Windows-instellingen die u kunt beheren via een Intune Endpoint Protection-profiel
Opmerking
Intune ondersteunt mogelijk meer instellingen dan de instellingen die in dit artikel worden vermeld. Niet alle instellingen worden gedocumenteerd en worden niet gedocumenteerd. Als u de instellingen wilt zien die u kunt configureren, maakt u een apparaatconfiguratiebeleid en selecteert u Instellingencatalogus. Ga naar Instellingencatalogus voor meer informatie.
Microsoft Intune bevat veel instellingen om uw apparaten te beschermen. In dit artikel worden de instellingen in de sjabloon Eindpuntbeveiliging voor apparaatconfiguratie beschreven. Voor het beheren van apparaatbeveiliging kunt u ook eindpuntbeveiligingsbeleid gebruiken, dat zich rechtstreeks richt op subsets van apparaatbeveiliging. Als u Microsoft Defender Antivirus wilt configureren, raadpleegt u Windows-apparaatbeperkingen of het antivirusbeleid voor eindpuntbeveiliging gebruiken.
Voordat u begint
Maak een configuratieprofiel voor eindpuntbeveiligingsapparaten.
Zie Naslaginformatie over configuratieserviceproviders voor meer informatie over configuratieserviceproviders (CSP's).
Microsoft Defender Application Guard
Voor Microsoft Edge beschermt Microsoft Defender Application Guard uw omgeving tegen sites die niet worden vertrouwd door uw organisatie. Met Application Guard worden sites die zich niet binnen de geïsoleerde netwerkgrens bevinden, geopend in een virtuele Hyper-V-browsersessie. Vertrouwde sites worden gedefinieerd door een netwerkgrens, die is geconfigureerd in Apparaatconfiguratie. Zie Een netwerkgrens maken op Windows-apparaten voor meer informatie.
Application Guard is alleen beschikbaar voor 64-bits Windows-apparaten. Met dit profiel installeert u een Win32-onderdeel om Application Guard te activeren.
Application Guard
Standaardinstelling: niet geconfigureerd
Application Guard CSP: Settings/AllowWindowsDefenderApplicationGuard- Ingeschakeld voor Edge : hiermee schakelt u deze functie in, waarmee niet-vertrouwde sites worden geopend in een gevirtualiseerde Hyper-V-browsercontainer.
- Niet geconfigureerd : elke site (vertrouwd en niet-vertrouwd) kan op het apparaat worden geopend.
Klembordgedrag
Standaardinstelling: niet geconfigureerd
Application Guard CSP: Instellingen/KlembordInstellingenKies welke kopieer- en plakbewerkingen zijn toegestaan tussen de lokale pc en de virtuele Application Guard-browser.
- Niet geconfigureerd
- Alleen kopiëren en plakken van pc naar browser toestaan
- Alleen kopiëren en plakken van browser naar pc toestaan
- Kopiëren en plakken tussen pc en browser toestaan
- Kopiëren en plakken tussen pc en browser blokkeren
Klembordinhoud
Deze instelling is alleen beschikbaar wanneer klembordgedrag is ingesteld op een van de instellingen voor toestaan .
Standaardinstelling: niet geconfigureerd
Application Guard CSP: Settings/KlembordFileTypeSelecteer de toegestane inhoud van het klembord.
- Niet geconfigureerd
- Tekst
- Beelden
- Tekst en afbeeldingen
Externe inhoud op bedrijfssites
Standaardinstelling: niet geconfigureerd
Application Guard CSP: Settings/BlockNonEnterpriseContent- Blokkeren : hiermee kunt u het laden van inhoud van niet-goedgekeurde websites blokkeren.
- Niet geconfigureerd : niet-ondernemingssites kunnen worden geopend op het apparaat.
Afdrukken vanuit virtuele browser
Standaardinstelling: niet geconfigureerd
Application Guard CSP: Settings/PrintingSettings- Toestaan : hiermee staat u het afdrukken van geselecteerde inhoud vanuit de virtuele browser toe.
- Niet geconfigureerd Schakel alle afdrukfuncties uit.
Wanneer u Afdrukken toestaan , kunt u de volgende instelling configureren:
-
Afdruktype(en) Selecteer een of meer van de volgende opties:
- XPS
- Lokale printers
- Netwerkprinters
Logboeken verzamelen
Standaardinstelling: niet geconfigureerd
Application Guard CSP: Audit/AuditApplicationGuard- Toestaan : verzamel logboeken voor gebeurtenissen die plaatsvinden in een Application Guard-browsesessie.
- Niet geconfigureerd : verzamel geen logboeken in de browsersessie.
Door de gebruiker gegenereerde browsergegevens behouden
Standaardinstelling: niet geconfigureerd
Application Guard CSP: Settings/AllowPersistence- Toestaan Sla gebruikersgegevens op (zoals wachtwoorden, favorieten en cookies) die zijn gemaakt tijdens een virtuele browsesessie van Application Guard.
- Niet geconfigureerd Door de gebruiker gedownloade bestanden en gegevens verwijderen wanneer het apparaat opnieuw wordt opgestart of wanneer een gebruiker zich afmeldt.
Grafische versnelling
Standaardinstelling: niet geconfigureerd
Application Guard CSP: Instellingen/AllowVirtualGPU- Inschakelen : laad grafisch-intensieve websites en video's sneller door toegang te krijgen tot een virtuele grafische verwerkingseenheid.
- Niet geconfigureerd Gebruik de CPU van het apparaat voor afbeeldingen; Gebruik de virtuele grafische verwerkingseenheid niet.
Bestanden downloaden naar het hostbestandssysteem
Standaardinstelling: niet geconfigureerd
Application Guard CSP: Settings/SaveFilesToHost- Inschakelen : gebruikers kunnen bestanden downloaden van de gevirtualiseerde browser naar het hostbesturingssysteem.
- Niet geconfigureerd : houdt de bestanden lokaal op het apparaat en downloadt geen bestanden naar het hostbestandssysteem.
Windows Firewall
Algemene instellingen
Deze instellingen zijn van toepassing op alle netwerktypen.
File Transfer Protocol
Standaardinstelling: niet geconfigureerd
Firewall-CSP: MdmStore/Global/DisableStatefulFtp- Blokkeren : schakel stateful FTP uit.
- Niet geconfigureerd : de firewall voert stateful FTP-filtering uit om secundaire verbindingen toe te staan.
Niet-actieve tijd van beveiligingskoppeling vóór verwijdering
Standaardinstelling: niet geconfigureerd
Firewall-CSP: MdmStore/Global/SaIdleTimeGeef een niet-actieve tijd op in seconden, waarna beveiligingskoppelingen worden verwijderd.
Vooraf gedeelde sleutelcodering
Standaardinstelling: niet geconfigureerd
Firewall-CSP: MdmStore/Global/PresharedKeyEncoding- Inschakelen : vooraf ingeleide sleutels coderen met UTF-8.
- Niet geconfigureerd : codeer vooraf ingeleide sleutels met behulp van de waarde van het lokale archief.
IPsec-uitzonderingen
Standaardinstelling: 0 geselecteerd
Firewall-CSP: MdmStore/Global/IPsecExemptSelecteer een of meer van de volgende typen verkeer die moeten worden vrijgesteld van IPsec:
- Neighbor discover IPv6 ICMP type-codes
- ICMP
- Router detecteren IPv6 ICMP type-codes
- Zowel IPv4- als IPv6 DHCP-netwerkverkeer
Verificatie van certificaatintrekkingslijst
Standaardinstelling: niet geconfigureerd
Firewall-CSP: MdmStore/Global/CRLcheckKies hoe het apparaat de certificaatintrekkingslijst verifieert. Opties zijn onder andere:
- CRL-verificatie uitschakelen
- CRL-verificatie mislukt alleen bij ingetrokken certificaat
- CRL-verificatie mislukt bij een fout die is opgetreden.
Verificatieset opportunistisch overeenkomen per sleutelmodule
Standaardinstelling: niet geconfigureerd
Firewall-CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM- Inschakelen Sleutelmodules mogen alleen de verificatiesuites negeren die ze niet ondersteunen.
- Niet geconfigureerd, moeten sleutelmodules de volledige verificatieset negeren als ze niet alle verificatiesuites ondersteunen die in de set zijn opgegeven.
Wachtrij voor pakketten
Standaardinstelling: niet geconfigureerd
Firewall-CSP: MdmStore/Global/EnablePacketQueueGeef op hoe het schalen van software aan de ontvangstzijde is ingeschakeld voor de versleutelde ontvangst en clear text forward voor het scenario van de IPsec-tunnelgateway. Deze instelling bevestigt dat de pakketvolgorde behouden blijft. Opties zijn onder andere:
- Niet geconfigureerd
- Alle wachtrijen voor pakketten uitschakelen
- Alleen binnenkomende versleutelde pakketten in de wachtrij plaatsen
- Wachtrijpakketten na ontsleuteling worden alleen uitgevoerd voor doorsturen
- Zowel binnenkomende als uitgaande pakketten configureren
Netwerkinstellingen
De volgende instellingen worden elk één keer in dit artikel vermeld, maar ze zijn allemaal van toepassing op de drie specifieke netwerktypen:
- Domeinnetwerk (werkplek)
- Privénetwerk (detecteerbaar)
- Openbaar (niet-detecteerbaar) netwerk
Algemeen
Windows Firewall
Standaardinstelling: niet geconfigureerd
Firewall-CSP: EnableFirewall- Inschakelen : schakel de firewall en geavanceerde beveiliging in.
- Niet geconfigureerd Staat al het netwerkverkeer toe, ongeacht andere beleidsinstellingen.
Verborgen modus
Standaardinstelling: niet geconfigureerd
Firewall-CSP: DisableStealthMode- Niet geconfigureerd
- Blokkeren : de firewall kan niet worden gebruikt in de verborgen modus. Met de verborgen modus blokkeren kunt u ook de uitsluiting van IPsec-beveiligde pakketten blokkeren.
- Toestaan : de firewall werkt in de verborgen modus, waardoor reacties op testaanvragen worden voorkomen.
IPsec-beveiligde pakketuitzondering met verborgen modus
Standaardinstelling: niet geconfigureerd
Firewall-CSP: DisableStealthModeIpsecSecuredPacketExemptionDeze optie wordt genegeerd als de verborgen modus is ingesteld op Blokkeren.
- Niet geconfigureerd
- Blokkeren : met IPSec beveiligde pakketten ontvangen geen uitzonderingen.
- Toestaan : uitzonderingen inschakelen. De verborgen modus van de firewall MAG NIET voorkomen dat de hostcomputer reageert op ongevraagd netwerkverkeer dat wordt beveiligd door IPsec.
