Freigeben über


Richtlinieneinstellungen zur Verringerung der Angriffsfläche für die Endpunktsicherheit in Intune

Zeigen Sie die Einstellungen an, die Sie in Profilen für die Richtlinie zur Verringerung der Angriffsfläche im Endpunktsicherheitsknoten von Intune als Teil einer Endpunktsicherheitsrichtlinie konfigurieren können.

Gilt für:

  • Windows 11
  • Windows 10

Unterstützte Plattformen und Profile:

  • Windows 10 und höher : Verwenden Sie diese Plattform für Richtlinien, die Sie auf Geräten bereitstellen, die mit Intune verwaltet werden.

    • Profil: App- und Browserisolation
    • Profil: Anwendungssteuerung
    • Profil: Regeln zur Verringerung der Angriffsfläche
    • Profil: Gerätesteuerung
    • Profil: Exploit-Schutz
    • Profil: Webschutz (Microsoft Edge-Vorgängerversion)
  • Windows 10 und höher (ConfigMgr):Verwenden Sie diese Plattform für Richtlinien, die Sie auf Geräten bereitstellen, die von Configuration Manager verwaltet werden.

    • Profil: Exploit Protection(ConfigMgr)(Vorschau)
    • Profil: Webschutz (ConfigMgr)(Vorschau)
  • Windows 10, Windows 11 und Windows Server: Verwenden Sie diese Plattform für Richtlinien, die Sie auf Geräten bereitstellen, die über die Sicherheitsverwaltung für Microsoft Defender für Endpunkt verwaltet werden.

    • Profil: Regeln zur Verringerung der Angriffsfläche

Verringerung der Angriffsfläche (MDM)

Profil der App- und Browserisolation

Hinweis

In diesem Abschnitt werden die Einstellungen in App- und Browserisolationsprofilen beschrieben, die vor dem 18. April 2023 erstellt wurden. Profile, die nach diesem Datum erstellt wurden, verwenden ein neues Einstellungsformat wie im Einstellungskatalog. Mit dieser Änderung können Sie keine neuen Versionen des alten Profils mehr erstellen und diese werden nicht mehr entwickelt. Obwohl Sie keine neuen Instanzen des älteren Profils mehr erstellen können, können Sie weiterhin Instanzen davon bearbeiten und verwenden, die Sie zuvor erstellt haben.

Für Profile, die das neue Einstellungsformat verwenden, verwaltet Intune keine Liste der einzelnen Einstellungen mehr anhand des Namens. Stattdessen werden der Name jeder Einstellung, ihre Konfigurationsoptionen und ihr erläuternder Text, der im Microsoft Intune Admin Center angezeigt wird, direkt aus den autoritativen Inhalten der Einstellungen übernommen. Dieser Inhalt kann weitere Informationen zur Verwendung der Einstellung im richtigen Kontext bereitstellen. Wenn Sie einen Einstellungsinformationstext anzeigen, können Sie den zugehörigen Link Weitere Informationen verwenden, um diesen Inhalt zu öffnen.

App- und Browserisolation

  • Aktivieren von Application Guard
    CSP: AllowWindowsDefenderApplicationGuard

    • Nicht konfiguriert (Standardeinstellung): Microsoft Defender Application Guard ist nicht für Microsoft Edge- oder isolierte Windows-Umgebungen konfiguriert.
    • Aktiviert für Edge : Application Guard öffnet nicht genehmigte Websites in einem virtualisierten Hyper-V-Browsercontainer.
    • Aktiviert für isolierte Windows-Umgebungen : Application Guard ist für alle Anwendungen aktiviert, die für App Guard in Windows aktiviert sind.
    • Aktiviert für Edge- UND isolierte Windows-Umgebungen : Application Guard ist für beide Szenarien konfiguriert.

    Hinweis

    Wenn Sie Application Guard für Microsoft Edge über Intune bereitstellen, muss die Windows-Netzwerkisolationsrichtlinie als Voraussetzung konfiguriert werden. Die Netzwerkisolation kann über verschiedene Profile konfiguriert werden, einschließlich app- und broswer-Isolation unter der Windows-Netzwerkisolationseinstellung .

    Wenn für Edge aktiviert oder Aktiviert für Edge UND isolierte Windows-Umgebungen festgelegt ist, sind die folgenden Einstellungen verfügbar, die für Edge gelten:

    • Verhalten der Zwischenablage
      CSP: ClipboardSettings

      Wählen Sie aus, welche Kopier- und Einfügeaktionen auf dem lokalen PC und einem virtuellen Application Guard-Browser zulässig sind.

      • Nicht konfiguriert (Standard)
      • Kopieren und Einfügen zwischen PC und Browser blockieren
      • Kopieren und Einfügen nur vom Browser auf den PC zulassen
      • Kopieren und Einfügen nur vom PC in den Browser zulassen
      • Kopieren und Einfügen zwischen PC und Browser zulassen
    • Blockieren externer Inhalte von nicht vom Unternehmen genehmigten Websites
      CSP: BlockNonEnterpriseContent

      • Nicht konfiguriert (Standard)
      • Ja : Das Laden von Inhalten von nicht genehmigten Websites wird blockiert.
    • Sammeln von Protokollen für Ereignisse, die innerhalb einer Application Guard-Browsersitzung auftreten
      CSP: AuditApplicationGuard

      • Nicht konfiguriert (Standard)
      • Ja : Sammeln Sie Protokolle für Ereignisse, die innerhalb einer virtuellen Application Guard-Browsersitzung auftreten.
    • Speichern von vom Benutzer generierten Browserdaten zulassen
      CSP: AllowPersistence

      • Nicht konfiguriert (Standard)
      • Ja : Benutzerdaten, die während einer virtuellen Application Guard-Browsersitzung erstellt werden, können gespeichert werden. Beispiele für Benutzerdaten sind Kennwörter, Favoriten und Cookies.
    • Aktivieren der Hardwaregrafikbeschleunigung
      CSP: AllowVirtualGPU

