Beleidsinstellingen voor het verminderen van kwetsbaarheid voor aanvallen voor eindpuntbeveiliging in Intune
Bekijk de instellingen die u kunt configureren in profielen voor beleid voor het verminderen van kwetsbaarheid voor aanvallen in het eindpuntbeveiligingsknooppunt van Intune als onderdeel van een eindpuntbeveiligingsbeleid.
Van toepassing op:
- Windows 11
- Windows 10
Ondersteunde platforms en profielen:
Windows 10 en hoger : gebruik dit platform voor beleid dat u implementeert op apparaten die worden beheerd met Intune.
- Profiel: App- en browserisolatie
- Profiel: Toepassingsbeheer
- Profiel: Regels voor het verminderen van kwetsbaarheid voor aanvallen
- Profiel: Apparaatbeheer
- Profiel: Exploit Protection
- Profiel: Webbeveiliging (Microsoft Edge Verouderd)
Windows 10 en hoger (ConfigMgr): gebruik dit platform voor beleid dat u implementeert op apparaten die worden beheerd door Configuration Manager.
- Profiel: Exploit Protection(ConfigMgr)(preview)
- Profiel: Webbeveiliging (ConfigMgr)(preview)
Windows 10, Windows 11 en Windows Server: gebruik dit platform voor beleid dat u implementeert op apparaten die worden beheerd via Beveiligingsbeheer voor Microsoft Defender voor Eindpunt.
- Profiel: Regels voor het verminderen van kwetsbaarheid voor aanvallen
Kwetsbaarheid voor aanvallen verminderen (MDM)
Isolatieprofiel voor apps en browsers
Opmerking
In deze sectie worden de instellingen beschreven in app- en browserisolatieprofielen die vóór 18 april 2023 zijn gemaakt. Profielen die na die datum zijn gemaakt, gebruiken een nieuwe indeling voor instellingen, zoals te vinden in de instellingencatalogus. Met deze wijziging kunt u geen nieuwe versies van het oude profiel meer maken en deze worden niet meer ontwikkeld. Hoewel u geen nieuwe exemplaren van het oudere profiel meer kunt maken, kunt u doorgaan met het bewerken en gebruiken van exemplaren van het profiel die u eerder hebt gemaakt.
Voor profielen die de nieuwe instellingenindeling gebruiken, houdt Intune niet langer een lijst bij van elke instelling op naam. In plaats daarvan worden de naam van elke instelling, de configuratieopties en de verklarende tekst die u in het Microsoft Intune-beheercentrum ziet, rechtstreeks uit de gezaghebbende inhoud van de instellingen gehaald. Deze inhoud kan meer informatie bieden over het gebruik van de instelling in de juiste context. Wanneer u een informatietekst voor instellingen bekijkt, kunt u de koppeling Meer informatie gebruiken om die inhoud te openen.
App- en browserisolatie
Application Guard inschakelen
CSP: AllowWindowsDefenderApplicationGuard- Niet geconfigureerd (standaard): Microsoft Defender Application Guard is niet geconfigureerd voor Microsoft Edge of geïsoleerde Windows-omgevingen.
- Ingeschakeld voor Edge : Application Guard opent niet-goedgekeurde sites in een gevirtualiseerde Hyper-V-browsercontainer.
- Ingeschakeld voor geïsoleerde Windows-omgevingen : Application Guard is ingeschakeld voor alle toepassingen die zijn ingeschakeld voor App Guard in Windows.
- Ingeschakeld voor Edge EN geïsoleerde Windows-omgevingen : Application Guard is geconfigureerd voor beide scenario's.
Opmerking
Als u Application Guard voor Microsoft Edge implementeert via Intune, moet windows-netwerkisolatiebeleid worden geconfigureerd als een vereiste. Netwerkisolatie kan worden geconfigureerd via verschillende profielen, waaronder app- en broswer-isolatie onder de windows-netwerkisolatie-instelling .
Wanneer deze is ingesteld op Ingeschakeld voor Edge of Ingeschakeld voor Edge EN geïsoleerde Windows-omgevingen, zijn de volgende instellingen beschikbaar, die van toepassing zijn op Edge:
Klembordgedrag
CSP: KlembordInstellingenKies welke kopieer- en plakbewerkingen zijn toegestaan vanaf de lokale pc en een virtuele Application Guard-browser.
- Niet geconfigureerd (standaard)
- Kopiëren en plakken tussen pc en browser blokkeren
- Alleen kopiëren en plakken van browser naar pc toestaan
- Alleen kopiëren en plakken van pc naar browser toestaan
- Kopiëren en plakken tussen pc en browser toestaan
Externe inhoud van niet-door ondernemingen goedgekeurde sites blokkeren
CSP: BlockNonEnterpriseContent- Niet geconfigureerd (standaard)
- Ja : blokkeer het laden van inhoud van niet-goedgekeurde websites.
Logboeken verzamelen voor gebeurtenissen die plaatsvinden in een Application Guard-browsesessie
CSP: AuditApplicationGuard- Niet geconfigureerd (standaard)
- Ja : verzamel logboeken voor gebeurtenissen die plaatsvinden binnen een virtuele browsesessie van Application Guard.
Toestaan dat door de gebruiker gegenereerde browsergegevens worden opgeslagen
CSP: AllowPersistence- Niet geconfigureerd (standaard)
- Ja : toestaan dat gebruikersgegevens die zijn gemaakt tijdens een virtuele browsesessie van Application Guard, worden opgeslagen. Voorbeelden van gebruikersgegevens zijn wachtwoorden, favorieten en cookies.
Hardware-grafische versnelling inschakelen
CSP: AllowVirtualGPU- Niet geconfigureerd (standaard)
- Ja : gebruik in de virtuele browsesessie van Application Guard een virtuele grafische verwerkingseenheid om grafisch-intensieve websites sneller te laden.