Afgeschermd
Standaardinstelling: niet geconfigureerd
Firewall-CSP: afgeschermd- Niet geconfigureerd
- Blokkeren : wanneer Windows Firewall is ingeschakeld en deze instelling is ingesteld op Blokkeren, wordt al het binnenkomende verkeer geblokkeerd, ongeacht andere beleidsinstellingen.
- Toestaan : als deze instelling is ingesteld op Toestaan, wordt deze instelling uitgeschakeld en wordt binnenkomend verkeer toegestaan op basis van andere beleidsinstellingen.
Unicast-antwoorden op multicast-broadcasts
Standaardinstelling: niet geconfigureerd
Firewall-CSP: DisableUnicastResponsesToMulticastBroadcastNormaal gesproken wilt u geen unicast-antwoorden ontvangen op multicast- of broadcastberichten. Deze reacties kunnen duiden op een DOS-aanval (Denial of Service) of een aanvaller die een bekende livecomputer probeert te onderzoeken.
- Niet geconfigureerd
- Blokkeren : unicast-antwoorden op multicast-broadcasts uitschakelen.
- Toestaan : unicast-antwoorden op multicast-broadcasts toestaan.
Binnenkomende meldingen
Standaardinstelling: niet geconfigureerd
Firewall-CSP: DisableInboundNotifications- Niet geconfigureerd
- Blokkeren : meldingen verbergen voor gebruik wanneer een app niet kan luisteren op een poort.
- Toestaan : hiermee schakelt u deze instelling in en wordt mogelijk een melding weergegeven aan gebruikers wanneer een app niet kan luisteren op een poort.
Standaardactie voor uitgaande verbindingen
Standaardinstelling: niet geconfigureerd
Firewall-CSP: DefaultOutboundActionConfigureer de standaardactie die firewall uitvoert op uitgaande verbindingen. Deze instelling wordt toegepast op Windows versie 1809 en hoger.
- Niet geconfigureerd
- Blokkeren : de standaardfirewallactie wordt niet uitgevoerd op uitgaand verkeer, tenzij expliciet is opgegeven dat deze niet mag worden geblokkeerd.
- Toestaan : standaardfirewallacties worden uitgevoerd op uitgaande verbindingen.
Standaardactie voor binnenkomende verbindingen
Standaardinstelling: niet geconfigureerd
Firewall-CSP: DefaultInboundAction- Niet geconfigureerd
- Blokkeren : de standaardfirewallactie wordt niet uitgevoerd op binnenkomende verbindingen.
- Toestaan : standaardfirewallacties worden uitgevoerd op binnenkomende verbindingen.
Regel samenvoegen
Windows Firewall-regels voor geautoriseerde toepassingen uit het lokale archief
Standaardinstelling: niet geconfigureerd
Firewall-CSP: AuthAppsAllowUserPrefMerge- Niet geconfigureerd
- Blokkeren : de firewallregels van de geautoriseerde toepassing in het lokale archief worden genegeerd en niet afgedwongen.
- Toestaan : kies Inschakelen Firewallregels toepassen in het lokale archief, zodat ze worden herkend en afgedwongen.
Windows Firewall-regels voor globale poort uit het lokale archief
Standaardinstelling: niet geconfigureerd
Firewall-CSP: GlobalPortsAllowUserPrefMerge- Niet geconfigureerd
- Blokkeren : de globale poortfirewallregels in het lokale archief worden genegeerd en niet afgedwongen.
- Toestaan : globale poortfirewallregels toepassen in het lokale archief om te worden herkend en afgedwongen.
Windows Firewall-regels uit het lokale archief
Standaardinstelling: niet geconfigureerd
Firewall-CSP: AllowLocalPolicyMerge- Niet geconfigureerd
- Blokkeren : firewallregels uit het lokale archief worden genegeerd en niet afgedwongen.
- Toestaan : firewallregels toepassen in het lokale archief om te worden herkend en afgedwongen.
IPsec-regels uit het lokale archief
Standaardinstelling: niet geconfigureerd
Firewall-CSP: AllowLocalIpsecPolicyMerge- Niet geconfigureerd
- Blokkeren : de verbindingsbeveiligingsregels uit het lokale archief worden genegeerd en niet afgedwongen, ongeacht de schemaversie en versie van de verbindingsbeveiligingsregel.
- Toestaan : beveiligingsregels voor verbindingen toepassen vanuit het lokale archief, ongeacht de versies van schema of verbindingsbeveiligingsregel.
Firewallregels
U kunt een of meer aangepaste firewallregels toevoegen . Zie Aangepaste firewallregels toevoegen voor Windows-apparaten voor meer informatie.
Aangepaste firewallregels ondersteunen de volgende opties:
Algemene instellingen
Naam
Standaardinstelling: Geen naamGeef een beschrijvende naam op voor uw regel. Deze naam wordt weergegeven in de lijst met regels om u te helpen deze te identificeren.
Beschrijving
Standaardinstelling: Geen beschrijvingGeef een beschrijving van de regel op.
Richting
Standaardinstelling: niet geconfigureerd
Firewall-CSP: FirewallRules/FirewallRuleName/DirectionGeef op of deze regel van toepassing is op binnenkomend of uitgaand verkeer. Wanneer de regel is ingesteld op Niet geconfigureerd, wordt de regel automatisch toegepast op uitgaand verkeer.
Actie
Standaardinstelling: niet geconfigureerd
Firewall-CSP: FirewallRules/FirewallRuleName/Action en FirewallRules/FirewallRuleName/Action/TypeSelecteer bij Toestaan of Blokkeren. Als de regel is ingesteld op Niet geconfigureerd, wordt standaard verkeer toegestaan.
Netwerktype
Standaardinstelling: 0 geselecteerd
Firewall-CSP: FirewallRules/FirewallRuleName/ProfilesSelecteer maximaal drie typen netwerktypen waartoe deze regel behoort. Opties zijn Domein, Privé en Openbaar. Als er geen netwerktypen zijn geselecteerd, is de regel van toepassing op alle drie de netwerktypen.
Toepassingsinstellingen
Toepassing(en)
Standaardinstelling: AlleVerbindingen voor een app of programma beheren. Apps en programma's kunnen worden opgegeven op bestandspad, pakketfamilienaam of servicenaam:
Pakketfamilienaam : geef een pakketfamilienaam op. Gebruik de PowerShell-opdracht Get-AppxPackage om de naam van de pakketfamilie te vinden.
Firewall-CSP: FirewallRules/FirewallRuleName/App/PackageFamilyNameBestandspad : u moet een bestandspad naar een app op het clientapparaat opgeven. Dit kan een absoluut pad of een relatief pad zijn. Bijvoorbeeld: C:\Windows\System\Notepad.exe of %WINDIR%\Notepad.exe.
Firewall-CSP: FirewallRules/FirewallRuleName/App/FilePathWindows-service : geef de korte naam van de Windows-service op als het een service is en niet een toepassing die verkeer verzendt of ontvangt. Gebruik de PowerShell-opdracht Get-Service om de korte naam van de service te vinden.
Firewall-CSP: FirewallRules/FirewallRuleName/App/ServiceNameAlle: er zijn geen configuraties vereist
IP-adresinstellingen
Geef de lokale en externe adressen op waarop deze regel van toepassing is.
Lokale adressen
Standaardinstelling: elk adres
Firewall-CSP: FirewallRules/FirewallRuleName/LocalPortRangesSelecteer Elk adres of Opgegeven adres.
Wanneer u Opgegeven adres gebruikt, voegt u een of meer adressen toe als een door komma's gescheiden lijst met lokale adressen die onder de regel vallen. Geldige tokens zijn onder andere:
- Gebruik een sterretje
*
voor een lokaal adres. Als u een sterretje gebruikt, moet dit het enige token zijn dat u gebruikt. - Geef een subnet op door de subnetmasker- of netwerkvoorvoegselnotatie. Als er geen subnetmasker of netwerkvoorvoegsel is opgegeven, wordt het subnetmasker standaard ingesteld op 255.255.255.255.
- Een geldig IPv6-adres.
- Een IPv4-adresbereik in de indeling 'beginadres - eindadres' zonder spaties.
- Een IPv6-adresbereik in de indeling 'beginadres - eindadres' zonder spaties.
- Gebruik een sterretje
Externe adressen
Standaardinstelling: elk adres
Firewall-CSP: FirewallRules/FirewallRuleName/RemoteAddressRangesSelecteer Elk adres of Opgegeven adres.
Wanneer u Opgegeven adres gebruikt, voegt u een of meer adressen toe als een door komma's gescheiden lijst met externe adressen die onder de regel vallen. Tokens zijn niet hoofdlettergevoelig. Geldige tokens zijn onder andere:
- Gebruik een sterretje *voor een extern adres. Als u een sterretje gebruikt, moet dit het enige token zijn dat u gebruikt.
Defaultgateway
DHCP
DNS
WINS
-
Intranet
(ondersteund in Windows-versies 1809 en hoger) -
RmtIntranet
(ondersteund in Windows-versies 1809 en hoger) -
Internet
(ondersteund in Windows-versies 1809 en hoger) -
Ply2Renders
(ondersteund in Windows-versies 1809 en hoger) -
LocalSubnet
geeft een lokaal adres in het lokale subnet aan. - Geef een subnet op door de subnetmasker- of netwerkvoorvoegselnotatie. Als er geen subnetmasker of netwerkvoorvoegsel is opgegeven, wordt het subnetmasker standaard ingesteld op 255.255.255.255.
- Een geldig IPv6-adres.
- Een IPv4-adresbereik in de indeling 'beginadres - eindadres' zonder spaties.
- Een IPv6-adresbereik in de indeling 'beginadres - eindadres' zonder spaties.
Poort- en protocolinstellingen
Geef de lokale en externe poorten op waarop deze regel van toepassing is.
-
Protocol
Standaardinstelling: Alle
Firewall-CSP: FirewallRules/FirewallRuleName/Protocol
Selecteer een van de volgende opties en voltooi de vereiste configuraties:- Alle : er is geen configuratie beschikbaar.
-
TCP : lokale en externe poorten configureren. Beide opties ondersteunen Alle poorten of Opgegeven poorten. Voer Opgegeven poorten in met behulp van een door komma's gescheiden lijst.
- Lokale poorten - Firewall-CSP: FirewallRules/FirewallRuleName/LocalPortRanges
- Externe poorten - Firewall-CSP: FirewallRules/FirewallRuleName/RemotePortRanges
-
UDP : lokale en externe poorten configureren. Beide opties ondersteunen Alle poorten of Opgegeven poorten. Voer Opgegeven poorten in met behulp van een door komma's gescheiden lijst.
