Поделиться через

Параметры политики сокращения направлений атак для безопасности конечных точек в Intune

  • Статья

Просмотрите параметры, которые можно настроить в профилях политики сокращения направлений атак в узле безопасности конечной точки Intune в рамках политики безопасности конечной точки.

Применимо к:

  • Windows 11
  • Windows 10

Поддерживаемые платформы и профили:

  • Windows 10 и более поздних версий. Используйте эту платформу для развертывания политик на устройствах, управляемых с помощью Intune.

    • Профиль: изоляция приложений и браузеров
    • Профиль: элемент управления приложениями
    • Профиль: правила сокращения направлений атаки
    • Профиль: элемент управления устройством
    • Профиль: защита от эксплойтов
    • Профиль: веб-защита (устаревшая версия Microsoft Edge)

  • Windows 10 и более поздних версий (ConfigMgr).Используйте эту платформу для развертывания политики на устройствах, управляемых Configuration Manager.

    • Профиль: Защита от эксплойтов(ConfigMgr)(предварительная версия)
    • Профиль: Веб-защита (ConfigMgr)(предварительная версия)

  • Windows 10, Windows 11 и Windows Server. Используйте эту платформу для развертывания политики на устройствах, управляемых с помощью управления безопасностью для Microsoft Defender для конечной точки.

    • Профиль: правила сокращения направлений атаки

Сокращение направлений атак (MDM)

Профиль изоляции приложений и браузеров

Примечание.

В этом разделе описаны параметры профилей изоляции приложений и браузеров, созданных до 18 апреля 2023 г. Профили, созданные после этой даты, используют новый формат параметров, который можно найти в каталоге параметров. Благодаря этому изменению вы больше не сможете создавать новые версии старого профиля, и они больше не разрабатываются. Хотя вы больше не можете создавать новые экземпляры старого профиля, вы можете продолжать редактировать и использовать созданные ранее экземпляры.

Для профилей, использующих новый формат параметров, Intune больше не ведет список всех параметров по имени. Вместо этого имя каждого параметра, его параметры конфигурации и пояснительный текст, который отображается в центре администрирования Microsoft Intune, берутся непосредственно из достоверного содержимого параметров. Это содержимое может предоставить дополнительные сведения об использовании параметра в правильном контексте. При просмотре текста со сведениями о параметрах можно использовать ссылку Подробнее , чтобы открыть это содержимое.

Изоляция приложений и браузеров

  • Включение Application Guard
    CSP: AllowWindowsDefenderApplicationGuard

    • Не настроено (по умолчанию) — Application Guard в Microsoft Defender не настроено для Microsoft Edge или изолированных сред Windows.
    • Включено для Edge. Application Guard открывает неутвержденные сайты в виртуализированном контейнере браузера Hyper-V.
    • Включено для изолированных сред Windows. Application Guard включен для любых приложений, включенных для App Guard в Windows.
    • Включено для пограничных и изолированных сред Windows. Application Guard настраивается для обоих сценариев.

    Примечание.

    Если вы развертываете Application Guard для Microsoft Edge с помощью Intune, политика сетевой изоляции Windows должна быть настроена в качестве необходимого условия. Сетевую изоляцию можно настроить с помощью различных профилей, включая изоляцию приложений и broswer в параметре сетевой изоляции Windows .

    Если задано значение Включено для Edge или Включено для пограничных и изолированных сред Windows, доступны следующие параметры, которые применяются к Edge:

    • Поведение буфера обмена
      CSP: ClipboardSettings

      Выберите, какие действия копирования и вставки разрешены с локального компьютера и Application Guard виртуального браузера.

      • Не настроено (по умолчанию)
      • Блокировка копирования и вставки между компьютером и браузером
      • Разрешить копирование и вставку только из браузера на компьютер
      • Разрешить копирование и вставку только с компьютера в браузер
      • Разрешить копирование и вставку между компьютером и браузером

    • Блокировка внешнего содержимого с сайтов, не утвержденных предприятиями
      CSP: BlockNonEnterpriseContent

      • Не настроено (по умолчанию)
      • Да — запретить загрузку содержимого с неутвержденных веб-сайтов.

    • Сбор журналов для событий, происходящих в Application Guard сеансе просмотра
      CSP: AuditApplicationGuard

      • Не настроено (по умолчанию)
      • Да — сбор журналов событий, происходящих в Application Guard сеансе виртуального просмотра.

    • Разрешить сохранение данных браузера, созданных пользователем
      CSP: AllowPersistence

      • Не настроено (по умолчанию)
      • Да— разрешить сохранение пользовательских данных, созданных во время сеанса виртуального просмотра Application Guard. Примеры данных пользователя включают пароли, избранное и файлы cookie.

