Udostępnij za pośrednictwem

Ustawienia zasad zmniejszania obszaru ataków dla zabezpieczeń punktów końcowych w Intune

  • Artykuł

Wyświetl ustawienia, które można skonfigurować w profilach dla zasad zmniejszania obszaru podatnego na ataki w węźle zabezpieczeń punktu końcowego Intune w ramach zasad zabezpieczeń punktu końcowego.

Dotyczy:

  • System Windows 11
  • Windows 10

Obsługiwane platformy i profile:

  • Windows 10 i nowsze — ta platforma służy do wdrażania zasad na urządzeniach zarządzanych za pomocą Intune.

    • Profil: Izolacja aplikacji i przeglądarki
    • Profil: Kontrola aplikacji
    • Profil: Reguły zmniejszania obszaru ataków
    • Profil: Kontrola urządzenia
    • Profil: Ochrona przed lukami w zabezpieczeniach
    • Profil: Ochrona sieci Web (Starsza wersja Microsoft Edge)

  • Windows 10 i nowsze (ConfigMgr): ta platforma służy do wdrażania zasad na urządzeniach zarządzanych przez Configuration Manager.

    • Profil: Exploit Protection(ConfigMgr)(wersja zapoznawcza)
    • Profil: Web Protection (ConfigMgr)(wersja zapoznawcza)

  • Windows 10, Windows 11 i Windows Server: ta platforma służy do wdrażania zasad na urządzeniach zarządzanych za pośrednictwem usługi Security Management dla Ochrona punktu końcowego w usłudze Microsoft Defender.

    • Profil: Reguły zmniejszania obszaru ataków

Zmniejszanie obszaru podatnego na ataki (MDM)

Profil izolacji aplikacji i przeglądarki

Uwaga

W tej sekcji szczegółowo opisano ustawienia w profilach izolacji aplikacji i przeglądarki utworzonych przed 18 kwietnia 2023 r. Profile utworzone po tej dacie używają nowego formatu ustawień, jak można znaleźć w katalogu ustawień. Dzięki tej zmianie nie można już tworzyć nowych wersji starego profilu i nie są one już opracowywane. Mimo że nie można już tworzyć nowych wystąpień starszego profilu, możesz nadal edytować i używać utworzonych wcześniej wystąpień.

W przypadku profilów korzystających z nowego formatu ustawień Intune nie obsługuje już listy poszczególnych ustawień według nazwy. Zamiast tego nazwa każdego ustawienia, jego opcje konfiguracji i tekst objaśnienia widoczne w centrum administracyjnym Microsoft Intune są pobierane bezpośrednio z zawartości autorytatywnej ustawień. Ta zawartość może dostarczyć więcej informacji na temat korzystania z ustawienia w jego odpowiednim kontekście. Podczas wyświetlania tekstu informacji o ustawieniach możesz użyć linku Dowiedz się więcej , aby otworzyć tę zawartość.

Izolacja aplikacji i przeglądarki

  • Włącz Application Guard
    Zasady zabezpieczeń zawartości: AllowWindowsDefenderApplicationGuard

    • Nie skonfigurowano (ustawienie domyślne) — Microsoft Defender Application Guard nie jest skonfigurowana dla przeglądarki Microsoft Edge ani izolowanych środowisk systemu Windows.
    • Włączone dla przeglądarki Edge — Application Guard otwiera niezatwierdzone witryny w zwirtualizowanym kontenerze przeglądania funkcji Hyper-V.
    • Włączone dla izolowanych środowisk systemu Windows — Application Guard jest włączona dla wszystkich aplikacji włączonych dla funkcji App Guard w systemie Windows.
    • Włączone dla środowisk systemu Windows wydzielone i edge and — Application Guard jest skonfigurowany dla obu scenariuszy.

    Uwaga

    Jeśli wdrażasz Application Guard dla przeglądarki Microsoft Edge za pośrednictwem Intune, zasady izolacji sieci systemu Windows muszą być skonfigurowane jako warunek wstępny. Izolację sieci można skonfigurować za pośrednictwem różnych profilów, w tym izolacji aplikacji i aplikacji w ramach ustawienia izolacji sieci systemu Windows .

    Po ustawieniu opcji Włączone dla przeglądarki Edge lub Włączone dla środowisk systemu Windows i izolowanych urządzeń brzegowych są dostępne następujące ustawienia, które mają zastosowanie do przeglądarki Edge:

    • Zachowanie schowka
      Zasady zabezpieczeń zawartości: SchowekSettings

      Wybierz, jakie akcje kopiowania i wklejania są dozwolone z komputera lokalnego i Application Guard przeglądarki wirtualnej.

      • Nie skonfigurowano (wartość domyślna)
      • Blokuj kopiowanie i wklejanie między komputerem i przeglądarką
      • Zezwalaj na kopiowanie i wklejanie tylko z przeglądarki na komputer
      • Zezwalaj na kopiowanie i wklejanie tylko z komputera do przeglądarki
      • Zezwalaj na kopiowanie i wklejanie między komputerem i przeglądarką

    • Blokuj zawartość zewnętrzną z witryn niezatwierdowanych przez przedsiębiorstwo
      Zasady zabezpieczeń zawartości: BlockNonEnterpriseContent

      • Nie skonfigurowano (wartość domyślna)
      • Tak — zablokuj ładowanie zawartości z niezatwierdzone witryny internetowe.

    • Zbieranie dzienników dla zdarzeń występujących w sesji przeglądania Application Guard
      Dostawca usług kryptograficznych: AuditApplicationGuard

      • Nie skonfigurowano (wartość domyślna)
      • Tak — zbiera dzienniki zdarzeń występujących w Application Guard sesji przeglądania wirtualnego.

    • Zezwalaj na zapisywanie danych przeglądarki wygenerowanych przez użytkownika
      Zasady zabezpieczeń zawartości: AllowPersistence

      • Nie skonfigurowano (wartość domyślna)
      • Tak — zezwalaj na zapisywanie danych użytkownika utworzonych podczas Application Guard wirtualnej sesji przeglądania. Przykłady danych użytkownika obejmują hasła, ulubione i pliki cookie.

    • Włączanie sprzętowego przyspieszania grafiki
      Zasady zabezpieczeń zawartości: AllowVirtualGPU

      • Nie skonfigurowano (wartość domyślna)
      • Tak — w ramach Application Guard sesji przeglądania wirtualnego użyj wirtualnej jednostki przetwarzania grafiki, aby szybciej ładować witryny internetowe intensywnie korzystające z grafiki.