- Lokale poorten - Firewall-CSP: FirewallRules/FirewallRuleName/LocalPortRanges
- Externe poorten - Firewall-CSP: FirewallRules/FirewallRuleName/RemotePortRanges
- Aangepast : geef een aangepast protocolnummer op van 0 tot 255.
Geavanceerde configuratie
Interfacetypen
Standaardinstelling: 0 geselecteerd
Firewall-CSP: FirewallRules/FirewallRuleName/InterfaceTypesSelecteer een van de volgende opties:
- Ras
- Draadloos
- Local Area Network
Alleen verbindingen van deze gebruikers toestaan
Standaard: alle gebruikers (standaard ingesteld op alle toepassingen wanneer er geen lijst is opgegeven)
Firewall-CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationListGeef een lijst op met geautoriseerde lokale gebruikers voor deze regel. Er kan geen lijst met geautoriseerde gebruikers worden opgegeven als deze regel van toepassing is op een Windows-service.
Instellingen voor Microsoft Defender SmartScreen
Microsoft Edge moet op het apparaat zijn geïnstalleerd.
SmartScreen voor apps en bestanden
Standaardinstelling: niet geconfigureerd
SmartScreen CSP: SmartScreen/EnableSmartScreenInShell- Niet geconfigureerd : hiermee schakelt u het gebruik van SmartScreen uit.
- Inschakelen : schakel Windows SmartScreen in voor het uitvoeren van bestanden en het uitvoeren van apps. SmartScreen is een cloudonderdeel voor antiphishing en antimalware.
Niet-geverifieerde bestanden uitvoeren
Standaardinstelling: niet geconfigureerd
SmartScreen-CSP: SmartScreen/PreventOverrideForFilesInShell- Niet geconfigureerd : hiermee schakelt u deze functie uit en kunnen eindgebruikers bestanden uitvoeren die niet zijn geverifieerd.
- Blokkeren : voorkomen dat eindgebruikers bestanden uitvoeren die niet zijn geverifieerd door Windows SmartScreen.
Windows-versleuteling
Windows-instellingen
Apparaten versleutelen
Standaardinstelling: niet geconfigureerd
BitLocker CSP: RequireDeviceEncryption-
Vereisen : gebruikers vragen om apparaatversleuteling in te schakelen. Afhankelijk van de Windows-editie en systeemconfiguratie kunnen gebruikers het volgende worden gevraagd:
- Om te bevestigen dat versleuteling van een andere provider niet is ingeschakeld.
- U moet BitLocker-stationsversleuteling uitschakelen en BitLocker weer inschakelen.
- Niet geconfigureerd
Als Windows-versleuteling is ingeschakeld terwijl een andere versleutelingsmethode actief is, kan het apparaat instabiel worden.
-
Vereisen : gebruikers vragen om apparaatversleuteling in te schakelen. Afhankelijk van de Windows-editie en systeemconfiguratie kunnen gebruikers het volgende worden gevraagd:
BitLocker-basisinstellingen
Basisinstellingen zijn universele BitLocker-instellingen voor alle typen gegevensstations. Deze instellingen beheren welke stationsversleutelingstaken of configuratieopties de eindgebruiker kan wijzigen voor alle typen gegevensstations.
Waarschuwing voor andere schijfversleuteling
Standaardinstelling: niet geconfigureerd
BitLocker CSP: AllowWarningForOtherDiskEncryption- Blokkeren : schakel de waarschuwingsprompt uit als een andere schijfversleutelingsservice zich op het apparaat bevindt.
- Niet geconfigureerd : hiermee staat u toe dat de waarschuwing voor andere schijfversleuteling wordt weergegeven.
Tip
Als u BitLocker automatisch en op de achtergrond wilt installeren op een apparaat dat is gekoppeld aan Microsoft Entra en waarop Windows 1809 of hoger wordt uitgevoerd, moet deze instelling worden ingesteld op Blokkeren. Zie BitLocker op de achtergrond inschakelen op apparaten voor meer informatie.
Wanneer deze instelling is ingesteld op Blokkeren, kunt u vervolgens de volgende instelling configureren:
Standaardgebruikers toestaan om versleuteling in te schakelen tijdens Microsoft Entra-deelname
Deze instelling is alleen van toepassing op Microsoft Entra-gekoppelde (Azure ADJ)-apparaten en is afhankelijk van de vorige instelling,Warning for other disk encryption
.
Standaardinstelling: niet geconfigureerd
BitLocker CSP: AllowStandardUserEncryption- Toestaan : standaardgebruikers (niet-beheerders) kunnen BitLocker-versleuteling inschakelen wanneer ze zijn aangemeld.
- Niet geconfigureerd alleen beheerders kunnen BitLocker-versleuteling op het apparaat inschakelen.
Tip
Als u BitLocker automatisch en op de achtergrond wilt installeren op een apparaat dat is gekoppeld aan Microsoft Entra en waarop Windows 1809 of hoger wordt uitgevoerd, moet deze instelling zijn ingesteld op Toestaan. Zie BitLocker op de achtergrond inschakelen op apparaten voor meer informatie.
Versleutelingsmethoden configureren
Standaardinstelling: niet geconfigureerd
BitLocker CSP: EncryptionMethodByDriveType- Inschakelen : versleutelingsalgoritmen configureren voor besturingssysteem, gegevens en verwisselbare stations.
- Niet geconfigureerd : BitLocker gebruikt XTS-AES 128-bits als de standaardversleutelingsmethode of gebruikt de versleutelingsmethode die is opgegeven door een installatiescript.
Wanneer deze optie is ingesteld op Inschakelen, kunt u de volgende instellingen configureren:
Versleuteling voor besturingssysteemstations
Standaardinstelling: XTS-AES 128-bitsKies de versleutelingsmethode voor besturingssysteemstations. U wordt aangeraden het algoritme XTS-AES te gebruiken.
- AES-CBC 128-bits
- AES-CBC 256-bits
- XTS-AES 128-bits
- XTS-AES 256-bits
Versleuteling voor vaste gegevensstations
Standaardinstelling: AES-CBC 128-bitsKies de versleutelingsmethode voor vaste (ingebouwde) gegevensstations. U wordt aangeraden het algoritme XTS-AES te gebruiken.
- AES-CBC 128-bits
- AES-CBC 256-bits
- XTS-AES 128-bits
- XTS-AES 256-bits
Versleuteling voor verwisselbare gegevensstations
Standaardinstelling: AES-CBC 128-bitsKies de versleutelingsmethode voor verwisselbare gegevensstations. Als het verwisselbare station wordt gebruikt met apparaten waarop Windows 10/11 niet wordt uitgevoerd, raden we u aan het AES-CBC-algoritme te gebruiken.
- AES-CBC 128-bits
- AES-CBC 256-bits
- XTS-AES 128-bits
- XTS-AES 256-bits
Instellingen voor BitLocker-besturingssysteemstation
Deze instellingen zijn specifiek van toepassing op gegevensstations van het besturingssysteem.
Aanvullende verificatie bij het opstarten
Standaardinstelling: niet geconfigureerd
BitLocker CSP: SystemDrivesRequireStartupAuthentication- Vereisen : configureer de verificatievereisten voor het opstarten van de computer, inclusief het gebruik van Tpm (Trusted Platform Module).
- Niet geconfigureerd : configureer alleen basisopties op apparaten met een TPM.
Wanneer deze optie is ingesteld op Vereisen, kunt u de volgende instellingen configureren:
BitLocker met niet-compatibele TPM-chip
Standaardinstelling: niet geconfigureerd- Blokkeren : schakel het gebruik van BitLocker uit wanneer een apparaat geen compatibele TPM-chip heeft.
- Niet geconfigureerd : gebruikers kunnen BitLocker gebruiken zonder een compatibele TPM-chip. Voor BitLocker is mogelijk een wachtwoord of opstartsleutel vereist.
Compatibele TPM-opstart
Standaardinstelling: TPM toestaanConfigureer of TPM is toegestaan, vereist of niet is toegestaan.
- TPM toestaan
- TPM niet toestaan
- TPM vereisen
Compatibele TPM-opstartpincode
Standaardinstelling: Opstartpincode met TPM toestaanKies ervoor om het gebruik van een opstartpincode met de TPM-chip toe te staan, niet toe te staan of te vereisen. Voor het inschakelen van een opstartpincode is interactie van de eindgebruiker vereist.
- Opstartpincode met TPM toestaan
- Opstartpincode met TPM niet toestaan
- Opstartpincode met TPM vereisen
Tip
Als u BitLocker automatisch en op de achtergrond wilt installeren op een apparaat dat is gekoppeld aan Microsoft Entra en waarop Windows 1809 of hoger wordt uitgevoerd, moet deze instelling niet worden ingesteld op Opstartpincode vereisen met TPM. Zie BitLocker op de achtergrond inschakelen op apparaten voor meer informatie.
Compatibele TPM-opstartsleutel
Standaardinstelling: Opstartsleutel met TPM toestaanKies ervoor om het gebruik van een opstartsleutel met de TPM-chip toe te staan, niet toe te staan of te vereisen. Voor het inschakelen van een opstartsleutel is interactie van de eindgebruiker vereist.
- Opstartsleutel met TPM toestaan
- Opstartsleutel met TPM niet toestaan
- Opstartsleutel met TPM vereisen
Tip
Als u BitLocker automatisch en op de achtergrond wilt installeren op een apparaat dat is gekoppeld aan Microsoft Entra en waarop Windows 1809 of hoger wordt uitgevoerd, moet deze instelling niet worden ingesteld op Opstartsleutel vereisen met TPM. Zie BitLocker op de achtergrond inschakelen op apparaten voor meer informatie.
Compatibele TPM-opstartsleutel en -pincode
Standaardinstelling: Opstartsleutel en pincode met TPM toestaanKies ervoor om het gebruik van een opstartsleutel en pincode met de TPM-chip toe te staan, niet toe te staan of te vereisen. Voor het inschakelen van de opstartsleutel en pincode is interactie van de eindgebruiker vereist.
- Opstartsleutel en pincode toestaan met TPM
- Opstartsleutel en pincode niet toestaan met TPM
- Opstartsleutel en pincode vereisen met TPM
Tip
Als u BitLocker automatisch en op de achtergrond wilt installeren op een apparaat dat is gekoppeld aan Microsoft Entra en waarop Windows 1809 of hoger wordt uitgevoerd, moet deze instelling niet worden ingesteld op Opstartsleutel en pincode vereisen met TPM. Zie BitLocker op de achtergrond inschakelen op apparaten voor meer informatie.
