可以通过Intune Endpoint Protection 配置文件管理的 Windows 设置

注意

Intune支持的设置可能比本文中列出的设置更多。 并非所有设置都已记录,并且不会记录。 若要查看可以配置的设置,请创建设备配置策略,然后选择 “设置目录”。 有关详细信息,请转到设置目录

Microsoft Intune包括许多设置来帮助保护设备。 本文介绍设备配置 终结点保护 模板中的设置。 若要管理设备安全性,还可以使用 终结点安全策略,这些策略直接侧重于设备安全性的子集。 若要配置Microsoft Defender防病毒,请参阅 Windows 设备限制或使用终结点安全防病毒策略

开始之前

创建终结点保护设备配置文件

有关配置服务提供程序 (CSP) 的详细信息,请参阅 配置服务提供程序参考

Microsoft Defender 应用程序防护

对于 Microsoft Edge,Microsoft Defender 应用程序防护保护环境免受组织不信任的站点的防护。 使用 应用程序防护,不在隔离网络边界内的站点将在 Hyper-V 虚拟浏览会话中打开。 受信任的站点由网络边界定义,网络边界在设备配置中配置。 有关详细信息,请参阅 在 Windows 设备上创建网络边界

应用程序防护仅适用于 64 位 Windows 设备。 使用此配置文件会安装 Win32 组件以激活应用程序防护。

  • 应用程序防护
    默认值:未配置
    应用程序防护 CSP:设置/AllowWindowsDefenderApplicationGuard

    • 为 Edge 启用 - 启用此功能,可在 Hyper-V 虚拟化浏览容器中打开不受信任的站点。
    • 未配置 - 任何站点 (受信任和不受信任的) 都可以在设备上打开。
  • 剪贴板行为
    默认值:未配置
    应用程序防护 CSP:设置/剪贴板设置

    选择在本地电脑和应用程序防护虚拟浏览器之间允许的复制和粘贴操作。

    • 未配置
    • 仅允许从电脑复制和粘贴到浏览器
    • 仅允许从浏览器复制和粘贴到电脑
    • 允许在电脑和浏览器之间复制和粘贴
    • 阻止在电脑和浏览器之间复制和粘贴
  • 剪贴板内容
    仅当 剪贴板行为 设置为 允许 设置之一时,此设置才可用。
    默认值:未配置
    应用程序防护 CSP:Settings/ClipboardFileType

    选择允许的剪贴板内容。

    • 未配置
    • Text
    • Images
    • 文本和图像
  • 企业网站上的外部内容
    默认值:未配置
    应用程序防护 CSP:设置/BlockNonEnterpriseContent

    • 阻止 - 阻止未批准的网站中的内容加载。
    • 未配置 - 非企业站点可以在设备上打开。
  • 从虚拟浏览器打印
    默认值:未配置
    应用程序防护 CSP:设置/PrintingSettings

    • 允许 - 允许从虚拟浏览器打印所选内容。
    • 未配置 禁用所有打印功能。

    允许 打印时,可以配置以下设置:

    • 打印类型 (s) 选择以下一个或多个选项:
      • PDF
      • XPS
      • 本地打印机
      • 网络打印机
  • 收集日志
    默认值:未配置
    应用程序防护 CSP:Audit/AuditApplicationGuard

    • 允许 - 收集应用程序防护浏览会话中发生的事件的日志。
    • 未配置 - 不要在浏览会话中收集任何日志。
  • 保留用户生成的浏览器数据
    默认值:未配置
    应用程序防护 CSP:设置/AllowPersistence

    • 允许保存应用程序防护虚拟浏览会话期间创建的用户数据 (,例如密码、收藏夹和 cookie) 。
    • 未配置 当设备重启或用户注销时,放弃用户下载的文件和数据。
  • 图形加速
    默认值:未配置
    应用程序防护 CSP:设置/AllowVirtualGPU

    • 启用 - 通过访问虚拟图形处理单元来更快地加载图形密集型网站和视频。
    • 未配置 将设备的 CPU 用于图形;不要使用虚拟图形处理单元。
  • 下载文件以托管文件系统
    默认值:未配置
    应用程序防护 CSP:设置/SaveFilesToHost

    • 启用 - 用户可以将文件从虚拟化浏览器下载到主机操作系统。
    • 未配置 - 将文件保存在本地设备上,并且不会将文件下载到主机文件系统。

Windows 防火墙

全局设置

这些设置适用于所有网络类型。

  • 文件传输协议
    默认值:未配置
    防火墙 CSP: MdmStore/Global/DisableStatefulFtp

    • 阻止 - 禁用有状态 FTP。
    • 未配置 - 防火墙执行有状态 FTP 筛选以允许辅助连接。
  • 删除前的安全关联空闲时间
    默认值未配置
    防火墙 CSP: MdmStore/Global/SaIdleTime

    指定空闲时间(以秒为单位),之后会删除安全关联。

  • 预共享密钥编码
    默认值:未配置
    防火墙 CSP: MdmStore/Global/PresharedKeyEncoding

    • 启用 - 使用 UTF-8 对预排密钥进行编码。
    • 未配置 - 使用本地存储值对预排键进行编码。
  • IPsec 豁免
    默认值已选择 0
    防火墙 CSP: MdmStore/Global/IPsecExempt

    选择要从 IPsec 中免除的以下一种或多种流量类型:

    • 邻居发现 IPv6 ICMP 类型代码
    • ICMP
    • 路由器发现 IPv6 ICMP 类型代码
    • IPv4 和 IPv6 DHCP 网络流量
  • 证书吊销列表验证
    默认值:未配置
    防火墙 CSP: MdmStore/Global/CRLcheck

    选择设备验证证书吊销列表的方式。 选项包括:

    • 禁用 CRL 验证
    • 仅对吊销的证书进行 CRL 验证失败
    • 遇到任何错误时 CRL 验证失败
  • 机会性地匹配每个密钥模块的身份验证集
    默认值:未配置
    防火墙 CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • 使 密钥模块必须仅忽略它们不支持的身份验证套件。
    • 未配置,如果密钥模块不支持集中指定的所有身份验证套件,则必须忽略整个身份验证集。
  • 数据包队列
    默认值:未配置
    防火墙 CSP: MdmStore/Global/EnablePacketQueue

    为 IPsec 隧道网关方案指定如何为加密接收和明文转发启用接收端上的软件缩放。 此设置确认数据包顺序已保留。 选项包括:

    • 未配置
    • 禁用所有数据包队列
    • 仅对入站加密数据包进行排队
    • 执行解密后的队列数据包仅用于转发
    • 配置入站和出站数据包

网络设置

本文中每个设置一次列出,但全部都适用于三种特定网络类型:

  • 域 (工作区) 网络
  • 专用 (可发现) 网络
  • 公共 (不可发现的) 网络

一般信息

  • Windows 防火墙
    默认值:未配置
    防火墙 CSP: EnableFirewall

    • 启用 - 打开防火墙和高级安全性。
    • 未配置 允许所有网络流量,而不考虑任何其他策略设置。
  • 隐藏模式
    默认值:未配置
    防火墙 CSP: DisableStealthMode

    • 未配置
    • 阻止 - 阻止防火墙在隐藏模式下运行。 阻止隐藏模式还允许阻止 IPsec 安全数据包豁免
    • 允许 - 防火墙在隐藏模式下运行,这有助于防止对探测请求做出响应。
  • 使用隐藏模式的 IPsec 安全数据包豁免
    默认值:未配置
    防火墙 CSP: DisableStealthModeIpsecSecuredPacketExemption

    如果将 “隐藏模式 ”设置为“ 阻止”,则忽略此选项。

    • 未配置
    • 阻止 - IPSec 安全数据包不接收豁免。
    • 允许 - 启用豁免。 防火墙的隐身模式不能阻止主计算机响应 IPsec 保护的未经请求的网络流量。
  • 屏蔽
    默认值:未配置
    防火墙 CSP: 受防护

    • 未配置
    • 阻止 - 当 Windows 防火墙处于打开且此设置设置为 “阻止”时,将阻止所有传入流量,而不考虑其他策略设置。
    • 允许 - 设置为 “允许”时,此设置处于关闭状态,并且根据其他策略设置允许传入流量。
  • 对多播广播的单播响应
    默认值:未配置
    防火墙 CSP: DisableUnicastResponsesToMulticastBroadcast

    通常,你不希望接收对多播或广播消息的单播响应。 这些响应可能指示拒绝服务 (DOS) 攻击,或攻击者尝试探测已知的实时计算机。

    • 未配置
    • 阻止 - 禁用对多播广播的单播响应。
    • 允许 - 允许对多播广播进行单播响应。
  • 入站通知
    默认值:未配置
    防火墙 CSP: DisableInboundNotifications

    • 未配置
    • 阻止 - 隐藏在阻止应用侦听端口时使用的通知。
    • 允许 - 启用此设置,并在阻止应用侦听端口时向用户显示通知。
  • 出站连接的默认操作
    默认值:未配置
    防火墙 CSP: DefaultOutboundAction

    配置防火墙对出站连接执行的默认操作。 此设置将应用于 Windows 版本 1809 及更高版本。

    • 未配置
    • 阻止 - 默认防火墙操作不会对出站流量运行,除非显式指定不阻止。
    • 允许 - 默认防火墙操作在出站连接上运行。
  • 入站连接的默认操作
    默认值:未配置
    防火墙 CSP: DefaultInboundAction

    • 未配置
    • 阻止 - 默认防火墙操作不在入站连接上运行。
    • 允许 - 默认防火墙操作在入站连接上运行。

规则合并

  • 来自本地存储的授权应用程序 Windows 防火墙规则
    默认值:未配置
    防火墙 CSP: AuthAppsAllowUserPrefMerge

    • 未配置
    • 阻止 - 本地存储区中授权的应用程序防火墙规则将被忽略且不强制实施。
    • 允许 - 选择 “启用 在本地存储区中应用防火墙规则”,以便识别并强制实施这些规则。
  • 来自本地存储的全局端口 Windows 防火墙规则
    默认值:未配置
    防火墙 CSP: GlobalPortsAllowUserPrefMerge

    • 未配置
    • 阻止 - 将忽略本地存储中的全局端口防火墙规则,并且不会强制实施。
    • 允许 - 在本地存储中应用要识别和强制执行的全局端口防火墙规则。
  • 本地存储中的 Windows 防火墙规则
    默认值:未配置
    防火墙 CSP: AllowLocalPolicyMerge

    • 未配置
    • 阻止 - 忽略本地存储中的防火墙规则,并且不会强制实施。
    • 允许 - 在本地存储中应用要识别和强制执行的防火墙规则。
  • 本地存储中的 IPsec 规则
    默认值:未配置
    防火墙 CSP: AllowLocalIpsecPolicyMerge

    • 未配置
    • 阻止 - 无论架构版本和连接安全规则版本如何,都会忽略本地存储中的连接安全规则,并且不会强制实施。
    • 允许 - 从本地存储应用连接安全规则,而不考虑架构或连接安全规则版本。

防火墙规则

可以 添加 一个或多个自定义防火墙规则。 有关详细信息,请参阅 为 Windows 设备添加自定义防火墙规则

自定义防火墙规则支持以下选项:

常规设置

  • 名称
    默认值无名称

    为规则指定友好名称。 此名称将显示在规则列表中,以帮助你识别它。

  • 说明
    默认值无说明

    提供规则的说明。

  • 方向
    默认值:未配置
    防火墙 CSP: FirewallRules/FirewallRuleName/Direction

    指定此规则是应用于 入站流量还是 出站 流量。 设置为 “未配置”时,规则会自动应用于出站流量。

  • 操作
    默认值:未配置
    防火墙 CSP: FirewallRules/FirewallRuleName/ActionFirewallRules/FirewallRuleName/Action/Type

    “允许” 或“ 阻止”中选择。 设置为 “未配置”时,规则默认为允许流量。

  • 网络类型
    默认值:已选择 0
    防火墙 CSP: FirewallRules/FirewallRuleName/Profiles

    最多选择此规则所属的三种类型的网络类型。 选项包括 “域”、“ 专用”“公共”。 如果未选择任何网络类型,则规则适用于所有三种网络类型。

应用程序设置

  • 应用程序 ()
    默认值:全部

    控制应用或程序的连接。 可以通过文件路径包系列名称或服务名称来指定应用和程序:

    • 包系列名称 – 指定包系列名称。 若要查找包系列名称,请使用 PowerShell 命令 Get-AppxPackage
      防火墙 CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName

    • 文件路径 – 必须在客户端设备上指定应用的文件路径,该路径可以是绝对路径,也可以是相对路径。 例如:C:\Windows\System\Notepad.exe 或 %WINDIR%\Notepad.exe。
      防火墙 CSP: FirewallRules/FirewallRuleName/App/FilePath

    • Windows 服务 – 如果 Windows 服务是一个服务,而不是用于发送或接收流量的应用程序,请指定 Windows 服务短名称。 若要查找服务短名称,请使用 PowerShell 命令 Get-Service
      防火墙 CSP: FirewallRules/FirewallRuleName/App/ServiceName

    • 全部 - 无需配置

IP 地址设置

指定应用此规则的本地和远程地址。

  • 本地地址
    默认值:任何地址
    防火墙 CSP: FirewallRules/FirewallRuleName/LocalPortRanges

    选择“ 任何地址 ”或 “指定地址”。

    使用 指定地址时,可以添加一个或多个地址作为规则涵盖的本地地址的逗号分隔列表。 有效令牌包括:

    • 对任何本地地址使用星号*。 如果使用星号,它必须是你使用的唯一令牌。
    • 通过子网掩码或网络前缀表示法指定子网。 如果未指定子网掩码或网络前缀,则子网掩码默认为 255.255.255.255。
    • 有效的 IPv6 地址。
    • 格式为“开始地址 - 结束地址”的 IPv4 地址范围,不包含空格。
    • 采用“开始地址 - 结束地址”格式的 IPv6 地址范围,不包含空格。
  • 远程地址
    默认值:任何地址
    防火墙 CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

    选择“ 任何地址 ”或 “指定地址”。

    使用 指定地址时,可将一个或多个地址添加为规则涵盖的以逗号分隔的远程地址列表。 令牌不区分大小写。 有效令牌包括:

    • 对任何远程地址使用星号“*”。 如果使用星号,它必须是你使用的唯一令牌。
    • Defaultgateway
    • DHCP
    • DNS
    • WINS
    • Intranet windows 版本 1809 及更高版本支持 ()
    • RmtIntranet windows 版本 1809 及更高版本支持 ()
    • Internet windows 版本 1809 及更高版本支持 ()
    • Ply2Renders windows 版本 1809 及更高版本支持 ()
    • LocalSubnet 指示本地子网上的任何本地地址。
    • 通过子网掩码或网络前缀表示法指定子网。 如果未指定子网掩码或网络前缀,则子网掩码默认为 255.255.255.255。
    • 有效的 IPv6 地址。
    • 格式为“开始地址 - 结束地址”的 IPv4 地址范围,不包含空格。
    • 采用“开始地址 - 结束地址”格式的 IPv6 地址范围,不包含空格。

端口和协议设置

指定应用此规则的本地和远程端口。

高级配置

Microsoft Defender SmartScreen 设置

Microsoft Edge 必须安装在设备上。

  • 适用于应用和文件的 SmartScreen
    默认值:未配置
    SmartScreen CSP: SmartScreen/EnableSmartScreenInShell

    • 未配置 - 禁用 SmartScreen 的使用。
    • 启用 - 为文件执行和运行应用启用 Windows SmartScreen。 SmartScreen 是基于云的反钓鱼和反恶意软件组件。
  • 未经验证的文件执行
    默认值:未配置
    SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell

    • 未配置 - 禁用此功能,并允许最终用户运行未经验证的文件。
    • 阻止 - 阻止最终用户运行未经 Windows SmartScreen 验证的文件。

Windows 加密

Windows 设置

  • 加密设备
    默认值:未配置
    BitLocker CSP: RequireDeviceEncryption

    • 需要 - 提示用户启用设备加密。 根据 Windows 版本和系统配置,可能会询问用户:
      • 确认未启用来自其他提供程序的加密。
      • 需要关闭 BitLocker 驱动器加密,然后重新打开 BitLocker。
    • 未配置

    如果在另一种加密方法处于活动状态时打开 Windows 加密,设备可能会变得不稳定。

BitLocker 基本设置

基本设置是所有类型的数据驱动器的通用 BitLocker 设置。 这些设置管理最终用户可跨所有类型的数据驱动器修改的驱动器加密任务或配置选项。

  • 针对其他磁盘加密的警告
    默认值:未配置
    BitLocker CSP: AllowWarningForOtherDiskEncryption

    • 阻止 - 如果设备上有另一个磁盘加密服务,则禁用警告提示。
    • 未配置 - 允许显示其他磁盘加密的警告。

    提示

    若要在Microsoft Entra加入并运行 Windows 1809 或更高版本的设备上以无提示方式自动安装 BitLocker,必须将此设置设置为“阻止”。 有关详细信息,请参阅 在设备上以静默方式启用 BitLocker

    设置为 “阻止”时,可以配置以下设置:

    • 允许标准用户在加入Microsoft Entra期间启用加密
      此设置仅适用于Microsoft Entra联接 (Azure ADJ) 设备,具体取决于以前的设置 Warning for other disk encryption
      默认值:未配置
      BitLocker CSP: AllowStandardUserEncryption

      • 允许 - Standard用户 (非管理员) 登录时可以启用 BitLocker 加密。
      • 未配置 ,只有管理员可以在设备上启用 BitLocker 加密。

    提示

    若要在Microsoft Entra加入并运行 Windows 1809 或更高版本的设备上自动且无提示地安装 BitLocker,必须将此设置设置为“允许”。 有关详细信息,请参阅 在设备上以静默方式启用 BitLocker

  • 配置加密方法
    默认值:未配置
    BitLocker CSP: EncryptionMethodByDriveType

    • 启用 - 为操作系统、数据和可移动驱动器配置加密算法。
    • 未配置 - BitLocker 使用 XTS-AES 128 位作为默认加密方法,或使用任何安装脚本指定的加密方法。

    设置为 “启用”时,可以配置以下设置:

    • 操作系统驱动器的加密
      默认值:XTS-AES 128 位

      选择操作系统驱动器的加密方法。 建议使用 XTS-AES 算法。

      • AES-CBC 128 位
      • AES-CBC 256 位
      • XTS-AES 128 位
      • XTS-AES 256 位
    • 固定数据驱动器的加密
      默认值:AES-CBC 128 位

      为固定 (内置) 数据驱动器选择加密方法。 建议使用 XTS-AES 算法。

      • AES-CBC 128 位
      • AES-CBC 256 位
      • XTS-AES 128 位
      • XTS-AES 256 位
    • 可移动数据驱动器的加密
      默认值:AES-CBC 128 位

      选择可移动数据驱动器的加密方法。 如果可移动驱动器用于未运行 Windows 10/11 的设备,则建议使用 AES-CBC 算法。

      • AES-CBC 128 位
      • AES-CBC 256 位
      • XTS-AES 128 位
      • XTS-AES 256 位

BitLocker OS 驱动器设置

这些设置专门应用于操作系统数据驱动器。

  • 启动时的其他身份验证
    默认值:未配置
    BitLocker CSP: SystemDrivesRequireStartupAuthentication

    • 需要 - 配置计算机启动的身份验证要求,包括使用受信任的平台模块 (TPM) 。
    • 未配置 - 仅在具有 TPM 的设备上配置基本选项。

    设置为 “需要”时,可以配置以下设置:

    • 具有不兼容 TPM 芯片的 BitLocker
      默认值:未配置

      • 阻止 - 当设备没有兼容的 TPM 芯片时,禁止使用 BitLocker。
      • 未配置 - 用户可以在没有兼容的 TPM 芯片的情况下使用 BitLocker。 BitLocker 可能需要密码或启动密钥。
    • 兼容的 TPM 启动
      默认值:允许 TPM