Gebruikers toestaan bestanden te downloaden naar de host
CSP: SaveFilesToHost- Niet geconfigureerd (standaard)
- Ja : hiermee kunnen gebruikers bestanden downloaden van de gevirtualiseerde browser naar het hostbesturingssysteem.
Application Guard staat camera- en microfoontoegang toe
CSP: AllowCameraMicrophoneRedirection- Niet geconfigureerd (standaard): toepassingen in Microsoft Defender Application Guard hebben geen toegang tot de camera en microfoon op het apparaat van de gebruiker.
- Ja : toepassingen in Microsoft Defender Application Guard hebben toegang tot de camera en microfoon op het apparaat van de gebruiker.
- Nee : toepassingen in Microsoft Defender Application Guard hebben geen toegang tot de camera en microfoon op het apparaat van de gebruiker. Dit is hetzelfde gedrag als Niet geconfigureerd.
Application Guard staat afdrukken op lokale printers toe
- Niet geconfigureerd (standaard)
- Ja : afdrukken naar lokale printers toestaan.
Application Guard staat afdrukken op netwerkprinters toe
- Niet geconfigureerd (standaard)
- Ja : afdrukken op netwerkprinters toestaan.
Application Guard staat afdrukken naar PDF toe
- Niet geconfigureerd (standaard)
- Ja- Afdrukken naar PDF toestaan.
Application Guard staat afdrukken naar XPS toe
- Niet geconfigureerd (standaard)
- Ja - - Afdrukken naar XPS toestaan.
Application Guard staat het gebruik van basiscertificaatinstanties toe vanaf het apparaat van de gebruiker
CSP: CertificateThumbprintsConfigureer vingerafdruk van certificaten om het overeenkomende basiscertificaat automatisch over te dragen naar de Microsoft Defender Application Guard-container.
Als u een voor een vingerafdruk wilt toevoegen, selecteert u Toevoegen. U kunt Importeren gebruiken om een .CSV-bestand op te geven dat meerdere vingerafdrukvermeldingen bevat die allemaal tegelijkertijd aan het profiel worden toegevoegd. Wanneer u een .CSV-bestand gebruikt, moet elke vingerafdruk worden gescheiden door een komma. Bijvoorbeeld:
b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924
Alle vermeldingen die in het profiel worden weergegeven, zijn actief. U hoeft geen selectievakje in te schakelen voor een vingerafdrukvermelding om deze actief te maken. Gebruik in plaats daarvan de selectievakjes om de vermeldingen te beheren die aan het profiel zijn toegevoegd. U kunt bijvoorbeeld het selectievakje van een of meer certificaatvingerafdrukken inschakelen en vervolgens deze vermeldingen uit het profiel verwijderen met één actie.
Windows-netwerkisolatiebeleid
- Niet geconfigureerd (standaard)
- Ja : windows-netwerkisolatiebeleid configureren.
Als deze optie is ingesteld op Ja, kunt u de volgende instellingen configureren:
IP-bereiken
Vouw de vervolgkeuzelijst uit, selecteer Toevoegen en geef vervolgens een lager adres en vervolgens een bovenadres op.Cloudresources
Vouw de vervolgkeuzelijst uit, selecteer Toevoegen en geef vervolgens een IP-adres of FQDN en een proxy op.Netwerkdomeinen
Vouw de vervolgkeuzelijst uit, selecteer Toevoegen en geef vervolgens Netwerkdomeinen op.Proxyservers
Vouw de vervolgkeuzelijst uit, selecteer Toevoegen en geef vervolgens Proxyservers op.Interne proxyservers
Vouw de vervolgkeuzelijst uit, selecteer Toevoegen en geef vervolgens Interne proxyservers op.Neutrale resources
Vouw de vervolgkeuzelijst uit, selecteer Toevoegen en geef vervolgens Neutrale resources op.Automatische detectie van andere bedrijfsproxyservers uitschakelen
- Niet geconfigureerd (standaard)
- Ja : automatische detectie van andere bedrijfsproxyservers uitschakelen.
Automatische detectie van andere BEDRIJFS-IP-bereiken uitschakelen
- Niet geconfigureerd (standaard)
- Ja : automatische detectie van andere BEDRIJFS-IP-bereiken uitschakelen.
Opmerking
Nadat het profiel is gemaakt, wordt Microsoft Defender Application Guard ingeschakeld op alle apparaten waarop het beleid moet worden toegepast. Gebruikers moeten hun apparaten mogelijk opnieuw opstarten om de beveiliging te kunnen uitvoeren.
Profiel voor toepassingsbeheer
Microsoft Defender Application Control
App Locker-toepassingsbeheer
CSP: AppLocker- Niet geconfigureerd (standaard)
- Onderdelen afdwingen en apps opslaan
- Onderdelen en Store-apps controleren
- Onderdelen, Store-apps en SmartLocker afdwingen
- Onderdelen, Store-apps en SmartLocker controleren
Voorkomen dat gebruikers SmartScreen-waarschuwingen negeren
CSP: SmartScreen/PreventOverrideForFilesInShell- Niet geconfigureerd (standaard): gebruikers kunnen SmartScreen-waarschuwingen voor bestanden en schadelijke apps negeren.
- Ja : SmartScreen is ingeschakeld en gebruikers kunnen waarschuwingen voor bestanden of schadelijke apps niet omzeilen.
Windows SmartScreen inschakelen
CSP: SmartScreen/EnableSmartScreenInShell- Niet geconfigureerd (standaard): hiermee wordt de instelling teruggezet naar de standaardinstelling van Windows. Dit is om SmartScreen in te schakelen, maar gebruikers kunnen deze instelling wijzigen. Als u SmartScreen wilt uitschakelen, gebruikt u een aangepaste URI.
- Ja : het gebruik van SmartScreen afdwingen voor alle gebruikers.
Profiel voor het verminderen van regels voor kwetsbaarheid voor aanvallen
Regels voor het verminderen van kwetsbaarheid voor aanvallen
Zie Naslaginformatie over regels voor het verminderen van kwetsbaarheid voor aanvallen in de Microsoft 365-documentatie voor meer informatie over regels voor het verminderen van kwetsbaarheid voor aanvallen.