Minimale lengte van pincode
Standaardinstelling: niet geconfigureerd
BitLocker CSP: SystemDrivesMinimumPINLength- Inschakelen Configureer een minimale lengte voor de TPM-opstartpincode.
- Niet geconfigureerd : gebruikers kunnen een opstartpincode van elke lengte tussen 6 en 20 cijfers configureren.
Wanneer deze optie is ingesteld op Inschakelen, kunt u de volgende instelling configureren:
Minimale tekens
Standaardinstelling: Niet geconfigureerde BitLocker-CSP: SystemDrivesMinimumPINLengthVoer het aantal tekens in dat is vereist voor de opstartpincode van 4-20.
Herstel van besturingssysteemstation
Standaardinstelling: niet geconfigureerd
BitLocker CSP: SystemDrivesRecoveryOptions- Inschakelen : bepaal hoe met BitLocker beveiligde besturingssysteemstations worden hersteld wanneer de vereiste opstartgegevens niet beschikbaar zijn.
- Niet geconfigureerd : standaardherstelopties worden ondersteund, inclusief DRA. De eindgebruiker kan herstelopties opgeven. Er wordt geen back-up gemaakt van herstelgegevens naar AD DS.
Wanneer deze optie is ingesteld op Inschakelen, kunt u de volgende instellingen configureren:
Agent voor gegevensherstel op basis van certificaten
Standaardinstelling: niet geconfigureerd- Blokkeren : voorkom het gebruik van een agent voor gegevensherstel met met BitLocker beveiligde besturingssysteemstations.
- Niet geconfigureerd : sta toe dat agents voor gegevensherstel worden gebruikt met met BitLocker beveiligde besturingssysteemstations.
Gebruikers maken van herstelwachtwoord
Standaardinstelling: 48-cijferig herstelwachtwoord toestaanKies of gebruikers een herstelwachtwoord van 48 cijfers mogen genereren, verplicht of niet mogen genereren.
- 48-cijferig herstelwachtwoord toestaan
- Herstelwachtwoord van 48 cijfers niet toestaan
- Herstelwachtwoord van 48 cijfers vereisen
Gebruikers maken van de herstelsleutel
Standaardinstelling: 256-bits herstelsleutel toestaanKies of gebruikers een 256-bits herstelsleutel mogen genereren, verplicht of niet mogen genereren.
- 256-bits herstelsleutel toestaan
- 256-bits herstelsleutel niet toestaan
- 256-bits herstelsleutel vereisen
Herstelopties in de wizard BitLocker instellen
Standaardinstelling: niet geconfigureerd- Blokkeren : gebruikers kunnen de herstelopties niet zien en wijzigen. Wanneer ingesteld op
- Niet geconfigureerd : gebruikers kunnen de herstelopties zien en wijzigen wanneer ze BitLocker inschakelen.
BitLocker-herstelgegevens opslaan in Microsoft Entra ID
Standaardinstelling: niet geconfigureerd- Inschakelen : sla de BitLocker-herstelgegevens op in Microsoft Entra ID.
- Niet geconfigureerd : BitLocker-herstelgegevens worden niet opgeslagen in Microsoft Entra ID.
BitLocker-herstelgegevens die zijn opgeslagen in Microsoft Entra ID
Standaardinstelling: Back-up van herstelwachtwoorden en sleutelpakkettenConfigureer welke onderdelen van BitLocker-herstelgegevens worden opgeslagen in Microsoft Entra ID. Kies uit:
- Back-upherstelwachtwoorden en sleutelpakketten
- Alleen back-upwachtwoorden voor herstel
Wachtwoordrotatie op basis van clientgestuurd herstel
Standaardinstelling: niet geconfigureerd
BitLocker CSP: ConfigureRecoveryPasswordRotationDeze instelling initieert een clientgestuurde herstelwachtwoordrotatie na herstel van een besturingssysteemstation (met behulp van bootmgr of WinRE).
- Niet geconfigureerd
- Sleutelrotatie uitgeschakeld
- Sleutelrotatie ingeschakeld voor aan Microsoft Entra gekoppelde deices
- Sleutelrotatie ingeschakeld voor Microsoft Entra ID- en hybride apparaten
Herstelgegevens opslaan in Microsoft Entra ID voordat u BitLocker inschakelt
Standaardinstelling: niet geconfigureerdVoorkomen dat gebruikers BitLocker inschakelen, tenzij de computer een back-up maakt van de BitLocker-herstelgegevens naar Microsoft Entra ID.
- Vereisen : voorkom dat gebruikers BitLocker inschakelen, tenzij de BitLocker-herstelgegevens zijn opgeslagen in Microsoft Entra ID.
- Niet geconfigureerd : gebruikers kunnen BitLocker inschakelen, zelfs als herstelgegevens niet zijn opgeslagen in Microsoft Entra ID.
Pre-boot herstelbericht en URL
Standaardinstelling: niet geconfigureerd
BitLocker CSP: SystemDrivesRecoveryMessage- Inschakelen : configureer het bericht en de URL die worden weergegeven op het scherm voor herstel van de pre-bootsleutel.
- Niet geconfigureerd : schakel deze functie uit.
Wanneer deze optie is ingesteld op Inschakelen, kunt u de volgende instelling configureren:
Pre-boot-herstelbericht
Standaardinstelling: Standaardherstelbericht en URL gebruikenConfigureer hoe het pre-boot-herstelbericht wordt weergegeven voor gebruikers. Kies uit:
- Standaard herstelbericht en URL gebruiken
- Leeg herstelbericht en URL gebruiken
- Aangepast herstelbericht gebruiken
- Aangepaste herstel-URL gebruiken
BitLocker-instellingen voor vaste gegevensstations
Deze instellingen zijn specifiek van toepassing op vaste gegevensstations.
Schrijftoegang tot een vast gegevensstation dat niet wordt beveiligd met BitLocker
Standaardinstelling: niet geconfigureerd
BitLocker CSP: FixedDrivesRequireEncryption- Blokkeren : geef alleen-lezentoegang tot gegevensstations die niet met BitLocker zijn beveiligd.
- Niet geconfigureerd : standaard lees- en schrijftoegang tot gegevensstations die niet zijn versleuteld.
Herstel van vaste schijf
Standaardinstelling: niet geconfigureerd
BitLocker CSP: FixedDrivesRecoveryOptions- Inschakelen : bepaal hoe met BitLocker beveiligde vaste stations worden hersteld wanneer de vereiste opstartgegevens niet beschikbaar zijn.
- Niet geconfigureerd : schakel deze functie uit.
Wanneer deze optie is ingesteld op Inschakelen, kunt u de volgende instellingen configureren:
Agent voor gegevensherstel
Standaardinstelling: niet geconfigureerd- Blokkeren : voorkom het gebruik van de agent voor gegevensherstel met met BitLocker beveiligde vaste stations beleidseditor.
- Niet geconfigureerd : hiermee kunt u agents voor gegevensherstel gebruiken met met BitLocker beveiligde vaste stations.
Gebruikers maken van herstelwachtwoord
Standaardinstelling: 48-cijferig herstelwachtwoord toestaanKies of gebruikers een herstelwachtwoord van 48 cijfers mogen genereren, verplicht of niet mogen genereren.
- 48-cijferig herstelwachtwoord toestaan
- Herstelwachtwoord van 48 cijfers niet toestaan
- Herstelwachtwoord van 48 cijfers vereisen
Gebruikers maken van de herstelsleutel
Standaardinstelling: 256-bits herstelsleutel toestaanKies of gebruikers een 256-bits herstelsleutel mogen genereren, verplicht of niet mogen genereren.
- 256-bits herstelsleutel toestaan
- 256-bits herstelsleutel niet toestaan
- 256-bits herstelsleutel vereisen
Herstelopties in de wizard BitLocker instellen
Standaardinstelling: niet geconfigureerd- Blokkeren : gebruikers kunnen de herstelopties niet zien en wijzigen. Wanneer ingesteld op
- Niet geconfigureerd : gebruikers kunnen de herstelopties zien en wijzigen wanneer ze BitLocker inschakelen.
BitLocker-herstelgegevens opslaan in Microsoft Entra ID
Standaardinstelling: niet geconfigureerd- Inschakelen : sla de BitLocker-herstelgegevens op in Microsoft Entra ID.
- Niet geconfigureerd : BitLocker-herstelgegevens worden niet opgeslagen in Microsoft Entra ID.
BitLocker-herstelgegevens die zijn opgeslagen in Microsoft Entra ID
Standaardinstelling: Back-up van herstelwachtwoorden en sleutelpakkettenConfigureer welke onderdelen van BitLocker-herstelgegevens worden opgeslagen in Microsoft Entra ID. Kies uit:
- Back-upherstelwachtwoorden en sleutelpakketten
- Alleen back-upwachtwoorden voor herstel
Herstelgegevens opslaan in Microsoft Entra ID voordat u BitLocker inschakelt
Standaardinstelling: niet geconfigureerdVoorkomen dat gebruikers BitLocker inschakelen, tenzij de computer een back-up maakt van de BitLocker-herstelgegevens naar Microsoft Entra ID.
- Vereisen : voorkom dat gebruikers BitLocker inschakelen, tenzij de BitLocker-herstelgegevens zijn opgeslagen in Microsoft Entra ID.
- Niet geconfigureerd : gebruikers kunnen BitLocker inschakelen, zelfs als herstelgegevens niet zijn opgeslagen in Microsoft Entra ID.
BitLocker-instellingen voor verwisselbaar gegevensstation
Deze instellingen zijn specifiek van toepassing op verwisselbare gegevensstations.
Schrijftoegang tot verwisselbaar gegevensstation dat niet is beveiligd met BitLocker
Standaardinstelling: niet geconfigureerd
BitLocker CSP: RemovableDrivesRequireEncryption- Blokkeren : geef alleen-lezentoegang tot gegevensstations die niet met BitLocker zijn beveiligd.
- Niet geconfigureerd : standaard lees- en schrijftoegang tot gegevensstations die niet zijn versleuteld.
Wanneer deze optie is ingesteld op Inschakelen, kunt u de volgende instelling configureren:
Schrijftoegang tot apparaten die zijn geconfigureerd in een andere organisatie
Standaardinstelling: niet geconfigureerd- Blokkeren : schrijftoegang blokkeren voor apparaten die zijn geconfigureerd in een andere organisatie.
- Niet geconfigureerd: schrijftoegang weigeren.
Microsoft Defender Exploit Guard
Gebruik exploit protection om de kwetsbaarheid voor aanvallen van apps die door uw werknemers worden gebruikt, te beheren en te verminderen.
