Windows-Einstellungen, die Sie über ein Intune Endpoint Protection-Profil verwalten können

Hinweis

Intune unterstützt möglicherweise mehr Einstellungen als die in diesem Artikel aufgeführten Einstellungen. Nicht alle Einstellungen sind dokumentiert und werden nicht dokumentiert. Um die Einstellungen anzuzeigen, die Sie konfigurieren können, erstellen Sie eine Gerätekonfigurationsrichtlinie, und wählen Sie Einstellungskatalog aus. Weitere Informationen findest du unter Einstellungskatalog.

Microsoft Intune enthält viele Einstellungen zum Schutz Ihrer Geräte. In diesem Artikel werden die Einstellungen in der Endpoint Protection-Vorlage für die Gerätekonfiguration beschrieben. Zum Verwalten der Gerätesicherheit können Sie auch Endpunktsicherheitsrichtlinien verwenden, die sich direkt auf Teilmengen der Gerätesicherheit konzentrieren. Informationen zum Konfigurieren Microsoft Defender Antivirus finden Sie unter Windows-Geräteeinschränkungen oder Verwenden der Endpunktsicherheits-Antivirenrichtlinie.

Bevor Sie beginnen

Erstellen Sie ein Endpoint Protection-Gerätekonfigurationsprofil.

Weitere Informationen zu Konfigurationsdienstanbietern (CSPs) finden Sie unter Referenz zu Konfigurationsdienstanbietern.

Microsoft Defender Application Guard

Für Microsoft Edge schützt Microsoft Defender Application Guard Ihre Umgebung vor Websites, denen Ihr organization nicht vertraut. Mit Application Guard werden Websites, die sich nicht in Ihrer isolierten Netzwerkgrenze befinden, in einer virtuellen Hyper-V-Browsersitzung geöffnet. Vertrauenswürdige Standorte werden durch eine Netzwerkgrenze definiert, die in der Gerätekonfiguration konfiguriert werden. Weitere Informationen finden Sie unter Erstellen einer Netzwerkgrenze auf Windows-Geräten.

Application Guard ist nur für 64-Bit-Windows-Geräte verfügbar. Mithilfe dieses Profils wird eine Win32-Komponente installiert, um Application Guard zu aktivieren.

• Application Guard
  Standard: Nicht konfiguriert
  Application Guard CSP: Settings/AllowWindowsDefenderApplicationGuard

  • Aktiviert für Edge : Aktiviert dieses Feature, das nicht vertrauenswürdige Websites in einem virtualisierten Hyper-V-Browsercontainer öffnet.
  • Nicht konfiguriert : Jeder Standort (vertrauenswürdig und nicht vertrauenswürdig) kann auf dem Gerät geöffnet werden.

• Verhalten der Zwischenablage
  Standard: Nicht konfiguriert
  Application Guard CSP: Settings/ClipboardSettings

  Wählen Sie aus, welche Kopier- und Einfügeaktionen zwischen dem lokalen PC und dem Application Guard virtuellen Browser zulässig sind.

  • Nicht konfiguriert
  • Kopieren und Einfügen nur vom PC in den Browser zulassen
  • Kopieren und Einfügen nur vom Browser auf den PC zulassen
  • Kopieren und Einfügen zwischen PC und Browser zulassen
  • Kopieren und Einfügen zwischen PC und Browser blockieren

• Inhalt der Zwischenablage
  Diese Einstellung ist nur verfügbar, wenn das Verhalten der Zwischenablage auf eine der Zulassungseinstellungen festgelegt ist.
  Standard: Nicht konfiguriert
  Application Guard CSP: Settings/ClipboardFileType

  Wählen Sie den zulässigen Inhalt der Zwischenablage aus.

  • Nicht konfiguriert
  • Text
  • Images
  • Text und Bilder

• Externe Inhalte auf Unternehmenswebsites
  Standard: Nicht konfiguriert
  Application Guard CSP: Settings/BlockNonEnterpriseContent

  • Blockieren : Blockiert das Laden von Inhalten von nicht genehmigten Websites.
  • Nicht konfiguriert : Unternehmensfremde Websites können auf dem Gerät geöffnet werden.

• Drucken über einen virtuellen Browser
  Standard: Nicht konfiguriert
  Application Guard CSP: Settings/PrintingSettings

  • Zulassen : Ermöglicht das Drucken ausgewählter Inhalte im virtuellen Browser.
  • Nicht konfiguriert Deaktivieren Sie alle Druckfunktionen.

  Wenn Sie Drucken zulassen , können Sie die folgende Einstellung konfigurieren:

  • Drucktyp(en) Wählen Sie eine oder mehrere der folgenden Optionen aus:
    • PDF
    • XPS
    • Lokale Drucker
    • Netzwerkdrucker

• Sammeln von Protokollen
  Standard: Nicht konfiguriert
  Application Guard CSP: Audit/AuditApplicationGuard

  • Zulassen: Sammeln Sie Protokolle für Ereignisse, die innerhalb einer Application Guard Browsersitzung auftreten.
  • Nicht konfiguriert : Sammeln Sie keine Protokolle innerhalb der Browsersitzung.

• Beibehalten von benutzergenerierten Browserdaten
  Standard: Nicht konfiguriert
  Application Guard CSP: Einstellungen/AllowPersistence

  • Ermöglichen Speichern Sie Benutzerdaten (z. B. Kennwörter, Favoriten und Cookies), die während einer Application Guard virtuellen Browsersitzung erstellt werden.
  • Nicht konfiguriert Verwerfen sie vom Benutzer heruntergeladene Dateien und Daten, wenn das Gerät neu gestartet wird oder wenn sich ein Benutzer abmeldet.

• Grafikbeschleunigung
  Standard: Nicht konfiguriert
  Application Guard CSP: Einstellungen/AllowVirtualGPU

  • Aktivieren : Laden Sie grafikintensive Websites und Videos schneller, indem Sie Zugriff auf eine virtuelle Grafikverarbeitungseinheit erhalten.
  • Nicht konfiguriert Verwenden Sie die CPU des Geräts für Grafiken. Verwenden Sie nicht die virtuelle Grafikverarbeitungseinheit.

• Herunterladen von Dateien zum Hostdateisystem
  Standard: Nicht konfiguriert
  Application Guard CSP: Settings/SaveFilesToHost

  • Aktivieren : Benutzer können Dateien aus dem virtualisierten Browser auf das Hostbetriebssystem herunterladen.
  • Nicht konfiguriert : Behält die Dateien lokal auf dem Gerät bei und lädt keine Dateien in das Hostdateisystem herunter.

Windows-Firewall

Globale Einstellungen

Diese Einstellungen gelten für alle Netzwerktypen.

• File Transfer Protocol
  Standard: Nicht konfiguriert
  Firewall-CSP: MdmStore/Global/DisableStatefulFtp

  • Blockieren : Deaktiviert zustandsbehaftetes FTP.
  • Nicht konfiguriert : Die Firewall führt zustandsbehaftete FTP-Filterung durch, um sekundäre Verbindungen zuzulassen.

• Leerlaufzeit der Sicherheitszuordnung vor dem Löschen
  Standard: Nicht konfiguriert
  Firewall-CSP: MdmStore/Global/SaIdleTime

  Geben Sie eine Leerlaufzeit in Sekunden an, nach der Sicherheitszuordnungen gelöscht werden.

• Codierung mit vorinstalliertem Schlüssel
  Standard: Nicht konfiguriert
  Firewall-CSP: MdmStore/Global/PresharedKeyEncoding

  • Aktivieren : Codieren Von vordefinierten Schlüsseln mithilfe von UTF-8.
  • Nicht konfiguriert : Codieren Sie vordefinierte Schlüssel mithilfe des Werts des lokalen Speichers.

• IPsec-Ausnahmen
  Standard: 0 ausgewählt
  Firewall-CSP: MdmStore/Global/IPsecExempt

  Wählen Sie einen oder mehrere der folgenden Arten von Datenverkehr aus, der von IPsec ausgenommen werden soll:

  • Neighbor discover IPv6 ICMP type-codes
  • ICMP
  • IPv6-ICMP-Typcodes für Routerermittlung
  • IPv4- und IPv6-DHCP-Netzwerkdatenverkehr

• Überprüfung der Zertifikatsperrliste
  Standard: Nicht konfiguriert
  Firewall-CSP: MdmStore/Global/CRLcheck

  Wählen Sie aus, wie das Gerät die Zertifikatsperrliste überprüft. Die folgenden Optionen stehen zur Verfügung:

  • Deaktivieren der Zertifikatsperrlistenüberprüfung
  • Fehler bei der Überprüfung der Zertifikatsperrliste nur für widerrufenes Zertifikat
  • Fehler bei der Überprüfung der Zertifikatsperrliste bei einem aufgetretenen Fehler.

• Authentifizierungssatz pro Schlüsselmodul opportunistisch abgleichen
  Standard: Nicht konfiguriert
  Firewall-CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

  • Aktivieren Schlüsselerstellungsmodule dürfen nur die Authentifizierungssammlungen ignorieren, die sie nicht unterstützen.
  • Nicht konfiguriert, müssen Schlüsselerstellungsmodule den gesamten Authentifizierungssatz ignorieren, wenn sie nicht alle in der Gruppe angegebenen Authentifizierungssammlungen unterstützen.

• Paketwarteschlange
  Standard: Nicht konfiguriert
  Firewall-CSP: MdmStore/Global/EnablePacketQueue

  Geben Sie an, wie die Softwareskalierung auf der Empfangsseite für den verschlüsselten Empfang und die Klartextweiterleitung für das IPsec-Tunnelgatewayszenario aktiviert ist. Diese Einstellung bestätigt, dass die Paketreihenfolge beibehalten wird. Die folgenden Optionen stehen zur Verfügung:

  • Nicht konfiguriert
  • Deaktivieren aller Paketwarteschlangen
  • Nur eingehende verschlüsselte Pakete in der Warteschlange
  • Warteschlangenpakete nach der Entschlüsselung nur für die Weiterleitung
  • Konfigurieren von eingehenden und ausgehenden Paketen

Netzwerkeinstellungen

Die folgenden Einstellungen werden jeweils ein einziges Mal in diesem Artikel aufgeführt, aber alle gelten für die drei spezifischen Netzwerktypen:

• Domänennetzwerk (Arbeitsplatz)
• Privates (auffindbares) Netzwerk
• Öffentliches (nicht erkennbares) Netzwerk

Allgemein

• Windows-Firewall
  Standard: Nicht konfiguriert
  Firewall-CSP: EnableFirewall

  • Aktivieren : Aktivieren Sie die Firewall und die erweiterte Sicherheit.
  • Nicht konfiguriert Lässt den gesamten Netzwerkdatenverkehr zu, unabhängig von anderen Richtlinieneinstellungen.

• Stealth-Modus
  Standard: Nicht konfiguriert
  Firewall-CSP: DisableStealthMode

  • Nicht konfiguriert
  • Blockieren : Die Firewall kann nicht im stealth-Modus ausgeführt werden. Das Blockieren des Stealth-Modus ermöglicht es Ihnen, auch die Ausnahme von geschützten IPsec-Paketen zu blockieren.
  • Zulassen : Die Firewall arbeitet im verdeckten Modus, wodurch Reaktionen auf Abfragen von Anforderungen verhindert werden.

• IPsec-Schutzpaketausnahme im Stealth-Modus
  Standard: Nicht konfiguriert
  Firewall-CSP: DisableStealthModeIpsecSecuredPacketExemption

  Diese Option wird ignoriert, wenn der Stealth-Modus auf Blockieren festgelegt ist.