      • Nicht konfiguriert (Standard)
      • Ja : Verwenden Sie innerhalb der virtuellen Application Guard-Browsersitzung eine virtuelle Grafikverarbeitungseinheit, um grafikintensive Websites schneller zu laden.
    • Benutzern das Herunterladen von Dateien auf den Host erlauben
      CSP: SaveFilesToHost

      • Nicht konfiguriert (Standard)
      • Ja : Ermöglicht Benutzern das Herunterladen von Dateien aus dem virtualisierten Browser auf das Hostbetriebssystem.
    • Application Guard lässt den Kamera- und Mikrofonzugriff zu
      CSP: AllowCameraMicrophoneRedirection

      • Nicht konfiguriert (Standard): Anwendungen in Microsoft Defender Application Guard können nicht auf die Kamera und das Mikrofon auf dem Gerät des Benutzers zugreifen.
      • Ja : Anwendungen in Microsoft Defender Application Guard können auf die Kamera und das Mikrofon auf dem Gerät des Benutzers zugreifen.
      • Nein – Anwendungen in Microsoft Defender Application Guard können nicht auf die Kamera und das Mikrofon auf dem Gerät des Benutzers zugreifen. Dies ist das gleiche Verhalten wie Nicht konfiguriert.
  • Application Guard ermöglicht das Drucken auf lokalen Druckern

    • Nicht konfiguriert (Standard)
    • Ja : Druck auf lokalen Druckern zulassen.
  • Application Guard ermöglicht das Drucken auf Netzwerkdruckern

    • Nicht konfiguriert (Standard)
    • Ja : Drucken auf Netzwerkdruckern zulassen.
  • Application Guard ermöglicht das Drucken als PDF

    • Nicht konfiguriert (Standard)
    • Ja: Drucken als PDF zulassen.
  • Application Guard lässt drucken in XPS zu

    • Nicht konfiguriert (Standard)
    • Ja – Lassen Sie das Drucken in XPS zu.
  • Application Guard erlaubt die Verwendung von Stammzertifizierungsstellen vom Gerät des Benutzers aus.
    CSP: CertificateThumbprints

    Konfigurieren Sie Zertifikatfingerabdrücke, um das übereinstimmende Stammzertifikat automatisch in den Microsoft Defender Application Guard-Container zu übertragen.

    Um Fingerabdrücke einzeln hinzuzufügen, wählen Sie Hinzufügen aus. Sie können import verwenden, um eine .CSV Datei anzugeben, die mehrere Fingerabdruckeinträge enthält, die alle gleichzeitig dem Profil hinzugefügt werden. Wenn Sie eine .CSV-Datei verwenden, muss jeder Fingerabdruck durch ein Komma getrennt werden. Beispiel: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

    Alle Einträge, die im Profil aufgeführt sind, sind aktiv. Sie müssen kein Kontrollkästchen für einen Fingerabdruckeintrag aktivieren, um ihn zu aktivieren. Verwenden Sie stattdessen die Kontrollkästchen, um die Einträge zu verwalten, die dem Profil hinzugefügt wurden. Sie können z. B. das Kontrollkästchen eines oder mehrerer Zertifikatfingerabdruckeinträge aktivieren und diese Einträge dann mit einer einzigen Aktion aus dem Profil löschen .

  • Windows-Richtlinie für Netzwerkisolierung

    • Nicht konfiguriert (Standard)
    • Ja : Konfigurieren Sie die Windows-Netzwerkisolationsrichtlinie.

    Wenn diese Einstellung auf Ja festgelegt ist, können Sie die folgenden Einstellungen konfigurieren:

    • IP-Adressbereiche
      Erweitern Sie die Dropdownliste, wählen Sie Hinzufügen aus, und geben Sie dann eine niedrigere Adresse und dann eine obere Adresse an.

    • Cloudressourcen
      Erweitern Sie die Dropdownliste, wählen Sie Hinzufügen aus, und geben Sie dann eine IP-Adresse oder einen FQDN und einen Proxy an.

    • Netzwerkdomänen
      Erweitern Sie die Dropdownliste, wählen Sie Hinzufügen aus, und geben Sie dann Netzwerkdomänen an.

    • Proxyserver
      Erweitern Sie die Dropdownliste, wählen Sie Hinzufügen aus, und geben Sie dann Proxyserver an.

    • Interne Proxyserver
      Erweitern Sie die Dropdownliste, wählen Sie Hinzufügen aus, und geben Sie dann Interne Proxyserver an.

    • Neutrale Ressourcen
      Erweitern Sie die Dropdownliste, wählen Sie Hinzufügen aus, und geben Sie dann Neutrale Ressourcen an.

    • Deaktivieren der automatischen Erkennung anderer Unternehmensproxyserver

      • Nicht konfiguriert (Standard)
      • Ja : Deaktivieren Sie die automatische Erkennung anderer Unternehmensproxyserver.
    • Deaktivieren der automatischen Erkennung anderer Unternehmens-IP-Adressbereiche

      • Nicht konfiguriert (Standard)
      • Ja : Deaktivieren Sie die automatische Erkennung anderer IP-Adressbereiche des Unternehmens.

    Hinweis

    Nachdem das Profil erstellt wurde, ist Microsoft Defender Application Guard für alle Geräte aktiviert, auf die die Richtlinie angewendet werden soll. Benutzer müssen möglicherweise ihre Geräte neu starten, damit der Schutz vorhanden ist.

