Política CSP - Segurança
AllowAddProvisioningPackage
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1507 [10.0.10240] e posterior |
./Device/Vendor/MSFT/Policy/Config/Security/AllowAddProvisioningPackage
Especifica se pretende permitir que o agente de configuração do runtime instale pacotes de aprovisionamento.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Não permitido. |
| 1 (Predefinição) | Permitido. |
AllowManualRootCertificateInstallation
Observação
Esta política foi preterida e poderá ser removida numa versão futura.
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ❌ Corporativo ❌ Educação ❌ Windows SE ❌ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ❌ |
✅Windows 10, versão 1507 [10.0.10240] e posterior |
./Device/Vendor/MSFT/Policy/Config/Security/AllowManualRootCertificateInstallation
Essa política foi preterida.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Não permitido. |
| 1 (Predefinição) | Permitido. |
AllowRemoveProvisioningPackage
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1507 [10.0.10240] e posterior |
./Device/Vendor/MSFT/Policy/Config/Security/AllowRemoveProvisioningPackage
Especifica se pretende permitir que o agente de configuração do runtime remova os pacotes de aprovisionamento.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Não permitido. |
| 1 (Predefinição) | Permitido. |
AntiTheftMode
Observação
Esta política foi preterida e poderá ser removida numa versão futura.
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Não aplicável | ✅Windows 10, versão 1507 [10.0.10240] e posterior |
./Device/Vendor/MSFT/Policy/Config/Security/AntiTheftMode
Essa política foi preterida.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Disabled. |
| 1 (Predefinição) | Enabled. |
ClearTPMIfNotReady
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/Security/ClearTPMIfNotReady
Esta definição de política configura o sistema para pedir ao utilizador para limpar o TPM se for detetado que o TPM está num estado diferente de Pronto. Esta política só entrará em vigor se o TPM do sistema estiver num estado diferente de Pronto, incluindo se o TPM estiver "Pronto, com funcionalidade reduzida". O pedido para limpar o TPM começará a ocorrer após o próximo reinício, apenas após o início de sessão do utilizador se o utilizador com sessão iniciada fizer parte do grupo Administradores do sistema. O pedido pode ser dispensado, mas voltará a aparecer após cada reinício e início de sessão até que a política seja desativada ou até o TPM estar no estado Pronto.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Não forçará a recuperação de um estado TPM não pronto. |
| 1 | Pedirá para limpar o TPM se o TPM estiver num estado não preparado (ou funcionalidade reduzida) que pode ser remediado com um TPM Clear. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | ClearTPMIfNotReady_Name |
| Nome Amigável | Configure o sistema para limpar o TPM se não estiver num estado pronto. |
| Local | Configuração do Computador |
| Caminho | Serviços de Módulos de Plataforma Fidedigna do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\TPM |
| Nome do Valor do Registro | ClearTPMIfNotReadyGP |
| Nome do Arquivo ADMX | TPM.admx |
ConfigurarWindowsPasswords
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/Security/ConfigureWindowsPasswords
Configura a utilização de palavras-passe para funcionalidades do Windows.
Observação
Esta política só é suportada no Windows 10 S.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 2 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Não permitir palavras-passe (as credenciais assimétricas serão promovidas para substituir palavras-passe nas funcionalidades do Windows). |
| 1 | Permitir palavras-passe (as palavras-passe continuam a poder ser utilizadas para funcionalidades do Windows). |
| 2 (Predefinição) | De acordo com as capacidades do SKU e do dispositivo. Windows 10 dispositivos S apresentarão a predefinição "Não permitir palavras-passe" e todos os outros dispositivos serão predefinidos como "Permitir palavras-passe"). |
PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1607 [10.0.14393] e posterior |
./Device/Vendor/MSFT/Policy/Config/Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
Especifica se pretende permitir a encriptação automática de dispositivos durante o OOBE quando o dispositivo está Microsoft Entra associado.