  • Nicht konfiguriert
  • Blockieren : IpSec-gesicherte Pakete erhalten keine Ausnahmen.
  • Zulassen : Aktivieren sie Ausnahmen. Der heimliche Modus der Firewall DARF NICHT verhindern, dass der Hostcomputer auf unerwünschten Netzwerkdatenverkehr reagiert, der durch IPsec gesichert ist.

• Geschirmt
  Standard: Nicht konfiguriert
  Firewall-CSP: Abgeschirmt

  • Nicht konfiguriert
  • Blockieren : Wenn die Windows-Firewall aktiviert ist und diese Einstellung auf Blockieren festgelegt ist, wird der gesamte eingehende Datenverkehr blockiert, unabhängig von anderen Richtlinieneinstellungen.
  • Zulassen : Wenn diese Einstellung auf Zulassen festgelegt ist, ist diese Einstellung deaktiviert, und eingehender Datenverkehr wird basierend auf anderen Richtlinieneinstellungen zugelassen.

• Unicastantworten auf Multicastübertragungen
  Standard: Nicht konfiguriert
  Firewall-CSP: DisableUnicastResponsesToMulticastBroadcast

  In der Regel möchten Sie keine Unicastantworten auf Multicast- oder Broadcastnachrichten empfangen. Diese Antworten können auf einen Denial-of-Service-Angriff (DOS) oder einen Angreifer hinweisen, der versucht, einen bekannten Livecomputer zu testen.

  • Nicht konfiguriert
  • Blockieren : Deaktiviert Unicastantworten auf Multicastübertragungen.
  • Zulassen : Unicastantworten auf Multicastübertragungen zulassen.

• Eingehende Benachrichtigungen
  Standard: Nicht konfiguriert
  Firewall-CSP: DisableInboundNotifications

  • Nicht konfiguriert
  • Blockieren : Blendet Benachrichtigungen aus, die verwendet werden sollen, wenn eine App daran gehindert wird, an einem Port zu lauschen.
  • Zulassen : Aktiviert diese Einstellung und zeigt benutzern möglicherweise eine Benachrichtigung an, wenn eine App daran gehindert wird, an einem Port zu lauschen.

• Standardaktion für ausgehende Verbindungen
  Standard: Nicht konfiguriert
  Firewall-CSP: DefaultOutboundAction

  Konfigurieren Sie die Standardaktion, die die Firewall für ausgehende Verbindungen ausführt. Diese Einstellung wird auf Windows Version 1809 und höher angewendet.

  • Nicht konfiguriert
  • Blockieren : Die Standardfirewallaktion wird nicht für ausgehenden Datenverkehr ausgeführt, es sei denn, sie wird explizit zum Blockieren angegeben.
  • Zulassen : Standardmäßige Firewallaktionen werden bei ausgehenden Verbindungen ausgeführt.

• Standardaktion für eingehende Verbindungen
  Standard: Nicht konfiguriert
  Firewall-CSP: DefaultInboundAction

  • Nicht konfiguriert
  • Blockieren : Die Standardfirewallaktion wird nicht für eingehende Verbindungen ausgeführt.
  • Zulassen : Standardmäßige Firewallaktionen werden bei eingehenden Verbindungen ausgeführt.

Zusammenführen von Regeln

• Windows-Firewallregeln für autorisierte Anwendungen aus dem lokalen Speicher
  Standard: Nicht konfiguriert
  Firewall-CSP: AuthAppsAllowUserPrefMerge

  • Nicht konfiguriert
  • Blockieren : Die autorisierten Anwendungsfirewallregeln im lokalen Speicher werden ignoriert und nicht erzwungen.
  • Zulassen : Wählen Sie Aktivieren Firewallregeln im lokalen Speicher an, damit diese erkannt und erzwungen werden.

• Globale Windows-Firewallregeln aus dem lokalen Speicher
  Standard: Nicht konfiguriert
  Firewall-CSP: GlobalPortsAllowUserPrefMerge

  • Nicht konfiguriert
  • Blockieren : Die Firewallregeln für den globalen Port im lokalen Speicher werden ignoriert und nicht erzwungen.
  • Zulassen : Wenden Sie globale Portfirewallregeln im lokalen Speicher an, um erkannt und erzwungen zu werden.

• Windows-Firewallregeln aus dem lokalen Speicher
  Standard: Nicht konfiguriert
  Firewall-CSP: AllowLocalPolicyMerge

  • Nicht konfiguriert
  • Blockieren : Firewallregeln aus dem lokalen Speicher werden ignoriert und nicht erzwungen.
  • Zulassen : Wenden Sie Firewallregeln im lokalen Speicher an, um erkannt und erzwungen zu werden.

• IPsec-Regeln aus dem lokalen Speicher
  Standard: Nicht konfiguriert
  Firewall-CSP: AllowLocalIpsecPolicyMerge

  • Nicht konfiguriert
  • Blockieren : Die Verbindungssicherheitsregeln aus dem lokalen Speicher werden ignoriert und nicht erzwungen, unabhängig von der Schemaversion und der Version der Verbindungssicherheitsregeln.
  • Zulassen : Wenden Sie Verbindungssicherheitsregeln aus dem lokalen Speicher unabhängig von schema- oder verbindungssicherheitsregelversionen an.

Firewallregeln

Sie können eine oder mehrere benutzerdefinierte Firewallregeln hinzufügen . Weitere Informationen finden Sie unter Hinzufügen von benutzerdefinierten Firewallregeln für Windows-Geräte.

Benutzerdefinierte Firewallregeln unterstützen die folgenden Optionen:

Allgemeine Einstellungen

• Name
  Standard: Kein Name

  Geben Sie einen Anzeigenamen für Ihre Regel an. Dieser Name wird in der Liste der Regeln angezeigt, damit Sie ihn leichter identifizieren können.

• Beschreibung
  Standard:Keine Beschreibung

  Geben Sie eine Beschreibung der Regel an.

• Richtung
  Standard: Nicht konfiguriert
  Firewall-CSP: FirewallRules/FirewallRuleName/Direction

  Geben Sie an, ob diese Regel für eingehenden oder ausgehenden Datenverkehr gilt. Bei Festlegung auf Nicht konfiguriert gilt die Regel automatisch für ausgehenden Datenverkehr.

• Aktion
  Standard: Nicht konfiguriert
  Firewall-CSP: FirewallRules/FirewallRuleName/Action und FirewallRules/FirewallRuleName/Action/Type

  Wählen Sie Zulassen oder Blockieren aus. Wenn die Einstellung Nicht konfiguriert festgelegt ist, lässt die Regel standardmäßig Datenverkehr zu.

• Netzwerktyp
  Standard: 0 ausgewählt
  Firewall-CSP: FirewallRules/FirewallRuleName/Profiles

  Wählen Sie bis zu drei Netzwerktypen aus, zu denen diese Regel gehört. Zu den Optionen gehören "Domäne", "Privat" und " Öffentlich". Wenn keine Netzwerktypen ausgewählt sind, gilt die Regel für alle drei Netzwerktypen.

Anwendungseinstellungen

• Anwendungen
  Standard: Alle

  Steuern von Verbindungen für eine App oder ein Programm. Apps und Programme können entweder anhand des Dateipfads, des Paketfamiliennamens oder des Dienstnamens angegeben werden:

  • Paketfamilienname : Geben Sie einen Paketfamiliennamen an. Verwenden Sie den PowerShell-Befehl Get-AppxPackage, um den Paketfamiliennamen zu ermitteln.
    Firewall-CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName

  • Dateipfad : Sie müssen einen Dateipfad zu einer App auf dem Clientgerät angeben, bei dem es sich um einen absoluten Pfad oder einen relativen Pfad handeln kann. Beispiel: C:\Windows\System\Notepad.exe oder %WINDIR%\Notepad.exe.
    Firewall-CSP: FirewallRules/FirewallRuleName/App/FilePath

  • Windows-Dienst : Geben Sie den Kurznamen des Windows-Diensts an, wenn es sich um einen Dienst handelt und nicht um eine Anwendung, die Datenverkehr sendet oder empfängt. Verwenden Sie den PowerShell-Befehl Get-Service, um den Kurznamen des Diensts zu ermitteln.
    Firewall-CSP: FirewallRules/FirewallRuleName/App/ServiceName

  • Alle– Es sind keine Konfigurationen erforderlich.

IP-Adresseinstellungen

Geben Sie die lokalen und Remoteadressen an, für die diese Regel gilt.

• Lokale Adressen
  Standard: Beliebige Adresse
  Firewall-CSP: FirewallRules/FirewallRuleName/LocalPortRanges

  Wählen Sie Beliebige Adresse oder Angegebene Adresse aus.

  Wenn Sie Angegebene Adresse verwenden, fügen Sie eine oder mehrere Adressen als durch Trennzeichen getrennte Liste lokaler Adressen hinzu, die von der Regel abgedeckt werden. Gültige Token sind:

  • Verwenden Sie ein Sternchen * für jede lokale Adresse. Wenn Sie ein Sternchen verwenden, muss es das einzige Token sein, das Sie verwenden.
  • Geben Sie ein Subnetz entweder mit der Subnetzmaske oder der Netzwerkpräfixnotation an. Wenn keine Subnetzmaske oder ein Netzwerkpräfix angegeben ist, wird die Subnetzmaske standardmäßig auf 255.255.255.255 festgelegt.
  • Eine gültige IPv6-Adresse.
  • Ein IPv4-Adressbereich im Format "Startadresse – Endadresse" ohne Leerzeichen.
  • Ein IPv6-Adressbereich im Format "Startadresse - Endadresse" ohne Leerzeichen.

• Remoteadressen
  Standard: Beliebige Adresse
  Firewall-CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

  Wählen Sie Beliebige Adresse oder Angegebene Adresse aus.

  Wenn Sie Angegebene Adresse verwenden, fügen Sie eine oder mehrere Adressen als durch Trennzeichen getrennte Liste von Remoteadressen hinzu, die von der Regel abgedeckt werden. Bei Token wird die Groß-/Kleinschreibung nicht beachtet. Gültige Token sind:

  • Verwenden Sie ein Sternchen "*" für jede Remoteadresse. Wenn Sie ein Sternchen verwenden, muss es das einzige Token sein, das Sie verwenden.
  • Defaultgateway
  • DHCP
  • DNS
  • WINS
  • Intranet (unterstützt unter Windows-Versionen 1809 und höher)
  • RmtIntranet (unterstützt unter Windows-Versionen 1809 und höher)
  • Internet (unterstützt unter Windows-Versionen 1809 und höher)
  • Ply2Renders (unterstützt unter Windows-Versionen 1809 und höher)
  • LocalSubnet gibt eine beliebige lokale Adresse im lokalen Subnetz an.
  • Geben Sie ein Subnetz entweder mit der Subnetzmaske oder der Netzwerkpräfixnotation an. Wenn keine Subnetzmaske oder ein Netzwerkpräfix angegeben ist, wird die Subnetzmaske standardmäßig auf 255.255.255.255 festgelegt.
  • Eine gültige IPv6-Adresse.
  • Ein IPv4-Adressbereich im Format "Startadresse – Endadresse" ohne Leerzeichen.
  • Ein IPv6-Adressbereich im Format "Startadresse - Endadresse" ohne Leerzeichen.

Port- und Protokolleinstellungen

Geben Sie die lokalen und Remoteports an, für die diese Regel gilt.