Anwendungssteuerungsprofil

Microsoft Defender-Anwendungssteuerung

  • Anwendungssteuerung für App-Schließfach
    CSP: AppLocker

    • Nicht konfiguriert (Standard)
    • Erzwingen von Komponenten und Store-Apps
    • Überwachungskomponenten und Store-Apps
    • Erzwingen von Komponenten, Store-Apps und Smartlocker
    • Überwachungskomponenten, Store-Apps und SmartLocker
  • Blockieren, dass Benutzer SmartScreen-Warnungen ignorieren
    CSP: SmartScreen/PreventOverrideForFilesInShell

    • Nicht konfiguriert (Standard): Benutzer können SmartScreen-Warnungen für Dateien und schädliche Apps ignorieren.
    • Ja : SmartScreen ist aktiviert, und Benutzer können Warnungen für Dateien oder schädliche Apps nicht umgehen.
  • Aktivieren von Windows SmartScreen
    CSP: SmartScreen/EnableSmartScreenInShell

    • Nicht konfiguriert (Standardeinstellung): Setzen Sie die Einstellung auf windows default zurück, d. h. smartScreen zu aktivieren, aber Benutzer können diese Einstellung ändern. Verwenden Sie einen benutzerdefinierten URI, um SmartScreen zu deaktivieren.
    • Ja : Erzwingen Sie die Verwendung von SmartScreen für alle Benutzer.

Profil für Regeln zur Verringerung der Angriffsfläche

Regeln zur Verringerung der Angriffsfläche

Weitere Informationen zu Regeln zur Verringerung der Angriffsfläche finden Sie in der Referenz zu Regeln zur Verringerung der Angriffsfläche in der Microsoft 365-Dokumentation.

Hinweis

In diesem Abschnitt werden die Einstellungen in Profilen zur Verringerung der Angriffsfläche beschrieben, die vor dem 5. April 2022 erstellt wurden. Profile, die nach diesem Datum erstellt wurden, verwenden ein neues Einstellungsformat wie im Einstellungskatalog. Mit dieser Änderung können Sie keine neuen Versionen des alten Profils mehr erstellen und diese werden nicht mehr entwickelt. Obwohl Sie keine neuen Instanzen des älteren Profils mehr erstellen können, können Sie weiterhin Instanzen davon bearbeiten und verwenden, die Sie zuvor erstellt haben.

Für Profile, die das neue Einstellungsformat verwenden, verwaltet Intune keine Liste der einzelnen Einstellungen mehr anhand des Namens. Stattdessen werden der Name jeder Einstellung, ihre Konfigurationsoptionen und ihr erläuternder Text, der im Microsoft Intune Admin Center angezeigt wird, direkt aus den autoritativen Inhalten der Einstellungen übernommen. Dieser Inhalt kann weitere Informationen zur Verwendung der Einstellung im richtigen Kontext bereitstellen. Wenn Sie einen Einstellungsinformationstext anzeigen, können Sie den zugehörigen Link Weitere Informationen verwenden, um diesen Inhalt zu öffnen.

  • Persistenz durch WMI-Ereignisabonnement blockieren
    Reduzieren von Angriffsflächen mit Regeln zur Verringerung der Angriffsfläche

    Diese Regel zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) wird über die folgende GUID gesteuert: e6db77e5-3df2-4cf1-b95a-636979351e5b

    Diese Regel verhindert, dass Schadsoftware WMI missbraucht, um Persistenz auf einem Gerät zu erhalten. Dateilose Bedrohungen verwenden verschiedene Taktiken, um versteckt zu bleiben und somit zu vermeiden, im Dateisystem sichtbar zu sein, und um regelmäßige Ausführungskontrolle zu erhalten. Einige Bedrohungen können das WMI-Repository und das Ereignismodell missbrauchen, um versteckt zu bleiben.

    • Nicht konfiguriert (Standardeinstellung): Die Einstellung wird auf den Windows-Standardwert zurückgesetzt, der deaktiviert ist und die Persistenz nicht blockiert wird.
    • Blockieren: Persistenz über WMI ist blockiert.
    • Überwachen: Bewerten, wie sich diese Regel auf Ihre Organisation auswirkt, wenn sie aktiviert ist (auf "Blockieren" festlegen).
    • Deaktivieren: Diese Regel deaktivieren. Die Persistenz wird nicht blockiert.

    Weitere Informationen zu dieser Einstellung finden Sie unter Blockieren der Persistenz über ein WMI-Ereignisabonnement.

  • Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren
    Schützen von Geräten vor Exploits

    Diese Regel zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) wird über die folgende GUID gesteuert: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Windows-Standardwert zurückgesetzt, der deaktiviert ist.
    • Benutzerdefiniert
    • Aktivieren : Versuche, Anmeldeinformationen über lsass.exe zu stehlen, werden blockiert.
    • Überwachungsmodus : Benutzer werden nicht für gefährliche Domänen blockiert, und stattdessen werden Windows-Ereignisse ausgelöst.
    • Warnung : Bei Windows 10 Version 1809 oder höher und Windows 11 erhält der Gerätebenutzer eine Meldung, dass er block der Einstellung umgehen kann. Auf Geräten, auf denen frühere Versionen von Windows 10 ausgeführt werden, erzwingt die Regel das Verhalten Aktivieren .
  • Adobe Reader am Erstellen von untergeordneten Prozessen hindern
    Reduzieren von Angriffsflächen mit Regeln zur Verringerung der Angriffsfläche

    Diese ASR-Regel wird über die folgende GUID gesteuert: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

    • Nicht konfiguriert (Standard): Die Windows-Standardeinstellung wird wiederhergestellt, besteht darin, die Erstellung untergeordneter Prozesse nicht zu blockieren.
    • Benutzerdefiniert
    • Aktivieren : Adobe Reader kann keine untergeordneten Prozesse erstellen.
    • Überwachungsmodus : Windows-Ereignisse werden ausgelöst, anstatt untergeordnete Prozesse zu blockieren.
    • Warnung : Bei Windows 10 Version 1809 oder höher und Windows 11 erhält der Gerätebenutzer eine Meldung, dass er block der Einstellung umgehen kann. Auf Geräten, auf denen frühere Versionen von Windows 10 ausgeführt werden, erzwingt die Regel das Verhalten Aktivieren .
  • Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern
    Schützen von Geräten vor Exploits