Para obter mais informações, veja Encriptação de Dispositivo BitLocker
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Encriptação ativada. |
| 1 | Encriptação desativada. |
RecoveryEnvironmentAuthentication
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ✅ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1809 [10.0.17763] e posterior |
./User/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
./Device/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
Esta política controla o requisito da Autenticação Administração em RecoveryEnvironment.
Procedimento de validação:
Para validar esta política, marcar se Atualizar ("Manter os meus ficheiros") e Repor ("Remover tudo") requer autenticação de administrador no Ambiente de Recuperação do Windows (WinRE).
- Primeiro, inicie a Reinicialização Rápida do Botão (PBR) no WinRE. Abra uma linha de comandos como administrador e execute o seguinte comando:
reagentc /boottore - O dispositivo deve reiniciar para WinRE. Na interface WinRE, aceda a Resolução de problemas e selecione Repor este PC. Deverá ver duas opções: Manter os meus ficheiros e Remover tudo.
- Selecione a opção para Manter os meus ficheiros. Veja o comportamento da autenticação.
- Selecione a seta para trás e selecione Remover tudo. Veja o comportamento da autenticação.
Em vez de voltar atrás, em alternativa, pode percorrer as opções de reposição e selecionar Cancelar na página de confirmação final. Em seguida, regressará à interface winRE main.
A tabela seguinte mostra o comportamento esperado para as definições de política em cada cenário:
- ✔️ Pede autenticação.
- ❌ Não é necessária autenticação e continua com as opções de reposição.
| Política | Manter os meus ficheiros | Remover tudo |
|---|---|---|
Predefinição (0) |
✔️ | ❌ |
RequireAuthentication" (1) |
✔️ | ✔️ |
NoRequireAuthentication" (2) |
❌ | ❌ |
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Comportamento atual). |
| 1 | RequireAuthentication: Administração a Autenticação é sempre necessária para componentes no RecoveryEnvironment. |
| 2 | NoRequireAuthentication: Administração a Autenticação não é necessária para componentes no RecoveryEnvironment. |
RequireDeviceEncryption
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1607 [10.0.14393] e posterior |
./Device/Vendor/MSFT/Policy/Config/Security/RequireDeviceEncryption
Permite que a empresa ative a encriptação de armazenamento interno. O valor de restrição máxima é 1. Importante. Se a encriptação tiver sido ativada, não pode ser desativada utilizando esta política.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | A encriptação não é necessária. |
| 1 | A encriptação é necessária. |
RequireProvisioningPackageSignature
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1507 [10.0.10240] e posterior |
./Device/Vendor/MSFT/Policy/Config/Security/RequireProvisioningPackageSignature
Especifica se os pacotes de aprovisionamento têm de ter um certificado assinado por uma autoridade fidedigna do dispositivo.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Não obrigatório. |
| 1 | Obrigatório. |
RequireRetrieveHealthCertificateOnBoot
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1507 [10.0.10240] e posterior |
./Device/Vendor/MSFT/Policy/Config/Security/RequireRetrieveHealthCertificateOnBoot
Especifica se pretende obter e publicar registos de Arranque do TCG e obter ou colocar em cache um Relatório de Atestado de Estado de Funcionamento encriptado ou assinado do Serviço de Atestado de Microsoft Health (HAS) quando um dispositivo arranca ou reinicia. Definir esta política como 1 (Obrigatório):D eterminas se um dispositivo é capaz de Atestado de Estado de Funcionamento Remoto do Dispositivo ao verificar se o dispositivo tem o TPM 2. 0. Melhora o desempenho do dispositivo ao permitir que o dispositivo obtenha e coloque dados em cache para reduzir a latência durante a Verificação do Estado de Funcionamento do Dispositivo.
Observação
Recomendamos que esta política esteja definida como Necessário após a inscrição mdm. O valor de restrição máxima é 1.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Não obrigatório. |
| 1 | Obrigatório. |