    • Zezwalaj użytkownikom na pobieranie plików na hosta
      Dostawca usług kryptograficznych: SaveFilesToHost

      • Nie skonfigurowano (wartość domyślna)
      • Tak — zezwalaj użytkownikom na pobieranie plików ze zwirtualizowanej przeglądarki do systemu operacyjnego hosta.

    • Application Guard zezwalać na dostęp do kamery i mikrofonu
      Zasady zabezpieczeń zawartości: AllowCameraMicrophoneRedirection

      • Nie skonfigurowano (ustawienie domyślne) — aplikacje wewnątrz Microsoft Defender Application Guard nie mogą uzyskać dostępu do aparatu i mikrofonu na urządzeniu użytkownika.
      • Tak — aplikacje wewnątrz Microsoft Defender Application Guard mogą uzyskiwać dostęp do aparatu i mikrofonu na urządzeniu użytkownika.
      • Nie — aplikacje wewnątrz Microsoft Defender Application Guard nie mogą uzyskać dostępu do aparatu i mikrofonu na urządzeniu użytkownika. Jest to takie samo zachowanie jak nies skonfigurowano.

  • Ochrona aplikacji zezwala na drukowanie na drukarkach lokalnych

    • Nie skonfigurowano (wartość domyślna)
    • Tak — zezwalaj na drukowanie na drukarkach lokalnych.

  • Ochrona aplikacji zezwala na drukowanie na drukarkach sieciowych

    • Nie skonfigurowano (wartość domyślna)
    • Tak — zezwalaj na drukowanie na drukarkach sieciowych.

  • Ochrona aplikacji zezwala na drukowanie w formacie PDF

    • Nie skonfigurowano (wartość domyślna)
    • Tak — zezwalaj na drukowanie w formacie PDF.

  • Funkcja Application Guard zezwala na drukowanie w systemie XPS

    • Nie skonfigurowano (wartość domyślna)
    • Tak — zezwalaj na drukowanie w systemie XPS.

  • Application Guard zezwalać na korzystanie z głównych urzędów certyfikacji z urządzenia użytkownika
    Dostawca usług kryptograficznych: CertificateThumbprints

    Skonfiguruj odciski palca certyfikatu, aby automatycznie przenieść zgodny certyfikat główny do kontenera Microsoft Defender Application Guard.

    Aby dodawać odciski palca pojedynczo, wybierz pozycję Dodaj. Za pomocą polecenia Import można określić plik .CSV zawierający wiele wpisów odcisku palca, które zostaną dodane do profilu w tym samym czasie. W przypadku korzystania z pliku .CSV każdy odcisk palca musi być oddzielony przecinkami. Przykład: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

    Wszystkie wpisy wymienione w profilu są aktywne. Nie musisz zaznaczać pola wyboru dla wpisu odcisku palca, aby go uaktywnić. Zamiast tego użyj pól wyboru, aby ułatwić zarządzanie wpisami, które zostały dodane do profilu. Na przykład możesz zaznaczyć pole wyboru co najmniej jednego wpisu odcisku palca certyfikatu, a następnie usunąć te wpisy z profilu za pomocą jednej akcji.

  • Zasady izolacji sieci systemu Windows

    • Nie skonfigurowano (wartość domyślna)
    • Tak — skonfiguruj zasady izolacji sieci systemu Windows.

    Po ustawieniu wartości Tak można skonfigurować następujące ustawienia:

    • Zakresy adresów IP
      Rozwiń listę rozwijaną, wybierz pozycję Dodaj, a następnie określ niższy adres , a następnie górny adres.

    • Zasoby w chmurze
      Rozwiń listę rozwijaną, wybierz pozycję Dodaj, a następnie określ adres IP lub nazwę FQDN i serwer proxy.

    • Domeny sieciowe
      Rozwiń listę rozwijaną, wybierz pozycję Dodaj, a następnie określ domeny sieciowe.

    • Serwery proxy
      Rozwiń listę rozwijaną, wybierz pozycję Dodaj, a następnie określ serwery proxy.

    • Wewnętrzne serwery proxy
      Rozwiń listę rozwijaną, wybierz pozycję Dodaj, a następnie określ wewnętrzne serwery proxy.

    • Zasoby neutralne
      Rozwiń listę rozwijaną, wybierz pozycję Dodaj, a następnie określ zasoby neutralne.

    • Wyłączanie automatycznego wykrywania innych serwerów proxy przedsiębiorstwa

      • Nie skonfigurowano (wartość domyślna)
      • Tak — wyłącz automatyczne wykrywanie innych serwerów proxy przedsiębiorstwa.

    • Wyłączanie automatycznego wykrywania innych zakresów adresów IP przedsiębiorstwa

      • Nie skonfigurowano (wartość domyślna)
      • Tak — wyłącz automatyczne wykrywanie innych zakresów adresów IP przedsiębiorstwa.

    Uwaga

    Po utworzeniu profilu wszystkie urządzenia, do których mają być stosowane zasady, będą miały Microsoft Defender Application Guard włączone. Aby zapewnić ochronę, użytkownicy mogą być musieli ponownie uruchomić swoje urządzenia.

Profil kontroli aplikacji

Microsoft Defender kontrolka aplikacji

  • Kontrola aplikacji szafki aplikacji
    Dostawca usług kryptograficznych: AppLocker

    • Nie skonfigurowano (wartość domyślna)
    • Wymuszanie składników i aplikacji ze sklepu
    • Inspekcja składników i aplikacji sklepu
    • Wymuszanie składników, aplikacji ze sklepu i funkcji Smartlocker
    • Inspekcja składników, aplikacji ze sklepu i funkcji Smartlocker

  • Blokowanie użytkownikom ignorowania ostrzeżeń filtru SmartScreen
    Zasady zabezpieczeń zawartości: SmartScreen/PreventOverrideForFilesInShell

    • Nie skonfigurowano (ustawienie domyślne) — użytkownicy mogą ignorować ostrzeżenia filtru SmartScreen dla plików i złośliwych aplikacji.
    • Tak — filtr SmartScreen jest włączony i użytkownicy nie mogą pominąć ostrzeżeń dotyczących plików lub złośliwych aplikacji.