      配置是允许、必需还是不允许 TPM。

      • 允许 TPM
      • 不允许 TPM
      • 需要 TPM
    • 兼容的 TPM 启动 PIN
      默认值:允许使用 TPM 启动 PIN

      选择允许、不允许或要求对 TPM 芯片使用启动 PIN。 启用启动 PIN 需要最终用户的交互。

      • 允许使用 TPM 启动 PIN
      • 不允许使用 TPM 启动 PIN
      • 需要使用 TPM 启动 PIN

      提示

      若要在Microsoft Entra加入并运行 Windows 1809 或更高版本的设备上自动且无提示地安装 BitLocker,此设置不得设置为“需要具有 TPM 的启动 PIN”。 有关详细信息,请参阅 在设备上以静默方式启用 BitLocker

    • 兼容的 TPM 启动密钥
      默认值:允许使用 TPM 的启动密钥

      选择允许、不允许或要求对 TPM 芯片使用启动密钥。 启用启动密钥需要最终用户的交互。

      • 允许使用 TPM 的启动密钥
      • 不允许使用 TPM 启动密钥
      • 需要使用 TPM 的启动密钥

      提示

      若要在Microsoft Entra加入并运行 Windows 1809 或更高版本的设备上自动且无提示地安装 BitLocker,不得将此设置设置为“使用 TPM 需要启动密钥”。 有关详细信息,请参阅 在设备上以静默方式启用 BitLocker

    • 兼容的 TPM 启动密钥和 PIN
      默认值:允许使用 TPM 的启动密钥和 PIN

      选择允许、不允许或要求对 TPM 芯片使用启动密钥和 PIN。 启用启动密钥和 PIN 需要最终用户的交互。

      • 允许使用 TPM 的启动密钥和 PIN
      • 不允许使用 TPM 的启动密钥和 PIN
      • 需要具有 TPM 的启动密钥和 PIN

      提示

      若要在Microsoft Entra加入并运行 Windows 1809 或更高版本的设备上以无提示方式自动安装 BitLocker,则此设置不得设置为“需要具有 TPM 的启动密钥和 PIN”。 有关详细信息,请参阅 在设备上以静默方式启用 BitLocker

  • 最小 PIN 长度
    默认值:未配置
    BitLocker CSP: SystemDrivesMinimumPINLength

    • 使 为 TPM 启动 PIN 配置最小长度。
    • 未配置 - 用户可以配置 6 到 20 位之间的任意长度的启动 PIN。

    设置为 “启用”时,可以配置以下设置:

    • 最小字符数
      默认值未配置 BitLocker CSP: SystemDrivesMinimumPINLength

      输入启动 PIN 所需的字符数(从 4-20 开始)。

  • OS 驱动器恢复
    默认值:未配置
    BitLocker CSP: SystemDrivesRecoveryOptions

    • 启用 - 控制在所需的启动信息不可用时受 BitLocker 保护的操作系统驱动器如何恢复。
    • 未配置 - 支持默认恢复选项,包括 DRA。 最终用户可以指定恢复选项。 恢复信息不会备份到 AD DS。

    设置为 “启用”时,可以配置以下设置:

    • 基于证书的数据恢复代理
      默认值:未配置

      • 阻止 - 阻止对受 BitLocker 保护的 OS 驱动器使用数据恢复代理。
      • 未配置 - 允许数据恢复代理与受 BitLocker 保护的操作系统驱动器一起使用。
    • 用户创建恢复密码
      默认值:允许 48 位恢复密码

      选择是允许、必需还是不允许用户生成 48 位恢复密码。

      • 允许 48 位恢复密码
      • 不允许使用 48 位恢复密码
      • 需要 48 位恢复密码
    • 用户创建恢复密钥
      默认值:允许 256 位恢复密钥

      选择是允许、必需还是不允许用户生成 256 位恢复密钥。

      • 允许 256 位恢复密钥
      • 不允许 256 位恢复密钥
      • 需要 256 位恢复密钥
    • BitLocker 安装向导中的恢复选项
      默认值:未配置

      • 阻止 - 用户无法查看和更改恢复选项。 设置为 时
      • 未配置 - 用户可在打开 BitLocker 时查看和更改恢复选项。
    • 将 BitLocker 恢复信息保存到Microsoft Entra ID
      默认值:未配置

      • 启用 - 将 BitLocker 恢复信息存储到Microsoft Entra ID。
      • 未配置 - BitLocker 恢复信息不存储在 Microsoft Entra ID 中。
    • 存储到Microsoft Entra ID的 BitLocker 恢复信息
      默认值:备份恢复密码和密钥包

      配置 BitLocker 恢复信息存储在 Microsoft Entra ID 中的哪些部分。 从以下项中进行选择:

      • 备份恢复密码和密钥包
      • 仅备份恢复密码
    • 客户端驱动的恢复密码轮换
      默认值:未配置
      BitLocker CSP: ConfigureRecoveryPasswordRotation

      此设置在使用 bootmgr 或 WinRE) 的 OS 驱动器恢复 (后启动客户端驱动的恢复密码轮换。

      • 未配置
      • 密钥轮换已禁用
      • 为Microsoft Entra联接的 deice 启用密钥轮换
      • 为已加入Microsoft Entra ID和混合联接的设备启用密钥轮换
    • 在启用 BitLocker 之前将恢复信息存储在 Microsoft Entra ID
      默认值:未配置

      除非计算机成功将 BitLocker 恢复信息备份到Microsoft Entra ID,否则阻止用户启用 BitLocker。

      • 必需 - 除非 BitLocker 恢复信息已成功存储在 Microsoft Entra ID 中,否则阻止用户打开 BitLocker。
      • 未配置 - 即使恢复信息未成功存储在 Microsoft Entra ID 中,用户也可以打开 BitLocker。
  • 预启动恢复消息和 URL
    默认值:未配置
    BitLocker CSP: SystemDrivesRecoveryMessage

    • 启用 - 配置预启动密钥恢复屏幕上显示的消息和 URL。
    • 未配置 - 禁用此功能。

    设置为 “启用”时,可以配置以下设置:

    • 预启动恢复消息
      默认值:使用默认恢复消息和 URL

      配置预启动恢复消息向用户显示的方式。 从以下项中进行选择:

      • 使用默认恢复消息和 URL
      • 使用空的恢复消息和 URL
      • 使用自定义恢复消息
      • 使用自定义恢复 URL

BitLocker 固定数据驱动器设置

这些设置专门应用于固定数据驱动器。

  • 对不受 BitLocker 保护的固定数据驱动器的写入访问权限
    默认值:未配置
    BitLocker CSP: FixedDrivesRequireEncryption

    • 阻止 - 授予对不受 BitLocker 保护的数据驱动器的只读访问权限。
    • 未配置 - 默认情况下,对未加密的数据驱动器进行读写访问。
  • 固定驱动器恢复
    默认值:未配置
    BitLocker CSP: FixedDrivesRecoveryOptions