• Protocol
  Standard: Beliebig
  Firewall-CSP: FirewallRules/FirewallRuleName/Protocol
  Wählen Sie eine der folgenden Optionen aus, und schließen Sie alle erforderlichen Konfigurationen ab:
  • Alle : Es ist keine Konfiguration verfügbar.
  • TCP : Konfigurieren Sie lokale und Remoteports. Beide Optionen unterstützen Alle Ports oder Angegebene Ports. Geben Sie Angegebene Ports mithilfe einer durch Trennzeichen getrennten Liste ein.
    • Lokale Ports – Firewall-CSP: FirewallRules/FirewallRuleName/LocalPortRanges
    • Remoteports – Firewall-CSP: FirewallRules/FirewallRuleName/RemotePortRanges
  • UDP : Konfigurieren Sie lokale und Remoteports. Beide Optionen unterstützen Alle Ports oder Angegebene Ports. Geben Sie Angegebene Ports mithilfe einer durch Trennzeichen getrennten Liste ein.
    • Lokale Ports – Firewall-CSP: FirewallRules/FirewallRuleName/LocalPortRanges
    • Remoteports – Firewall-CSP: FirewallRules/FirewallRuleName/RemotePortRanges
  • Benutzerdefiniert : Geben Sie eine benutzerdefinierte Protokollnummer zwischen 0 und 255 an.

Erweiterte Konfiguration

• Schnittstellentypen
  Standard: 0 ausgewählt
  Firewall-CSP: FirewallRules/FirewallRuleName/InterfaceTypes

  Folgende Optionen stehen zur Auswahl:

  • Remotezugriff
  • Drahtlos
  • Lokales Netzwerk

• Nur Verbindungen von diesen Benutzern zulassen
  Standard: Alle Benutzer (Standardmäßig werden alle Verwendungen verwendet, wenn keine Liste angegeben ist)
  Firewall-CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

  Geben Sie eine Liste der autorisierten lokalen Benutzer für diese Regel an. Eine Liste der autorisierten Benutzer kann nicht angegeben werden, wenn diese Regel für einen Windows-Dienst gilt.

Microsoft Defender SmartScreen-Einstellungen

Microsoft Edge muss auf dem Gerät installiert sein.

• SmartScreen für Apps und Dateien
  Standard: Nicht konfiguriert
  SmartScreen CSP: SmartScreen/EnableSmartScreenInShell

  • Nicht konfiguriert : Deaktiviert die Verwendung von SmartScreen.
  • Aktivieren : Aktivieren Sie Windows SmartScreen für die Dateiausführung und die Ausführung von Apps. SmartScreen ist eine cloudbasierte Anti-Phishing- und Anti-Malware-Komponente.

• Ausführung nicht überprüfter Dateien
  Standard: Nicht konfiguriert
  SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell

  • Nicht konfiguriert : Deaktiviert dieses Feature und ermöglicht Endbenutzern das Ausführen von Dateien, die nicht überprüft wurden.
  • Blockieren : Verhindert, dass Endbenutzer Dateien ausführen, die nicht von Windows SmartScreen überprüft wurden.

Windows-Verschlüsselung

Windows-Einstellungen

• Geräte verschlüsseln
  Standard: Nicht konfiguriert
  BitLocker CSP: RequireDeviceEncryption

  • Erforderlich : Benutzer werden aufgefordert, die Geräteverschlüsselung zu aktivieren. Je nach Windows-Edition und Systemkonfiguration werden Benutzer möglicherweise gefragt:
    • Um zu bestätigen, dass die Verschlüsselung von einem anderen Anbieter nicht aktiviert ist.
    • Sie müssen die BitLocker-Laufwerkverschlüsselung deaktivieren und dann BitLocker wieder aktivieren.
  • Nicht konfiguriert

  Wenn die Windows-Verschlüsselung aktiviert ist, während eine andere Verschlüsselungsmethode aktiv ist, kann das Gerät instabil werden.

BitLocker-Basiseinstellungen

Basiseinstellungen sind universelle BitLocker-Einstellungen für alle Arten von Datenlaufwerken. Diese Einstellungen verwalten, welche Laufwerksverschlüsselungsaufgaben oder Konfigurationsoptionen der Endbenutzer für alle Arten von Datenlaufwerken ändern kann.

• Warnung für andere Datenträgerverschlüsselung
  Standard: Nicht konfiguriert
  BitLocker CSP: AllowWarningForOtherDiskEncryption

  • Blockieren : Deaktivieren Sie die Warnungsaufforderung, wenn sich ein anderer Datenträgerverschlüsselungsdienst auf dem Gerät befindet.
  • Nicht konfiguriert : Zulassen, dass die Warnung für andere Datenträgerverschlüsselung angezeigt wird.

  Tipp

  Um BitLocker automatisch und automatisch auf einem Gerät zu installieren, das Microsoft Entra eingebunden ist und Windows 1809 oder höher ausführt, muss diese Einstellung auf Blockieren festgelegt werden. Weitere Informationen finden Sie unter Automatisches Aktivieren von BitLocker auf Geräten.

  Bei Festlegung auf Blockieren können Sie die folgende Einstellung konfigurieren:

  • Zulassen, dass Standardbenutzer die Verschlüsselung während Microsoft Entra Joins aktivieren
    Diese Einstellung gilt nur für Microsoft Entra eingebundene Geräte (Azure ADJ) und hängt von der vorherigen Einstellung abWarning for other disk encryption.
    Standard: Nicht konfiguriert
    BitLocker CSP: AllowStandardUserEncryption

    • Zulassen : Standardbenutzer (keine Administratoren) können die BitLocker-Verschlüsselung aktivieren, wenn sie angemeldet sind.
    • Nicht konfiguriert Nur Administratoren können die BitLocker-Verschlüsselung auf dem Gerät aktivieren.

  Tipp

  Um BitLocker automatisch und automatisch auf einem Gerät zu installieren, das Microsoft Entra eingebunden ist und Windows 1809 oder höher ausführt, muss diese Einstellung auf Zulassen festgelegt werden. Weitere Informationen finden Sie unter Automatisches Aktivieren von BitLocker auf Geräten.

• Konfigurieren von Verschlüsselungsmethoden
  Standard: Nicht konfiguriert
  BitLocker CSP: EncryptionMethodByDriveType

  • Aktivieren : Konfigurieren Sie Verschlüsselungsalgorithmen für Betriebssystem, Daten und Wechseldatenträger.
  • Nicht konfiguriert : BitLocker verwendet XTS-AES 128 Bit als Standardverschlüsselungsmethode oder die verschlüsselungsmethode, die von jedem Setupskript angegeben wird.

  Bei Festlegung auf Aktivieren können Sie die folgenden Einstellungen konfigurieren:

  • Verschlüsselung für Betriebssystemlaufwerke
    Standard: XTS-AES 128-Bit

    Wählen Sie die Verschlüsselungsmethode für Betriebssystemlaufwerke aus. Es wird empfohlen, den XTS-AES-Algorithmus zu verwenden.

    • AES-CBC 128-Bit
    • AES-CBC 256-Bit
    • XTS-AES 128-Bit
    • XTS-AES 256-Bit

  • Verschlüsselung für Festplattenlaufwerke
    Standard: AES-CBC 128-Bit

    Wählen Sie die Verschlüsselungsmethode für feste (integrierte) Datenlaufwerke aus. Es wird empfohlen, den XTS-AES-Algorithmus zu verwenden.

    • AES-CBC 128-Bit
    • AES-CBC 256-Bit
    • XTS-AES 128-Bit
    • XTS-AES 256-Bit

  • Verschlüsselung für Wechseldatenträger
    Standard: AES-CBC 128-Bit

    Wählen Sie die Verschlüsselungsmethode für Wechseldatenträger aus. Wenn der Wechseldatenträger mit Geräten verwendet wird, auf denen Windows 10/11 nicht ausgeführt wird, empfehlen wir die Verwendung des AES-CBC-Algorithmus.

    • AES-CBC 128-Bit
    • AES-CBC 256-Bit
    • XTS-AES 128-Bit
    • XTS-AES 256-Bit

Einstellungen für BitLocker-Betriebssystemlaufwerke

Diese Einstellungen gelten speziell für Betriebssystemdatenlaufwerke.

• Zusätzliche Authentifizierung beim Start
  Standard: Nicht konfiguriert
  BitLocker CSP: SystemDrivesRequireStartupAuthentication

  • Erforderlich : Konfigurieren Sie die Authentifizierungsanforderungen für den Computerstart, einschließlich der Verwendung des Trusted Platform Module (TPM).
  • Nicht konfiguriert : Konfigurieren Sie nur grundlegende Optionen auf Geräten mit einem TPM.

  Bei Festlegung auf Erforderlich können Sie die folgenden Einstellungen konfigurieren:

  • BitLocker mit nicht kompatiblem TPM-Chip
    Standard: Nicht konfiguriert

    • Blockieren : Deaktivieren Sie die Verwendung von BitLocker, wenn ein Gerät nicht über einen kompatiblen TPM-Chip verfügt.
    • Nicht konfiguriert : Benutzer können BitLocker ohne kompatiblen TPM-Chip verwenden. BitLocker erfordert möglicherweise ein Kennwort oder einen Startschlüssel.

  • Kompatibler TPM-Start
    Standard: TPM zulassen

    Konfigurieren Sie, ob TPM zulässig, erforderlich oder nicht zulässig ist.

    • TPM zulassen
    • TPM nicht zulassen
    • TPM erforderlich

  • Kompatible TPM-Start-PIN
    Standard: Start-PIN mit TPM zulassen

    Wählen Sie die Verwendung einer Start-PIN mit dem TPM-Chip zulassen, nicht zulassen oder erfordern. Das Aktivieren einer Start-PIN erfordert eine Interaktion des Endbenutzers.

    • Zulassen der Start-PIN mit TPM
    • Start-PIN mit TPM nicht zulassen
    • Anfordern der Start-PIN mit TPM

    Tipp

    Um BitLocker automatisch und automatisch auf einem Gerät zu installieren, das Microsoft Entra eingebunden ist und Windows 1809 oder höher ausführt, darf diese Einstellung nicht auf Start-PIN mit TPM erforderlich festgelegt werden. Weitere Informationen finden Sie unter Automatisches Aktivieren von BitLocker auf Geräten.

  • Kompatibler TPM-Startschlüssel
    Standard: Startschlüssel mit TPM zulassen

    Wählen Sie die Verwendung eines Startschlüssels mit dem TPM-Chip zulassen, nicht zulassen oder erfordern. Zum Aktivieren eines Startschlüssels ist eine Interaktion des Endbenutzers erforderlich.

    • Startschlüssel mit TPM zulassen
    • Startschlüssel mit TPM nicht zulassen
    • Anfordern des Startschlüssels mit TPM

    Tipp

    Um BitLocker automatisch und automatisch auf einem Gerät zu installieren, das Microsoft Entra eingebunden ist und Windows 1809 oder höher ausführt, darf diese Einstellung nicht auf Startschlüssel mit TPM erforderlich festgelegt werden. Weitere Informationen finden Sie unter Automatisches Aktivieren von BitLocker auf Geräten.

  • Kompatibler TPM-Startschlüssel und -PIN
    Standard: Startschlüssel und PIN mit TPM zulassen

    Wählen Sie die Verwendung eines Startschlüssels und einer PIN mit dem TPM-Chip zulassen, nicht zulassen oder erfordern. Das Aktivieren des Startschlüssels und der PIN erfordert eine Interaktion des Endbenutzers.

    • Startschlüssel und PIN mit TPM zulassen
    • Startschlüssel und PIN mit TPM nicht zulassen
    • Erfordern eines Startschlüssels und einer PIN mit TPM

    Tipp

    Um BitLocker automatisch und automatisch auf einem Gerät zu installieren, das Microsoft Entra eingebunden ist und Windows 1809 oder höher ausführt, darf diese Einstellung nicht auf Startschlüssel und PIN mit TPM erforderlich festgelegt werden. Weitere Informationen finden Sie unter Automatisches Aktivieren von BitLocker auf Geräten.