    • Включение аппаратного ускорения графики
      CSP: AllowVirtualGPU

      • Не настроено (по умолчанию)
      • Да. В Application Guard сеансе виртуального просмотра используйте виртуальную единицу обработки графики, чтобы быстрее загружать ресурсоемкие веб-сайты.

    • Разрешить пользователям загружать файлы на узел
      CSP: SaveFilesToHost

      • Не настроено (по умолчанию)
      • Да — разрешить пользователям загружать файлы из виртуализированного браузера в операционную систему узла.

    • Application Guard разрешить доступ к камере и микрофону
      CSP: AllowCameraMicrophoneRedirection

      • Не настроено (по умолчанию) — приложения в Application Guard в Microsoft Defender не могут получить доступ к камере и микрофону на устройстве пользователя.
      • Да. Приложения внутри Application Guard в Microsoft Defender могут получать доступ к камере и микрофону на устройстве пользователя.
      • Нет . Приложения внутри Application Guard в Microsoft Defender не могут получить доступ к камере и микрофону на устройстве пользователя. Это то же поведение, что и не настроено.

  • Application Guard разрешает печать на локальных принтерах

    • Не настроено (по умолчанию)
    • Да — разрешить печать на локальных принтерах.

  • Application Guard позволяет выполнять печать на сетевых принтерах

    • Не настроено (по умолчанию)
    • Да — разрешить печать на сетевых принтерах.

  • Application Guard разрешает печать в PDF

    • Не настроено (по умолчанию)
    • Да — разрешить печать в PDF.

  • Application Guard разрешает печать в XPS

    • Не настроено (по умолчанию)
    • Да — разрешить печать в XPS.

  • Application Guard разрешить использование корневых центров сертификации с устройства пользователя
    CSP: CertificateThumbprints

    Настройте отпечатки сертификатов для автоматической передачи соответствующего корневого сертификата в контейнер Application Guard в Microsoft Defender.

    Чтобы добавить отпечатки по одному, нажмите кнопку Добавить. С помощью импорта можно указать файл .CSV, содержащий несколько записей отпечатков, которые добавляются в профиль одновременно. При использовании файла .CSV каждый отпечаток должен быть разделен запятой. Пример: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

    Все записи, перечисленные в профиле, активны. Вам не нужно ставить флажок для записи отпечатка, чтобы сделать ее активной. Вместо этого используйте флажки для управления записями, добавленными в профиль. Например, можно установить флажок для одной или нескольких записей отпечатка сертификата, а затем удалить эти записи из профиля одним действием.

  • Политика сетевой изоляции Windows

    • Не настроено (по умолчанию)
    • Да . Настройка политики сетевой изоляции Windows.

    Если задано значение Да, можно настроить следующие параметры:

    • Диапазоны IP-адресов
      Разверните раскрывающийся список, выберите Добавить, а затем укажите нижний, а затем верхний адрес.

    • Облачные ресурсы
      Разверните раскрывающийся список, выберите Добавить, а затем укажите IP-адрес или полное доменное имя и прокси-сервер.

    • Сетевые домены
      Разверните раскрывающийся список, выберите Добавить и укажите сетевые домены.

    • Прокси-серверы
      Разверните раскрывающийся список, выберите Добавить и укажите прокси-серверы.

    • Внутренние прокси-серверы
      Разверните раскрывающийся список, выберите Добавить и укажите Внутренние прокси-серверы.

    • Нейтральные ресурсы
      Разверните раскрывающийся список, выберите Добавить и укажите Нейтральные ресурсы.

    • Отключение автоматического обнаружения других корпоративных прокси-серверов

      • Не настроено (по умолчанию)
      • Да — отключить автоматическое обнаружение других корпоративных прокси-серверов.

    • Отключение автоматического обнаружения других диапазонов IP-адресов предприятия

      • Не настроено (по умолчанию)
      • Да — отключить автоматическое обнаружение других диапазонов IP-адресов предприятия.

    Примечание.

    После создания профиля все устройства, к которым должна применяться политика, будут Application Guard в Microsoft Defender включены. Пользователям может потребоваться перезапустить устройства, чтобы обеспечить защиту.

Профиль элемента управления приложениями

Управление приложениями Microsoft Defender

  • Управление приложениями в хранилище приложений
    CSP: AppLocker

    • Не настроено (по умолчанию)
    • Принудительное применение компонентов и приложений Магазина
    • Аудит компонентов и приложений Магазина
    • Применение компонентов, приложений Магазина и Smartlocker
    • Компоненты аудита, приложения Магазина и Smartlocker

  • Запретить пользователям игнорировать предупреждения SmartScreen
    CSP: SmartScreen/PreventOverrideForFilesInShell

    • Не настроено (по умолчанию) — пользователи могут игнорировать предупреждения SmartScreen для файлов и вредоносных приложений.
    • Да . SmartScreen включен, и пользователи не могут обходить предупреждения для файлов или вредоносных приложений.