Opmerking
In deze sectie worden de instellingen beschreven in profielen voor regels voor het verminderen van kwetsbaarheid voor aanvallen die vóór 5 april 2022 zijn gemaakt. Profielen die na die datum zijn gemaakt, gebruiken een nieuwe indeling voor instellingen, zoals te vinden in de instellingencatalogus. Met deze wijziging kunt u geen nieuwe versies van het oude profiel meer maken en deze worden niet meer ontwikkeld. Hoewel u geen nieuwe exemplaren van het oudere profiel meer kunt maken, kunt u doorgaan met het bewerken en gebruiken van exemplaren van het profiel die u eerder hebt gemaakt.
Voor profielen die de nieuwe instellingenindeling gebruiken, houdt Intune niet langer een lijst bij van elke instelling op naam. In plaats daarvan worden de naam van elke instelling, de configuratieopties en de verklarende tekst die u in het Microsoft Intune-beheercentrum ziet, rechtstreeks uit de gezaghebbende inhoud van de instellingen gehaald. Deze inhoud kan meer informatie bieden over het gebruik van de instelling in de juiste context. Wanneer u een informatietekst voor instellingen bekijkt, kunt u de koppeling Meer informatie gebruiken om die inhoud te openen.
Persistentie blokkeren via WMI-gebeurtenisabonnement
Kwetsbaarheid voor aanvallen verminderen met regels voor het verminderen van kwetsbaarheid voor aanvallenDeze regel voor het verminderen van kwetsbaarheid voor aanvallen (ASR) wordt beheerd via de volgende GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Deze regel voorkomt dat malware WMI misbruikt om persistentie te verkrijgen op een apparaat. Bestandsloze bedreigingen maken gebruik van verschillende tactieken om verborgen te blijven, om te voorkomen dat ze worden gezien in het bestandssysteem en om periodiek controle over de uitvoering te krijgen. Sommige bedreigingen kunnen de WMI-opslagplaats en het gebeurtenismodel misbruiken om verborgen te blijven.
- Niet geconfigureerd (standaard): de instelling keert terug naar de standaardinstelling van Windows, die is uitgeschakeld en persistentie niet wordt geblokkeerd.
- Blokkeren : persistentie via WMI wordt geblokkeerd.
- Audit : evalueer hoe deze regel van invloed is op uw organisatie als deze is ingeschakeld (ingesteld op Blokkeren).
- Uitschakelen : schakel deze regel uit. Persistentie wordt niet geblokkeerd.
Zie Persistentie blokkeren via WMI-gebeurtenisabonnement voor meer informatie over deze instelling.
Het stelen van referenties van het Windows-subsysteem voor lokale beveiligingsinstantie (lsass.exe) blokkeren
Apparaten beschermen tegen misbruikDeze regel voor het verminderen van kwetsbaarheid voor aanvallen (ASR) wordt beheerd via de volgende GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
- Niet geconfigureerd (standaard): de instelling keert terug naar de standaardinstelling van Windows, die is uitgeschakeld.
- Door de gebruiker gedefinieerd
- Inschakelen : pogingen om referenties te stelen via lsass.exe worden geblokkeerd.
- Controlemodus : gebruikers worden niet geblokkeerd voor gevaarlijke domeinen en in plaats daarvan worden Windows-gebeurtenissen gegenereerd.
- Waarschuwen : voor Windows 10 versie 1809 of hoger en Windows 11 ontvangt de gebruiker van het apparaat een bericht dat hij de instelling blokkeren kan omzeilen. Op apparaten waarop eerdere versies van Windows 10 worden uitgevoerd, dwingt de regel het gedrag inschakelen af.
Voorkomen dat Adobe Reader onderliggende processen kan maken
Kwetsbaarheid voor aanvallen verminderen met regels voor het verminderen van kwetsbaarheid voor aanvallenDeze ASR-regel wordt beheerd via de volgende GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
- Niet geconfigureerd (standaard): de standaardinstelling van Windows wordt hersteld, is om het maken van onderliggende processen niet te blokkeren.
- Door de gebruiker gedefinieerd
- Inschakelen : Adobe Reader kan geen onderliggende processen maken.
- Controlemodus : Windows-gebeurtenissen worden gegenereerd in plaats van onderliggende processen te blokkeren.
- Waarschuwen : voor Windows 10 versie 1809 of hoger en Windows 11 ontvangt de gebruiker van het apparaat een bericht dat hij de instelling blokkeren kan omzeilen. Op apparaten waarop eerdere versies van Windows 10 worden uitgevoerd, dwingt de regel het gedrag inschakelen af.
Voorkomen dat Office-toepassingen code in andere processen injecteren
Apparaten beschermen tegen misbruikDeze ASR-regel wordt beheerd via de volgende GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84
- Niet geconfigureerd (standaard): de instelling keert terug naar de standaardinstelling van Windows, die is uitgeschakeld.
- Blokkeren : Office-toepassingen worden geblokkeerd voor het injecteren van code in andere processen.
- Controlemodus : Windows-gebeurtenissen worden gegenereerd in plaats van te blokkeren.
- Waarschuwen : voor Windows 10 versie 1809 of hoger en Windows 11 ontvangt de gebruiker van het apparaat een bericht dat hij de instelling blokkeren kan omzeilen. Op apparaten waarop eerdere versies van Windows 10 worden uitgevoerd, dwingt de regel het gedrag inschakelen af.
- Uitschakelen : deze instelling is uitgeschakeld.
Office-toepassingen blokkeren voor het maken van uitvoerbare inhoud
Apparaten beschermen tegen misbruikDeze ASR-regel wordt beheerd via de volgende GUID: 3B576869-A4EC-4529-8536-B80A7769E899
- Niet geconfigureerd (standaard): de instelling keert terug naar de standaardinstelling van Windows, die is uitgeschakeld.
