管理 Windows 10 和 Windows 11 操作系统组件与 Microsoft 服务之间的连接
适用范围
- Windows 11 企业版
- Windows 10 企业版版本 1607 和更高版本
- Windows Server 2016
- Windows Server 2019
本文介绍了 Windows 10 和 Windows 11 组件与 Microsoft 建立的网络连接,以及 IT 专业人员可用的 Windows 设置、组策略以及适用于 的注册表设置,以帮助管理与 Microsoft 共享的数据。 如果你想尽可能减少从 Windows 到 Microsoft 服务的连接,或配置隐私设置,有许多设置可供考虑。 例如,你可以使用本文中的说明将诊断数据配置为 Windows 版本的最低级别,并评估 Windows 与你要关闭的 Microsoft 服务建立的其他连接。 虽然可以在最大程度上减少与 Microsoft 的网络连接,但是默认情况下启用这些通信存在许多原因,例如更新恶意软件定义和维护当前证书吊销列表。 此数据可帮助我们提供安全、可靠且最新的体验。
Microsoft 提供了Windows 受限流量有限功能基线程序包,可让你的组织快速配置本文档中介绍的设置,以限制从 Windows 10 和 Windows 11 到 Microsoft 的连接。 Windows 受限流量有限基准基于组策略管理模板功能,你下载的程序包包含有关如何部署到组织中的设备的进一步说明。 由于某些设置可能会降低设备的功能和安全配置,因此在部署 Windows 受限流量限制功能基线之前,请确保为环境选择正确的设置配置,并确保 Windows 和 Microsoft Defender 防病毒完全是最新的。 否则可能会导致错误或意外行为。 不应将此程序包提取到 Windows\system32 文件夹中,因为它将不会正确应用。
重要提示
- 可下载的 Windows 10 版本 1903 脚本/设置可在 Windows 10 版本 1909 设备上使用。
- 此处列出了允许的流量终结点:允许的流量
- CRL(证书吊销列表)和 OCSP(在线证书状态协议)网络流量无法禁用,并且仍将显示在网络跟踪中。 CRL 和 OCSP 检查面向证书颁发机构进行。 Microsoft 是这些机构之一。 还有许多其他人,如 DigiCert、Thawte、Google、Symantec 和 VeriSign。
- 出于安全原因,确定要配置的设置可能会导致不太安全的设备非常重要。 可能导致设备配置安全性降低的设置示例包括:Windows 更新、自动根证书更新和 Microsoft Defender 防病毒。 因此,我们不建议禁用任何这些功能。
- 建议在对其进行配置更改后重启设备。
- 在应用 Windows 受限流量限制功能基准后,获取帮助并向我们提供反馈链接不再可用。
警告
- 如果用户在执行“重置此电脑”命令(“设置”->“更新和安全”->“恢复”)时选择“保留我的文件选项”(或“删除所有内容”选项),则需要重新应用“Windows 受限流量限制功能基线”设置,以便重新限制设备。 在重新应用“受限流量限制功能基线”设置之前,可能会产生出口流量。
- 若要有效地限制设备(第一次或随后),建议在脱机模式下应用“受限流量限制功能基线”设置包。
- 更新或升级 Windows 期间,可能会产生出口流量。
要使用基于 Microsoft Intune 云的设备管理来限制流量,请参阅使用 Microsoft Intune MDM Server 管理从 Windows 10 和 Windows 11 操作系统组件到 Microsoft 服务的连接。
我们始终在努力改进我们的文档,并欢迎你提供反馈。 你可以通过联系 telmhelp@microsoft.com 提供反馈。
每个设置的管理选项
以下部分列出了在默认情况下与 Microsoft 服务建立网络连接的组件。 你可以配置这些设置来控制发送到 Microsoft 的数据。 若要防止 Windows 向 Microsoft 发送任何数据,请在安全级别上配置诊断数据,关闭 Microsoft Defender 防病毒诊断数据和 MSRT 报告,并关闭所有这些连接
设置 Windows 10 和 Windows 11 企业版
下表列出了每个设置的管理选项,针对 Windows 10 (从 Windows 10 企业版 1607 开始) 和 Windows 11。
Windows Server 2016 桌面体验设置
请参阅下表中 Windows Server 2016 桌面体验的管理设置摘要。
Windows Server 2016 服务器核心设置
请参阅下表中 Windows Server 2016 服务器核心的管理设置摘要。
设置 | 组策略 | 注册表 |
---|---|---|
1. 自动根证书更新 | ||
3. 日期和时间 | ||
6. 字体流式传输 | ||
14. 网络连接状态指示器 | ||
19. 软件保护平台 | ||
22. Teredo | ||
24. Microsoft Defender 防病毒 | ||
29. Windows 更新 |
Windows Server 2016 Nano 服务器设置
请参阅下表中 Windows Server 2016 Nano 服务器的管理设置摘要。
设置 | 注册表 |
---|---|
1. 自动根证书更新 | |
3. 日期和时间 | |
22. Teredo | |
29. Windows 更新 |
Windows Server 2019 的设置
有关 Windows Server 2019 的管理设置的摘要,请参阅下表。
如何配置每个设置
请使用以下部分了解有关如何配置每个设置的更多信息。
1. 自动根证书更新
“自动根证书更新”组件设计用于自动检查 Windows 更新上的受信任颁发机构列表,以确定是否存在可用更新。 有关详细信息,请参阅自动根证书更新配置。 你可以关闭“自动根证书更新”,这将阻止不允许的证书列表及固定规则列表的更新,但并不推荐这样做。
注意
如果不自动下载根证书,设备可能无法连接到某些网站。
对于 Windows 10、Windows Server 2016 桌面体验和 Windows Server 2016 服务器核心,以及 Windows 11:
启用组策略:计算机配置>管理模板>系统>Internet 通信管理>Internet 通信设置>关闭自动根证书更新
-和-
- 导航到计算机配置>Windows 设置>安全设置>公钥策略。
- 双击证书路径验证设置。
- 在网络检索选项卡上,选中定义这些策略设置选框。
- 清除自动更新 Microsoft 根证书程序中的证书(推荐) 复选框,然后单击确定。
-或-
创建注册表路径 HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\SystemCertificates\\AuthRoot,然后添加一个名为 DisableRootAutoUpdate 的 REG_DWORD 注册表设置,值为 1。
- 和 -
- 导航到计算机配置>Windows 设置>安全设置>公钥策略。
- 双击证书路径验证设置。
- 在网络检索选项卡上,选中定义这些策略设置选框。
- 清除自动更新 Microsoft 根证书程序中的证书(推荐) 复选框,然后单击确定。
在 Windows Server 2016 Nano 服务器上:
- 创建注册表路径 HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\SystemCertificates\\AuthRoot,然后添加一个名为 DisableRootAutoUpdate 的 REG_DWORD 注册表设置,值为 1。
注意
CRL 和 OCSP 网络流量当前为允许流量,并且仍将显示在网络跟踪中。 CRL 和 OCSP 检查面向证书颁发机构进行。 Microsoft 为其中一个机构,但还有许多其他证书颁发机构,例如 DigiCert、Thawte、Google、Symantec 和 VeriSign。
2. Cortana 和搜索
使用组策略管理 Cortana 的设置。 有关详细信息,请参阅 Cortana、搜索和隐私:常见问题解答。
2.1 Cortana 和搜索组策略
在计算机配置>管理模板>Windows 组件>搜索下找到 Cortana 组策略对象。
策略 | 描述 |
---|---|
允许使用 Cortana | 选择是否允许在设备上安装并运行 Cortana。 禁用此策略以关闭 Cortana。 |
允许搜索和 Cortana 使用位置 | 选择 Cortana 和搜索是否可以提供位置感知的搜索结果。 禁用此策略以阻止对 Cortana 的位置信息的访问。 |
不允许 Web 搜索 | 选择是否要从 Windows 桌面搜索来搜索 Web。 启用此策略以删除从 Cortana 搜索 Internet 的选项。 |
请勿搜索 Web 或在“搜索”中显示 Web 结果 | 选择是否要从 Cortana 搜索 Web。 启用此策略以停止在“搜索”中显示 Web 查询和结果。 |
你还可以使用以下注册表项应用组策略:
策略 | 注册表路径 |
---|---|
允许 Cortana | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search REG_DWORD: AllowCortana 值:0 |
允许搜索和 Cortana 使用位置 | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search REG_DWORD: AllowSearchToUseLocation 值:0 |
不允许 Web 搜索 | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search REG_DWORD: DisableWebSearch 值:1 |
请勿搜索 Web 或在“搜索”中显示 Web 结果 | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search REG_DWORD: ConnectedSearchUseWeb 值:0 |
重要提示
使用组策略编辑器,所有受支持的 Windows 10 和 Windows 11 版本都需要这些步骤,但运行 Windows 10 版本 1607 或 Windows Server 2016 的设备不需要这些步骤。
将"计算机配置>"Windows设置">"安全设置">"高级安全性Windows Defender 防火墙">"高级安全性Windows Defender 防火墙" -
LDAP name
,然后单击"出站规则"。右键单击出站规则,然后单击新建规则。 新建出站规则向导将启动。
在“规则类型”页上,单击“程序”,然后单击“下一步”。
在“程序”页上,单击“此程序路径”,键入 %windir%\systemapps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe,然后单击“下一步”。
- 在 Windows 11 上,键入 "%windir%\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\SearchHost.exe"。
在操作页上,单击阻止连接,然后单击下一步。
在配置文件页上,确保域、私有和公共复选框均处于选中状态,然后单击下一步。
在名称页上,键入规则的名称,例如 Cortana 防火墙配置,然后单击完成。
右键单击新规则,单击属性,然后单击协议和端口。
使用以下信息配置协议和端口页,然后单击确定。
对于协议类型,选择 TCP。
对于本地端口,选择所有端口。
对于远程端口,选择所有端口。
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules 中创建名为 {0DE40C8E-C126-4A27-9371-A27DAB1039F7} 的新 REG_SZ 注册表设置,并将其设置为值 v2.25|Action=Block|Active=TRUE|Dir=Out|Protocol=6|App=%windir%\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\searchUI.exe|Name=Block outbound Cortana|
在 Windows 11 上,请按照上一部分操作,并使用组策略编辑器。
如果你的组织测试网络流量,不要使用网络代理,因为 Windows 防火墙不会阻止代理流量。 改用网络流量分析器。 根据你的需求,免费提供了许多网络流量分析器。
3. 日期&时间