  • Включение Windows SmartScreen
    CSP: SmartScreen/EnableSmartScreenInShell

    • Не настроено (по умолчанию) — верните параметр windows по умолчанию, который заключается в включении SmartScreen, однако пользователи могут изменить этот параметр. Чтобы отключить SmartScreen, используйте пользовательский URI.
    • Да — принудительное использование SmartScreen для всех пользователей.

Профиль правил сокращения направлений атак

Правила уменьшения поверхности атаки

Дополнительные сведения о правилах сокращения направлений атак см . в справочнике по правилам сокращения направлений атаки в документации по Microsoft 365.

Примечание.

В этом разделе описаны параметры профилей правил сокращения направлений атак, созданных до 5 апреля 2022 г. Профили, созданные после этой даты, используют новый формат параметров, который можно найти в каталоге параметров. Благодаря этому изменению вы больше не сможете создавать новые версии старого профиля, и они больше не разрабатываются. Хотя вы больше не можете создавать новые экземпляры старого профиля, вы можете продолжать редактировать и использовать созданные ранее экземпляры.

Для профилей, использующих новый формат параметров, Intune больше не ведет список всех параметров по имени. Вместо этого имя каждого параметра, его параметры конфигурации и пояснительный текст, который отображается в центре администрирования Microsoft Intune, берутся непосредственно из достоверного содержимого параметров. Это содержимое может предоставить дополнительные сведения об использовании параметра в правильном контексте. При просмотре текста со сведениями о параметрах можно использовать ссылку Подробнее , чтобы открыть это содержимое.

  • Блокировка сохраняемости с помощью подписки на события WMI
    Сокращение направлений атак с помощью правил сокращения направлений атак

    Это правило сокращения направлений атак (ASR) контролируется с помощью следующего GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

    Это правило не дает вредоносным программам использовать инструментарий WMI для сохранения на устройстве. Бесфайловые угрозы реализуют различные тактики, чтобы оставаться скрытыми, избегать обнаружения в файловой системе и иметь возможность периодически выполняться. Некоторые угрозы могут злоупотреблять репозиторием WMI и моделью событий, чтобы оставаться скрытыми.

    • Не настроено (по умолчанию) — параметр возвращает значение windows по умолчанию, которое отключено и сохраняемость не заблокирована.
    • Блокировать — сохраняемость через WMI заблокирована.
    • Аудит — позволяет оценить, как включение этого правила влияет на вашу организацию (установлено на "Блокировать").
    • Отключить — отключает правило. Сохраняемость не блокируется.

    Дополнительные сведения об этом параметре см. в статье Блокировка сохраняемости через подписку на события WMI.

  • Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe)
    Защита устройств от эксплойтов

    Это правило сокращения направлений атак (ASR) контролируется с помощью следующего GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • Не настроено (по умолчанию) — параметр возвращает значение windows по умолчанию, которое отключено.
    • Определяемый пользователем
    • Включить . Попытки кражи учетных данных через lsass.exe блокируются.
    • Режим аудита . Пользователи не заблокированы в опасных доменах, а вместо этого создаются события Windows.
    • Предупреждение. Для Windows 10 версии 1809 или более поздней и Windows 11 пользователь устройства получает сообщение о том, что он может обойти параметр Блокировать. На устройствах под управлением более ранних версий Windows 10 правило применяет поведение Enable.

  • Запретить Adobe Reader создавать дочерние процессы
    Сокращение направлений атак с помощью правил сокращения направлений атак

    Это правило ASR управляется с помощью следующего GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

    • Не настроено (по умолчанию) — Windows по умолчанию восстанавливается, а не блокирует создание дочерних процессов.
    • Определяемый пользователем
    • Включить — Adobe Reader не может создавать дочерние процессы.
    • Режим аудита — события Windows создаются вместо блокировки дочерних процессов.
    • Предупреждение. Для Windows 10 версии 1809 или более поздней и Windows 11 пользователь устройства получает сообщение о том, что он может обойти параметр Блокировать. На устройствах под управлением более ранних версий Windows 10 правило применяет поведение Enable.

  • Запрет приложений Office от внедрения кода в другие процессы
    Защита устройств от эксплойтов

    Это правило ASR управляется с помощью следующего GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • Не настроено (по умолчанию) — параметр возвращает значение windows по умолчанию, которое отключено.
    • Блокировать . Приложения Office не могут внедрять код в другие процессы.
    • Режим аудита — события Windows создаются вместо блокировки.
    • Предупреждение. Для Windows 10 версии 1809 или более поздней и Windows 11 пользователь устройства получает сообщение о том, что он может обойти параметр Блокировать. На устройствах под управлением более ранних версий Windows 10 правило применяет поведение Enable.
    • Отключить — этот параметр отключен.

