CSP de directiva: seguridad
AllowAddProvisioningPackage
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Security/AllowAddProvisioningPackage
Especifica si se va a permitir que el agente de configuración en tiempo de ejecución instale paquetes de aprovisionamiento.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | No permitido. |
| 1 (valor predeterminado) | Permitido. |
AllowManualRootCertificateInstallation
Nota
Esta directiva está en desuso y puede quitarse en una versión futura.
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
❌ Pro ❌ Empresa ❌ Educación ❌ Windows SE ❌ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Security/AllowManualRootCertificateInstallation
Esta directiva está en desuso.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | No permitido. |
| 1 (valor predeterminado) | Permitido. |
AllowRemoveProvisioningPackage
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Security/AllowRemoveProvisioningPackage
Especifica si se va a permitir que el agente de configuración en tiempo de ejecución quite los paquetes de aprovisionamiento.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | No permitido. |
| 1 (valor predeterminado) | Permitido. |
AntiTheftMode
Nota
Esta directiva está en desuso y puede quitarse en una versión futura.
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
No aplicable | ✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Security/AntiTheftMode
Esta directiva está en desuso.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | Deshabilitado. |
| 1 (valor predeterminado) | Habilitada. |
ClearTPMIfNotReady
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Security/ClearTPMIfNotReady
Esta configuración de directiva configura el sistema para pedir al usuario que borre el TPM si se detecta que el TPM está en cualquier estado distinto de Listo. Esta directiva solo surtirá efecto si el TPM del sistema está en un estado distinto de Listo, incluido si el TPM está "Listo, con funcionalidad reducida". El mensaje para borrar el TPM comenzará a producirse después del siguiente reinicio, tras el inicio de sesión del usuario solo si el usuario que ha iniciado sesión forma parte del grupo Administradores del sistema. El aviso se puede descartar, pero volverá a aparecer después de cada reinicio e inicio de sesión hasta que la directiva esté deshabilitada o hasta que el TPM esté en estado Listo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | No forzará la recuperación de un estado de TPM no listo. |
| 1 | Le pedirá que borre el TPM si el TPM está en un estado no listo (o funcionalidad reducida) que se puede corregir con un TPM Clear. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | ClearTPMIfNotReady_Name |
| Nombre descriptivo | Configure el sistema para borrar el TPM si no está en un estado listo. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Servicios de módulo de plataforma segura del sistema > |
| Nombre de la clave del Registro | Software\Policies\Microsoft\TPM |
| Nombre del valor de registro | ClearTPMIfNotReadyGP |
| Nombre de archivo ADMX | TPM.admx |
ConfigurarWindowsPasswords
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Security/ConfigureWindowsPasswords
Configura el uso de contraseñas para las características de Windows.
Nota
Esta directiva solo se admite en Windows 10 S.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 2 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | No permitir contraseñas (las credenciales asimétricas se promoverán para reemplazar las contraseñas en las características de Windows). |
| 1 | Permitir contraseñas (las contraseñas siguen estando permitidas para usarse para las características de Windows). |
| 2 (valor predeterminado) | Según las funcionalidades de SKU y dispositivo. Windows 10 dispositivos S mostrará el valor predeterminado "No permitir contraseñas" y todos los demás dispositivos tendrán como valor predeterminado "Permitir contraseñas"). |
PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
Especifica si se permite el cifrado automático de dispositivos durante la OOBE cuando el dispositivo está Microsoft Entra unido.
Para obtener más información, consulte Cifrado de dispositivos BitLocker.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Cifrado habilitado. |
| 1 | Cifrado deshabilitado. |
RecoveryEnvironmentAuthentication
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores |
./User/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
./Device/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
Esta directiva controla el requisito de autenticación de Administración en RecoveryEnvironment.
Procedimiento de validación:
Para validar esta directiva, compruebe si Actualizar ("Mantener mis archivos") y Restablecer ("Quitar todo") requieren autenticación de administrador en El entorno de recuperación de Windows (WinRE).
- En primer lugar, inicie Push Button Reset (PBR) en WinRE. Abra un símbolo del sistema como administrador y ejecute el siguiente comando:
reagentc /boottore - El dispositivo debe reiniciarse en WinRE. En la interfaz de WinRE, vaya a Solución de problemas y seleccione Restablecer este equipo. Debería ver dos opciones: Mantener mis archivos y Quitar todo.
- Elija la opción Mantener mis archivos. Vea el comportamiento de la autenticación.
- Seleccione la flecha atrás y elija Quitar todo. Vea el comportamiento de la autenticación.
En lugar de volver atrás, también puede pasar por las opciones de restablecimiento y seleccionar Cancelar en la página de confirmación final. A continuación, volverá a la interfaz principal de WinRE.
En la tabla siguiente se muestra qué comportamiento se espera para la configuración de directiva con cada escenario:
- ✔️ Solicita autenticación.
- ❌ No se requiere autenticación y continúa con las opciones de restablecimiento.
| Directiva | Conservar mis archivos | Quitar todo |
|---|---|---|
Valor predeterminado (0) |
✔️ | ❌ |
RequireAuthentication" (1) |
✔️ | ✔️ |
NoRequireAuthentication" (2) |
❌ | ❌ |
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Actual). |
| 1 | RequireAuthentication: la autenticación de Administración siempre es necesaria para los componentes de RecoveryEnvironment. |
| 2 | NoRequireAuthentication: la autenticación de Administración no es necesaria para los componentes de RecoveryEnvironment. |
RequireDeviceEncryption
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Security/RequireDeviceEncryption
Permite a la empresa activar el cifrado de almacenamiento interno. El valor de mayor restricción es 1. Importante. Si se ha habilitado el cifrado, no se puede desactivar mediante esta directiva.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | No es necesario el cifrado. |
| 1 | Se requiere cifrado. |
RequireProvisioningPackageSignature
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Security/RequireProvisioningPackageSignature
Especifica si los paquetes de aprovisionamiento deben tener un certificado firmado por una entidad de confianza del dispositivo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | No se requiere. |
| 1 | Obligatorio. |
RequireRetrieveHealthCertificateOnBoot
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Security/RequireRetrieveHealthCertificateOnBoot
Especifica si se deben recuperar y publicar los registros de arranque de TCG, y obtener o almacenar en caché un informe de atestación de mantenimiento cifrado o firmado desde el servicio de atestación de Microsoft Health (HAS) cuando se inicia o reinicia un dispositivo. Al establecer esta directiva en 1 (obligatorio):D etermines si un dispositivo es capaz de la atestación de estado del dispositivo remoto, comprobando si el dispositivo tiene TPM 2. 0. Mejora el rendimiento del dispositivo al permitir que el dispositivo capture y almacene en caché los datos para reducir la latencia durante la comprobación del estado del dispositivo.
Nota
Se recomienda establecer esta directiva en Requerido después de la inscripción de MDM. El valor de mayor restricción es 1.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | No se requiere. |
| 1 | Obligatorio. |