- Blokkeren : Office-toepassingen kunnen geen uitvoerbare inhoud maken.
- Controlemodus : Windows-gebeurtenissen worden gegenereerd in plaats van te blokkeren.
- Waarschuwen : voor Windows 10 versie 1809 of hoger en Windows 11 ontvangt de gebruiker van het apparaat een bericht dat hij de instelling blokkeren kan omzeilen. Op apparaten waarop eerdere versies van Windows 10 worden uitgevoerd, dwingt de regel het gedrag inschakelen af.
- Uitschakelen : deze instelling is uitgeschakeld.
Voorkomen dat alle Office-toepassingen onderliggende processen kunnen maken
Apparaten beschermen tegen misbruikDeze ASR-regel wordt beheerd via de volgende GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A
- Niet geconfigureerd (standaard): de instelling keert terug naar de standaardinstelling van Windows, die is uitgeschakeld.
- Blokkeren : Office-toepassingen worden geblokkeerd voor het maken van onderliggende processen.
- Controlemodus : Windows-gebeurtenissen worden gegenereerd in plaats van te blokkeren.
- Waarschuwen : voor Windows 10 versie 1809 of hoger en Windows 11 ontvangt de gebruiker van het apparaat een bericht dat hij de instelling blokkeren kan omzeilen. Op apparaten waarop eerdere versies van Windows 10 worden uitgevoerd, dwingt de regel het gedrag inschakelen af.
- Uitschakelen : deze instelling is uitgeschakeld.
Win32 API-aanroepen blokkeren vanuit Office-macro
Apparaten beschermen tegen misbruikDeze ASR-regel wordt beheerd via de volgende GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B
- Niet geconfigureerd (standaard): de instelling keert terug naar de standaardinstelling van Windows, die is uitgeschakeld.
- Blokkeren : Office-macro's worden geblokkeerd voor het gebruik van Win32-API-aanroepen.
- Controlemodus : Windows-gebeurtenissen worden gegenereerd in plaats van te blokkeren.
- Waarschuwen : voor Windows 10 versie 1809 of hoger en Windows 11 ontvangt de gebruiker van het apparaat een bericht dat hij de instelling blokkeren kan omzeilen. Op apparaten waarop eerdere versies van Windows 10 worden uitgevoerd, dwingt de regel het gedrag inschakelen af.
- Uitschakelen : deze instelling is uitgeschakeld.
Office-communicatie-apps blokkeren voor het maken van onderliggende processen
Apparaten beschermen tegen misbruikDeze ASR-regel wordt beheerd via de volgende GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869.
- Niet geconfigureerd (standaard): de standaardinstelling van Windows wordt hersteld, wat het maken van onderliggende processen niet blokkeert.
- Door de gebruiker gedefinieerd
- Inschakelen : Office-communicatietoepassingen worden geblokkeerd voor het maken van onderliggende processen.
- Controlemodus : Windows-gebeurtenissen worden gegenereerd in plaats van onderliggende processen te blokkeren.
- Waarschuwen : voor Windows 10 versie 1809 of hoger en Windows 11 ontvangt de gebruiker van het apparaat een bericht dat hij de instelling blokkeren kan omzeilen. Op apparaten waarop eerdere versies van Windows 10 worden uitgevoerd, dwingt de regel het gedrag inschakelen af.
Uitvoering van mogelijk verborgen scripts blokkeren (js/vbs/ps)
Apparaten beschermen tegen misbruikDeze ASR-regel wordt beheerd via de volgende GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
- Niet geconfigureerd (standaard): de instelling keert terug naar de standaardinstelling van Windows, die is uitgeschakeld.
- Blokkeren : Defender blokkeert de uitvoering van verborgen scripts.
- Controlemodus : Windows-gebeurtenissen worden gegenereerd in plaats van te blokkeren.
- Waarschuwen : voor Windows 10 versie 1809 of hoger en Windows 11 ontvangt de gebruiker van het apparaat een bericht dat hij de instelling blokkeren kan omzeilen. Op apparaten waarop eerdere versies van Windows 10 worden uitgevoerd, dwingt de regel het gedrag inschakelen af.
- Uitschakelen : deze instelling is uitgeschakeld.
JavaScript of VBScript blokkeren voor het starten van gedownloade uitvoerbare inhoud
Apparaten beschermen tegen misbruikDeze ASR-regel wordt beheerd via de volgende GUID: D3E037E1-3EB8-44C8-A917-57927947596D
- Niet geconfigureerd (standaard): de instelling keert terug naar de standaardinstelling van Windows, die is uitgeschakeld.
- Blokkeren : Defender blokkeert de uitvoering van JavaScript- of VBScript-bestanden die zijn gedownload van internet.
- Controlemodus : Windows-gebeurtenissen worden gegenereerd in plaats van te blokkeren.
- Uitschakelen : deze instelling is uitgeschakeld.
Procescreaties blokkeren die afkomstig zijn van PSExec- en WMI-opdrachten
Apparaten beschermen tegen misbruikDeze ASR-regel wordt beheerd via de volgende GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
- Niet geconfigureerd (standaard): de instelling keert terug naar de standaardinstelling van Windows, die is uitgeschakeld.
- Blokkeren : het maken van processen door PSExec- of WMI-opdrachten wordt geblokkeerd.
- Controlemodus : Windows-gebeurtenissen worden gegenereerd in plaats van te blokkeren.
- Waarschuwen : voor Windows 10 versie 1809 of hoger en Windows 11 ontvangt de gebruiker van het apparaat een bericht dat hij de instelling blokkeren kan omzeilen. Op apparaten waarop eerdere versies van Windows 10 worden uitgevoerd, dwingt de regel het gedrag inschakelen af.
- Uitschakelen : deze instelling is uitgeschakeld.