可以阻止 Windows 自动设置时间。
关闭 UI 中的功能: 设置>时间和语言>日期和时间>自动设置时间
-或-
在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type 中,创建 REG_SZ 注册表设置,值设置为 NoSync。
然后,配置以下内容:
禁用组策略:计算机配置>管理模板>系统>Windows 时间服务>时间提供程序>启用 Windows NTP 客户端
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32time\TimeProviders\NtpClient 中创建名为 Enabled 的新 REG_DWORD 注册表设置,并将其设置为 0(零)。
4. 设备元数据检索
若要阻止 Windows 从 Internet 检索设备元数据,请执行以下操作:
启用组策略:计算机配置>管理模板>系统>设备安装>防止从 Internet 检索设备元数据。
- 或者 -
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Device Metadata 中创建名为 PreventDeviceMetadataFromNetwork 的新 REG_DWORD 注册表设置,并将其设置为 1(一)。
5. 查找我的设备
要关闭“查找我的设备”:
通过转到 “设置”->“更新和安全”->“查找我的设备”,在 UI 中关闭功能,然后单击“更改”按钮,并将值设置为“关闭”
-或-
禁用组策略:计算机配置>管理模板>Windows 组件>查找我的设备>打开/关闭查找我的设备
-或-
你还可以创建一个新的 REG_DWORD 注册表设置 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FindMyDevice\AllowFindMyDevice,值为 0(零)。
6. 字体流式传输
Windows 中包含但未存储在本地设备上的字体可以根据需要进行下载。
如果你运行的是 Windows 10 版本 1607、Windows Server 2016 或更高版本:
禁用组策略:计算机配置>管理模板>网络>字体>启用字体提供程序。
-或-
创建一个新的 REG_DWORD 注册表设置 HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\System\\EnableFontProviders,值为 0(零)。
注意
应用此策略后,必须重启设备才能使其生效。
7. Insider Preview 版本
加入 Windows Insider Preview 计划可以帮助塑造 Windows 的未来、成为社区的一员,还可以提前使用 Windows 10 和 Windows 11 的各个版本。 此设置将停止与 Windows Insider Preview 服务之间的通信,从而无法检查新版本。 Windows 预览体验成员预览版本仅适用于 Windows 10 和 Windows 11,并不适用于 Windows Server 2016。
注意
如果升级的设备被配置为最小化从 Windows 到 Microsoft 服务的连接(即为受限通信配置的设备)到 Windows 预览体验计划预览版,则反馈 & 诊断设置将自动设置为 可选(完全) "。 虽然 "诊断" 数据级别最初可能显示为 " 必需(基本)",刷新 UI 或重新启动计算机后的几个小时,该设置将变为 可选(完全)。
若要关闭 Windows 10 或 Windows 11 已发布版本的 Insider Preview 版本,请执行以下操作:
- 禁用组策略:计算机配置>管理模板>Windows 组件>数据收集和预览版>切换对预览体验内部版本的用户控制。
若要关闭 Windows 10 和 Windows 11 的 Insider Preview 版本,请执行以下操作:
注意
如果你运行的是 Windows 10 或 Windows 11 的预览版,则必须回退到已发布版本才能关闭 Insider Preview 版本。
若要关闭 UI 中的功能:设置>更新和安全>Windows 预览体验计划>停止 Insider Preview 版本。
-或-
在计算机配置>管理模板>Windows 组件>数据收集和预览版下启用组策略切换对预览体验内部版本的用户控制
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PreviewBuilds 中创建名为 AllowBuildPreview 的新 REG_DWORD 注册表设置,其值为 0(零)
8. Internet Explorer
注意
当尝试在任何 Windows Server 版本上使用 Internet Explorer 时,请注意由 增强的安全配置 (ESC) 强制实施的限制。 以下组策略和注册表项适用于用户交互式场景,而不是典型的空闲流量场景。 在 计算机配置 > 管理模板 > Windows 组件 > Internet Explorer下查找 Internet Explorer 组策略对象,并进行以下设置:
策略 | 描述 |
---|---|
打开建议网站 | 选择员工是否可以配置建议网站。 将“值”设置为“已禁用” 你还可以在 UI 中关闭此设置,方法是清除 Internet 选项>高级>启用建议网站复选框。 |
允许 Microsoft 服务在用户向地址栏中键入内容时提供增强建议 | 选择员工是否可以配置增强建议,这些建议将在员工向地址栏中键入内容时呈现。 将“值”设置为“已禁用” |
关闭 Web 地址的自动完成功能 | 选择当员工在地址栏中键入 Web 地址时自动完成是否建议可能的匹配。 将值设置为:启用 还可以在 UI 中关闭此设置,方法是清除 Internet 选项>高级>在 Internet Explorer 地址栏和‘打开’对话框中使用直接插入自动完成功能复选框。 |
关闭浏览器地理位置 | 选择网站是否可以从 Internet Explorer 请求位置数据。 将“值”设置为“已启用” |
阻止管理 Microsoft Defender SmartScreen | 选择员工是否可以在 Internet Explorer 中管理 Microsoft Defender SmartScreen。 将“值”设置为“已启用”,然后将“选择 Windows Defender SmartScreen 模式”设置为“关闭”。 |
注册表项 | 注册表路径 |
---|---|
打开建议网站 | HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Suggested Sites REG_DWORD: Enabled 将“值”设置为“0” |
允许 Microsoft 服务在用户向地址栏中键入内容时提供增强建议 | HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer REG_DWORD: AllowServicePoweredQSA 将“值”设置为“0” |
关闭 Web 地址的自动完成功能 | HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete REG_SZ: AutoSuggest 将“值”设置为:否 |
关闭浏览器地理位置 | HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Geolocation REG_DWORD: PolicyDisableGeolocation 将“值”设置为“1” |
阻止管理 Microsoft Defender SmartScreen | HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\PhishingFilter REG_DWORD: EnabledV9 将“值”设置为“0” |
Internet Explorer 还可使用多个组策略对象:
路径 | 策略 | 描述 |
---|---|---|
计算机配置>管理模板>Windows 组件>Internet Explorer>兼容性视图>关闭兼容性视图 | 关闭“兼容性视图”。 | 选择员工是否可以修复浏览时遇到的网站显示问题。 设置为“已启用” |
计算机配置>管理模板>Windows 组件>Internet Explorer>Internet 控制面板>高级页面 | 关闭通过页面预测而快速翻页功能 | 选择员工是否可以轻扫屏幕或单击“前进”转到网站的下一个预加载页。 设置为“已启用” |
计算机配置>管理模板>Windows 组件>RSS 源 | 关闭源和网页快讯的后台同步 | 选择是否在后台同步源和网页快讯。 设置为“已启用” |
计算机配置>管理模板>控制面板>允许联机提示 | 允许联机提示 | 为“设置”应用启用或禁用在线提示检索和帮助。 设置为“已禁用” |
你还可以使用注册表项设置这些组策略。
注册表项 | 注册表路径 |
---|---|
选择员工是否可以配置兼容性视图。 | HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\BrowserEmulation REG_DWORD: DisableSiteListEditing 将“值”设置为“1” |
关闭通过页面预测而快速翻页功能 | HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\FlipAhead REG_DWORD: Enabled 将“值”设置为“0” |
关闭源和网页快讯的后台同步 | HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds REG_DWORD: BackgroundSyncStatus 将“值”设置为“0” |
允许联机提示 | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer REG_DWORD: AllowOnlineTips 将“值”设置为“0” |
要关闭主页,请执行以下操作:
启用组策略:用户配置>管理模板>Windows 组件>Internet Explorer>禁用更改主页设置,并将其设置为about:blank
-或-
在 HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Main 中创建名为 起始页 的新 REG_SZ 注册表设置,其值为 about:blank
-和 -
在 HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel 中创建名为 HomePage 的新 REG_DWORD 注册表设置,值为 1(一)
要配置“首次运行”向导,请执行以下操作:
启用组策略:用户配置>管理模板>Windows 组件>Internet Explorer>阻止运行首次运行向导,然后将其设置为直接转到主页
-或-
在 HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Main 中创建名为 DisableFirstRunCustomize 的新 REG_DWORD 注册表设置,其值为 1(一)
要配置新选项卡的行为,请执行以下操作:
启用组策略:用户配置>管理模板>Windows 组件>Internet Explorer>指定新标签页的默认行为,并将其设置为 about:blank
-或-
在 HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\TabbedBrowsing 中创建名为 NewTabPageShow 的新 REG_DWORD 注册表设置,其值为 0(零)
8.1 ActiveX 控件阻止
ActiveX 控件阻止定期下载应阻止的过时 ActiveX 控件的新列表。
你可以将其关闭,方法是:
启用组策略:用户配置>管理模板>Windows 组件>Internet Explorer>安全功能>加载项管理>关闭 ActiveX VersionList 的自动下载
-或-
将 REG_DWORD 注册表设置 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\VersionManager\DownloadVersionList 更改为 0(零)。
有关详细信息,请参阅 过时 ActiveX 控件阻止。
9. 许可证管理器
你可以通过设置以下注册表项来关闭与许可证管理器相关的流量:
将名为 Start 的 REG_DWORD 值添加到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LicenseManager 中,然后设置该值为 4