    Diese ASR-Regel wird über die folgende GUID gesteuert: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Windows-Standardwert zurückgesetzt, der deaktiviert ist.
    • Blockieren : Office-Anwendungen werden daran gehindert, Code in andere Prozesse einzufügen.
    • Überwachungsmodus : Windows-Ereignisse werden ausgelöst, anstatt zu blockieren.
    • Warnung : Bei Windows 10 Version 1809 oder höher und Windows 11 erhält der Gerätebenutzer eine Meldung, dass er block der Einstellung umgehen kann. Auf Geräten, auf denen frühere Versionen von Windows 10 ausgeführt werden, erzwingt die Regel das Verhalten Aktivieren .
    • Deaktivieren : Diese Einstellung ist deaktiviert.
  • Office-Anwendungen am Erstellen ausführbarer Inhalte hindern
    Schützen von Geräten vor Exploits

    Diese ASR-Regel wird über die folgende GUID gesteuert: 3B576869-A4EC-4529-8536-B80A7769E899

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Windows-Standardwert zurückgesetzt, der deaktiviert ist.
    • Blockieren : Office-Anwendungen können keine ausführbaren Inhalte erstellen.
    • Überwachungsmodus : Windows-Ereignisse werden ausgelöst, anstatt zu blockieren.
    • Warnung : Bei Windows 10 Version 1809 oder höher und Windows 11 erhält der Gerätebenutzer eine Meldung, dass er block der Einstellung umgehen kann. Auf Geräten, auf denen frühere Versionen von Windows 10 ausgeführt werden, erzwingt die Regel das Verhalten Aktivieren .
    • Deaktivieren : Diese Einstellung ist deaktiviert.
  • Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern
    Schützen von Geräten vor Exploits

    Diese ASR-Regel wird über die folgende GUID gesteuert: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Windows-Standardwert zurückgesetzt, der deaktiviert ist.
    • Blockieren : Office-Anwendungen können keine untergeordneten Prozesse erstellen.
    • Überwachungsmodus : Windows-Ereignisse werden ausgelöst, anstatt zu blockieren.
    • Warnung : Bei Windows 10 Version 1809 oder höher und Windows 11 erhält der Gerätebenutzer eine Meldung, dass er block der Einstellung umgehen kann. Auf Geräten, auf denen frühere Versionen von Windows 10 ausgeführt werden, erzwingt die Regel das Verhalten Aktivieren .
    • Deaktivieren : Diese Einstellung ist deaktiviert.
  • Win32-API-Aufrufe von Office-Makro blockieren
    Schützen von Geräten vor Exploits

    Diese ASR-Regel wird über die folgende GUID gesteuert: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Windows-Standardwert zurückgesetzt, der deaktiviert ist.
    • Blockieren : Die Verwendung von Win32-API-Aufrufen von Office-Makros wird blockiert.
    • Überwachungsmodus : Windows-Ereignisse werden ausgelöst, anstatt zu blockieren.
    • Warnung : Bei Windows 10 Version 1809 oder höher und Windows 11 erhält der Gerätebenutzer eine Meldung, dass er block der Einstellung umgehen kann. Auf Geräten, auf denen frühere Versionen von Windows 10 ausgeführt werden, erzwingt die Regel das Verhalten Aktivieren .
    • Deaktivieren : Diese Einstellung ist deaktiviert.
  • Blockieren der Erstellung untergeordneter Prozesse durch Office-Kommunikations-Apps
    Schützen von Geräten vor Exploits

    Diese ASR-Regel wird über die folgende GUID gesteuert: 26190899-1602-49e8-8b27-eb1d0a1ce869.

    • Nicht konfiguriert (Standard): Die Windows-Standardeinstellung wird wiederhergestellt, d. h. die Erstellung untergeordneter Prozesse wird nicht blockiert.
    • Benutzerdefiniert
    • Aktivieren : Office-Kommunikationsanwendungen können keine untergeordneten Prozesse erstellen.
    • Überwachungsmodus : Windows-Ereignisse werden ausgelöst, anstatt untergeordnete Prozesse zu blockieren.
    • Warnung : Bei Windows 10 Version 1809 oder höher und Windows 11 erhält der Gerätebenutzer eine Meldung, dass er block der Einstellung umgehen kann. Auf Geräten, auf denen frühere Versionen von Windows 10 ausgeführt werden, erzwingt die Regel das Verhalten Aktivieren .
  • Blockieren der Ausführung potenziell verschleierter Skripts (js/vbs/ps)
    Schützen von Geräten vor Exploits

    Diese ASR-Regel wird über die folgende GUID gesteuert: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Windows-Standardwert zurückgesetzt, der deaktiviert ist.
    • Blockieren : Defender blockiert die Ausführung von verschleierten Skripts.
    • Überwachungsmodus : Windows-Ereignisse werden ausgelöst, anstatt zu blockieren.
    • Warnung : Bei Windows 10 Version 1809 oder höher und Windows 11 erhält der Gerätebenutzer eine Meldung, dass er block der Einstellung umgehen kann. Auf Geräten, auf denen frühere Versionen von Windows 10 ausgeführt werden, erzwingt die Regel das Verhalten Aktivieren .
    • Deaktivieren : Diese Einstellung ist deaktiviert.
  • JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern
    Schützen von Geräten vor Exploits

    Diese ASR-Regel wird über die folgende GUID gesteuert: D3E037E1-3EB8-44C8-A917-57927947596D

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Windows-Standardwert zurückgesetzt, der deaktiviert ist.
    • Blockieren : Defender blockiert die Ausführung von JavaScript- oder VBScript-Dateien, die aus dem Internet heruntergeladen wurden.
    • Überwachungsmodus : Windows-Ereignisse werden ausgelöst, anstatt zu blockieren.
    • Deaktivieren : Diese Einstellung ist deaktiviert.
  • Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren
    Schützen von Geräten vor Exploits

    Diese ASR-Regel wird über die folgende GUID gesteuert: d1e49aac-8f56-4280-b9ba-993a6d77406c