  • Włączanie filtru Windows SmartScreen
    Zasady zabezpieczeń zawartości: SmartScreen/EnableSmartScreenInShell

    • Nie skonfigurowano (ustawienie domyślne) — zwróć ustawienie domyślne systemu Windows, czyli włączenie filtru SmartScreen, ale użytkownicy mogą zmienić to ustawienie. Aby wyłączyć filtr SmartScreen, użyj niestandardowego identyfikatora URI.
    • Tak — wymusza użycie filtru SmartScreen dla wszystkich użytkowników.

Profil reguł zmniejszania obszaru ataków

Reguły zmniejszania obszaru podatnego na ataki

Aby dowiedzieć się więcej na temat reguł zmniejszania obszaru podatnego na ataki, zobacz Dokumentacja reguł zmniejszania obszaru podatnego na ataki w dokumentacji platformy Microsoft 365.

Uwaga

W tej sekcji szczegółowo opisano ustawienia profilów reguł zmniejszania obszaru podatnego na ataki utworzonych przed 5 kwietnia 2022 r. Profile utworzone po tej dacie używają nowego formatu ustawień, jak można znaleźć w katalogu ustawień. Dzięki tej zmianie nie można już tworzyć nowych wersji starego profilu i nie są one już opracowywane. Mimo że nie można już tworzyć nowych wystąpień starszego profilu, możesz nadal edytować i używać utworzonych wcześniej wystąpień.

W przypadku profilów korzystających z nowego formatu ustawień Intune nie obsługuje już listy poszczególnych ustawień według nazwy. Zamiast tego nazwa każdego ustawienia, jego opcje konfiguracji i tekst objaśnienia widoczne w centrum administracyjnym Microsoft Intune są pobierane bezpośrednio z zawartości autorytatywnej ustawień. Ta zawartość może dostarczyć więcej informacji na temat korzystania z ustawienia w jego odpowiednim kontekście. Podczas wyświetlania tekstu informacji o ustawieniach możesz użyć linku Dowiedz się więcej , aby otworzyć tę zawartość.

  • Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI
    Zmniejszanie obszarów ataków za pomocą reguł zmniejszania obszaru ataków

    Ta reguła zmniejszania obszaru ataków (ASR) jest kontrolowana za pomocą następującego identyfikatora GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

    Ta reguła uniemożliwia złośliwemu oprogramowaniu nadużywanie usługi WMI w celu uzyskania trwałości na urządzeniu. Zagrożenia bez plików stosują różne taktyki, aby pozostać w ukryciu, aby uniknąć bycia widocznym w systemie plików i uzyskać okresową kontrolę nad wykonywaniem. Niektóre zagrożenia mogą nadużywać repozytorium WMI i modelu zdarzeń, aby pozostać w ukryciu.

    • Nie skonfigurowano (wartość domyślna) — ustawienie powraca do wartości domyślnej systemu Windows, która jest wyłączona, a trwałość nie jest zablokowana.
    • Blokuj — trwałość za pośrednictwem usługi WMI jest zablokowana.
    • Inspekcja — oceń, jak ta reguła wpływa na organizację, jeśli jest włączona (ustaw wartość Blokuj).
    • Wyłącz — wyłącz tę regułę. Trwałość nie jest zablokowana.

    Aby dowiedzieć się więcej na temat tego ustawienia, zobacz Blokuj trwałość za pośrednictwem subskrypcji zdarzeń WMI.

  • Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe)
    Chroń urządzenia przed wykorzystaniem

    Ta reguła zmniejszania obszaru ataków (ASR) jest kontrolowana za pomocą następującego identyfikatora GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej systemu Windows, która jest wyłączona.
    • Zdefiniowane przez użytkownika
    • Włącz — próby kradzieży poświadczeń za pośrednictwem lsass.exe są blokowane.
    • Tryb inspekcji — użytkownicy nie są blokowane z niebezpiecznych domen i zdarzenia systemu Windows są wywoływane zamiast.
    • Ostrzeżenie — w przypadku Windows 10 wersji 1809 lub nowszej i Windows 11 użytkownik urządzenia otrzymuje komunikat, że może pominąć ustawienie Blokuj. Na urządzeniach z wcześniejszymi wersjami Windows 10 reguła wymusza zachowanie Włącz.

  • Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych
    Zmniejszanie obszarów ataków za pomocą reguł zmniejszania obszaru ataków

    Ta reguła usługi ASR jest kontrolowana za pomocą następującego identyfikatora GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

    • Nie skonfigurowano (ustawienie domyślne) — domyślnym ustawieniem systemu Windows jest nieblokowanie tworzenia procesów podrzędnych.
    • Zdefiniowane przez użytkownika
    • Włącz — program Adobe Reader nie może tworzyć procesów podrzędnych.
    • Tryb inspekcji — zdarzenia systemu Windows są wywoływane zamiast blokowania procesów podrzędnych.
    • Ostrzeżenie — w przypadku Windows 10 wersji 1809 lub nowszej i Windows 11 użytkownik urządzenia otrzymuje komunikat, że może pominąć ustawienie Blokuj. Na urządzeniach z wcześniejszymi wersjami Windows 10 reguła wymusza zachowanie Włącz.

  • Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów
    Chroń urządzenia przed wykorzystaniem

    Ta reguła usługi ASR jest kontrolowana za pomocą następującego identyfikatora GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej systemu Windows, która jest wyłączona.
    • Blokuj — aplikacje pakietu Office nie mogą wprowadzać kodu do innych procesów.
    • Tryb inspekcji — zdarzenia systemu Windows są wywoływane zamiast blokowania.
    • Ostrzeżenie — w przypadku Windows 10 wersji 1809 lub nowszej i Windows 11 użytkownik urządzenia otrzymuje komunikat, że może pominąć ustawienie Blokuj. Na urządzeniach z wcześniejszymi wersjami Windows 10 reguła wymusza zachowanie Włącz.
    • Wyłącz — to ustawienie jest wyłączone.

  • Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office
    Chroń urządzenia przed wykorzystaniem

    Ta reguła usługi ASR jest kontrolowana za pomocą następującego identyfikatora GUID: 3B576869-A4EC-4529-8536-B80A7769E899

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej systemu Windows, która jest wyłączona.
    • Blokuj — aplikacje pakietu Office nie mogą tworzyć zawartości wykonywalnej.
    • Tryb inspekcji — zdarzenia systemu Windows są wywoływane zamiast blokowania.
    • Ostrzeżenie — w przypadku Windows 10 wersji 1809 lub nowszej i Windows 11 użytkownik urządzenia otrzymuje komunikat, że może pominąć ustawienie Blokuj. Na urządzeniach z wcześniejszymi wersjami Windows 10 reguła wymusza zachowanie Włącz.
    • Wyłącz — to ustawienie jest wyłączone.

  • Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office
    Chroń urządzenia przed wykorzystaniem

    Ta reguła usługi ASR jest kontrolowana za pomocą następującego identyfikatora GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej systemu Windows, która jest wyłączona.
    • Blokuj — aplikacje pakietu Office nie mogą tworzyć procesów podrzędnych.
    • Tryb inspekcji — zdarzenia systemu Windows są wywoływane zamiast blokowania.
    • Ostrzeżenie — w przypadku Windows 10 wersji 1809 lub nowszej i Windows 11 użytkownik urządzenia otrzymuje komunikat, że może pominąć ustawienie Blokuj. Na urządzeniach z wcześniejszymi wersjami Windows 10 reguła wymusza zachowanie Włącz.
    • Wyłącz — to ustawienie jest wyłączone.

  • Blokuj wywołania interfejsu API Win32 z makra pakietu Office
    Chroń urządzenia przed wykorzystaniem

    Ta reguła usługi ASR jest kontrolowana za pomocą następującego identyfikatora GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej systemu Windows, która jest wyłączona.
    • Blokuj — makra pakietu Office nie mogą używać wywołań interfejsu API Win32.
    • Tryb inspekcji — zdarzenia systemu Windows są wywoływane zamiast blokowania.
    • Ostrzeżenie — w przypadku Windows 10 wersji 1809 lub nowszej i Windows 11 użytkownik urządzenia otrzymuje komunikat, że może pominąć ustawienie Blokuj. Na urządzeniach z wcześniejszymi wersjami Windows 10 reguła wymusza zachowanie Włącz.
    • Wyłącz — to ustawienie jest wyłączone.

  • Blokuj aplikacjom komunikacyjnym pakietu Office możliwość tworzenia procesów podrzędnych
    Chroń urządzenia przed wykorzystaniem

    Ta reguła usługi ASR jest kontrolowana za pomocą następującego identyfikatora GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869.

    • Nie skonfigurowano (ustawienie domyślne) — przywracana jest wartość domyślna systemu Windows, która nie blokuje tworzenia procesów podrzędnych.
    • Zdefiniowane przez użytkownika
    • Włącz — aplikacje komunikacyjne pakietu Office nie mogą tworzyć procesów podrzędnych.
    • Tryb inspekcji — zdarzenia systemu Windows są wywoływane zamiast blokowania procesów podrzędnych.
    • Ostrzeżenie — w przypadku Windows 10 wersji 1809 lub nowszej i Windows 11 użytkownik urządzenia otrzymuje komunikat, że może pominąć ustawienie Blokuj. Na urządzeniach z wcześniejszymi wersjami Windows 10 reguła wymusza zachowanie Włącz.

  • Blokuj wykonywanie potencjalnie zaciemnionych skryptów (js/vbs/ps)
    Chroń urządzenia przed wykorzystaniem

    Ta reguła usługi ASR jest kontrolowana za pomocą następującego identyfikatora GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej systemu Windows, która jest wyłączona.
    • Blokuj — usługa Defender blokuje wykonywanie zaciemnionych skryptów.
    • Tryb inspekcji — zdarzenia systemu Windows są wywoływane zamiast blokowania.
    • Ostrzeżenie — w przypadku Windows 10 wersji 1809 lub nowszej i Windows 11 użytkownik urządzenia otrzymuje komunikat, że może pominąć ustawienie Blokuj. Na urządzeniach z wcześniejszymi wersjami Windows 10 reguła wymusza zachowanie Włącz.
    • Wyłącz — to ustawienie jest wyłączone.

  • Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript
    Chroń urządzenia przed wykorzystaniem

    Ta reguła usługi ASR jest kontrolowana za pomocą następującego identyfikatora GUID: D3E037E1-3EB8-44C8-A917-57927947596D

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej systemu Windows, która jest wyłączona.
    • Blokuj — usługa Defender blokuje wykonywanie plików JavaScript lub VBScript pobranych z Internetu.
    • Tryb inspekcji — zdarzenia systemu Windows są wywoływane zamiast blokowania.
    • Wyłącz — to ustawienie jest wyłączone.

  • Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI
    Chroń urządzenia przed wykorzystaniem

    Ta reguła usługi ASR jest kontrolowana za pomocą następującego identyfikatora GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej systemu Windows, która jest wyłączona.
    • Blokuj — tworzenie procesów za pomocą poleceń PSExec lub WMI jest blokowane.
    • Tryb inspekcji — zdarzenia systemu Windows są wywoływane zamiast blokowania.
    • Ostrzeżenie — w przypadku Windows 10 wersji 1809 lub nowszej i Windows 11 użytkownik urządzenia otrzymuje komunikat, że może pominąć ustawienie Blokuj. Na urządzeniach z wcześniejszymi wersjami Windows 10 reguła wymusza zachowanie Włącz.
    • Wyłącz — to ustawienie jest wyłączone.

  • Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB
    Chroń urządzenia przed wykorzystaniem

    Ta reguła usługi ASR jest kontrolowana za pomocą następującego identyfikatora GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej systemu Windows, która jest wyłączona.
    • Blokuj — niezaufane i niepodpisane procesy uruchamiane z dysku USB są blokowane.
    • Tryb inspekcji — zdarzenia systemu Windows są wywoływane zamiast blokowania.
    • Ostrzeżenie — w przypadku Windows 10 wersji 1809 lub nowszej i Windows 11 użytkownik urządzenia otrzymuje komunikat, że może pominąć ustawienie Blokuj. Na urządzeniach z wcześniejszymi wersjami Windows 10 reguła wymusza zachowanie Włącz.
    • Wyłącz — to ustawienie jest wyłączone.

  • Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryteria występowania, wieku lub listy zaufanych
    Chroń urządzenia przed wykorzystaniem

    Ta reguła usługi ASR jest kontrolowana za pomocą następującego identyfikatora GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25e

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej systemu Windows, która jest wyłączona.
    • Blokuj
    • Tryb inspekcji — zdarzenia systemu Windows są wywoływane zamiast blokowania.
    • Ostrzeżenie — w przypadku Windows 10 wersji 1809 lub nowszej i Windows 11 użytkownik urządzenia otrzymuje komunikat, że może pominąć ustawienie Blokuj. Na urządzeniach z wcześniejszymi wersjami Windows 10 reguła wymusza zachowanie Włącz.
    • Wyłącz — to ustawienie jest wyłączone.

  • Blokuj pobieranie zawartości wykonywalnej z klientów poczty e-mail i poczty internetowej
    Chroń urządzenia przed wykorzystaniem

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej systemu Windows, która jest wyłączona.
    • Blokuj — zawartość wykonywalna pobrana z klientów poczty e-mail i poczty internetowej jest zablokowana.
    • Tryb inspekcji — zdarzenia systemu Windows są wywoływane zamiast blokowania.
    • Ostrzeżenie — w przypadku Windows 10 wersji 1809 lub nowszej i Windows 11 użytkownik urządzenia otrzymuje komunikat, że może pominąć ustawienie Blokuj. Na urządzeniach z wcześniejszymi wersjami Windows 10 reguła wymusza zachowanie Włącz.
    • Wyłącz — to ustawienie jest wyłączone.

  • Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup
    Chroń urządzenia przed wykorzystaniem

    Ta reguła usługi ASR jest kontrolowana za pomocą następującego identyfikatora GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej systemu Windows, która jest wyłączona.
    • Zdefiniowane przez użytkownika
    • Umożliwiać
    • Tryb inspekcji — zdarzenia systemu Windows są wywoływane zamiast blokowania.

  • Włączanie ochrony folderów
    Zasady zabezpieczeń zawartości: EnableControlledFolderAccess

    • Nieskonfigurowane (ustawienie domyślne) — to ustawienie powraca do wartości domyślnej, która nie jest zablokowana dla odczytu ani zapisu.
    • Włącz — w przypadku niezaufanych aplikacji usługa Defender blokuje próby modyfikowania lub usuwania plików w folderach chronionych lub zapisu w sektorach dysków. Usługa Defender automatycznie określa, którym aplikacjom można ufać. Alternatywnie możesz zdefiniować własną listę zaufanych aplikacji.
    • Tryb inspekcji — zdarzenia systemu Windows są wywoływane, gdy niezaufane aplikacje uzyskują dostęp do kontrolowanych folderów, ale żadne bloki nie są wymuszane.
    • Blokuj modyfikowanie dysku — blokowane są tylko próby zapisu w sektorach dysków.
    • Inspekcja modyfikacji dysku — zdarzenia systemu Windows są wywoływane zamiast blokowania prób zapisu w sektorach dysków.

  • Lista dodatkowych folderów, które muszą być chronione
    Zasady zabezpieczeń zawartości: ControlledFolderAccessProtectedFolders

    Zdefiniuj listę lokalizacji dysków, które będą chronione przed niezaufanymi aplikacjami.

  • Lista aplikacji, które mają dostęp do chronionych folderów
    Zasady zabezpieczeń zawartości: ControlledFolderAccessAllowedApplications

    Zdefiniuj listę aplikacji, które mają dostęp do odczytu/zapisu w kontrolowanych lokalizacjach.

  • Wykluczanie plików i ścieżek z reguł zmniejszania obszaru ataków
    Zasady zabezpieczeń zawartości: AttackSurfaceReductionOnlyExclusions

    Rozwiń listę rozwijaną, a następnie wybierz pozycję Dodaj , aby zdefiniować ścieżkę do pliku lub folderu do wykluczenia z reguł zmniejszania obszaru ataków.

Profil sterowania urządzeniami

Kontrola urządzenia

Uwaga

W tej sekcji szczegółowo opisano ustawienia w profilach kontroli urządzeń utworzonych przed 23 maja 2022 r. Profile utworzone po tej dacie używają nowego formatu ustawień, jak można znaleźć w katalogu ustawień. Chociaż nie można już tworzyć nowych wystąpień oryginalnego profilu, możesz nadal edytować istniejące profile i korzystać z nich.

W przypadku profilów korzystających z nowego formatu ustawień Intune nie obsługuje już listy poszczególnych ustawień według nazwy. Zamiast tego nazwa każdego ustawienia, jego opcje konfiguracji i tekst objaśnienia widoczne w centrum administracyjnym Microsoft Intune są pobierane bezpośrednio z zawartości autorytatywnej ustawień. Ta zawartość może dostarczyć więcej informacji na temat korzystania z ustawienia w jego odpowiednim kontekście. Podczas wyświetlania tekstu informacji o ustawieniach możesz użyć linku Dowiedz się więcej , aby otworzyć tę zawartość.

  • Zezwalaj na instalację urządzeń sprzętowych według identyfikatorów urządzeń

    • Nie skonfigurowano(wartość domyślna)
    • Tak — system Windows może zainstalować lub zaktualizować dowolne urządzenie, którego identyfikator sprzętu Plug and Play lub zgodny identyfikator są wyświetlane na utworzonej liście, chyba że inne ustawienie zasad wyraźnie uniemożliwia tę instalację. Jeśli to ustawienie zasad zostanie włączone na serwerze pulpitu zdalnego, ustawienie zasad ma wpływ na przekierowanie określonych urządzeń z klienta pulpitu zdalnego do serwera pulpitu zdalnego.
    • Nie

    Po ustawieniu opcji Tak można skonfigurować następujące opcje:

    • Lista dozwolonych — użyj polecenia Dodaj, Importuj i Eksportuj , aby zarządzać listą identyfikatorów urządzeń.

  • Blokuj instalację urządzeń sprzętowych według identyfikatorów urządzeń
    Zasady zabezpieczeń zawartości: AllowInstallationOfMatchingDeviceIDs

    • Nie skonfigurowano(wartość domyślna)
    • Tak — określ listę identyfikatorów sprzętu Plug and Play i zgodnych identyfikatorów dla urządzeń, których instalacja systemu Windows nie jest zablokowana. Te zasady mają pierwszeństwo przed innymi ustawieniami zasad, które umożliwiają systemowi Windows zainstalowanie urządzenia. Jeśli to ustawienie zasad zostanie włączone na serwerze pulpitu zdalnego, ustawienie zasad ma wpływ na przekierowanie określonych urządzeń z klienta pulpitu zdalnego do serwera pulpitu zdalnego.
    • Nie

    Po ustawieniu opcji Tak można skonfigurować następujące opcje:

    • Usuwanie pasujących urządzeń sprzętowych

      • Tak
      • Nie skonfigurowano(wartość domyślna)

    • Lista zablokowanych — użyj polecenia Dodaj, Importuj i Eksportuj , aby zarządzać listą identyfikatorów urządzeń.