值 4 为禁用相应服务。 以下是设置注册表的可用选项:
0x00000000 = 启动
0x00000001 = 系统
0x00000002 = 自动
0x00000003 = 手动
0x00000004 = 已禁用
10. 动态磁贴
若要关闭动态磁贴,请执行以下操作:
启用组策略:计算机配置>管理模板>开始菜单和任务栏>通知>关闭通知网络使用情况
- 或者 -
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications 中创建名为 NoCloudApplicationNotification 的 REG_DWORD 注册表设置,值为 1(一)
11. 邮件同步
注意
邮件应用和邮件同步在 Windows Server 上不可用。
若要关闭设备上配置的 Microsoft 帐户的邮件同步,请执行以下操作:
在设置>帐户>你的电子邮件和帐户中,删除任何已连接的 Microsoft 帐户。
-或-
从邮件应用中删除任何 Microsoft 帐户。
若要关闭 Windows 邮件应用,请执行以下操作:
- 在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Mail 中创建名为 ManualLaunchAllowed 的 REG_DWORD 注册表设置,其值为 0(零)。
12. Microsoft 帐户
使用以下设置阻止与 Microsoft 帐户云身份验证服务的通信。 依靠 Microsoft 帐户身份验证的许多应用和系统组件可能会失去功能。 其中一些组件可能会以意想不到的方式失去功能。 例如,Windows 更新将不再向运行 Windows 10 版本 1709 或更高版本和 Windows 11 的设备提供功能更新。 请参阅提供其他更新时未提供的功能更新。
要禁用 Microsoft 帐户登录助手:
- 将 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wlidsvc 中的开始 REG_DWORD 注册表设置更改为值 4。
13. Microsoft Edge
使用组策略管理 Microsoft Edge 的设置。 有关详细信息,请参阅 Microsoft Edge 和隐私:常见问题解答和在 Windows 上配置 Microsoft Edge 策略设置。
有关 Microsoft Edge 策略的完整列表,请参阅 Microsoft Edge 的组策略和移动设备管理 (MDM) 设置。
13.1 Microsoft Edge 组策略
在计算机配置>管理模板>Windows 组件>Microsoft Edge 下找到 Microsoft Edge 组策略对象。
策略 | 描述 |
---|---|
允许使用地址栏下拉列表建议 | 选择是否显示地址栏下拉列表 设置为“已禁用” |
允许对书籍库进行配置更新 | 选择是否对书籍库执行配置更新。 设置为“已禁用” |
配置“自动填充” | 选择员工是否可以在网站上使用自动填充。 设置为“已禁用” |
配置 Do Not Track | 选择员工是否可以发送“禁止跟踪”标头。 设置为“启用” |
配置密码管理器 | 选择员工是否可以在其设备上本地保存密码。 设置为“已禁用” |
配置地址栏中的搜索建议 | 选择地址栏是否显示搜索建议。 设置为“已禁用” |
配置 Windows Defender SmartScreen(Windows 10,版本 1703) | 选择打开还是关闭 Microsoft Defender SmartScreen。 设置为“已禁用” |
允许在“新建选项卡”页面中显示 Web 内容 | 选择是否显示新标签页。 设置为“已禁用” |
配置“开始”页面 | 为已加入域的设备选择“开始”页。 已启用并已将其设置为 <<about:blank>> |
阻止在 Microsoft Edge 中打开首次运行网页 | 选择员工是否可以看到“首次运行”网页。 设置为“启用” |
允许 Microsoft 兼容性列表 | 选择是否在 Microsoft Edge 中使用 Microsoft 兼容性列表。 设置为“已禁用” |
或者,你可以配置以下注册表项,如下所述:
注册表项 | 注册表路径 |
---|---|
允许地址栏下拉列表建议 | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\ServiceUI REG_DWORD 名称:ShowOneBox 设置为 0 |
允许对书籍库进行配置更新 | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\BooksLibrary REG_DWORD 名称:AllowConfigurationUpdateForBooksLibrary 设置为 0 |
配置“自动填充” | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main REG_SZ 名称:Use FormSuggest 值:否 |
配置“禁止跟踪” | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main REG_DWORD 名称:DoNotTrack REG_DWORD: 1 |
配置密码管理器 | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main REG_SZ 名称:FormSuggest Passwords REG_SZ: No |
配置地址栏中的搜索建议 | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\SearchScopes REG_DWORD 名称:ShowSearchSuggestionsGlobal 值:0 |
配置 Windows Defender SmartScreen(Windows 10 版本 1703) | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\PhishingFilter REG_DWORD 名称:EnabledV9 值:0 |
允许在“新建选项卡”页面中显示 Web 内容 | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\ServiceUI REG_DWORD 名称:AllowWebContentOnNewTabPage 值:0 |
配置公司主页 | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Internet Settings REG_SZ 名称:ProvisionedHomePages 值: <<about:blank>> |
阻止在 Microsoft Edge 中打开首次运行网页 | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main REG_DWORD 名称:PreventFirstRunPage 值:1 |
选择员工是否可以配置兼容性视图。 | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\BrowserEmulation REG_DWORD: MSCompatibilityMode 值:0 |
13.2 Microsoft Edge 企业版
有关 Microsoft Edge 策略的完整列表,请参阅 Microsoft Edge 的组策略和移动设备管理 (MDM) 设置。
重要提示
- 以下设置适用于 Microsoft Edge 版本 77 或更高版本。
- 有关受支持的操作系统的详细信息,请参阅 Microsoft Edge 支持的操作系统。
- 这些策略需要应用 Microsoft Edge 管理模板。 有关 Microsoft Edge 管理模板的详细信息,请参阅在 Windows 上配置 Microsoft Edge 策略设置。
- 设备必须加入域才能使某些策略生效。
策略 | 组策略路径 | 注册表路径 |
---|---|---|
SearchSuggestEnabled | 计算机配置/管理模板/Windows 组件/Microsoft Edge - 启用搜索建议 设置为“已禁用” |
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge REG_DWORD 名称:SearchSuggestEnabled 设置为 0 |
AutofillAddressEnabled | 计算机配置/管理模板/Windows 组件/Microsoft Edge - 启用地址自动填充 设置为“已禁用” |
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge REG_DWORD 名称:AutofillAddressEnabled 设置为 0 |
AutofillCreditCardEnabled | 计算机配置/管理模板/Windows 组件/Microsoft Edge - 启用信用卡自动填充 设置为“已禁用” |
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge REG_DWORD 名称:AutofillCreditCardEnabled 设置为 0 |
ConfigureDoNotTrack | 计算机配置/管理模板/Windows 组件/Microsoft Edge - 配置“禁止跟踪” 设置为“已启用” |
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge REG_DWORD名称:ConfigureDoNotTrack 设置为 1 |
PasswordManagerEnabled | 计算机配置/管理模板/Windows 组件/Microsoft Edge/密码管理器和保护 - 允许将密码保存到密码管理器 设置为“已禁用” |
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge REG_DWORD 名称:PasswordManagerEnabled 设置为 0 |
DefaultSearchProviderEnabled | 计算机配置/管理模板/Windows 组件/Microsoft Edge/默认搜索提供程序 - 启用默认搜索提供程序 设置为“已禁用” |
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge REG_DWORD 名称:DefaultSearchProviderEnabled 设置为 0 |
HideFirstRunExperience | 计算机配置/管理模板/Windows 组件/Microsoft Edge/隐藏首次运行体验和初始屏幕 设置为“已启用” |
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge REG_DWORD 名称:HideFirstRunExperience 设置为 1 |
SmartScreenEnabled | 计算机配置/管理模板/Windows 组件/Microsoft Edge/SmartScreen 设置 - 配置 Microsoft Defender SmartScreen 设置为“已禁用” |
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge REG_DWORD 名称:SmartScreenEnabled 设置为 0 |
NewTabPageLocation | 计算机配置/管理模板/Windows 组件/Microsoft Edge/启动、主页和新选项卡页 - 配置新选项卡页 URL 设置为“已启用” - “值”“about:blank” |
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge REG_SZ 名称:NewTabPageLocation 设置为 about:blank |
RestoreOnStartup | 计算机配置/管理模板/Windows 组件/Microsoft Edge/启动、主页和新选项卡页 - 启动时要执行的操作 设置为“已禁用” |
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge REG_DWORD名称:RestoreOnStartup 设置为 5 |
