Ustawieniami systemu Windows, które można zarządzać za pośrednictwem profilu programu Intune Endpoint Protection
Uwaga
Intune może obsługiwać więcej ustawień niż ustawienia wymienione w tym artykule. Nie wszystkie ustawienia są udokumentowane i nie zostaną udokumentowane. Aby wyświetlić ustawienia, które można skonfigurować, utwórz zasady konfiguracji urządzenia i wybierz pozycję Katalog ustawień. Aby uzyskać więcej informacji, przejdź do katalogu ustawień.
Microsoft Intune zawiera wiele ustawień ułatwiających ochronę urządzeń. W tym artykule opisano ustawienia w szablonie ochrony punktu końcowego konfiguracji urządzenia. Aby zarządzać zabezpieczeniami urządzeń, można również użyć zasad zabezpieczeń punktu końcowego, które koncentrują się bezpośrednio na podzestawach zabezpieczeń urządzeń. Aby skonfigurować program antywirusowy Microsoft Defender, zobacz Ograniczenia urządzeń z systemem Windows lub Użyj zasad ochrony antywirusowej zabezpieczeń punktu końcowego.
Przed rozpoczęciem
Utwórz profil konfiguracji urządzenia ochrony punktu końcowego.
Aby uzyskać więcej informacji na temat dostawców usług konfiguracji , zobacz Dokumentacja dostawcy usług konfiguracji.
Microsoft Defender Application Guard
W przypadku przeglądarki Microsoft Edge Microsoft Defender Application Guard chroni środowisko przed witrynami, które nie są zaufane przez organizację. W przypadku Application Guard witryny, które nie znajdują się w izolowanej granicy sieci, są otwarte w wirtualnej sesji przeglądania funkcji Hyper-V. Zaufane lokacje są definiowane przez granicę sieci skonfigurowaną w konfiguracji urządzenia. Aby uzyskać więcej informacji, zobacz Tworzenie granicy sieci na urządzeniach z systemem Windows.
Application Guard jest dostępna tylko dla 64-bitowych urządzeń z systemem Windows. Użycie tego profilu powoduje zainstalowanie składnika Win32 w celu aktywowania Application Guard.
Application Guard
Ustawienie domyślne: Nie skonfigurowano
Application Guard CSP: Settings/AllowWindowsDefenderApplicationGuard- Włączone dla przeglądarki Edge — włącza tę funkcję, która otwiera niezaufane witryny w zwirtualizowanym kontenerze przeglądania funkcji Hyper-V.
- Nieskonfigurowane — dowolna witryna (zaufana i niezaufana) może zostać otwarta na urządzeniu.
Zachowanie schowka
Ustawienie domyślne: Nie skonfigurowano
Application Guard CSP: Ustawienia/SchowekUstawieniaWybierz dozwolone akcje kopiowania i wklejania między komputerem lokalnym a Application Guard przeglądarką wirtualną.
- Nie skonfigurowano
- Zezwalaj na kopiowanie i wklejanie tylko z komputera do przeglądarki
- Zezwalaj na kopiowanie i wklejanie tylko z przeglądarki na komputer
- Zezwalaj na kopiowanie i wklejanie między komputerem i przeglądarką
- Blokuj kopiowanie i wklejanie między komputerem i przeglądarką
Zawartość schowka
To ustawienie jest dostępne tylko wtedy, gdy zachowanie Schowka jest ustawione na jedno z ustawień zezwalania .
Ustawienie domyślne: Nie skonfigurowano
Application Guard CSP: Settings/SchowekFileTypeWybierz dozwoloną zawartość schowka.
- Nie skonfigurowano
- Text (Tekst)
- Obrazów
- Tekst i obrazy
Zawartość zewnętrzna w witrynach przedsiębiorstwa
Ustawienie domyślne: Nie skonfigurowano
Application Guard CSP: Settings/BlockNonEnterpriseContent- Blokuj — blokuj ładowanie zawartości z niezatwierdowanych witryn internetowych.
- Nieskonfigurowane — witryny spoza przedsiębiorstwa mogą być otwierane na urządzeniu.
Drukowanie z przeglądarki wirtualnej
Ustawienie domyślne: Nie skonfigurowano
Application Guard CSP: Settings/PrintingSettings- Zezwalaj — umożliwia drukowanie wybranej zawartości z przeglądarki wirtualnej.
- Nie skonfigurowano Wyłącz wszystkie funkcje drukowania.
Po wybraniu opcji Zezwalaj na drukowanie można skonfigurować następujące ustawienie:
-
Typy drukowania Wybierz co najmniej jedną z następujących opcji:
- XPS
- Drukarki lokalne
- Drukarki sieciowe
Zbieranie dzienników
Ustawienie domyślne: Nie skonfigurowano
Application Guard CSP: Audit/AuditApplicationGuard- Zezwalaj — zbiera dzienniki zdarzeń występujących w Application Guard sesji przeglądania.
- Nie skonfigurowano — nie zbieraj żadnych dzienników w sesji przeglądania.
Zachowywanie danych przeglądarki wygenerowanych przez użytkownika
Ustawienie domyślne: Nie skonfigurowano
dostawca CSP Application Guard: Ustawienia/AllowPersistence- Pozwolić Zapisz dane użytkownika (takie jak hasła, ulubione i pliki cookie) utworzone podczas Application Guard sesji przeglądania wirtualnego.
- Nie skonfigurowano Odrzuć pliki i dane pobrane przez użytkownika po ponownym uruchomieniu urządzenia lub po wylogowaniu się użytkownika.
Przyspieszanie grafiki
Ustawienie domyślne: Nie skonfigurowano
Application Guard CSP: Settings/AllowVirtualGPU- Włącz — szybciej ładuj witryny internetowe i wideo intensywnie korzystające z grafiki, uzyskując dostęp do wirtualnej jednostki przetwarzania grafiki.
- Nie skonfigurowano Użyj procesora CPU urządzenia na potrzeby grafiki; Nie używaj wirtualnej jednostki przetwarzania grafiki.
Pobieranie plików do systemu plików hosta
Ustawienie domyślne: Nie skonfigurowano
dostawca CSP Application Guard: Settings/SaveFilesToHost- Włącz — użytkownicy mogą pobierać pliki ze zwirtualizowanej przeglądarki do systemu operacyjnego hosta.
- Nie skonfigurowano — przechowuje pliki lokalne na urządzeniu i nie pobiera plików do systemu plików hosta.
Zapora systemu Windows
Ustawienia globalne
Te ustawienia mają zastosowanie do wszystkich typów sieci.
Protokół transferu plików
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: MdmStore/Global/DisableStatefulFtp- Blokuj — wyłącz stanowy protokół FTP.
- Nie skonfigurowano — zapora wykonuje stanowe filtrowanie FTP, aby zezwolić na połączenia pomocnicze.
Czas bezczynności skojarzenia zabezpieczeń przed usunięciem
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: MdmStore/Global/SaIdleTimeOkreśl czas bezczynności w sekundach, po którym skojarzenia zabezpieczeń zostaną usunięte.
Kodowanie klucza wstępnego
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: MdmStore/Global/PresharedKeyEncoding- Włącz — kodowanie wstępnie zaszyfrowanych kluczy przy użyciu formatu UTF-8.
- Nie skonfigurowano — kodowanie wstępnie ustawionych kluczy przy użyciu wartości magazynu lokalnego.
Wykluczenia protokołu IPsec
Wartość domyślna: wybrano 0
Dostawca CSP zapory: MdmStore/Global/IPsecExemptWybierz co najmniej jeden z następujących typów ruchu, który ma zostać wykluczony z protokołu IPsec:
- Odnajdywanie kodów typów protokołu ICMP protokołu IPv6 przez sąsiada
- ICMP
- Odnajdywanie kodów typów protokołu ICMP protokołu IPv6 przez router
- Zarówno ruch sieciowy IPv4, jak i IPv6 DHCP
Weryfikacja listy odwołania certyfikatów
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: MdmStore/Global/CRLcheckWybierz sposób, w jaki urządzenie weryfikuje listę odwołania certyfikatów. Dostępne opcje:
- Wyłączanie weryfikacji listy CRL
- Niepowodzenie weryfikacji listy CRL tylko dla odwołanego certyfikatu
- Niepowodzenie weryfikacji listy CRL w przypadku napotkanego błędu.
Oportunistycznie dopasuj zestaw uwierzytelniania dla modułu kluczy
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM- Umożliwiać Moduły kluczy muszą ignorować tylko zestawy uwierzytelniania, których nie obsługują.
- Nieskonfigurowane moduły kluczy muszą ignorować cały zestaw uwierzytelniania, jeśli nie obsługują wszystkich zestawów uwierzytelniania określonych w zestawie.
Kolejkowanie pakietów
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: MdmStore/Global/EnablePacketQueueOkreśl, w jaki sposób skalowanie oprogramowania po stronie odbierającego jest włączone dla zaszyfrowanego odbierania i czyszczenia tekstu do przodu w scenariuszu bramy tunelu IPsec. To ustawienie potwierdza, że kolejność pakietów jest zachowywana. Dostępne opcje:
- Nie skonfigurowano
- Wyłączanie wszystkich kolejkowania pakietów
- Kolejkowanie tylko zaszyfrowanych pakietów przychodzących
- Pakiety kolejek po odszyfrowywaniu są wykonywane tylko na potrzeby przekazywania dalej
- Konfigurowanie pakietów przychodzących i wychodzących
Ustawienia sieci
Poniższe ustawienia są wyświetlane w tym artykule pojedynczo, ale wszystkie mają zastosowanie do trzech określonych typów sieci:
- Sieć domeny (miejsca pracy)
- Sieć prywatna (wykrywalna)
- Sieć publiczna (nieodkrywalna)
Ogólne
Zapora systemu Windows
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: EnableFirewall- Włącz — włącz zaporę i zaawansowane zabezpieczenia.
- Nie skonfigurowano Zezwala na cały ruch sieciowy, niezależnie od innych ustawień zasad.
Tryb niewidzialności
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: DisableStealthMode- Nie skonfigurowano
- Blokuj — zapora nie działa w trybie niewidzialności. Blokowanie trybu niewidzialności pozwala również zablokować wykluczenie pakietów zabezpieczonych przez protokół IPsec.
- Zezwalaj — zapora działa w trybie niewidzialności, co pomaga zapobiegać odpowiedziom na żądania sondowania.
Wykluczenie pakietów zabezpieczonych przez protokół IPsec w trybie niewidzialności
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: DisableStealthModeIpsecSecuredPacketExemptionTa opcja jest ignorowana, jeśli tryb niewidzialności jest ustawiony na wartość Blokuj.
- Nie skonfigurowano
- Blokuj — pakiety zabezpieczone ipsec nie otrzymują wykluczeń.
- Zezwalaj — włącz wykluczenia. Tryb niewidzialności zapory NIE MOŻE uniemożliwiać komputerowi hosta reagowania na niechciany ruch sieciowy zabezpieczony przez protokół IPsec.
Ekranowane
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: chroniony- Nie skonfigurowano
- Blokuj — gdy zapora systemu Windows jest włączona i to ustawienie ma wartość Blokuj, cały ruch przychodzący jest blokowany, niezależnie od innych ustawień zasad.