  • Запрет приложениям Office создавать исполняемое содержимое
    Защита устройств от эксплойтов

    Это правило ASR управляется с помощью следующего GUID: 3B576869-A4EC-4529-8536-B80A7769E899

    • Не настроено (по умолчанию) — параметр возвращает значение windows по умолчанию, которое отключено.
    • Блокировать — приложениям Office запрещено создавать исполняемое содержимое.
    • Режим аудита — события Windows создаются вместо блокировки.
    • Предупреждение. Для Windows 10 версии 1809 или более поздней и Windows 11 пользователь устройства получает сообщение о том, что он может обойти параметр Блокировать. На устройствах под управлением более ранних версий Windows 10 правило применяет поведение Enable.
    • Отключить — этот параметр отключен.

  • Запретить всем приложениям Office создавать дочерние процессы
    Защита устройств от эксплойтов

    Это правило ASR управляется с помощью следующего GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • Не настроено (по умолчанию) — параметр возвращает значение windows по умолчанию, которое отключено.
    • Блокировать . Приложения Office не могут создавать дочерние процессы.
    • Режим аудита — события Windows создаются вместо блокировки.
    • Предупреждение. Для Windows 10 версии 1809 или более поздней и Windows 11 пользователь устройства получает сообщение о том, что он может обойти параметр Блокировать. На устройствах под управлением более ранних версий Windows 10 правило применяет поведение Enable.
    • Отключить — этот параметр отключен.

  • Блокировка вызовов API Win32 из макроса Office
    Защита устройств от эксплойтов

    Это правило ASR управляется с помощью следующего GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

    • Не настроено (по умолчанию) — параметр возвращает значение windows по умолчанию, которое отключено.
    • Блокировать . Макросы Office не могут использовать вызовы API Win32.
    • Режим аудита — события Windows создаются вместо блокировки.
    • Предупреждение. Для Windows 10 версии 1809 или более поздней и Windows 11 пользователь устройства получает сообщение о том, что он может обойти параметр Блокировать. На устройствах под управлением более ранних версий Windows 10 правило применяет поведение Enable.
    • Отключить — этот параметр отключен.

  • Запретить приложению Office для коммуникации создавать дочерние процессы
    Защита устройств от эксплойтов

    Это правило ASR управляется с помощью следующего GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869.

    • Не настроено (по умолчанию) — windows по умолчанию восстанавливается, то есть не блокирует создание дочерних процессов.
    • Определяемый пользователем
    • Включить — приложениям связи Office запрещено создавать дочерние процессы.
    • Режим аудита — события Windows создаются вместо блокировки дочерних процессов.
    • Предупреждение. Для Windows 10 версии 1809 или более поздней и Windows 11 пользователь устройства получает сообщение о том, что он может обойти параметр Блокировать. На устройствах под управлением более ранних версий Windows 10 правило применяет поведение Enable.

  • Блокировать выполнение потенциально скрытых скриптов (js/vbs/ps)
    Защита устройств от эксплойтов

    Это правило ASR управляется с помощью следующего GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • Не настроено (по умолчанию) — параметр возвращает значение windows по умолчанию, которое отключено.
    • Блокировать — Defender блокирует выполнение скрытых скриптов.
    • Режим аудита — события Windows создаются вместо блокировки.
    • Предупреждение. Для Windows 10 версии 1809 или более поздней и Windows 11 пользователь устройства получает сообщение о том, что он может обойти параметр Блокировать. На устройствах под управлением более ранних версий Windows 10 правило применяет поведение Enable.
    • Отключить — этот параметр отключен.

  • Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript
    Защита устройств от эксплойтов

    Это правило ASR управляется с помощью следующего GUID: D3E037E1-3EB8-44C8-A917-57927947596D

    • Не настроено (по умолчанию) — параметр возвращает значение windows по умолчанию, которое отключено.
    • Блокировать — Defender блокирует выполнение файлов JavaScript или VBScript, скачанных из Интернета.
    • Режим аудита — события Windows создаются вместо блокировки.
    • Отключить — этот параметр отключен.

  • Блокировать создание процессов из команд PSExec и WMI
    Защита устройств от эксплойтов

    Это правило ASR управляется с помощью следующего GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

    • Не настроено (по умолчанию) — параметр возвращает значение windows по умолчанию, которое отключено.
    • Блокировать . Процесс создания команд PSExec или WMI блокируется.
    • Режим аудита — события Windows создаются вместо блокировки.
    • Предупреждение. Для Windows 10 версии 1809 или более поздней и Windows 11 пользователь устройства получает сообщение о том, что он может обойти параметр Блокировать. На устройствах под управлением более ранних версий Windows 10 правило применяет поведение Enable.
    • Отключить — этот параметр отключен.