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Windows-Standardwert zurückgesetzt, der deaktiviert ist.
    • Blockieren : Die Prozesserstellung durch PSExec- oder WMI-Befehle wird blockiert.
    • Überwachungsmodus : Windows-Ereignisse werden ausgelöst, anstatt zu blockieren.
    • Warnung : Bei Windows 10 Version 1809 oder höher und Windows 11 erhält der Gerätebenutzer eine Meldung, dass er block der Einstellung umgehen kann. Auf Geräten, auf denen frühere Versionen von Windows 10 ausgeführt werden, erzwingt die Regel das Verhalten Aktivieren .
    • Deaktivieren : Diese Einstellung ist deaktiviert.
  • Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren
    Schützen von Geräten vor Exploits

    Diese ASR-Regel wird über die folgende GUID gesteuert: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Windows-Standardwert zurückgesetzt, der deaktiviert ist.
    • Blockieren : Nicht vertrauenswürdige und nicht signierte Prozesse, die von einem USB-Laufwerk ausgeführt werden, werden blockiert.
    • Überwachungsmodus : Windows-Ereignisse werden ausgelöst, anstatt zu blockieren.
    • Warnung : Bei Windows 10 Version 1809 oder höher und Windows 11 erhält der Gerätebenutzer eine Meldung, dass er block der Einstellung umgehen kann. Auf Geräten, auf denen frühere Versionen von Windows 10 ausgeführt werden, erzwingt die Regel das Verhalten Aktivieren .
    • Deaktivieren : Diese Einstellung ist deaktiviert.
  • Ausführung ausführbarer Dateien blockieren, es sei denn, sie erfüllen prävalenz-, alters- oder vertrauenswürdige Listenkriterien
    Schützen von Geräten vor Exploits

    Diese ASR-Regel wird über die folgende GUID gesteuert: 01443614-cd74-433a-b99e-2ecdc07bfc25e

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Windows-Standardwert zurückgesetzt, der deaktiviert ist.
    • Blockieren
    • Überwachungsmodus : Windows-Ereignisse werden ausgelöst, anstatt zu blockieren.
    • Warnung : Bei Windows 10 Version 1809 oder höher und Windows 11 erhält der Gerätebenutzer eine Meldung, dass er block der Einstellung umgehen kann. Auf Geräten, auf denen frühere Versionen von Windows 10 ausgeführt werden, erzwingt die Regel das Verhalten Aktivieren .
    • Deaktivieren : Diese Einstellung ist deaktiviert.
  • Herunterladen ausführbarer Inhalte von E-Mail- und Webmailclients blockieren
    Schützen von Geräten vor Exploits

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Windows-Standardwert zurückgesetzt, der deaktiviert ist.
    • Blockieren : Ausführbare Inhalte, die von E-Mail- und Webmailclients heruntergeladen wurden, werden blockiert.
    • Überwachungsmodus : Windows-Ereignisse werden ausgelöst, anstatt zu blockieren.
    • Warnung : Bei Windows 10 Version 1809 oder höher und Windows 11 erhält der Gerätebenutzer eine Meldung, dass er block der Einstellung umgehen kann. Auf Geräten, auf denen frühere Versionen von Windows 10 ausgeführt werden, erzwingt die Regel das Verhalten Aktivieren .
    • Deaktivieren : Diese Einstellung ist deaktiviert.
  • Verwenden des erweiterten Schutzes vor Ransomware
    Schützen von Geräten vor Exploits

    Diese ASR-Regel wird über die folgende GUID gesteuert: c1db55ab-c21a-4637-bb3f-a12568109d35

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Windows-Standardwert zurückgesetzt, der deaktiviert ist.
    • Benutzerdefiniert
    • Enable
    • Überwachungsmodus : – Windows-Ereignisse werden ausgelöst, anstatt zu blockieren.
  • Ordnerschutz aktivieren
    CSP: EnableControlledFolderAccess

    • Nicht konfiguriert (Standard): Diese Einstellung wird auf ihren Standardwert zurückgesetzt, der heißt, dass keine Lese- oder Schreibvorgänge blockiert werden.
    • Aktivieren : Bei nicht vertrauenswürdigen Apps blockiert Defender Versuche, Dateien in geschützten Ordnern zu ändern oder zu löschen oder auf Datenträgersektoren zu schreiben. Defender bestimmt automatisch, welche Anwendungen vertrauenswürdig sind. Alternativ können Sie eine eigene Liste vertrauenswürdiger Anwendungen definieren.
    • Überwachungsmodus : Windows-Ereignisse werden ausgelöst, wenn nicht vertrauenswürdige Anwendungen auf kontrollierte Ordner zugreifen, aber keine Blöcke erzwungen werden.
    • Änderung von Datenträgern blockieren : Nur Versuche, auf Datenträgersektoren zu schreiben, werden blockiert.
    • Datenträgeränderung überwachen : Windows-Ereignisse werden ausgelöst, anstatt Versuche zu blockieren, in Datenträgersektoren zu schreiben.
  • Liste der zusätzlichen Ordner, die geschützt werden müssen
    CSP: ControlledFolderAccessProtectedFolders

    Definieren Sie eine Liste von Datenträgerspeicherorten, die vor nicht vertrauenswürdigen Anwendungen geschützt werden.

  • Liste der Apps, die Zugriff auf geschützte Ordner haben
    CSP: ControlledFolderAccessAllowedApplications

    Definieren Sie eine Liste von Apps, die Zugriff auf Lese-/Schreibzugriff auf kontrollierte Speicherorte haben.

  • Ausschließen von Dateien und Pfaden von Regeln zur Verringerung der Angriffsfläche
    CSP: AttackSurfaceReductionOnlyExclusions

    Erweitern Sie die Dropdownliste, und wählen Sie dann Hinzufügen aus, um einen Pfad zu einer Datei oder einem Ordner zu definieren, die von den Regeln zur Verringerung der Angriffsfläche ausgeschlossen werden soll.

