Compartir a través de


CSP de directiva: seguridad

AllowAddProvisioningPackage

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Security/AllowAddProvisioningPackage

Especifica si se va a permitir que el agente de configuración en tiempo de ejecución instale paquetes de aprovisionamiento.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
0 No permitido.
1 (valor predeterminado) Permitido.

AllowManualRootCertificateInstallation

Nota

Esta directiva está en desuso y puede quitarse en una versión futura.

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
❌ Pro
❌ Empresa
❌ Educación
❌ Windows SE
❌ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Security/AllowManualRootCertificateInstallation

Esta directiva está en desuso.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
0 No permitido.
1 (valor predeterminado) Permitido.

AllowRemoveProvisioningPackage

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Security/AllowRemoveProvisioningPackage

Especifica si se va a permitir que el agente de configuración en tiempo de ejecución quite los paquetes de aprovisionamiento.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
0 No permitido.
1 (valor predeterminado) Permitido.

AntiTheftMode

Nota

Esta directiva está en desuso y puede quitarse en una versión futura.

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
No aplicable ✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Security/AntiTheftMode

Esta directiva está en desuso.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
0 Deshabilitado.
1 (valor predeterminado) Habilitada.

ClearTPMIfNotReady

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Security/ClearTPMIfNotReady

Esta configuración de directiva configura el sistema para pedir al usuario que borre el TPM si se detecta que el TPM está en cualquier estado distinto de Listo. Esta directiva solo surtirá efecto si el TPM del sistema está en un estado distinto de Listo, incluido si el TPM está "Listo, con funcionalidad reducida". El mensaje para borrar el TPM comenzará a producirse después del siguiente reinicio, tras el inicio de sesión del usuario solo si el usuario que ha iniciado sesión forma parte del grupo Administradores del sistema. El aviso se puede descartar, pero volverá a aparecer después de cada reinicio e inicio de sesión hasta que la directiva esté deshabilitada o hasta que el TPM esté en estado Listo.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) No forzará la recuperación de un estado de TPM no listo.
1 Le pedirá que borre el TPM si el TPM está en un estado no listo (o funcionalidad reducida) que se puede corregir con un TPM Clear.

Asignación de directivas de grupo:

Nombre Valor
Nombre ClearTPMIfNotReady_Name
Nombre descriptivo Configure el sistema para borrar el TPM si no está en un estado listo.
Ubicación Configuración del equipo
Ruta de acceso Servicios de módulo de plataforma segura del sistema >
Nombre de la clave del Registro Software\Policies\Microsoft\TPM
Nombre del valor de registro ClearTPMIfNotReadyGP
Nombre de archivo ADMX TPM.admx

ConfigurarWindowsPasswords

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Security/ConfigureWindowsPasswords

Configura el uso de contraseñas para las características de Windows.

Nota

Esta directiva solo se admite en Windows 10 S.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 2

Valores permitidos:

Valor Descripción
0 No permitir contraseñas (las credenciales asimétricas se promoverán para reemplazar las contraseñas en las características de Windows).
1 Permitir contraseñas (las contraseñas siguen estando permitidas para usarse para las características de Windows).
2 (valor predeterminado) Según las funcionalidades de SKU y dispositivo. Windows 10 dispositivos S mostrará el valor predeterminado "No permitir contraseñas" y todos los demás dispositivos tendrán como valor predeterminado "Permitir contraseñas").

PreventAutomaticDeviceEncryptionForAzureADJoinedDevices

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices

Especifica si se permite el cifrado automático de dispositivos durante la OOBE cuando el dispositivo está Microsoft Entra unido.

Para obtener más información, consulte Cifrado de dispositivos BitLocker.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Cifrado habilitado.
1 Cifrado deshabilitado.

RecoveryEnvironmentAuthentication

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores
./User/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
./Device/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication

Esta directiva controla el requisito de autenticación de Administración en RecoveryEnvironment.

Procedimiento de validación:

Para validar esta directiva, compruebe si Actualizar ("Mantener mis archivos") y Restablecer ("Quitar todo") requieren autenticación de administrador en El entorno de recuperación de Windows (WinRE).

  1. En primer lugar, inicie Push Button Reset (PBR) en WinRE. Abra un símbolo del sistema como administrador y ejecute el siguiente comando: reagentc /boottore
  2. El dispositivo debe reiniciarse en WinRE. En la interfaz de WinRE, vaya a Solución de problemas y seleccione Restablecer este equipo. Debería ver dos opciones: Mantener mis archivos y Quitar todo.
  3. Elija la opción Mantener mis archivos. Vea el comportamiento de la autenticación.
  4. Seleccione la flecha atrás y elija Quitar todo. Vea el comportamiento de la autenticación.

En lugar de volver atrás, también puede pasar por las opciones de restablecimiento y seleccionar Cancelar en la página de confirmación final. A continuación, volverá a la interfaz principal de WinRE.

En la tabla siguiente se muestra qué comportamiento se espera para la configuración de directiva con cada escenario:

  • ✔️ Solicita autenticación.
  • ❌ No se requiere autenticación y continúa con las opciones de restablecimiento.
Directiva Conservar mis archivos Quitar todo
Valor predeterminado (0) ✔️
RequireAuthentication" (1) ✔️ ✔️
NoRequireAuthentication" (2)

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Actual).
1 RequireAuthentication: la autenticación de Administración siempre es necesaria para los componentes de RecoveryEnvironment.
2 NoRequireAuthentication: la autenticación de Administración no es necesaria para los componentes de RecoveryEnvironment.

RequireDeviceEncryption

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Security/RequireDeviceEncryption

Permite a la empresa activar el cifrado de almacenamiento interno. El valor de mayor restricción es 1. Importante. Si se ha habilitado el cifrado, no se puede desactivar mediante esta directiva.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) No es necesario el cifrado.
1 Se requiere cifrado.

RequireProvisioningPackageSignature

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Security/RequireProvisioningPackageSignature

Especifica si los paquetes de aprovisionamiento deben tener un certificado firmado por una entidad de confianza del dispositivo.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) No se requiere.
1 Obligatorio.

RequireRetrieveHealthCertificateOnBoot

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Security/RequireRetrieveHealthCertificateOnBoot

Especifica si se deben recuperar y publicar los registros de arranque de TCG, y obtener o almacenar en caché un informe de atestación de mantenimiento cifrado o firmado desde el servicio de atestación de Microsoft Health (HAS) cuando se inicia o reinicia un dispositivo. Al establecer esta directiva en 1 (obligatorio):D etermines si un dispositivo es capaz de la atestación de estado del dispositivo remoto, comprobando si el dispositivo tiene TPM 2. 0. Mejora el rendimiento del dispositivo al permitir que el dispositivo capture y almacene en caché los datos para reducir la latencia durante la comprobación del estado del dispositivo.

Nota

Se recomienda establecer esta directiva en Requerido después de la inscripción de MDM. El valor de mayor restricción es 1.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) No se requiere.
1 Obligatorio.

Proveedor de servicios de configuración de directivas