RestoreOnStartupURLs | 计算机配置/管理模板/Windows 组件/Microsoft Edge/启动、主页和新选项卡页 - 浏览器启动时要打开的网站 设置为“已禁用” |
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge\RestoreOnStartupURLs REG_SZ 名称:1 设置为 about:blank |
UpdateDefault | 计算机配置/管理模板/Windows 组件/Microsoft Edge 更新/应用程序 - 更新策略替代默认值 设置为“已启用”-“更新已禁用” |
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge\EdgeUpdate REG_DWORD 名称:UpdateDefault 设置为 0 |
AutoUpdateCheckPeriodMinutes | 计算机配置/管理模板/Windows 组件/Microsoft Edge 更新/首选项 - 自动更新检查期间替代 设置为“已启用”- 设置更新检查之间分钟数的值为 0 |
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge\EdgeUpdate REG_DWORD 名称:AutoUpdateCheckPeriodMinutes 设置为 0 |
试验和配置服务 | 计算机配置/管理模板/Windows 组件/Microsoft Edge 更新/首选项 - 自动更新检查期间替代 设置为 RestrictedMode |
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge\EdgeUpdate REG_DWORD 名称:ExperimentationAndConfigurationServiceControl 设置为 0 |
14. 网络连接状态指示器
网络连接状态指示器 (NCSI) 检测到 Internet 连接和公司网络连接状态。 NCSI 会向 http://www.msftconnecttest.com/connecttest.txt 发送 DNS 请求和 HTTP 查询,以确定该设备是否可以与 Internet 通信。 若要了解详细信息,请参阅 Microsoft 网络博客。
在版本 1607 和 Windows Server 2016 之前的 Windows 10 版本中,URL 为 http://www.msftncsi.com/ncsi.txt
。
你可以通过执行以下操作之一关闭 NCSI:
启用组策略:计算机配置>管理模板>系统>Internet 通信管理>Internet 通信设置>关闭 Windows 网络连接状态指示器的活动测试
注意
应用此策略后,必须重启设备才能使策略设置生效。
-或-
- 在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityStatusIndicator 中创建名为 NoActiveProbe 的 REG_DWORD 注册表设置,值为 1(一)。
15. 脱机地图
你可以关闭脱机地图的下载和更新功能。
通过转到 设置 -> 应用 ->脱机映射 -> 映射更新 ,在 UI 中关闭功能,切换 自动更新映射 切换为 关闭
-或-
启用组策略:计算机配置>管理模板>Windows 组件>图>关闭地图数据的自动下载和更新
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Maps 中创建名为 AutoDownloadAndUpdateMapData 的 REG_DWORD 注册表设置,值为 0(零)。
-和-
在 Windows 10 版本 1607 和更高版本以及 Windows 11 中,启用组策略:计算机配置>管理模板>Windows 组件>地图>在‘脱机地图’设置页面关闭未经请求的网络流量
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Maps中创建名为 AllowUntriggeredNetworkTrafficOnSettingsPage 的 REG_DWORD 注册表设置,值为 0(零)。
16. OneDrive
若要关闭组织中的 OneDrive,请执行以下操作:
启用组策略:计算机配置>管理模板>Windows 组件>OneDrive>禁止使用 onedrive 进行文件存储
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\OneDrive 中创建名为 DisableFileSyncNGSC 的 REG_DWORD 注册表设置,值为 1(一)。
- 和 -
启用组策略:计算机配置>管理模板>Windows 组件>OneDrive>阻止 OneDrive 生成网络通信,直到用户登录 OneDrive(启用)
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OneDrive 中创建名为 PreventNetworkTrafficPreUserSignIn 的 REG_DWORD 注册表设置,其值为 1(一)
17. 预安装的应用
为了确保出色的体验,一些预安装的应用将在打开之前获取内容。 你可以使用本部分中的步骤删除它们。
若要删除“资讯”应用:
右键单击“开始”菜单中的应用,然后单击卸载。
-或-
重要提示
如果你在使用以下命令时遇到任何问题,请重新启动系统,然后再次尝试脚本。
针对新用户帐户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:“Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingNews"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}”
-和-
针对当前用户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:Get-AppxPackage Microsoft.BingNews | Remove-AppxPackage
若要删除“天气”应用:
针对新用户帐户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:“Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingWeather"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}”
-和-
针对当前用户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:Get-AppxPackage Microsoft.BingWeather | Remove-AppxPackage
若要删除“财经”应用:
右键单击“开始”菜单中的应用,然后单击卸载。
-或-
针对新用户帐户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:“Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingFinance"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}”
-和-
针对当前用户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:Get-AppxPackage Microsoft.BingFinance | Remove-AppxPackage
若要删除“体育”应用:
右键单击“开始”菜单中的应用,然后单击卸载。
-或-
针对新用户帐户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:“Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingSports"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}”
-和-
针对当前用户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:Get-AppxPackage Microsoft.BingSports | Remove-AppxPackage
若要删除 Twitter 应用:
右键单击“开始”菜单中的应用,然后单击卸载。
-或-
针对新用户帐户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:“Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "*.Twitter"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}”
-和-
针对当前用户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:“Get-AppxPackage *.Twitter | Remove-AppxPackage”
若要删除 XBOX 应用:
针对新用户帐户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:“Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.XboxApp"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}”
-和-
针对当前用户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:Get-AppxPackage Microsoft.XboxApp | Remove-AppxPackage
若要删除 Sway 应用:
右键单击“开始”菜单中的应用,然后单击卸载。
-或-
针对新用户帐户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:“Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.Office.Sway"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}”
-和-
针对当前用户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:Get-AppxPackage Microsoft.Office.Sway | Remove-AppxPackage
若要删除 OneNote 应用:
针对新用户帐户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:“Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.Office.OneNote"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}”
-和-
针对当前用户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:Get-AppxPackage Microsoft.Office.OneNote | Remove-AppxPackage
若要删除“获取 Office”应用:
右键单击“开始”菜单中的应用,然后单击卸载。
-或-
针对新用户帐户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:“Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.MicrosoftOfficeHub"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}”
-和-
针对当前用户删除该应用。 从提升的命令提示符中,运行以下 Windows PowerShell 命令:Get-AppxPackage Microsoft.MicrosoftOfficeHub | Remove-AppxPackage
若要删除“获取 Skype”应用:
右键单击“开始”菜单中的“体育”应用,然后单击卸载。
-或-
针对新用户帐户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.SkypeApp"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}