- Zezwalaj — po ustawieniu opcji Zezwalaj to ustawienie jest wyłączone , a ruch przychodzący jest dozwolony na podstawie innych ustawień zasad.
Odpowiedzi emisji pojedynczej na emisje multiemisji
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: DisableUnicastResponsesToMulticastBroadcastZazwyczaj nie chcesz otrzymywać odpowiedzi emisji pojedynczej na wiadomości multiemisji lub emisji. Te odpowiedzi mogą wskazywać na atak typu "odmowa usługi" (DOS) lub próbę sondowania znanego komputera na żywo przez osobę atakującą.
- Nie skonfigurowano
- Blokuj — wyłączanie odpowiedzi emisji pojedynczej na emisje multiemisji.
- Zezwalaj — zezwalaj na odpowiedzi emisji pojedynczej na emisje multiemisji.
Powiadomienia przychodzące
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: DisableInboundNotifications- Nie skonfigurowano
- Blokuj — ukrywa powiadomienia do użycia, gdy aplikacja nie może nasłuchiwać na porcie.
- Zezwalaj — włącza to ustawienie i może wyświetlać użytkownikom powiadomienie, gdy aplikacja nie może nasłuchiwać na porcie.
Domyślna akcja dla połączeń wychodzących
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: DefaultOutboundActionSkonfiguruj domyślną akcję wykonywaną przez zaporę dla połączeń wychodzących. To ustawienie zostanie zastosowane do systemu Windows w wersji 1809 lub nowszej.
- Nie skonfigurowano
- Blokuj — domyślna akcja zapory nie jest uruchamiana w ruchu wychodzącym, chyba że jawnie określono, aby nie blokować.
- Zezwalaj — domyślne akcje zapory są uruchamiane w przypadku połączeń wychodzących.
Domyślna akcja dla połączeń przychodzących
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: DefaultInboundAction- Nie skonfigurowano
- Blokuj — domyślna akcja zapory nie jest uruchamiana w przypadku połączeń przychodzących.
- Zezwalaj — domyślne akcje zapory są uruchamiane w przypadku połączeń przychodzących.
Scalanie reguł
Reguły zapory systemu Windows autoryzowanej aplikacji z magazynu lokalnego
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: AuthAppsAllowUserPrefMerge- Nie skonfigurowano
- Blokuj — reguły zapory autoryzowanej aplikacji w magazynie lokalnym są ignorowane i nie są wymuszane.
- Zezwalaj — wybierz pozycję Włącz stosuje reguły zapory w magazynie lokalnym, aby były rozpoznawane i wymuszane.
Globalne reguły zapory systemu Windows portów z magazynu lokalnego
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: GlobalPortsAllowUserPrefMerge- Nie skonfigurowano
- Blokuj — globalne reguły zapory portów w magazynie lokalnym są ignorowane i nie są wymuszane.
- Zezwalaj — zastosuj globalne reguły zapory portów w magazynie lokalnym, aby były rozpoznawane i wymuszane.
Reguły zapory systemu Windows z magazynu lokalnego
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: AllowLocalPolicyMerge- Nie skonfigurowano
- Blokuj — reguły zapory z magazynu lokalnego są ignorowane i nie są wymuszane.
- Zezwalaj — zastosuj reguły zapory w magazynie lokalnym, aby były rozpoznawane i wymuszane.
Reguły protokołu IPsec z magazynu lokalnego
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: AllowLocalIpsecPolicyMerge- Nie skonfigurowano
- Blokuj — reguły zabezpieczeń połączeń z magazynu lokalnego są ignorowane i nie są wymuszane, niezależnie od wersji schematu i wersji reguły zabezpieczeń połączeń.
- Zezwalaj — zastosuj reguły zabezpieczeń połączeń z magazynu lokalnego, niezależnie od wersji reguł zabezpieczeń schematu lub połączenia.
Reguły zapory
Możesz dodać co najmniej jedną niestandardową regułę zapory. Aby uzyskać więcej informacji, zobacz Dodawanie niestandardowych reguł zapory dla urządzeń z systemem Windows.
Niestandardowe reguły zapory obsługują następujące opcje:
Ustawienia ogólne
Nazwa
Ustawienie domyślne: Brak nazwyOkreśl przyjazną nazwę reguły. Ta nazwa zostanie wyświetlona na liście reguł, które ułatwiają jej identyfikację.
Opis
Ustawienie domyślne: Brak opisuPodaj opis reguły.
Kierunek
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: FirewallRules/FirewallRuleName/DirectionOkreśl, czy ta reguła ma zastosowanie do ruchu przychodzącego lub wychodzącego . Po ustawieniu wartości Nieskonfigurowane reguła jest automatycznie stosowana do ruchu wychodzącego.
Akcja
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP zapory: FirewallRules/FirewallRuleName/Action i FirewallRules/FirewallRuleName/Action/TypeWybierz pozycję Zezwalaj lub Blokuj. Po ustawieniu wartości Nieskonfigurowane reguła domyślnie zezwala na ruch.
Typ sieci
Wartość domyślna: wybrano 0
Dostawca CSP zapory: FirewallRules/FirewallRuleName/ProfilesWybierz maksymalnie trzy typy typów sieci, do których należy ta reguła. Opcje obejmują domeny, prywatne i publiczne. Jeśli nie wybrano żadnych typów sieci, reguła ma zastosowanie do wszystkich trzech typów sieci.
Ustawienia aplikacji
Aplikacje
Wartość domyślna: WszystkieKontrolowanie połączeń dla aplikacji lub programu. Aplikacje i programy można określić za pomocą ścieżki pliku, nazwy rodziny pakietów lub nazwy usługi:
Nazwa rodziny pakietów — określ nazwę rodziny pakietów. Aby znaleźć nazwę rodziny pakietów, użyj polecenia programu PowerShell Get-AppxPackage.
Dostawca CSP zapory: FirewallRules/FirewallRuleName/App/PackageFamilyNameŚcieżka pliku — należy określić ścieżkę pliku do aplikacji na urządzeniu klienckim, która może być ścieżką bezwzględną lub ścieżką względną. Na przykład: C:\Windows\System\Notepad.exe lub %WINDIR%\Notepad.exe.
Dostawca CSP zapory: FirewallRules/FirewallRuleName/App/FilePathUsługa systemu Windows — określ krótką nazwę usługi systemu Windows, jeśli jest to usługa, a nie aplikacja, która wysyła lub odbiera ruch. Aby znaleźć krótką nazwę usługi, użyj polecenia programu PowerShell Get-Service.
Dostawca CSP zapory: FirewallRules/FirewallRuleName/App/ServiceNameWszystkie — nie są wymagane żadne konfiguracje
Ustawienia adresów IP
Określ adresy lokalne i zdalne, do których ma zastosowanie ta reguła.
Adresy lokalne
Domyślne: dowolny adres
Dostawca CSP zapory: FirewallRules/FirewallRuleName/LocalPortRangesWybierz pozycję Dowolny adres lub Określony adres.
Gdy używasz określonego adresu, dodajesz co najmniej jeden adres jako rozdzielaną przecinkami listę adresów lokalnych, które są objęte regułą. Prawidłowe tokeny obejmują:
- Użyj gwiazdki
*
dla dowolnego adresu lokalnego. Jeśli używasz gwiazdki, musi to być jedyny token, którego używasz. - Określ podsieć za pomocą maski podsieci lub notacji prefiksu sieci. Jeśli nie określono maski podsieci lub prefiksu sieci, maska podsieci domyślnie ma wartość 255.255.255.255.
- Prawidłowy adres IPv6.
- Zakres adresów IPv4 w formacie "adres początkowy — adres końcowy" bez uwzględniania spacji.
- Zakres adresów IPv6 w formacie "adres początkowy — adres końcowy" bez uwzględniania spacji.
- Użyj gwiazdki
Adresy zdalne
Domyślne: dowolny adres
Dostawca CSP zapory: FirewallRules/FirewallRuleName/RemoteAddressRangesWybierz pozycję Dowolny adres lub Określony adres.
Gdy używasz określonego adresu, dodajesz jeden lub więcej adresów jako rozdzielaną przecinkami listę adresów zdalnych, które są objęte regułą. Tokeny nie uwzględniają wielkości liter. Prawidłowe tokeny obejmują:
- Użyj gwiazdki "*" dla dowolnego adresu zdalnego. Jeśli używasz gwiazdki, musi to być jedyny token, którego używasz.
Defaultgateway
DHCP
DNS
WINS
-
Intranet
(obsługiwane w systemie Windows w wersji 1809 lub nowszej) -
RmtIntranet
(obsługiwane w systemie Windows w wersji 1809 lub nowszej) -
Internet
(obsługiwane w systemie Windows w wersji 1809 lub nowszej) -
Ply2Renders
(obsługiwane w systemie Windows w wersji 1809 lub nowszej) -
LocalSubnet
wskazuje dowolny adres lokalny w podsieci lokalnej. - Określ podsieć za pomocą maski podsieci lub notacji prefiksu sieci. Jeśli nie określono maski podsieci lub prefiksu sieci, maska podsieci domyślnie ma wartość 255.255.255.255.
- Prawidłowy adres IPv6.
- Zakres adresów IPv4 w formacie "adres początkowy — adres końcowy" bez uwzględniania spacji.
- Zakres adresów IPv6 w formacie "adres początkowy — adres końcowy" bez uwzględniania spacji.
Ustawienia portów i protokołów
Określ porty lokalne i zdalne, do których ma zastosowanie ta reguła.
-
Protocol (Protokół)
Ustawienie domyślne: Dowolne
Dostawca CSP zapory: FirewallRules/FirewallRuleName/Protocol
Wybierz jedną z następujących opcji i wykonaj wszystkie wymagane konfiguracje:- Wszystko — żadna konfiguracja nie jest dostępna.
-
TCP — konfigurowanie portów lokalnych i zdalnych. Obie opcje obsługują wszystkie porty lub określone porty. Wprowadź wartość Określone porty przy użyciu listy rozdzielonej przecinkami.
- Porty lokalne — dostawca CSP zapory: FirewallRules/FirewallRuleName/LocalPortRanges
- Porty zdalne — dostawca CSP zapory: FirewallRules/FirewallRuleName/RemotePortRanges
-
UDP — konfigurowanie portów lokalnych i zdalnych. Obie opcje obsługują wszystkie porty lub określone porty. Wprowadź wartość Określone porty przy użyciu listy rozdzielonej przecinkami.
- Porty lokalne — dostawca CSP zapory: FirewallRules/FirewallRuleName/LocalPortRanges
- Porty zdalne — dostawca CSP zapory: FirewallRules/FirewallRuleName/RemotePortRanges
- Niestandardowy — określ niestandardowy numer protokołu z zakresu od 0 do 255.
Konfiguracja zaawansowana
Typy interfejsów
Wartość domyślna: wybrano 0
Dostawca CSP zapory: FirewallRules/FirewallRuleName/InterfaceTypesWybierz jedną z następujących opcji:
- Dostęp zdalny
- Bezprzewodowy
- Sieć lokalna
Zezwalaj tylko na połączenia od tych użytkowników
Domyślne: Wszyscy użytkownicy (domyślnie dla wszystkich używa, gdy nie określono listy)
Dostawca CSP zapory: FirewallRules/FirewallRuleName/LocalUserAuthorizationListOkreśl listę autoryzowanych użytkowników lokalnych dla tej reguły. Nie można określić listy autoryzowanych użytkowników, jeśli ta reguła ma zastosowanie do usługi systemu Windows.
