策略 CSP - ServiceControlManager
提示
此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。 有关详细信息,请参阅 了解 ADMX 支持的策略。
SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节。
SvchostProcessMitigation
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
❌ 专业版 ✅ 企业版 ✅ 教育版 ❌ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1903 [10.0.18362] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ServiceControlManager/SvchostProcessMitigation
此策略设置对 svchost.exe 进程启用进程缓解选项。
- 如果启用此策略设置,则托管在 svchost.exe 进程中的内置系统服务将对其启用更严格的安全策略。
这包括一个策略,该策略要求这些进程中加载的所有二进制文件都必须由 Microsoft 签名,以及禁止动态生成代码的策略。
- 如果禁用或未配置此策略设置,则不会应用这些更严格的安全设置。
如果启用此策略,它将代码完整性防护 (CIG) 和任意代码防护 (ACG) 强制实施和其他进程缓解/代码完整性策略添加到 SVCHOST 进程。
重要提示
启用此策略可能会导致使用 svchost.exe 进程的第三方软件出现兼容性问题。 例如,第三方防病毒软件。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | SvchostProcessMitigationEnable |
| 友好名称 | 启用 svchost.exe 缓解选项 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 服务控制管理器设置 > 安全设置 |
| 注册表项名称 | System\CurrentControlSet\Control\SCMConfig |
| 注册表值名称 | EnableSvchostMitigationPolicy |
| ADMX 文件名 | ServiceControlManager.admx |