Gerätesteuerungsprofil

Gerätesteuerung

Hinweis

In diesem Abschnitt werden die Einstellungen unter Gerätesteuerungsprofile beschrieben, die vor dem 23. Mai 2022 erstellt wurden. Profile, die nach diesem Datum erstellt wurden, verwenden ein neues Einstellungsformat wie im Einstellungskatalog. Obwohl Sie keine neuen Instanzen des ursprünglichen Profils mehr erstellen können, können Sie Ihre vorhandenen Profile weiterhin bearbeiten und verwenden.

Für Profile, die das neue Einstellungsformat verwenden, verwaltet Intune keine Liste der einzelnen Einstellungen mehr anhand des Namens. Stattdessen werden der Name jeder Einstellung, ihre Konfigurationsoptionen und ihr erläuternder Text, der im Microsoft Intune Admin Center angezeigt wird, direkt aus den autoritativen Inhalten der Einstellungen übernommen. Dieser Inhalt kann weitere Informationen zur Verwendung der Einstellung im richtigen Kontext bereitstellen. Wenn Sie einen Einstellungsinformationstext anzeigen, können Sie den zugehörigen Link Weitere Informationen verwenden, um diesen Inhalt zu öffnen.

  • Installation von Hardwaregeräten nach Gerätebezeichnern zulassen

    • Nicht konfiguriert(Standard)
    • Ja : Windows kann jedes Gerät installieren oder aktualisieren, dessen Plug and Play-Hardware-ID oder kompatible ID in der von Ihnen erstellten Liste angezeigt wird, es sei denn, eine andere Richtlinieneinstellung verhindert diese Installation ausdrücklich. Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient zum Remotedesktopserver aus.
    • Nein

    Wenn sie auf Ja festgelegt ist, können Sie die folgenden Optionen konfigurieren:

    • Zulassungsliste : Verwenden Sie Hinzufügen, Importieren und Exportieren , um eine Liste von Gerätebezeichnern zu verwalten.
  • Blockieren der Hardwaregeräteinstallation nach Gerätebezeichnern
    CSP: AllowInstallationOfMatchingDeviceIDs

    • Nicht konfiguriert(Standard)
    • Ja : Geben Sie eine Liste der Plug-and-Play-Hardware-IDs und kompatiblen IDs für Geräte an, an denen Windows nicht installiert werden kann. Diese Richtlinie hat Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Windows ein Gerät installieren kann. Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient zum Remotedesktopserver aus.
    • Nein

    Wenn sie auf Ja festgelegt ist, können Sie die folgenden Optionen konfigurieren:

    • Entfernen passender Hardwaregeräte

      • Ja
      • Nicht konfiguriert(Standard)
    • Sperrliste : Verwenden Sie Hinzufügen, Importieren und Exportieren , um eine Liste von Gerätebezeichnern zu verwalten.

  • Installation von Hardwaregeräten nach Setupklasse zulassen

    • Nicht konfiguriert(Standard)
    • Ja : Windows kann Gerätetreiber installieren oder aktualisieren, deren GERÄTESETUP-KLASSEN-GUIDs in der von Ihnen erstellten Liste angezeigt werden, es sei denn, eine andere Richtlinieneinstellung verhindert diese Installation. Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient zum Remotedesktopserver aus.
    • Nein

    Wenn sie auf Ja festgelegt ist, können Sie die folgenden Optionen konfigurieren:

    • Zulassungsliste : Verwenden Sie Hinzufügen, Importieren und Exportieren , um eine Liste von Gerätebezeichnern zu verwalten.
  • Blockieren der Hardwaregeräteinstallation nach Setupklassen
    CSP: AllowInstallationOfMatchingDeviceSetupClasses

    • Nicht konfiguriert(Standard)
    • Ja : Geben Sie eine Liste der GUIDs (Globally Unique Identifier) der Gerätesetupklasse für Gerätetreiber an, die von Windows nicht installiert werden können. Diese Richtlinieneinstellung hat Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Windows ein Gerät installieren kann. Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient zum Remotedesktopserver aus.
    • Nein

    Wenn sie auf Ja festgelegt ist, können Sie die folgenden Optionen konfigurieren:

    • Entfernen passender Hardwaregeräte

      • Ja
      • Nicht konfiguriert(Standard)
    • Sperrliste : Verwenden Sie Hinzufügen, Importieren und Exportieren , um eine Liste von Gerätebezeichnern zu verwalten.

  • Hardwaregeräteinstallation nach Geräteinstanzbezeichnern zulassen

    • Nicht konfiguriert(Standard)
    • Ja : Windows darf jedes Gerät installieren oder aktualisieren, dessen Plug-and-Play-Geräteinstanz-ID in der von Ihnen erstellten Liste angezeigt wird, es sei denn, eine andere Richtlinieneinstellung verhindert diese Installation. Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient zum Remotedesktopserver aus.
    • Nein

    Wenn sie auf Ja festgelegt ist, können Sie die folgenden Optionen konfigurieren:

    • Zulassungsliste : Verwenden Sie Hinzufügen, Importieren und Exportieren , um eine Liste von Gerätebezeichnern zu verwalten.
  • Blockieren der Hardwaregeräteinstallation nach Geräteinstanzbezeichnern
    Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient zum Remotedesktopserver aus.

    • Nicht konfiguriert(Standard)
    • Ja : Geben Sie eine Liste der Plug-and-Play-Hardware-IDs und kompatiblen IDs für Geräte an, an denen Windows nicht installiert werden kann. Diese Richtlinie hat Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Windows ein Gerät installieren kann. Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient zum Remotedesktopserver aus.
    • Nein

    Wenn sie auf Ja festgelegt ist, können Sie die folgenden Optionen konfigurieren:

    • Entfernen passender Hardwaregeräte

      • Ja
      • Nicht konfiguriert(Standard)
    • Sperrliste : Verwenden Sie Hinzufügen, Importieren und Exportieren , um eine Liste von Gerätebezeichnern zu verwalten.