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB
Apparaten beschermen tegen misbruikDeze ASR-regel wordt beheerd via de volgende GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
- Niet geconfigureerd (standaard): de instelling keert terug naar de standaardinstelling van Windows, die is uitgeschakeld.
- Blokkeren : niet-vertrouwde en niet-ondertekende processen die vanaf een USB-station worden uitgevoerd, worden geblokkeerd.
- Controlemodus : Windows-gebeurtenissen worden gegenereerd in plaats van te blokkeren.
- Waarschuwen : voor Windows 10 versie 1809 of hoger en Windows 11 ontvangt de gebruiker van het apparaat een bericht dat hij de instelling blokkeren kan omzeilen. Op apparaten waarop eerdere versies van Windows 10 worden uitgevoerd, dwingt de regel het gedrag inschakelen af.
- Uitschakelen : deze instelling is uitgeschakeld.
Uitvoerbare bestanden blokkeren, tenzij ze voldoen aan een prevalentie, leeftijd of vertrouwde lijstcriteria
Apparaten beschermen tegen misbruikDeze ASR-regel wordt beheerd via de volgende GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25e
- Niet geconfigureerd (standaard): de instelling keert terug naar de standaardinstelling van Windows, die is uitgeschakeld.
- Blokkeren
- Controlemodus : Windows-gebeurtenissen worden gegenereerd in plaats van te blokkeren.
- Waarschuwen : voor Windows 10 versie 1809 of hoger en Windows 11 ontvangt de gebruiker van het apparaat een bericht dat hij de instelling blokkeren kan omzeilen. Op apparaten waarop eerdere versies van Windows 10 worden uitgevoerd, dwingt de regel het gedrag inschakelen af.
- Uitschakelen : deze instelling is uitgeschakeld.
Uitvoerbare inhoud downloaden van e-mail- en webmailclients blokkeren
Apparaten beschermen tegen misbruik- Niet geconfigureerd (standaard): de instelling keert terug naar de standaardinstelling van Windows, die is uitgeschakeld.
- Blokkeren : uitvoerbare inhoud die is gedownload van e-mail- en webmailclients wordt geblokkeerd.
- Controlemodus : Windows-gebeurtenissen worden gegenereerd in plaats van te blokkeren.
- Waarschuwen : voor Windows 10 versie 1809 of hoger en Windows 11 ontvangt de gebruiker van het apparaat een bericht dat hij de instelling blokkeren kan omzeilen. Op apparaten waarop eerdere versies van Windows 10 worden uitgevoerd, dwingt de regel het gedrag inschakelen af.
- Uitschakelen : deze instelling is uitgeschakeld.
Geavanceerde beveiliging tegen ransomware gebruiken
Apparaten beschermen tegen misbruikDeze ASR-regel wordt beheerd via de volgende GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
- Niet geconfigureerd (standaard): de instelling keert terug naar de standaardinstelling van Windows, die is uitgeschakeld.
- Door de gebruiker gedefinieerd
- Inschakelen
- Controlemodus : Windows-gebeurtenissen worden gegenereerd in plaats van te blokkeren.
Mapbeveiliging inschakelen
CSP: EnableControlledFolderAccess- Niet geconfigureerd (standaard): deze instelling keert terug naar de standaardinstelling, die geen leesbewerkingen is of schrijfbewerkingen worden geblokkeerd.
- Inschakelen : voor niet-vertrouwde apps blokkeert Defender pogingen om bestanden in beveiligde mappen te wijzigen of te verwijderen of om naar schijfsectoren te schrijven. Defender bepaalt automatisch welke toepassingen kunnen worden vertrouwd. U kunt ook uw eigen lijst met vertrouwde toepassingen definiëren.
- Controlemodus : Windows-gebeurtenissen worden gegenereerd wanneer niet-vertrouwde toepassingen toegang krijgen tot beheerde mappen, maar er geen blokken worden afgedwongen.
- Schijfwijziging blokkeren : alleen pogingen om te schrijven naar schijfsectoren worden geblokkeerd.
- Schijfwijziging controleren : Windows-gebeurtenissen worden gegenereerd in plaats van pogingen om naar schijfsectoren te schrijven te blokkeren.
Lijst met extra mappen die moeten worden beveiligd
CSP: ControlledFolderAccessProtectedFoldersDefinieer een lijst met schijflocaties die worden beveiligd tegen niet-vertrouwde toepassingen.
Lijst met apps die toegang hebben tot beveiligde mappen
CSP: ControlledFolderAccessAllowedApplicationsDefinieer een lijst met apps die toegang hebben tot lezen/schrijven naar beheerde locaties.
Bestanden en paden uitsluiten van regels voor het verminderen van kwetsbaarheid voor aanvallen
CSP: AttackSurfaceReductionOnlyExclusionsVouw de vervolgkeuzelijst uit en selecteer vervolgens Toevoegen om een pad naar een bestand of map te definiëren dat u wilt uitsluiten van uw regels voor het verminderen van kwetsbaarheid voor aanvallen.
Profiel voor apparaatbeheer
Apparaatbesturing
Opmerking
In deze sectie vindt u meer informatie over de instellingen in Apparaatbeheerprofielen die vóór 23 mei 2022 zijn gemaakt. Profielen die na die datum zijn gemaakt, gebruiken een nieuwe indeling voor instellingen, zoals te vinden in de instellingencatalogus. Hoewel u geen nieuwe exemplaren van het oorspronkelijke profiel meer kunt maken, kunt u uw bestaande profielen blijven bewerken en gebruiken.
Voor profielen die de nieuwe instellingenindeling gebruiken, houdt Intune niet langer een lijst bij van elke instelling op naam. In plaats daarvan worden de naam van elke instelling, de configuratieopties en de verklarende tekst die u in het Microsoft Intune-beheercentrum ziet, rechtstreeks uit de gezaghebbende inhoud van de instellingen gehaald. Deze inhoud kan meer informatie bieden over het gebruik van de instelling in de juiste context. Wanneer u een informatietekst voor instellingen bekijkt, kunt u de koppeling Meer informatie gebruiken om die inhoud te openen.