• Minimale PIN-Länge
  Standard: Nicht konfiguriert
  BitLocker CSP: SystemDrivesMinimumPINLength

  • Aktivieren Konfigurieren Sie eine Mindestlänge für die TPM-Start-PIN.
  • Nicht konfiguriert : Benutzer können eine Start-PIN mit einer beliebigen Länge zwischen 6 und 20 Ziffern konfigurieren.

  Wenn diese Einstellung auf Aktivieren festgelegt ist, können Sie die folgende Einstellung konfigurieren:

  • Mindestzeichen
    Standard: Nicht konfigurierter BitLocker-CSP: SystemDrivesMinimumPINLength

    Geben Sie die Anzahl der Zeichen ein, die für die Start-PIN von 4-20 erforderlich sind.

• Wiederherstellung des Betriebssystemlaufwerks
  Standard: Nicht konfiguriert
  BitLocker CSP: SystemDrivesRecoveryOptions

  • Aktivieren : Steuern Sie, wie bitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden, wenn die erforderlichen Startinformationen nicht verfügbar sind.
  • Nicht konfiguriert : Standardwiederherstellungsoptionen werden unterstützt, einschließlich DRA. Der Endbenutzer kann Wiederherstellungsoptionen angeben. Wiederherstellungsinformationen werden nicht in AD DS gesichert.

  Bei Festlegung auf Aktivieren können Sie die folgenden Einstellungen konfigurieren:

  • Zertifikatbasierter Datenwiederherstellungs-Agent
    Standard: Nicht konfiguriert

    • Blockieren : Verhindern Sie die Verwendung des Datenwiederherstellungs-Agents mit BitLocker-geschützten Betriebssystemlaufwerken.
    • Nicht konfiguriert : Lassen Sie die Verwendung von Datenwiederherstellungs-Agents mit BitLocker-geschützten Betriebssystemlaufwerken zu.

  • Benutzererstellung des Wiederherstellungskennworts
    Standard: 48-stelliges Wiederherstellungskennwort zulassen

    Wählen Sie aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort generieren dürfen, erforderlich oder nicht.

    • 48-stelliges Wiederherstellungskennwort zulassen
    • 48-stelliges Wiederherstellungskennwort nicht zulassen
    • 48-stelliges Wiederherstellungskennwort erforderlich

  • Benutzererstellung des Wiederherstellungsschlüssels
    Standard: 256-Bit-Wiederherstellungsschlüssel zulassen

    Wählen Sie aus, ob Benutzer einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen, erforderlich oder nicht.

    • 256-Bit-Wiederherstellungsschlüssel zulassen
    • 256-Bit-Wiederherstellungsschlüssel nicht zulassen
    • 256-Bit-Wiederherstellungsschlüssel erforderlich

  • Wiederherstellungsoptionen im BitLocker-Setup-Assistenten
    Standard: Nicht konfiguriert

    • Blockieren : Benutzer können die Wiederherstellungsoptionen nicht anzeigen und ändern. Wenn auf festgelegt ist
    • Nicht konfiguriert : Benutzer können die Wiederherstellungsoptionen anzeigen und ändern, wenn sie BitLocker aktivieren.

  • Speichern von BitLocker-Wiederherstellungsinformationen unter Microsoft Entra-ID
    Standard: Nicht konfiguriert

    • Aktivieren: Speichern Sie die BitLocker-Wiederherstellungsinformationen in Microsoft Entra ID.
    • Nicht konfiguriert: BitLocker-Wiederherstellungsinformationen werden nicht in Microsoft Entra-ID gespeichert.

  • BitLocker-Wiederherstellungsinformationen, die in Microsoft Entra ID gespeichert sind
    Standard: Sichern von Wiederherstellungskennwörtern und Schlüsselpaketen

    Konfigurieren Sie, welche Teile der BitLocker-Wiederherstellungsinformationen in Microsoft Entra-ID gespeichert werden. Wählen Sie zwischen:

    • Sichern von Wiederherstellungskennwörtern und Schlüsselpaketen
    • Nur Wiederherstellungskennwörter für Sicherungen

  • Clientgesteuerte Kennwortrotation für die Wiederherstellung
    Standard: Nicht konfiguriert
    BitLocker CSP: ConfigureRecoveryPasswordRotation

    Diese Einstellung initiiert eine clientgesteuerte Wiederherstellungskennwortrotation nach der Wiederherstellung eines Betriebssystemlaufwerks (entweder mithilfe von bootmgr oder WinRE).

    • Nicht konfiguriert
    • Schlüsselrotation deaktiviert
    • Für Microsoft Entra verknüpfte Instanzen aktivierte Schlüsselrotation
    • Schlüsselrotation für Microsoft Entra-ID und hybrid eingebundene Geräte aktiviert

  • Speichern von Wiederherstellungsinformationen in Microsoft Entra-ID vor dem Aktivieren von BitLocker
    Standard: Nicht konfiguriert

    Verhindern Sie, dass Benutzer BitLocker aktivieren, es sei denn, der Computer sichert die BitLocker-Wiederherstellungsinformationen erfolgreich in Microsoft Entra ID.

    • Erforderlich: Benutzer können BitLocker nicht aktivieren, es sei denn, die BitLocker-Wiederherstellungsinformationen werden erfolgreich in Microsoft Entra ID gespeichert.
    • Nicht konfiguriert: Benutzer können BitLocker auch dann aktivieren, wenn die Wiederherstellungsinformationen nicht erfolgreich in Microsoft Entra ID gespeichert wurden.

• Wiederherstellungsnachricht und URL vor dem Start
  Standard: Nicht konfiguriert
  BitLocker CSP: SystemDrivesRecoveryMessage

  • Aktivieren : Konfigurieren Sie die Meldung und URL, die auf dem Bildschirm für die Wiederherstellung vor dem Startschlüssel angezeigt wird.
  • Nicht konfiguriert : Deaktivieren Sie dieses Feature.

  Wenn diese Einstellung auf Aktivieren festgelegt ist, können Sie die folgende Einstellung konfigurieren:

  • Wiederherstellungsnachricht vor dem Start
    Standard: Standardwiederherstellungsmeldung und -URL verwenden

    Konfigurieren Sie, wie die Wiederherstellungsmeldung vor dem Start für Benutzer angezeigt wird. Wählen Sie zwischen:

    • Standardwiederherstellungsnachricht und -URL verwenden
    • Leere Wiederherstellungsnachricht und URL verwenden
    • Verwenden einer benutzerdefinierten Wiederherstellungsnachricht
    • Verwenden einer benutzerdefinierten Wiederherstellungs-URL

Einstellungen für BitLocker-Festplattenlaufwerke

Diese Einstellungen gelten speziell für Festplattenlaufwerke.

• Schreibzugriff auf Festplattenlaufwerk, das nicht durch BitLocker geschützt ist
  Standard: Nicht konfiguriert
  BitLocker CSP: FixedDrivesRequireEncryption

  • Blockieren : Gewähren Sie schreibgeschützten Zugriff auf Datenlaufwerke, die nicht durch BitLocker geschützt sind.
  • Nicht konfiguriert : Standardmäßig Lese- und Schreibzugriff auf Datenlaufwerke, die nicht verschlüsselt sind.

• Wiederherstellung von Festplattenlaufwerken
  Standard: Nicht konfiguriert
  BitLocker CSP: FixedDrivesRecoveryOptions

  • Aktivieren : Steuern Sie, wie bitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden, wenn die erforderlichen Startinformationen nicht verfügbar sind.
  • Nicht konfiguriert : Deaktivieren Sie dieses Feature.

  Bei Festlegung auf Aktivieren können Sie die folgenden Einstellungen konfigurieren:

  • Datenwiederherstellungs-Agent
    Standard: Nicht konfiguriert

    • Blockieren : Verhindern Sie die Verwendung des Datenwiederherstellungs-Agents mit dem Richtlinien-Editor für bitLocker-geschützte Festplattenlaufwerke.
    • Nicht konfiguriert : Ermöglicht die Verwendung von Datenwiederherstellungs-Agents mit durch BitLocker geschützten Festplattenlaufwerken.

  • Benutzererstellung des Wiederherstellungskennworts
    Standard: 48-stelliges Wiederherstellungskennwort zulassen

    Wählen Sie aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort generieren dürfen, erforderlich oder nicht.

    • 48-stelliges Wiederherstellungskennwort zulassen
    • 48-stelliges Wiederherstellungskennwort nicht zulassen
    • 48-stelliges Wiederherstellungskennwort erforderlich

  • Benutzererstellung des Wiederherstellungsschlüssels
    Standard: 256-Bit-Wiederherstellungsschlüssel zulassen

    Wählen Sie aus, ob Benutzer einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen, erforderlich oder nicht.

    • 256-Bit-Wiederherstellungsschlüssel zulassen
    • 256-Bit-Wiederherstellungsschlüssel nicht zulassen
    • 256-Bit-Wiederherstellungsschlüssel erforderlich

  • Wiederherstellungsoptionen im BitLocker-Setup-Assistenten
    Standard: Nicht konfiguriert

    • Blockieren : Benutzer können die Wiederherstellungsoptionen nicht anzeigen und ändern. Wenn auf festgelegt ist
    • Nicht konfiguriert : Benutzer können die Wiederherstellungsoptionen anzeigen und ändern, wenn sie BitLocker aktivieren.

  • Speichern von BitLocker-Wiederherstellungsinformationen unter Microsoft Entra-ID
    Standard: Nicht konfiguriert

    • Aktivieren: Speichern Sie die BitLocker-Wiederherstellungsinformationen in Microsoft Entra ID.
    • Nicht konfiguriert: BitLocker-Wiederherstellungsinformationen werden nicht in Microsoft Entra-ID gespeichert.

  • BitLocker-Wiederherstellungsinformationen, die in Microsoft Entra ID gespeichert sind
    Standard: Sichern von Wiederherstellungskennwörtern und Schlüsselpaketen

    Konfigurieren Sie, welche Teile der BitLocker-Wiederherstellungsinformationen in Microsoft Entra-ID gespeichert werden. Wählen Sie zwischen:

    • Sichern von Wiederherstellungskennwörtern und Schlüsselpaketen
    • Nur Wiederherstellungskennwörter für Sicherungen

  • Speichern von Wiederherstellungsinformationen in Microsoft Entra-ID vor dem Aktivieren von BitLocker
    Standard: Nicht konfiguriert

    Verhindern Sie, dass Benutzer BitLocker aktivieren, es sei denn, der Computer sichert die BitLocker-Wiederherstellungsinformationen erfolgreich in Microsoft Entra ID.

    • Erforderlich: Benutzer können BitLocker nicht aktivieren, es sei denn, die BitLocker-Wiederherstellungsinformationen werden erfolgreich in Microsoft Entra ID gespeichert.
    • Nicht konfiguriert: Benutzer können BitLocker auch dann aktivieren, wenn die Wiederherstellungsinformationen nicht erfolgreich in Microsoft Entra ID gespeichert wurden.

Einstellungen für BitLocker-Wechseldatenträger

Diese Einstellungen gelten speziell für Wechseldatenträger.

• Schreibzugriff auf wechselbare Datenlaufwerke, die nicht durch BitLocker geschützt sind
  Standard: Nicht konfiguriert
  BitLocker CSP: RemovableDrivesRequireEncryption

  • Blockieren : Gewähren Sie schreibgeschützten Zugriff auf Datenlaufwerke, die nicht durch BitLocker geschützt sind.
  • Nicht konfiguriert : Standardmäßig Lese- und Schreibzugriff auf Datenlaufwerke, die nicht verschlüsselt sind.

