Compartilhar via

Bloqueio de configuração do PC de núcleo seguro

  • Artigo
  • Aplica-se a:
    Windows 11

Numa organização empresarial, os administradores de TI impõem políticas nos respetivos dispositivos empresariais para manter os dispositivos em conformidade e proteger o SO ao impedir que os utilizadores alterem as configurações e criem um desfasamento de configuração. O desfasamento de configuração ocorre quando os utilizadores com direitos de administrador local alteram as definições e colocam o dispositivo dessincronizado com as políticas de segurança. Os dispositivos num estado não conforme podem ficar vulneráveis até à próxima sincronização e reposição da configuração com a MDM. O Windows 11 com bloqueio de configuração permite que os administradores de TI impeçam o desfasamento de configuração e mantenham a configuração do SO no estado pretendido. Com o bloqueio de configuração, o sistema operacional monitora as chaves do registro que configuram cada recurso e, quando detecta um desvio, reverte para o estado desejado pela TI em segundos.

O bloqueio de configuração de núcleo seguro (bloqueio de configuração) é uma nova funcionalidade de PC de núcleo seguro (SCPC) que impede o desvio da configuração das funcionalidades de PC de núcleo seguro causadas por uma configuração incorreta não intencional. Em suma, garante que um dispositivo destinado a ser um PC de núcleo seguro continua a ser um PC de núcleo seguro.

Para resumir, bloqueie a configuração:

  • Permite que as TI "bloqueiem" as funcionalidades do PC de núcleo protegido quando são geridas através da MDM
  • Deteta remediações de desvio em segundos
  • Não impede ataques maliciosos

Edição do Windows e requisitos de licenciamento

A tabela seguinte lista as edições do Windows que suportam o bloqueio de configuração De núcleo seguro:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Sim Sim Sim Sim

Os direitos de licença de bloqueio de configuração de núcleo protegido são concedidos pelas seguintes licenças:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Sim Sim Sim Sim Sim

Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.

Fluxo de Configuração

Depois de os PCs de núcleo seguro chegarem ao ambiente de trabalho, o bloqueio de configuração impedirá o desfasamento da configuração ao detetar se o dispositivo é ou não um PC de núcleo seguro. Quando o dispositivo não é um PC de núcleo seguro, o bloqueio não se aplica. Se o dispositivo for um PC de núcleo seguro, o bloqueio de configuração bloqueia as políticas listadas em Lista de políticas bloqueadas.

Ativar o bloqueio de configuração com o Microsoft Intune

O bloqueio de configuração não está ativado por predefinição ou ativado pelo SO durante o arranque. Em vez disso, tem de ativá-la.

Os passos para ativar o bloqueio de configuração com o Microsoft Intune são os seguintes:

  1. Certifique-se de que o dispositivo para ativar o bloqueio de configuração está inscrito no Microsoft Intune.

  2. No centro de administração do Intune, selecionePerfis de Configuração de Dispositivos>>Criar um perfil.

  3. Selecione o seguinte e prima Criar:

    • Plataforma: Windows 10 and later
    • Tipo de perfil: Templates
    • Nome do modelo: Personalizado

    Em Perfis de configuração, é apresentada a página Criar um perfil, com a Plataforma definida como Windows 10 e posterior e um Tipo de Perfil de Modelos.

  4. Dê um nome ao seu perfil.

  5. Quando chegar ao passo Definições de Configuração, selecione "Adicionar" e adicione as seguintes informações:

    • OMA-URI: ./Vendor/MSFT/DMClient/Provider/MS%20DM%20Server/ConfigLock/Lock
    • Tipo de dados: Integer
    • Valor: 1

    Para desativar o bloqueio de configuração, altere o valor para 0.

    No passo Definições de configuração, a página Editar Linha é apresentada com um Nome do bloqueio de configuração, uma Descrição do bloqueio de configuração ativado e o conjunto OMA-URI, juntamente com um Tipo de dados de Número inteiro definido como um Valor de 1.

  6. Selecione os dispositivos para ativar o bloqueio de configuração. Se estiver a utilizar um inquilino de teste, pode selecionar "+ Adicionar todos os dispositivos".

