您可以透過 Intune Endpoint Protection 配置檔管理的 Windows 設定
注意事項
Intune 可支援比本文所列的設定更多的設定。 並非所有設定都會記載,而且不會記載。 若要查看您可以設定的設定,請建立裝置設定原則,然後選取 [ 設定目錄]。 如需詳細資訊,請移至 [設定] 目錄。
Microsoft Intune 包含許多可協助保護裝置的設定。 本文說明裝置設定 Endpoint Protection 範本中的設定。 若要管理裝置安全性,您也可以使用 端點安全策略,這會直接著重於裝置安全性的子集。 若要設定 Microsoft Defender 防病毒軟體,請參閱 Windows 裝置限制或使用端點安全性防病毒軟體原則。
開始之前
建立 Endpoint Protection 裝置組態配置檔。
如需設定服務提供者 (CSP) 的詳細資訊,請參閱 設定服務提供者參考。
Microsoft Defender 應用程式防護
針對 Microsoft Edge,Microsoft Defender 應用程式防護 保護您的環境不受貴組織信任的網站。 透過 應用程式防護,不在隔離網路界限中的網站會在 Hyper-V 虛擬瀏覽會話中開啟。 信任的月臺是由網路界限所定義,而網路界限是在裝置組態中設定。 如需詳細資訊,請 參閱在 Windows 裝置上建立網路界限。
應用程式防護 僅適用於 64 位 Windows 裝置。 使用此設定檔會安裝 Win32 元件來啟用 應用程式防護。
應用程式防護
預設:未設定
應用程式防護 CSP:Settings/AllowWindowsDefenderApplicationGuard- 啟用 Edge - 開啟此功能,以在 Hyper-V 虛擬化流覽容器中開啟不受信任的網站。
- 未設定 - 任何 (受信任和不受信任的網站) 都可以在裝置上開啟。
剪貼簿行為
預設:未設定
應用程式防護 CSP:設定/剪貼簿設定選擇本機電腦與 應用程式防護 虛擬瀏覽器之間允許的複製和貼上動作。
- 未設定
- 只允許從電腦複製並貼到瀏覽器
- 只允許從瀏覽器複製並貼到電腦
- 允許在電腦和瀏覽器之間複製和貼上
- 封鎖電腦與瀏覽器之間的複製和貼上
剪貼簿內容
只有在 [剪貼簿行為 ] 設定為其中一個 允許 設定時,才能使用此設定。
預設:未設定
應用程式防護 CSP:Settings/ClipboardFileType選取允許的剪貼簿內容。
- 未設定
- 文字
- Images
- 文字和影像
企業網站上的外部內容
預設:未設定
應用程式防護 CSP:Settings/BlockNonEnterpriseContent- 封鎖 - 禁止來自未經核准網站的內容載入。
- 未設定 - 非企業網站可以在裝置上開啟。
從虛擬瀏覽器列印
預設:未設定
應用程式防護 CSP:設定/列印設定- 允許 -允許從虛擬瀏覽器列印選取的內容。
- 未設定 停用所有列印功能。
當您 允許 列印時,接著可以設定下列設定:
-
列印類型 (的) 選取下列一或多個選項:
- XPS
- 本機印表機
- 網路印表機
收集記錄
預設:未設定
應用程式防護 CSP:Audit/AuditApplicationGuard- 允許 - 收集 應用程式防護 瀏覽會話內所發生事件的記錄。
- 未設定 - 不要在瀏覽工作階段內收集任何記錄。
保留用戶產生的瀏覽器數據
預設:未設定
應用程式防護 CSP:Settings/AllowPersistence- 允許將用戶數據儲存 (,例如 應用程式防護 虛擬瀏覽會話期間建立的密碼、我的最愛和 Cookie) 。
- 未設定 當裝置重新啟動或使用者註銷時,捨棄使用者下載的檔案和數據。
圖形加速
預設:未設定
應用程式防護 CSP:Settings/AllowVirtualGPU- 啟用 - 透過取得虛擬圖形處理器的存取權,更快速地載入需要大量圖形的網站和視訊。
- 未設定 將裝置的 CPU 用於圖形;請勿使用虛擬圖形處理單位。
將檔案下載到主機檔系統
預設:未設定
應用程式防護 CSP:Settings/SaveFilesToHost- 啟用 - 使用者可以從虛擬化瀏覽器將檔案下載到主機作業系統。
- 未設定 - 將檔案保留在本機裝置上,且不會將檔案下載到主機文件系統。
Windows 防火牆
通用設定
這些設定適用於所有網路類型。
檔傳輸通訊協定
預設:未設定
防火牆 CSP: MdmStore/Global/DisableStatefulFtp- 封鎖 - 停用具狀態 FTP。
- 未設定 - 防火牆會進行具狀態的 FTP 篩選,以允許次要連線。
刪除前的安全性關聯空閒時間
預設: 未設定
防火牆 CSP: MdmStore/Global/SaIdleTime以秒為單位指定空閒時間,之後就會刪除安全性關聯。
預先共用金鑰編碼
預設:未設定
防火牆 CSP: MdmStore/Global/PresharedKeyEncoding- 啟用 - 使用 UTF-8 編碼預先聽過的金鑰。
- 未設定 - 使用本地儲存值編碼預先聽過的金鑰。
IPsec豁免
預設值: 已選取 0 個
防火牆 CSP: MdmStore/Global/IPsecExempt選取下列一或多個要豁免 IPsec 的流量類型:
- 芳鄰探索 IPv6 ICMP 類型代碼
- ICMP
- 路由器探索 IPv6 ICMP 類型代碼
- IPv4 和 IPv6 DHCP 網路流量
證書吊銷清單驗證
預設:未設定
防火牆 CSP: MdmStore/Global/CRLcheck選擇裝置如何驗證證書吊銷清單。 選項包括:
- 停用CRL驗證
- 僅在撤銷的憑證上進行CRL驗證失敗
- 發生任何錯誤時,CRL 驗證失敗。
以機會方式比對每個金鑰模組的驗證集
預設:未設定
防火牆 CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM- 使 金鑰模組必須只忽略它們不支援的驗證套件。
- 未設定,如果金鑰模組不支援集合中指定的所有驗證套件,則必須忽略整個驗證集。
封包佇列
預設:未設定
防火牆 CSP: MdmStore/Global/EnablePacketQueue指定如何針對 IPsec 信道閘道的加密接收和純文字轉送啟用接收端上的軟體調整。 此設定會確認已保留封包順序。 選項包括:
- 未設定
- 停用所有封包佇列
- 僅佇列輸入加密封包
- 解密后的佇列封包僅針對轉送執行
- 設定輸入和輸出封包
網路設定
下列設定會在本文中單次列出,但全部都適用於三種特定的網路類型:
- 網域 (工作場所) 網路
- 私人 (可探索) 網路
- 公用 (無法探索的) 網路
一般
Windows Firewall
預設:未設定
防火牆 CSP: EnableFirewall- 啟用 - 開啟防火牆和進階安全性。
- 未設定 允許所有網路流量,不論任何其他原則設定為何。
隱形模式
預設:未設定
防火牆 CSP: DisableStealthMode- 未設定
- 封鎖 - 防火牆無法在隱形模式下運作。 封鎖隱形模式也可讓您封鎖 IPsec 安全封包豁免。
- 允許 - 防火牆會以隱形模式運作,有助於防止對探查要求的回應。
使用隱形模式的 IPsec 安全封包豁免
預設:未設定
防火牆 CSP: DisableStealthModeIpsecSecuredPacketExemption如果 [隱形] 模式 設定為 [ 封鎖],則會忽略此選項。
- 未設定
- 封鎖 - IPSec 安全封包不會收到豁免。
- 允許 - 啟用豁免。 防火牆的隱形模式「不得」防止主計算機回應 IPsec 所保護的未經要求網路流量。
遮罩
預設:未設定
防火牆 CSP: 受防護- 未設定
- 封鎖 - 當 Windows 防火牆開啟且此設定設為 [ 封鎖] 時,不論其他原則設定為何,都會封鎖所有連入流量。
- 允許 - 當設定為 [允許] 時,會關閉此設定,並根據其他原則設定允許連入流量。
多播廣播的單播回應
預設:未設定
防火牆 CSP: DisableUnicastResponsesToMulticastBroadcast一般而言,您不想要接收多播或廣播訊息的單播回應。 這些回應可能表示拒絕服務 (DOS) 攻擊,或攻擊者嘗試探查已知的實時電腦。
- 未設定
- 封鎖 - 停用多播廣播的單播回應。
- 允許 - 允許多播廣播的單播回應。
輸入通知
預設:未設定
防火牆 CSP: DisableInboundNotifications- 未設定
- 封鎖 - 隱藏當應用程式遭到封鎖而無法接聽埠時所要使用的通知。
- 允許 - 啟用此設定,而且當應用程式遭到封鎖而無法接聽埠時,可能會對用戶顯示通知。
輸出連線的預設動作
預設:未設定