  Wenn diese Einstellung auf Aktivieren festgelegt ist, können Sie die folgende Einstellung konfigurieren:

  • Schreibzugriff auf Geräte, die in einer anderen organization
    Standard: Nicht konfiguriert

    • Blockieren: Blockiert den Schreibzugriff auf Geräte, die in einer anderen organization konfiguriert sind.
    • Nicht konfiguriert : Schreibzugriff verweigern.

Microsoft Defender Exploit Guard

Verwenden Sie Exploit-Schutz , um die Angriffsfläche von Apps zu verwalten und zu reduzieren, die von Ihren Mitarbeitern verwendet werden.

Verringerung der Angriffsfläche

Regeln zur Verringerung der Angriffsfläche helfen dabei, Verhaltensweisen zu verhindern, die von Schadsoftware häufig verwendet werden, um Computer mit bösartigem Code zu infizieren.

Regeln zur Verringerung der Angriffsfläche

Weitere Informationen finden Sie unter Regeln zur Verringerung der Angriffsfläche in der Microsoft Defender for Endpoint-Dokumentation.

Mergeverhalten für Regeln zur Verringerung der Angriffsfläche in Intune:

Regeln zur Verringerung der Angriffsfläche unterstützen eine Zusammenführung von Einstellungen aus verschiedenen Richtlinien, um eine Obermenge von Richtlinien für jedes Gerät zu erstellen. Nur die Einstellungen, die nicht in Konflikt stehen, werden zusammengeführt, während in Konflikt stehende Einstellungen nicht der Obermenge der Regeln hinzugefügt werden. Wenn bisher zwei Richtlinien Konflikte für eine einzelne Einstellung enthielten, wurden beide Richtlinien als in Konflikt gekennzeichnet, und es wurden keine Einstellungen aus beiden Profilen bereitgestellt.

Verhalten der Regel zur Verringerung der Angriffsfläche sieht wie folgt aus:

• Regeln zur Verringerung der Angriffsfläche aus den folgenden Profilen werden für jedes Gerät ausgewertet, für das die Regeln gelten:
  • Gerätekonfigurationsrichtlinie >> Endpoint Protection-Profil > Microsoft Defender Verringerung der Angriffsfläche von Exploit Guard >
  • Endpunktsicherheit > Richtlinie > zur Verringerung der Angriffsfläche: Regeln zur Verringerung der Angriffsfläche
  • Endpunktsicherheit > Sicherheitsbaselines > Microsoft Defender for Endpoint Baseline-Regeln >zur Verringerung der Angriffsfläche.
• Einstellungen ohne Konflikte werden einer Obermenge der Richtlinie für das Gerät hinzugefügt.
• Wenn zwei oder mehr Richtlinien in Konflikt stehende Einstellungen aufweisen, werden die in Konflikt stehenden Einstellungen der kombinierten Richtlinie nicht hinzugefügt. Einstellungen, die keinen Konflikt verursachen, werden der Übergeordneten Richtlinie hinzugefügt, die für ein Gerät gilt.
• Nur die Konfigurationen für in Konflikt stehende Einstellungen werden zurückgehalten.

Einstellungen in diesem Profil:

• Kennzeichnen des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität
  Standard: Nicht konfiguriert
  Regel: Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität (lsass.exe)

  Verhindern Sie Aktionen und Apps, die in der Regel von Exploit-suchender Schadsoftware verwendet werden, um Computer zu infizieren.

  • Nicht konfiguriert
  • Aktivieren : Kennzeichnen Sie den Diebstahl von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität (lsass.exe).
  • Nur Überwachung

• Prozesserstellung aus Adobe Reader (Beta)
  Standard: Nicht konfiguriert
  Regel: Blockieren der Erstellung untergeordneter Prozesse durch Adobe Reader

  • Nicht konfiguriert
  • Aktivieren : Blockieren von untergeordneten Prozessen, die aus Adobe Reader erstellt werden.
  • Nur Überwachung

Regeln zum Verhindern von Bedrohungen durch Office-Makros

Verhindern Sie, dass Office-Apps die folgenden Aktionen ausführen:

• Office-Apps, die in andere Prozesse eingefügt werden (keine Ausnahmen)
  Standard: Nicht konfiguriert
  Regel: Blockieren der Einschleusung von Code in andere Prozesse durch Office-Anwendungen

  • Nicht konfiguriert
  • Blockieren : Blockieren Sie die Einschleusung von Office-Apps in andere Prozesse.
  • Nur Überwachung

• Office-Apps/Makros, die ausführbare Inhalte erstellen
  Standard: Nicht konfiguriert
  Regel: Blockieren der Erstellung ausführbarer Inhalte durch Office-Anwendungen

  • Nicht konfiguriert
  • Blockieren : Blockieren Sie die Erstellung ausführbarer Inhalte durch Office-Apps und -Makros.
  • Nur Überwachung

• Office-Apps starten untergeordnete Prozesse
  Standard: Nicht konfiguriert
  Regel: Blockieren der Erstellung untergeordneter Prozesse durch alle Office-Anwendungen

  • Nicht konfiguriert
  • Blockieren : Blockieren Sie das Starten untergeordneter Prozesse durch Office-Apps.
  • Nur Überwachung

• Win32-Importe aus Office-Makrocode
  Standard: Nicht konfiguriert
  Regel: Win32-API-Aufrufe von Office-Makros blockieren

  • Nicht konfiguriert
  • Blockieren : Blockieren Sie Win32-Importe aus Makrocode in Office.
  • Nur Überwachung

• Prozesserstellung aus Office-Kommunikationsprodukten
  Standard: Nicht konfiguriert
  Regel: Blockieren der Office-Kommunikationsanwendung am Erstellen untergeordneter Prozesse

  • Nicht konfiguriert
  • Aktivieren : Blockieren sie die Erstellung untergeordneter Prozesse aus Office-Kommunikations-Apps.
  • Nur Überwachung

Regeln zum Verhindern von Skriptbedrohungen

Blockieren Sie Folgendes, um Skriptbedrohungen zu verhindern:

• Verschleierter js/vbs/ps/macro-Code
  Standard: Nicht konfiguriert
  Regel: Blockieren der Ausführung potenziell verschleierter Skripts

  • Nicht konfiguriert
  • Blockieren : Blockieren Sie jeglichen verschleierten js/vbs/ps/macro-Code.
  • Nur Überwachung

• js/vbs, das aus dem Internet heruntergeladene Nutzlast ausführt (keine Ausnahmen)
  Standard: Nicht konfiguriert
  Regel: Blockieren des Startens heruntergeladener ausführbarer Inhalte durch JavaScript oder VBScript

  • Nicht konfiguriert
  • Blockieren : Blockieren Sie js/vbs für die Ausführung von aus dem Internet heruntergeladenen Nutzdaten.
  • Nur Überwachung

• Prozesserstellung aus PSExec- und WMI-Befehlen
  Standard: Nicht konfiguriert
  Regel: Blockieren von Prozesserstellungen aus PSExec- und WMI-Befehlen

  • Nicht konfiguriert
  • Blockieren : Blockieren Von PSExec- und WMI-Befehlen ausgehende Prozesserstellungen.
  • Nur Überwachung

• Nicht vertrauenswürdige und nicht signierte Prozesse, die ab USB ausgeführt werden
  Standard: Nicht konfiguriert
  Regel: Blockieren von nicht vertrauenswürdigen und nicht signierten Prozessen, die über USB ausgeführt werden

  • Nicht konfiguriert
  • Blockieren : Blockieren Sie nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werden.
  • Nur Überwachung

• Ausführbare Dateien, die keine Prävalenz-, Alters- oder vertrauenswürdigen Listenkriterien erfüllen
  Standard: Nicht konfiguriert
  Regel: Ausführung ausführbarer Dateien blockieren, es sei denn, sie erfüllen ein Prävalenz-, Alters- oder vertrauenswürdiges Listenkriterium

  • Nicht konfiguriert
  • Blockieren : Verhindert die Ausführung ausführbarer Dateien, es sei denn, sie erfüllen ein Prävalenz-, Alters- oder vertrauenswürdiges Listenkriterium.
  • Nur Überwachung

Regeln zum Verhindern von E-Mail-Bedrohungen

Blockieren Sie Folgendes, um E-Mail-Bedrohungen zu verhindern:

• Ausführung von ausführbaren Inhalten (exe, DLL, ps, js, vbs usw.), die aus E-Mail (Webmail/Mail-Client) gelöscht wurden (keine Ausnahmen)
  Standard: Nicht konfiguriert
  Regel: Blockieren ausführbarer Inhalte aus E-Mail-Client und Webmail

  • Nicht konfiguriert
  • Blockieren : Blockieren Sie die Ausführung ausführbarer Inhalte (exe, DLL, ps, js, vbs usw.), die aus E-Mail (webmail/mail-client) gelöscht wurden.
  • Nur Überwachung

Regeln zum Schutz vor Ransomware

• Erweiterter Ransomware-Schutz
  Standard: Nicht konfiguriert
  Regel: Verwenden Des erweiterten Schutzes vor Ransomware

  • Nicht konfiguriert
  • Aktivieren : Verwenden Sie aggressiven Ransomware-Schutz.
  • Nur Überwachung

Ausnahmen zur Verringerung der Angriffsfläche

• Dateien und Ordner, die von Regeln zur Verringerung der Angriffsfläche ausgeschlossen werden sollen
  Defender CSP: AttackSurfaceReductionOnlyExclusions

  • Importieren Sie eine .csv Datei, die Dateien und Ordner enthält, die von Regeln zur Verringerung der Angriffsfläche ausgeschlossen werden sollen.
  • Fügen Sie lokale Dateien oder Ordner manuell hinzu.

Wichtig

Um eine ordnungsgemäße Installation und Ausführung von Branchen-Win32-Apps zu ermöglichen, sollten Antischadsoftwareeinstellungen die folgenden Verzeichnisse von der Überprüfung ausschließen:
Auf X64-Clientcomputern:
C:\Programme (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Auf X86-Clientcomputern:
C:\Programme\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Weitere Informationen finden Sie unter Empfehlungen zur Virenüberprüfung für Unternehmenscomputer, auf denen derzeit unterstützte Versionen von Windows ausgeführt werden.

Kontrollierter Ordnerzugriff

Schützen Sie wertvolle Daten vor schädlichen Apps und Bedrohungen wie Ransomware.

• Ordnerschutz
  Standard: Nicht konfiguriert
  Defender CSP: EnableControlledFolderAccess

  Schützen Sie Dateien und Ordner vor nicht autorisierten Änderungen durch unfreundliche Apps.

  • Nicht konfiguriert
  • Enable
  • Nur Überwachung
  • Änderung des Datenträgers blockieren
  • Datenträgeränderung überwachen

  Wenn Sie eine andere Konfiguration als Nicht konfiguriert auswählen, können Sie Folgendes konfigurieren:

  • Liste der Apps, die Zugriff auf geschützte Ordner haben
    Defender CSP: ControlledFolderAccessAllowedApplications

    • Importieren Sie eine .csv Datei, die eine App-Liste enthält.
    • Fügen Sie apps manuell zu dieser Liste hinzu.

  • Liste der zusätzlichen Ordner, die geschützt werden müssen
    Defender CSP: ControlledFolderAccessProtectedFolders

    • Importieren Sie eine .csv Datei, die eine Ordnerliste enthält.
    • Fügen Sie dieser Liste manuell Ordner hinzu.

Netzwerkfilterung

Blockieren sie ausgehende Verbindungen von einer beliebigen App zu IP-Adressen oder Domänen mit geringem Ruf. Die Netzwerkfilterung wird sowohl im Überwachungs- als auch im Blockmodus unterstützt.