Microsoft Defender ustawienia filtru SmartScreen
Przeglądarka Microsoft Edge musi być zainstalowana na urządzeniu.
Filtr SmartScreen dla aplikacji i plików
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP smartscreen: SmartScreen/EnableSmartScreenInShell- Nie skonfigurowano — wyłącza korzystanie z filtru SmartScreen.
- Włącz — włącz filtr Windows SmartScreen na potrzeby wykonywania plików i uruchamiania aplikacji. SmartScreen to oparty na chmurze składnik chroniący przed wyłudzaniem informacji i chroniący przed złośliwym oprogramowaniem.
Wykonywanie niezweryfikowanych plików
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP smartscreen: SmartScreen/PreventOverrideForFilesInShell- Nie skonfigurowano — wyłącza tę funkcję i umożliwia użytkownikom końcowym uruchamianie plików, które nie zostały zweryfikowane.
- Blokuj — uniemożliwia użytkownikom końcowym uruchamianie plików, które nie zostały zweryfikowane przez filtr Windows SmartScreen.
Szyfrowanie systemu Windows
Ustawienia systemu Windows
Szyfrowanie urządzeń
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP funkcji BitLocker: RequireDeviceEncryption-
Wymagaj — monituj użytkowników o włączenie szyfrowania urządzenia. W zależności od wersji systemu Windows i konfiguracji systemu można poprosić użytkowników:
- Aby potwierdzić, że szyfrowanie od innego dostawcy nie jest włączone.
- Należy wyłączyć szyfrowanie dysków funkcji BitLocker, a następnie ponownie włączyć funkcję BitLocker.
- Nie skonfigurowano
Jeśli szyfrowanie systemu Windows jest włączone, gdy inna metoda szyfrowania jest aktywna, urządzenie może stać się niestabilne.
-
Wymagaj — monituj użytkowników o włączenie szyfrowania urządzenia. W zależności od wersji systemu Windows i konfiguracji systemu można poprosić użytkowników:
Ustawienia podstawowe funkcji BitLocker
Ustawienia podstawowe to uniwersalne ustawienia funkcji BitLocker dla wszystkich typów dysków danych. Te ustawienia umożliwiają zarządzanie zadaniami szyfrowania dysków lub opcjami konfiguracji, które użytkownik końcowy może modyfikować we wszystkich typach dysków danych.
Ostrzeżenie dotyczące innego szyfrowania dysku
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP funkcji BitLocker: AllowWarningForOtherDiskEncryption- Blokuj — wyłącz monit ostrzegawczy, jeśli na urządzeniu znajduje się inna usługa szyfrowania dysków.
- Nie skonfigurowano — umożliwia wyświetlenie ostrzeżenia dotyczącego innego szyfrowania dysków.
Porada
Aby automatycznie i w trybie dyskretnym zainstalować funkcję BitLocker na urządzeniu, które jest Microsoft Entra przyłączone do systemu Windows 1809 lub nowszym, należy ustawić ustawienie Blokuj. Aby uzyskać więcej informacji, zobacz Włączanie funkcji BitLocker w trybie dyskretnym na urządzeniach.
Po ustawieniu opcji Blokuj można skonfigurować następujące ustawienie:
Zezwalaj użytkownikom standardowym na włączanie szyfrowania podczas dołączania Microsoft Entra
To ustawienie dotyczy tylko urządzeń przyłączonych Microsoft Entra (Azure ADJ) i zależy od poprzedniego ustawienia .Warning for other disk encryption
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP funkcji BitLocker: AllowStandardUserEncryption- Zezwalaj — użytkownicy standardowi (nieadministratorzy) mogą włączyć szyfrowanie funkcją BitLocker po zalogowaniu.
- Nies skonfigurowano tylko administratorzy mogą włączyć szyfrowanie funkcji BitLocker na urządzeniu.
Porada
Aby automatycznie i w trybie dyskretnym zainstalować funkcję BitLocker na urządzeniu, które jest Microsoft Entra przyłączone do systemu Windows 1809 lub nowszym, należy ustawić ustawienie Zezwalaj. Aby uzyskać więcej informacji, zobacz Włączanie funkcji BitLocker w trybie dyskretnym na urządzeniach.
Konfigurowanie metod szyfrowania
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP funkcji BitLocker: EncryptionMethodByDriveType- Włącz — skonfiguruj algorytmy szyfrowania dla systemów operacyjnych, danych i dysków wymiennych.
- Nieskonfigurowane — funkcja BitLocker używa 128-bitowej funkcji XTS-AES jako domyślnej metody szyfrowania lub używa metody szyfrowania określonej przez dowolny skrypt konfiguracji.
Po ustawieniu opcji Włącz można skonfigurować następujące ustawienia:
Szyfrowanie dysków systemu operacyjnego
Domyślne: XTS-AES 128-bitowyWybierz metodę szyfrowania dla dysków systemu operacyjnego. Zalecamy użycie algorytmu XTS-AES.
- AES-CBC 128-bitowy
- AES-CBC 256-bitowy
- XTS-AES 128-bitowy
- XTS-AES 256-bitowy
Szyfrowanie stałych dysków danych
Ustawienie domyślne: 128-bitowe AES-CBCWybierz metodę szyfrowania dla stałych (wbudowanych) dysków danych. Zalecamy użycie algorytmu XTS-AES.
- AES-CBC 128-bitowy
- AES-CBC 256-bitowy
- XTS-AES 128-bitowy
- XTS-AES 256-bitowy
Szyfrowanie wymiennych dysków danych
Ustawienie domyślne: 128-bitowe AES-CBCWybierz metodę szyfrowania dla wymiennych dysków danych. Jeśli dysk wymienny jest używany z urządzeniami, które nie działają Windows 10/11, zalecamy użycie algorytmu AES-CBC.
- AES-CBC 128-bitowy
- AES-CBC 256-bitowy
- XTS-AES 128-bitowy
- XTS-AES 256-bitowy
Ustawienia dysku systemu operacyjnego funkcji BitLocker
Te ustawienia dotyczą w szczególności dysków danych systemu operacyjnego.
Dodatkowe uwierzytelnianie podczas uruchamiania
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP funkcji BitLocker: SystemDrivesRequireStartupAuthentication- Wymagaj — skonfiguruj wymagania dotyczące uwierzytelniania dla uruchamiania komputera, w tym użycie modułu TPM (Trusted Platform Module).
- Nieskonfigurowane — skonfiguruj tylko podstawowe opcje na urządzeniach z modułem TPM.
Po ustawieniu opcji Wymagaj można skonfigurować następujące ustawienia:
Funkcja BitLocker z niezgodnym mikroukładem TPM
Ustawienie domyślne: Nie skonfigurowano- Blokuj — wyłącz używanie funkcji BitLocker, gdy urządzenie nie ma zgodnego mikroukładu modułu TPM.
- Nie skonfigurowano — użytkownicy mogą używać funkcji BitLocker bez zgodnego mikroukładu modułu TPM. Funkcja BitLocker może wymagać hasła lub klucza uruchamiania.
Uruchamianie zgodnego modułu TPM
Ustawienie domyślne: Zezwalaj na moduł TPMSkonfiguruj, czy moduł TPM jest dozwolony, wymagany lub niedozwolony.
- Zezwalaj na moduł TPM
- Nie zezwalaj na moduł TPM
- Wymagaj modułu TPM
Numer PIN uruchamiania zgodnego modułu TPM
Ustawienie domyślne: zezwalaj na numer PIN uruchamiania przy użyciu modułu TPMWybierz opcję Zezwalaj, Nie zezwalaj lub wymagaj użycia numeru PIN uruchamiania z mikroukładem modułu TPM. Włączenie numeru PIN uruchamiania wymaga interakcji ze strony użytkownika końcowego.
- Zezwalaj na uruchamianie numeru PIN przy użyciu modułu TPM
- Nie zezwalaj na uruchamianie numeru PIN przy użyciu modułu TPM
- Wymagaj numeru PIN uruchamiania przy użyciu modułu TPM
Porada
Aby automatycznie i w trybie dyskretnym zainstalować funkcję BitLocker na urządzeniu, które jest Microsoft Entra przyłączone i działa system Windows 1809 lub nowszy, to ustawienie nie może być ustawione na wartość Wymagaj numeru PIN uruchamiania z modułem TPM. Aby uzyskać więcej informacji, zobacz Włączanie funkcji BitLocker w trybie dyskretnym na urządzeniach.
Zgodny klucz uruchamiania modułu TPM
Ustawienie domyślne: Zezwalaj na klucz uruchamiania przy użyciu modułu TPMWybierz opcję zezwalania, braku zezwolenia lub wymagania użycia klucza uruchamiania z mikroukładem modułu TPM. Włączenie klucza uruchamiania wymaga interakcji od użytkownika końcowego.
- Zezwalaj na klucz uruchamiania przy użyciu modułu TPM
- Nie zezwalaj na klucz uruchamiania przy użyciu modułu TPM
- Wymagaj klucza uruchamiania przy użyciu modułu TPM
Porada
Aby automatycznie i dyskretnie zainstalować funkcję BitLocker na urządzeniu Microsoft Entra przyłączonym i uruchomionym w systemie Windows 1809 lub nowszym, to ustawienie nie może być ustawione na wartość Wymagaj klucza uruchamiania przy użyciu modułu TPM. Aby uzyskać więcej informacji, zobacz Włączanie funkcji BitLocker w trybie dyskretnym na urządzeniach.
Zgodny klucz startowy modułu TPM i numer PIN
Ustawienie domyślne: Zezwalaj na klucz uruchamiania i numer PIN za pomocą modułu TPMWybierz opcję Zezwalaj, Nie zezwalaj lub wymagaj użycia klucza uruchamiania i numeru PIN z mikroukładem modułu TPM. Włączenie klucza uruchamiania i numeru PIN wymaga interakcji ze strony użytkownika końcowego.
- Zezwalaj na klucz startowy i numer PIN za pomocą modułu TPM
- Nie zezwalaj na klucz startowy i numer PIN przy użyciu modułu TPM
- Wymagaj klucza uruchamiania i numeru PIN przy użyciu modułu TPM
Porada
Aby zainstalować funkcję BitLocker automatycznie i w trybie dyskretnym na urządzeniu, które jest Microsoft Entra przyłączone i działa system Windows 1809 lub nowszy, to ustawienie nie może być ustawione na wartość Wymagaj klucza uruchamiania i numeru PIN z modułem TPM. Aby uzyskać więcej informacji, zobacz Włączanie funkcji BitLocker w trybie dyskretnym na urządzeniach.
Minimalna długość numeru PIN
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP funkcji BitLocker: SystemDrivesMinimumPINLength- Umożliwiać Skonfiguruj minimalną długość numeru PIN uruchamiania modułu TPM.
- Nieskonfigurowane — użytkownicy mogą skonfigurować numer PIN uruchamiania o dowolnej długości od 6 do 20 cyfr.
Po ustawieniu opcji Włącz można skonfigurować następujące ustawienie:
Znaki minimalne
Ustawienie domyślne: Nie skonfigurowano dostawcy CSP funkcji BitLocker: SystemDrivesMinimumPINLengthWprowadź liczbę znaków wymaganych dla numeru PIN uruchamiania z 4-20.