  • Zezwalaj na instalację urządzeń sprzętowych według klasy konfiguracji

    • Nie skonfigurowano(wartość domyślna)
    • Tak — system Windows może instalować lub aktualizować sterowniki urządzeń, których identyfikatory GUID klasy konfiguracji urządzenia są wyświetlane na utworzonej liście, chyba że inne ustawienie zasad w szczególności uniemożliwia tę instalację. Jeśli to ustawienie zasad zostanie włączone na serwerze pulpitu zdalnego, ustawienie zasad ma wpływ na przekierowanie określonych urządzeń z klienta pulpitu zdalnego do serwera pulpitu zdalnego.
    • Nie

    Po ustawieniu opcji Tak można skonfigurować następujące opcje:

    • Lista dozwolonych — użyj polecenia Dodaj, Importuj i Eksportuj , aby zarządzać listą identyfikatorów urządzeń.

  • Blokuj instalację urządzeń sprzętowych według klas konfiguracji
    Zasady zabezpieczeń zawartości: AllowInstallationOfMatchingDeviceSetupClasses

    • Nie skonfigurowano(wartość domyślna)
    • Tak — określ listę globalnie unikatowych identyfikatorów (GUID) klasy konfiguracji urządzenia dla sterowników urządzeń, których instalacja systemu Windows nie jest zablokowana. To ustawienie zasad ma pierwszeństwo przed każdym innym ustawieniem zasad, które umożliwia systemowi Windows zainstalowanie urządzenia. Jeśli to ustawienie zasad zostanie włączone na serwerze pulpitu zdalnego, ustawienie zasad ma wpływ na przekierowanie określonych urządzeń z klienta pulpitu zdalnego do serwera pulpitu zdalnego.
    • Nie

    Po ustawieniu opcji Tak można skonfigurować następujące opcje:

    • Usuwanie pasujących urządzeń sprzętowych

      • Tak
      • Nie skonfigurowano(wartość domyślna)

    • Lista zablokowanych — użyj polecenia Dodaj, Importuj i Eksportuj , aby zarządzać listą identyfikatorów urządzeń.

  • Zezwalaj na instalację urządzeń sprzętowych według identyfikatorów wystąpień urządzenia

    • Nie skonfigurowano(wartość domyślna)
    • Tak — system Windows może instalować lub aktualizować dowolne urządzenie, którego identyfikator wystąpienia urządzenia Plug and Play jest wyświetlany na utworzonej liście, chyba że inne ustawienie zasad wyraźnie uniemożliwia tę instalację. Jeśli to ustawienie zasad zostanie włączone na serwerze pulpitu zdalnego, ustawienie zasad ma wpływ na przekierowanie określonych urządzeń z klienta pulpitu zdalnego do serwera pulpitu zdalnego.
    • Nie

    Po ustawieniu opcji Tak można skonfigurować następujące opcje:

    • Lista dozwolonych — użyj polecenia Dodaj, Importuj i Eksportuj , aby zarządzać listą identyfikatorów urządzeń.

  • Blokuj instalację urządzeń sprzętowych według identyfikatorów wystąpień urządzeń
    Jeśli to ustawienie zasad zostanie włączone na serwerze pulpitu zdalnego, ustawienie zasad ma wpływ na przekierowanie określonych urządzeń z klienta pulpitu zdalnego do serwera pulpitu zdalnego.

    • Nie skonfigurowano(wartość domyślna)
    • Tak — określ listę identyfikatorów sprzętu Plug and Play i zgodnych identyfikatorów dla urządzeń, których instalacja systemu Windows nie jest zablokowana. Te zasady mają pierwszeństwo przed innymi ustawieniami zasad, które umożliwiają systemowi Windows zainstalowanie urządzenia. Jeśli to ustawienie zasad zostanie włączone na serwerze pulpitu zdalnego, ustawienie zasad ma wpływ na przekierowanie określonych urządzeń z klienta pulpitu zdalnego do serwera pulpitu zdalnego.
    • Nie

    Po ustawieniu opcji Tak można skonfigurować następujące opcje:

    • Usuwanie pasujących urządzeń sprzętowych

      • Tak
      • Nie skonfigurowano(wartość domyślna)

    • Lista zablokowanych — użyj polecenia Dodaj, Importuj i Eksportuj , aby zarządzać listą identyfikatorów urządzeń.

  • Blokowanie dostępu do zapisu w magazynie wymiennym
    Zasady zabezpieczeń zawartości: RemovableDiskDenyWriteAccess

    • Nie skonfigurowano(wartość domyślna)
    • Tak — odmowa dostępu do zapisu do magazynu wymiennego.
    • Nie — dostęp do zapisu jest dozwolony.

  • Skanowanie dysków wymiennych podczas pełnego skanowania
    Zasady zabezpieczeń zawartości: Defender/AllowFullScanRemovableDriveScanning

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej klienta, która skanuje dyski wymienne, jednak użytkownik może wyłączyć to skanowanie.
    • Tak — podczas pełnego skanowania skanowane są dyski wymienne (takie jak dyski flash USB).

  • Blokuj bezpośredni dostęp do pamięci
    Zasady zabezpieczeń zawartości: DataProtection/AllowDirectMemoryAccess

    To ustawienie zasad jest wymuszane tylko wtedy, gdy włączono funkcję BitLocker lub szyfrowanie urządzenia.

    • Nie skonfigurowano (wartość domyślna)
    • Tak — blokuj bezpośredni dostęp do pamięci (DMA) dla wszystkich portów podrzędnych PCI z możliwością podłączenia na gorąco, dopóki użytkownik nie zaloguje się do systemu Windows. Po zalogowaniu się użytkownika system Windows wylicza urządzenia PCI podłączone do portów PCI wtyczki hosta. Za każdym razem, gdy użytkownik blokuje maszynę, funkcja DMA jest blokowana na portach PCI z gorącą wtyczką bez urządzeń podrzędnych, dopóki użytkownik nie zaloguje się ponownie. Urządzenia, które zostały już wyliczone po odblokowaniu maszyny, będą nadal działać do momentu odłączenia.

