Blocco della configurazione del PC con core protetto

  • Articolo
  • Si applica a:
    Windows 11

In un'organizzazione aziendale, gli amministratori IT applicano criteri ai dispositivi aziendali per mantenere i dispositivi in uno stato conforme e proteggere il sistema operativo impedendo agli utenti di modificare le configurazioni e creare deviazioni di configurazione. La deriva della configurazione si verifica quando gli utenti con diritti di amministratore locale modificano le impostazioni e non sincronizzano il dispositivo con i criteri di sicurezza. I dispositivi in uno stato non conforme possono essere vulnerabili fino alla successiva sincronizzazione e reimpostazione della configurazione con MDM. Windows 11 con blocco di configurazione consente agli amministratori IT di impedire la deriva della configurazione e mantenere la configurazione del sistema operativo nello stato desiderato. Con il blocco della configurazione, il sistema operativo monitora le chiavi del registro che configurano ogni funzione e, quando rileva una deriva, torna allo stato desiderato dall'IT in pochi secondi.

Il blocco di configurazione con core protetto (blocco di configurazione) è una nuova funzionalità SCPC (Secured Core PC) che impedisce la deriva della configurazione dalle funzionalità del PC con core protetto causate da errori di configurazione non intenzionali. In breve, garantisce che un dispositivo destinato a essere un PC con core protetto rimanga un PC con core protetto.

Per riepilogare, blocco di configurazione:

  • Consente all'IT di "bloccare" le funzionalità del PC con core protetto quando viene gestito tramite MDM
  • Rileva le correzioni della deriva in pochi secondi
  • Non impedisce attacchi dannosi

Requisiti di licenza ed edizione di Windows

Nella tabella seguente sono elencate le edizioni di Windows che supportano il blocco di configurazione secured-core:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

I diritti delle licenze di blocco della configurazione con core protetto sono concessi dalle licenze seguenti:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.

Flusso di configurazione

Dopo che un PC con core protetto raggiunge il desktop, il blocco di configurazione impedirà la deriva della configurazione rilevando se il dispositivo è o meno un PC con core protetto. Quando il dispositivo non è un PC con core protetto, il blocco non si applica. Se il dispositivo è un PC con core protetto, il blocco di configurazione blocca i criteri elencati in Elenco dei criteri bloccati.

Abilitazione del blocco di configurazione con Microsoft Intune

Il blocco della configurazione non è abilitato per impostazione predefinita o attivato dal sistema operativo durante l'avvio. Piuttosto, è necessario attivarlo.

I passaggi per attivare il blocco della configurazione usando Microsoft Intune sono i seguenti:

  1. Assicurarsi che il dispositivo per attivare il blocco di configurazione sia registrato in Microsoft Intune.

  2. Nell'interfaccia di amministrazione Intune selezionare Profili >di configurazionedei dispositivi>Creare un profilo.

  3. Selezionare quanto segue e premere Crea:

    • Piattaforma: Windows 10 and later
    • Tipo di profilo: Templates
    • Nome modello: Personalizzato

    In Profili di configurazione viene visualizzata la pagina Crea un profilo con la piattaforma impostata su Windows 10 e versioni successive e un tipo di profilo di modelli.

  4. Assegnare un nome al profilo.

  5. Quando si raggiunge il passaggio Impostazioni di configurazione, selezionare "Aggiungi" e aggiungere le informazioni seguenti:

    • URI OMA: ./Vendor/MSFT/DMClient/Provider/MS%20DM%20Server/ConfigLock/Lock
    • Tipo di dati: Integer
    • Valore: 1

    Per disattivare il blocco della configurazione, modificare il valore su 0.

    Nel passaggio Impostazioni di configurazione la pagina Modifica riga viene visualizzata con un nome di blocco di configurazione, una descrizione del blocco di configurazione di attivazione e il set di URI OMA, insieme a un tipo di dati Integer impostato su Valore 1.

  6. Selezionare i dispositivi per attivare il blocco di configurazione. Se si usa un tenant di test, è possibile selezionare "+ Aggiungi tutti i dispositivi".

