Freigeben über

Pc-Konfigurationssperre mit gesicherten Kernen

  • Artikel
  • Gilt für::
    Windows 11

In einer Unternehmensorganisation erzwingen IT-Administratoren Richtlinien auf ihren Unternehmensgeräten, um die Geräte in einem konformen Zustand zu halten und das Betriebssystem zu schützen, indem benutzer daran gehindert werden, Konfigurationen zu ändern und Konfigurationsabweichungen zu erzeugen. Konfigurationsabweichungen treten auf, wenn Benutzer mit lokalen Administratorrechten Einstellungen ändern und das Gerät nicht mehr mit Sicherheitsrichtlinien synchronisieren. Geräte in einem nicht konformen Zustand können anfällig sein, bis die nächste Synchronisierung und Konfiguration mit der MDM zurückgesetzt wird. Windows 11 mit Konfigurationssperre ermöglicht IT-Administratoren, Konfigurationsabweichungen zu verhindern und die Betriebssystemkonfiguration im gewünschten Zustand zu halten. Mit der Konfigurationssperre überwacht das Betriebssystem die Registrierungsschlüssel, die die einzelnen Features konfigurieren, und wenn eine Abweichung erkannt wird, wird der von der IT gewünschte Zustand in Sekunden wiederhergestellt.

Die Konfigurationssperre für gesicherte Kerne (Konfigurationssperre) ist ein neues Feature für sichere Kern-PCs (SCPC), das eine Abweichung der Konfiguration von Features mit geschützten Kern-PCs verhindert, die durch unbeabsichtigte Fehlkonfigurationen verursacht werden. Kurz gesagt, es stellt sicher, dass ein Gerät, das ein pc mit gesichertem Kern sein soll, ein pc mit gesichertem Kern bleibt.

Zusammenfassung: Konfigurationssperre:

  • Ermöglicht es der IT, PC-Features mit geschützten Kernen zu "sperren", wenn sie über MDM verwaltet werden
  • Erkennt Abweichungskorrekturen innerhalb von Sekunden
  • Verhindert keine böswilligen Angriffe

Windows-Edition und Lizenzierungsanforderungen

In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die die Secured-Core-Konfigurationssperre unterstützen:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Ja Ja Ja Ja

Lizenzberechtigungen für die Geschützte Kernkonfigurationssperre werden von den folgenden Lizenzen gewährt:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Ja Ja Ja Ja Ja

Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.

Konfigurationsablauf

Nachdem ein PCs mit geschützten Kernen den Desktop erreicht hat, verhindert die Konfigurationssperre Konfigurationsabweichungen, indem erkannt wird, ob es sich bei dem Gerät um einen PC mit geschützten Kernen handelt oder nicht. Wenn es sich bei dem Gerät nicht um einen PC mit gesichertem Kern handelt, wird die Sperre nicht angewendet. Wenn es sich bei dem Gerät um einen PC mit geschützten Kernen handelt, werden durch die Konfigurationssperre die unter Liste der gesperrten Richtlinien aufgeführten Richtlinien gesperrt.

Aktivieren der Konfigurationssperre mit Microsoft Intune

Die Konfigurationssperre ist nicht standardmäßig aktiviert oder vom Betriebssystem während des Startvorgangs aktiviert. Stattdessen müssen Sie es aktivieren.

Die Schritte zum Aktivieren der Konfigurationssperre mit Microsoft Intune lauten wie folgt:

  1. Stellen Sie sicher, dass das Gerät zum Aktivieren der Konfigurationssperre bei Microsoft Intune registriert ist.

  2. Wählen Sie im Intune Admin CenterGeräte>Konfigurationsprofile>Profil erstellen aus.

  3. Wählen Sie Folgendes aus, und drücken Sie Erstellen:

    • Plattform: Windows 10 and later
    • Profiltyp: Templates
    • Vorlagenname: Benutzerdefiniert

    Unter Konfigurationsprofile wird die Seite Profil erstellen angezeigt, wobei die Plattform auf Windows 10 und höher und ein Profiltyp von Vorlagen festgelegt ist.

  4. Benennen Sie Ihr Profil.

  5. Wenn Sie den Schritt Konfigurationseinstellungen erreicht haben, wählen Sie "Hinzufügen" aus, und fügen Sie die folgenden Informationen hinzu:

    • OMA-URI: ./Vendor/MSFT/DMClient/Provider/MS%20DM%20Server/ConfigLock/Lock
    • Datentyp: Integer
    • Wert: 1

    Um die Konfigurationssperre zu deaktivieren, ändern Sie den Wert in 0.