防火牆 CSP: DefaultOutboundAction設定防火牆在輸出連線上執行的默認動作。 此設定會套用至 Windows 1809 版和更新版本。
- 未設定
- 封鎖 - 除非明確指定不要封鎖,否則預設防火牆動作不會在輸出流量上執行。
- 允許 - 在輸出連線上執行預設防火牆動作。
輸入連線的預設動作
預設:未設定
防火牆 CSP: DefaultInboundAction- 未設定
- 封鎖 - 預設防火牆動作不會在輸入連線上執行。
- 允許 - 預設防火牆動作會在輸入連線上執行。
規則合併
來自本地存儲的授權應用程式 Windows 防火牆規則
預設:未設定
防火牆 CSP: AuthAppsAllowUserPrefMerge- 未設定
- 封鎖 - 本地存儲中已授權的應用程式防火牆規則會被忽略且不會強制執行。
- 允許 - 選擇 [啟用 ] 在本地存儲中套用防火牆規則,以便辨識並強制執行這些規則。
來自本地存儲的全域埠 Windows 防火牆規則
預設:未設定
防火牆 CSP: GlobalPortsAllowUserPrefMerge- 未設定
- 封鎖 - 會忽略並不會強制執行本地存儲中的全域埠防火牆規則。
- 允許 -套用本地存儲中要辨識和強制執行的全域埠防火牆規則。
來自本地存儲的 Windows 防火牆規則
預設:未設定
防火牆 CSP: AllowLocalPolicyMerge- 未設定
- 封鎖 - 會忽略並不會強制執行來自本地存儲的防火牆規則。
- 允許 - 在本地存儲中套用要辨識和強制執行的防火牆規則。
來自本地存儲的 IPsec 規則
預設:未設定
防火牆 CSP: AllowLocalIpsecPolicyMerge- 未設定
- 封鎖 - 不論架構版本和連線安全性規則版本為何,都會忽略並不會強制執行來自本地存儲的連線安全性規則。
- 允許 - 從本地存儲套用連線安全性規則,不論架構或連線安全性規則版本為何。
防火牆規則
您可以 新增 一或多個自定義防火牆規則。 如需詳細資訊,請 參閱為 Windows 裝置新增自定義防火牆規則。
自訂防火牆規則支援下列選項:
一般設定
名稱
預設值: 無名稱指定規則的易記名稱。 此名稱會出現在規則清單中,以協助您識別它。
描述
默認值: 無描述提供規則的描述。
方向
預設:未設定
防火牆 CSP: FirewallRules/FirewallRuleName/Direction指定此規則 是否適用於輸入或 輸出 流量。 當設定為 [未設定] 時,規則會自動套用至輸出流量。
動作
預設:未設定
防火牆 CSP: FirewallRules/FirewallRuleName/Action 和 FirewallRules/FirewallRuleName/Action/Type從 [ 允許] 或 [ 封鎖] 中選取。 當設定為 [未設定] 時,規則預設為允許流量。
網路類型
預設值:已選取 0 個
防火牆 CSP: FirewallRules/FirewallRuleName/Profiles選取此規則所屬的最多三種網路類型。 選項包括 網域、 私人和 公用。 如果未選取任何網路類型,則規則會套用至這三種網路類型。
應用程式設定
應用程式 (的)
預設值:全部控制應用程式或程序的連線。 應用程式和程式可以透過 檔案路徑、 套件系列名稱或 服務名稱來指定:
套件系列名稱 – 指定套件系列名稱。 若要尋找套件系列名稱,請使用PowerShell命令 Get-AppxPackage。
防火牆 CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName檔案路徑 – 您必須指定用戶端裝置上應用程式的檔案路徑,它可以是絕對路徑或相對路徑。 例如:C:\Windows\System\Notepad.exe 或 %WINDIR%\Notepad.exe。
防火牆 CSP: FirewallRules/FirewallRuleName/App/FilePathWindows 服務 – 如果是服務,而不是傳送或接收流量的應用程式,請指定 Windows 服務簡短名稱。 若要尋找服務簡短名稱,請使用 PowerShell 命令 Get-Service。
防火牆 CSP: FirewallRules/FirewallRuleName/App/ServiceName全部– 不需要設定
IP 位址設定
指定套用此規則的本機和遠端位址。
本機位址
預設:任何位址
防火牆 CSP: FirewallRules/FirewallRuleName/LocalPortRanges選 取 [任何位址 ] 或 [指定的位址]。
當您使用 [指定的位址] 時,會將一或多個位址新增為規則所涵蓋的本機位址逗號分隔清單。 有效的權杖包括:
- 針對任何本機位址使用星號
*
。 如果您使用星號,它必須是您唯一使用的令牌。 - 使用子網掩碼或網路前置詞表示法來指定子網。 如果未指定子網掩碼或網路前綴,則子網掩碼預設為 255.255.255.255。
- 有效的 IPv6 位址。
- IPv4 位址範圍格式為「起始位址 - 結束位址」,不包含空格。
- IPv6 位址範圍格式為「起始位址 - 結束位址」,不包含空格。
- 針對任何本機位址使用星號
遠端位址
預設:任何位址
防火牆 CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges選 取 [任何位址 ] 或 [指定的位址]。
當您使用 [指定的位址] 時,您會新增一或多個位址作為規則所涵蓋的遠端位址逗號分隔清單。 令牌不區分大小寫。 有效的權杖包括:
- 針對 任何 遠端位址使用星號 “*”。 如果您使用星號,它必須是您唯一使用的令牌。
Defaultgateway
DHCP
DNS
WINS
-
Intranet
windows 1809 版和更新版本的 (支援) -
RmtIntranet
windows 1809 版和更新版本的 (支援) -
Internet
windows 1809 版和更新版本的 (支援) -
Ply2Renders
windows 1809 版和更新版本的 (支援) -
LocalSubnet
表示本機子網上的任何本機位址。 - 使用子網掩碼或網路前置詞表示法來指定子網。 如果未指定子網掩碼或網路前綴,則子網掩碼預設為 255.255.255.255。
- 有效的 IPv6 位址。
- IPv4 位址範圍格式為「起始位址 - 結束位址」,不包含空格。
- IPv6 位址範圍格式為「起始位址 - 結束位址」,不包含空格。
埠和通訊協議設定
指定套用此規則的本機和遠端埠。
-
Protocol (通訊協定)
默認值:任何
防火牆 CSP: FirewallRules/FirewallRuleName/Protocol
從下列項目中選取,並完成任何必要的設定:- 全部 – 沒有可用的設定。
-
TCP – 設定本機和遠端埠。 這兩個選項都支援 [所有埠] 或 [指定的埠]。 使用逗號分隔清單輸入指定的埠。
- 本機埠 - 防火牆 CSP: FirewallRules/FirewallRuleName/LocalPortRanges
- 遠端埠 - 防火牆 CSP: FirewallRules/FirewallRuleName/RemotePortRanges
-
UDP – 設定本機和遠端埠。 這兩個選項都支援 [所有埠] 或 [指定的埠]。 使用逗號分隔清單輸入指定的埠。
- 本機埠 - 防火牆 CSP: FirewallRules/FirewallRuleName/LocalPortRanges
- 遠端埠 - 防火牆 CSP: FirewallRules/FirewallRuleName/RemotePortRanges
- 自訂 – 指定從 0 到 255 的自訂 通訊協定 編號。
進階設定
介面類型
預設值:已選取 0 個
防火牆 CSP: FirewallRules/FirewallRuleName/InterfaceTypes從下列選項中選取:
- 遠端存取
- 無線電
- 局域網路
只允許來自這些用戶的連線
預設值:未 指定清單時,所有使用者 (預設為所有使用)
防火牆 CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationList為此規則指定授權的本機用戶清單。 如果此規則套用至 Windows 服務,則無法指定授權使用者的清單。
Microsoft Defender SmartScreen 設定
Microsoft必須在裝置上安裝Edge。
適用於應用程式和檔案的SmartScreen
預設:未設定
SmartScreen CSP: SmartScreen/EnableSmartScreenInShell- 未設定 - 停用 SmartScreen 的使用。