    • 启用 - 控制在所需的启动信息不可用时受 BitLocker 保护的固定驱动器如何恢复。
    • 未配置 - 禁用此功能。

    设置为 “启用”时,可以配置以下设置:

    • 数据恢复代理
      默认值:未配置

      • 阻止 - 阻止将数据恢复代理与受 BitLocker 保护的固定驱动器一起使用 策略编辑器。
      • 未配置 - 允许对受 BitLocker 保护的固定驱动器使用数据恢复代理。
    • 用户创建恢复密码
      默认值:允许 48 位恢复密码

      选择是允许、必需还是不允许用户生成 48 位恢复密码。

      • 允许 48 位恢复密码
      • 不允许使用 48 位恢复密码
      • 需要 48 位恢复密码
    • 用户创建恢复密钥
      默认值:允许 256 位恢复密钥

      选择是允许、必需还是不允许用户生成 256 位恢复密钥。

      • 允许 256 位恢复密钥
      • 不允许 256 位恢复密钥
      • 需要 256 位恢复密钥
    • BitLocker 安装向导中的恢复选项
      默认值:未配置

      • 阻止 - 用户无法查看和更改恢复选项。 设置为 时
      • 未配置 - 用户可在打开 BitLocker 时查看和更改恢复选项。
    • 将 BitLocker 恢复信息保存到Microsoft Entra ID
      默认值:未配置

      • 启用 - 将 BitLocker 恢复信息存储到Microsoft Entra ID。
      • 未配置 - BitLocker 恢复信息不存储在 Microsoft Entra ID 中。
    • 存储到Microsoft Entra ID的 BitLocker 恢复信息
      默认值:备份恢复密码和密钥包

      配置 BitLocker 恢复信息存储在 Microsoft Entra ID 中的哪些部分。 从以下项中进行选择:

      • 备份恢复密码和密钥包
      • 仅备份恢复密码
    • 在启用 BitLocker 之前将恢复信息存储在 Microsoft Entra ID
      默认值:未配置

      除非计算机成功将 BitLocker 恢复信息备份到Microsoft Entra ID,否则阻止用户启用 BitLocker。

      • 必需 - 除非 BitLocker 恢复信息已成功存储在 Microsoft Entra ID 中,否则阻止用户打开 BitLocker。
      • 未配置 - 即使恢复信息未成功存储在 Microsoft Entra ID 中,用户也可以打开 BitLocker。

BitLocker 可移动数据驱动器设置

这些设置专门应用于可移动数据驱动器。

  • 对不受 BitLocker 保护的可移动数据驱动器的写入访问权限
    默认值:未配置
    BitLocker CSP: RemovableDrivesRequireEncryption

    • 阻止 - 授予对不受 BitLocker 保护的数据驱动器的只读访问权限。
    • 未配置 - 默认情况下,对未加密的数据驱动器进行读写访问。

    设置为 “启用”时,可以配置以下设置:

    • 对另一个组织中配置的设备的写入访问权限
      默认值:未配置

      • 阻止 - 阻止对另一个组织中配置的设备的写入访问。
      • 未配置 - 拒绝写入访问。

Microsoft Defender攻击防护

使用 攻击防护 来管理和减少员工使用的应用的攻击面。

攻击面减少

攻击面减少规则有助于防止恶意软件经常使用恶意代码感染计算机的行为。

攻击面减少规则

若要了解详细信息,请参阅Microsoft Defender for Endpoint文档中的攻击面减少规则

Intune中攻击面减少规则的合并行为

攻击面减少规则支持合并不同策略中的设置,以便为每个设备创建策略的超集。 仅合并不冲突的设置,而冲突的设置不会添加到规则的超集。 以前,如果两个策略包含单个设置的冲突,则这两个策略被标记为冲突,并且不会部署任何配置文件中的设置。

攻击面减少规则合并行为如下所示:

  • 针对应用规则的每个设备评估以下配置文件中的攻击面减少规则:
    • 设备>配置策略>终结点保护配置文件>Microsoft Defender攻击防护>攻击面减少
    • 终结点安全性 > 攻击面减少策略 >攻击面减少规则
    • 终结点安全>安全基线>Microsoft Defender for Endpoint基线>攻击面减少规则
  • 没有冲突的设置将添加到设备的超集策略中。
  • 当两个或更多策略具有冲突设置时,冲突的设置不会添加到组合的策略中。 不冲突的设置将添加到适用于设备的超集策略。
  • 仅会保留用于冲突设置的配置。

此配置文件中的设置

  • 标记从 Windows 本地安全机构子系统窃取凭据
    默认值:未配置
    规则: 阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)

    帮助防止攻击寻求恶意软件通常用于感染计算机的操作和应用。

    • 未配置
    • 启用 - 将凭据从 Windows 本地安全机构子系统 (lsass.exe) 的标志。
    • 仅审核
  • 从 Adobe Reader (beta) 创建进程
    默认值:未配置
    规则: 阻止 Adobe Reader 创建子进程

    • 未配置
    • 启用 - 阻止从 Adobe Reader 创建的子进程。
    • 仅审核

用于防止 Office 宏威胁的规则

阻止 Office 应用执行以下操作:

用于防止脚本威胁的规则

阻止以下操作以帮助防止脚本威胁:

用于防止电子邮件威胁的规则

阻止以下项以帮助防止电子邮件威胁:

  • 执行从电子邮件 (webmail/mail 客户端中删除的可执行内容 (exe、dll、ps、js、vbs ) 等) (无例外)
    默认值:未配置
    规则: 阻止电子邮件客户端和 Webmail 的可执行内容

    • 未配置
    • 阻止 - 阻止执行从电子邮件 (webmail/mail-client ) ) 中删除的可执行内容 (exe、dll、ps、js、vbs 等。
    • 仅审核

防范勒索软件的规则

攻击面减少异常

  • 要从攻击面减少规则中排除的文件和文件夹
    Defender CSP: AttackSurfaceReductionOnlyExclusions

    • 导入 包含要从攻击面减少规则中排除的文件和文件夹的 .csv 文件。
    • 手动添加本地文件或文件夹。

重要

若要允许正确安装和执行 LOB Win32 应用,反恶意软件设置应从扫描中排除以下目录:
在 X64 客户端计算机上
C:\Program Files (x86) \Microsoft Intune Management Extension\Content
C:\windows\IMECache

在 X86 客户端计算机上
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache

有关详细信息,请参阅 针对运行当前受支持的 Windows 版本的企业计算机的病毒扫描建议

文件夹限制访问

帮助 保护有价值的数据 免受恶意应用和威胁(如勒索软件)的侵害。

  • 文件夹保护
    默认值:未配置
    Defender CSP: EnableControlledFolderAccess

    保护文件和文件夹免受不友好的应用进行未经授权的更改。

    • 未配置
    • Enable
    • 仅审核
    • 阻止磁盘修改
    • 审核磁盘修改

    选择“ 未配置”以外的配置时,可以配置:

网络筛选

阻止从任何应用到信誉较低的 IP 地址或域的出站连接。 “审核”和“阻止”模式都支持网络筛选。

  • 网络保护
    默认值:未配置
    Defender CSP: EnableNetworkProtection

    此设置的目的是保护最终用户免受应用的攻击,这些应用可以访问 Internet 上的网络钓鱼欺诈、攻击托管网站和恶意内容。 它还会阻止第三方浏览器连接到危险站点。

    • 未配置 - 禁用此功能。 不会阻止用户和应用连接到危险域。 管理员无法在 Microsoft Defender 安全中心 中看到此活动。
    • 启用 - 启用网络保护,并阻止用户和应用连接到危险域。 管理员可以在 Microsoft Defender 安全中心 中查看此活动。
    • 仅审核: - 不会阻止用户和应用连接到危险域。 管理员可以在 Microsoft Defender 安全中心 中查看此活动。

漏洞保护

  • 上传 XML
    默认值未配置

    若要使用 Exploit Protection保护设备免受攻击,请创建一个 XML 文件,其中包含所需的系统和应用程序缓解设置。 有两种方法可以创建 XML 文件:

    • PowerShell - 使用一个或多个 Get-ProcessMitigationSet-ProcessMitigationConvertTo-ProcessMitigationPolicy PowerShell cmdlet。 cmdlet 配置缓解设置,并导出其 XML 表示形式。

    • Microsoft Defender 安全中心 UI - 在Microsoft Defender 安全中心中,选择“应用 & 浏览器控件”,然后滚动到生成的屏幕底部以查找 Exploit Protection。 首先,使用“系统设置”和“程序设置”选项卡配置缓解设置。 然后,找到屏幕底部的“导出设置”链接,以导出它们的 XML 表示形式。

  • 用户编辑 exploit Protection 接口
    默认值:未配置
    ExploitGuard CSP: ExploitProtectionSettings

    • 阻止 - 上传用于配置内存、控制流和策略限制的 XML 文件。 XML 文件中的设置可用于阻止应用程序攻击。
    • 未配置 - 不使用自定义配置。

Microsoft Defender应用程序控制

选择要审核的应用或由 Microsoft Defender 应用程序控制信任运行的应用。 Windows 组件和 Windows 应用商店中的所有应用都将自动信任运行。

  • 应用程序控制代码完整性策略
    默认值:未配置
    CSP: AppLocker CSP

    • 强制 - 为用户设备选择应用程序控制代码完整性策略。

      在设备上启用后,只能通过将模式从 “强制” 更改为“ 仅审核”来禁用应用程序控制。 将模式从 “强制” 更改为 “未配置” 会导致应用程序控制继续在分配的设备上强制实施。

    • 未配置 - 应用程序控制不会添加到设备。 但是,以前添加的设置将继续在分配的设备上强制执行。

    • 仅审核 - 不会阻止应用程序。 所有事件都记录在本地客户端的日志中。

      注意

      如果使用此设置,AppLocker CSP 行为当前会在部署策略时提示最终用户重启其计算机。

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard 可防范凭据盗窃攻击。 它隔离机密,以便只有特权系统软件才能访问它们。

  • Credential Guard
    默认值:禁用
    DeviceGuard CSP

    • 禁用 - 如果以前是使用“ 启用且没有 UEFI 锁定 ”选项打开的,请远程关闭 Credential Guard。

    • 使用 UEFI 锁启用 - 无法使用注册表项或组策略远程禁用 Credential Guard。

      注意

      如果使用此设置,然后又想要禁用 Credential Guard,则必须将组策略设置为“已禁用”。 并且,从每台计算机物理上清除 UEFI 配置信息。 只要 UEFI 配置仍然存在,就启用 Credential Guard。

    • 在没有 UEFI 锁定的情况下启用 - 允许使用 组策略 远程禁用 Credential Guard。 使用此设置的设备必须运行Windows 10版本 1511 及更新版本,或者Windows 11。

    启用 Credential Guard 时,还将启用以下必需功能:

    • 基于虚拟化的安全性 (VBS)
      在下一次重新启动期间打开。 基于虚拟化的安全性使用 Windows 虚拟机监控程序来支持安全服务。
    • 使用目录内存访问进行安全启动
      启用具有安全启动和直接内存访问的 VBS (DMA) 保护。 DMA 保护需要硬件支持,并且仅在正确配置的设备上启用。

Microsoft Defender 安全中心

Microsoft Defender 安全中心作为单独的应用或进程运行,每个单独的功能。 它通过操作中心显示通知。 它充当收集器或单个位置,用于查看状态并为每个功能运行某些配置。 有关详细信息,请参阅Microsoft Defender文档。

Microsoft Defender 安全中心应用和通知

阻止最终用户访问Microsoft Defender 安全中心应用的各个区域。 隐藏分区也会阻止相关通知。

  • 病毒和威胁防护
    默认值:未配置
    WindowsDefenderSecurityCenter CSP: DisableVirusUI

    配置最终用户是否可以在Microsoft Defender 安全中心中查看“病毒和威胁防护”区域。 隐藏此部分还会阻止与病毒和威胁防护相关的所有通知。

    • 未配置
    • Hide
  • 勒索软件防护
    默认值:未配置
    WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

    配置最终用户是否可以在Microsoft Defender 安全中心中查看勒索软件防护区域。 隐藏此部分还会阻止与勒索软件防护相关的所有通知。

    • 未配置
    • Hide
  • 帐户保护
    默认值:未配置
    WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI

    配置最终用户是否可以在Microsoft Defender 安全中心中查看帐户保护区域。 隐藏此部分还会阻止与帐户保护相关的所有通知。

    • 未配置
    • Hide
  • 防火墙和网络保护
    默认值:未配置
    WindowsDefenderSecurityCenter CSP: DisableNetworkUI

    配置最终用户是否可以在Microsoft Defender安全中心查看防火墙和网络保护区域。 隐藏此部分还会阻止与防火墙和网络保护相关的所有通知。

    • 未配置
    • Hide
  • 应用和浏览器控件
    默认值:未配置
    WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

    配置最终用户是否可以在Microsoft Defender安全中心查看应用和浏览器控制区域。 隐藏此部分还会阻止与应用和浏览器控件相关的所有通知。

    • 未配置
    • Hide
  • 硬件保护
    默认值:未配置
    WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

    配置最终用户是否可以在Microsoft Defender 安全中心中查看硬件保护区域。 隐藏此部分还会阻止与硬件保护相关的所有通知。

    • 未配置
    • Hide
  • 设备性能和运行状况
    默认值:未配置
    WindowsDefenderSecurityCenter CSP: DisableHealthUI