Odzyskiwanie dysku systemu operacyjnego
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP funkcji BitLocker: SystemDrivesRecoveryOptions- Włącz — umożliwia kontrolowanie sposobu odzyskiwania dysków systemu operacyjnego chronionego przez funkcję BitLocker, gdy wymagane informacje o uruchamianiu nie są dostępne.
- Nie skonfigurowano — obsługiwane są domyślne opcje odzyskiwania, w tym funkcja DRA. Użytkownik końcowy może określić opcje odzyskiwania. Nie są wykonywane kopie zapasowe informacji odzyskiwania w usługach AD DS.
Po ustawieniu opcji Włącz można skonfigurować następujące ustawienia:
Agent odzyskiwania danych oparty na certyfikatach
Ustawienie domyślne: Nie skonfigurowano- Blokuj — uniemożliwia korzystanie z agenta odzyskiwania danych z dyskami systemu operacyjnego chronionymi przez funkcję BitLocker.
- Nieskonfigurowane — zezwalaj na używanie agentów odzyskiwania danych z dyskami systemu operacyjnego chronionymi przez funkcję BitLocker.
Tworzenie hasła odzyskiwania przez użytkownika
Ustawienie domyślne: zezwalaj na 48-cyfrowe hasło odzyskiwaniaOkreśl, czy użytkownicy mają dozwolone, wymagane lub niedozwolone generowanie 48-cyfrowego hasła odzyskiwania.
- Zezwalaj na 48-cyfrowe hasło odzyskiwania
- Nie zezwalaj na 48-cyfrowe hasło odzyskiwania
- Wymagaj 48-cyfrowego hasła odzyskiwania
Tworzenie klucza odzyskiwania przez użytkownika
Domyślne: Zezwalaj na 256-bitowy klucz odzyskiwaniaOkreśl, czy użytkownicy mają dozwolone, wymagane lub niedozwolone generowanie 256-bitowego klucza odzyskiwania.
- Zezwalaj na 256-bitowy klucz odzyskiwania
- Nie zezwalaj na 256-bitowy klucz odzyskiwania
- Wymagaj 256-bitowego klucza odzyskiwania
Opcje odzyskiwania w kreatorze instalacji funkcji BitLocker
Ustawienie domyślne: Nie skonfigurowano- Blokuj — użytkownicy nie widzą i nie zmieniają opcji odzyskiwania. Po ustawieniu na wartość
- Nieskonfigurowane — użytkownicy mogą wyświetlać i zmieniać opcje odzyskiwania po włączeniu funkcji BitLocker.
Zapisywanie informacji odzyskiwania funkcji BitLocker w celu Tożsamość Microsoft Entra
Ustawienie domyślne: Nie skonfigurowano- Włącz — przechowuj informacje odzyskiwania funkcji BitLocker, aby Tożsamość Microsoft Entra.
- Nie skonfigurowano — informacje odzyskiwania funkcji BitLocker nie są przechowywane w Tożsamość Microsoft Entra.
Informacje dotyczące odzyskiwania funkcji BitLocker przechowywane w Tożsamość Microsoft Entra
Ustawienie domyślne: Tworzenie kopii zapasowych haseł odzyskiwania i pakietów kluczySkonfiguruj, które części informacji odzyskiwania funkcji BitLocker są przechowywane w Tożsamość Microsoft Entra. Wybierz jedną z następujących opcji:
- Tworzenie kopii zapasowych haseł odzyskiwania i pakietów kluczy
- Tylko hasła odzyskiwania kopii zapasowej
Rotacja haseł odzyskiwania oparta na kliencie
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP funkcji BitLocker: ConfigureRecoveryPasswordRotationTo ustawienie inicjuje rotację hasła odzyskiwania opartego na kliencie po odzyskiwaniu dysku systemu operacyjnego (przy użyciu programu bootmgr lub WinRE).
- Nie skonfigurowano
- Wyłączono rotację kluczy
- Włączono rotację kluczy dla Microsoft Entra przyłączonych deices
- Włączono rotację kluczy dla urządzeń Tożsamość Microsoft Entra i przyłączonych hybrydowo
Przechowywanie informacji odzyskiwania w Tożsamość Microsoft Entra przed włączeniem funkcji BitLocker
Ustawienie domyślne: Nie skonfigurowanoUniemożliwiaj użytkownikom włączanie funkcji BitLocker, chyba że komputer pomyślnie tworzy kopię zapasową informacji odzyskiwania funkcji BitLocker w celu Tożsamość Microsoft Entra.
- Wymagaj — uniemożliwia użytkownikom włączanie funkcji BitLocker, chyba że informacje odzyskiwania funkcji BitLocker są pomyślnie przechowywane w Tożsamość Microsoft Entra.
- Nie skonfigurowano — użytkownicy mogą włączyć funkcję BitLocker, nawet jeśli informacje odzyskiwania nie są pomyślnie przechowywane w Tożsamość Microsoft Entra.
Komunikat i adres URL odzyskiwania przed rozruchem
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP funkcji BitLocker: SystemDrivesRecoveryMessage- Włącz — skonfiguruj komunikat i adres URL wyświetlany na ekranie odzyskiwania klucza przed rozruchem.
- Nie skonfigurowano — wyłącz tę funkcję.
Po ustawieniu opcji Włącz można skonfigurować następujące ustawienie:
Komunikat odzyskiwania przed rozruchem
Domyślne: użyj domyślnego komunikatu odzyskiwania i adresu URLSkonfiguruj sposób wyświetlania użytkownikom komunikatu odzyskiwania przed rozruchem. Wybierz jedną z następujących opcji:
- Użyj domyślnego komunikatu odzyskiwania i adresu URL
- Używanie pustego komunikatu odzyskiwania i adresu URL
- Używanie niestandardowego komunikatu odzyskiwania
- Używanie niestandardowego adresu URL odzyskiwania
Ustawienia stałego dysku danych funkcji BitLocker
Te ustawienia dotyczą konkretnie stałych dysków danych.
Dostęp do zapisu na stałym dysku danych, który nie jest chroniony przez funkcję BitLocker
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP funkcji BitLocker: FixedDrivesRequireEncryption- Blokuj — zapewnia dostęp tylko do odczytu do dysków danych, które nie są chronione przez funkcję BitLocker.
- Nieskonfigurowane — domyślnie dostęp do odczytu i zapisu do dysków danych, które nie są szyfrowane.
Odzyskiwanie dysku stałego
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP funkcji BitLocker: FixedDrivesRecoveryOptions- Włącz — umożliwia kontrolowanie sposobu odzyskiwania dysków stałych chronionych przez funkcję BitLocker, gdy wymagane informacje o uruchamianiu nie są dostępne.
- Nie skonfigurowano — wyłącz tę funkcję.
Po ustawieniu opcji Włącz można skonfigurować następujące ustawienia:
Agent odzyskiwania danych
Ustawienie domyślne: Nie skonfigurowano- Blokuj — uniemożliwia korzystanie z agenta odzyskiwania danych z Redaktor zasad dysków stałych chronionych przez funkcję BitLocker.
- Nieskonfigurowane — umożliwia korzystanie z agentów odzyskiwania danych z dyskami stałymi chronionymi przez funkcję BitLocker.
Tworzenie hasła odzyskiwania przez użytkownika
Ustawienie domyślne: zezwalaj na 48-cyfrowe hasło odzyskiwaniaOkreśl, czy użytkownicy mają dozwolone, wymagane lub niedozwolone generowanie 48-cyfrowego hasła odzyskiwania.
- Zezwalaj na 48-cyfrowe hasło odzyskiwania
- Nie zezwalaj na 48-cyfrowe hasło odzyskiwania
- Wymagaj 48-cyfrowego hasła odzyskiwania
Tworzenie klucza odzyskiwania przez użytkownika
Domyślne: Zezwalaj na 256-bitowy klucz odzyskiwaniaOkreśl, czy użytkownicy mają dozwolone, wymagane lub niedozwolone generowanie 256-bitowego klucza odzyskiwania.
- Zezwalaj na 256-bitowy klucz odzyskiwania
- Nie zezwalaj na 256-bitowy klucz odzyskiwania
- Wymagaj 256-bitowego klucza odzyskiwania
Opcje odzyskiwania w kreatorze instalacji funkcji BitLocker
Ustawienie domyślne: Nie skonfigurowano- Blokuj — użytkownicy nie widzą i nie zmieniają opcji odzyskiwania. Po ustawieniu na wartość
- Nieskonfigurowane — użytkownicy mogą wyświetlać i zmieniać opcje odzyskiwania po włączeniu funkcji BitLocker.
Zapisywanie informacji odzyskiwania funkcji BitLocker w celu Tożsamość Microsoft Entra
Ustawienie domyślne: Nie skonfigurowano- Włącz — przechowuj informacje odzyskiwania funkcji BitLocker, aby Tożsamość Microsoft Entra.
- Nie skonfigurowano — informacje odzyskiwania funkcji BitLocker nie są przechowywane w Tożsamość Microsoft Entra.
Informacje dotyczące odzyskiwania funkcji BitLocker przechowywane w Tożsamość Microsoft Entra
Ustawienie domyślne: Tworzenie kopii zapasowych haseł odzyskiwania i pakietów kluczySkonfiguruj, które części informacji odzyskiwania funkcji BitLocker są przechowywane w Tożsamość Microsoft Entra. Wybierz jedną z następujących opcji:
- Tworzenie kopii zapasowych haseł odzyskiwania i pakietów kluczy
- Tylko hasła odzyskiwania kopii zapasowej
Przechowywanie informacji odzyskiwania w Tożsamość Microsoft Entra przed włączeniem funkcji BitLocker
Ustawienie domyślne: Nie skonfigurowanoUniemożliwiaj użytkownikom włączanie funkcji BitLocker, chyba że komputer pomyślnie tworzy kopię zapasową informacji odzyskiwania funkcji BitLocker w celu Tożsamość Microsoft Entra.
- Wymagaj — uniemożliwia użytkownikom włączanie funkcji BitLocker, chyba że informacje odzyskiwania funkcji BitLocker są pomyślnie przechowywane w Tożsamość Microsoft Entra.
- Nie skonfigurowano — użytkownicy mogą włączyć funkcję BitLocker, nawet jeśli informacje odzyskiwania nie są pomyślnie przechowywane w Tożsamość Microsoft Entra.
Ustawienia wymiennego dysku danych funkcji BitLocker
Te ustawienia dotyczą w szczególności wymiennych dysków danych.
Dostęp do zapisu na wymiennym dysku danych, który nie jest chroniony przez funkcję BitLocker
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP funkcji BitLocker: RemovableDrivesRequireEncryption- Blokuj — zapewnia dostęp tylko do odczytu do dysków danych, które nie są chronione przez funkcję BitLocker.
- Nieskonfigurowane — domyślnie dostęp do odczytu i zapisu do dysków danych, które nie są szyfrowane.
Po ustawieniu opcji Włącz można skonfigurować następujące ustawienie:
Zapisywanie dostępu do urządzeń skonfigurowanych w innej organizacji
Ustawienie domyślne: Nie skonfigurowano- Blokuj — blokuj dostęp do zapisu na urządzeniach skonfigurowanych w innej organizacji.
- Nie skonfigurowano — odmowa dostępu do zapisu.