  7. Não precisa de definir regras de aplicabilidade para fins de teste.

  8. Reveja a Configuração e selecione "Criar" se tudo estiver correto.

  9. Depois de o dispositivo ser sincronizado com o servidor do Microsoft Intune, pode confirmar se o bloqueio de configuração foi ativado com êxito.

    O dashboard Estado da atribuição de perfil ao visualizar o perfil de configuração bloquear configuração do dispositivo, mostrando que um dispositivo conseguiu aplicar este perfil.

    O Estado do Dispositivo para a configuração bloqueia o Perfil de Configuração do Dispositivo, mostrando um dispositivo com um Estado de Implementação com Êxito e dois com Pendente.

Configurar funcionalidades de PC de núcleo seguro

O bloqueio de configuração foi concebido para garantir que um PC de núcleo seguro não está inadvertidamente configurado incorretamente. Mantém a capacidade de ativar ou desativar funcionalidades SCPC, por exemplo, proteção de firmware. Pode efetuar estas alterações com políticas de grupo ou serviços MDM, como o Microsoft Intune.

A definição proteção de Firmware do Defender, com uma descrição do System Guard, protege o seu dispositivo contra firmware comprometido. A definição está definida como Desativada.

Perguntas frequentes

  • Posso desativar o bloqueio de configuração? Sim. Pode utilizar a MDM para desativar completamente o bloqueio de configuração ou colocá-lo no modo de desbloqueio temporário para atividades de suporte técnico.

Lista de políticas bloqueadas

CSPs
BitLocker
CSP PassportForWork
WindowsDefenderApplicationGuard
ApplicationControl
Políticas mdm Suportado pela Política de Grupo
DataProtection/AllowDirectMemoryAccess Não
DataProtection/LegacySelectiveWipeID Não
DeviceGuard/ConfigureSystemGuardLaunch Sim
DeviceGuard/EnableVirtualizationBasedSecurity Sim
DeviceGuard/LsaCfgFlags Sim
DeviceGuard/RequirePlatformSecurityFeatures Sim
DeviceInstallation/AllowInstallationOfMatchingDeviceIDs Sim
DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs Sim
DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses Sim
DeviceInstallation/PreventDeviceMetadataFromNetwork Sim
DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings Sim
DeviceInstallation/PreventInstallationOfMatchingDeviceIDs Sim
DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs Sim
DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses Sim
DmaGuard/DeviceEnumerationPolicy Sim
WindowsDefenderSecurityCenter/CompanyName Sim
WindowsDefenderSecurityCenter/DisableAccountProtectionUI Sim
WindowsDefenderSecurityCenter/DisableAppBrowserUI Sim
WindowsDefenderSecurityCenter/DisableClearTpmButton Sim
WindowsDefenderSecurityCenter/DisableDeviceSecurityUI Sim
WindowsDefenderSecurityCenter/DisableEnhancedNotifications Sim
WindowsDefenderSecurityCenter/DisableFamilyUI Sim
WindowsDefenderSecurityCenter/DisableHealthUI Sim
WindowsDefenderSecurityCenter/DisableNetworkUI Sim
WindowsDefenderSecurityCenter/DisableNotifications Sim
WindowsDefenderSecurityCenter/DisableTpmFirmwareUpdateWarning Sim
WindowsDefenderSecurityCenter/DisableVirusUI Sim
WindowsDefenderSecurityCenter/DisallowExploitProtectionOverride Sim
WindowsDefenderSecurityCenter/E-mail Sim
WindowsDefenderSecurityCenter/EnableCustomizedToasts Sim
WindowsDefenderSecurityCenter/EnableInAppCustomization Sim
WindowsDefenderSecurityCenter/HideRansomwareDataRecovery Sim
WindowsDefenderSecurityCenter/HideSecureBoot Sim
WindowsDefenderSecurityCenter/HideTPMTroubleshooting Sim
WindowsDefenderSecurityCenter/HideWindowsSecurityNotificationAreaControl Sim
WindowsDefenderSecurityCenter/Phone Sim
WindowsDefenderSecurityCenter/URL Sim
SmartScreen/EnableAppInstallControl Sim
SmartScreen/EnableSmartScreenInShell Sim
SmartScreen/PreventOverrideForFilesInShell Sim