    Im Schritt Konfigurationseinstellungen wird die Seite Zeile bearbeiten mit einem Namen der Konfigurationssperre, einer Beschreibung der Aktivierten Konfigurationssperre und dem OMA-URI-Satz angezeigt, zusammen mit dem Datentyp Integer, der auf den Wert 1 festgelegt ist.

  6. Wählen Sie die Geräte aus, die die Konfigurationssperre aktivieren sollen. Wenn Sie einen Testmandanten verwenden, können Sie "+ Alle Geräte hinzufügen" auswählen.

  7. Sie müssen keine Anwendbarkeitsregeln für Testzwecke festlegen.

  8. Überprüfen Sie die Konfiguration, und wählen Sie "Erstellen" aus, wenn alles korrekt ist.

  9. Nachdem das Gerät mit dem Microsoft Intune-Server synchronisiert wurde, können Sie überprüfen, ob die Konfigurationssperre erfolgreich aktiviert wurde.

    Das Dashboard

    Der Gerätestatus für das Konfigurationssperr-Gerätekonfigurationsprofil mit einem Gerät mit dem Bereitstellungsstatus

Konfigurieren von Features für secured-core-PCs

Die Konfigurationssperre soll sicherstellen, dass ein PC mit geschützten Kernen nicht versehentlich falsch konfiguriert ist. Sie behalten die Möglichkeit, SCPC-Features zu aktivieren oder zu deaktivieren, z. B. den Firmwareschutz. Sie können diese Änderungen mit Gruppenrichtlinien oder MDM-Diensten wie Microsoft Intune vornehmen.

Die Defender Firmware-Schutzeinstellung mit einer Beschreibung von System Guard schützt Ihr Gerät vor kompromittierter Firmware. Die Einstellung ist auf Aus festgelegt.

Häufig gestellte Fragen

  • Kann ich die Konfigurationssperre deaktivieren? Ja. Sie können MDM verwenden, um die Konfigurationssperre vollständig zu deaktivieren oder sie für Helpdeskaktivitäten in den temporären Entsperrmodus zu versetzen.

Liste gesperrter Richtlinien

CSPs
BitLocker
PassportForWork
WindowsDefenderApplicationGuard
ApplicationControl
MDM-Richtlinien Von Gruppenrichtlinien unterstützt
DataProtection/AllowDirectMemoryAccess Nein
DataProtection/LegacySelectiveWipeID Nein
DeviceGuard/ConfigureSystemGuardLaunch Ja
DeviceGuard/EnableVirtualizationBasedSecurity Ja
DeviceGuard/LsaCfgFlags Ja
DeviceGuard/RequirePlatformSecurityFeatures Ja
DeviceInstallation/AllowInstallationOfMatchingDeviceIDs Ja
DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs Ja
DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses Ja
DeviceInstallation/PreventDeviceMetadataFromNetwork Ja
DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings Ja
DeviceInstallation/PreventInstallationOfMatchingDeviceIDs Ja
DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs Ja
DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses Ja
DmaGuard/DeviceEnumerationPolicy Ja
WindowsDefenderSecurityCenter/CompanyName Ja
WindowsDefenderSecurityCenter/DisableAccountProtectionUI Ja
WindowsDefenderSecurityCenter/DisableAppBrowserUI Ja
WindowsDefenderSecurityCenter/DisableClearTpmButton Ja
WindowsDefenderSecurityCenter/DisableDeviceSecurityUI Ja
WindowsDefenderSecurityCenter/DisableEnhancedNotifications Ja
WindowsDefenderSecurityCenter/DisableFamilyUI Ja
WindowsDefenderSecurityCenter/DisableHealthUI Ja
WindowsDefenderSecurityCenter/DisableNetworkUI Ja
WindowsDefenderSecurityCenter/DisableNotifications Ja
WindowsDefenderSecurityCenter/DisableTpmFirmwareUpdateWarning Ja
WindowsDefenderSecurityCenter/DisableVirusUI Ja
WindowsDefenderSecurityCenter/DisallowExploitProtectionOverride Ja
WindowsDefenderSecurityCenter/Email Ja
WindowsDefenderSecurityCenter/EnableCustomizedToasts Ja
WindowsDefenderSecurityCenter/EnableInAppCustomization Ja
WindowsDefenderSecurityCenter/HideRansomwareDataRecovery Ja
WindowsDefenderSecurityCenter/HideSecureBoot Ja
WindowsDefenderSecurityCenter/HideTPMTroubleshooting Ja
WindowsDefenderSecurityCenter/HideWindowsSecurityNotificationAreaControl Ja
WindowsDefenderSecurityCenter/Phone Ja
WindowsDefenderSecurityCenter/URL Ja
SmartScreen/EnableAppInstallControl Ja
SmartScreen/EnableSmartScreenInShell Ja
SmartScreen/PreventOverrideForFilesInShell Ja