  • Wyliczenie urządzeń zewnętrznych niezgodnych z ochroną DMA jądra
    Zasady zabezpieczeń zawartości: DmaGuard/DeviceEnumerationPolicy

    Te zasady mogą zapewniać dodatkowe zabezpieczenia przed zewnętrznymi urządzeniami z obsługą funkcji DMA. Umożliwia ona większą kontrolę nad wyliczaniem zewnętrznych urządzeń obsługujących funkcję DMA niezgodnych z funkcją Remapping DMA/izolacją pamięci urządzenia i piaskownicą.

    Te zasady obowiązują tylko wtedy, gdy ochrona DMA jądra jest obsługiwana i włączana przez oprogramowanie układowe systemu. Ochrona DMA jądra to funkcja platformy, która musi być obsługiwana przez system w momencie produkcji. Aby sprawdzić, czy system obsługuje ochronę DMA jądra, sprawdź pole Ochrona DMA jądra na stronie Podsumowanie MSINFO32.exe.

    • Nie skonfigurowano — (ustawienie domyślne)
    • Blokuj wszystko
    • Zezwalaj na wszystkie

  • Blokuj połączenia bluetooth
    Zasady zabezpieczeń zawartości: Bluetooth/AllowDiscoverableMode

    • Nie skonfigurowano (wartość domyślna)
    • Tak — blokuj połączenia bluetooth z urządzeniem i z urządzenia.

  • Blokuj odnajdywanie przez bluetooth
    Zasady zabezpieczeń zawartości: Bluetooth/AllowDiscoverableMode

    • Nie skonfigurowano (wartość domyślna)
    • Tak — uniemożliwia odnajdywanie urządzenia przez inne urządzenia z obsługą połączenia Bluetooth.

  • Blokowanie wstępnego parowania bluetooth
    Zasady zabezpieczeń zawartości: Bluetooth/AllowPrepairing

    • Nie skonfigurowano (wartość domyślna)
    • Tak — uniemożliwia automatyczne parowanie określonych urządzeń Bluetooth z urządzeniem hosta.

  • Blokuj reklamy bluetooth
    Dostawca usług kryptograficznych: Bluetooth/AllowAdvertising

    • Nie skonfigurowano (wartość domyślna)
    • Tak — uniemożliwia urządzeniu wysyłanie anonsów Bluetooth.

  • Blokuj połączenia proxy bluetooth
    Zasady zabezpieczeń zawartości: Bluetooth/AllowPromptedProximalConnections uniemożliwiają użytkownikom korzystanie z usługi Swift Pair i innych scenariuszy opartych na bliskości

    • Nie skonfigurowano (wartość domyślna)
    • Tak — uniemożliwia użytkownikowi urządzenia korzystanie z aplikacji Swift Pair i innych scenariuszy opartych na bliskości.

    Bluetooth/AllowPromptedProximalConnections CSP

  • Dozwolone usługi Bluetooth
    Zasady zabezpieczeń zawartości: Bluetooth/ServicesAllowedList.
    Aby uzyskać więcej informacji na liście usług, zobacz ServicesAllowedList usage guide (Przewodnik użycia ServicesAllowedList)

    • Dodaj — określ dozwolone usługi i profile Bluetooth jako ciągi szesnastkowe, takie jak {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}.
    • Importowanie — importowanie pliku .csv zawierającego listę usług i profilów bluetooth jako ciągi szesnastkowe, takie jak {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}

  • Magazyn wymienny
    Dostawca usług kryptograficznych: Storage/RemovableDiskDenyWriteAccess

    • Blokuj (ustawienie domyślne) — uniemożliwia użytkownikom korzystanie z zewnętrznych urządzeń magazynujących, takich jak karty SD z urządzeniem.
    • Nie skonfigurowano

  • Połączenia USB (tylko urządzenia HoloLens)
    Dostawca usług kryptograficznych: Łączność/AllowUSBConnection

    • Blokuj — uniemożliwia używanie połączenia USB między urządzeniem a komputerem do synchronizowania plików lub do wdrażania lub debugowania aplikacji przy użyciu narzędzi deweloperskich. Nie ma to wpływu na ładowanie usb.
    • Nie skonfigurowano (wartość domyślna)

Profil ochrony przed lukami w zabezpieczeniach

Ochrona przed wykorzystywaniem

Uwaga

W tej sekcji szczegółowo opisano ustawienia, które można znaleźć w profilach ochrony programu Exploit utworzonych przed 5 kwietnia 2022 r. Profile utworzone po tej dacie używają nowego formatu ustawień, jak można znaleźć w katalogu ustawień. Dzięki tej zmianie nie można już tworzyć nowych wersji starego profilu i nie są one już opracowywane. Mimo że nie można już tworzyć nowych wystąpień starszego profilu, możesz nadal edytować i używać utworzonych wcześniej wystąpień.

W przypadku profilów korzystających z nowego formatu ustawień Intune nie obsługuje już listy poszczególnych ustawień według nazwy. Zamiast tego nazwa każdego ustawienia, jego opcje konfiguracji i tekst objaśnienia widoczne w centrum administracyjnym Microsoft Intune są pobierane bezpośrednio z zawartości autorytatywnej ustawień. Ta zawartość może dostarczyć więcej informacji na temat korzystania z ustawienia w jego odpowiednim kontekście. Podczas wyświetlania tekstu informacji o ustawieniach możesz użyć linku Dowiedz się więcej , aby otworzyć tę zawartość.

  • Przekazywanie kodu XML
    Zasady zabezpieczeń zawartości: ExploitProtectionSettings

    Umożliwia administratorowi IT wypchnięcie konfiguracji reprezentującej żądane opcje ograniczania ryzyka dla systemu i aplikacji na wszystkich urządzeniach w organizacji. Konfiguracja jest reprezentowana przez plik XML. Ochrona przed lukami w zabezpieczeniach może pomóc chronić urządzenia przed złośliwym oprogramowaniem, które wykorzystuje luki w zabezpieczeniach do rozprzestrzeniania się i infekowania. Możesz użyć aplikacji Zabezpieczenia Windows lub programu PowerShell, aby utworzyć zestaw środków ograniczania ryzyka (nazywanych konfiguracją). Następnie można wyeksportować tę konfigurację jako plik XML i udostępnić ją wielu maszynom w sieci, aby wszystkie miały ten sam zestaw ustawień ograniczania ryzyka. Możesz również przekonwertować i zaimportować istniejący plik XML konfiguracji EMET do kodu XML konfiguracji ochrony przed lukami w zabezpieczeniach.