  • Blockieren des Schreibzugriffs auf Wechseldatenträger
    CSP: RemovableDiskDenyWriteAccess

    • Nicht konfiguriert(Standard)
    • Ja : Der Schreibzugriff auf Wechseldatenträger wird verweigert.
    • Nein – Schreibzugriff ist zulässig.
  • Überprüfen von Wechseldatenträgern während der vollständigen Überprüfung
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der Wechseldatenträger überprüft, der Benutzer kann diese Überprüfung jedoch deaktivieren.
    • Ja : Während einer vollständigen Überprüfung werden Wechseldatenträger (z. B. USB-Speichersticks) gescannt.
  • Blockieren des direkten Speicherzugriffs
    CSP: DataProtection/AllowDirectMemoryAccess

    Diese Richtlinieneinstellung wird nur erzwungen, wenn BitLocker oder die Geräteverschlüsselung aktiviert ist.

    • Nicht konfiguriert (Standard)
    • Ja : Blockieren Sie den direkten Speicherzugriff (DMA) für alle hot-plug-fähigen PCI-Downstreamports, bis sich ein Benutzer bei Windows anmeldet. Nachdem sich ein Benutzer angemeldet hat, listet Windows die PCI-Geräte auf, die mit den PCI-Anschlüssen des Hoststeckers verbunden sind. Jedes Mal, wenn der Benutzer den Computer sperrt, wird DMA an Hot-Plug-PCI-Ports ohne untergeordnete Geräte blockiert, bis sich der Benutzer erneut anmeldet. Geräte, die bereits aufgezählt wurden, als der Computer entsperrt wurde, funktionieren weiterhin, bis das Netz getrennt wird.
  • Aufzählung externer Geräte, die mit kernel-DMA-Schutz nicht kompatibel sind
    CSP: DmaGuard/DeviceEnumerationPolicy

    Diese Richtlinie kann zusätzliche Sicherheit für externe DMA-fähige Geräte bieten. Es ermöglicht mehr Kontrolle über die Enumeration externer DMA-fähiger Geräte, die nicht mit DMA-Remapping/Gerätespeicherisolation und Sandboxing kompatibel sind.

    Diese Richtlinie wird nur wirksam, wenn der Kernel-DMA-Schutz von der Systemfirmware unterstützt und aktiviert wird. Kernel-DMA-Schutz ist ein Plattformfeature, das zum Zeitpunkt der Herstellung vom System unterstützt werden muss. Um zu überprüfen, ob das System Kernel-DMA-Schutz unterstützt, überprüfen Sie das Feld Kernel-DMA-Schutz auf der Seite Zusammenfassung von MSINFO32.exe.

    • Nicht konfiguriert – (Standard)
    • Alle blockieren
    • Alle zulassen
  • Bluetooth-Verbindungen blockieren
    CSP: Bluetooth/AllowDiscoverableMode

    • Nicht konfiguriert (Standard)
    • Ja : Bluetooth-Verbindungen zum und vom Gerät blockieren.
  • Bluetooth-Auffindbarkeit blockieren
    CSP: Bluetooth/AllowDiscoverableMode

    • Nicht konfiguriert (Standard)
    • Ja : Verhindert, dass das Gerät von anderen Bluetooth-fähigen Geräten erkannt werden kann.
  • Bluetooth-Vorkopplung blockieren
    CSP: Bluetooth/AllowPrepairing

    • Nicht konfiguriert (Standard)
    • Ja : Verhindert, dass bestimmte Bluetooth-Geräte automatisch mit dem Hostgerät gekoppelt werden.
  • Bluetooth-Werbung blockieren
    CSP: Bluetooth/AllowAdvertising

    • Nicht konfiguriert (Standard)
    • Ja : Verhindert, dass das Gerät Bluetooth-Werbung sendet.
  • Blockieren von proximalen Bluetooth-Verbindungen
    CSP: Bluetooth/AllowPromptedProximalConnections Blockieren der Verwendung von Swift Pair und anderen näherungsbasierten Szenarien durch Benutzer

    • Nicht konfiguriert (Standard)
    • Ja : Verhindert, dass ein Gerätebenutzer Swift Pair und andere näherungsbasierte Szenarien verwendet.

    Bluetooth/AllowPromptedProximalConnections-CSP

  • Zulässige Bluetooth-Dienste
    CSP: Bluetooth/ServicesAllowedList.
    Weitere Informationen zur Dienstliste finden Sie im Leitfaden zur Verwendung von ServicesAllowedList.

    • Hinzufügen : Geben Sie zulässige Bluetooth-Dienste und -Profile als hexadezimale Zeichenfolgen an, z {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}. B. .
    • Importieren : Importieren Sie eine .csv-Datei, die eine Liste von Bluetooth-Diensten und -Profilen als hexadezimale Zeichenfolgen enthält, z. B. {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}
  • Wechselmedien
    CSP: Storage/RemovableDiskDenyWriteAccess

    • Blockieren (Standard): Verhindert, dass Benutzer externe Speichergeräte wie SD-Karten mit dem Gerät verwenden.
    • Nicht konfiguriert
  • USB-Verbindungen (nur HoloLens)
    CSP: Konnektivität/AllowUSBConnection

    • Blockieren : Verhindert die Verwendung einer USB-Verbindung zwischen dem Gerät und einem Computer zum Synchronisieren von Dateien oder zum Verwenden von Entwicklertools zum Bereitstellen oder Debuggen von Anwendungen. Usb-Ladevorgang ist nicht betroffen.
    • Nicht konfiguriert (Standard)

Exploit-Schutzprofil

Exploit-Schutz

Hinweis

In diesem Abschnitt werden die Einstellungen unter Exploit-Schutzprofile beschrieben, die vor dem 5. April 2022 erstellt wurden. Profile, die nach diesem Datum erstellt wurden, verwenden ein neues Einstellungsformat wie im Einstellungskatalog. Mit dieser Änderung können Sie keine neuen Versionen des alten Profils mehr erstellen und diese werden nicht mehr entwickelt. Obwohl Sie keine neuen Instanzen des älteren Profils mehr erstellen können, können Sie weiterhin Instanzen davon bearbeiten und verwenden, die Sie zuvor erstellt haben.

