Política CSP – ServiceControlManager

Dica

Este CSP contém políticas apoiadas pelo ADMX que exigem um formato SyncML especial para habilitar ou desabilitar. Você deve especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter detalhes, consulte Noções básicas sobre políticas apoiadas pelo ADMX.

A carga do SyncML deve ser codificada por XML; para essa codificação XML, há uma variedade de codificadores online que você pode usar. Para evitar codificar a carga, você pode usar a CDATA se o MDM der suporte a ela. Para obter mais informações, confira Seções CDATA.

SvchostProcessMitigation

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ❌
Corporativo ✅
Educação ✅
Windows SE ❌
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1903 [10.0.18362] e posterior
./Device/Vendor/MSFT/Policy/Config/ServiceControlManager/SvchostProcessMitigation

Essa configuração de política permite opções de mitigação de processo em processos svchost.exe.

  • Se você habilitar essa configuração de política, os serviços de sistema internos hospedados em processos de svchost.exe terão políticas de segurança mais rigorosas habilitadas.

Isso inclui uma política que exige que todos os binários carregados nesses processos sejam assinados pela Microsoft, bem como uma política que não permite o código gerado dinamicamente.

  • Se você desabilitar ou não configurar essa configuração de política, essas configurações de segurança mais rigorosas não serão aplicadas.

Se você habilitar essa política, ela adicionará o CIG (code integrity guard) e a aplicação arbitrária do ACG (code guard) e outras políticas de mitigação de processo/integridade de código aos processos SVCHOST.

Importante

Habilitar essa política pode causar problemas de compatibilidade com software de terceiros que usa processos svchost.exe. Por exemplo, software antivírus de terceiros.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome Valor
Nome SvchostProcessMitigationEnable
Nome Amigável Habilitar opções de mitigação de svchost.exe
Localização Configuração do Computador
Caminho Configurações de segurança de configurações > do System > Service Control Manager
Nome da Chave do Registro System\CurrentControlSet\Control\SCMConfig
Nome do Valor do Registro EnableSvchostMitigationPolicy
Nome do Arquivo ADMX ServiceControlManager.admx

Provedor de serviço da configuração de política