    Wybierz pozycję Wybierz plik XML, określ przekazywanie pliku XML, a następnie kliknij pozycję Wybierz.

    • Nie skonfigurowano (wartość domyślna)
    • Tak

  • Blokuj użytkownikom możliwość edytowania interfejsu ochrony funkcji Exploit Guard
    Dostawca usług kryptograficznych: DisallowExploitProtectionOverride

    • Nie skonfigurowano (ustawienie domyślne) — użytkownicy lokalni mogą wprowadzać zmiany w obszarze ustawień ochrony przed lukami w zabezpieczeniach.
    • Tak — uniemożliwia użytkownikom wprowadzanie zmian w obszarze ustawień ochrony przed lukami w zabezpieczeniach w Centrum zabezpieczeń usługi Microsoft Defender.

Profil ochrony sieci Web (Starsza wersja Microsoft Edge)

Web Protection (Starsza wersja Microsoft Edge)

  • Włączanie ochrony sieci
    Zasady zabezpieczeń zawartości: EnableNetworkProtection

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej systemu Windows, która jest wyłączona.
    • Zdefiniowane przez użytkownika
    • Włącz — ochrona sieci jest włączona dla wszystkich użytkowników w systemie.
    • Tryb inspekcji — użytkownicy nie są blokowane z niebezpiecznych domen i zdarzenia systemu Windows są wywoływane zamiast.

  • Wymagaj filtra SmartScreen dla przeglądarki Microsoft Edge
    Zasady zabezpieczeń zawartości: Browser/AllowSmartScreen

    • Tak — użyj filtru SmartScreen, aby chronić użytkowników przed potencjalnym wyłudzaniem informacji i złośliwym oprogramowaniem.
    • Nie skonfigurowano (wartość domyślna)

  • Blokuj dostęp do złośliwej witryny
    Zasady zabezpieczeń zawartości: Browser/PreventSmartScreenPromptOverride

    • Tak — zablokuj użytkownikom możliwość ignorowania Microsoft Defender ostrzeżeń filtru SmartScreen i blokowania ich przed przejściem do witryny.
    • Nie skonfigurowano (wartość domyślna)

  • Blokuj pobieranie niezweryfikowanych plików
    Dostawca usług kryptograficznych: Browser/PreventSmartScreenPromptOverrideForFiles

    • Tak — zablokuj użytkownikom ignorowanie ostrzeżeń filtru SmartScreen Microsoft Defender i blokowanie pobierania niezweryfikowanych plików.
    • Nie skonfigurowano (wartość domyślna)

Zmniejszanie obszaru ataków (ConfigMgr)

Profil programu Exploit Protection (ConfigMgr)(wersja zapoznawcza)

Exploit Protection

  • Przekazywanie kodu XML
    Zasady zabezpieczeń zawartości: ExploitProtectionSettings

    Umożliwia administratorowi IT wypchnięcie konfiguracji reprezentującej żądane opcje ograniczania ryzyka dla systemu i aplikacji na wszystkich urządzeniach w organizacji. Konfiguracja jest reprezentowana przez plik XML. Ochrona przed lukami w zabezpieczeniach może pomóc chronić urządzenia przed złośliwym oprogramowaniem, które wykorzystuje luki w zabezpieczeniach do rozprzestrzeniania się i infekowania. Możesz użyć aplikacji Zabezpieczenia Windows lub programu PowerShell, aby utworzyć zestaw środków ograniczania ryzyka (nazywanych konfiguracją). Następnie można wyeksportować tę konfigurację jako plik XML i udostępnić ją wielu maszynom w sieci, aby wszystkie miały ten sam zestaw ustawień ograniczania ryzyka. Możesz również przekonwertować i zaimportować istniejący plik XML konfiguracji EMET do kodu XML konfiguracji ochrony przed lukami w zabezpieczeniach.

    Wybierz pozycję Wybierz plik XML, określ przekazywanie pliku XML, a następnie kliknij pozycję Wybierz.

  • Nie zezwalaj na zastępowanie programu Exploit Protection
    Dostawca usług kryptograficznych: DisallowExploitProtectionOverride

    • Nie skonfigurowano (wartość domyślna )
    • (Wyłącz) Użytkownicy lokalni mogą wprowadzać zmiany w obszarze ustawień ochrony przed lukami w zabezpieczeniach.
    • (Włącz) Użytkownicy lokalni nie mogą wprowadzać zmian w obszarze ustawień ochrony przed lukami w zabezpieczeniach

Profil usługi Web Protection (ConfigMgr)(wersja zapoznawcza)

Ochrona w Sieci Web

  • Włącz ochronę sieci (urządzenie)
    Zasady zabezpieczeń zawartości: EnableNetworkProtection

    • Nie skonfigurowano (wartość domyślna)
    • Wyłączona
    • Włączone (tryb bloku)
    • Włączone (tryb inspekcji)

  • Zezwalaj na ekran inteligentny (urządzenie)
    Zasady zabezpieczeń zawartości: Browser/AllowSmartScreen

    • Nie skonfigurowano (wartość domyślna)
    • Blokuj
    • Zezwalaj

  • Zapobieganie zastąpieniu monitu o korzystanie z ekranu inteligentnego dla plików (urządzenie)
    Zasady zabezpieczeń zawartości: Browser/PreventSmartScreenPromptOverride

    • Nie skonfigurowano (wartość domyślna)
    • Wyłączona
    • Włączone

  • Zapobieganie zastąpieniu monitu o korzystanie z ekranu inteligentnego (urządzenie)
    Dostawca usług kryptograficznych: Browser/PreventSmartScreenPromptOverrideForFiles

    • Nie skonfigurowano (wartość domyślna)
    • Wyłączona
    • Włączone

Następne kroki

Zasady zabezpieczeń punktu końcowego dla usługi ASR