• Netzwerkschutz
  Standard: Nicht konfiguriert
  Defender CSP: EnableNetworkProtection

  Die Absicht dieser Einstellung besteht darin, Endbenutzer vor Apps mit Zugriff auf Phishing-Betrug, Exploit-Hosting-Websites und schädlichen Inhalten im Internet zu schützen. Es verhindert auch, dass Browser von Drittanbietern eine Verbindung mit gefährlichen Websites herstellen.

  • Nicht konfiguriert : Deaktivieren Sie dieses Feature. Benutzer und Apps werden nicht daran gehindert, eine Verbindung mit gefährlichen Domänen herzustellen. Administratoren können diese Aktivität in Microsoft Defender Security Center nicht sehen.
  • Aktivieren : Aktivieren Sie den Netzwerkschutz, und blockieren Sie, dass Benutzer und Apps eine Verbindung mit gefährlichen Domänen herstellen. Administratoren können diese Aktivität in Microsoft Defender Security Center anzeigen.
  • Nur Überwachen: – Benutzer und Apps werden nicht daran gehindert, eine Verbindung mit gefährlichen Domänen herzustellen. Administratoren können diese Aktivität in Microsoft Defender Security Center anzeigen.

Exploit-Schutz

• Hochladen von XML
  Standard: Nicht konfiguriert

  Um Exploit-Schutz zum Schutz von Geräten vor Exploits zu verwenden, erstellen Sie eine XML-Datei, die die gewünschten Einstellungen für System und Anwendungsminderung enthält. Es gibt zwei Methoden zum Erstellen der XML-Datei:

  • PowerShell : Verwenden Sie mindestens eines der PowerShell-Cmdlets Get-ProcessMitigation, Set-ProcessMitigation und ConvertTo-ProcessMitigationPolicy . Die Cmdlets konfigurieren Die Entschärfungseinstellungen und exportieren eine XML-Darstellung dieser Einstellungen.

  • Microsoft Defender Security Center-Benutzeroberfläche: Wählen Sie im Microsoft Defender Security Center App & Browsersteuerelement aus, und scrollen Sie dann zum unteren Rand des angezeigten Bildschirms, um nach Exploit-Schutz zu suchen. Verwenden Sie zunächst die Registerkarten Systemeinstellungen und Programmeinstellungen, um Die Entschärfungseinstellungen zu konfigurieren. Suchen Sie dann unten auf dem Bildschirm nach dem Link Exporteinstellungen, um eine XML-Darstellung dieser Einstellungen zu exportieren.

• Benutzerbearbeitung der Exploit-Schutzschnittstelle
  Standard: Nicht konfiguriert
  ExploitGuard CSP: ExploitProtectionSettings

  • Blockieren : Laden Sie eine XML-Datei hoch, mit der Sie Arbeitsspeicher-, Ablaufsteuerungs- und Richtlinieneinschränkungen konfigurieren können. Die Einstellungen in der XML-Datei können verwendet werden, um eine Anwendung vor Exploits zu blockieren.
  • Nicht konfiguriert : Es wird keine benutzerdefinierte Konfiguration verwendet.

Microsoft Defender-Anwendungssteuerung

Wählen Sie Apps aus, die von überwacht werden sollen oder die vertrauenswürdig sind, um von Microsoft Defender Anwendungssteuerung ausgeführt zu werden. Windows-Komponenten und alle Apps aus dem Windows Store werden automatisch als vertrauenswürdig eingestuft.

• Codeintegritätsrichtlinien für die Anwendungssteuerung
  Standard: Nicht konfiguriert
  CSP: AppLocker CSP

  • Erzwingen : Wählen Sie die Codeintegritätsrichtlinien für die Anwendungssteuerung für die Geräte Ihrer Benutzer aus.

    Nachdem sie auf einem Gerät aktiviert wurde, kann die Anwendungssteuerung nur deaktiviert werden, indem Sie den Modus von Erzwingen in Nur Überwachen ändern. Das Ändern des Modus von Erzwingen in Nicht konfiguriert führt dazu, dass die Anwendungssteuerung weiterhin auf zugewiesenen Geräten erzwungen wird.

  • Nicht konfiguriert : Die Anwendungssteuerung wird nicht zu Geräten hinzugefügt. Einstellungen, die zuvor hinzugefügt wurden, werden jedoch weiterhin auf zugewiesenen Geräten erzwungen.

  • Nur Überwachen : Anwendungen werden nicht blockiert. Alle Ereignisse werden in den Protokollen des lokalen Clients protokolliert.

    Hinweis

    Wenn Sie diese Einstellung verwenden, fordert das AppLocker-CSP-Verhalten endbenutzer derzeit auf, ihren Computer neu zu starten, wenn eine Richtlinie bereitgestellt wird.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard schützt vor Diebstahl von Anmeldeinformationen. Es isoliert Geheimnisse, sodass nur privilegierte Systemsoftware darauf zugreifen kann.

• Credential Guard
  Standard: Deaktivieren
  DeviceGuard CSP

  • Deaktivieren : Deaktivieren Sie Credential Guard remote, wenn sie zuvor mit der Option Ohne UEFI-Sperre aktiviert aktiviert wurde.

  • Aktivieren mit UEFI-Sperre : Credential Guard kann nicht remote mithilfe eines Registrierungsschlüssels oder einer Gruppenrichtlinie deaktiviert werden.

    Hinweis

    Wenn Sie diese Einstellung verwenden und Credential Guard später deaktivieren möchten, müssen Sie die Gruppenrichtlinie auf Deaktiviert festlegen. Löschen Sie außerdem die UEFI-Konfigurationsinformationen von jedem Computer physisch. Solange die UEFI-Konfiguration beibehalten wird, ist Credential Guard aktiviert.

  • Aktivieren ohne UEFI-Sperre: Ermöglicht das Remotedeaktivieren von Credential Guard mithilfe von Gruppenrichtlinie. Die Geräte, die diese Einstellung verwenden, müssen Windows 10 Version 1511 und höher oder Windows 11 ausgeführt werden.

  Wenn Sie Credential Guard aktivieren , sind auch die folgenden erforderlichen Features aktiviert:

  • Virtualisierungsbasierte Sicherheit (VBS)
    Wird während des nächsten Neustarts aktiviert. Bei der virtualisierungsbasierten Sicherheit wird der Windows-Hypervisor verwendet, um Unterstützung für Sicherheitsdienste bereitzustellen.
  • Sicherer Start mit Verzeichnisspeicherzugriff
    Aktiviert VBS mit Schutzfunktionen für sicheren Start und direkten Speicherzugriff (DMA). DMA-Schutz erfordert Hardwareunterstützung und ist nur auf ordnungsgemäß konfigurierten Geräten aktiviert.

Microsoft Defender Security Center

Microsoft Defender Security Center arbeitet als separate App oder als separater Prozess von den einzelnen Features. Es werden Benachrichtigungen über das Info-Center angezeigt. Es fungiert als Collector oder einzelner Ort, um die status anzuzeigen und eine Konfiguration für jedes der Features auszuführen. Weitere Informationen finden Sie in der Microsoft Defender-Dokumentation.

Microsoft Defender Security Center-App und Benachrichtigungen

Blockieren Sie den Endbenutzerzugriff auf die verschiedenen Bereiche der Microsoft Defender Security Center-App. Das Ausblenden eines Abschnitts blockiert auch verwandte Benachrichtigungen.

• Viren- und Bedrohungsschutz
  Standard: Nicht konfiguriert
  WindowsDefenderSecurityCenter-CSP: DisableVirusUI

  Konfigurieren Sie, ob Endbenutzer den Bereich Viren- und Bedrohungsschutz im Microsoft Defender Security Center anzeigen können. Wenn Sie diesen Abschnitt ausblenden, werden auch alle Benachrichtigungen im Zusammenhang mit Viren- und Bedrohungsschutz blockiert.

  • Nicht konfiguriert
  • Hide

• Ransomware-Schutz
  Standard: Nicht konfiguriert
  WindowsDefenderSecurityCenter-CSP: HideRansomwareDataRecovery

  Konfigurieren Sie, ob Endbenutzer den Ransomware-Schutzbereich im Microsoft Defender Security Center anzeigen können. Wenn Sie diesen Abschnitt ausblenden, werden auch alle Benachrichtigungen im Zusammenhang mit Ransomware-Schutz blockiert.

  • Nicht konfiguriert
  • Hide

• Kontoschutz
  Standard: Nicht konfiguriert
  WindowsDefenderSecurityCenter-CSP: DisableAccountProtectionUI

  Konfigurieren Sie, ob Endbenutzer den Bereich Kontoschutz im Microsoft Defender Security Center anzeigen können. Durch das Ausblenden dieses Abschnitts werden auch alle Benachrichtigungen im Zusammenhang mit dem Kontoschutz blockiert.

  • Nicht konfiguriert
  • Hide

• Firewall- und Netzwerkschutz
  Standard: Nicht konfiguriert
  WindowsDefenderSecurityCenter-CSP: DisableNetworkUI

  Konfigurieren Sie, ob Endbenutzer den Bereich Firewall und Netzwerkschutz im Microsoft Defender Security Center anzeigen können. Wenn Sie diesen Abschnitt ausblenden, werden auch alle Benachrichtigungen im Zusammenhang mit Firewall- und Netzwerkschutz blockiert.

  • Nicht konfiguriert
  • Hide

• App- und Browsersteuerung
  Standard: Nicht konfiguriert
  WindowsDefenderSecurityCenter-CSP: DisableAppBrowserUI

  Konfigurieren Sie, ob Endbenutzer den App- und Browsersteuerungsbereich im Microsoft Defender Security Center anzeigen können. Durch das Ausblenden dieses Abschnitts werden auch alle Benachrichtigungen im Zusammenhang mit der App- und Browsersteuerung blockiert.

  • Nicht konfiguriert
  • Hide

• Hardwareschutz
  Standard: Nicht konfiguriert
  WindowsDefenderSecurityCenter-CSP: DisableDeviceSecurityUI

  Konfigurieren Sie, ob Endbenutzer den Hardwareschutzbereich im Microsoft Defender Security Center anzeigen können. Durch das Ausblenden dieses Abschnitts werden auch alle Benachrichtigungen im Zusammenhang mit dem Hardwareschutz blockiert.

  • Nicht konfiguriert
  • Hide

• Geräteleistung und -integrität
  Standard: Nicht konfiguriert
  WindowsDefenderSecurityCenter-CSP: DisableHealthUI

  Konfigurieren Sie, ob Endbenutzer den Bereich Geräteleistung und -integrität im Microsoft Defender Security Center anzeigen können. Durch das Ausblenden dieses Abschnitts werden auch alle Benachrichtigungen im Zusammenhang mit der Geräteleistung und -integrität blockiert.

  • Nicht konfiguriert
  • Hide

• Familienoptionen
  Standard: Nicht konfiguriert
  WindowsDefenderSecurityCenter-CSP: DisableFamilyUI

  Konfigurieren Sie, ob Endbenutzer den Bereich Familienoptionen im Microsoft Defender Security Center anzeigen können. Wenn Sie diesen Abschnitt ausblenden, werden auch alle Benachrichtigungen blockiert, die sich auf Family-Optionen beziehen.

  • Nicht konfiguriert
  • Hide

• Benachrichtigungen aus den angezeigten App-Bereichen
  Standard: Nicht konfiguriert
  WindowsDefenderSecurityCenter-CSP: DisableNotifications

  Wählen Sie aus, welche Benachrichtigungen endbenutzern angezeigt werden sollen. Nicht kritische Benachrichtigungen enthalten Zusammenfassungen der Microsoft Defender Antivirus-Aktivität, einschließlich Benachrichtigungen, wenn Überprüfungen abgeschlossen wurden. Alle anderen Benachrichtigungen werden als kritisch betrachtet.