-和-
针对当前用户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:Get-AppxPackage Microsoft.SkypeApp | Remove-AppxPackage
要删除便笺应用:
针对新用户帐户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.MicrosoftStickyNotes"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}
-和-
针对当前用户删除该应用。 从提升的命令提示符下,运行以下 Windows PowerShell 命令:Get-AppxPackage Microsoft.MicrosoftStickyNotes | Remove-AppxPackage
18. 设置 > 隐私和安全性
使用“设置”>“隐私和安全性”配置对你的组织可能很重要的某些设置。 除了“反馈和诊断”页面,必须为登录到电脑的每个用户帐户配置这些设置。
18.1 常规
常规包含不属于其他区域的选项。
Windows 10 版本 1703 选项
要关闭允许应用使用广告 ID,让广告根据你的应用使用情况变得更有趣(关闭此选项将重置你的 ID):
在 UI 中关闭该功能。
注意
如果在 UI 中关闭此功能,它将关闭广告 ID,而不只是将其重置。
-或-
启用组策略:计算机配置>管理模板>系统>用户配置文件>关闭广告 ID。
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfo 中创建名为 Enabled 的 REG_DWORD 注册表设置,值为 0(零)。
-和-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AdvertisingInfo 中创建名为 DisabledByGroupPolicy 的 REG_DWORD 注册表设置,其值为 1(一)。
若要关闭允许网站通过访问我的语言列表来提供本地相关内容,请执行以下操作:
在 UI 中关闭该功能。
-或-
在 HKEY_CURRENT_USER\Control Panel\International\User Profile 中创建名为 HttpAcceptLanguageOptOut 的新 REG_DWORD 注册表设置,值为 1。
要关闭允许 Windows 跟踪应用启动情况以改进‘开始’菜单和搜索结果:
在 UI 中关闭该功能。
-或-
在 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced 中创建名为 Start_TrackProgs 的 REG_DWORD 注册表设置,值为 0(零)。
Windows Server 2016 和 Windows 10 版本 1607 及其较早选项
若要关闭允许应用将我的广告 ID 用于跨应用的体验中(关闭此功能将重置你的 ID):
在 UI 中关闭该功能。
注意
如果在 UI 中关闭此功能,它将关闭广告 ID,而不只是将其重置。
-或-
启用组策略:计算机配置>管理模板>系统>用户配置文件>关闭广告 ID。
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfo 中创建名为 Enabled 的 REG_DWORD 注册表设置,值为 0(零)。
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AdvertisingInfo 中创建名为 DisabledByGroupPolicy 的 REG_DWORD 注册表设置,其值为 1(一)。
若要关闭打开 Microsoft Defender SmartScreen 以检查 Microsoft Store 应用所使用的 Web 内容 (URL):
在 UI 中关闭该功能。
-或-
在 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AppHost 中创建名为 EnableWebContentEvaluation 的 REG_DWORD 注册表设置,值为 0(零)。
若要关闭向 Microsoft 发送有关我的书写习惯的信息,以便帮助我们在未来改进键入和书写功能,请执行以下操作:
注意
如果诊断数据级别设置为基本或安全,这将自动关闭。
- 在 UI 中关闭该功能。
若要关闭允许网站通过访问我的语言列表来提供本地相关内容,请执行以下操作:
在 UI 中关闭该功能。
-或-
在 HKEY_CURRENT_USER\Control Panel\International\User Profile 中创建名为 HttpAcceptLanguageOptOut 的新 REG_DWORD 注册表设置,值为 1。
若要关闭允许应用在我的其他设备上打开应用,并在此设备上继续体验,请执行以下操作:
在 UI 中关闭该功能。
-或-
禁用组策略:计算机配置>管理模板>系统>组策略>在此设备上继续体验。
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System 中创建名为 EnableCdp 的 REG_DWORD 注册表设置,值为 0(零)。
若要关闭允许其他设备上的应用使用蓝牙打开应用,并继续此设备上的体验,请执行以下操作:
- 在 UI 中关闭该功能。
18.2 位置
在位置区域中,选择设备是否有权访问特定于位置的传感器以及哪些应用有权访问设备的位置。
若要关闭此设备的位置:
单击 UI 中的更改按钮。
-或-
启用组策略:计算机配置>管理模板>Windows 组件>位置和传感器>关闭位置。
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LocationAndSensors 中创建名为 DisableLocation 的 REG_DWORD 注册表设置,值为 1(一)。
若要关闭“允许应用访问你的位置”:
在 UI 中关闭该功能。
-或-
启用组策略:计算机配置>管理模板>Windows 组件>应用隐私>允许 Windows 应用访问位置和设置选择设置框以强制拒绝。
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsAccessLocation 的 REG_DWORD 注册表设置,其值为 2(二)。
若要关闭位置历史记录,请执行以下操作:
- 使用 UI 中的清除按钮清除历史记录。
若要关闭选择可以使用你的位置的应用:
- 使用 UI 关闭每个应用。
18.3 相机
在相机区域中,你可以选择哪些应用可访问设备的相机。
若要关闭允许应用使用我的相机:
在 UI 中关闭该功能。
-或-
应用组策略:计算机配置>管理模板>Windows 组件>应用隐私>允许 Windows 应用访问任务。
- 将选中设置框设置为强制拒绝。
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsAccessCamera 的 REG_DWORD 注册表设置,值为 2(二)。
若要关闭选择可以使用你的相机的应用,请执行以下操作:
- 在 UI 中针对每个应用关闭该功能。
18.4 麦克风
在麦克风区域中,你可以选择哪些应用可访问设备的麦克风。
若要关闭允许应用使用我的麦克风:
在 UI 中关闭该功能。
-或-
应用组策略:计算机配置>管理模板>Windows 组件>应用隐私>允许 Windows 应用访问任务。
- 将选中设置框设置为强制拒绝。
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsAccessMicrophone 的 REG_DWORD 注册表设置,值为 2(二)
若要关闭选择可以使用你的麦克风的应用,请执行以下操作:
- 在 UI 中针对每个应用关闭该功能。
18.5 通知
若要关闭通知网络使用情况,请执行以下操作:
启用组策略:计算机配置>管理模板>‘开始’菜单和任务栏>通知>关闭通知网络使用情况
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications 中创建名为 NoCloudApplicationNotification 的 REG_DWORD 注册表设置,值为 1(一)
在通知区域,还可以选择有权访问通知的应用。
若要关闭允许应用访问我的通知:
在 UI 中关闭该功能。
-或-
应用组策略:计算机配置>管理模板>Windows 组件>应用隐私>允许 Windows 应用访问通知
- 将选择设置框设置为强制拒绝。
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsAccessNotifications 的 REG_DWORD 注册表设置,值为 2(二)
18.6 语音
在语音区域中,你可以按如下方式配置功能:
要关闭语音听写、与 Cortana 和其他应用通话以及防止将语音输入发送到 Microsoft 语音服务,请执行以下操作:
切换设置 -> 隐私 -> 语音 ->在线语音识别 切换到 关闭
-或-
禁用 组策略:计算机配置 > 管理模板 > 控制面板 > 区域和语言选项 > 允许用户启用在线语音识别服务
-或-
在 HKEY_CURRENT_USER\Software\Microsoft\Speech_OneCore\Settings\OnlineSpeechPrivacy 中创建名为 HasAccepted 的 REG_DWORD 注册表设置,其值为 0(零)
如果运行的是 Windows 10 版本 1703(高达并包括 Windows 10 版本 1803),则可以关闭语音识别和语音合成模型的更新:
禁用组策略:计算机配置>管理模板>Windows 组件>语音>允许自动更新语音数据
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Speech 中创建名为 AllowSpeechModelUpdate 的 REG_DWORD 注册表设置,其值为 0(零)
18.7 帐户信息
在帐户信息区域中,你可以选择哪些应用可访问你的姓名、图片和其他帐户信息。
若要关闭允许应用访问我的姓名、图片和其他帐户信息:
在 UI 中关闭该功能。
-或-
应用组策略:计算机配置>管理模板>Windows 组件>应用隐私>允许 Windows 应用访问任务。
- 将选择设置框设置为强制拒绝。
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsAccessAccountInfo 的 REG_DWORD 注册表设置,其 值为 2(二)。
要关闭 选择可以访问你的帐户信息的应用,请执行以下操作:
- 在 UI 中针对每个应用关闭该功能。
18.8 联系人
在联系人区域中,你可以选择哪些应用可访问某个员工的联系人列表。
若要关闭选择可以访问联系人的应用:
在 UI 中针对每个应用关闭该功能。
-或-
应用组策略:计算机配置>管理模板>Windows 组件>应用隐私>允许 Windows 应用访问联系人。
- 将选择设置框设置为强制拒绝。
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsAccessContacts 的 REG_DWORD 注册表设置,值为 2(二)。
18.9 日历
在日历区域中,你可以选择哪些应用可访问某个员工的日历。
若要关闭允许应用访问我的日历:
在 UI 中关闭该功能。
-或-
应用组策略:计算机配置>管理模板>Windows 组件>应用隐私>允许 Windows 应用访问任务。 将选择设置框设置为强制拒绝。
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsAccessCalendar 的 REG_DWORD 注册表设置,值为 2(二)。
若要关闭“选择可以访问日历的应用”:
- 在 UI 中针对每个应用关闭该功能。
18.10 呼叫历史记录
在呼叫历史记录区域中,你可以选择哪些应用可访问某个员工的呼叫历史记录。
若要关闭允许应用访问我的呼叫历史记录:
在 UI 中关闭该功能。
-或-
应用组策略:计算机配置>管理模板>Windows 组件>应用隐私>允许 Windows 应用访问联系人。
- 将选择设置框设置为强制拒绝。
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsAccessCallHistory 的 REG_DWORD 注册表设置,值为 2(二)。
18.11 电子邮件
在电子邮件区域中,你可以选择哪些应用可以访问和发送电子邮件。