Kwetsbaarheid voor aanvallen verminderen
Regels voor het verminderen van kwetsbaarheid voor aanvallen helpen voorkomen dat malware vaak gebruikt om computers te infecteren met schadelijke code.
Regels voor het verminderen van kwetsbaarheid voor aanvallen
Zie Regels voor het verminderen van kwetsbaarheid voor aanvallen in de documentatie van Microsoft Defender voor Eindpunt voor meer informatie.
Samenvoeggedrag voor regels voor het verminderen van kwetsbaarheid voor aanvallen in Intune:
Regels voor het verminderen van kwetsbaarheid voor aanvallen ondersteunen een samenvoeging van instellingen van verschillende beleidsregels om een superset van beleid voor elk apparaat te maken. Alleen de instellingen die niet conflicteren, worden samengevoegd, terwijl instellingen die conflicteren niet worden toegevoegd aan de superset van regels. Als twee beleidsregels voorheen conflicten bevatten voor één instelling, werden beide beleidsregels gemarkeerd als conflict en werden er geen instellingen van een van beide profielen geïmplementeerd.
Het samenvoeggedrag van regels voor het verminderen van de kwetsbaarheid voor aanvallen is als volgt:
- Regels voor het verminderen van kwetsbaarheid voor aanvallen van de volgende profielen worden geëvalueerd voor elk apparaat waarvoor de regels van toepassing zijn:
- Apparaten > Configuratiebeleid > Eindpuntbeveiligingsprofiel > Microsoft Defender Exploit Guard >Kwetsbaarheid voor aanvallen verminderen
- Eindpuntbeveiliging > Beleid voor het verminderen van > kwetsbaarheid voor aanvallen Regels voor het verminderen van kwetsbaarheid
- Eindpuntbeveiliging > Beveiligingsbasislijnen > Microsoft Defender voor Eindpunt Basislijn >Kwetsbaarheid voor aanvallen verminderen.
- Instellingen die geen conflicten hebben, worden toegevoegd aan een superset van beleid voor het apparaat.
- Wanneer twee of meer beleidsregels conflicterende instellingen hebben, worden de conflicterende instellingen niet toegevoegd aan het gecombineerde beleid. Instellingen die geen conflict veroorzaken, worden toegevoegd aan het supersetbeleid dat van toepassing is op een apparaat.
- Alleen de configuraties voor conflicterende instellingen worden tegengehouden.
Instellingen in dit profiel:
Vlag voor het stelen van referenties van het Windows-subsysteem voor lokale beveiligingsinstantie
Standaardinstelling: niet geconfigureerd
Regel: Het stelen van referenties van het Windows-subsysteem voor lokale beveiligingsinstanties (lsass.exe) blokkerenHelp acties en apps te voorkomen die doorgaans worden gebruikt door malware die op zoek is naar misbruik om machines te infecteren.
- Niet geconfigureerd
- Inschakelen : markeer het stelen van referenties van het windows-subsysteem (lsass.exe).
- Alleen audit
Proces maken vanuit Adobe Reader (bètaversie)
Standaardinstelling: niet geconfigureerd
Regel: Voorkomen dat Adobe Reader onderliggende processen maakt- Niet geconfigureerd
- Inschakelen : onderliggende processen blokkeren die zijn gemaakt op basis van Adobe Reader.
- Alleen audit
Regels om Office-macrobedreigingen te voorkomen
Voorkomen dat Office-apps de volgende acties uitvoeren:
Office-apps die worden geïnjecteerd in andere processen (geen uitzonderingen)
Standaardinstelling: niet geconfigureerd
Regel: Voorkomen dat Office-toepassingen code in andere processen injecteren- Niet geconfigureerd
- Blokkeren : voorkomen dat Office-apps worden geïnjecteerd in andere processen.
- Alleen audit
Office-apps/macro's die uitvoerbare inhoud maken
Standaardinstelling: niet geconfigureerd
Regel: Office-toepassingen blokkeren voor het maken van uitvoerbare inhoud- Niet geconfigureerd
- Blokkeren : voorkomen dat Office-apps en macro's uitvoerbare inhoud kunnen maken.
- Alleen audit
Office-apps die onderliggende processen starten
Standaardinstelling: niet geconfigureerd
Regel: Voorkomen dat alle Office-toepassingen onderliggende processen maken- Niet geconfigureerd
- Blokkeren : Voorkomen dat Office-apps onderliggende processen starten.
- Alleen audit
Win32 importeert uit Office-macrocode
Standaardinstelling: niet geconfigureerd
Regel: Win32-API-aanroepen blokkeren vanuit Office-macro's- Niet geconfigureerd
- Blokkeren : Win32-importbewerkingen blokkeren uit macrocode in Office.
- Alleen audit
Proces maken vanuit Office-communicatieproducten
Standaardinstelling: niet geconfigureerd
Regel: Voorkomen dat de Office-communicatietoepassing onderliggende processen maakt- Niet geconfigureerd
- Inschakelen : het maken van onderliggende processen vanuit Office-communicatie-apps blokkeren.
- Alleen audit
Regels om scriptbedreigingen te voorkomen
Blokkeer het volgende om scriptbedreigingen te voorkomen:
Verborgen js/vbs/ps/macrocode
Standaardinstelling: niet geconfigureerd
Regel: Uitvoering van mogelijk verborgen scripts blokkeren- Niet geconfigureerd
- Blokkeren : Blokkeer alle verborgen js/vbs/ps/macro-code.
- Alleen audit
js/vbs die nettolading uitvoert die is gedownload van internet (geen uitzonderingen)
Standaardinstelling: niet geconfigureerd
Regel: JavaScript of VBScript blokkeren voor het starten van gedownloade uitvoerbare inhoud- Niet geconfigureerd
- Blokkeren : hiermee kunt u voorkomen dat js/vbs nettolading uitvoert die is gedownload van internet.
- Alleen audit
Proces maken vanuit PSExec- en WMI-opdrachten
Standaardinstelling: niet geconfigureerd
Regel: Procescreaties blokkeren die afkomstig zijn van PSExec- en WMI-opdrachten- Niet geconfigureerd
- Blokkeren : procescreaties blokkeren die afkomstig zijn van PSExec- en WMI-opdrachten.
- Alleen audit
Niet-vertrouwde en niet-ondertekende processen die worden uitgevoerd vanaf USB
Standaardinstelling: niet geconfigureerd
Regel: Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB- Niet geconfigureerd
- Blokkeren : niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB.
- Alleen audit
Uitvoerbare bestanden die niet voldoen aan criteria voor prevalentie, leeftijd of vertrouwde lijst
Standaardinstelling: niet geconfigureerd
Regel: Voorkomen dat uitvoerbare bestanden worden uitgevoerd, tenzij ze voldoen aan een criterium voor de prevalentie, leeftijd of vertrouwde lijst- Niet geconfigureerd
- Blokkeren : voorkom dat uitvoerbare bestanden worden uitgevoerd, tenzij ze voldoen aan een prevalentie, leeftijd of vertrouwde lijstcriteria.
- Alleen audit
Regels om e-mailbedreigingen te voorkomen
Blokkeer het volgende om e-mailbedreigingen te voorkomen:
Uitvoering van uitvoerbare inhoud (exe, dll, ps, js, vbs, enzovoort) verwijderd uit e-mail (webmail/mailclient) (geen uitzonderingen)
Standaardinstelling: niet geconfigureerd
Regel: Uitvoerbare inhoud van e-mailclient en webmail blokkeren- Niet geconfigureerd
- Blokkeren : de uitvoering blokkeren van uitvoerbare inhoud (exe, dll, ps, js, vbs, enzovoort) die uit e-mail is verwijderd (webmail/mail-client).
- Alleen audit
Regels ter bescherming tegen ransomware
Geavanceerde ransomware-beveiliging
Standaardinstelling: niet geconfigureerd
Regel: Geavanceerde beveiliging tegen ransomware gebruiken- Niet geconfigureerd
- Inschakelen : gebruik agressieve ransomware-beveiliging.
- Alleen audit
Uitzonderingen voor kwetsbaarheid voor aanvallen verminderen
Bestanden en mappen die moeten worden uitgesloten van regels voor het verminderen van kwetsbaarheid voor aanvallen
Defender CSP: AttackSurfaceReductionOnlyExclusions- Importeer een .csv-bestand dat bestanden en mappen bevat om uit te sluiten van regels voor het verminderen van kwetsbaarheid voor aanvallen.
- Lokale bestanden of mappen handmatig toevoegen.
Belangrijk
Om de juiste installatie en uitvoering van LOB Win32-apps mogelijk te maken, moeten antimalwareinstellingen de volgende mappen uitsluiten van het scannen van de volgende mappen:
Op X64-clientcomputers:
C:\Program Files (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache
Op X86-clientcomputers:
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache
Zie Aanbevelingen voor virusscans voor bedrijfscomputers waarop momenteel ondersteunde versies van Windows worden uitgevoerd voor meer informatie.
Gecontroleerde mappentoegang
Bescherm waardevolle gegevens tegen schadelijke apps en bedreigingen, zoals ransomware.
Mapbeveiliging
Standaardinstelling: niet geconfigureerd
Defender CSP: EnableControlledFolderAccessBeveilig bestanden en mappen tegen niet-geautoriseerde wijzigingen door onvriendelijke apps.
- Niet geconfigureerd
- Inschakelen
- Alleen audit
- Schijfwijziging blokkeren
- Schijfwijziging controleren
Wanneer u een andere configuratie dan Niet geconfigureerd selecteert, kunt u vervolgens het volgende configureren:
Lijst met apps die toegang hebben tot beveiligde mappen
Defender CSP: ControlledFolderAccessAllowedApplications- Importeer een .csv-bestand dat een app-lijst bevat.
- Voeg apps handmatig toe aan deze lijst.
Lijst met extra mappen die moeten worden beveiligd
Defender CSP: ControlledFolderAccessProtectedFolders- Importeer een .csv-bestand dat een mappenlijst bevat.
- Mappen handmatig toevoegen aan deze lijst.
Netwerkfiltering
Blokkeer uitgaande verbindingen van apps naar IP-adressen of domeinen met een lage reputatie. Netwerkfiltering wordt ondersteund in de modus Audit en Block.
Netwerkbeveiliging
Standaardinstelling: niet geconfigureerd
Defender CSP: EnableNetworkProtectionDe bedoeling van deze instelling is om eindgebruikers te beschermen tegen apps met toegang tot phishing-oplichting, exploit-hostingsites en schadelijke inhoud op internet. Het voorkomt ook dat browsers van derden verbinding maken met gevaarlijke sites.