  • Блокировка недоверенных и неподписанных процессов, выполняемых с USB
    Защита устройств от эксплойтов

    Это правило ASR управляется с помощью следующего GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • Не настроено (по умолчанию) — параметр возвращает значение windows по умолчанию, которое отключено.
    • Блокировать . Ненадежные и неподписанные процессы, выполняемые с USB-накопителя, блокируются.
    • Режим аудита — события Windows создаются вместо блокировки.
    • Предупреждение. Для Windows 10 версии 1809 или более поздней и Windows 11 пользователь устройства получает сообщение о том, что он может обойти параметр Блокировать. На устройствах под управлением более ранних версий Windows 10 правило применяет поведение Enable.
    • Отключить — этот параметр отключен.

  • Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия.
    Защита устройств от эксплойтов

    Это правило ASR управляется с помощью следующего GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25e

    • Не настроено (по умолчанию) — параметр возвращает значение windows по умолчанию, которое отключено.
    • Блокировка
    • Режим аудита — события Windows создаются вместо блокировки.
    • Предупреждение. Для Windows 10 версии 1809 или более поздней и Windows 11 пользователь устройства получает сообщение о том, что он может обойти параметр Блокировать. На устройствах под управлением более ранних версий Windows 10 правило применяет поведение Enable.
    • Отключить — этот параметр отключен.

  • Блокировка загрузки исполняемого содержимого из клиентов электронной почты и веб-почты
    Защита устройств от эксплойтов

    • Не настроено (по умолчанию) — параметр возвращает значение windows по умолчанию, которое отключено.
    • Блокировать — исполняемое содержимое, скачаемое из клиентов электронной почты и веб-почты, блокируется.
    • Режим аудита — события Windows создаются вместо блокировки.
    • Предупреждение. Для Windows 10 версии 1809 или более поздней и Windows 11 пользователь устройства получает сообщение о том, что он может обойти параметр Блокировать. На устройствах под управлением более ранних версий Windows 10 правило применяет поведение Enable.
    • Отключить — этот параметр отключен.

  • Использование расширенной защиты от программ-шантажистов
    Защита устройств от эксплойтов

    Это правило ASR управляется с помощью следующего GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

    • Не настроено (по умолчанию) — параметр возвращает значение windows по умолчанию, которое отключено.
    • Определяемый пользователем
    • Enable
    • Режим аудита — события Windows создаются вместо блокировки.

  • Включение защиты папок
    CSP: EnableControlledFolderAccess

    • Не настроено (по умолчанию) — этот параметр возвращает значение по умолчанию, которое не блокирует чтение или запись.
    • Включить . Для ненадежных приложений Defender блокирует попытки изменения или удаления файлов в защищенных папках или записи в секторы диска. Defender автоматически определяет, каким приложениям можно доверять. Кроме того, можно определить собственный список доверенных приложений.
    • Режим аудита . События Windows возникают, когда ненадежные приложения обращаются к управляемым папкам, но блоки не применяются.
    • Блокировать изменение диска . Блокируются только попытки записи в секторы диска.
    • Аудит изменения диска . События Windows вызываются вместо блокировки попыток записи в секторы диска.

  • Список дополнительных папок, которые необходимо защитить
    CSP: ControlledFolderAccessProtectedFolders

    Определите список расположений дисков, которые будут защищены от ненадежных приложений.

  • Список приложений, имеющих доступ к защищенным папкам
    CSP: ControlledFolderAccessAllowedApplications

    Определите список приложений, имеющих доступ к доступу для чтения и записи в управляемых расположениях.

  • Исключение файлов и путей из правил сокращения направлений атак
    CSP: AttackSurfaceReductionOnlyExclusions

    Разверните раскрывающийся список и нажмите кнопку Добавить , чтобы определить путь к файлу или папке для исключения из правил сокращения направлений атак.

Профиль управления устройством

Управление устройствами

Примечание.

В этом разделе описаны параметры в профилях элементов управления устройствами, созданных до 23 мая 2022 г. Профили, созданные после этой даты, используют новый формат параметров, который можно найти в каталоге параметров. Хотя вы больше не можете создавать новые экземпляры исходного профиля, вы можете продолжать редактировать и использовать существующие профили.