  • Nicht konfiguriert
  • Blockieren nicht kritischer Benachrichtigungen
  • Alle Benachrichtigungen blockieren

• Windows-Sicherheit Center-Symbol auf der Taskleiste
  Standard: Nicht konfigurierter WindowsDefenderSecurityCenter-CSP: HideWindowsSecurityNotificationAreaControl

  Konfigurieren Sie die Anzeige des Benachrichtigungsbereichs-Steuerelements. Der Benutzer muss sich entweder abmelden und anmelden oder den Computer neu starten, damit diese Einstellung wirksam wird.

  • Nicht konfiguriert
  • Hide

• Schaltfläche "TPM löschen"
  Standardeinstellung: Nicht konfigurierter WindowsDefenderSecurityCenter-CSP: DisableClearTpmButton

  Konfigurieren Sie die Anzeige der Schaltfläche TPM löschen.

  • Nicht konfiguriert
  • Disable

• TPM-Firmwareupdatewarnung
  Standard: Nicht konfigurierter WindowsDefenderSecurityCenter-CSP: DisableTpmFirmwareUpdateWarning

  Konfigurieren Sie die Anzeige der TPM-Firmware aktualisieren, wenn eine anfällige Firmware erkannt wird.

  • Nicht konfiguriert
  • Hide

• Manipulationsschutz
  Standard: Nicht konfiguriert

  Aktivieren oder deaktivieren Sie den Manipulationsschutz auf Geräten. Um manipulationsschutz verwenden zu können, müssen Sie Microsoft Defender for Endpoint in Intune integrieren und über Enterprise Mobility + Security E5-Lizenzen verfügen.

  • Nicht konfiguriert : Es werden keine Änderungen an den Geräteeinstellungen vorgenommen.
  • Aktiviert : Der Manipulationsschutz ist aktiviert, und Einschränkungen werden auf Geräten erzwungen.
  • Deaktiviert : Der Manipulationsschutz ist deaktiviert, und Einschränkungen werden nicht erzwungen.

IT-Kontaktinformationen

Geben Sie IT-Kontaktinformationen an, die in der Microsoft Defender Security Center-App und den App-Benachrichtigungen angezeigt werden sollen.

Sie können in App und in Benachrichtigungen anzeigen, Nur in App anzeigen, Nur in Benachrichtigungen anzeigen oder Nicht anzeigen auswählen. Geben Sie den It-organization Namen und mindestens eine der folgenden Kontaktoptionen ein:

• IT-Kontaktinformationen
  Standardeinstellung: Nicht anzeigen
  WindowsDefenderSecurityCenter-CSP: EnableCustomizedToasts

  Konfigurieren Sie, wo IT-Kontaktinformationen für Endbenutzer angezeigt werden sollen.

  • Anzeigen in Der App und in Benachrichtigungen
  • Nur in der App anzeigen
  • Nur in Benachrichtigungen anzeigen
  • Nicht anzeigen

  Wenn sie für die Anzeige konfiguriert ist, können Sie die folgenden Einstellungen konfigurieren:

  • IT-organization Name
    Standard: Nicht konfiguriert
    WindowsDefenderSecurityCenter CSP: CompanyName

  • Telefonnummer der IT-Abteilung oder Skype-ID
    Standard: Nicht konfiguriert
    WindowsDefenderSecurityCenter-CSP: Telefon

  • E-Mail-Adresse der IT-Abteilung
    Standard: Nicht konfiguriert
    WindowsDefenderSecurityCenter-CSP: Email

  • URL der IT-Supportwebsite
    Standard: Nicht konfiguriert
    WindowsDefenderSecurityCenter-CSP: URL

Sicherheitsoptionen für lokales Gerät

Verwenden Sie diese Optionen, um die lokalen Sicherheitseinstellungen auf Windows 10/11-Geräten zu konfigurieren.

Konten

• Hinzufügen neuer Microsoft-Konten
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: Accounts_BlockMicrosoftAccounts

  • Block Verhindern, dass Benutzer dem Gerät neue Microsoft-Konten hinzufügen.
  • Nicht konfiguriert : Benutzer können Microsoft-Konten auf dem Gerät verwenden.

• Remoteanmeldung ohne Kennwort
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

  • Blockieren : Nur lokale Konten mit leeren Kennwörtern können sich über die Tastatur des Geräts anmelden.
  • Nicht konfiguriert : Lokale Konten mit leeren Kennwörtern können sich von anderen Standorten als dem physischen Gerät aus anmelden.

Administrator

• Lokales Administratorkonto
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

  • Block Verhindern Sie die Verwendung eines lokalen Administratorkontos.
  • Nicht konfiguriert

• Umbenennen des Administratorkontos
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: Accounts_RenameAdministratorAccount

  Definieren Sie einen anderen Kontonamen, der der Sicherheits-ID (SID) für das Konto "Administrator" zugeordnet werden soll.

Gast

• Gastkonto
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions

  • Blockieren : Verhindert die Verwendung eines Gastkontos.
  • Nicht konfiguriert

• Umbenennen des Gastkontos
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

  Definieren Sie einen anderen Kontonamen, der der Sicherheits-ID (SID) für das Konto "Guest" zugeordnet werden soll.

Geräte

• Gerät ohne Anmeldung ausdocken
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: Devices_AllowUndockWithoutHavingToLogon

  • Blockieren : Ein Benutzer muss sich beim Gerät anmelden und die Berechtigung zum Ausdocken des Geräts erhalten.
  • Nicht konfiguriert : Benutzer können die physische Auswurftaste eines angedockten tragbaren Geräts drücken, um das Gerät sicher abzudocken.

• Installieren von Druckertreibern für freigegebene Drucker
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

  • Aktiviert : Jeder Benutzer kann einen Druckertreiber als Teil der Verbindung mit einem freigegebenen Drucker installieren.
  • Nicht konfiguriert : Nur Administratoren können einen Druckertreiber im Rahmen der Verbindung mit einem freigegebenen Drucker installieren.

• Beschränken des CD-ROM-Zugriffs auf lokal aktive Benutzer
  Standard: Nicht konfiguriert
  CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

  • Aktiviert : Nur der interaktiv angemeldete Benutzer kann die CD-ROM-Medien verwenden. Wenn diese Richtlinie aktiviert ist und niemand interaktiv angemeldet ist, wird über das Netzwerk auf die CD-ROM zugegriffen.
  • Nicht konfiguriert : Jeder hat Zugriff auf die CD-ROM.

• Formatieren und Auswerfen von Wechselmedien
  Standard: Administratoren
  CSP: Devices_AllowedToFormatAndEjectRemovableMedia

  Definieren Sie, wer ntfs-Wechselmedien formatieren und auswerfen darf:

  • Nicht konfiguriert
  • Administratoren
  • Administratoren und PowerUser
  • Administratoren und interaktive Benutzer

Interaktive Anmeldung

• Inaktivität des Sperrbildschirms in Minuten, bis der Bildschirmschoner aktiviert ist
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: InteractiveLogon_MachineInactivityLimit

  Geben Sie die maximalen Minuten der Inaktivität ein, bis der Bildschirmschoner aktiviert wird. (0 - 999999)

• Strg+ALT+ENTF für die Anmeldung erforderlich
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DoNotRequireCTRLALTDEL

  • Aktivieren : Benutzer müssen STRG+ALT+ENTF drücken, bevor sie sich bei Windows anmelden.
  • Nicht konfiguriert : Das Drücken von STRG+ALT+ENTF ist nicht erforderlich, damit sich Benutzer anmelden können.

• Intelligentes Karte-Entfernungsverhalten
  Standard: Keine Aktion LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

  Bestimmt, was geschieht, wenn die intelligente Karte für einen angemeldeten Benutzer aus dem Smart Karte-Reader entfernt wird. Folgende Optionen sind verfügbar:

  • Arbeitsstation sperren: Die Arbeitsstation wird gesperrt, wenn die intelligente Karte entfernt wird. Mit dieser Option können Benutzer den Bereich verlassen, ihre smarten Karte mitnehmen und trotzdem eine geschützte Sitzung verwalten.
  • Keine Aktion
  • Abmelden erzwingen: Der Benutzer wird automatisch abgemeldet, wenn die intelligente Karte entfernt wird.
  • Trennen, wenn eine Remotedesktopdienste-Sitzung getrennt wird: Das Entfernen des intelligenten Karte trennt die Sitzung, ohne den Benutzer abzumelden. Mit dieser Option kann der Benutzer die intelligente Karte einfügen und die Sitzung später oder an einem anderen Computer mit Lesegerät Karte fortsetzen, ohne sich erneut anmelden zu müssen. Wenn die Sitzung lokal ist, funktioniert diese Richtlinie identisch mit Arbeitsstation sperren.

Anzeige

• Benutzerinformationen auf dem Sperrbildschirm
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

  Konfigurieren Sie die Benutzerinformationen, die angezeigt werden, wenn die Sitzung gesperrt ist. Wenn nicht konfiguriert, werden der Anzeigename, die Domäne und der Benutzername des Benutzers angezeigt.

  • Nicht konfiguriert
  • Benutzeranzeigename, Domäne und Benutzername
  • Nur Benutzeranzeigename
  • Benutzerinformationen nicht anzeigen

• Zuletzt angemeldeter Benutzer ausblenden
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DoNotDisplayLastSignedIn

  • Aktivieren : Blendet den Benutzernamen aus.
  • Nicht konfiguriert : Zeigt den letzten Benutzernamen an.

• Benutzername bei Anmeldung ausblendenStandard: Nicht konfiguriert
  LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn

  • Aktivieren : Blendet den Benutzernamen aus.
  • Nicht konfiguriert : Zeigt den letzten Benutzernamen an.

• Titel der Anmeldenachricht
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

  Legen Sie den Nachrichtentitel für Benutzer fest, die sich anmelden.

• Anmeldemeldungstext
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

  Legen Sie den Nachrichtentext für Benutzer fest, die sich anmelden.

Netzwerkzugriff und -sicherheit

• Anonymer Zugriff auf Named Pipes und Freigaben
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

  • Nicht konfiguriert : Schränken Sie den anonymen Zugriff auf Freigabe- und Named Pipe-Einstellungen ein. Gilt für die Einstellungen, auf die anonym zugegriffen werden kann.
  • Blockieren : Deaktivieren Sie diese Richtlinie, sodass anonymer Zugriff verfügbar ist.

• Anonyme Enumeration von SAM-Konten
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

  • Nicht konfiguriert : Anonyme Benutzer können SAM-Konten auflisten.
  • Blockieren : Anonyme Enumeration von SAM-Konten verhindern.

• Anonyme Enumeration von SAM-Konten und -Freigaben
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

  • Nicht konfiguriert : Anonyme Benutzer können die Namen von Domänenkonten und Netzwerkfreigaben auflisten.
  • Blockieren : Verhindert die anonyme Enumeration von SAM-Konten und -Freigaben.

• Bei Kennwortänderung gespeicherter LAN-Manager-Hashwert
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

  Ermitteln Sie, ob der Hashwert für Kennwörter gespeichert wird, wenn das Kennwort das nächste Mal geändert wird.

  • Nicht konfiguriert : Der Hashwert wird nicht gespeichert.
  • Blockieren : Der LAN-Manager (LM) speichert den Hashwert für das neue Kennwort.

• PKU2U-Authentifizierungsanforderungen
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests

  • Nicht konfiguriert: Pu2U-Anforderungen zulassen.
  • Blockieren : Blockieren Sie PKU2U-Authentifizierungsanforderungen an das Gerät.

• Einschränken von REMOTE-RPC-Verbindungen auf SAM
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

  • Nicht konfiguriert : Verwenden Sie den Standardsicherheitsdeskriptor, mit dem Benutzer und Gruppen remote RPC-Aufrufe an sam durchführen können.