Microsoft Defender Exploit Guard
Użyj ochrony przed lukami w zabezpieczeniach , aby zarządzać obszarem ataków aplikacji używanych przez pracowników i zmniejszać ich liczbę.
Zmniejszanie obszaru podatnego na ataki
Reguły zmniejszania obszaru podatnego na ataki pomagają zapobiegać zachowaniom, których złośliwe oprogramowanie często używa do infekowania komputerów złośliwym kodem.
Reguły zmniejszania obszaru podatnego na ataki
Aby dowiedzieć się więcej, zobacz Reguły zmniejszania obszaru podatnego na ataki w dokumentacji Ochrona punktu końcowego w usłudze Microsoft Defender.
Zachowanie scalania dla reguł zmniejszania obszaru ataków w Intune:
Reguły zmniejszania obszaru podatnego na ataki obsługują łączenie ustawień z różnych zasad w celu utworzenia nadzbioru zasad dla każdego urządzenia. Scalane są tylko ustawienia, które nie są w konflikcie, a ustawienia, które są w konflikcie, nie są dodawane do nadzbioru reguł. Wcześniej, jeśli dwie zasady zawierały konflikty dla jednego ustawienia, obie zasady były oflagowane jako będące w konflikcie i żadne ustawienia z żadnego z profilów nie były wdrażane.
Zachowanie scalania reguł zmniejszania obszaru podatnego na ataki jest następujące:
- Reguły zmniejszania obszaru ataków z następujących profilów są oceniane dla każdego urządzenia, do których mają zastosowanie reguły:
- Zasady konfiguracji > urządzeń > Profil > ochrony punktu końcowego Microsoft Defender zmniejszanie obszaru ataków funkcji Exploit Guard >
- Zasady zmniejszania obszaru podatnego na ataki zabezpieczeń > punktu końcowego Reguły >zmniejszania obszaru ataków
- Punkty odniesienia > zabezpieczeń > punktu końcowego Ochrona punktu końcowego w usłudze Microsoft Defender reguły zmniejszania obszaru podatnego na ataki według planu bazowego>.
- Ustawienia, które nie mają konfliktów, są dodawane do nadzbioru zasad dla urządzenia.
- Jeśli co najmniej dwie zasady mają ustawienia powodujące konflikt, ustawienia powodujące konflikt nie są dodawane do połączonych zasad. Ustawienia, które nie powodują konfliktu, są dodawane do zasad nadzbioru, które mają zastosowanie do urządzenia.
- Tylko konfiguracje ustawień powodujących konflikt są wstrzymywane.
Ustawienia w tym profilu:
Flagowanie kradzieży poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows
Ustawienie domyślne: Nie skonfigurowano
Reguła: Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe)Zapobiegaj działaniom i aplikacjom, które są zwykle używane przez złośliwe oprogramowanie w poszukiwaniu luk w zabezpieczeniach w celu zainfekowania maszyn.
- Nie skonfigurowano
- Włącz — flagowanie kradzieży poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe).
- Tylko inspekcja
Tworzenie procesów z programu Adobe Reader (wersja beta)
Ustawienie domyślne: Nie skonfigurowano
Reguła: Blokuj programowi Adobe Reader możliwość tworzenia procesów podrzędnych- Nie skonfigurowano
- Włącz — blokuj procesy podrzędne utworzone na podstawie programu Adobe Reader.
- Tylko inspekcja
Reguły zapobiegania zagrożeniom makr pakietu Office
Zablokuj aplikacjom pakietu Office możliwość wykonywania następujących akcji:
Aplikacje pakietu Office iniekcji do innych procesów (bez wyjątków)
Ustawienie domyślne: Nie skonfigurowano
Reguła: Blokuj aplikacjom pakietu Office możliwość wstrzykiwania kodu do innych procesów- Nie skonfigurowano
- Blokuj — zablokuj aplikacjom pakietu Office wstrzykiwanie do innych procesów.
- Tylko inspekcja
Aplikacje/makra pakietu Office tworzące zawartość wykonywalną
Ustawienie domyślne: Nie skonfigurowano
Reguła: uniemożliwia aplikacjom pakietu Office tworzenie zawartości wykonywalnej- Nie skonfigurowano
- Blokuj — zablokuj aplikacjom i makraom pakietu Office możliwość tworzenia zawartości wykonywalnej.
- Tylko inspekcja
Aplikacje pakietu Office uruchamiają procesy podrzędne
Ustawienie domyślne: Nie skonfigurowano
Reguła: Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office- Nie skonfigurowano
- Blokuj — uniemożliwia aplikacjom pakietu Office uruchamianie procesów podrzędnych.
- Tylko inspekcja
Importowanie win32 z kodu makra pakietu Office
Ustawienie domyślne: Nie skonfigurowano
Reguła: blokuj wywołania interfejsu API Win32 z makr pakietu Office- Nie skonfigurowano
- Blokuj — blokuj importowanie win32 z kodu makr w pakiecie Office.
- Tylko inspekcja
Tworzenie procesów z produktów komunikacyjnych pakietu Office
Ustawienie domyślne: Nie skonfigurowano
Reguła: blokowanie aplikacji komunikacyjnej pakietu Office przed tworzeniem procesów podrzędnych- Nie skonfigurowano
- Włącz — blokuj tworzenie procesów podrzędnych z poziomu aplikacji komunikacyjnych pakietu Office.
- Tylko inspekcja
Reguły zapobiegania zagrożeniom skryptu
Zablokuj następujące elementy, aby zapobiec zagrożeniom skryptów:
Zaciemniony kod js/vbs/ps/macro
Ustawienie domyślne: Nie skonfigurowano
Reguła: Blokowanie wykonywania potencjalnie zaciemnionych skryptów- Nie skonfigurowano
- Blokuj — blokuj wszystkie zaciemnione kody js/vbs/ps/macro.
- Tylko inspekcja
Plik js/vbs wykonujący ładunek pobrany z Internetu (bez wyjątków)
Ustawienie domyślne: Nie skonfigurowano
Reguła: blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript- Nie skonfigurowano
- Blokuj — blokuj wykonywanie ładunku pobranego z Internetu przez usługę js/vbs.
- Tylko inspekcja
Tworzenie procesów z poziomu poleceń PSExec i WMI
Ustawienie domyślne: Nie skonfigurowano
Reguła: Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI- Nie skonfigurowano
- Blokuj — blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI.
- Tylko inspekcja
Niezaufane i niepodpisane procesy uruchamiane z portu USB
Ustawienie domyślne: Nie skonfigurowano
Reguła: Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB- Nie skonfigurowano
- Blokuj — blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB.
- Tylko inspekcja
Elementy wykonywalne, które nie spełniają kryteriów występowania, wieku lub listy zaufanych
Ustawienie domyślne: Nie skonfigurowano
Reguła: Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych- Nie skonfigurowano
- Blokuj — blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryteria występowania, wieku lub listy zaufanych.
- Tylko inspekcja
Reguły zapobiegania zagrożeniom poczty e-mail
Zablokuj następujące elementy, aby zapobiec zagrożeniom wiadomości e-mail:
Wykonywanie zawartości wykonywalnej (np. plików dll, ps, js, vbs itp.) porzuconych z poczty e-mail (poczta internetowa/klient poczty) (bez wyjątków)
Ustawienie domyślne: Nie skonfigurowano
Reguła: blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej- Nie skonfigurowano
- Blokuj — blokuj wykonywanie zawartości wykonywalnej (np. plików dll, ps, js, vbs itp.) porzuconych z poczty e-mail (webmail/mail-client).
- Tylko inspekcja
Zasady ochrony przed oprogramowaniem wymuszającym okup
Zaawansowana ochrona przed oprogramowaniem wymuszającym okup
Ustawienie domyślne: Nie skonfigurowano
Reguła: Używanie zaawansowanej ochrony przed oprogramowaniem wymuszającym okup- Nie skonfigurowano
- Włącz — użyj agresywnej ochrony przed oprogramowaniem wymuszającym okup.
- Tylko inspekcja
Wyjątki dotyczące zmniejszania obszaru podatnego na ataki
Pliki i foldery do wykluczenia z reguł zmniejszania obszaru ataków
Dostawca CSP usługi Defender: AttackSurfaceReductionOnlyExclusions- Zaimportuj plik .csv zawierający pliki i foldery do wykluczenia z reguł zmniejszania obszaru podatnego na ataki.
- Ręcznie dodaj lokalne pliki lub foldery.
Ważna
Aby umożliwić prawidłową instalację i wykonywanie aplikacji LOB Win32, ustawienia ochrony przed złośliwym oprogramowaniem powinny wykluczać ze skanowania następujące katalogi:
Na maszynach klienckich X64:
C:\Program Files (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache
Na maszynach klienckich X86:
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache
Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące skanowania wirusów dla komputerów z przedsiębiorstwem z aktualnie obsługiwanymi wersjami systemu Windows.
Kontrolowany dostęp do folderu
Ochrona cennych danych przed złośliwymi aplikacjami i zagrożeniami, takimi jak oprogramowanie wymuszające okup.
Ochrona folderów
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP usługi Defender: EnableControlledFolderAccessOchrona plików i folderów przed nieautoryzowanymi zmianami przez nieprzyjazne aplikacje.
- Nie skonfigurowano
- Umożliwiać
- Tylko inspekcja
- Blokuj modyfikowanie dysku
- Inspekcja modyfikacji dysku
Po wybraniu konfiguracji innej niż Nieskonfigurowane można skonfigurować:
Lista aplikacji, które mają dostęp do chronionych folderów
Dostawca CSP usługi Defender: ControlledFolderAccessAllowedApplications- Zaimportuj plik .csv zawierający listę aplikacji.
- Ręcznie dodaj aplikacje do tej listy.
Lista dodatkowych folderów, które muszą być chronione
Dostawca CSP usługi Defender: ControlledFolderAccessProtectedFolders- Zaimportuj plik .csv zawierający listę folderów.
- Dodaj foldery do tej listy ręcznie.
Filtrowanie sieci
Blokuj połączenia wychodzące z dowolnej aplikacji do adresów IP lub domen o niskiej reputacji. Filtrowanie sieci jest obsługiwane zarówno w trybie inspekcji, jak i bloku.
Ochrona sieci
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP usługi Defender: EnableNetworkProtectionCelem tego ustawienia jest ochrona użytkowników końcowych przed aplikacjami z dostępem do wyłudzania informacji, witryn hostujących luki w zabezpieczeniach i złośliwej zawartości w Internecie. Uniemożliwia to również przeglądarce innej firmy łączenie się z niebezpiecznymi witrynami.
- Nie skonfigurowano — wyłącz tę funkcję. Użytkownicy i aplikacje nie mogą łączyć się z niebezpiecznymi domenami. Administratorzy nie widzą tego działania w Centrum zabezpieczeń usługi Microsoft Defender.
- Włącz — włącz ochronę sieci i zablokuj użytkownikom i aplikacjom możliwość łączenia się z niebezpiecznymi domenami. Administrator może zobaczyć to działanie w Centrum zabezpieczeń usługi Microsoft Defender.
- Tylko inspekcja: — użytkownicy i aplikacje nie mogą łączyć się z niebezpiecznymi domenami. Administrator może zobaczyć to działanie w Centrum zabezpieczeń usługi Microsoft Defender.
