Pc-Konfigurationssperre mit gesicherten Kernen
In einer Unternehmensorganisation erzwingen IT-Administratoren Richtlinien auf ihren Unternehmensgeräten, um die Geräte in einem konformen Zustand zu halten und das Betriebssystem zu schützen, indem benutzer daran gehindert werden, Konfigurationen zu ändern und Konfigurationsabweichungen zu erzeugen. Konfigurationsabweichungen treten auf, wenn Benutzer mit lokalen Administratorrechten Einstellungen ändern und das Gerät nicht mehr mit Sicherheitsrichtlinien synchronisieren. Geräte in einem nicht konformen Zustand können anfällig sein, bis die nächste Synchronisierung und Konfiguration mit der MDM zurückgesetzt wird. Windows 11 mit Konfigurationssperre ermöglicht IT-Administratoren, Konfigurationsabweichungen zu verhindern und die Betriebssystemkonfiguration im gewünschten Zustand zu halten. Mit der Konfigurationssperre überwacht das Betriebssystem die Registrierungsschlüssel, die die einzelnen Features konfigurieren, und wenn eine Abweichung erkannt wird, wird der von der IT gewünschte Zustand in Sekunden wiederhergestellt.
Die Konfigurationssperre für gesicherte Kerne (Konfigurationssperre) ist ein neues Feature für sichere Kern-PCs (SCPC), das eine Abweichung der Konfiguration von Features mit geschützten Kern-PCs verhindert, die durch unbeabsichtigte Fehlkonfigurationen verursacht werden. Kurz gesagt, es stellt sicher, dass ein Gerät, das ein pc mit gesichertem Kern sein soll, ein pc mit gesichertem Kern bleibt.
Zusammenfassung: Konfigurationssperre:
- Ermöglicht es der IT, PC-Features mit geschützten Kernen zu "sperren", wenn sie über MDM verwaltet werden
- Erkennt Abweichungskorrekturen innerhalb von Sekunden
- Verhindert keine böswilligen Angriffe
Windows-Edition und Lizenzierungsanforderungen
In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die die Secured-Core-Konfigurationssperre unterstützen:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Ja | Ja | Ja | Ja |
Lizenzberechtigungen für die Geschützte Kernkonfigurationssperre werden von den folgenden Lizenzen gewährt:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Ja | Ja | Ja | Ja | Ja |
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.
Konfigurationsablauf
Nachdem ein PCs mit geschützten Kernen den Desktop erreicht hat, verhindert die Konfigurationssperre Konfigurationsabweichungen, indem erkannt wird, ob es sich bei dem Gerät um einen PC mit geschützten Kernen handelt oder nicht. Wenn es sich bei dem Gerät nicht um einen PC mit gesichertem Kern handelt, wird die Sperre nicht angewendet. Wenn es sich bei dem Gerät um einen PC mit geschützten Kernen handelt, werden durch die Konfigurationssperre die unter Liste der gesperrten Richtlinien aufgeführten Richtlinien gesperrt.
Aktivieren der Konfigurationssperre mit Microsoft Intune
Die Konfigurationssperre ist nicht standardmäßig aktiviert oder vom Betriebssystem während des Startvorgangs aktiviert. Stattdessen müssen Sie es aktivieren.
Die Schritte zum Aktivieren der Konfigurationssperre mit Microsoft Intune lauten wie folgt:
Stellen Sie sicher, dass das Gerät zum Aktivieren der Konfigurationssperre bei Microsoft Intune registriert ist.
Wählen Sie im Intune Admin CenterGeräte>Konfigurationsprofile>Profil erstellen aus.
Wählen Sie Folgendes aus, und drücken Sie Erstellen:
-
Plattform:
Windows 10 and later -
Profiltyp:
Templates - Vorlagenname: Benutzerdefiniert
-
Plattform:
Benennen Sie Ihr Profil.
Wenn Sie den Schritt Konfigurationseinstellungen erreicht haben, wählen Sie "Hinzufügen" aus, und fügen Sie die folgenden Informationen hinzu:
-
OMA-URI:
./Vendor/MSFT/DMClient/Provider/MS%20DM%20Server/ConfigLock/Lock -
Datentyp:
Integer -
Wert:
1
Um die Konfigurationssperre zu deaktivieren, ändern Sie den Wert in 0.
-
OMA-URI:
Wählen Sie die Geräte aus, die die Konfigurationssperre aktivieren sollen. Wenn Sie einen Testmandanten verwenden, können Sie "+ Alle Geräte hinzufügen" auswählen.
Sie müssen keine Anwendbarkeitsregeln für Testzwecke festlegen.
Überprüfen Sie die Konfiguration, und wählen Sie "Erstellen" aus, wenn alles korrekt ist.
Nachdem das Gerät mit dem Microsoft Intune-Server synchronisiert wurde, können Sie überprüfen, ob die Konfigurationssperre erfolgreich aktiviert wurde.
Konfigurieren von Features für secured-core-PCs
Die Konfigurationssperre soll sicherstellen, dass ein PC mit geschützten Kernen nicht versehentlich falsch konfiguriert ist. Sie behalten die Möglichkeit, SCPC-Features zu aktivieren oder zu deaktivieren, z. B. den Firmwareschutz. Sie können diese Änderungen mit Gruppenrichtlinien oder MDM-Diensten wie Microsoft Intune vornehmen.
Häufig gestellte Fragen
- Kann ich die Konfigurationssperre deaktivieren? Ja. Sie können MDM verwenden, um die Konfigurationssperre vollständig zu deaktivieren oder sie für Helpdeskaktivitäten in den temporären Entsperrmodus zu versetzen.
Liste gesperrter Richtlinien
| CSPs |
|---|
| BitLocker |
| PassportForWork |
| WindowsDefenderApplicationGuard |
| ApplicationControl |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für