- Niet geconfigureerd : schakel deze functie uit. Gebruikers en apps worden niet geblokkeerd om verbinding te maken met gevaarlijke domeinen. Beheerders kunnen deze activiteit niet zien in Microsoft Defender-beveiligingscentrum.
- Inschakelen : schakel netwerkbeveiliging in en voorkom dat gebruikers en apps verbinding maken met gevaarlijke domeinen. Beheerders kunnen deze activiteit zien in Microsoft Defender Security Center.
- Alleen controleren: gebruikers en apps worden niet geblokkeerd om verbinding te maken met gevaarlijke domeinen. Beheerders kunnen deze activiteit zien in Microsoft Defender Security Center.
Bescherming tegen misbruik
XML uploaden
Standaardinstelling: niet geconfigureerdAls u Exploit Protection wilt gebruiken om apparaten te beschermen tegen aanvallen, maakt u een XML-bestand met de gewenste instellingen voor systeem- en toepassingsbeperking. Er zijn twee methoden om het XML-bestand te maken:
PowerShell : gebruik een of meer PowerShell-cmdlets Get-ProcessMitigation, Set-ProcessMitigation en ConvertTo-ProcessMitigationPolicy . De cmdlets configureren instellingen voor risicobeperking en exporteren er een XML-weergave van.
Gebruikersinterface van Microsoft Defender Security Center : selecteer app & browserbeheer in het Microsoft Defender-beveiligingscentrum en schuif vervolgens naar de onderkant van het scherm om Exploit Protection te vinden. Gebruik eerst de tabbladen Systeeminstellingen en Programma-instellingen om instellingen voor risicobeperking te configureren. Zoek vervolgens de koppeling Exportinstellingen onder aan het scherm om een XML-weergave ervan te exporteren.
Gebruikers bewerken van de interface voor exploit protection
Standaardinstelling: niet geconfigureerd
ExploitGuard CSP: ExploitProtectionSettings- Blokkeren : upload een XML-bestand waarmee u geheugen, besturingsstroom en beleidsbeperkingen kunt configureren. De instellingen in het XML-bestand kunnen worden gebruikt om misbruik van een toepassing te blokkeren.
- Niet geconfigureerd : er wordt geen aangepaste configuratie gebruikt.
Microsoft Defender Application Control
Kies apps die moeten worden gecontroleerd door of die worden vertrouwd om te worden uitgevoerd door Microsoft Defender Application Control. Windows-onderdelen en alle apps uit de Windows Store worden automatisch vertrouwd om te worden uitgevoerd.
Integriteitsbeleid voor toepassingsbeheercode
Standaardinstelling: niet geconfigureerd
CSP: AppLocker CSPAfdwingen : kies het integriteitsbeleid voor toepassingsbeheercode voor de apparaten van uw gebruikers.
Nadat toepassingsbeheer is ingeschakeld op een apparaat, kan toepassingsbeheer alleen worden uitgeschakeld door de modus te wijzigen van Afdwingen in Alleen controleren. Als u de modus wijzigt van Afdwingen in Niet geconfigureerd , wordt toepassingsbeheer nog steeds afgedwongen op toegewezen apparaten.
Niet geconfigureerd : toepassingsbeheer wordt niet toegevoegd aan apparaten. Instellingen die eerder zijn toegevoegd, worden echter nog steeds afgedwongen op toegewezen apparaten.
Alleen controle : toepassingen worden niet geblokkeerd. Alle gebeurtenissen worden geregistreerd in de logboeken van de lokale client.
Opmerking
Als u deze instelling gebruikt, vraagt AppLocker CSP-gedrag eindgebruikers momenteel om hun computer opnieuw op te starten wanneer een beleid wordt geïmplementeerd.
Microsoft Defender Credential Guard
Microsoft Defender Credential Guard beschermt tegen aanvallen met diefstal van referenties. Geheimen worden geïsoleerd, zodat alleen bevoegde systeemsoftware er toegang toe heeft.
Credential Guard
Standaardinstelling: Uitschakelen
DeviceGuard CSPUitschakelen : schakel Credential Guard op afstand uit als dit eerder was ingeschakeld met de optie Ingeschakeld zonder UEFI-vergrendeling .
Inschakelen met UEFI-vergrendeling : Credential Guard kan niet extern worden uitgeschakeld met behulp van een registersleutel of groepsbeleid.
Opmerking
Als u deze instelling gebruikt en credential Guard later wilt uitschakelen, moet u groepsbeleid instellen op Uitgeschakeld. En wis de UEFI-configuratiegegevens van elke computer fysiek. Zolang de UEFI-configuratie blijft bestaan, is Credential Guard ingeschakeld.
Inschakelen zonder UEFI-vergrendeling : hiermee kan Credential Guard extern worden uitgeschakeld met behulp van Groepsbeleid. Op de apparaten die deze instelling gebruiken, moet Windows 10 versie 1511 en hoger of Windows 11 worden uitgevoerd.
Wanneer u Credential Guard inschakelt , zijn de volgende vereiste functies ook ingeschakeld:
-
Beveiliging op basis van virtualisatie (VBS)
Wordt ingeschakeld tijdens de volgende herstart. Beveiliging op basis van virtualisatie maakt gebruik van de Windows Hypervisor om ondersteuning te bieden voor beveiligingsservices. -
Beveiligd opstarten met toegang tot mapgeheugen
Hiermee schakelt u VBS met beveiligd opstarten en DMA-beveiliging (Direct Memory Access) in. DMA-beveiligingen vereisen hardwareondersteuning en worden alleen ingeschakeld op correct geconfigureerde apparaten.
Microsoft Defender-beveiligingscentrum
Microsoft Defender Security Center werkt als een afzonderlijke app of proces van elk van de afzonderlijke functies. Er worden meldingen weergegeven via het actiecentrum. Het fungeert als een collector of enkele plaats om de status te bekijken en een configuratie uit te voeren voor elk van de functies. Meer informatie vindt u in de Microsoft Defender-documenten .
Microsoft Defender Security Center-app en -meldingen
De toegang van eindgebruikers tot de verschillende gebieden van de Microsoft Defender Security Center-app blokkeren. Als u een sectie verbergt, worden ook gerelateerde meldingen geblokkeerd.
Virus- en bedreigingsbeveiliging
Standaardinstelling: niet geconfigureerd
WindowsDefenderSecurityCenter CSP: DisableVirusUIConfigureer of eindgebruikers het gebied Virus- en bedreigingsbeveiliging kunnen bekijken in het Microsoft Defender-beveiligingscentrum. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot virus- en bedreigingsbeveiliging geblokkeerd.
- Niet geconfigureerd
- Verbergen
Ransomware-beveiliging
Standaardinstelling: niet geconfigureerd
WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecoveryConfigureer of eindgebruikers het gebied Ransomware-beveiliging kunnen bekijken in het Microsoft Defender-beveiligingscentrum. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot Ransomware-beveiliging geblokkeerd.
- Niet geconfigureerd
- Verbergen
Accountbeveiliging
Standaardinstelling: niet geconfigureerd
WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUIConfigureer of eindgebruikers het gebied Accountbeveiliging kunnen bekijken in het Microsoft Defender-beveiligingscentrum. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot accountbeveiliging geblokkeerd.
- Niet geconfigureerd
- Verbergen
Firewall- en netwerkbeveiliging
Standaardinstelling: niet geconfigureerd
WindowsDefenderSecurityCenter CSP: DisableNetworkUIConfigureer of eindgebruikers het gebied Firewall- en netwerkbeveiliging kunnen bekijken in het Microsoft Defender-beveiligingscentrum. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot firewall- en netwerkbeveiliging geblokkeerd.
- Niet geconfigureerd
- Verbergen
App- en browserbeheer
Standaardinstelling: niet geconfigureerd
WindowsDefenderSecurityCenter CSP: DisableAppBrowserUIConfigureer of eindgebruikers het app- en browserbeheergebied kunnen bekijken in het Microsoft Defender-beveiligingscentrum. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot app- en browserbeheer geblokkeerd.
- Niet geconfigureerd
- Verbergen
Hardwarebeveiliging
Standaardinstelling: niet geconfigureerd
WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUIConfigureer of eindgebruikers het gebied Hardwarebeveiliging kunnen bekijken in het Microsoft Defender-beveiligingscentrum. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot hardwarebeveiliging geblokkeerd.
- Niet geconfigureerd
- Verbergen
Apparaatprestaties en -status
Standaardinstelling: niet geconfigureerd
WindowsDefenderSecurityCenter CSP: DisableHealthUIConfigureer of eindgebruikers het gebied Apparaatprestaties en -status kunnen bekijken in het Microsoft Defender-beveiligingscentrum. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot de prestaties en status van het apparaat geblokkeerd.
- Niet geconfigureerd
- Verbergen
Gezinsopties
Standaardinstelling: niet geconfigureerd
WindowsDefenderSecurityCenter CSP: DisableFamilyUIConfigureer of eindgebruikers het gebied Gezinsopties kunnen bekijken in het Microsoft Defender-beveiligingscentrum. Als u deze sectie verbergt, worden ook alle meldingen met betrekking tot gezinsopties geblokkeerd.
- Niet geconfigureerd
- Verbergen
Meldingen van de weergegeven gebieden van de app
Standaardinstelling: niet geconfigureerd
WindowsDefenderSecurityCenter CSP: DisableNotificationsKies welke meldingen u wilt weergeven voor eindgebruikers. Niet-kritieke meldingen bevatten samenvattingen van Microsoft Defender Antivirus-activiteiten, inclusief meldingen wanneer scans zijn voltooid. Alle andere meldingen worden als kritiek beschouwd.
- Niet geconfigureerd
- Niet-kritieke meldingen blokkeren
- Alle meldingen blokkeren
Pictogram windows-beveiligingscentrum in het systeemvak
Standaardinstelling: Niet geconfigureerde WindowsDefenderSecurityCenter CSP: HideWindowsSecurityNotificationAreaControlConfigureer de weergave van het besturingselement voor het systeemvak. De gebruiker moet zich afmelden en aanmelden of de computer opnieuw opstarten om deze instelling van kracht te laten worden.
- Niet geconfigureerd
- Verbergen
TPM-knop wissen
Standaardinstelling: Niet geconfigureerde WindowsDefenderSecurityCenter CSP: DisableClearTpmButtonConfigureer de weergave van de knop TPM wissen.