    配置最终用户是否可以在Microsoft Defender安全中心查看“设备性能和运行状况”区域。 隐藏此部分还会阻止与设备性能和运行状况相关的所有通知。

    • 未配置
    • Hide
  • 系列选项
    默认值:未配置
    WindowsDefenderSecurityCenter CSP: DisableFamilyUI

    配置最终用户是否可以在Microsoft Defender安全中心查看“家庭选项”区域。 隐藏此部分还会阻止与“家庭”选项相关的所有通知。

    • 未配置
    • Hide
  • 来自应用显示区域的通知
    默认值:未配置
    WindowsDefenderSecurityCenter CSP: DisableNotifications

    选择要向最终用户显示的通知。 非关键通知包括Microsoft Defender防病毒活动的摘要,包括扫描完成时的通知。 所有其他通知都被视为关键通知。

    • 未配置
    • 阻止非关键通知
    • 阻止所有通知
  • 系统托盘中的“Windows 安全中心中心”图标
    默认值:未配置 WindowsDefenderSecurityCenter CSP: HideWindowsSecurityNotificationAreaControl

    配置通知区域控件的显示。 用户需要注销并登录或重新启动计算机才能使此设置生效。

    • 未配置
    • Hide
  • “清除 TPM”按钮
    默认值:未配置 WindowsDefenderSecurityCenter CSP: DisableClearTpmButton

    配置“清除 TPM”按钮的显示。

    • 未配置
    • Disable
  • TPM 固件更新警告
    默认值:未配置 WindowsDefenderSecurityCenter CSP: DisableTpmFirmwareUpdateWarning

    在检测到易受攻击的固件时配置更新 TPM 固件的显示。

    • 未配置
    • Hide
  • 篡改防护
    默认值:未配置

    在设备上打开或关闭篡改保护。 若要使用篡改防护,必须将 Microsoft Defender for Endpoint 与 Intune 集成,并具有 企业移动性 + 安全性 E5 许可证

    • 未配置 - 不会对设备设置进行更改。
    • 已启用 - 打开篡改防护,并在设备上强制实施限制。
    • 已禁用 - 篡改防护已关闭,并且不会强制实施限制。

IT 联系人信息

提供显示在Microsoft Defender 安全中心应用和应用通知中的 IT 联系人信息。

可以选择 “在应用和通知中显示”、“ 仅在应用中显示”、“ 仅在通知中显示”“不显示”。 输入 IT 组织名称和至少以下联系人选项之一:

  • IT 联系人信息
    默认值:不显示
    WindowsDefenderSecurityCenter CSP: EnableCustomizedToasts

    配置向最终用户显示 IT 联系人信息的位置。

    • 在应用和通知中显示
    • 仅在应用中显示
    • 仅在通知中显示
    • 不显示

    配置为显示时,可以配置以下设置:

    • IT 组织名称
      默认值未配置
      WindowsDefenderSecurityCenter CSP: CompanyName

    • IT 部门电话号码或 Skype ID
      默认值未配置
      WindowsDefenderSecurityCenter CSP: 手机

    • IT 部门电子邮件地址
      默认值未配置
      WindowsDefenderSecurityCenter CSP:Email

    • IT 支持网站 URL
      默认值未配置
      WindowsDefenderSecurityCenter CSP: URL

本地设备安全选项

使用这些选项在 Windows 10/11 设备上配置本地安全设置。

帐户

  • 添加新Microsoft帐户
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: Accounts_BlockMicrosoftAccounts

    • 阻止用户向设备添加新Microsoft帐户。
    • 未配置 - 用户可以在设备上使用Microsoft帐户。
  • 不带密码的远程登录
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • 阻止 - 仅允许使用空白密码的本地帐户使用设备的键盘登录。
    • 未配置 - 允许具有空白密码的本地帐户从物理设备以外的位置登录。

管理员

Guest

  • 来宾帐户
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions

    • 阻止 - 阻止使用来宾帐户。
    • 未配置
  • 重命名来宾帐户
    默认值未配置
    LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

    定义一个不同的帐户名称,以与帐户“来宾”的安全标识符 (SID) 相关联。

设备

  • 在未登录的情况下取消停靠设备
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: Devices_AllowUndockWithoutHavingToLogon

    • 阻止 - 用户必须登录到设备,并接收取消停靠设备的权限。
    • 未配置 - 用户可以按固定的便携式设备的物理弹出按钮安全地取消停靠设备。
  • 为共享打印机安装打印机驱动程序
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

    • 已启用 - 任何用户都可以在连接到共享打印机时安装打印机驱动程序。
    • 未配置 - 只有管理员才能在连接到共享打印机时安装打印机驱动程序。
  • 将 CD-ROM 访问权限限制为本地活动用户
    默认值:未配置
    CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

    • 已启用 - 只有以交互方式登录的用户才能使用 CD-ROM 媒体。 如果启用此策略并且没有人以交互方式登录,则通过网络访问 CD-ROM。
    • 未配置 - 任何人都可以访问 CD-ROM。
  • 格式化和弹出可移动媒体
    默认值:管理员
    CSP: Devices_AllowedToFormatAndEjectRemovableMedia

    定义允许谁格式化和弹出可移动 NTFS 媒体:

    • 未配置
    • 管理员
    • 管理员和高级用户
    • 管理员和交互式用户

交互式登录

  • 锁屏界面处于非活动状态的分钟数,直到屏幕保护程序激活
    默认值未配置
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MachineInactivityLimit

    输入屏幕保护程序激活前的最大非活动分钟数。 (0 - 99999)

  • 需要 CTRL+ALT+DEL 才能登录
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotRequireCTRLALTDEL

    • 启用 - 要求用户在登录到 Windows 之前按 Ctrl+Alt+DEL。
    • 未配置 - 用户无需按 Ctrl+ALT+DEL 即可登录。
  • 智能卡删除行为
    默认值:无操作 LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

    确定从智能卡读取器中删除登录用户的智能卡时会发生什么情况。 选项包括:

    • 锁定工作站 - 删除智能卡时,工作站被锁定。 此选项允许用户离开该区域,使用智能卡,并仍然维护受保护的会话。
    • 无操作
    • 强制注销 - 删除智能卡时,会自动注销用户。
    • 如果远程桌面服务会话断开连接 - 删除智能卡在不注销用户的情况下断开会话的连接。 此选项允许用户插入智能卡并稍后或在另一台配备阅读器的智能卡计算机上继续会话,而无需再次登录。 如果会话是本地会话,则此策略的工作方式与锁定工作站相同。

显示

网络访问和安全性

  • 匿名访问命名管道和共享
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

    • 未配置 - 限制对共享和命名管道设置的匿名访问。 适用于可以匿名访问的设置。
    • 阻止 - 禁用此策略,使匿名访问可用。
  • SAM 帐户的匿名枚举
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