Für Profile, die das neue Einstellungsformat verwenden, verwaltet Intune keine Liste der einzelnen Einstellungen mehr anhand des Namens. Stattdessen werden der Name jeder Einstellung, ihre Konfigurationsoptionen und ihr erläuternder Text, der im Microsoft Intune Admin Center angezeigt wird, direkt aus den autoritativen Inhalten der Einstellungen übernommen. Dieser Inhalt kann weitere Informationen zur Verwendung der Einstellung im richtigen Kontext bereitstellen. Wenn Sie einen Einstellungsinformationstext anzeigen, können Sie den zugehörigen Link Weitere Informationen verwenden, um diesen Inhalt zu öffnen.

  • Hochladen von XML
    CSP: ExploitProtectionSettings

    Ermöglicht dem IT-Administrator das Pushen einer Konfiguration, die die gewünschten System- und Anwendungsminderungsoptionen für alle Geräte in der Organisation darstellt. Die Konfiguration wird durch eine XML-Datei dargestellt. Exploit-Schutz kann Dazu beitragen, Geräte vor Schadsoftware zu schützen, die Exploits verwenden, um sich zu verbreiten und zu infizieren. Sie verwenden die Windows-Sicherheit-App oder PowerShell, um eine Reihe von Risikominderungen (als Konfiguration bezeichnet) zu erstellen. Sie können diese Konfiguration dann als XML-Datei exportieren und sie für mehrere Computer in Ihrem Netzwerk freigeben, damit alle über denselben Satz von Entschärfungseinstellungen verfügen. Sie können auch eine vorhandene EMET-Konfigurations-XML-Datei in eine Exploit-Schutzkonfigurations-XML konvertieren und importieren.

    Wählen Sie XML-Datei auswählen aus, geben Sie den XML-Dateiupload an, und klicken Sie dann auf Auswählen.

    • Nicht konfiguriert (Standard)
    • Ja
  • Blockieren der Bearbeitung der Exploit Guard-Schutzschnittstelle durch Benutzer
    CSP: DisallowExploitProtectionOverride

    • Nicht konfiguriert (Standard): Lokale Benutzer können Änderungen im Bereich der Exploit-Schutzeinstellungen vornehmen.
    • Ja : Verhindern Sie, dass Benutzer Änderungen am Bereich der Exploit-Schutzeinstellungen im Microsoft Defender Security Center vornehmen.

Webschutzprofil (Microsoft Edge Legacy)

Webschutz (Microsoft Edge-Vorgängerversion)

  • Aktivieren des Netzwerkschutzes
    CSP: EnableNetworkProtection

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Windows-Standardwert zurückgesetzt, der deaktiviert ist.
    • Benutzerdefiniert
    • Aktivieren : Der Netzwerkschutz ist für alle Benutzer auf dem System aktiviert.
    • Überwachungsmodus : Benutzer werden nicht für gefährliche Domänen blockiert, und stattdessen werden Windows-Ereignisse ausgelöst.
  • SmartScreen für Microsoft Edge erforderlich
    CSP: Browser/AllowSmartScreen

    • Ja – Verwenden Sie SmartScreen, um Benutzer vor potenziellen Phishing-Betrug und Schadsoftware zu schützen.
    • Nicht konfiguriert (Standard)
  • Blockieren des Zugriffs auf schädliche Websites
    CSP: Browser/PreventSmartScreenPromptOverride

    • Ja : Blockieren Sie, dass Benutzer die Warnungen des Microsoft Defender SmartScreen-Filters ignorieren und sie daran hindern, zur Website zu wechseln.
    • Nicht konfiguriert (Standard)
  • Herunterladen nicht überprüfter Dateien blockieren
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • Ja : Benutzer können die Warnungen des Microsoft Defender SmartScreen-Filters ignorieren und das Herunterladen nicht überprüfter Dateien blockieren.
    • Nicht konfiguriert (Standard)

Verringerung der Angriffsfläche (ConfigMgr)

Exploit Protection(ConfigMgr)(Vorschau)-Profil

Exploit-Schutz

  • Hochladen von XML
    CSP: ExploitProtectionSettings

    Ermöglicht dem IT-Administrator das Pushen einer Konfiguration, die die gewünschten System- und Anwendungsminderungsoptionen für alle Geräte in der Organisation darstellt. Die Konfiguration wird durch eine XML-Datei dargestellt. Exploit-Schutz kann Dazu beitragen, Geräte vor Schadsoftware zu schützen, die Exploits verwenden, um sich zu verbreiten und zu infizieren. Sie verwenden die Windows-Sicherheit-App oder PowerShell, um eine Reihe von Risikominderungen (als Konfiguration bezeichnet) zu erstellen. Sie können diese Konfiguration dann als XML-Datei exportieren und sie für mehrere Computer in Ihrem Netzwerk freigeben, damit alle über denselben Satz von Entschärfungseinstellungen verfügen. Sie können auch eine vorhandene EMET-Konfigurations-XML-Datei in eine Exploit-Schutzkonfigurations-XML konvertieren und importieren.

    Wählen Sie XML-Datei auswählen aus, geben Sie den XML-Dateiupload an, und klicken Sie dann auf Auswählen.

  • Außerkraftsetzung des Exploit-Schutzes nicht zulassen
    CSP: DisallowExploitProtectionOverride

    • Nicht konfiguriert (Standard)
    • (Deaktivieren) Lokale Benutzer dürfen Änderungen im Bereich der Exploit-Schutzeinstellungen vornehmen.
    • (Aktivieren) Lokale Benutzer können keine Änderungen am Bereich der Exploit-Schutzeinstellungen vornehmen.

Webschutzprofil (ConfigMgr)(Vorschau)

Webschutz

Nächste Schritte

Endpunktsicherheitsrichtlinie für ASR