- Niet geconfigureerd
- Uitschakelen
Waarschuwing tpm-firmware-update
Standaardinstelling: Niet geconfigureerd WindowsDefenderSecurityCenter CSP: DisableTpmFirmwareUpdateWarningConfigureer de weergave van tpm-firmware bijwerken wanneer een kwetsbare firmware wordt gedetecteerd.
- Niet geconfigureerd
- Verbergen
Manipulatiebeveiliging
Standaardinstelling: niet geconfigureerdSchakel Manipulatiebeveiliging in of uit op apparaten. Als u Manipulatiebeveiliging wilt gebruiken, moet u Microsoft Defender voor Eindpunt integreren met Intune en over Enterprise Mobility + Security E5-licenties beschikken.
- Niet geconfigureerd : er wordt geen wijziging aangebracht in de apparaatinstellingen.
- Ingeschakeld : Manipulatiebeveiliging is ingeschakeld en er worden beperkingen toegepast op apparaten.
- Uitgeschakeld : manipulatiebeveiliging is uitgeschakeld en beperkingen worden niet afgedwongen.
IT-contactgegevens
Geef contactgegevens voor IT op die moeten worden weergegeven in de Microsoft Defender Security Center-app en de app-meldingen.
U kunt kiezen tussen Weergeven in app en in meldingen, Alleen weergeven in app, Alleen weergeven in meldingen of Niet weergeven. Voer de naam van de IT-organisatie en ten minste een van de volgende contactopties in:
IT-contactgegevens
Standaardinstelling: Niet weergeven
WindowsDefenderSecurityCenter CSP: EnableCustomizedToastsConfigureren waar it-contactgegevens worden weergegeven voor eindgebruikers.
- Weergeven in app en in meldingen
- Alleen weergeven in app
- Alleen weergeven in meldingen
- Niet weergeven
Wanneer deze is geconfigureerd om weer te geven, kunt u de volgende instellingen configureren:
NAAM VAN IT-organisatie
Standaardinstelling: niet geconfigureerd
WindowsDefenderSecurityCenter CSP: CompanyNameTelefoonnummer of Skype-id van it-afdeling
Standaardinstelling: niet geconfigureerd
WindowsDefenderSecurityCenter CSP: TelefoonE-mailadres van IT-afdeling
Standaardinstelling: niet geconfigureerd
WindowsDefenderSecurityCenter CSP: E-mailURL van it-ondersteuningswebsite
Standaardinstelling: niet geconfigureerd
WindowsDefenderSecurityCenter CSP: URL
Beveiligingsopties voor lokale apparaten
Gebruik deze opties om de lokale beveiligingsinstellingen op Windows 10/11-apparaten te configureren.
Accounts
Nieuwe Microsoft-accounts toevoegen
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: Accounts_BlockMicrosoftAccounts- Blokkeren Voorkomen dat gebruikers nieuwe Microsoft-accounts toevoegen aan het apparaat.
- Niet geconfigureerd : gebruikers kunnen Microsoft-accounts op het apparaat gebruiken.
Extern aanmelden zonder wachtwoord
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly- Blokkeren : alleen lokale accounts met lege wachtwoorden mogen zich aanmelden met het toetsenbord van het apparaat.
- Niet geconfigureerd : lokale accounts met lege wachtwoorden toestaan zich aan te melden vanaf andere locaties dan het fysieke apparaat.
Beheerder
Lokaal beheerdersaccount
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly- Blokkeren Het gebruik van een lokaal beheerdersaccount voorkomen.
- Niet geconfigureerd
Naam van beheerdersaccount wijzigen
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: Accounts_RenameAdministratorAccountDefinieer een andere accountnaam die moet worden gekoppeld aan de beveiligings-id (SID) voor het account 'Administrator'.
Guest (Gast)
Gastaccount
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: LocalPoliciesSecurityOptions- Blokkeren : het gebruik van een gastaccount voorkomen.
- Niet geconfigureerd
Naam van gastaccount wijzigen
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: Accounts_RenameGuestAccountDefinieer een andere accountnaam die moet worden gekoppeld aan de beveiligings-id (SID) voor het account 'Gast'.
Apparaten
Apparaat loskoppelen zonder aanmelding
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: Devices_AllowUndockWithoutHavingToLogon- Blokkeren : een gebruiker moet zich aanmelden bij het apparaat en toestemming krijgen om het apparaat los te koppelen.
- Niet geconfigureerd : gebruikers kunnen op de fysieke uitwerpknop van een vastgezet draagbaar apparaat drukken om het apparaat veilig los te koppelen.
Printerstuurprogramma's voor gedeelde printers installeren
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters- Ingeschakeld : elke gebruiker kan een printerstuurprogramma installeren als onderdeel van het maken van verbinding met een gedeelde printer.
- Niet geconfigureerd : alleen beheerders kunnen een printerstuurprogramma installeren als onderdeel van het maken van verbinding met een gedeelde printer.
Toegang tot cd-rom beperken tot lokale actieve gebruiker
Standaardinstelling: niet geconfigureerd
CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly- Ingeschakeld : alleen de interactief aangemelde gebruiker kan de cd-rom-media gebruiken. Als dit beleid is ingeschakeld en niemand interactief is aangemeld, wordt de cd-rom geopend via het netwerk.
- Niet geconfigureerd : iedereen heeft toegang tot de cd-rom.
Verwisselbare media opmaken en uitwerpen
Standaardinstelling: Beheerders
CSP: Devices_AllowedToFormatAndEjectRemovableMediaDefinieer wie verwisselbare NTFS-media mag formatteren en uitwerpen:
- Niet geconfigureerd
- Beheerders
- Beheerders en hoofdgebruikers
- Beheerders en interactieve gebruikers
Interactieve aanmelding
Minuten van inactiviteit van het vergrendelingsscherm totdat schermbeveiliging wordt geactiveerd
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: InteractiveLogon_MachineInactivityLimitVoer het maximum aantal minuten van inactiviteit in totdat de schermbeveiliging wordt geactiveerd. (0 - 99999)
Ctrl+Alt+DEL vereisen om u aan te melden
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DoNotRequireCTRLALTDEL- Inschakelen : vereisen dat gebruikers op Ctrl+Alt+DEL drukken voordat ze zich aanmelden bij Windows.
- Niet geconfigureerd : u hoeft niet op Ctrl+Alt+DEL te drukken om zich aan te melden.
Gedrag van smartcardverwijdering
Standaardinstelling: Geen actie LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehaviorBepaalt wat er gebeurt wanneer de smartcard voor een aangemelde gebruiker uit de smartcardlezer wordt verwijderd. Uw opties:
- Werkstation vergrendelen : het werkstation wordt vergrendeld wanneer de smartcard wordt verwijderd. Met deze optie kunnen gebruikers het gebied verlaten, hun smartcard meenemen en toch een beveiligde sessie onderhouden.
- Geen actie
- Afmelden forceren : de gebruiker wordt automatisch afgemeld wanneer de smartcard wordt verwijderd.
- Verbinding verbreken als een extern bureaublad-servicessessie : als u de smartcard verwijdert, wordt de sessie verbroken zonder de gebruiker af te melden. Met deze optie kan de gebruiker de smartcard invoegen en de sessie later hervatten, of op een andere computer met smartcardlezer, zonder zich opnieuw aan te melden. Als de sessie lokaal is, werkt dit beleid identiek aan Werkstation vergrendelen.
Weergeven
Gebruikersgegevens op het vergrendelingsscherm
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLockedConfigureer de gebruikersgegevens die worden weergegeven wanneer de sessie is vergrendeld. Als deze niet is geconfigureerd, worden de weergavenaam, het domein en de gebruikersnaam van de gebruiker weergegeven.
- Niet geconfigureerd
- Weergavenaam, domein en gebruikersnaam van gebruiker
- Alleen weergavenaam van gebruiker
- Gebruikersgegevens niet weergeven
Laatst aangemelde gebruiker verbergen
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DoNotDisplayLastSignedIn- Inschakelen : de gebruikersnaam verbergen.
- Niet geconfigureerd : de laatste gebruikersnaam weergeven.
Gebruikersnaam verbergen bij aanmeldingStandaardinstelling: Niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn- Inschakelen : de gebruikersnaam verbergen.
- Niet geconfigureerd : de laatste gebruikersnaam weergeven.
Titel van aanmeldingsbericht
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOnStel de berichttitel in voor gebruikers die zich aanmelden.
Tekst van aanmeldingsbericht
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOnStel de berichttekst in voor gebruikers die zich aanmelden.
Netwerktoegang en -beveiliging
Anonieme toegang tot Named Pipes en Shares
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares- Niet geconfigureerd : anonieme toegang beperken tot share- en Named Pipe-instellingen. Is van toepassing op de instellingen die anoniem kunnen worden geopend.
- Blokkeren : schakel dit beleid uit en maak anonieme toegang beschikbaar.
Anonieme opsomming van SAM-accounts
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts- Niet geconfigureerd : anonieme gebruikers kunnen SAM-accounts opsommen.
- Blokkeren : anonieme inventarisatie van SAM-accounts voorkomen.
Anonieme opsomming van SAM-accounts en -shares
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares- Niet geconfigureerd : anonieme gebruikers kunnen de namen van domeinaccounts en netwerkshares opsommen.
- Blokkeren : anonieme inventarisatie van SAM-accounts en -shares voorkomen.
HASH-waarde van LAN Manager opgeslagen bij wachtwoordwijziging
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChangeBepaal of de hash-waarde voor wachtwoorden wordt opgeslagen wanneer het wachtwoord de volgende keer wordt gewijzigd.
- Niet geconfigureerd : de hash-waarde wordt niet opgeslagen
- Blokkeren : in LAN Manager (LM) wordt de hash-waarde voor het nieuwe wachtwoord opgeslagen.
PKU2U-verificatieaanvragen
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests- Niet geconfigureerd: PU2U-aanvragen toestaan.
- Blokkeren : PKU2U-verificatieaanvragen voor het apparaat blokkeren.
Externe RPC-verbindingen beperken tot SAM
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAMNiet geconfigureerd : gebruik de standaardbeveiligingsdescriptor, waarmee gebruikers en groepen externe RPC-aanroepen naar de SAM kunnen uitvoeren.
Toestaan : hiermee kunnen gebruikers en groepen geen externe RPC-aanroepen uitvoeren naar de Security Accounts Manager (SAM), die gebruikersaccounts en wachtwoorden opslaat. Met Toestaan kunt u ook de standaard-SDDL-tekenreeks (Security Descriptor Definition Language) wijzigen, zodat gebruikers en groepen expliciet toestaan of weigeren deze externe aanroepen uit te voeren.