- 啟用 - 啟用 Windows SmartScreen 以執行檔案和執行應用程式。 SmartScreen 是雲端式反網路釣魚和反惡意代碼元件。
未驗證的檔案執行
預設:未設定
SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell- 未設定 - 停用此功能,並允許使用者執行尚未驗證的檔案。
- 封鎖 - 防止終端使用者執行 Windows SmartScreen 尚未驗證的檔案。
Windows 加密
Windows 設定
加密裝置
預設:未設定
BitLocker CSP: RequireDeviceEncryption-
需要 - 提示使用者啟用裝置加密。 視 Windows 版本和系統設定而定,系統可能會詢問使用者:
- 確認未啟用來自另一個提供者的加密。
- 必須關閉 BitLocker 磁碟驅動器加密,然後重新開啟 BitLocker。
- 未設定
如果在其他加密方法作用中時開啟 Windows 加密,裝置可能會變得不穩定。
-
需要 - 提示使用者啟用裝置加密。 視 Windows 版本和系統設定而定,系統可能會詢問使用者:
BitLocker 基底設定
基底設定是所有數據磁碟驅動器類型的通用 BitLocker 設定。 這些設定會管理終端使用者可以跨所有數據磁碟驅動器類型修改的磁碟驅動器加密工作或組態選項。
其他磁碟加密的警告
預設:未設定
BitLocker CSP: AllowWarningForOtherDiskEncryption- 封鎖 - 如果裝置上有另一個磁碟加密服務,請停用警告提示。
- 未設定 - 允許顯示其他磁碟加密的警告。
提示
若要在 Microsoft Entra 加入並執行 Windows 1809 或更新版本的裝置上自動以無訊息方式安裝 BitLocker,此設定必須設定為 [封鎖]。 如需詳細資訊,請參閱 在裝置上以無訊息方式啟用 BitLocker。
當設定為 [封鎖] 時,您可以接著設定下列設定:
允許標準使用者在 Microsoft Entra 加入期間啟用加密
此設定僅適用於 Microsoft Entra Azure ADJ) 裝置 (加入,且取決於先前的設定。Warning for other disk encryption
預設:未設定
BitLocker CSP: AllowStandardUserEncryption- 允許 - Standard (非系統管理員的使用者) 可以在登入時啟用 BitLocker 加密。
- 未設定 ,只有系統管理員可以在裝置上啟用 BitLocker 加密。
提示
若要在 Microsoft Entra 加入並執行 Windows 1809 或更新版本的裝置上自動且無訊息地安裝 BitLocker,此設定必須設定為 [允許]。 如需詳細資訊,請參閱 在裝置上以無訊息方式啟用 BitLocker。
設定加密方法
預設:未設定
BitLocker CSP: EncryptionMethodByDriveType- 啟用 -設定作業系統、數據和卸載式磁碟驅動器的加密演算法。
- 未設定 - BitLocker 使用 XTS-AES 128 位作為預設加密方法,或使用任何安裝腳本所指定的加密方法。
當設定為 [啟用] 時,您可以設定下列設定:
操作系統磁碟驅動器的加密
默認值:XTS-AES 128 位選擇作業系統磁碟驅動器的加密方法。 建議您使用 XTS-AES 演算法。
- AES-CBC 128-bit
- AES-CBC 256-bit
- XTS-AES 128 位
- XTS-AES 256-bit
固定數據磁碟驅動器的加密
預設值:AES-CBC 128 位選擇固定 (內建) 數據磁碟驅動器的加密方法。 建議您使用 XTS-AES 演算法。
- AES-CBC 128-bit
- AES-CBC 256-bit
- XTS-AES 128 位
- XTS-AES 256-bit
抽取式數據磁碟驅動器的加密
預設值:AES-CBC 128 位選擇抽取式數據磁碟驅動器的加密方法。 如果卸載式磁碟驅動器與未執行 Windows 10/11 的裝置搭配使用,則建議您使用 AES-CBC 演算法。
- AES-CBC 128-bit
- AES-CBC 256-bit
- XTS-AES 128 位
- XTS-AES 256-bit
BitLocker OS 磁碟驅動器設定
這些設定特別適用於作業系統數據磁碟驅動器。
啟動時的其他驗證
預設:未設定
BitLocker CSP: SystemDrivesRequireStartupAuthentication- 需要 - 設定電腦啟動的驗證需求,包括使用信賴平臺模組 (TPM) 。
- 未設定 - 只在具有 TPM 的裝置上設定基本選項。
當設定為 [ 需要] 時,您可以設定下列設定:
具有不相容 TPM 晶片的 BitLocker
預設:未設定- 封鎖 - 當裝置沒有相容的 TPM 晶片時,停用 BitLocker 的使用。
- 未設定 - 使用者可以使用 BitLocker,而不需要相容的 TPM 晶片。 BitLocker 可能需要密碼或啟動金鑰。
相容的 TPM 啟動
默認值:允許 TPM設定是否允許、必要或不允許 TPM。
- 允許 TPM
- 不允許 TPM
- 需要 TPM
相容的 TPM 啟動 PIN
默認:允許使用 TPM 啟動 PIN選擇允許、不允許或要求搭配 TPM 晶片使用啟動 PIN。 啟用啟動 PIN 需要終端用戶的互動。
- 允許使用 TPM 啟動 PIN
- 不允許使用 TPM 啟動 PIN
- 需要搭配 TPM 的啟動 PIN
提示
若要在 Microsoft Entra 加入並執行 Windows 1809 或更新版本的裝置上自動且無訊息地安裝 BitLocker,此設定不得設定為 [需要使用 TPM 啟動 PIN]。 如需詳細資訊,請參閱 在裝置上以無訊息方式啟用 BitLocker。
相容的 TPM 啟動金鑰
預設:允許使用 TPM 的啟動金鑰選擇允許、不允許或要求搭配 TPM 晶片使用啟動金鑰。 啟用啟動金鑰需要終端用戶的互動。
- 使用 TPM 允許啟動金鑰
- 不允許使用 TPM 的啟動金鑰
- 需要使用 TPM 的啟動金鑰
提示
若要在 Microsoft Entra 加入並執行 Windows 1809 或更新版本的裝置上自動且無訊息地安裝 BitLocker,此設定不得設定為 [需要使用 TPM 啟動密鑰]。 如需詳細資訊,請參閱 在裝置上以無訊息方式啟用 BitLocker。
相容的 TPM 啟動金鑰和 PIN
默認:允許搭配 TPM 使用啟動金鑰和 PIN選擇允許、不允許或要求搭配 TPM 晶片使用啟動金鑰和 PIN。 啟用啟動金鑰和 PIN 需要終端用戶的互動。
- 允許搭配 TPM 使用啟動金鑰和 PIN
- 不允許搭配 TPM 使用啟動金鑰和 PIN
- 需要搭配 TPM 的啟動金鑰和 PIN
提示
若要在 Microsoft Entra 加入並執行 Windows 1809 或更新版本的裝置上自動且無訊息地安裝 BitLocker,此設定不得設定為 [需要使用 TPM 啟動密鑰和 PIN]。 如需詳細資訊,請參閱 在裝置上以無訊息方式啟用 BitLocker。
PIN 長度下限
預設:未設定
BitLocker CSP: SystemDrivesMinimumPINLength- 使 設定 TPM 啟動 PIN 的最小長度。
- 未設定 - 使用者可以設定長度介於 6 到 20 位數之間的啟動 PIN。
當設定為 [啟用] 時,您可以設定下列設定:
最小字元數
默認: 未設定 BitLocker CSP: SystemDrivesMinimumPINLength輸入啟動 PIN 所需的字元數,從 4-20 開始。
操作系統磁碟驅動器復原
預設:未設定
BitLocker CSP: SystemDrivesRecoveryOptions- 啟用 - 控制當必要的啟動資訊無法使用時,受 BitLocker 保護的作業系統磁碟驅動器如何復原。
- 未設定 - 支援預設復原選項,包括 DRA。 終端使用者可以指定復原選項。 復原資訊不會備份至 AD DS。
當設定為 [啟用] 時,您可以設定下列設定:
憑證型數據復原代理程式
預設:未設定- 封鎖 - 防止使用數據復原代理程式搭配受 BitLocker 保護的 OS 磁碟驅動器。
- 未設定 - 允許數據復原代理程式與受 BitLocker 保護的作業系統磁碟驅動器搭配使用。
使用者建立修復密碼
默認:允許 48 位數的修復密碼選擇是否允許、必要或不允許用戶產生 48 位數的修復密碼。
- 允許48位數的修復密碼
- 不允許 48 位數的修復密碼
- 需要 48 位數的修復密碼
使用者建立修復金鑰
