Параметры Windows, которыми можно управлять с помощью профиля Intune Endpoint Protection

Примечание.

Intune может поддерживать больше параметров, чем параметры, перечисленные в этой статье. Не все параметры документированы и не будут документированы. Чтобы просмотреть параметры, которые можно настроить, создайте политику конфигурации устройств и выберите Каталог параметров. Дополнительные сведения см. в разделе Каталог параметров.

Microsoft Intune включает множество параметров для защиты устройств. В этой статье описаны параметры в шаблоне Endpoint Protection конфигурации устройства. Для управления безопасностью устройств можно также использовать политики безопасности конечных точек, которые непосредственно ориентированы на подмножества безопасности устройств. Сведения о настройке Microsoft Defender антивирусной программы см. в статье Ограничения устройств Windows или использование политики антивирусной программы безопасности конечных точек.

Подготовка к работе

Создайте профиль конфигурации устройства для защиты конечных точек.

Дополнительные сведения о поставщиках служб конфигурации см . в справочнике по поставщикам служб конфигурации.

Application Guard в Microsoft Defender

Для Microsoft Edge Application Guard в Microsoft Defender защищает вашу среду от сайтов, которые не являются доверенными в вашей организации. При использовании Application Guard сайты, которые не на вашей изолированной границе сети, открываются в сеансе виртуального просмотра Hyper-V. Доверенные сайты определяются границей сети, которая настраивается в конфигурации устройства. Дополнительные сведения см. в разделе Создание границы сети на устройствах Windows.

Application Guard доступна только для 64-разрядных устройств Windows. При использовании этого профиля для активации Application Guard устанавливается компонент Win32.

• Application Guard
  По умолчанию: не настроено
  Application Guard CSP: Settings/AllowWindowsDefenderApplicationGuard

  • Включено для Edge . Включает эту функцию, которая открывает ненадежные сайты в виртуализированном контейнере браузера Hyper-V.
  • Не настроено — на устройстве может открыться любой сайт (доверенный и ненадежный).

• Поведение буфера обмена
  По умолчанию: не настроено
  Application Guard CSP: Settings/ClipboardSettings

  Выберите, какие действия копирования и вставки разрешены между локальным компьютером и виртуальным браузером Application Guard.

  • Не настроено
  • Разрешить копирование и вставку только с компьютера в браузер
  • Разрешить копирование и вставку только из браузера на компьютер
  • Разрешить копирование и вставку между компьютером и браузером
  • Блокировка копирования и вставки между компьютером и браузером

• Содержимое буфера обмена
  Этот параметр доступен только в том случае, если для режима буфера обмена задано одно из разрешенных параметров.
  По умолчанию: не настроено
  Application Guard CSP: Settings/ClipboardFileType

  Выберите допустимое содержимое буфера обмена.

  • Не настроено
  • Текст
  • Images
  • Текст и изображения

• Внешнее содержимое на корпоративных сайтах
  По умолчанию: не настроено
  Application Guard CSP: Settings/BlockNonEnterpriseContent

  • Блокировать — блокировать загрузку содержимого с неутвержденных веб-сайтов.
  • Не настроено — на устройстве могут открываться сайты, не являющиеся корпоративными.

• Печать из виртуального браузера
  По умолчанию: не настроено
  Application Guard CSP: Параметры/PrintingSettings

  • Разрешить — позволяет печатать выбранное содержимое из виртуального браузера.
  • Не настроено Отключите все функции печати.

  Если вы разрешаете печать, можно настроить следующий параметр:

  • Тип печати Выберите один или несколько из следующих параметров:
    • PDF
    • XPS
    • Локальные принтеры
    • Сетевые принтеры

• Сбор журналов
  По умолчанию: не настроено
  Application Guard CSP: Audit/AuditApplicationGuard

  • Разрешить — сбор журналов событий, происходящих в Application Guard сеансе просмотра.
  • Не настроено — не собирать журналы в рамках сеанса просмотра.