-
Beveiligingsdescriptor
Standaardinstelling: niet geconfigureerd
-
Beveiligingsdescriptor
Minimale sessiebeveiliging voor op NTLM SSP gebaseerde clients
Standaardinstelling: Geen
LocalPoliciesSecurityOptions-CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClientsMet deze beveiligingsinstelling kan een server de onderhandeling van 128-bits versleuteling en/of NTLMv2-sessiebeveiliging vereisen.
- Geen
- NTLMv2-sessiebeveiliging vereisen
- 128-bits versleuteling vereisen
- NTLMv2 en 128-bits versleuteling
Minimale sessiebeveiliging voor op NTLM SSP gebaseerde server
Standaardinstelling: Geen
LocalPoliciesSecurityOptions-CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServersMet deze beveiligingsinstelling wordt bepaald welk verificatieprotocol voor uitdagingen/antwoorden wordt gebruikt voor netwerkaanmeldingen.
- Geen
- NTLMv2-sessiebeveiliging vereisen
- 128-bits versleuteling vereisen
- NTLMv2 en 128-bits versleuteling
Verificatieniveau LAN Manager
Standaardinstelling: LM en NTLM
LocalPoliciesSecurityOptions-CSP: NetworkSecurity_LANManagerAuthenticationLevel- LM en NTLM
- LM, NTLM en NTLMv2
- NTLM
- NTLMv2
- NTLMv2 en niet LM
- NTLMv2 en niet LM of NTLM
Onveilige gastaanmeldingen
Standaardinstelling: niet geconfigureerd
LanmanWorkstation CSP: LanmanWorkstationAls u deze instelling inschakelt, weigert de SMB-client onveilige gastaanmeldingen.
- Niet geconfigureerd
- Blokkeren : de SMB-client weigert onveilige gastaanmeldingen.
Herstelconsole en afsluiten
Paginabestand voor virtueel geheugen wissen bij afsluiten
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: Shutdown_ClearVirtualMemoryPageFile- Inschakelen : wis het paginabestand van het virtuele geheugen wanneer het apparaat wordt uitgeschakeld.
- Niet geconfigureerd : hiermee wordt het virtuele geheugen niet gewist.
Afsluiten zonder aanmelden
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn- Blokkeren : verberg de afsluitoptie op het windows-aanmeldingsscherm. Gebruikers moeten zich aanmelden bij het apparaat en vervolgens afsluiten.
- Niet geconfigureerd : gebruikers toestaan het apparaat af te sluiten via het Windows-aanmeldingsscherm.
Gebruikersaccountbeheer
UIA-integriteit zonder beveiligde locatie
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations- Blokkeren : apps die zich op een veilige locatie in het bestandssysteem bevinden, worden alleen uitgevoerd met UIAccess-integriteit.
- Niet geconfigureerd : hiermee kunnen apps worden uitgevoerd met UIAccess-integriteit, zelfs als de apps zich niet op een veilige locatie in het bestandssysteem bevinden.
Schrijffouten voor bestanden en registers virtualiseren naar locaties per gebruiker
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations- Ingeschakeld : toepassingen die gegevens naar beveiligde locaties schrijven, mislukken.
- Niet geconfigureerd : schrijffouten in toepassingen worden tijdens de uitvoering omgeleid naar gedefinieerde gebruikerslocaties voor het bestandssysteem en het register.
Alleen uitvoerbare bestanden verhogen die zijn ondertekend en gevalideerd
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations- Ingeschakeld : de validatie van het PKI-certificeringspad afdwingen voor een uitvoerbaar bestand voordat het kan worden uitgevoerd.
- Niet geconfigureerd : geen validatie van PKI-certificeringspaden afdwingen voordat een uitvoerbaar bestand kan worden uitgevoerd.
Gedrag van UIA-verhogingsprompt
Vraag om verhoging van bevoegdheden voor beheerders
Standaardinstelling: vragen om toestemming voor niet-Windows-binaire bestanden
LocalPoliciesSecurityOptions-CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministratorsDefinieer het gedrag van de prompt voor verhoging van bevoegdheden voor beheerders in de modus Goedkeuring door beheerders.
- Niet geconfigureerd
- Verhogen zonder te vragen
- Vragen om referenties op het beveiligde bureaublad
- Vragen om referenties
- Vragen om toestemming
- Vragen om toestemming voor niet-Windows-binaire bestanden
Vraag om verhoging van de bevoegdheden voor standaardgebruikers
Standaardinstelling: vragen om referenties
LocalPoliciesSecurityOptions-CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsersDefinieer het gedrag van de uitbreidingsprompt voor standaardgebruikers.
- Niet geconfigureerd
- Aanvragen voor verhoging van bevoegdheden automatisch weigeren
- Vragen om referenties op het beveiligde bureaublad
- Vragen om referenties
Prompts voor verhoging van bevoegdheden routeren naar het interactieve bureaublad van de gebruiker
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation- Ingeschakeld : alle aanvragen voor uitbreiding van bevoegdheden gaan naar het bureaublad van de interactieve gebruiker in plaats van het beveiligde bureaublad. Alle beleidsinstellingen voor promptgedrag voor beheerders en standaardgebruikers worden gebruikt.
- Niet geconfigureerd : dwing af dat alle uitbreidingsaanvragen naar het beveiligde bureaublad gaan, ongeacht eventuele beleidsinstellingen voor promptgedrag voor beheerders en standaardgebruikers.
Prompt met verhoogde bevoegdheid voor app-installaties
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation- Ingeschakeld : toepassingsinstallatiepakketten worden niet gedetecteerd of gevraagd om uitbreiding.
- Niet geconfigureerd : gebruikers worden gevraagd om een gebruikersnaam en wachtwoord voor beheerdersrechten wanneer voor een toepassingsinstallatiepakket verhoogde bevoegdheden zijn vereist.
UIA-uitbreidingsprompt zonder beveiligd bureaublad
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevationInschakelen : toestaan dat UIAccess-apps om uitbreiding vragen, zonder het beveiligde bureaublad te gebruiken.
Niet geconfigureerd : prompts voor uitbreiding maken gebruik van een beveiligd bureaublad.
Modus Goedkeuring door beheerder
Goedkeuringsmodus voor beheerder voor ingebouwde beheerder
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: UserAccountControl_UseAdminApprovalMode- Ingeschakeld : sta het ingebouwde beheerdersaccount toe om de modus Voor goedkeuring door de beheerder te gebruiken. Elke bewerking waarvoor uitbreiding van bevoegdheden is vereist, vraagt de gebruiker om de bewerking goed te keuren.
- Niet geconfigureerd: alle apps met volledige beheerdersbevoegdheden worden uitgevoerd.
Alle beheerders uitvoeren in de modus Goedkeuring door beheerder
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode- Ingeschakeld: de modus Goedkeuring door beheerder inschakelen.
- Niet geconfigureerd : de modus Goedkeuring door beheerder en alle gerelateerde UAC-beleidsinstellingen uitschakelen.
Microsoft-netwerkclient
Communicatie digitaal ondertekenen (als de server hiermee akkoord gaat)
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgreesBepaalt of de SMB-client onderhandelt over SMB-pakketondertekening.
- Blokkeren : de SMB-client onderhandelt nooit over SMB-pakketondertekening.
- Niet geconfigureerd : de Microsoft-netwerkclient vraagt de server om SMB-pakketondertekening uit te voeren bij het instellen van de sessie. Als pakketondertekening is ingeschakeld op de server, wordt er onderhandeld over pakketondertekening.
Niet-versleuteld wachtwoord verzenden naar externe SMB-servers
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers- Blokkeren : de SMB-redirector (Server Message Block) kan wachtwoorden zonder opmaak verzenden naar niet-Microsoft SMB-servers die geen ondersteuning bieden voor wachtwoordversleuteling tijdens verificatie.
- Niet geconfigureerd : het verzenden van wachtwoorden zonder opmaak blokkeren. De wachtwoorden zijn versleuteld.
Communicatie digitaal ondertekenen (altijd)
Standaardinstelling: niet geconfigureerd
LocalPoliciesSecurityOptions-CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways- Inschakelen : de Microsoft-netwerkclient communiceert niet met een Microsoft-netwerkserver, tenzij die server akkoord gaat met SMB-pakketondertekening.
- Niet geconfigureerd : er wordt onderhandeld over SMB-pakketondertekening tussen de client en de server.
Microsoft Network Server
Communicatie digitaal ondertekenen (als de client hiermee akkoord gaat)
Standaardinstelling: niet geconfigureerd
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees- Inschakelen : de Microsoft-netwerkserver onderhandelt over SMB-pakketondertekening zoals aangevraagd door de client. Dat wil gezegd, als pakketondertekening is ingeschakeld op de client, wordt er onderhandeld over pakketondertekening.
- Niet geconfigureerd: de SMB-client onderhandelt nooit over SMB-pakketondertekening.
Communicatie digitaal ondertekenen (altijd)
Standaardinstelling: niet geconfigureerd
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways- Inschakelen : de Microsoft-netwerkserver communiceert niet met een Microsoft-netwerkclient, tenzij die client akkoord gaat met SMB-pakketondertekening.
- Niet geconfigureerd : er wordt onderhandeld over SMB-pakketondertekening tussen de client en de server.
Xbox-services
Xbox Game Save Task
Standaardinstelling: niet geconfigureerd
CSP: TaskScheduler/EnableXboxGameSaveTaskMet deze instelling wordt bepaald of de Xbox Game Save Task is ingeschakeld of uitgeschakeld.
- Ingeschakeld
- Niet geconfigureerd
Xbox Accessory Management Service
Standaardinstelling: handmatig
CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupModeMet deze instelling bepaalt u het starttype van de Accessoirebeheerservice.
- Handmatig
- Automatisch
- Uitgeschakeld
Xbox Live Auth Manager-service
Standaardinstelling: handmatig
CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupModeMet deze instelling bepaalt u het starttype van de Live Auth Manager-service.
- Handmatig
- Automatisch
- Uitgeschakeld
Xbox Live Game Save Service
Standaardinstelling: handmatig
CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupModeDeze instelling bepaalt het starttype van de Live Game Save Service.
- Handmatig
- Automatisch
- Uitgeschakeld
Xbox Live Networking-service
Standaardinstelling: handmatig
CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupModeDeze instelling bepaalt het starttype van de netwerkservice.
- Handmatig
- Automatisch
- Uitgeschakeld
Volgende stappen
Het profiel is gemaakt, maar er wordt nog niets gedaan. Wijs vervolgens het profiel toe en controleer de status ervan.
Instellingen voor eindpuntbeveiliging configureren op macOS-apparaten .