Для профилей, использующих новый формат параметров, Intune больше не ведет список всех параметров по имени. Вместо этого имя каждого параметра, его параметры конфигурации и пояснительный текст, который отображается в центре администрирования Microsoft Intune, берутся непосредственно из достоверного содержимого параметров. Это содержимое может предоставить дополнительные сведения об использовании параметра в правильном контексте. При просмотре текста со сведениями о параметрах можно использовать ссылку Подробнее , чтобы открыть это содержимое.

  • Разрешить установку аппаратного устройства по идентификаторам устройств

    • Не настроено(по умолчанию)
    • Да . Windows может установить или обновить любое устройство, Plug and Play которого идентификатор оборудования или совместимый идентификатор отображается в создаваемом списке, если другой параметр политики специально не запрещает эту установку. Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.
    • Нет

    Если задано значение Да , можно настроить следующие параметры:

    • Список разрешенных — используйте команду Добавить, Импортировать и Экспортировать для управления списком идентификаторов устройств.

  • Блокировка установки оборудования с помощью идентификаторов устройств
    CSP: AllowInstallationOfMatchingDeviceIDs

    • Не настроено(по умолчанию)
    • Да . Укажите список Plug and Play идентификаторов оборудования и совместимых идентификаторов для устройств, которые Windows не может установить. Эта политика имеет приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство. Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.
    • Нет

    Если задано значение Да , можно настроить следующие параметры:

    • Удаление соответствующих аппаратных устройств

      • Да
      • Не настроено(по умолчанию)

    • Список блокировок — используйте команду Добавить, Импортировать и Экспортировать для управления списком идентификаторов устройств.

  • Разрешить установку аппаратного устройства по классу установки

    • Не настроено(по умолчанию)
    • Да . Windows может устанавливать или обновлять драйверы устройств, идентификаторы GUID класса установки устройств которых отображаются в создаваемом списке, если другой параметр политики специально не запрещает эту установку. Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.
    • Нет

    Если задано значение Да , можно настроить следующие параметры:

    • Список разрешенных — используйте команду Добавить, Импортировать и Экспортировать для управления списком идентификаторов устройств.

  • Блокировка установки аппаратного устройства по классам установки
    CSP: AllowInstallationOfMatchingDeviceSetupClasses

    • Не настроено(по умолчанию)
    • Да . Укажите список глобальных уникальных идентификаторов (GUID) для драйверов устройств, которые Windows не может установить. Этот параметр политики имеет приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство. Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.
    • Нет

    Если задано значение Да , можно настроить следующие параметры:

    • Удаление соответствующих аппаратных устройств

      • Да
      • Не настроено(по умолчанию)

    • Список блокировок — используйте команду Добавить, Импортировать и Экспортировать для управления списком идентификаторов устройств.

  • Разрешить установку аппаратного устройства по идентификаторам экземпляров устройств

    • Не настроено(по умолчанию)
    • Да . Windows может устанавливать или обновлять любое устройство, идентификатор экземпляра Plug and Play которого отображается в создаваемом списке, если другой параметр политики специально не запрещает эту установку. Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.
    • Нет

    Если задано значение Да , можно настроить следующие параметры:

    • Список разрешенных — используйте команду Добавить, Импортировать и Экспортировать для управления списком идентификаторов устройств.

  • Блокировка установки оборудования с помощью идентификаторов экземпляров устройств
    Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.

    • Не настроено(по умолчанию)
    • Да . Укажите список Plug and Play идентификаторов оборудования и совместимых идентификаторов для устройств, которые Windows не может установить. Эта политика имеет приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство. Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.
    • Нет

    Если задано значение Да , можно настроить следующие параметры:

    • Удаление соответствующих аппаратных устройств

      • Да
      • Не настроено(по умолчанию)

    • Список блокировок — используйте команду Добавить, Импортировать и Экспортировать для управления списком идентификаторов устройств.

  • Блокировка доступа на запись к съемной памяти
    CSP: RemovableDiskDenyWriteAccess

    • Не настроено(по умолчанию)
    • Да . Доступ на запись запрещен в съемном хранилище.
    • Нет — доступ на запись разрешен.

  • Проверка съемных дисков во время полной проверки
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • Не настроено (по умолчанию) — параметр возвращает значение по умолчанию для клиента, которое сканирует съемные диски, однако пользователь может отключить эту проверку.
    • Да . Во время полной проверки проверяются съемные диски (например, USB-устройства флэш-памяти).

  • Блокировка прямого доступа к памяти
    CSP: DataProtection/AllowDirectMemoryAccess

    Этот параметр политики применяется только в том случае, если включено шифрование BitLocker или устройства.

    • Не настроено (по умолчанию)
    • Да — блокировать прямой доступ к памяти (DMA) для всех нисходящих портов PCI с горячей заменой до тех пор, пока пользователь не войдет в Windows. После входа пользователя Windows перечисляет устройства PCI, подключенные к портам PCI. Каждый раз, когда пользователь блокирует компьютер, DMA блокируется на портах PCI с горячей заменой без дочерних устройств, пока пользователь снова не войдет в систему. Устройства, которые уже были перечислены при разблокировке компьютера, будут продолжать работать до отключения.