默認:允許256位修復金鑰選擇是否允許、必要或不允許用戶產生256位修復金鑰。
- 允許256位修復金鑰
- 不允許256位修復金鑰
- 需要256位修復金鑰
BitLocker 安裝精靈中的復原選項
預設:未設定- 封鎖 - 使用者無法查看及變更復原選項。 設定為 時
- 未設定 - 用戶可以在開啟 BitLocker 時看到並變更復原選項。
儲存 BitLocker 復原資訊以 Microsoft Entra ID
預設:未設定- 啟用 - 儲存要 Microsoft Entra ID 的 BitLocker 修復資訊。
- 未設定 - BitLocker 修復資訊不會儲存在 Microsoft Entra ID 中。
儲存至 Microsoft Entra ID 的 BitLocker 修復資訊
默認:備份修復密碼和金鑰套件設定 BitLocker 復原資訊的哪些部分會儲存在 Microsoft Entra ID 中。 從下列項目中選擇:
- 備份修復密碼和金鑰套件
- 僅備份復原密碼
用戶端驅動的復原密碼輪替
預設:未設定
BitLocker CSP: ConfigureRecoveryPasswordRotation此設定會使用 bootmgr 或 WinRE) ,在 OS 磁碟驅動器復原 (之後起始用戶端驅動的修復密碼輪替。
- 尚未設定
- 已停用金鑰輪替
- 已加入 Microsoft Entra 擷取的金鑰輪替
- 為 Microsoft Entra ID 和已加入混合式的裝置啟用金鑰輪替
在啟用 BitLocker 之前,先將復原資訊儲存在 Microsoft Entra ID 中
預設:未設定除非計算機成功將 BitLocker 修復資訊備份至 Microsoft Entra ID,否則防止使用者啟用 BitLocker。
- 需要 - 除非 BitLocker 修復資訊成功儲存在 Microsoft Entra ID 中,否則停止使用者開啟 BitLocker。
- 未設定 - 使用者可以開啟 BitLocker,即使復原資訊未成功儲存在 Microsoft Entra ID 中也一樣。
開機前復原訊息和 URL
預設:未設定
BitLocker CSP: SystemDrivesRecoveryMessage- 啟用 -設定開機前金鑰修復畫面上顯示的訊息和 URL。
- 未設定 - 停用此功能。
當設定為 [啟用] 時,您可以設定下列設定:
開機前復原訊息
預設:使用預設復原訊息和URL設定開機前復原訊息對用戶的顯示方式。 從下列項目中選擇:
- 使用預設復原訊息和 URL
- 使用空白復原訊息和 URL
- 使用自定義復原訊息
- 使用自定義復原URL
BitLocker 固定數據磁碟驅動器設定
這些設定特別適用於固定數據磁碟驅動器。
未受 BitLocker 保護之固定數據磁碟驅動器的寫入存取權
預設:未設定
BitLocker CSP: FixedDrivesRequireEncryption- 封鎖 - 為不受 BitLocker 保護的數據磁碟驅動器提供唯讀存取權。
- 未設定 - 根據預設,讀取和寫入未加密數據磁碟驅動器的存取權。
固定磁碟驅動器復原
預設:未設定
BitLocker CSP: FixedDrivesRecoveryOptions- 啟用 - 控制當必要的啟動資訊無法使用時,受 BitLocker 保護的固定磁碟驅動器如何復原。
- 未設定 - 停用此功能。
當設定為 [啟用] 時,您可以設定下列設定:
數據復原代理程式
預設:未設定- 封鎖 - 防止使用數據復原代理程式搭配受 BitLocker 保護的固定磁碟驅動器原則 編輯器。
- 未設定 - 可讓您搭配 BitLocker 保護的固定磁碟驅動器使用資料復原代理程式。
使用者建立修復密碼
默認:允許 48 位數的修復密碼選擇是否允許、必要或不允許用戶產生 48 位數的修復密碼。
- 允許48位數的修復密碼
- 不允許 48 位數的修復密碼
- 需要 48 位數的修復密碼
使用者建立修復金鑰
默認:允許256位修復金鑰選擇是否允許、必要或不允許用戶產生256位修復金鑰。
- 允許256位修復金鑰
- 不允許256位修復金鑰
- 需要256位修復金鑰
BitLocker 安裝精靈中的復原選項
預設:未設定- 封鎖 - 使用者無法查看及變更復原選項。 設定為 時
- 未設定 - 用戶可以在開啟 BitLocker 時看到並變更復原選項。
儲存 BitLocker 復原資訊以 Microsoft Entra ID
預設:未設定- 啟用 - 儲存要 Microsoft Entra ID 的 BitLocker 修復資訊。
- 未設定 - BitLocker 復原資訊不會儲存在 Microsoft Entra ID 中。
儲存至 Microsoft Entra ID 的 BitLocker 修復資訊
默認:備份修復密碼和金鑰套件設定 BitLocker 復原資訊的哪些部分會儲存在 Microsoft Entra ID 中。 從下列項目中選擇:
- 備份修復密碼和金鑰套件
- 僅備份復原密碼
在啟用 BitLocker 之前,先將復原資訊儲存在 Microsoft Entra ID 中
預設:未設定除非計算機成功將 BitLocker 修復資訊備份至 Microsoft Entra ID,否則防止使用者啟用 BitLocker。
- 需要 - 除非 BitLocker 修復資訊成功儲存在 Microsoft Entra ID 中,否則停止使用者開啟 BitLocker。
- 未設定 - 使用者可以開啟 BitLocker,即使復原資訊未成功儲存在 Microsoft Entra ID 中也一樣。
BitLocker 抽取式數據磁碟驅動器設定
這些設定特別適用於卸載式數據磁碟驅動器。
未受 BitLocker 保護之抽取式數據磁碟驅動器的寫入許可權
預設:未設定
BitLocker CSP: RemovableDrivesRequireEncryption- 封鎖 - 為不受 BitLocker 保護的數據磁碟驅動器提供唯讀存取權。
- 未設定 - 根據預設,讀取和寫入未加密數據磁碟驅動器的存取權。
當設定為 [啟用] 時,您可以設定下列設定:
對另一個組織中設定的裝置進行寫入存取
預設:未設定- 封鎖 - 封鎖對另一個組織中所設定裝置的寫入存取。
- 未設定 - 拒絕寫入存取。
Microsoft Defender 惡意探索防護
使用 惡意探索保護 來管理和減少員工所使用應用程式的攻擊面。
受攻擊面縮小
受攻擊面縮小規則有助於防止惡意代碼經常使用惡意代碼感染計算機的行為。
受攻擊面縮小規則
若要深入瞭解,請參閱 適用於端點的 Microsoft Defender 檔中的受攻擊面縮小規則。
Intune 中受攻擊面縮小規則的合併行為:
受攻擊面縮小規則支持合併來自不同原則的設定,以建立每個裝置的原則超集。 只會合並未發生衝突的設定,而發生衝突的設定不會新增至規則的超集。 先前,如果兩個原則包含單一設定的衝突,這兩個原則都會標示為發生衝突,而且不會部署來自任一配置檔的設定。
受攻擊面縮小規則合併行為如下:
- 下列設定檔中的受攻擊面縮小規則會針對套用規則的每個裝置進行評估:
- 裝置>設定原則 > 端點保護配置檔 > Microsoft Defender 惡意探索防護>攻擊面縮小
- 端點安全 > 性受攻擊面縮小原則 >受攻擊面縮小規則
- 端點安全>性>基準 適用於端點的 Microsoft Defender 基準>受攻擊面縮小規則。
- 不會發生衝突的設定會新增至裝置的原則超集。
- 當兩個或多個原則的設定發生衝突時,衝突的設定不會新增至合併的原則。 不會衝突的設定會新增至套用至裝置的超集原則。
- 只會保留衝突設定的組態。
設定檔設定:
標幟從 Windows 本地安全機構子系統竊取認證
預設:未設定
規則:封鎖從 Windows 本地安全機構子系統竊取認證 (lsass.exe)協助防止通常由惡意探索惡意代碼用來感染機器的動作和應用程式。
- 未設定
- 啟用 - 標幟從 Windows 本地安全機構子系統 (lsass.exe) 竊取認證。
- 僅稽核
從 Adobe Reader 建立程式 (beta)
預設:未設定
規則: 封鎖 Adobe 讀取器建立子進程- 未設定
- 啟用 - 封鎖從 Adobe Reader 建立的子進程。
- 僅稽核
防止 Office 巨集威脅的規則
禁止 Office 應用程式採取下列動作:
插入其他進程的 Office 應用程式 (沒有任何例外狀況)
預設:未設定
規則: 封鎖 Office 應用程式將程式代碼插入其他進程- 未設定
- 封鎖 - 禁止 Office 應用程式插入其他進程。
- 僅稽核
建立可執行內容的 Office 應用程式/巨集
預設:未設定