• Сохранение данных браузера, созданных пользователем
  По умолчанию: не настроено
  Application Guard CSP: Settings/AllowPersistence

  • Позволяют Сохранение данных пользователя (например, паролей, избранного и файлов cookie), созданных во время Application Guard сеанса виртуального просмотра.
  • Не настроено Отмена скачанных пользователем файлов и данных при перезапуске устройства или при выходе пользователя из системы.

• Ускорение графики
  По умолчанию: не настроено
  Application Guard CSP: Settings/AllowVirtualGPU

  • Включить . Загрузка ресурсоемких веб-сайтов и видео быстрее, получая доступ к виртуальному блоку обработки графики.
  • Не настроено Использовать ЦП устройства для графики; Не используйте виртуальную единицу обработки графики.

• Скачивание файлов в файловую систему узла
  По умолчанию: не настроено
  Application Guard CSP: Settings/SaveFilesToHost

  • Включить . Пользователи могут скачивать файлы из виртуализированного браузера в операционную систему узла.
  • Не настроено — файлы сохраняются локально на устройстве и не загружаются в файловую систему узла.

Брандмауэр Windows

Глобальные параметры

Эти параметры применимы ко всем типам сети.

• Протокол передачи файлов
  По умолчанию: не настроено
  Поставщик служб CSP брандмауэра: MdmStore/Global/DisableStatefulFtp

  • Блокировать — отключить FTP с отслеживанием состояния.
  • Не настроено — брандмауэр выполняет фильтрацию FTP с отслеживанием состояния, чтобы разрешить дополнительные подключения.

• Время простоя сопоставления безопасности перед удалением
  По умолчанию: не настроено
  Поставщик служб CSP брандмауэра: MdmStore/Global/SaIdleTime

  Укажите время простоя в секундах, по истечении которого удаляются связи безопасности.

• Кодировка предварительно общего ключа
  По умолчанию: не настроено
  Поставщик служб CSP брандмауэра: MdmStore/Global/PresharedKeyEncoding

  • Включить — кодирование предварительно подслушанных ключей с помощью UTF-8.
  • Не настроено — кодируйте предварительно подслушанные ключи с помощью значения локального хранилища.

• Исключения IPsec
  По умолчанию: выбрано 0
  Поставщик служб CSP брандмауэра: MdmStore/Global/IPsecExempt

  Выберите один или несколько из следующих типов трафика, которые следует исключить из IPsec:

  • Сосед обнаруживает коды типов IPv6 ICMP
  • ICMP
  • Маршрутизатор обнаруживает коды типов IPv6 ICMP
  • Сетевой трафик DHCP IPv4 и IPv6

• Проверка списка отзыва сертификатов
  По умолчанию: не настроено
  Поставщик служб CSP брандмауэра: MdmStore/Global/CRLcheck

  Выберите способ проверки устройства списка отзыва сертификатов. Варианты:

  • Отключение проверки списка отзыва сертификатов
  • Сбой проверки отзыва сертификатов только для отозванного сертификата
  • Не удается проверить список отзыва сертификатов при обнаруженной ошибке.

• Оппортунистически сопоставлять набор проверки подлинности для каждого модуля ключей
  По умолчанию: не настроено
  Брандмауэр CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

  • Включить Модули ключей должны игнорировать только наборы проверки подлинности, которые они не поддерживают.
  • Не настроено. Модули keying должны игнорировать весь набор проверки подлинности, если они не поддерживают все наборы проверки подлинности, указанные в наборе.

• Очередь пакетов
  По умолчанию: не настроено
  Брандмауэр CSP: MdmStore/Global/EnablePacketQueue

  Укажите, как включено масштабирование программного обеспечения на стороне получения для зашифрованного получения и прямого преобразования текста для сценария шлюза туннеля IPsec. Этот параметр подтверждает сохранение порядка пакетов. Варианты:

  • Не настроено
  • Отключение всех очередей пакетов
  • Очередь только для входящих зашифрованных пакетов
  • Пакеты очереди после расшифровки выполняются только для переадресации
  • Настройка входящих и исходящих пакетов

Параметры сети

Следующие параметры перечислены в этой статье один раз, но все они применяются к трем конкретным типам сети:

• Сеть домена (рабочая область)
• Частная (обнаруживаемая) сеть
• Общедоступная (не обнаруживаемая) сеть

Общие

• Брандмауэр Windows
  По умолчанию: не настроено
  Поставщик служб CSP брандмауэра: EnableFirewall

  • Включить — включите брандмауэр и расширенную безопасность.
  • Не настроено Разрешает весь сетевой трафик, независимо от других параметров политики.