  • Перечисление внешних устройств, несовместимых с защитой DMA ядра
    CSP: DmaGuard/DeviceEnumerationPolicy

    Эта политика может обеспечить дополнительную безопасность для внешних устройств с поддержкой DMA. Это обеспечивает больший контроль над перечислением внешних устройств с поддержкой DMA, несовместимых с переназначением DMA и изоляцией памяти устройства и песочницей.

    Эта политика вступает в силу только в том случае, если встроенное ПО поддерживает и включает защиту DMA ядра. Защита DMA ядра — это функция платформы, которая должна поддерживаться системой во время производства. Чтобы проверка, поддерживает ли система защиту DMA ядра, проверка поле Защита DMA ядра на странице Сводка MSINFO32.exe.

    • Не настроено — (по умолчанию)
    • Блокировать все
    • Разрешить все

  • Блокировка bluetooth-подключений
    CSP: Bluetooth/AllowDiscoverableMode

    • Не настроено (по умолчанию)
    • Да — блокировать bluetooth-подключения к устройству и с устройства.

  • Блокировка возможности обнаружения bluetooth
    CSP: Bluetooth/AllowDiscoverableMode

    • Не настроено (по умолчанию)
    • Да — предотвращает обнаружение устройства другими устройствами с поддержкой Bluetooth.

  • Блокировка предварительного связывания bluetooth
    CSP: Bluetooth/AllowPrepairing

    • Не настроено (по умолчанию)
    • Да — запрещает автоматическое связывание определенных устройств Bluetooth с хост-устройством.

  • Блокировать рекламу bluetooth
    CSP: Bluetooth/AllowAdvertising

    • Не настроено (по умолчанию)
    • Да — запрещает устройству отправлять объявления Bluetooth.

  • Блокировка проксимальных подключений Bluetooth
    CSP: Bluetooth/AllowPromptedProximalConnections запрещает пользователям использовать Swift Pair и другие сценарии на основе близкого взаимодействия

    • Не настроено (по умолчанию)
    • Да — запрещает пользователю устройства использовать Swift Pair и другие сценарии на основе близкого взаимодействия.

    Bluetooth/AllowPromptedProximalConnections CSP

  • Разрешенные службы Bluetooth
    CSP: Bluetooth/ServicesAllowedList.
    Дополнительные сведения о списке служб см. в руководстве по использованию ServicesAllowedList.

    • Добавить — укажите разрешенные службы и профили Bluetooth в виде шестнадцатеричных строк, например {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}.
    • Импорт — импорт файла .csv, содержащего список служб и профилей Bluetooth в виде шестнадцатеричных строк, таких как {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}

  • Съемный носитель
    CSP: Storage/RemovableDiskDenyWriteAccess

    • Блокировать (по умолчанию) — запретить пользователям использовать внешние устройства хранения, например SD-карты с устройством.
    • Не настроено

  • USB-подключения (только HoloLens)
    CSP: Connectivity/AllowUSBConnection

    • Блокировать . Запрещает использование USB-подключения между устройством и компьютером для синхронизации файлов или использование средств разработчика для развертывания или отладки приложений. Зарядка через USB не затрагивается.
    • Не настроено (по умолчанию)

Профиль защиты от эксплойтов

Защита от эксплойтов

Примечание.

В этом разделе описаны параметры, которые можно найти в разделе Профили защиты от эксплойтов, созданные до 5 апреля 2022 г. Профили, созданные после этой даты, используют новый формат параметров, который можно найти в каталоге параметров. Благодаря этому изменению вы больше не сможете создавать новые версии старого профиля, и они больше не разрабатываются. Хотя вы больше не можете создавать новые экземпляры старого профиля, вы можете продолжать редактировать и использовать созданные ранее экземпляры.

Для профилей, использующих новый формат параметров, Intune больше не ведет список всех параметров по имени. Вместо этого имя каждого параметра, его параметры конфигурации и пояснительный текст, который отображается в центре администрирования Microsoft Intune, берутся непосредственно из достоверного содержимого параметров. Это содержимое может предоставить дополнительные сведения об использовании параметра в правильном контексте. При просмотре текста со сведениями о параметрах можно использовать ссылку Подробнее , чтобы открыть это содержимое.