Ochrona przed wykorzystywaniem
Przekazywanie kodu XML
Ustawienie domyślne: Nie skonfigurowanoAby chronić urządzenia przed lukami w zabezpieczeniach za pomocą funkcji Exploit Protection, utwórz plik XML zawierający odpowiednie ustawienia ograniczania ryzyka dla systemu i aplikacji. Istnieją dwie metody tworzenia pliku XML:
PowerShell — użyj co najmniej jednego polecenia cmdlet programu PowerShell Get-ProcessMitigation, Set-ProcessMitigation i ConvertTo-ProcessMitigationPolicy . Polecenia cmdlet konfigurują ustawienia ograniczania ryzyka i eksportują ich reprezentację XML.
Centrum zabezpieczeń usługi Microsoft Defender interfejsu użytkownika — w Centrum zabezpieczeń usługi Microsoft Defender wybierz pozycję App & kontrolkę przeglądarki, a następnie przewiń do dołu ekranu wynikowego, aby znaleźć program Exploit Protection. Najpierw użyj kart Ustawienia systemu i Ustawienia programu, aby skonfigurować ustawienia ograniczania ryzyka. Następnie znajdź link Eksportuj ustawienia w dolnej części ekranu, aby wyeksportować ich reprezentację XML.
Edytowanie interfejsu ochrony przed lukami w zabezpieczeniach przez użytkownika
Ustawienie domyślne: Nie skonfigurowano
ExploitGuard CSP: ExploitProtectionSettings- Blokuj — przekaż plik XML, który umożliwia konfigurowanie ograniczeń dotyczących pamięci, przepływu sterowania i zasad. Ustawienia w pliku XML mogą służyć do blokowania aplikacji przed lukami w zabezpieczeniach.
- Nie skonfigurowano — nie jest używana żadna konfiguracja niestandardowa.
Microsoft Defender kontrolka aplikacji
Wybierz aplikacje, które mają być poddaane inspekcji lub które są zaufane do uruchamiania przez Microsoft Defender Application Control. Składniki systemu Windows i wszystkie aplikacje ze Sklepu Windows są automatycznie zaufane do uruchamiania.
Zasady integralności kodu kontroli aplikacji
Ustawienie domyślne: Nie skonfigurowano
Dostawca usług kryptograficznych: dostawca CSP funkcji AppLockerWymuszaj — wybierz zasady integralności kodu kontroli aplikacji dla urządzeń użytkowników.
Po włączeniu na urządzeniu kontrolkę aplikacji można wyłączyć tylko przez zmianę trybu z Wymuszajna Tylko inspekcja. Zmiana trybu z Wymuszaj na Nies skonfigurowano powoduje, że kontrola aplikacji będzie nadal wymuszana na przypisanych urządzeniach.
Nie skonfigurowano — kontrolka aplikacji nie jest dodawana do urządzeń. Jednak ustawienia, które zostały wcześniej dodane, nadal są wymuszane na przypisanych urządzeniach.
Tylko inspekcja — aplikacje nie są blokowane. Wszystkie zdarzenia są rejestrowane w dziennikach klienta lokalnego.
Uwaga
Jeśli używasz tego ustawienia, zachowanie dostawcy CSP funkcji AppLocker obecnie monituje użytkownika końcowego o ponowne uruchomienie komputera po wdrożeniu zasad.
Microsoft Defender Credential Guard
Microsoft Defender Credential Guard chroni przed atakami kradzieży poświadczeń. Izoluje wpisy tajne, dzięki czemu tylko uprzywilejowane oprogramowanie systemowe może uzyskiwać do nich dostęp.
Credential Guard
Ustawienie domyślne: Wyłącz
DeviceGuard CSPWyłącz — zdalnie wyłącz funkcję Credential Guard, jeśli została wcześniej włączona z opcją Włączone bez blokady UEFI .
Włącz za pomocą blokady UEFI — funkcji Credential Guard nie można wyłączyć zdalnie przy użyciu klucza rejestru lub zasad grupy.
Uwaga
Jeśli użyjesz tego ustawienia, a następnie chcesz wyłączyć funkcję Credential Guard, musisz ustawić zasady grupy wyłączone. I fizycznie wyczyścić informacje o konfiguracji UEFI z każdego komputera. Dopóki konfiguracja UEFI będzie się powtarzać, funkcja Credential Guard jest włączona.
Włączanie bez blokady UEFI — umożliwia zdalne wyłączenie funkcji Credential Guard przy użyciu zasady grupy. Urządzenia korzystające z tego ustawienia muszą być uruchomione Windows 10 wersji 1511 lub nowszej lub Windows 11.
Po włączeniu funkcji Credential Guard są również włączone następujące wymagane funkcje:
-
Zabezpieczenia oparte na wirtualizacji (VBS)
Włącza się podczas następnego ponownego rozruchu. Zabezpieczenia oparte na wirtualizacji używają funkcji Hypervisor systemu Windows do zapewnienia obsługi usług zabezpieczeń. -
Bezpieczny rozruch z dostępem do pamięci katalogu
Włącza usługę VBS z zabezpieczeniami bezpiecznego rozruchu i bezpośrednim dostępem do pamięci (DMA). Zabezpieczenia DMA wymagają obsługi sprzętu i są włączone tylko na poprawnie skonfigurowanych urządzeniach.
Centrum zabezpieczeń usługi Microsoft Defender
Centrum zabezpieczeń usługi Microsoft Defender działa jako oddzielna aplikacja lub proces od każdej z poszczególnych funkcji. Wyświetla powiadomienia za pośrednictwem Centrum akcji. Działa jako moduł zbierający lub pojedyncze miejsce, aby wyświetlić stan i uruchomić konfigurację dla każdej z funkcji. Dowiedz się więcej w dokumentacji Microsoft Defender.
Centrum zabezpieczeń usługi Microsoft Defender aplikacji i powiadomień
Blokuj dostęp użytkowników końcowych do różnych obszarów aplikacji Centrum zabezpieczeń usługi Microsoft Defender. Ukrywanie sekcji blokuje również powiązane powiadomienia.
Ochrona przed wirusami i zagrożeniami
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP systemu WindowsDefenderSecurityCenter: DisableVirusUISkonfiguruj, czy użytkownicy końcowi mogą wyświetlać obszar Ochrona przed wirusami i zagrożeniami w Centrum zabezpieczeń usługi Microsoft Defender. Ukrycie tej sekcji spowoduje również zablokowanie wszystkich powiadomień związanych z ochroną przed wirusami i zagrożeniami.
- Nie skonfigurowano
- Ukrywać
Ochrona przed oprogramowaniem wymuszającym okup
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP systemu WindowsDefenderSecurityCenter: HideRansomwareDataRecoverySkonfiguruj, czy użytkownicy końcowi mogą wyświetlać obszar ochrony przed oprogramowaniem wymuszającym okup w Centrum zabezpieczeń usługi Microsoft Defender. Ukrycie tej sekcji spowoduje również zablokowanie wszystkich powiadomień związanych z ochroną przed oprogramowaniem wymuszającym okup.
- Nie skonfigurowano
- Ukrywać
Ochrona konta
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP systemu WindowsDefenderSecurityCenter: DisableAccountProtectionUISkonfiguruj, czy użytkownicy końcowi mogą wyświetlać obszar Ochrona konta w Centrum zabezpieczeń usługi Microsoft Defender. Ukrycie tej sekcji spowoduje również zablokowanie wszystkich powiadomień związanych z ochroną konta.
- Nie skonfigurowano
- Ukrywać
Zapora i ochrona sieci
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP systemu WindowsDefenderSecurityCenter: DisableNetworkUISkonfiguruj, czy użytkownicy końcowi mogą wyświetlać obszar Zapora i ochrona sieci w centrum zabezpieczeń Microsoft Defender. Ukrycie tej sekcji spowoduje również zablokowanie wszystkich powiadomień związanych z zaporą i ochroną sieci.
- Nie skonfigurowano
- Ukrywać
Kontrolka aplikacji i przeglądarki
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP systemu WindowsDefenderSecurityCenter: DisableAppBrowserUISkonfiguruj, czy użytkownicy końcowi mogą wyświetlać obszar sterowania aplikacjami i przeglądarką w centrum zabezpieczeń Microsoft Defender. Ukrycie tej sekcji spowoduje również zablokowanie wszystkich powiadomień związanych z kontrolą aplikacji i przeglądarki.
- Nie skonfigurowano
- Ukrywać
Ochrona sprzętu
Ustawienie domyślne: Nie skonfigurowano
WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUISkonfiguruj, czy użytkownicy końcowi mogą wyświetlać obszar Ochrona sprzętu w Centrum zabezpieczeń usługi Microsoft Defender. Ukrycie tej sekcji spowoduje również zablokowanie wszystkich powiadomień związanych z ochroną sprzętu.
- Nie skonfigurowano
- Ukrywać
Wydajność i kondycja urządzenia
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP systemu WindowsDefenderSecurityCenter: DisableHealthUISkonfiguruj, czy użytkownicy końcowi mogą wyświetlać obszar Wydajność i kondycja urządzenia w centrum zabezpieczeń Microsoft Defender. Ukrycie tej sekcji spowoduje również zablokowanie wszystkich powiadomień związanych z wydajnością i kondycją urządzenia.
- Nie skonfigurowano
- Ukrywać
Opcje rodziny
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP systemu WindowsDefenderSecurityCenter: DisableFamilyUISkonfiguruj, czy użytkownicy końcowi mogą wyświetlać obszar Opcje rodziny w centrum zabezpieczeń Microsoft Defender. Ukrycie tej sekcji spowoduje również zablokowanie wszystkich powiadomień związanych z opcjami rodziny.
- Nie skonfigurowano
- Ukrywać
Powiadomienia z wyświetlonych obszarów aplikacji
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP systemu WindowsDefenderSecurityCenter: DisableNotificationsWybierz powiadomienia, które mają być wyświetlane użytkownikom końcowym. Powiadomienia niekrytyczne obejmują podsumowania działania programu antywirusowego Microsoft Defender, w tym powiadomienia po zakończeniu skanowania. Wszystkie inne powiadomienia są uważane za krytyczne.
- Nie skonfigurowano
- Blokuj powiadomienia niekrytyczne
- Blokuj wszystkie powiadomienia
ikona centrum Zabezpieczenia Windows w zasobniku systemowym
Ustawienie domyślne: Nie skonfigurowano dostawcy CSP WindowsDefenderSecurityCenter: HideWindowsSecurityNotificationAreaControlSkonfiguruj wyświetlanie kontrolki obszaru powiadomień. Aby to ustawienie zostało zastosowane, użytkownik musi się wylogować i zalogować lub ponownie uruchomić komputer.
- Nie skonfigurowano
- Ukrywać
Wyczyść przycisk TPM
Ustawienie domyślne: Nie skonfigurowano dostawcy CSP WindowsDefenderSecurityCenter: DisableClearTpmButtonSkonfiguruj wyświetlanie przycisku Wyczyść moduł TPM.
- Nie skonfigurowano
- Wyłączać
Ostrzeżenie o aktualizacji oprogramowania układowego modułu TPM
Ustawienie domyślne: Nie skonfigurowano dostawcy CSP WindowsDefenderSecurityCenter: DisableTpmFirmwareUpdateWarningSkonfiguruj wyświetlanie aktualizacji oprogramowania układowego modułu TPM po wykryciu podatnego na zagrożenia oprogramowania układowego.