若要关闭允许应用访问和发送电子邮件,请执行以下操作:
在 UI 中关闭该功能。
-或-
应用组策略:计算机配置>管理模板>Windows 组件>应用隐私>允许 Windows 应用访问任务。
- 将选择设置框设置为强制拒绝。
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsAccessEmail 的 REG_DWORD 注册表设置,值为 2(二)。
18.12 消息
在消息区域中,你可以选择哪些应用可读取或发送消息。
若要关闭允许应用读取或发送消息(短信或彩信):
在 UI 中关闭该功能。
-或-
应用组策略:计算机配置>管理模板>Windows 组件>应用隐私>允许 Windows 应用访问运动数据
- 将选择设置框设置为强制拒绝。
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsAccessMessaging 的 REG_DWORD 注册表设置,值为 2(二)。
若要关闭选择可以读取或发送消息的应用,请执行以下操作:
- 在 UI 中针对每个应用关闭该功能。
关闭邮件同步
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Messaging 中创建名为 AllowMessageSync 的 REG_DWORD 注册表设置,并设置该值为 0(零)。
-或-
应用组策略:计算机配置>管理模板>Windows 组件>消息
- 将允许消息服务云同步设置为禁用。
18.13 电话呼叫
在电话呼叫区域中,你可以选择哪些应用可以进行电话呼叫。
若要关闭 允许应用进行电话呼叫:
在 UI 中关闭该功能。
-或-
应用组策略:计算机配置>管理模板>Windows 组件>应用隐私>允许 Windows 应用进行电话呼叫和设置选择设置框以强制拒绝。
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsAccessPhone 的 REG_DWORD 注册表设置,值为 2(二)。
若要关闭选择可以进行电话呼叫的应用,请执行以下操作:
- 在 UI 中针对每个应用关闭该功能。
18.14 无线电收发器
在无线电收发器区域中,你可以选择哪些应用可打开或关闭设备的无线电收发器。
若要关闭允许应用控制无线电收发器:
在 UI 中关闭该功能。
-或-
应用组策略:计算机配置>管理模板>Windows 组件>应用隐私>允许 Windows 应用控制无线电收发器并设置选择设置框以强制拒绝。
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsAccessRadios 的 REG_DWORD 注册表设置,值为 2(二)。
若要关闭选择可以控制无线电收发器的应用,请执行以下操作:
- 在 UI 中针对每个应用关闭该功能。
18.15 其他设备
在其他设备区域中,你可以选择未与电脑配对的设备(例如 Xbox One)是否可以共享和同步信息。
要关闭 允许应用自动与未和电脑、平板电脑或手机显式配对的无线设备共享并同步信息,请执行以下操作:
转到“设置”>“隐私和安全”>“其它设备”>“与未配对设备通信”以在 UI 中关闭该功能。 允许应用自动与未和 PC、平板电脑或手机显式配对的无线设备共享并同步信息”,然后将其关闭。
-或-
启用组策略:计算机配置>管理模板>Windows 组件>应用隐私>允许 Windows 应用与未配对设备进行通信并将选择设置框设置为强制拒绝。
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsSyncWithDevices 的 REG_DWORD 注册表设置,其值为 2(二)。
若要关闭允许应用使用你的受信任设备(已连接的硬件,或者 PC、平板电脑或手机配置的硬件),请执行以下操作:
在 UI 中关闭该功能。
-或-
启用组策略:计算机配置>管理模板>Windows 组件>应用隐私>允许 Windows 应用访问受信任的设备并设置选择设置框以强制拒绝。
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsAccessTrustedDevices 的 REG_DWORD 注册表设置,其值为 2(二)。
18.16 反馈和诊断
在反馈和诊断区域中,你可以选择请求反馈的频率以及发送到 Microsoft 的诊断和使用情况信息量。 如果你在查找有关每个诊断数据级别表示什么含义以及如何在组织中配置诊断数据级别的内容,请参阅在组织中配置 Windows 诊断数据。
注意
反馈频率仅适用于用户生成的反馈,不适用于从设备发送的诊断和使用情况数据。
若要更改 Windows 应请求我的反馈的频率,请执行以下操作:
若要更改自动(推荐),使用 UI 中的下拉列表。
-或-
启用组策略:计算机配置>管理模板>Windows 组件>数据收集和预览版>请不要显示反馈通知
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection 中创建名为 DoNotShowFeedbackNotifications 的 REG_DWORD 注册表设置,值为 1(一)。
-或-
创建注册表项(REG_DWORD 类型):
HKEY_CURRENT_USER\Software\Microsoft\Siuf\Rules\PeriodInNanoSeconds
HKEY_CURRENT_USER\Software\Microsoft\Siuf\Rules\NumberOfSIUFInPeriod
基于以下设置:
设置 PeriodInNanoSeconds NumberOfSIUFInPeriod 自动 删除注册表设置 删除注册表设置 从不 0 0 始终 100000000 删除注册表设置 每日一次 864000000000 1 每周一次 6048000000000 1
若要更改当你向 Microsoft 发送你的设备数据时所发送的诊断和使用情况数据的级别:
单击 " 所需(基本)" 或 可选(完全) "选项。
-或-
启用组策略:计算机配置\\管理模板\\Windows 组件\\数据收集和预览版\\允许遥测并将其值设置为 0。
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection\AllowTelemetry 中创建 REG_DWORD 注册表设置,其值为 0。
注意
如果安全性选项是使用组策略或注册表配置的,则此值不会反映在 UI 中。 安全性选项仅适用于 Windows 10 和 Windows 11 企业版。
若要使用你的诊断数据提供相关提示和建议,从而关闭定制体验,请执行以下操作:
在 UI 中关闭该功能。
-或-
启用组策略:计算机配置>管理模板>Windows 组件>云内容>关闭 Microsoft 消费者体验
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CloudContent 中创建名为 DisableWindowsConsumerFeatures 的 REG_DWORD 注册表设置,值为 1
-和-
启用组策略:用户配置>管理模板>Windows 组件>云内容>不使用诊断数据进行定制体验
-或-
在 HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CloudContent 中创建名为 DisableTailoredExperiencesWithDiagnosticData 的 REG_DWORD 注册表设置,其 值为 1(一)
18.17 后台应用
在后台应用区域中,你可以选择哪些应用可在后台运行。
若要关闭允许应用在后台运行,请执行以下操作:
在后台应用设置页面中,将允许应用在后台运行设置为关闭。
-或-
在后台应用设置页面中,关闭每个应用的功能。
-或-
启用组策略 (仅适用于 Windows 10 版本 1703 及以上版本以及 Windows 11):计算机配置>管理模板> Windows 组件>应用隐私>允许 Windows 应用在后台运行,并设置"选择设置"框为“强制拒绝”。
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsRunInBackground 的 REG_DWORD 注册表设置,值为 2(二)
注意
如果你将允许应用在后台运行设置为强制拒绝,则某些应用(包括 Cortana 和搜索)可能无法按预期工作。
18.18 运动
在运动区域,可以选择有权访问运动数据的应用。
若要关闭允许 Windows 和应用使用你的运动数据并收集运动历史记录:
在 UI 中关闭该功能。
-或-
启用组策略:计算机配置>管理模板>Windows 组件>应用隐私>允许 Windows 应用访问运动数据然后将所有应用的默认设置设置为强制拒绝
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsAccessMotion 的 REG_DWORD 注册表设置,值为 2(二)。
18.19 任务
在任务区域,可以选择有权访问任务的应用。
若要关闭此功能:
在 UI 中关闭该功能。
-或-
应用组策略:计算机配置>管理模板>Windows 组件>应用隐私>允许 Windows 应用访问任务。 将选择设置框设置为强制拒绝。
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsAccessTasks 的 REG_DWORD 注册表设置,其值为 2(二)。
18.20 应用诊断
在应用诊断区域,可以选择有权访问诊断信息的应用。
若要关闭此功能:
在 UI 中关闭该功能。
-或-
启用组策略:计算机配置>管理模板>Windows 组件>应用隐私>允许 Windows 应用访问有关其他应用的诊断信息
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsGetDiagnosticInfo 的 REG_DWORD 注册表设置,其值为 2(二)。
18.21 墨迹书写和键入
在墨迹书写和键入区域中,你可以按如下方式配置功能:
若要关闭墨迹书写和键入数据收集,请执行以下操作:
在 UI 中,转到 “设置”->“隐私”->“诊断和反馈”->“改进墨迹书写和键入”,并将其关闭
- 或 -
禁用 组策略: 计算机配置 > 管理模板 > Windows 组件 > 文本输入 > 改进墨迹书写和键入识别
-和-
禁用 组策略:用户配置 > 管理模板 > 控制面板 > 区域和语言选项 > 手写个性化 > 关闭自动学习
-或-
将 HKEY_CURRENT_USER\Software\Microsoft\InputPersonalization 中的 RestrictImplicitTextCollection 注册表项 REG_DWORD 设置的值设为 1(一)
- 和 -
将 HKEY_CURRENT_USER\Software\Microsoft\InputPersonalization 中的 RestrictImplicitInkCollection 注册表项 REG_DWORD 设置的值设为 1(一)
18.22 活动历史记录
在活动历史记录区域中,你可以选择关闭活动历史记录的跟踪。
要在 UI 中关闭此功能,请执行以下操作:
- 转到“设置- > 隐私 -> 活动历史记录”,然后 取消选中 “将我的活动历史记录存储在此设备上”,并 取消选中 “将我的活动历史记录发送到 Microsoft”复选框,从而 关闭 UI 中的功能
-或-
禁用组策略:计算机配置>管理模板>系统>OS 策略(名为启用活动源)
- 和 -
禁用组策略:计算机配置>管理模板>系统>OS 策略(名为允许发布用户活动)
- 和 -
禁用 组策略:计算机配置>管理模板>系统>OS 策略> 名为 允许上传用户活动
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System 中创建名为 EnableActivityFeed 的 REG_DWORD 注册表设置,其值为 0(零)
- 和 -
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System 中创建名为 PublishUserActivities 的 REG_DWORD 注册表设置,其值为 0(零)
- 和 -
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System 中创建名为 UploadUserActivities 的 REG_DWORD 注册表设置,其值为 0(零)
18.23 语音激活