  • Zulassen : Benutzer und Gruppen können RPC-Remoteaufrufe an den Security Accounts Manager (SAM) verweigern, in dem Benutzerkonten und Kennwörter gespeichert werden. Mit Zulassen können Sie auch die Standardzeichenfolge der SDDL (Security Descriptor Definition Language) ändern, um Benutzern und Gruppen explizit zu erlauben oder zu verweigern, diese Remoteaufrufe zu tätigen.

    • Sicherheitsbeschreibung
      Standard: Nicht konfiguriert

• Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients
  Standardeinstellung: Keine
  LocalPoliciesSecurityOptions-CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

  Diese Sicherheitseinstellung ermöglicht es einem Server, die Aushandlung von 128-Bit-Verschlüsselung und/oder NTLMv2-Sitzungssicherheit zu erfordern.

  • Keine
  • NtLMv2-Sitzungssicherheit erforderlich
  • 128-Bit-Verschlüsselung erforderlich
  • NTLMv2- und 128-Bit-Verschlüsselung

• Minimale Sitzungssicherheit für NTLM SSP-basierte Server
  Standardeinstellung: Keine
  LocalPoliciesSecurityOptions-CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

  Diese Sicherheitseinstellung bestimmt, welches Challenge/Response-Authentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird.

  • Keine
  • NtLMv2-Sitzungssicherheit erforderlich
  • 128-Bit-Verschlüsselung erforderlich
  • NTLMv2- und 128-Bit-Verschlüsselung

• LAN-Manager-Authentifizierungsebene
  Standard: LM und NTLM
  LocalPoliciesSecurityOptions-CSP: NetworkSecurity_LANManagerAuthenticationLevel

  • LM und NTLM
  • LM, NTLM und NTLMv2
  • NTLM
  • NTLMv2
  • NTLMv2 und nicht LM
  • NTLMv2 und nicht LM oder NTLM

• Unsichere Gastanmeldungen
  Standard: Nicht konfiguriert
  LanmanWorkstation CSP: LanmanWorkstation

  Wenn Sie diese Einstellung aktivieren, lehnt der SMB-Client unsichere Gastanmeldungen ab.

  • Nicht konfiguriert
  • Blockieren : Der SMB-Client lehnt unsichere Gastanmeldungen ab.

Wiederherstellungskonsole und Herunterfahren

• Auslagerungsdatei des virtuellen Speichers beim Herunterfahren löschen
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: Shutdown_ClearVirtualMemoryPageFile

  • Aktivieren : Löschen Sie die Auslagerungsdatei des virtuellen Speichers, wenn das Gerät heruntergefahren wird.
  • Nicht konfiguriert : Löscht den virtuellen Arbeitsspeicher nicht.

• Herunterfahren ohne Anmeldung
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

  • Blockieren : Blendet die Option zum Herunterfahren auf dem Windows-Anmeldebildschirm aus. Benutzer müssen sich beim Gerät anmelden und dann herunterfahren.
  • Nicht konfiguriert : Ermöglicht Benutzern das Herunterfahren des Geräts über den Windows-Anmeldebildschirm.

Benutzerkontensteuerung

• UIA-Integrität ohne sicheren Standort
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

  • Blockieren : Apps, die sich an einem sicheren Speicherort im Dateisystem befinden, werden nur mit UIAccess-Integrität ausgeführt.
  • Nicht konfiguriert : Ermöglicht die Ausführung von Apps mit UIAccess-Integrität, auch wenn sich die Apps nicht an einem sicheren Speicherort im Dateisystem befinden.

• Virtualisieren von Datei- und Registrierungsschreibfehlern an benutzerspezifische Speicherorte
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

  • Aktiviert : Anwendungen, die Daten an geschützte Speicherorte schreiben, schlagen fehl.
  • Nicht konfiguriert : Fehler beim Schreiben von Anwendungen werden zur Laufzeit an definierte Benutzerspeicherorte für das Dateisystem und die Registrierung umgeleitet.

• Nur ausführbare Dateien erhöhen, die signiert und überprüft wurden
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

  • Aktiviert : Erzwingen Sie die Überprüfung des PKI-Zertifizierungspfads für eine ausführbare Datei, bevor sie ausgeführt werden kann.
  • Nicht konfiguriert : Erzwingen Sie keine Überprüfung des PKI-Zertifizierungspfads, bevor eine ausführbare Datei ausgeführt werden kann.

UIA-Rechteeingabeaufforderungsverhalten

• Aufforderung zur Erhöhung der Rechte für Administratoren
  Standard: Aufforderung zur Zustimmung für Nicht-Windows-Binärdateien
  LocalPoliciesSecurityOptions-CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

  Definieren Sie das Verhalten der Eingabeaufforderung für Rechteerweiterungen für Administratoren im Admin Genehmigungsmodus.

  • Nicht konfiguriert
  • Erhöhen ohne Aufforderung
  • Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop
  • Aufforderung zur Eingabe von Anmeldeinformationen
  • Aufforderung zur Zustimmung
  • Aufforderung zur Zustimmung für Nicht-Windows-Binärdateien

• Eingabeaufforderung für Rechteerweiterungen für Standardbenutzer
  Standard: Aufforderung zur Eingabe von Anmeldeinformationen
  LocalPoliciesSecurityOptions-CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

  Definieren Sie das Verhalten der Eingabeaufforderung für Rechteerweiterungen für Standardbenutzer.

  • Nicht konfiguriert
  • Anforderungen zur automatischen Ablehnung von Rechteerweiterungen
  • Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop
  • Aufforderung zur Eingabe von Anmeldeinformationen

• Weiterleiten von Eingabeaufforderungen zur Erhöhung an den interaktiven Desktop des Benutzers
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

  • Aktiviert : Alle Rechteerweiterungsanforderungen, um auf den Desktop des interaktiven Benutzers anstatt auf den sicheren Desktop zu wechseln. Alle Richtlinieneinstellungen für das Eingabeaufforderungsverhalten für Administratoren und Standardbenutzer werden verwendet.
  • Nicht konfiguriert : Erzwingen Sie, dass alle Anforderungen für Rechteerweiterungen an den sicheren Desktop gesendet werden, unabhängig von den Richtlinieneinstellungen für das Eingabeaufforderungsverhalten für Administratoren und Standardbenutzer.

• Aufforderung mit erhöhten Rechten für App-Installationen
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

  • Aktiviert : Anwendungsinstallationspakete werden nicht erkannt oder zur Erhöhung aufgefordert.
  • Nicht konfiguriert : Benutzer werden zur Eingabe eines Administratorbenutzernamens und -kennworts aufgefordert, wenn ein Anwendungsinstallationspaket erhöhte Berechtigungen erfordert.

• UIA-Eingabeaufforderung zur Erhöhung ohne sicheren Desktop
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

• Aktivieren : Zulassen, dass UIAccess-Apps die Rechteerweiterung auffordern, ohne den sicheren Desktop zu verwenden.

• Nicht konfiguriert : Eingabeaufforderungen zur Erhöhung verwenden einen sicheren Desktop.

Admin-Genehmigungsmodus

• Admin Genehmigungsmodus für den integrierten Administrator
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: UserAccountControl_UseAdminApprovalMode

  • Aktiviert: Ermöglicht dem integrierten Administratorkonto die Verwendung Admin Genehmigungsmodus. Jeder Vorgang, der rechteerweiterungen erfordert, fordert den Benutzer auf, den Vorgang zu genehmigen.
  • Nicht konfiguriert : Führt alle Apps mit vollständigen Administratorrechten aus.

• Ausführen aller Administratoren im Admin Genehmigungsmodus
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

  • Aktiviert: Aktivieren Sie Admin Genehmigungsmodus.
  • Nicht konfiguriert: Deaktivieren Sie Admin Genehmigungsmodus und alle zugehörigen UAC-Richtlinieneinstellungen.

Microsoft-Netzwerkclient

• Digitales Signieren von Kommunikationen (wenn der Server zustimmt)
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

  Bestimmt, ob der SMB-Client die SMB-Paketsignierung aushandelt.

  • Blockieren : Der SMB-Client handelt nie die SMB-Paketsignierung aus.
  • Nicht konfiguriert : Der Microsoft-Netzwerkclient fordert den Server auf, die SMB-Paketsignatur beim Einrichten der Sitzung auszuführen. Wenn die Paketsignatur auf dem Server aktiviert ist, wird die Paketsignierung ausgehandelt.

• Senden eines unverschlüsselten Kennworts an SMB-Server von Drittanbietern
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

  • Blockieren : Der SMB-Redirector (Server Message Block) kann Klartextkennwörter an Nicht-Microsoft-SMB-Server senden, die die Kennwortverschlüsselung während der Authentifizierung nicht unterstützen.
  • Nicht konfiguriert : Blockieren sie das Senden von Klartextkennwörtern. Die Kennwörter sind verschlüsselt.

• Digitales Signieren von Kommunikationen (immer)
  Standard: Nicht konfiguriert
  LocalPoliciesSecurityOptions-CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

  • Aktivieren : Der Microsoft-Netzwerkclient kommuniziert nicht mit einem Microsoft-Netzwerkserver, es sei denn, dieser Server stimmt der SMB-Paketsignierung zu.
  • Nicht konfiguriert : Die SMB-Paketsignierung wird zwischen Client und Server ausgehandelt.

Microsoft-Netzwerkserver

• Digitales Signieren von Kommunikationen (wenn der Kunde zustimmt)
  Standard: Nicht konfiguriert
  CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

  • Aktivieren : Der Microsoft-Netzwerkserver handelt die SMB-Paketsignierung wie vom Client angefordert aus. Das heißt, wenn die Paketsignierung auf dem Client aktiviert ist, wird die Paketsignierung ausgehandelt.
  • Nicht konfiguriert : Der SMB-Client handelt nie die SMB-Paketsignierung aus.

• Digitales Signieren von Kommunikationen (immer)
  Standard: Nicht konfiguriert
  CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

  • Aktivieren : Der Microsoft-Netzwerkserver kommuniziert nicht mit einem Microsoft-Netzwerkclient, es sei denn, dieser Client stimmt der SMB-Paketsignierung zu.
  • Nicht konfiguriert : Die SMB-Paketsignierung wird zwischen Client und Server ausgehandelt.

Xbox-Dienste

• Xbox Game Save Task
  Standard: Nicht konfiguriert
  CSP: TaskScheduler/EnableXboxGameSaveTask

  Diese Einstellung bestimmt, ob die Xbox Game Save-Aufgabe aktiviert oder deaktiviert ist.

  • Enabled
  • Nicht konfiguriert

• Xbox-Zubehörverwaltungsdienst
  Standard: Manuell
  CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupMode

  Diese Einstellung bestimmt den Starttyp des Zubehörverwaltungsdiensts.

  • Manuell
  • Automatisch
  • Disabled

• Xbox Live Auth Manager-Dienst
  Standard: Manuell
  CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupMode

  Diese Einstellung bestimmt den Starttyp des Live-Authentifizierungs-Manager-Diensts.

  • Manuell
  • Automatisch
  • Disabled

• Xbox Live-Spielspeicherdienst
  Standard: Manuell
  CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupMode

  Diese Einstellung bestimmt den Starttyp des Live Game Save Service.

  • Manuell
  • Automatisch
  • Disabled

• Xbox Live-Netzwerkdienst
  Standard: Manuell
  CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupMode

  Diese Einstellung bestimmt den Starttyp des Netzwerkdiensts.

  • Manuell
  • Automatisch
  • Disabled

Nächste Schritte

Das Profil wird erstellt, aber es tut noch nichts. Weisen Sie als Nächstes das Profil zu, und überwachen Sie dessen status.

Konfigurieren Sie Endpoint Protections-Einstellungen auf macOS-Geräten .