    • 未配置 - 匿名用户可以枚举 SAM 帐户。
    • 阻止 - 阻止 SAM 帐户的匿名枚举。
  • SAM 帐户和共享的匿名枚举
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

    • 未配置 - 匿名用户可以枚举域帐户和网络共享的名称。
    • 阻止 - 阻止 SAM 帐户和共享的匿名枚举。
  • 密码更改时存储的 LAN 管理器哈希值
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

    确定下次更改密码时是否存储密码的哈希值。

    • 未配置 - 不存储哈希值
    • 阻止 - LAN 管理器 (LM) 存储新密码的哈希值。
  • PKU2U 身份验证请求
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests

    • 未配置 - 允许 PU2U 请求。
    • 阻止 - 阻止对设备的 PKU2U 身份验证请求。
  • 将远程 RPC 连接限制为 SAM
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

    • 未配置 - 使用默认安全描述符,这可能允许用户和组对 SAM 进行远程 RPC 调用。

    • 允许 - 拒绝用户和组对存储用户帐户和密码的安全帐户管理器 (SAM) 进行远程 RPC 调用。 Allow 还允许更改默认的安全描述符定义语言 (SDDL) 字符串,以显式允许或拒绝用户和组进行这些远程调用。

      • 安全描述符
        默认值未配置
  • 基于 NTLM SSP 的客户端的最低会话安全性
    默认值:无
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

    此安全设置允许服务器要求协商 128 位加密和/或 NTLMv2 会话安全性。

    • 要求 NTLMv2 会话安全性
    • 需要 128 位加密
    • NTLMv2 和 128 位加密
  • 基于 NTLM SSP 的服务器的最低会话安全性
    默认值:无
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

    此安全设置确定用于网络登录的质询/响应身份验证协议。

    • 要求 NTLMv2 会话安全性
    • 需要 128 位加密
    • NTLMv2 和 128 位加密
  • LAN 管理器身份验证级别
    默认值:LM 和 NTLM
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_LANManagerAuthenticationLevel

    • LM 和 NTLM
    • LM、NTLM 和 NTLMv2
    • NTLM
    • NTLMv2
    • NTLMv2 而不是 LM
    • NTLMv2,而不是 LM 或 NTLM
  • 不安全的来宾登录
    默认值:未配置
    LanmanWorkstation CSP: LanmanWorkstation

    如果启用此设置,SMB 客户端将拒绝不安全的来宾登录。

    • 未配置
    • 阻止 - SMB 客户端拒绝不安全的来宾登录。

恢复控制台和关闭

  • 关闭时清除虚拟内存页文件
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: Shutdown_ClearVirtualMemoryPageFile

    • 启用 - 设备关闭时清除虚拟内存页文件。
    • 未配置 - 不清除虚拟内存。
  • 在不登录的情况下关闭
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

    • 阻止 - 隐藏 Windows 登录屏幕上的关闭选项。 用户必须登录到设备,然后关闭。
    • 未配置 - 允许用户从 Windows 登录屏幕关闭设备。

用户帐户控制

UIA 提升提示行为

  • 管理员的提升提示
    默认值:提示同意非 Windows 二进制文件
    LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

    在管理员审批模式下为管理员定义提升提示的行为。

    • 未配置
    • 提升而不提示
    • 在安全桌面上提示输入凭据
    • 提示输入凭据
    • 同意提示
    • 非 Windows 二进制文件的同意提示
  • 标准用户的提升提示
    默认值:提示输入凭据
    LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

    为标准用户定义提升提示的行为。

    • 未配置
    • 自动拒绝提升请求
    • 在安全桌面上提示输入凭据
    • 提示输入凭据
  • 将提升提示路由到用户的交互式桌面
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

    • 已启用 - 所有提升请求都转到交互式用户的桌面,而不是安全桌面。 使用管理员和标准用户的任何提示行为策略设置。
    • 未配置 - 无论管理员和标准用户的任何提示行为策略设置如何,强制所有提升请求都转到安全桌面。
  • 应用安装的提升提示
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

    • 已启用 - 不会检测到或提示应用程序安装包提升。
    • 未配置 - 当应用程序安装包需要提升的权限时,系统会提示用户输入管理用户名和密码。
  • 没有安全桌面的 UIA 提升提示
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

  • 启用 - 允许 UIAccess 应用提示提升,而无需使用安全桌面。

  • 未配置 - 提升提示使用安全桌面。

管理员审批模式

  • 内置管理员管理员审批模式
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: UserAccountControl_UseAdminApprovalMode

    • 已启用 - 允许内置管理员帐户使用管理员审批模式。 需要特权提升的任何操作都提示用户批准该操作。
    • 未配置 - 以完全管理员权限运行所有应用。
  • 在管理员审批模式下运行所有管理员
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

    • 已启用 - 启用管理员审批模式。
    • 未配置 - 禁用管理员审批模式和所有相关的 UAC 策略设置。

Microsoft网络客户端

  • 如果服务器同意) ,请对通信 (进行数字签名
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

    确定 SMB 客户端是否协商 SMB 数据包签名。

    • 阻止 - SMB 客户端从不协商 SMB 数据包签名。
    • 未配置 - Microsoft网络客户端要求服务器在会话设置时运行 SMB 数据包签名。 如果在服务器上启用了数据包签名,则会协商数据包签名。
  • 将未加密的密码发送到第三方 SMB 服务器
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

    • 阻止 - 服务器消息块 (SMB) 重定向程序可以将纯文本密码发送到身份验证期间不支持密码加密的非Microsoft SMB 服务器。
    • 未配置 - 阻止发送纯文本密码。 密码已加密。
  • 始终) 对通信进行数字签名 (
    默认值:未配置
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

    • 启用 - Microsoft网络客户端不会与Microsoft网络服务器通信,除非该服务器同意 SMB 数据包签名。
    • 未配置 - 在客户端和服务器之间协商 SMB 数据包签名。

Microsoft网络服务器

  • 如果客户端同意) ,请对通信 (进行数字签名
    默认值:未配置
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

    • 启用 - Microsoft网络服务器根据客户端的请求协商 SMB 数据包签名。 也就是说,如果在客户端上启用了数据包签名,则会协商数据包签名。
    • 未配置 - SMB 客户端永远不会协商 SMB 数据包签名。
  • 始终) 对通信进行数字签名 (
    默认值:未配置
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

    • 启用 - Microsoft网络服务器不会与Microsoft网络客户端通信,除非该客户端同意 SMB 数据包签名。
    • 未配置 - 在客户端和服务器之间协商 SMB 数据包签名。

Xbox 服务

后续步骤

配置文件已创建,但尚未执行任何操作。 接下来, 分配配置文件监视其状态

macOS 设备上配置终结点保护设置。