Installatie van hardwareapparaten toestaan op apparaat-id's
- Niet geconfigureerd(standaard)
- Ja : Windows kan elk apparaat installeren of bijwerken waarvan de Plug en Play-hardware-id of compatibele id wordt weergegeven in de lijst die u maakt, tenzij een andere beleidsinstelling deze installatie specifiek verhindert. Als u deze beleidsinstelling inschakelt op een extern bureaubladserver, is de beleidsinstelling van invloed op het omleiden van de opgegeven apparaten van een extern bureaublad-client naar de extern bureaubladserver.
- Nee
Als deze optie is ingesteld op Ja , kunt u de volgende opties configureren:
- Acceptatielijst : gebruik Toevoegen, importeren en exporteren om een lijst met apparaat-id's te beheren.
Installatie van hardwareapparaten blokkeren op apparaat-id's
CSP: AllowInstallationOfMatchingDeviceID's- Niet geconfigureerd(standaard)
- Ja : geef een lijst op met Plug en Play-hardware-id's en compatibele id's voor apparaten die niet kunnen worden geïnstalleerd door Windows. Dit beleid heeft voorrang op elke andere beleidsinstelling waarmee Windows een apparaat kan installeren. Als u deze beleidsinstelling inschakelt op een extern bureaubladserver, is de beleidsinstelling van invloed op het omleiden van de opgegeven apparaten van een extern bureaublad-client naar de extern bureaubladserver.
- Nee
Als deze optie is ingesteld op Ja , kunt u de volgende opties configureren:
Overeenkomende hardwareapparaten verwijderen
- Ja
- Niet geconfigureerd(standaard)
Lijst blokkeren : gebruik Toevoegen, importeren en exporteren om een lijst met apparaat-id's te beheren.
Installatie van hardwareapparaten per installatieklasse toestaan
- Niet geconfigureerd(standaard)
- Ja : Windows kan apparaatstuurprogramma's installeren of bijwerken waarvan de GUID's van de apparaatinstallatieklasse worden weergegeven in de lijst die u maakt, tenzij een andere beleidsinstelling deze installatie specifiek verhindert. Als u deze beleidsinstelling inschakelt op een extern bureaubladserver, is de beleidsinstelling van invloed op het omleiden van de opgegeven apparaten van een extern bureaublad-client naar de extern bureaubladserver.
- Nee
Als deze optie is ingesteld op Ja , kunt u de volgende opties configureren:
- Acceptatielijst : gebruik Toevoegen, importeren en exporteren om een lijst met apparaat-id's te beheren.
Installatie van hardwareapparaten blokkeren op installatieklassen
CSP: AllowInstallationOfMatchingDeviceSetupClasses- Niet geconfigureerd(standaard)
- Ja : geef een lijst op met guid's (Globally Unique Identifiers) voor apparaatstuurprogramma's die niet door Windows kunnen worden geïnstalleerd. Deze beleidsinstelling heeft voorrang op elke andere beleidsinstelling waarmee Windows een apparaat kan installeren. Als u deze beleidsinstelling inschakelt op een extern bureaubladserver, is de beleidsinstelling van invloed op het omleiden van de opgegeven apparaten van een extern bureaublad-client naar de extern bureaubladserver.
- Nee
Als deze optie is ingesteld op Ja , kunt u de volgende opties configureren:
Overeenkomende hardwareapparaten verwijderen
- Ja
- Niet geconfigureerd(standaard)
Lijst blokkeren : gebruik Toevoegen, importeren en exporteren om een lijst met apparaat-id's te beheren.
Installatie van hardwareapparaten toestaan op apparaatexemplaren-id's
- Niet geconfigureerd(standaard)
- Ja : Windows mag elk apparaat waarvan de Instantie-id van het Plug en Play-apparaat wordt weergegeven in de lijst die u maakt installeren of bijwerken, tenzij een andere beleidsinstelling deze installatie specifiek verhindert. Als u deze beleidsinstelling inschakelt op een extern bureaubladserver, is de beleidsinstelling van invloed op het omleiden van de opgegeven apparaten van een extern bureaublad-client naar de extern bureaubladserver.
- Nee
Als deze optie is ingesteld op Ja , kunt u de volgende opties configureren:
- Acceptatielijst : gebruik Toevoegen, importeren en exporteren om een lijst met apparaat-id's te beheren.
Installatie van hardwareapparaten blokkeren op apparaatexemplaren-id's
Als u deze beleidsinstelling inschakelt op een extern bureaubladserver, is de beleidsinstelling van invloed op het omleiden van de opgegeven apparaten van een extern bureaublad-client naar de extern bureaubladserver.- Niet geconfigureerd(standaard)
- Ja : geef een lijst op met Plug en Play-hardware-id's en compatibele id's voor apparaten die niet kunnen worden geïnstalleerd door Windows. Dit beleid heeft voorrang op elke andere beleidsinstelling waarmee Windows een apparaat kan installeren. Als u deze beleidsinstelling inschakelt op een extern bureaubladserver, is de beleidsinstelling van invloed op het omleiden van de opgegeven apparaten van een extern bureaublad-client naar de extern bureaubladserver.
- Nee
Als deze optie is ingesteld op Ja , kunt u de volgende opties configureren:
Overeenkomende hardwareapparaten verwijderen
- Ja
- Niet geconfigureerd(standaard)
Lijst blokkeren : gebruik Toevoegen, importeren en exporteren om een lijst met apparaat-id's te beheren.
Schrijftoegang tot verwisselbare opslag blokkeren
CSP: RemovableDiskDenyWriteAccess- Niet geconfigureerd(standaard)
- Ja : schrijftoegang tot verwisselbare opslag wordt geweigerd.
- Nee : schrijftoegang is toegestaan.