在语音激活区域中,你可以选择关闭应用功能来侦听语音关键字。
要在 UI 中关闭此功能,请执行以下操作:
- 通过转到 设置 -> 隐私 -> 语音激活 来在 UI 中关闭此功能,然后切换为关闭允许应用使用语音激活,并切换为关闭允许应用在此设备锁定时使用语音激活
- 或 -
启用 组策略:计算机配置>管理模板>Windows 组件>应用隐私>名为允许 Windows 应用使用语音激活 并设置 选择设置 框为 强制拒绝
- 和 -
启用 组策略:计算机配置>管理模板>Windows 组件>应用隐私>名为允许 Windows 应用在系统锁定时使用语音激活 框,以 强制拒绝
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsActivateWithVoice 的 REG_DWORD 注册表设置,值为 2(二)
- 和 -
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy 中创建名为 LetAppsActivateWithVoiceAboveLock 的 REG_DWORD 注册表设置,值为 2(二)
18.24 新闻和兴趣
在 “Windows 源 ”区域中,可以选择哪些应用有权访问诊断信息。
若要关闭此功能:
- 在 HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Feeds 源中创建名为 EnableFeeds 的REG_DWORD注册表设置,值为 0(零)。
19. 软件保护平台
企业客户可以使用本地密钥管理服务器通过批量许可管理其 Windows 激活状态。 通过执行以下操作,可以选择不自动向 Microsoft 发送 KMS 客户端激活数据:
对于 Windows 10 和 Windows 11:
启用组策略:计算机配置>管理模板>Windows 组件>软件保护平台>关闭 KMS 客户端联机 AVS 验证
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\CurrentVersion\Software Protection Platform 中创建名为 NoGenTicket 的 REG_DWORD 注册表设置,值为 1(一)。
对于 Windows Server 2019 或更高版本:
启用组策略:计算机配置>管理模板>Windows 组件>软件保护平台>关闭 KMS 客户端联机 AVS 验证
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\CurrentVersion\Software Protection Platform 中创建名为 NoGenTicket 的 REG_DWORD 注册表设置,值为 1(一)。
对于 Windows Server 2016:
- 在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\CurrentVersion\Software Protection Platform 中创建名为 NoAcquireGT 的 REG_DWORD 设置,其 值为 1(一)。
注意
由于已知问题,关闭 KMS 客户端 联机 AVS 验证 组策略未在 Windows Server 2016 上按预期工作,因此需要改为设置 NoAcquireGT 的值。 Windows 激活状态将在 180 天的滚动周期内有效,并对 KMS 进行每周激活状态检查。
20. 存储运行状况
企业客户可以管理对磁盘失败预测模型的更新。
对于 Windows 10 和 Windows 11:
禁用此组策略:计算机配置>管理模板>系统>存储运行状况>允许下载对磁盘失败预测模型的更新
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\StorageHealth 中创建名为 AllowDiskHealthModelUpdates 的 REG_DWORD 注册表设置,其值为 0。
21. 同步你的设置
你可以控制是否同步设置:
在 UI 中:设置>帐户>同步你的设置
- 或 -
启用组策略:计算机配置>管理模板>Windows 组件>同步你的设置>不同步。使“允许用户打开同步”复选框保持取消选中状态。
-或-
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SettingSync 中创建名为 DisableSettingSync 的 REG_DWORD 注册表设置,值为 2(二),另一个在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SettingSync 中名为 DisableSettingSyncUserOverride的值为 1(一)。
若要关闭消息云同步,请执行以下操作:
在 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Messaging 中创建名为 CloudServiceSyncEnabled 的 REG_DWORD 注册表设置,并将其设置为值为 0(零)。
注意
没有与此注册表项对应的组策略。
22. Teredo
可以通过使用组策略或使用 netsh.exe 命令禁用 Teredo。 有关 Teredo 的详细信息,请参阅 Internet 协议版本 6、Teredo 和相关技术。
注意
如果禁用 Teredo,某些 XBOX 游戏功能和传递优化(通过组或 Internet 对等)将无法正常工作。
启用组策略:计算机配置>管理模板>网络>TCPIP 设置>IPv6 转换技术>设置 Teredo 状态并将其设置为禁用状态。
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\TCPIP\v6Transition 中创建名为 Teredo_State 的新 REG_SZ 注册表设置,值为
Disabled
。
23. WLAN 感知
重要提示
从 Windows 10 版本 1803 开始,WLAN 感知不再可用。 以下部分仅适用于 Windows 10 版本 1709 和更早版本。 有关详细信息,请参阅 在 Windows 10 中连接到开放 Wi-Fi 热点。
Wi-Fi 感知自动将设备连接到已知热点以及由用户的联系人与其共享的无线网络。
若要关闭连接到建议的开放热点和连接到由我的联系人共享的网络,请执行以下操作:
在“设置”>“网络和 Internet”>“Wi-Fi”中关闭 UI 中的该功能
-或-
禁用组策略:计算机配置>管理模板>网络>WLAN 服务>WLAN 设置>允许 Windows 自动连接到建议的开放热点、联系人共享的网络和提供付费服务的热点。
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WcmSvc\wifinetworkmanager\config 中创建名为 AutoConnectAllowedOEM 的新 REG_DWORD 注册表设置,其值为 0(零)。
关闭后,“WLAN 感知”设置仍显示在“WLAN 设置”屏幕中,但它们不起作用,并且无法受到员工控制。
24. Microsoft Defender 防病毒
可以断开 Microsoft 反恶意软件保护服务连接。
重要提示
在 Windows 10 版本 1903 上设置 Microsoft Defender 防病毒组策略或 RegKey 之前所需的步骤
- 确保 Windows 和 Microsoft Defender 防病毒完全更新。
- 通过单击 Windows“开始”按钮旁边的搜索图标,在“开始”菜单中搜索“篡改防护”。 然后向下滚动到“防篡改保护”开关并将其关闭。 这将允许你修改注册表项,并允许组策略进行设置。 或者,可以转到 “Windows 安全设置”->“病毒和威胁防护”,单击“管理设置” 链接,然后向下滚动到“篡改防护”开关,将其设置为“关闭”。
- 启用组策略计算机配置>管理模板>Windows 组件>Microsoft Defender 防病毒>MAPS>加入 Microsoft MAPS,然后从名为加入 Microsoft MAPS 的下拉框中选择已禁用
-或-
使用注册表将 REG_DWORD 值 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet\SpyNetReporting 设置为 0(零)。
- 和 -
删除在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Updates 中命名的注册表设置。
你可以停止向 Microsoft 重新发送文件示例。
启用组策略计算机配置>管理模板>Windows 组件>Microsoft Defender 防病毒>MAPS>需要进一步分析时发送文件示例,选择永不发送。
-或-
使用注册表将 REG_DWORD 值 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet\SubmitSamplesConsent 设置为 2(二),即永不发送。
你可以停止下载定义更新:
注意
1809 及更早内部版本的组策略路径为“计算机配置”>“管理模板”>“Windows 组件”>“Microsoft Defender 防病毒”>“签名更新”
启用组策略计算机配置>管理模板>Windows 组件>Microsoft Defender 防病毒>安全智能更新>定义用于下载定义更新的源的顺序,并将其设置为 FileShares。
-和-
禁用组策略计算机配置>管理模板>Windows 组件>Microsoft Defender 防病毒>安全智能更新>定义用于下载定义更新的文件共享,并将其设置为 Nothing。
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates 中创建名为 FallbackOrder 的新 REG_SZ 注册表设置,值为 FileShares。
-和-
如果 DefinitionUpdateFileSharesSources 注册表值位于 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates 下,请将其删除
你可以关闭恶意软件报告工具 (MSRT) 诊断数据:
将 REG_DWORD 值 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MRT\DontReportInfectionInformation 设置为 1。
注意
没有用于禁用“恶意软件报告工具”诊断数据的组策略。
你可以关闭增强型通知,如下所示:
在 UI 中设置:“设置”->“更新和安全”->“Windows 安全”->“病毒和威胁防护”->“病毒和威胁防护管理设置”->,滚动到“通知”的底部,单击“更改通知设置”->“通知”->,单击“管理通知”->“关闭一般通知”
-或-
在计算机配置>管理模板>Windows 组件>Microsoft Defender 防病毒>报告下,启用组策略关闭增强型通知。
-或-
在HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Reporting 中创建名为 DisableEnhancedNotifications 的新 REG_DWORD 注册表设置,然后输入十进制值 1。
24.1 Microsoft Defender SmartScreen
若要禁用 Microsoft Defender SmartScreen:
在组策略中,配置:
计算机配置 > 管理模板 > Windows 组件 > Windows Defender SmartScreen > 资源管理器 > 配置要 禁用的 Windows Defender SmartScreen
- 和 -
计算机配置 > 管理模板 > Windows 组件 > 文件资源管理器 > 配置 Windows Defender SmartScreen : 禁用
-和-
计算机配置 > 管理模板 > Windows 组件 > Windows Defender SmartScreen > 资源管理器 > 配置应用安装控制 : 启用,然后选择 “关闭应用建议”
- 或 -
在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System 中创建名为 EnableSmartScreen的 REG_DWORD 注册表设置,其值为 0(零)。
-和-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\SmartScreen 中创建名为ConfigureAppInstallControlEnabled 的 REG_DWORD 注册表设置,其值为 1。