- Nie skonfigurowano
- Ukrywać
Ochrona przed naruszeniami
Ustawienie domyślne: Nie skonfigurowanoWłącz lub wyłącz ochronę przed naruszeniami na urządzeniach. Aby korzystać z ochrony przed naruszeniami, należy zintegrować Ochrona punktu końcowego w usłudze Microsoft Defender z Intune i mieć licencje Enterprise Mobility + Security E5.
- Nieskonfigurowane — nie wprowadzono żadnych zmian w ustawieniach urządzenia.
- Włączone — ochrona przed naruszeniami jest włączona, a ograniczenia są wymuszane na urządzeniach.
- Wyłączone — ochrona przed naruszeniami jest wyłączona i ograniczenia nie są wymuszane.
Informacje kontaktowe IT
Podaj informacje kontaktowe IT, które będą wyświetlane w aplikacji Centrum zabezpieczeń usługi Microsoft Defender i powiadomieniach aplikacji.
Możesz wybrać opcję Wyświetl w aplikacji i w powiadomieniach, Wyświetlaj tylko w aplikacji, Wyświetlaj tylko w powiadomieniach lub Nie wyświetlaj. Wprowadź nazwę organizacji IT i co najmniej jedną z następujących opcji kontaktu:
Informacje kontaktowe IT
Ustawienie domyślne: Nie wyświetlaj
Dostawca CSP systemu WindowsDefenderSecurityCenter: EnableCustomizedToastsSkonfiguruj miejsce wyświetlania informacji kontaktowych IT użytkownikom końcowym.
- Wyświetlanie w aplikacji i w powiadomieniach
- Wyświetlanie tylko w aplikacji
- Wyświetlanie tylko w powiadomieniach
- Nie wyświetlaj
Po skonfigurowaniu wyświetlania można skonfigurować następujące ustawienia:
Nazwa organizacji IT
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP systemu WindowsDefenderSecurityCenter: CompanyNameNumer telefonu działu IT lub identyfikator Skype'a
Ustawienie domyślne: Nie skonfigurowano
WindowsDefenderSecurityCenter CSP: TelefonAdres e-mail działu IT
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP systemu WindowsDefenderSecurityCenter: EmailAdres URL witryny internetowej pomocy technicznej IT
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP systemu WindowsDefenderSecurityCenter: adres URL
Opcje zabezpieczeń urządzeń lokalnych
Te opcje umożliwiają skonfigurowanie lokalnych ustawień zabezpieczeń na urządzeniach Windows 10/11.
Konta
Dodawanie nowych kont Microsoft
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: Accounts_BlockMicrosoftAccounts- Blok Uniemożliwiaj użytkownikom dodawanie nowych kont Microsoft do urządzenia.
- Nieskonfigurowane — użytkownicy mogą używać kont Microsoft na urządzeniu.
Zdalne logowanie bez hasła
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly- Blokuj — zezwalaj na logowanie się przy użyciu klawiatury urządzenia tylko na kontach lokalnych z pustymi hasłami.
- Nieskonfigurowane — zezwalaj kontom lokalnym z pustymi hasłami na logowanie się z lokalizacji innych niż urządzenie fizyczne.
Administrator
Konto administratora lokalnego
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly- Blok Zapobiegaj używaniu konta administratora lokalnego.
- Nie skonfigurowano
Zmienianie nazwy konta administratora
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: Accounts_RenameAdministratorAccountZdefiniuj inną nazwę konta, która ma być skojarzona z identyfikatorem zabezpieczeń (SID) dla konta "Administrator".
Gość
Konto gościa
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: LocalPoliciesSecurityOptions- Blokuj — uniemożliwia korzystanie z konta gościa.
- Nie skonfigurowano
Zmienianie nazwy konta gościa
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: Accounts_RenameGuestAccountZdefiniuj inną nazwę konta, która ma być skojarzona z identyfikatorem zabezpieczeń (SID) dla konta "Gość".
Urządzeń
Oddokuj urządzenie bez logowania
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: Devices_AllowUndockWithoutHavingToLogon- Blokuj — użytkownik musi zalogować się do urządzenia i otrzymać uprawnienie do oddokładowywania urządzenia.
- Nie skonfigurowano — użytkownicy mogą nacisnąć fizyczny przycisk wysuwania zadokowanego urządzenia przenośnego, aby bezpiecznie oddokować urządzenie.
Instalowanie sterowników drukarek dla drukarek udostępnionych
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters- Włączone — każdy użytkownik może zainstalować sterownik drukarki w ramach nawiązywania połączenia z drukarką udostępnioną.
- Nie skonfigurowano — tylko administratorzy mogą zainstalować sterownik drukarki w ramach nawiązywania połączenia z drukarką udostępnioną.
Ograniczanie dostępu do dysku CD-ROM dla aktywnego użytkownika lokalnego
Ustawienie domyślne: Nie skonfigurowano
Zasady zabezpieczeń zawartości: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly- Włączone — tylko zalogowany interaktywnie użytkownik może korzystać z nośnika CD-ROM. Jeśli te zasady są włączone i nikt nie jest zalogowany interaktywnie, dostęp do dysku CD-ROM jest uzyskiwany za pośrednictwem sieci.
- Nie skonfigurowano — każdy ma dostęp do dysku CD-ROM.
Formatowanie i wysuwanie nośnika wymiennego
Ustawienie domyślne: Administratorzy
Zasady zabezpieczeń zawartości: Devices_AllowedToFormatAndEjectRemovableMediaZdefiniuj, kto może formatować i wyrzucać wymienne nośniki NTFS:
- Nie skonfigurowano
- Administratorzy
- Administratorzy i użytkownicy usługi Power Users
- Administratorzy i użytkownicy interaktywni
Logowanie interakcyjne
Minuty braku aktywności ekranu blokady do momentu aktywowania wygaszacza ekranu
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: InteractiveLogon_MachineInactivityLimitWprowadź maksymalną liczbę minut braku aktywności do momentu aktywowania wygaszacz ekranu. (0 - 99999)
Wymagaj ctrl+ALT+DEL, aby się zalogować
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotRequireCTRLALTDEL- Włącz — wymagaj od użytkowników naciśnięcia CTRL+ALT+DEL przed zalogowaniem się do systemu Windows.
- Nie skonfigurowano — naciśnięcie CTRL+ALT+DEL nie jest wymagane do logowania użytkowników.
Zachowanie usuwania karty inteligentnej
Ustawienie domyślne: Brak akcji LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehaviorOkreśla, co się stanie, gdy karta inteligentna zalogowanego użytkownika zostanie usunięta z czytnika kart inteligentnych. Dostępne opcje:
- Zablokuj stację roboczą — stacja robocza jest zablokowana po usunięciu karty inteligentnej. Ta opcja pozwala użytkownikom opuścić obszar, zabrać ze sobą kartę inteligentną i nadal obsługiwać chronioną sesję.
- Brak akcji
- Wymuś wylogowanie — użytkownik jest automatycznie wylogowowany po usunięciu karty inteligentnej.
- Rozłącz, jeśli sesja usług pulpitu zdalnego — usunięcie karty inteligentnej rozłączy sesję bez wylogowywania użytkownika. Ta opcja umożliwia użytkownikowi wstawienie karty inteligentnej i wznowienie sesji później lub na innym komputerze wyposażonym w czytnik kart inteligentnych bez konieczności ponownego logowania. Jeśli sesja jest lokalna, te zasady działają identycznie jak Blokada stacji roboczej.
Wyświetl
Informacje o użytkowniku na ekranie blokady
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLockedSkonfiguruj informacje o użytkowniku wyświetlane po zablokowaniu sesji. Jeśli nie skonfigurowano, wyświetlana jest nazwa wyświetlana użytkownika, domena i nazwa użytkownika.
- Nie skonfigurowano
- Nazwa wyświetlana użytkownika, domena i nazwa użytkownika
- Tylko nazwa wyświetlana użytkownika
- Nie wyświetlaj informacji o użytkowniku
Ukryj ostatniego zalogowanego użytkownika
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayLastSignedIn- Włącz — ukryj nazwę użytkownika.
- Nie skonfigurowano — pokaż ostatnią nazwę użytkownika.
Ukryj nazwę użytkownika przy domyślnym logowanie: nieskonfigurowane
Dostawca CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayUsernameAtSignIn- Włącz — ukryj nazwę użytkownika.
- Nie skonfigurowano — pokaż ostatnią nazwę użytkownika.
Tytuł komunikatu logowania
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: InteractiveLogon_MessageTitleForUsersAttemptingToLogOnUstaw tytuł komunikatu dla użytkowników logujących się.
Tekst wiadomości logowania
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: InteractiveLogon_MessageTextForUsersAttemptingToLogOnUstaw tekst wiadomości dla użytkowników logujących się.
Dostęp do sieci i zabezpieczenia
Dostęp anonimowy do nazwanych potoków i udziałów
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares- Nieskonfigurowane — ograniczanie dostępu anonimowego do ustawień udostępniania i nazwanych potoków. Dotyczy ustawień, do których można uzyskać dostęp anonimowo.
- Blokuj — wyłącz te zasady, udostępniając dostęp anonimowy.
Anonimowe wyliczanie kont SAM
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts- Nieskonfigurowane — użytkownicy anonimowi mogą wyliczać konta SAM.
- Blokuj — zapobiegaj anonimowemu wyliczaniem kont SAM.
Anonimowe wyliczenie kont SAM i udziałów
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares- Nieskonfigurowane — użytkownicy anonimowi mogą wyliczać nazwy kont domeny i udziałów sieciowych.
- Blokuj — zapobiegaj anonimowemu wyliczaniem kont SAM i udziałów.
Wartość skrótu programu LAN Manager przechowywana podczas zmiany hasła
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChangeUstal, czy wartość skrótu haseł jest przechowywana przy następnej zmianie hasła.
- Nie skonfigurowano — wartość skrótu nie jest przechowywana
- Blokuj — menedżer LAN (LM) przechowuje wartość skrótu dla nowego hasła.
Żądania uwierzytelniania PKU2U
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: NetworkSecurity_AllowPKU2UAuthenticationRequests- Nie skonfigurowano — zezwalaj na żądania PU2U.
- Blokuj — blokuj żądania uwierzytelniania PKU2U do urządzenia.
Ograniczanie zdalnych połączeńReja
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAMNie skonfigurowano — użyj domyślnego deskryptora zabezpieczeń, który może zezwalać użytkownikom i grupom na wykonywanie zdalnych wywołań RPC do sam.
Zezwalaj — uniemożliwia użytkownikom i grupom wykonywanie zdalnych wywołań RPC do Menedżera kont zabezpieczeń (SAM), który przechowuje konta użytkowników i hasła. Ustawienie Zezwalaj umożliwia również zmianę domyślnego ciągu języka SDDL (Security Descriptor Definition Language) na jawne zezwalanie użytkownikom i grupom na wykonywanie tych zdalnych wywołań lub odmawianie ich wykonywania.