  7. Non è necessario impostare regole di applicabilità per scopi di test.

  8. Esaminare la configurazione e selezionare "Crea" se tutto è corretto.

  9. Dopo la sincronizzazione del dispositivo con il server Microsoft Intune, è possibile verificare se il blocco di configurazione è stato abilitato correttamente.

    Dashboard stato assegnazione profilo quando si visualizza il profilo di configurazione del dispositivo di blocco della configurazione, che mostra che un dispositivo è riuscito ad applicare questo profilo.

    Stato del dispositivo per il profilo di configurazione del blocco configurazione del dispositivo, che mostra un dispositivo con stato di distribuzione Succeeded e due con In sospeso.

Configurazione delle funzionalità del PC con core protetto

Il blocco di configurazione è progettato per garantire che un PC con core protetto non venga involontariamente configurato in modo errato. Si mantiene la possibilità di abilitare o disabilitare le funzionalità SCPC, ad esempio la protezione del firmware. È possibile apportare queste modifiche con criteri di gruppo o servizi MDM come Microsoft Intune.

L'impostazione protezione firmware Defender, con una descrizione di Windows Defender Protezione del sistema protegge il dispositivo da firmware compromesso. L'impostazione è impostata su Off.

Domande frequenti

  • È possibile disabilitare il blocco della configurazione? Sì. È possibile usare MDM per disattivare completamente il blocco di configurazione o metterlo in modalità di sblocco temporaneo per le attività del supporto tecnico.

Elenco dei criteri bloccati

Csp
BitLocker
PassportForWork
WindowsDefenderApplicationGuard
ApplicationControl
Criteri MDM Supportato da Criteri di gruppo
DataProtection/AllowDirectMemoryAccess No
DataProtection/LegacySelectiveWipeID No
DeviceGuard/ConfigureSystemGuardLaunch
DeviceGuard/EnableVirtualizationBasedSecurity
DeviceGuard/LsaCfgFlags
DeviceGuard/RequirePlatformSecurityFeatures
DeviceInstallation/AllowInstallationOfMatchingDeviceIDs
DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs
DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses
DeviceInstallation/PreventDeviceMetadataFromNetwork
DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings
DeviceInstallation/PreventInstallationOfMatchingDeviceIDs
DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs
DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses
DmaGuard/DeviceEnumerationPolicy
WindowsDefenderSecurityCenter/CompanyName
WindowsDefenderSecurityCenter/DisableAccountProtectionUI
WindowsDefenderSecurityCenter/DisableAppBrowserUI
WindowsDefenderSecurityCenter/DisableClearTpmButton
WindowsDefenderSecurityCenter/DisableDeviceSecurityUI
WindowsDefenderSecurityCenter/DisableEnhancedNotifications
WindowsDefenderSecurityCenter/DisableFamilyUI
WindowsDefenderSecurityCenter/DisableHealthUI
WindowsDefenderSecurityCenter/DisableNetworkUI
WindowsDefenderSecurityCenter/DisableNotifications
WindowsDefenderSecurityCenter/DisableTpmFirmwareUpdateWarning
WindowsDefenderSecurityCenter/DisableVirusUI
WindowsDefenderSecurityCenter/DisallowExploitProtectionOverride
WindowsDefenderSecurityCenter/Email
WindowsDefenderSecurityCenter/EnableCustomizedToasts
WindowsDefenderSecurityCenter/EnableInAppCustomization
WindowsDefenderSecurityCenter/HideRansomwareDataRecovery
WindowsDefenderSecurityCenter/HideSecureBoot
WindowsDefenderSecurityCenter/HideTPMTroubleshooting
WindowsDefenderSecurityCenter/HideWindowsSecurityNotificationAreaControl
WindowsDefenderSecurityCenter/Phone
WindowsDefenderSecurityCenter/URL
SmartScreen/EnableAppInstallControl
SmartScreen/EnableSmartScreenInShell
SmartScreen/PreventOverrideForFilesInShell