleccione los dispositivos para activar el bloqueo de configuración. Si usa un inquilino de prueba, puede seleccionar "+ Agregar todos los dispositivos".

  7. No es necesario establecer ninguna regla de aplicabilidad con fines de prueba.

  8. Revise la configuración y seleccione "Crear" si todo es correcto.

  9. Una vez que el dispositivo se sincroniza con el servidor de Microsoft Intune, puede confirmar si el bloqueo de configuración se ha habilitado correctamente.

    El panel Estado de asignación de perfiles al ver el perfil de configuración del dispositivo de bloqueo de configuración, en el que se muestra que un dispositivo ha tenido éxito al aplicar este perfil.

    El estado del dispositivo para el perfil de configuración del dispositivo de bloqueo de configuración, que muestra un dispositivo con un estado de implementación como correcto y dos con pendiente.

Configuración de características de pc de núcleo protegido

El bloqueo de configuración está diseñado para garantizar que un equipo de núcleo protegido no esté mal configurado involuntariamente. Puede habilitar o deshabilitar las características de SCPC, por ejemplo, la protección del firmware. Puede realizar estos cambios con directivas de grupo o servicios MDM como Microsoft Intune.

La configuración de protección de firmware de Defender, con una descripción de System Guard, protege el dispositivo frente a firmwares en peligro. La configuración se establece en Desactivado.

Preguntas más frecuentes

  • ¿Puedo deshabilitar el bloqueo de configuración? Sí. Puede usar MDM para desactivar completamente el bloqueo de configuración o ponerlo en modo de desbloqueo temporal para las actividades del departamento de soporte técnico.

Lista de directivas bloqueadas

CSP
BitLocker
PassportForWork
WindowsDefenderApplicationGuard
ApplicationControl
Directivas MDM Compatible con la directiva de grupo
DataProtection/AllowDirectMemoryAccess No
DataProtection/LegacySelectiveWipeID No
DeviceGuard/ConfigureSystemGuardLaunch
DeviceGuard/EnableVirtualizationBasedSecurity
DeviceGuard/LsaCfgFlags
DeviceGuard/RequirePlatformSecurityFeatures
DeviceInstallation/AllowInstallationOfMatchingDeviceIDs
DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs
DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses
DeviceInstallation/PreventDeviceMetadataFromNetwork
DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings
DeviceInstallation/PreventInstallationOfMatchingDeviceIDs
DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs
DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses
DmaGuard/DeviceEnumerationPolicy
WindowsDefenderSecurityCenter/CompanyName
WindowsDefenderSecurityCenter/DisableAccountProtectionUI
WindowsDefenderSecurityCenter/DisableAppBrowserUI
WindowsDefenderSecurityCenter/DisableClearTpmButton
WindowsDefenderSecurityCenter/DisableDeviceSecurityUI
WindowsDefenderSecurityCenter/DisableEnhancedNotifications
WindowsDefenderSecurityCenter/DisableFamilyUI
WindowsDefenderSecurityCenter/DisableHealthUI
WindowsDefenderSecurityCenter/DisableNetworkUI
WindowsDefenderSecurityCenter/DisableNotifications
WindowsDefenderSecurityCenter/DisableTpmFirmwareUpdateWarning
WindowsDefenderSecurityCenter/DisableVirusUI
WindowsDefenderSecurityCenter/DisallowExploitProtectionOverride
WindowsDefenderSecurityCenter/Email
WindowsDefenderSecurityCenter/EnableCustomizedToasts
WindowsDefenderSecurityCenter/EnableInAppCustomization
WindowsDefenderSecurityCenter/HideRansomwareDataRecovery
WindowsDefenderSecurityCenter/HideSecureBoot
WindowsDefenderSecurityCenter/HideTPMTroubleshooting
WindowsDefenderSecurityCenter/HideWindowsSecurityNotificationAreaControl
WindowsDefenderSecurityCenter/Phone
WindowsDefenderSecurityCenter/URL
SmartScreen/EnableAppInstallControl
SmartScreen/EnableSmartScreenInShell
SmartScreen/PreventOverrideForFilesInShell