規則: 封鎖 Office 應用程式建立可執行內容- 未設定
- 封鎖 - 禁止 Office 應用程式和巨集建立可執行文件內容。
- 僅稽核
啟動子進程的 Office 應用程式
預設:未設定
規則: 封鎖所有 Office 應用程式建立子進程- 未設定
- 封鎖 - 封鎖 Office 應用程式啟動子進程。
- 僅稽核
Win32 從 Office 巨集程式代碼匯入
預設:未設定
規則: 封鎖來自 Office 巨集的 Win32 API 呼叫- 未設定
- 封鎖 - 封鎖從 Office 中的巨集程式代碼匯入 Win32。
- 僅稽核
從 Office 通訊產品建立程式
預設:未設定
規則: 封鎖 Office 通訊應用程式建立子進程- 未設定
- 啟用 -封鎖從 Office 通訊應用程式建立子進程。
- 僅稽核
防止腳本威脅的規則
封鎖下列專案,以協助防止腳本威脅:
模糊化的 js/vbs/ps/巨集程序代碼
預設:未設定
規則: 封鎖可能模糊化腳本的執行- 未設定
- 封鎖 - 封鎖任何模糊化的 js/vbs/ps/巨集程序代碼。
- 僅稽核
執行從因特網下載之承載的 js/vbs (沒有任何例外狀況)
預設:未設定
規則: 封鎖 JavaScript 或 VBScript 啟動下載的可執行文件內容- 未設定
- 封鎖 - 禁止 js/vb 執行從因特網下載的承載。
- 僅稽核
從 PSExec 和 WMI 命令建立進程
預設:未設定
規則: 封鎖源自 PSExec 和 WMI 命令的進程建立- 未設定
- 封鎖 - 封鎖源自 PSExec 和 WMI 命令的進程建立。
- 僅稽核
從 USB 執行的未受信任與未簽署處理序
預設:未設定
規則: 封鎖從 USB 執行的不受信任和未簽署進程- 未設定
- 封鎖 - 封鎖從 USB 執行的不受信任和未簽署的進程。
- 僅稽核
不符合普遍性、年齡或受信任清單準則的可執行檔
預設:未設定
規則: 封鎖可執行檔執行,除非它們符合普遍性、存留期或受信任的清單準則- 未設定
- 封鎖 - 封鎖可執行檔,除非它們符合普遍性、存留期或受信任的清單準則,否則無法執行。
- 僅稽核
防止電子郵件威脅的規則
封鎖下列專案以協助防止電子郵件威脅:
執行可執行文件內容 (exe、dll、ps、js、vb 等 ) 從電子郵件 (webmail/mail 用戶端卸除,) (沒有任何例外狀況)
預設:未設定
規則: 封鎖來自電子郵件用戶端和 Webmail 的可執行內容- 未設定
- 封鎖 - 封鎖從電子郵件 (webmail/mail-client) 卸除 (執行、dll、ps、js、vb 等 ) 執行可執行文件內容。
- 僅稽核
防範勒索軟體的規則
進階勒索軟體保護
預設:未設定
規則: 針對勒索軟體使用進階保護- 未設定
- 啟用 - 使用主動式勒索軟體保護。
- 僅稽核
受攻擊面縮小例外狀況
要從受攻擊面縮小規則中排除的檔案和資料夾
Defender CSP: AttackSurfaceReductionOnlyExclusions- 匯 入 .csv 檔案,其中包含要從受攻擊面縮小規則排除的檔案和資料夾。
- 手動新增本機檔案或資料夾。
重要事項
若要允許正確安裝和執行 LOB Win32 應用程式,反惡意代碼設定應該排除下列目錄而無法掃描:
在 X64 用戶端電腦上:
C:\Program Files (x86) \Microsoft Intune Management Extension\Content
C:\windows\IMECache
在 X86 用戶端電腦上:
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache
如需詳細資訊,請參閱執行 目前支援 Windows 版本的企業電腦病毒掃描建議。
受控資料夾存取權
協助 保護重要數據 免於遭受惡意應用程式和威脅,例如勒索軟體。
資料夾保護
預設:未設定
Defender CSP: EnableControlledFolderAccess保護檔案和資料夾不受不友善應用程式未經授權的變更。
- 未設定
- Enable
- 僅稽核
- 封鎖磁碟修改
- 稽核磁碟修改
當您選取 [未設定] 以外的組態時,您可以接著設定:
可存取受保護資料夾的應用程式清單
Defender CSP: ControlledFolderAccessAllowedApplications- 匯 入包含應用程式清單的 .csv 檔案。
- 手 動將應用程式新增至此清單。
需要保護的其他資料夾清單
Defender CSP: ControlledFolderAccessProtectedFolders- 匯 入包含資料夾清單的 .csv 檔案。
- 手動將資料夾新增至此清單。
網路篩選
封鎖從任何應用程式到IP位址或低信譽網域的輸出連線。 稽核和封鎖模式都支援網路篩選。
網路保護
預設:未設定
Defender CSP: EnableNetworkProtection此設定的目的是要保護使用者免於應用程式存取網路釣魚詐騙、惡意探索裝載網站,以及因特網上的惡意內容。 它也會防止第三方瀏覽器連線到危險的網站。
- 未設定 - 停用此功能。 不會封鎖使用者和應用程式連線到危險的網域。 系統管理員無法在 Microsoft Defender 資訊安全中心 中看到此活動。
- 啟用 - 開啟網路保護,並封鎖使用者和應用程式連線到危險的網域。 系統管理員可以在 Microsoft Defender 資訊安全中心 中看到此活動。
- 僅稽核: - 不會封鎖使用者和應用程式連線到危險的網域。 系統管理員可以在 Microsoft Defender 資訊安全中心 中看到此活動。
入侵防護
上傳 XML
預設: 未設定若要使用 惡意探索保護 來 保護裝置免於遭到入侵,請建立 XML 檔案,其中包含您想要的系統和應用程式風險降低設定。 建立 XML 檔案的方法有兩種:
PowerShell - 使用一或多個 Get-ProcessMitigation、 Set-ProcessMitigation 和 ConvertTo-ProcessMitigationPolicy PowerShell Cmdlet。 Cmdlet 會設定風險降低設定,並導出它們的 XML 表示法。
Microsoft Defender 資訊安全中心 UI - 在 Microsoft Defender 資訊安全中心 中,選取 [應用程式 & 瀏覽器控制項],然後捲動至產生的畫面底部以尋找 [惡意探索保護]。 首先,使用 [系統設定] 和 [程序設定] 索引標籤來設定風險降低設定。 然後,在畫面底部尋找 [匯出設定] 連結,以匯出它們的 XML 表示法。
用戶編輯惡意探索保護介面
預設:未設定
ExploitGuard CSP: ExploitProtectionSettings- 封鎖 - 上傳可讓您設定記憶體、控制流程和原則限制的 XML 檔案。 XML 檔案中的設定可用來防止應用程式遭到惡意探索。
- 未設定 - 未使用自訂組態。
Microsoft Defender 應用程控
選擇要稽核的應用程式,或由 Microsoft Defender 應用程控所信任執行的應用程式。 Windows 元件和來自 Windows 市集的所有應用程式都會自動信任執行。
應用程控程式代碼完整性原則
預設:未設定
CSP: AppLocker CSP強制執行 - 選擇使用者裝置的應用程控程式代碼完整性原則。
在裝置上啟用之後,只能藉由將模式從 [ 強制 ] 變更為 [僅稽核] 來停用應用程控。 將模式從 [強制 ] 變更為 [ 未設定] 會導致應用程式控制繼續在指派的裝置上強制執行。
未設定 - 應用程控不會新增至裝置。 不過,先前新增的設定會繼續在指派的裝置上強制執行。
僅稽核 - 不會封鎖應用程式。 所有事件都會記錄在本機客戶端的記錄中。
注意事項
如果您使用此設定,AppLocker CSP 行為目前會提示終端使用者在部署原則時重新啟動其電腦。
Microsoft Defender Credential Guard
Microsoft Defender Credential Guard 可防範認證竊取攻擊。 它會隔離秘密,讓只有具特殊許可權的系統軟體可以存取它們。
Credential Guard
預設值:停用
DeviceGuard CSP停用 - 如果先前已使用 [ 啟用但不使用 UEFI 鎖定 ] 選項開啟 Credential Guard,請從遠端關閉 Credential Guard。
使用 UEFI 鎖定啟用 - 無法使用登入機碼或組策略從遠端停用 Credential Guard。
注意事項
如果您使用此設定,然後稍後想要停用 Credential Guard,則必須將 群組原則 設定為 Disabled。 而且,從每部計算機實際清除 UEFI 組態資訊。 只要 UEFI 設定持續存在,就會啟用 Credential Guard。