-
Deskryptor zabezpieczeń
Ustawienie domyślne: Nie skonfigurowano
-
Deskryptor zabezpieczeń
Minimalne zabezpieczenia sesji dla klientów opartych na programie SSP NTLM
Wartość domyślna: Brak
Dostawca CSP LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClientsTo ustawienie zabezpieczeń umożliwia serwerowi wymaganie negocjacji 128-bitowego szyfrowania i/lub zabezpieczeń sesji NTLMv2.
- Brak
- Wymagaj zabezpieczeń sesji NTLMv2
- Wymagaj szyfrowania 128-bitowego
- Szyfrowanie NTLMv2 i 128-bitowe
Minimalne zabezpieczenia sesji dla serwera SSP NTLM
Wartość domyślna: Brak
Dostawca CSP LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServersTo ustawienie zabezpieczeń określa, który protokół uwierzytelniania challenge/response jest używany do logowania do sieci.
- Brak
- Wymagaj zabezpieczeń sesji NTLMv2
- Wymagaj szyfrowania 128-bitowego
- Szyfrowanie NTLMv2 i 128-bitowe
Poziom uwierzytelniania menedżera SIECI LAN
Ustawienie domyślne: LM i NTLM
Dostawca CSP LocalPoliciesSecurityOptions: NetworkSecurity_LANManagerAuthenticationLevel- LM i NTLM
- LM, NTLM i NTLMv2
- NTLM
- NTLMv2
- NTLMv2, a nie LM
- NTLMv2, a nie LM lub NTLM
Niezabezpieczone logowanie gościa
Ustawienie domyślne: Nie skonfigurowano
LanmanWorkstation CSP: LanmanWorkstationJeśli to ustawienie zostanie włączone, klient SMB odrzuci niezabezpieczone logowania gościa.
- Nie skonfigurowano
- Blokuj — klient SMB odrzuca niezabezpieczone logowania gościa.
Konsola odzyskiwania i zamykanie
Wyczyść plik stronicowania pamięci wirtualnej podczas zamykania
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: Shutdown_ClearVirtualMemoryPageFile- Włącz — wyczyść plik stronicowania pamięci wirtualnej, gdy urządzenie jest wyłączone.
- Nie skonfigurowano — nie czyści pamięci wirtualnej.
Zamykanie bez logowania
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn- Blokuj — ukryj opcję zamykania na ekranie logowania systemu Windows. Użytkownicy muszą zalogować się do urządzenia, a następnie zamknąć.
- Nie skonfigurowano — zezwalaj użytkownikom na zamykanie urządzenia z ekranu logowania systemu Windows.
Kontrola konta użytkownika
Integralność interfejsu użytkownika bez bezpiecznej lokalizacji
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations- Blokuj — aplikacje znajdujące się w bezpiecznej lokalizacji w systemie plików będą uruchamiane tylko z integralnością funkcji UIAccess.
- Nieskonfigurowane — umożliwia aplikacjom uruchamianie z integralnością funkcji UIAccess, nawet jeśli aplikacje nie są w bezpiecznej lokalizacji w systemie plików.
Wirtualizowanie błędów zapisu plików i rejestru w lokalizacjach poszczególnych użytkowników
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations- Włączone — aplikacje zapisujące dane w chronionych lokalizacjach nie powiodły się.
- Nie skonfigurowano — błędy zapisu aplikacji są przekierowywane w czasie wykonywania do zdefiniowanych lokalizacji użytkowników dla systemu plików i rejestru.
Podnieś poziom tylko plików wykonywalnych, które są podpisane i zweryfikowane
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations- Włączone — wymuś weryfikację ścieżki certyfikacji infrastruktury kluczy publicznych dla pliku wykonywalnego, zanim będzie można go uruchomić.
- Nieskonfigurowane — nie wymuszaj weryfikacji ścieżki certyfikacji infrastruktury kluczy publicznych przed uruchomieniem pliku wykonywalnego.
Zachowanie monitu o podniesienie uprawnień interfejsu użytkownika
Monit o podniesienie uprawnień dla administratorów
Ustawienie domyślne: monituj o zgodę dla plików binarnych innych niż Windows
Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForAdministratorsZdefiniuj zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania Administracja.
- Nie skonfigurowano
- Podwyższaj poziom bez monitowania
- Monituj o poświadczenia na bezpiecznym pulpicie
- Monituj o poświadczenia
- Monituj o zgodę
- Monituj o zgodę dla plików binarnych innych niż Windows
Monit o podniesienie uprawnień dla użytkowników standardowych
Ustawienie domyślne: Monituj o poświadczenia
Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsersZdefiniuj zachowanie monitu o podniesienie uprawnień dla użytkowników standardowych.
- Nie skonfigurowano
- Automatyczne odrzucanie żądań podniesienia uprawnień
- Monituj o poświadczenia na bezpiecznym pulpicie
- Monituj o poświadczenia
Kierowanie monitów o podniesienie uprawnień do pulpitu interaktywnego użytkownika
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation- Włączone — wszystkie żądania podniesienia uprawnień, aby przejść do pulpitu użytkownika interaktywnego, a nie do bezpiecznego pulpitu. Wszystkie ustawienia zasad zachowania monitu dla administratorów i użytkowników standardowych są używane.
- Nieskonfigurowane — wymuszaj, aby wszystkie żądania podniesienia uprawnień przechodziły do bezpiecznego pulpitu, niezależnie od ustawień zasad zachowania monitu dla administratorów i użytkowników standardowych.
Monit z podwyższonym poziomem uprawnień dla instalacji aplikacji
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation- Włączone — pakiety instalacyjne aplikacji nie są wykrywane ani monitowane o podniesienie uprawnień.
- Nie skonfigurowano — użytkownicy są monitowane o podanie nazwy użytkownika administracyjnego i hasła, gdy pakiet instalacyjny aplikacji wymaga podwyższonego poziomu uprawnień.
Monit o podniesienie uprawnień interfejsu użytkownika bez bezpiecznego pulpitu
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_AllowUIAccessApplicationsToPromptForElevationWłącz — zezwalaj aplikacjom funkcji UIAccess na monitowanie o podniesienie uprawnień bez korzystania z bezpiecznego pulpitu.
Nie skonfigurowano — monity o podniesienie uprawnień używają bezpiecznego pulpitu.
tryb zatwierdzania Administracja
tryb zatwierdzania Administracja dla wbudowanego administratora
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_UseAdminApprovalMode- Włączone — zezwala wbudowanemu kontu administratora na używanie trybu zatwierdzania Administracja. Każda operacja wymagająca podniesienia uprawnień monituje użytkownika o zatwierdzenie operacji.
- Nie skonfigurowano — uruchamia wszystkie aplikacje z pełnymi uprawnieniami administratora.
Uruchamianie wszystkich administratorów w trybie zatwierdzania Administracja
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: UserAccountControl_RunAllAdministratorsInAdminApprovalMode- Włączone — włącz tryb zatwierdzania Administracja.
- Nieskonfigurowane — wyłącz tryb zatwierdzania Administracja i wszystkie powiązane ustawienia zasad funkcji UAC.
Klient sieci firmy Microsoft
Podpisz cyfrowo komunikację (jeśli serwer wyrazi zgodę)
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgreesOkreśla, czy klient SMB negocjuje podpisywanie pakietów SMB.
- Blokuj — klient SMB nigdy nie negocjuje podpisywania pakietów SMB.
- Nie skonfigurowano — klient sieci firmy Microsoft prosi serwer o uruchomienie podpisywania pakietów SMB podczas konfiguracji sesji. Jeśli podpisywanie pakietów jest włączone na serwerze, podpisywanie pakietów jest negocjowane.
Wysyłanie niezaszyfrowanego hasła do serwerów SMB innych firm
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers- Blokuj — przekierowanie bloku komunikatów serwera (SMB) może wysyłać hasła w postaci zwykłego tekstu do serwerów SMB innych niż Microsoft, które nie obsługują szyfrowania haseł podczas uwierzytelniania.
- Nie skonfigurowano — blokuj wysyłanie haseł w postaci zwykłego tekstu. Hasła są szyfrowane.
Podpisz cyfrowo komunikację (zawsze)
Ustawienie domyślne: Nie skonfigurowano
Dostawca CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsAlways- Włącz — klient sieci firmy Microsoft nie komunikuje się z serwerem sieciowym firmy Microsoft, chyba że ten serwer zgadza się na podpisywanie pakietów SMB.
- Nie skonfigurowano — podpisywanie pakietów SMB jest negocjowane między klientem a serwerem.
Microsoft Network Server
Podpisz cyfrowo komunikację (jeśli klient wyrazi na to zgodę)
Ustawienie domyślne: Nie skonfigurowano
Zasady zabezpieczeń zawartości: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees- Włącz — serwer sieci firmy Microsoft negocjuje podpisywanie pakietów SMB zgodnie z żądaniem klienta. Oznacza to, że jeśli podpisywanie pakietów jest włączone na kliencie, podpisywanie pakietów jest negocjowane.
- Nie skonfigurowano — klient SMB nigdy nie negocjuje podpisywania pakietów SMB.
Podpisz cyfrowo komunikację (zawsze)
Ustawienie domyślne: Nie skonfigurowano
Dostawca usług kryptograficznych: MicrosoftNetworkServer_DigitallySignCommunicationsAlways- Włącz — serwer sieci firmy Microsoft nie komunikuje się z klientem sieci firmy Microsoft, chyba że klient wyrazi zgodę na podpisywanie pakietów SMB.
- Nie skonfigurowano — podpisywanie pakietów SMB jest negocjowane między klientem a serwerem.
Usługi Xbox
Zadanie zapisywania gry xbox
Ustawienie domyślne: Nie skonfigurowano
Zasady zabezpieczeń zawartości: TaskScheduler/EnableXboxGameSaveTaskTo ustawienie określa, czy zadanie zapisywania gry xbox jest włączone, czy wyłączone.
- Włączone
- Nie skonfigurowano
Usługa zarządzania akcesoriami xbox
Ustawienie domyślne: Ręczne
Zasady zabezpieczeń zawartości: SystemServices/ConfigureXboxAccessoryManagementServiceStartupModeTo ustawienie określa typ rozpoczęcia usługi zarządzania akcesoriami.
- Ręcznie
- Automatyczne
- Wyłączona
Usługa Xbox Live Auth Manager
Ustawienie domyślne: Ręczne
Zasady zabezpieczeń zawartości: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupModeTo ustawienie określa typ rozpoczęcia usługi Live Auth Manager.
- Ręcznie
- Automatyczne
- Wyłączona
Usługa zapisywania gier na żywo w usłudze Xbox Live
Ustawienie domyślne: Ręczne
Zasady zabezpieczeń zawartości: SystemServices/ConfigureXboxLiveGameSaveServiceStartupModeTo ustawienie określa typ rozpoczęcia usługi Live Game Save Service.
- Ręcznie
- Automatyczne
- Wyłączona
Usługa sieciowa Xbox Live
Ustawienie domyślne: Ręczne
Zasady zabezpieczeń zawartości: SystemServices/ConfigureXboxLiveNetworkingServiceStartupModeTo ustawienie określa typ rozpoczęcia usługi sieciowej.
- Ręcznie
- Automatyczne
- Wyłączona
Następne kroki
Profil został utworzony, ale jeszcze nic nie robi. Następnie przypisz profil i monitoruj jego stan.
Konfigurowanie ustawień ochrony punktu końcowego na urządzeniach z systemem macOS .