Compartilhar via


Política CSP – Segurança

AllowAddProvisioningPackage

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1507 [10.0.10240] e posterior
./Device/Vendor/MSFT/Policy/Config/Security/AllowAddProvisioningPackage

Especifica se o agente de configuração de runtime deve permitir a instalação de pacotes de provisionamento.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Não permitido.
1 (Padrão) Permitido.

AllowManualRootCertificateInstallation

Observação

Essa política é preterida e pode ser removida em uma versão futura.

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ❌
Corporativo ❌
Educação ❌
Windows SE ❌
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ❌
✅Windows 10, versão 1507 [10.0.10240] e posterior
./Device/Vendor/MSFT/Policy/Config/Security/AllowManualRootCertificateInstallation

Essa política foi preterida.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Não permitido.
1 (Padrão) Permitido.

AllowRemoveProvisioningPackage

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1507 [10.0.10240] e posterior
./Device/Vendor/MSFT/Policy/Config/Security/AllowRemoveProvisioningPackage

Especifica se o agente de configuração do runtime deve remover pacotes de provisionamento.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Não permitido.
1 (Padrão) Permitido.

AntiTheftMode

Observação

Essa política é preterida e pode ser removida em uma versão futura.

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Não aplicável ✅Windows 10, versão 1507 [10.0.10240] e posterior
./Device/Vendor/MSFT/Policy/Config/Security/AntiTheftMode

Essa política foi preterida.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Disabled.
1 (Padrão) Enabled.

ClearTPMIfNotReady

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/Security/ClearTPMIfNotReady

Essa configuração de política configura o sistema para solicitar que o usuário desmarque o TPM se o TPM for detectado em qualquer estado diferente de Pronto. Essa política só entrará em vigor se o TPM do sistema estiver em um estado diferente de Pronto, inclusive se o TPM estiver "Pronto, com funcionalidade reduzida". O prompt para limpar o TPM começará a ocorrer após a próxima reinicialização, após o logon do usuário somente se o usuário conectado fizer parte do grupo Administradores do sistema. O prompt pode ser descartado, mas reaparecerá após cada reinicialização e logon até que a política seja desabilitada ou até que o TPM esteja em um estado pronto.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Não forçará a recuperação de um estado TPM não pronto.
1 Solicitará a desmarcação do TPM se o TPM estiver em um estado não pronto (ou com funcionalidade reduzida) que pode ser corrigido com um TPM Clear.

Mapeamento de política de grupo:

Nome Valor
Nome ClearTPMIfNotReady_Name
Nome Amigável Configure o sistema para limpar o TPM se ele não estiver em um estado pronto.
Localização Configuração do Computador
Caminho Serviços de Módulo de Plataforma Confiável do Sistema >
Nome da Chave do Registro Software\Policies\Microsoft\TPM
Nome do Valor do Registro ClearTPMIfNotReadyGP
Nome do Arquivo ADMX TPM.admx

ConfigurarWindowsPasswords

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/Security/ConfigureWindowsPasswords

Configura o uso de senhas para recursos do Windows.

Observação

Essa política só tem suporte no Windows 10 S.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 2

Valores Permitidos:

Valor Descrição
0 Não permitir senhas (credenciais assimétricas serão promovidas para substituir senhas em recursos do Windows).
1 Permitir senhas (senhas continuam a ser permitidas para serem usadas para recursos do Windows).
2 (Padrão) De acordo com as funcionalidades do SKU e do dispositivo. Windows 10 dispositivos S exibirão o padrão "Não permitir senhas" e todos os outros dispositivos serão padrão para "Permitir senhas").

PreventAutomaticDeviceEncryptionForAzureADJoinedDevices

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1607 [10.0.14393] e posterior
./Device/Vendor/MSFT/Policy/Config/Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices

Especifica se é necessário permitir a criptografia automática do dispositivo durante o OOBE quando o dispositivo está Microsoft Entra ingressado.

Para obter mais informações, confira Criptografia de Dispositivo BitLocker

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Criptografia habilitada.
1 Criptografia desabilitada.

RecoveryEnvironmentAuthentication

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ✅
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1809 [10.0.17763] e posterior
./User/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
./Device/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication

Essa política controla o requisito de autenticação Administração no RecoveryEnvironment.

Procedimento de validação:

Para validar essa política, marcar se Atualizar ("Manter meus arquivos") e Redefinir ("Remover tudo") exigem autenticação de administrador no Ambiente de Recuperação do Windows (WinRE).

  1. Primeiro, inicie o Push Button Reset (PBR) no WinRE. Abra um prompt de comando como administrador e execute o seguinte comando: reagentc /boottore
  2. O dispositivo deve ser reiniciado no WinRE. Na interface WinRE, vá para Solucionar problemas e selecione Redefinir este computador. Você deve ver duas opções: manter meus arquivos e Remover tudo.
  3. Escolha a opção manter meus arquivos. Exiba o comportamento para autenticação.
  4. Selecione a seta de trás e escolha Remover tudo. Exiba o comportamento para autenticação.

Em vez de voltar, como alternativa, você pode passar pelas opções de redefinição e selecionar Cancelar na página de confirmação final. Em seguida, ele retornará à interface winRE main.

A tabela a seguir mostra qual comportamento é esperado para as configurações de política com cada cenário:

  • ✔️ Ele solicita autenticação.
  • ❌ Nenhuma autenticação é necessária e continua com as opções de redefinição.
Política Manter meus arquivos Remover tudo
Padrão (0) ✔️
RequireAuthentication" (1) ✔️ ✔️
NoRequireAuthentication" (2)

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Comportamento atual).
1 RequireAuthentication: Administração Autenticação é sempre necessária para componentes no RecoveryEnvironment.
2 NoRequireAuthentication: Administração Autenticação não é necessária para componentes no RecoveryEnvironment.

RequireDeviceEncryption

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1607 [10.0.14393] e posterior
./Device/Vendor/MSFT/Policy/Config/Security/RequireDeviceEncryption

Permite que a empresa ative a criptografia de armazenamento interno. O valor de restrição máxima é 1. Importante. Se a criptografia tiver sido habilitada, ela não poderá ser desativada usando essa política.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) A criptografia não é necessária.
1 A criptografia é necessária.

RequireProvisioningPackageSignature

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1507 [10.0.10240] e posterior
./Device/Vendor/MSFT/Policy/Config/Security/RequireProvisioningPackageSignature

Especifica se os pacotes de provisionamento devem ter um certificado assinado por uma autoridade confiável do dispositivo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Não obrigatório.
1 Obrigatório.

RequireRetrieveHealthCertificateOnBoot

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1507 [10.0.10240] e posterior
./Device/Vendor/MSFT/Policy/Config/Security/RequireRetrieveHealthCertificateOnBoot

Especifica se deseja recuperar e postar logs de inicialização do TCG e obter ou armazenar em cache um Relatório de Atestado de Integridade criptografado ou assinado do HAS (Serviço de Atestado de Microsoft Health) quando um dispositivo inicializa ou reinicializa. Definir essa política como 1 (Obrigatório):D etermina se um dispositivo é capaz de atestado de integridade remota do dispositivo, verificando se o dispositivo tem TPM 2. 0. Melhora o desempenho do dispositivo permitindo que o dispositivo busque e cache dados para reduzir a latência durante a Verificação de Integridade do Dispositivo.

Observação

Recomendamos que essa política seja definida como Obrigatório após o registro do MDM. O valor de restrição máxima é 1.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Não obrigatório.
1 Obrigatório.

Provedor de serviço da configuração de política