在不使用 UEFI 鎖定的情況下啟用 - 允許使用 群組原則 從遠端停用 Credential Guard。 使用此設定的裝置必須 Windows 10 1511 版和更新版本執行,或 Windows 11。
當您 啟用 Credential Guard 時,也會啟用下列必要功能:
-
虛擬化型安全 性 (VBS)
在下次重新啟動期間開啟 。 虛擬化型安全性會使用 Windows Hypervisor 來提供安全性服務的支援。 -
使用目錄記憶體取安全開機
開啟具有安全開機和直接記憶體存取 (DMA) 保護的 VBS。 DMA 保護需要硬體支援,而且只在正確設定的裝置上啟用。
Microsoft Defender 資訊安全中心
Microsoft Defender 資訊安全中心 會以個別應用程式或程式的形式運作,與每個個別功能不同。 它會透過控制中心顯示通知。 它可作為收集器或單一位置來查看狀態,並針對每個功能執行一些組態。 如需詳細資訊,請參閱 Microsoft Defender 檔。
Microsoft Defender 資訊安全中心 應用程式和通知
封鎖使用者存取 Microsoft Defender 資訊安全中心 應用程式的各個區域。 隱藏區段也會封鎖相關的通知。
病毒和威脅防護
預設:未設定
WindowsDefenderSecurityCenter CSP: DisableVirusUI設定終端使用者是否可以在 Microsoft Defender 資訊安全中心 中檢視病毒和威脅防護區域。 隱藏此區段也會封鎖與病毒和威脅防護相關的所有通知。
- 未設定
- Hide
勒索軟體保護
預設:未設定
WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery設定終端使用者是否可以檢視 Microsoft Defender 資訊安全中心 中的勒索軟體保護區域。 隱藏此區段也會封鎖與勒索軟體保護相關的所有通知。
- 未設定
- Hide
帳戶防護
預設:未設定
WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI設定終端使用者是否可以檢視 Microsoft Defender 資訊安全中心 中的帳戶保護區域。 隱藏此區段也會封鎖與帳戶保護相關的所有通知。
- 未設定
- Hide
防火牆和網路保護
預設:未設定
WindowsDefenderSecurityCenter CSP: DisableNetworkUI設定終端使用者是否可以在 Microsoft Defender 資訊安全中心檢視防火牆和網路保護區域。 隱藏此區段也會封鎖與防火牆和網路保護相關的所有通知。
- 未設定
- Hide
應用程式和瀏覽器控制件
預設:未設定
WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI設定終端使用者是否可以在 Microsoft Defender 資訊安全中心檢視應用程式和瀏覽器控制區域。 隱藏此區段也會封鎖與應用程式和瀏覽器控制件相關的所有通知。
- 未設定
- Hide
硬體保護
預設:未設定
WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI設定終端使用者是否可以檢視 Microsoft Defender 資訊安全中心 中的硬體保護區域。 隱藏此區段也會封鎖與硬體保護相關的所有通知。
- 未設定
- Hide
裝置效能和健康情況
預設:未設定
WindowsDefenderSecurityCenter CSP: DisableHealthUI設定終端使用者是否可以在 Microsoft Defender 資訊安全中心檢視裝置效能和健康情況區域。 隱藏此區段也會封鎖與裝置效能和健康情況相關的所有通知。
- 未設定
- Hide
系列選項
預設:未設定
WindowsDefenderSecurityCenter CSP: DisableFamilyUI設定終端使用者是否可以在 Microsoft Defender 資訊安全中心檢視 [系列] 選項區域。 隱藏此區段也會封鎖與 [系列] 選項相關的所有通知。
- 未設定
- Hide
來自應用程式顯示區域的通知
預設:未設定
WindowsDefenderSecurityCenter CSP: DisableNotifications選擇要向用戶顯示的通知。 非重大通知包括 Microsoft Defender 防病毒軟體活動的摘要,包括掃描完成時的通知。 所有其他通知都被視為重要。
- 未設定
- 封鎖非重大通知
- 封鎖所有通知
系統匣中的 Windows 安全性 中心圖示
默認:未設定 WindowsDefenderSecurityCenter CSP: HideWindowsSecurityNotificationAreaControl設定通知區域控制件的顯示。 使用者必須註銷並登入,或重新啟動計算機,此設定才會生效。
- 未設定
- Hide
清除 TPM 按鈕
默認:未設定 WindowsDefenderSecurityCenter CSP: DisableClearTpmButton設定 [清除 TPM] 按鈕的顯示。
- 未設定
- Disable
TPM 韌體更新警告
默認:未設定 WindowsDefenderSecurityCenter CSP: DisableTpmFirmwareUpdateWarning在偵測到易受攻擊的韌體時,設定更新 TPM 韌體的顯示。
- 未設定
- Hide
竄改保護
預設:未設定在裝置上開啟或關閉竄改保護。 若要使用竄改保護,您必須將 適用於端點的 Microsoft Defender 與 Intune 整合,並具有 Enterprise Mobility + Security E5 授權。
- 未設定 - 不會變更裝置設定。
- 已啟用 - 已開啟竄改保護,並在裝置上強制執行限制。
- 已停用 - 已關閉竄改保護,且不會強制執行限制。
IT 聯繫人資訊
提供要出現在 Microsoft Defender 資訊安全中心 應用程式和應用程式通知中的IT聯繫人資訊。
您可以選擇 [在應用程式和通知中顯示]、 [僅在應用程式中顯示]、 [僅在通知中顯示] 或 [ 不顯示]。 輸入 IT 組織名稱,以及至少下列其中一個連絡人選項:
IT 聯繫人資訊
默認值:不顯示
WindowsDefenderSecurityCenter CSP: EnableCustomizedToasts設定要向用戶顯示 IT 聯繫人資訊的位置。
- 在應用程式和通知中顯示
- 僅在應用程式中顯示
- 僅顯示在通知中
- 不要顯示
設定為顯示時,您可以設定下列設定:
IT 組織名稱
預設: 未設定
WindowsDefenderSecurityCenter CSP: CompanyNameIT 部門電話號碼或 Skype 識別符
預設: 未設定
WindowsDefenderSecurityCenter CSP: 電話IT 部門電子郵件位址
預設: 未設定
WindowsDefenderSecurityCenter CSP:EmailIT 支援網站 URL
預設: 未設定
WindowsDefenderSecurityCenter CSP: URL
本機裝置安全性選項
使用這些選項來設定 Windows 10/11 裝置上的本機安全性設定。
帳戶
新增Microsoft帳戶
預設:未設定
LocalPoliciesSecurityOptions CSP: Accounts_BlockMicrosoftAccounts- 塊 防止使用者將新的Microsoft帳戶新增至裝置。
- 未設定 - 用戶可以在裝置上使用Microsoft帳戶。
沒有密碼的遠端登入
預設:未設定
LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly- 封鎖 - 只允許具有空白密碼的本機帳戶使用裝置的鍵盤登入。
- 未設定 - 允許具有空白密碼的本機帳戶從實體裝置以外的位置登入。
系統管理員
本機系統管理員帳戶
預設:未設定
LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly- 塊 防止使用本機系統管理員帳戶。
- 未設定
重新命名系統管理員帳戶
預設: 未設定
LocalPoliciesSecurityOptions CSP: Accounts_RenameAdministratorAccount定義要與帳戶「系統管理員」之安全標識碼 (SID) 相關聯的不同帳戶名稱。
客人
來賓帳戶
預設:未設定
LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions- 封鎖 - 防止使用來賓帳戶。
- 未設定
重新命名來賓帳戶
預設: 未設定
LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount定義要與帳戶 「Guest」 之 SID) (安全標識符相關聯的不同帳戶名稱。
裝置
未登入的卸除裝置
預設:未設定
LocalPoliciesSecurityOptions CSP: Devices_AllowUndockWithoutHavingToLogon- 封鎖 - 用戶必須登入裝置,並接收卸載裝置的許可權。
- 未設定 - 使用者可以按停駐的可攜式裝置實體退出按鈕,安全地卸載裝置。
安裝共用印表機的印表機驅動程式
預設:未設定
LocalPoliciesSecurityOptions CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters- 已啟用 - 任何使用者都可以在連線到共用印表機時安裝印表機驅動程式。
- 未設定 - 只有系統管理員可以在連線到共用印表機時安裝印表機驅動程式。
將 CD-ROM 存取限制為本機作用中使用者
預設:未設定
CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly- 已啟用 - 只有以互動方式登入的使用者可以使用CD-ROM媒體。 如果已啟用此原則,且沒有人以互動方式登入,則會透過網路存取 CD-ROM。
- 未設定 - 任何人都可以存取CD-ROM。
格式化和退出抽取式媒體
預設值:系統管理員
CSP: Devices_AllowedToFormatAndEjectRemovableMedia定義誰可以格式化和退出抽取式NTFS媒體:
- 未設定
- 系統管理員
- 系統管理員和進階使用者
- 系統管理員和互動式使用者
互動式登錄
鎖定畫面閑置的分鐘數,直到螢幕保護啟動為止
預設: 未設定
LocalPoliciesSecurityOptions CSP: InteractiveLogon_MachineInactivityLimit輸入停止活動最多分鐘數,直到螢幕保護程式啟動為止。 (0 - 99999)
需要 CTRL+ALT+DEL 才能登入
預設:未設定
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotRequireCTRLALTDEL- 啟用 - 要求使用者在登入 Windows 之前按 CTRL+ALT+DEL。
- 未設定 - 使用者不需要按 CTRL+ALT+DEL 即可登入。
智慧卡移除行為
默認:無動作 LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior決定當已登入使用者的智慧卡從智慧卡卡片閱讀機中移除時,會發生什麼事。 選項包括:
- 鎖定工作站 - 移除智慧卡時會鎖定工作站。 此選項可讓使用者離開區域、使用智慧卡,並維持受保護的會話。
- 無動作
- 強制註銷 - 移除智慧卡時,用戶會自動註銷。
- 如果遠端桌面服務會話 中斷連線 - 移除智慧卡會中斷會話的連線,而不會註銷使用者。 此選項可讓使用者插入智慧卡,並於稍後繼續會話,或在另一部配備智慧卡卡片閱讀機的計算機上繼續,而不需要再次登入。 如果會話是本機,則此原則的運作方式與鎖定工作站相同。
顯示
鎖定畫面上的用戶資訊
預設:未設定
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked設定鎖定會話時顯示的用戶資訊。 如果未設定,則會顯示用戶顯示名稱、網域和用戶名稱。
- 未設定
- 用戶顯示名稱、網域和用戶名稱
- 僅限用戶顯示名稱
- 不要顯示用戶資訊
隱藏上次登入的使用者
預設:未設定
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayLastSignedIn- 啟用 - 隱藏使用者名稱。
- 未設定 - 顯示最後一個用戶名稱。
在登入時隱藏使用者名稱預設值:未設定
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn- 啟用 - 隱藏使用者名稱。
- 未設定 - 顯示最後一個用戶名稱。
登入訊息標題
預設: 未設定
LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn設定使用者登入的訊息標題。
登入消息正文
預設: 未設定
LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn設定使用者登入的消息正文。
網路存取和安全性
命名管道和共用的匿名存取
預設:未設定
LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares- 未設定 - 限制共用和命名管道設定的匿名存取。 適用於可匿名存取的設定。
- 封鎖 - 停用此原則,讓匿名存取可供使用。
SAM 帳戶的匿名列舉
預設:未設定
LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts- 未設定 - 匿名使用者可以列舉 SAM 帳戶。
- 封鎖 - 防止匿名列舉 SAM 帳戶。
SAM 帳戶和共用的匿名列舉
預設:未設定
LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares- 未設定 - 匿名使用者可以列舉網域帳戶和網路共享的名稱。
- 封鎖 - 防止匿名列舉 SAM 帳戶和共用。
密碼變更時儲存的 LAN Manager 哈希值
預設:未設定
LocalPoliciesSecurityOptions CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange判斷下次密碼變更時,是否儲存密碼的哈希值。
- 未設定 - 哈希值未儲存
- 封鎖 - LAN 管理員 (LM) 儲存新密碼的哈希值。
PKU2U 驗證要求
預設:未設定
LocalPoliciesSecurityOptions CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests- 未設定 - 允許 PU2U 要求。
- 封鎖 - 封鎖對裝置的 PKU2U 驗證要求。
限制 SAM 的遠端 RPC 連線
預設:未設定
LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM未設定 - 使用預設安全描述符,這可讓使用者和群組對 SAM 進行遠端 RPC 呼叫。
允許 - 拒絕使用者和群組對安全性帳戶管理員進行遠端 RPC 呼叫 (SAM) ,以儲存使用者帳戶和密碼。 [允許 ] 也可讓您變更預設安全描述符定義語言 (SDDL) 字串,以明確允許或拒絕使用者和群組進行這些遠端呼叫。
-
安全描述符
預設: 未設定
-
安全描述符
NTLM SSP 型用戶端的最低會話安全性
默認值:無
LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients此安全性設定可讓伺服器要求交涉128位加密和/或NTLMv2會話安全性。
- 無
- 需要 NTLMv2 會話安全性
- 需要128位加密
- NTLMv2 和128位加密
NTLM SSP 型伺服器的最小會話安全性
默認值:無
LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers此安全性設定會決定網路登入使用的挑戰/回應驗證通訊協定。
- 無
- 需要 NTLMv2 會話安全性
- 需要128位加密
- NTLMv2 和128位加密
LAN Manager 驗證層級
預設值:LM 和 NTLM
LocalPoliciesSecurityOptions CSP: NetworkSecurity_LANManagerAuthenticationLevel- LM 和 NTLM
- LM、NTLM 和 NTLMv2
- NTLM
- NTLMv2
- NTLMv2 而非 LM
- NTLMv2,而不是 LM 或 NTLM
不安全的來賓登入
預設:未設定
LanmanWorkstation CSP: LanmanWorkstation如果啟用此設定,SMB 用戶端將會拒絕不安全的來賓登入。
- 未設定
- 封鎖 - SMB 用戶端會拒絕不安全的來賓登入。
復原主控台和關機
關閉時清除虛擬記憶體頁面檔
預設:未設定