- 和 -
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\SmartScreen 中创建名为 ConfigureAppInstallControl 的 SZ 注册表设置,值为 Anywhere。
25. 个性化体验
个性化体验可提供诸如锁屏界面上不同的背景图像和文本、建议的应用、Microsoft 帐户通知和 Windows 提示等功能。 示例功能包括 Windows 聚焦和“开始”菜单建议。 你可以使用组策略来控制这些体验。
注意
这不包括用户在 Windows 设置中如何控制单个体验(例如 Windows 聚焦)。
如果你运行的是 Windows 10 版本 1607 或更高版本,或是 Windows 11,则需要执行以下操作:
启用以下组策略用户配置>管理模板>Windows 组件>云内容>关闭所有 Windows 聚焦功能
-或-
在 HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CloudContent 中创建一个名为 DisableWindowsSpotlightFeatures 的新 REG_DWORD 注册表设置,其值为 1(一)。
- 和 -
启用以下组策略“计算机配置”>“管理模板”>“Windows 组件”>“云内容”>“关闭云优化内容”
-或-
在 HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CloudContent 中创建一个名为 DisableCloudOptimizedContent 的新 REG_DWORD 注册表设置,其值为 1(一)。
注意
这必须在 Windows 10 或 Windows 11 安装之后 15 分钟内完成。 或者,你可以使用此设置创建映像。
26. Microsoft Store
可以关闭从已预安装或下载的 Microsoft Store 启动应用的功能。 这还将关闭自动应用更新,并且 Microsoft Store 将禁用。 此外,无法通过单击“设置”>“帐户”>“电子邮件和应用帐户”>“添加帐户”来创建新的电子邮件帐户。 在 Windows Server 2016 中,这将阻止通用 Windows 应用中的 Microsoft Store 调用。
禁用组策略:计算机配置>管理模板>Windows 组件>Microsoft Store>禁用 Microsoft Store 中的所有应用。
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore 中创建名为 DisableStoreApps 的新 REG_DWORD 注册表设置,值为 1(一)。
- 和 -
启用组策略:计算机配置>管理模板>Windows 组件>Store>关闭更新的自动下载和安装。
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore 中创建名为 AutoDownload 的新 REG_DWORD 注册表设置,值为 2(二)。
27. 网站应用
可以关闭网站应用,以便阻止访问已注册其相关应用的网站的客户,直接启动该应用。
禁用组策略:计算机配置>管理模板>系统>组策略>配置包含 URI 处理程序的 Web 到应用链接
-或-
在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System 中创建名为 EnableAppUriHandlers 的新 REG_DWORD 注册表设置,其值为 0(零)。
28. 传递优化
传递优化是 Windows 更新、Microsoft Store 应用、Office 和其他 Microsoft 内容的下载程序。 “传递优化”还可以从 Microsoft 之外的来源下载内容,这不仅可以在你的 Internet 连接受限或不可靠时提供帮助,还可以帮助你减少要使组织的所有电脑保持最新状态所需的带宽量。 如果已打开“传递优化”的“对等”选项,你的网络上的电脑将可能针对本地网络上的其他电脑或 Internet 上的电脑(如果选择)发送和接收更新以及应用。
默认情况下,运行 Windows 10 或 Windows 11 的电脑将只使用“传递优化”,为本地网络上的电脑和应用获取并接收更新。
使用 UI、组策略或注册表项对“传递优化”进行设置。
在 Windows 10 版本 1607 及以上版本以及 Windows 11 中,可以通过将 下载模式 设置为 简单模式 (99) 来停止与传递优化云服务相关的网络流量,如下所述。
28.1 设置>更新和安全性
可以从“设置”UI 中设置“传递优化”对等。
- 转到设置>更新和安全>Windows 更新>高级选项>选择如何提供更新。
28.2 传递优化组策略
你可以在计算机配置>管理模板>Windows 组件>传递优化下找到传递优化组策略对象。
策略 | 描述 |
---|---|
下载模式 | 允许你选择“传递优化”在何处获取或发送更新和应用,其中包括
|
组 ID | 允许你提供组 ID 来限制哪些电脑可以共享应用和更新。 注意: 此 ID 必须为 GUID。 |
最长缓存保留时间 | 允许你指定文件在传递优化缓存中保留的最长时间(以秒为单位)。 默认值为 259200 秒(3 天)。 |
最大缓存大小 | 允许你将最大缓存大小指定为磁盘大小的百分比。 默认值为 20,表示磁盘的 20%。 |
最大上载带宽 | 允许你指定设备在所有并发上载活动上使用的最大上载带宽(以 KB/秒为单位)。 默认值为 0,这意味着带宽没有上限。 |
有关传递优化策略的完整列表,请参阅传递优化参考。
28.3 传递优化
- 在“计算机配置”>“管理模板”>“Windows 组件”>“传递优化”下“启用”“下载模式”组策略,然后将“下载模式”设置为“简单模式(99)”以阻止同级之间以及返回传递优化云服务的流量。
-或-
- 在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization 中创建名为 DODownloadMode 的新 REG_DWORD 注册表设置,值为 99(九十九)。
有关一般传递优化的详细信息,请参阅 Windows 更新传递优化:常见问题解答。
此处为 IT 专业人员提供了有关传递优化的信息:适用于 Windows 10 更新的传递优化。
29. Windows 更新
可以通过设置以下注册表项关闭 Windows 更新:
将名为 DoNotConnectToWindowsUpdateInternetLocations 的 REG_DWORD 值添加到 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate 中,并将该值设置为 1。
-和-
将名为 DisableWindowsUpdateAccess 的 REG_DWORD 值添加到 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate 中,并将该值设置为 1。
- 和 -
将名为 WUServer 的 REG_SZ 值添加到 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate,并确保它为空白且带有空格字符“ ”。
- 和 -
将名为 WUStatusServer 的 REG_SZ 值添加到 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate,并确保它为空白且带有空格字符“ ”。
- 和 -
将名为 UpdateServiceUrlAlternate 的 REG_SZ 值添加到 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate,并确保它为空白且带有空格字符“ ”。
- 和 -
将名为 UseWUServer 的 REG_DWORD 值添加到 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU,并设定其 值为 1(一)。
- 或 -
将组策略计算机配置>管理模板>Windows 组件>Windows 更新>不要连接任何 Windows 更新 Internet 位置设置为已启用
- 和 -
将组策略计算机配置>管理模板>系统>Internet 通信管理>Internet 通信设置>关闭对所有 Windows 更新功能的访问设置为已启用
- 和 -
将组策略计算机配置>管理模板>Windows 组件>Windows 更新>指定 Intranet Microsoft 更新服务位置设置为已启用,并确保所有“选项”设置(Intranet 更新服务、Intranet 统计服务器、备用下载服务器)均设置为“ ”
-和-
将组策略用户配置>管理模板>Windows 组件>Windows 更新>删除使用所有 Windows 更新功能的访问权限设置为已启用,然后将计算机配置设置为 0(零)。
你可以通过执行以下操作来关闭“自动更新”。 不建议执行此操作。
- 将名为 AutoDownload 的 REG_DWORD 值添加到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate 中,并将该值设置为 5。
对于中文版 Windows 10,还要设置另外一个注册表项以阻止流量:
- 将名为 HapDownloadEnabled 的 REG_DWORD 值添加到 HKEY_LOCAL_MACHINE\Software\Microsoft\LexiconUpdate\loc_0804 中,并设置其值为 0(零)。
30. 云剪贴板
指定剪贴板项目是否跨设备漫游。 允许此操作时,复制到剪贴板的项目将上传到云中,以便其他设备可以访问它。 云中的剪贴板项目可以在所有 Windows 10 和 Windows 11 设备上下载和粘贴。
最受限制的值为 0。
ADMX 信息:
- GP 友好名称:允许跨设备进行剪贴板同步
- GP 名称:AllowCrossDeviceClipboard
- GP 路径:系统/操作系统策略
- GP ADMX 文件名: OSPolicy.admx
以下列表显示支持的值:
- 0 - 不允许
- 1(默认值)– 允许
31. 服务配置
Windows 组件和应用(如遥测服务)使用服务配置来动态更新其配置。 如果关闭此服务,使用此服务的应用可能会停止工作。
可以通过设置以下注册表项来关闭服务配置:
将名为 DisableOneSettingsDownloads的 REG_DWORD 值添加到 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection,并将该值设置为1。
32. 小组件
小组件是一种可由用户自定义的新闻和源服务。 如果关闭此服务,使用此服务的应用可能会停止工作。
若要关闭小组件,可以在 MDM 解决方案中使用组策略或自定义设置,例如Microsoft Intune。
- 对于组策略,可以使用“允许小组件”策略,该策略也适用于 Intune 设置目录。
- 对于 MDM 解决方案,可以使用 NewsandInterests 配置服务提供程序 (CSP) 中的 Allow NewsAndInterests 设置。
有关 AllowNewsAndInterests 和“允许小组件”策略的详细信息,请 查看此信息。
33. 推荐
在“开始”菜单的“推荐”部分中显示建议的应用和文件列表。
若要关闭这些建议,可以使用以下任一方法:
- 在组策略中,在“用户配置>管理模板>开始菜单和任务栏”下将“从开始菜单中移除推荐”策略设置为“已启用”。
- 在 MDM 解决方案(如 Microsoft Intune)中,可以在启动策略配置服务提供程序(CSP)中使用 HideRecentJumplists 设置。
- 在注册表中,可以将HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackDocs 为 0。
- 在 UI 中,“设置”>“个性化”>“开始”下,可以关闭 “开始”、“跳转列表”和“文件资源管理器”下的“显示最近打开的项目”。
Windows 受限流量限制功能基线的允许流量列表
允许的流量终结点 |
---|
activation-v2.sls.microsoft.com/* |
crl.microsoft.com/pki/crl/* |
ocsp.digicert.com/* |
www.microsoft.com/pkiops/* |
若要了解详细信息,请参阅 设备更新管理 和 通过使用组策略配置自动更新。