Verwisselbare stations scannen tijdens volledige scan
CSP: Defender/AllowFullScanRemovableDriveScanning- Niet geconfigureerd (standaard): de instelling keert terug naar de standaardinstelling van de client, waarmee verwisselbare stations worden gescand, maar de gebruiker kan deze scan uitschakelen.
- Ja : tijdens een volledige scan worden verwisselbare stations (zoals USB-flashstations) gescand.
Directe geheugentoegang blokkeren
CSP: DataProtection/AllowDirectMemoryAccessDeze beleidsinstelling wordt alleen afgedwongen wanneer BitLocker of apparaatversleuteling is ingeschakeld.
- Niet geconfigureerd (standaard)
- Ja : blokkeer DMA (Direct Memory Access) voor alle hot pluggable PCI-downstreampoorten totdat een gebruiker zich aanmeldt bij Windows. Nadat een gebruiker zich heeft aangemeld, inventariseert Windows de PCI-apparaten die zijn verbonden met de PCI-poorten van de hoststekker. Elke keer dat de gebruiker de machine vergrendelt, wordt DMA geblokkeerd op hot plug PCI-poorten zonder onderliggende apparaten totdat de gebruiker zich opnieuw aanmeldt. Apparaten die al zijn geïnventariseerd toen de machine werd ontgrendeld, blijven werken totdat ze zijn losgekoppeld.
Opsomming van externe apparaten die niet compatibel zijn met Kernel DMA Protection
CSP: DmaGuard/DeviceEnumerationPolicyDit beleid kan extra beveiliging bieden voor externe DMA-compatibele apparaten. Het biedt meer controle over de inventarisatie van externe DMA-compatibele apparaten die niet compatibel zijn met DMA-geheugenisolatie/apparaatgeheugenisolatie en sandboxing.
Dit beleid wordt alleen van kracht wanneer DMA-beveiliging voor kernel wordt ondersteund en ingeschakeld door de systeemfirmware. Kernel DMA Protection is een platformfunctie die moet worden ondersteund door het systeem op het moment van productie. Als u wilt controleren of het systeem ondersteuning biedt voor kernel-DMA-beveiliging, controleert u het veld Kernel DMA-beveiliging op de pagina Samenvatting van MSINFO32.exe.
- Niet geconfigureerd - (standaard)
- Alles blokkeren
- Alles toestaan
Bluetooth-verbindingen blokkeren
CSP: Bluetooth/AllowDiscoverableMode- Niet geconfigureerd (standaard)
- Ja : Bluetooth-verbindingen van en naar het apparaat blokkeren.
Bluetooth-detectie blokkeren
CSP: Bluetooth/AllowDiscoverableMode- Niet geconfigureerd (standaard)
- Ja : hiermee voorkomt u dat het apparaat kan worden gedetecteerd door andere Bluetooth-apparaten.
Vooraf koppelen met Bluetooth blokkeren
CSP: Bluetooth/AllowPrepairing- Niet geconfigureerd (standaard)
- Ja : hiermee voorkomt u dat specifieke Bluetooth-apparaten automatisch worden gekoppeld met het hostapparaat.
Bluetooth-reclame blokkeren
CSP: Bluetooth/AllowAdvertising- Niet geconfigureerd (standaard)
- Ja : hiermee voorkomt u dat het apparaat Bluetooth-advertenties verzendt.
Bluetooth-proximal-verbindingen blokkeren
CSP: Bluetooth/AllowPromptedProximalConnections Blokkeren dat gebruikers Swift Pair en andere op nabijheid gebaseerde scenario's kunnen gebruiken- Niet geconfigureerd (standaard)
- Ja : hiermee voorkomt u dat een apparaatgebruiker Swift Pair en andere scenario's op basis van nabijheid gebruikt.
Toegestane Bluetooth-services
CSP: Bluetooth/ServicesAllowedList.
Zie De gebruikshandleiding ServicesAllowedList voor meer informatie over de servicelijst-
Toevoegen : geef toegestane Bluetooth-services en -profielen op als hextekenreeksen, zoals
{782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}
. -
Importeren : importeer een .csv-bestand met een lijst met Bluetooth-services en -profielen, zoals hextekenreeksen, zoals
{782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}
-
Toevoegen : geef toegestane Bluetooth-services en -profielen op als hextekenreeksen, zoals
Verwisselbare opslag
CSP: Storage/RemovableDiskDenyWriteAccess- Blokkeren (standaard): voorkomen dat gebruikers externe opslagapparaten gebruiken, zoals SD-kaarten met het apparaat.
- Niet geconfigureerd
USB-verbindingen (alleen HoloLens)
CSP: Connectiviteit/AllowUSBConnection- Blokkeren : voorkom het gebruik van een USB-verbinding tussen het apparaat en een computer om bestanden te synchroniseren of om ontwikkelhulpprogramma's te gebruiken om toepassingen te implementeren of fouten op te sporen. Het opladen via USB wordt niet beïnvloed.
- Niet geconfigureerd (standaard)
Exploit Protection-profiel
Bescherming tegen misbruik
Opmerking
In deze sectie worden de instellingen beschreven die u kunt vinden in Exploit protection-profielen die zijn gemaakt vóór 5 april 2022. Profielen die na die datum zijn gemaakt, gebruiken een nieuwe indeling voor instellingen, zoals te vinden in de instellingencatalogus. Met deze wijziging kunt u geen nieuwe versies van het oude profiel meer maken en deze worden niet meer ontwikkeld. Hoewel u geen nieuwe exemplaren van het oudere profiel meer kunt maken, kunt u doorgaan met het bewerken en gebruiken van exemplaren van het profiel die u eerder hebt gemaakt.
Voor profielen die de nieuwe instellingenindeling gebruiken, houdt Intune niet langer een lijst bij van elke instelling op naam. In plaats daarvan worden de naam van elke instelling, de configuratieopties en de verklarende tekst die u in het Microsoft Intune-beheercentrum ziet, rechtstreeks uit de gezaghebbende inhoud van de instellingen gehaald. Deze inhoud kan meer informatie bieden over het gebruik van de instelling in de juiste context. Wanneer u een informatietekst voor instellingen bekijkt, kunt u de koppeling Meer informatie gebruiken om die inhoud te openen.