LocalPoliciesSecurityOptions CSP: Shutdown_ClearVirtualMemoryPageFile- 啟用 -關閉裝置電源時清除虛擬記憶體頁面檔。
- 未設定 - 不會清除虛擬記憶體。
關閉而不登入
預設:未設定
LocalPoliciesSecurityOptions CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn- 封鎖 - 隱藏 Windows 登入畫面上的關機選項。 用戶必須登入裝置,然後關閉。
- 未設定 - 允許使用者從 Windows 登入畫面關閉裝置。
用戶帳戶控制
沒有安全位置的UIA完整性
預設:未設定
LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations- 封鎖 - 位於檔案系統中安全位置的應用程式只會以 UIAccess 完整性執行。
- 未設定 - 可讓應用程式以 UIAccess 完整性執行,即使應用程式不在檔案系統中的安全位置也一般。
將每個使用者位置的檔案和登錄寫入失敗虛擬化
預設:未設定
LocalPoliciesSecurityOptions CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations- 已啟用 - 將數據寫入受保護位置的應用程式會失敗。
- 未設定 - 應用程式寫入失敗會在運行時間重新導向至檔案系統和登錄的已定義使用者位置。
只提高已簽署和驗證的可執行檔
預設:未設定
LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations- 已啟用 - 在可執行檔執行之前,強制執行 PKI 認證路徑驗證。
- 未設定 - 請勿在可執行檔案執行之前強制執行 PKI 認證路徑驗證。
UIA 提高許可權提示行為
系統管理員提高許可權提示
默認:提示您同意非 Windows 二進位檔
LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators在 管理員 核准模式中定義系統管理員提高許可權提示的行為。
- 未設定
- 提升而不提示
- 在安全桌面上提示輸入認證
- 提示輸入認證
- 提示同意
- 提示您同意非 Windows 二進位檔
標準使用者的提高許可權提示
默認:提示輸入認證
LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers定義標準使用者提高許可權提示的行為。
- 未設定
- 自動拒絕提高許可權要求
- 在安全桌面上提示輸入認證
- 提示輸入認證
將提高許可權提示路由傳送至使用者的互動式桌面
預設:未設定
LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation- 已啟用 - 移至互動式使用者桌面而非安全桌面的所有提高許可權要求。 系統會使用系統管理員和標準使用者的任何提示行為原則設定。
- 未設定 - 不論系統管理員和標準使用者的任何提示行為原則設定為何,強制所有提高許可權要求都會移至安全桌面。
提高應用程式安裝許可權的提示
預設:未設定
LocalPoliciesSecurityOptions CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation- 已啟用 - 未偵測到應用程式安裝套件或提示提高許可權。
- 未設定 - 當應用程式安裝套件需要更高的許可權時,系統會提示使用者輸入系統管理使用者名稱和密碼。
沒有安全桌面的 UIA 提高許可權提示
預設:未設定
LocalPoliciesSecurityOptions CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation啟用 - 允許 UIAccess 應用程式提示提高許可權,而不使用安全桌面。
未設定 - 提高許可權提示會使用安全桌面。
管理員 核准模式
管理員 內建系統管理員的核准模式
預設:未設定
LocalPoliciesSecurityOptions CSP: UserAccountControl_UseAdminApprovalMode- 已啟用 - 允許內建系統管理員帳戶使用 管理員 核准模式。 任何需要提高許可權的作業會提示使用者核准作業。
- 未設定 - 以完整的系統管理員許可權執行所有應用程式。
以 管理員 核准模式執行所有系統管理員
預設:未設定
LocalPoliciesSecurityOptions CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode- 已啟用 - 啟用 管理員 核准模式。
- 未設定 - 停用 管理員 核准模式和所有相關的 UAC 原則設定。
Microsoft網路用戶端
如果伺服器同意) ,則以數位方式簽署通訊 (
預設:未設定
LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees判斷SMB用戶端是否交涉SMB封包簽署。
- 封鎖 - SMB 用戶端永遠不會交涉 SMB 封包簽署。
- 未設定 - Microsoft網路用戶端會要求伺服器在會話設定時執行 SMB 封包簽署。 如果在伺服器上啟用封包簽署,則會交涉封包簽署。
將未加密的密碼傳送至第三方SMB伺服器
預設:未設定
LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers- 封鎖 - 伺服器消息塊 (SMB) 重新導向器可以將純文字密碼傳送至在驗證期間不支援密碼加密的非Microsoft SMB 伺服器。
- 未設定 - 封鎖純文字密碼的傳送。 密碼會加密。
數位簽署通訊 (一律)
預設:未設定
LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways- 啟用 - 除非該伺服器同意SMB封包簽署,否則Microsoft網路用戶端不會與Microsoft網路伺服器通訊。
- 未設定 - SMB 封包簽署是在客戶端與伺服器之間交涉。
Microsoft網路伺服器
如果用戶端同意) ,則以數位方式簽署通訊 (
預設:未設定
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees- 啟用 - Microsoft網路伺服器會依照用戶端的要求交涉 SMB 封包簽署。 也就是說,如果在用戶端上啟用封包簽署,則會交涉封包簽署。
- 未設定 - SMB 用戶端永遠不會交涉 SMB 封包簽署。
數位簽署通訊 (一律)
預設:未設定
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways- 啟用 - 除非用戶端同意SMB封包簽署,否則Microsoft網路伺服器不會與Microsoft網路客戶端通訊。
- 未設定 - SMB 封包簽署是在客戶端與伺服器之間交涉。
Xbox 服務
Xbox 遊戲儲存工作
預設:未設定
CSP: TaskScheduler/EnableXboxGameSaveTask此設定會決定 Xbox 遊戲儲存工作是 [已啟用] 還是 [已停用]。
- Enabled
- 未設定
Xbox Accessory Management Service
默認值:手動
CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupMode此設定會決定存取管理服務的開始類型。
- 手動
- 自動
- Disabled
Xbox Live Auth Manager 服務
默認值:手動
CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupMode此設定會決定 Live Auth Manager 服務的開始類型。
- 手動
- 自動
- Disabled
Xbox Live Game Save Service
默認值:手動
CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupMode此設定會決定 Live Game Save Service 的開始類型。
- 手動
- 自動
- Disabled
Xbox Live Networking Service
默認值:手動
CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupMode此設定會決定網路服務的開始類型。
- 手動
- 自動
- Disabled
後續步驟
配置檔已建立,但尚未執行任何動作。 接下來, 指派配置檔並 監視其狀態。
在 macOS 裝置上設定端點保護設定。