  • Отправка XML
    CSP: ExploitProtectionSettings

    Позволяет ИТ-администратору вытеснить конфигурацию, представляющую требуемые параметры защиты системы и приложений для всех устройств в организации. Конфигурация представлена XML-файлом. Защита от эксплойтов помогает защитить устройства от вредоносных программ, которые используют эксплойты для распространения и заражения. Используйте приложение «Безопасность Windows» или PowerShell для создания набора мер по снижению рисков (называемых конфигурацией). Затем вы можете экспортировать эту конфигурацию в виде XML-файла и предоставить к ней общий доступ нескольким компьютерам в сети, чтобы все они имели одинаковый набор параметров защиты. Вы также можете преобразовать и импортировать существующий XML-файл конфигурации EMET в XML-файл конфигурации защиты от эксплойтов.

    Выберите Выбрать XML-файл, укажите отправку XML-файла и нажмите кнопку Выбрать.

    • Не настроено (по умолчанию)
    • Да

  • Запретить пользователям редактировать интерфейс защиты Exploit Guard
    CSP: DisallowExploitProtectionOverride

    • Не настроено (по умолчанию) — локальные пользователи могут вносить изменения в область параметров защиты от эксплойтов.
    • Да— запретить пользователям вносить изменения в область параметров защиты от эксплойтов в Центр безопасности в Microsoft Defender.

Профиль веб-защиты (устаревшая версия Microsoft Edge)

Веб-защита (устаревшая версия Microsoft Edge)

  • Включение защиты сети
    CSP: EnableNetworkProtection

    • Не настроено (по умолчанию) — параметр возвращает значение по умолчанию Windows, которое отключено.
    • Определяемый пользователем
    • Включить — защита сети включена для всех пользователей в системе.
    • Режим аудита . Пользователи не заблокированы в опасных доменах, а вместо этого создаются события Windows.

  • Требовать SmartScreen для Microsoft Edge
    CSP: Browser/AllowSmartScreen

    • Да . Используйте SmartScreen для защиты пользователей от потенциальных фишинговых атак и вредоносных программ.
    • Не настроено (по умолчанию)

  • Блокировка доступа к вредоносному сайту
    CSP: Browser/PreventSmartScreenPromptOverride

    • Да. Запретить пользователям игнорировать предупреждения фильтра SmartScreen Microsoft Defender и запретить им переход на сайт.
    • Не настроено (по умолчанию)

  • Блокировка непроверенного скачивания файла
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • Да— запретить пользователям игнорировать предупреждения фильтра SmartScreen Microsoft Defender и запретить им скачивание непроверенных файлов.
    • Не настроено (по умолчанию)

Сокращение направлений атак (ConfigMgr)

Защита от эксплойтов (ConfigMgr)(предварительная версия) профиль

Защита от эксплойтов

  • Отправка XML
    CSP: ExploitProtectionSettings

    Позволяет ИТ-администратору вытеснить конфигурацию, представляющую требуемые параметры защиты системы и приложений для всех устройств в организации. Конфигурация представлена XML-файлом. Защита от эксплойтов помогает защитить устройства от вредоносных программ, которые используют эксплойты для распространения и заражения. Используйте приложение «Безопасность Windows» или PowerShell для создания набора мер по снижению рисков (называемых конфигурацией). Затем вы можете экспортировать эту конфигурацию в виде XML-файла и предоставить к ней общий доступ нескольким компьютерам в сети, чтобы все они имели одинаковый набор параметров защиты. Вы также можете преобразовать и импортировать существующий XML-файл конфигурации EMET в XML-файл конфигурации защиты от эксплойтов.

    Выберите Выбрать XML-файл, укажите отправку XML-файла и нажмите кнопку Выбрать.

  • Запрет переопределения защиты от эксплойтов
    CSP: DisallowExploitProtectionOverride

    • Не настроено (по умолчанию)
    • (Отключить) Локальные пользователи могут вносить изменения в область параметров защиты от эксплойтов.
    • (Включить) Локальные пользователи не могут вносить изменения в область параметров защиты от эксплойтов

Профиль Web Protection (ConfigMgr)(предварительная версия)

Веб-защита

  • Включение защиты сети (устройство)
    CSP: EnableNetworkProtection

    • Не настроено (по умолчанию)
    • Disabled
    • Включено (блочный режим)
    • Включено (режим аудита)

  • Разрешить смарт-экран (устройство)
    CSP: Browser/AllowSmartScreen

    • Не настроено (по умолчанию)
    • Блокировка
    • Allow

  • Запретить переопределение запросов смарт-экрана для файлов (устройство)
    CSP: Browser/PreventSmartScreenPromptOverride

    • Не настроено (по умолчанию)
    • Disabled
    • Enabled

  • Запретить переопределение запросов smart screen (устройство)
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • Не настроено (по умолчанию)
    • Disabled
    • Enabled

Дальнейшие действия

Политика безопасности конечных точек для ASR