XML uploaden
CSP: ExploitProtectionSettingsHiermee kan de IT-beheerder een configuratie pushen die de gewenste systeem- en toepassingsbeperkingsopties vertegenwoordigt naar alle apparaten in de organisatie. De configuratie wordt vertegenwoordigd door een XML-bestand. Exploit Protection kan helpen apparaten te beschermen tegen malware die exploits gebruiken om zich te verspreiden en te infecteren. U gebruikt de app voor Windows-beveiliging of PowerShell om een set risicobeperkingen te maken (ook wel een configuratie genoemd). U kunt deze configuratie vervolgens exporteren als een XML-bestand en deze delen met meerdere computers in uw netwerk, zodat ze allemaal dezelfde set risicobeperkingsinstellingen hebben. U kunt ook een bestaand XML-bestand voor EMET-configuratie converteren en importeren in een XML-configuratie van exploit protection.
Kies XML-bestand selecteren, geef het uploaden van het XML-bestand op en klik vervolgens op Selecteren.
- Niet geconfigureerd (standaard)
- Ja
Voorkomen dat gebruikers de interface voor Exploit Guard-beveiliging bewerken
CSP: DisallowExploitProtectionOverride- Niet geconfigureerd (standaard): lokale gebruikers kunnen wijzigingen aanbrengen in het gebied met instellingen voor misbruikbeveiliging.
- Ja : voorkomen dat gebruikers wijzigingen aanbrengen in het gebied met instellingen voor misbruikbeveiliging in het Microsoft Defender-beveiligingscentrum.
Webbeveiligingsprofiel (Microsoft Edge Verouderd)
Webbeveiliging (Microsoft Edge Verouderd)
Netwerkbeveiliging inschakelen
CSP: EnableNetworkProtection- Niet geconfigureerd (standaard): de instelling keert terug naar de standaardinstelling van Windows, die is uitgeschakeld.
- Door de gebruiker gedefinieerd
- Inschakelen : netwerkbeveiliging is ingeschakeld voor alle gebruikers op het systeem.
- Controlemodus : gebruikers worden niet geblokkeerd voor gevaarlijke domeinen en in plaats daarvan worden Windows-gebeurtenissen gegenereerd.
SmartScreen voor Microsoft Edge vereisen
CSP: Browser/AllowSmartScreen- Ja : gebruik SmartScreen om gebruikers te beschermen tegen mogelijke phishing-oplichting en schadelijke software.
- Niet geconfigureerd (standaard)
Toegang tot schadelijke sites blokkeren
CSP: Browser/PreventSmartScreenPromptOverride- Ja : hiermee kunt u voorkomen dat gebruikers de waarschuwingen van het Microsoft Defender SmartScreen-filter negeren en voorkomen dat ze naar de site gaan.
- Niet geconfigureerd (standaard)
Het downloaden van niet-geverifieerde bestanden blokkeren
CSP: Browser/PreventSmartScreenPromptOverrideForFiles- Ja : hiermee kunt u voorkomen dat gebruikers de waarschuwingen van het Microsoft Defender SmartScreen-filter negeren en voorkomen dat ze niet-geverifieerde bestanden downloaden.
- Niet geconfigureerd (standaard)
Kwetsbaarheid voor aanvallen verminderen (ConfigMgr)
Exploit Protection-profiel (ConfigMgr)(preview)
Exploit Protection
XML uploaden
CSP: ExploitProtectionSettingsHiermee kan de IT-beheerder een configuratie pushen die de gewenste systeem- en toepassingsbeperkingsopties vertegenwoordigt naar alle apparaten in de organisatie. De configuratie wordt vertegenwoordigd door een XML-bestand. Exploit Protection kan helpen apparaten te beschermen tegen malware die exploits gebruiken om zich te verspreiden en te infecteren. U gebruikt de app voor Windows-beveiliging of PowerShell om een set risicobeperkingen te maken (ook wel een configuratie genoemd). U kunt deze configuratie vervolgens exporteren als een XML-bestand en deze delen met meerdere computers in uw netwerk, zodat ze allemaal dezelfde set risicobeperkingsinstellingen hebben. U kunt ook een bestaand XML-bestand voor EMET-configuratie converteren en importeren in een XML-configuratie van exploit protection.
Kies XML-bestand selecteren, geef het uploaden van het XML-bestand op en klik vervolgens op Selecteren.
Onderdrukking van Exploit Protection niet toestaan
CSP: DisallowExploitProtectionOverride- Niet geconfigureerd (standaard)
- (Uitschakelen) Lokale gebruikers mogen wijzigingen aanbrengen in het gebied met instellingen voor misbruikbeveiliging.
- (Inschakelen) Lokale gebruikers kunnen geen wijzigingen aanbrengen in het gebied met instellingen voor misbruikbeveiliging
Profiel voor webbeveiliging (ConfigMgr) (preview)
Webbeveiliging
Netwerkbeveiliging inschakelen (apparaat)
CSP: EnableNetworkProtection- Niet geconfigureerd (standaard)
- Uitgeschakeld
- Ingeschakeld (blokmodus)
- Ingeschakeld (controlemodus)
Smart Screen (apparaat) toestaan
CSP: Browser/AllowSmartScreen- Niet geconfigureerd (standaard)
- Blokkeren
- Toestaan
Overschrijven van Smart Screen-prompt voorkomen voor bestanden (apparaat)
CSP: Browser/PreventSmartScreenPromptOverride- Niet geconfigureerd (standaard)
- Uitgeschakeld
- Ingeschakeld
Overschrijven van Smart Screen-prompt voorkomen (apparaat)
CSP: Browser/PreventSmartScreenPromptOverrideForFiles- Niet geconfigureerd (standaard)
- Uitgeschakeld
- Ingeschakeld