• Скрытый режим
  По умолчанию: не настроено
  Брандмауэр CSP: DisableStealthMode

  • Не настроено
  • Блокировать — брандмауэр не работает в режиме скрытности. Режим блокировки скрытия позволяет также заблокировать исключение защищенного пакета IPsec.
  • Разрешить — брандмауэр работает в режиме скрытия, что помогает предотвратить ответы на запросы проверки.

• Исключение защищенного пакета IPsec с режимом скрытия
  По умолчанию: не настроено
  Поставщик CSP брандмауэра: DisableStealthModeIpsecSecuredPacketExemption

  Этот параметр игнорируется, если для режима скрытия задано значение Блокировать.

  • Не настроено
  • Блокировать . Защищенные пакеты IPSec не получают исключений.
  • Разрешить — включить исключения. Невидимый режим брандмауэра не должен препятствовать реагированию главного компьютера на незапрошенный сетевой трафик, защищенный протоколом IPsec.

• Экранированный
  По умолчанию: не настроено
  Брандмауэр CSP: экранировано

  • Не настроено
  • Блокировать . Если брандмауэр Windows включен и для этого параметра задано значение Блокировать, весь входящий трафик блокируется независимо от других параметров политики.
  • Разрешить . Если задано значение Разрешить, этот параметр отключен, а входящий трафик разрешен на основе других параметров политики.

• Одноадресные ответы на многоадресную рассылку
  По умолчанию: не настроено
  Брандмауэр CSP: DisableUnicastResponsesToMulticastBroadcast

  Как правило, вы не хотите получать одноадресные ответы на многоадресные или широковещательные сообщения. Эти ответы могут указывать на атаку типа "отказ в обслуживании" (DOS) или на попытку злоумышленника проверить известный динамический компьютер.

  • Не настроено
  • Блокировать . Отключение одноадресных ответов на многоадресную рассылку.
  • Разрешить — разрешить одноадресные ответы для многоадресной рассылки.

• Входящие уведомления
  По умолчанию: не настроено
  Брандмауэр CSP: DisableInboundNotifications

  • Не настроено
  • Блокировать — скрытие уведомлений для использования, когда приложение не может прослушивать порт.
  • Разрешить — включает этот параметр и может отображать уведомление для пользователей, когда приложению запрещено прослушивать порт.

• Действие по умолчанию для исходящих подключений
  По умолчанию: не настроено
  Брандмауэр CSP: DefaultOutboundAction

  Настройте действие по умолчанию, выполняемого брандмауэром для исходящих подключений. Этот параметр будет применен к Windows версии 1809 и выше.

  • Не настроено
  • Блокировать . Действие брандмауэра по умолчанию не выполняется для исходящего трафика, если оно явно не указано для блокировки.
  • Разрешить — действия брандмауэра по умолчанию выполняются для исходящих подключений.

• Действие по умолчанию для входящих подключений
  По умолчанию: не настроено
  Поставщик служб CSP брандмауэра: DefaultInboundAction

  • Не настроено
  • Блокировать . Действие брандмауэра по умолчанию не выполняется для входящих подключений.
  • Разрешить — действия брандмауэра по умолчанию выполняются при входящих подключениях.

Слияние правил

• Правила брандмауэра для авторизованного приложения Windows из локального хранилища
  По умолчанию: не настроено
  Брандмауэр CSP: AuthAppsAllowUserPrefMerge

  • Не настроено
  • Блокировать . Правила брандмауэра авторизованного приложения в локальном хранилище игнорируются и не применяются.
  • Разрешить — выберите Включить Применяет правила брандмауэра в локальном хранилище, чтобы они распознались и применялись.

• Правила брандмауэра Windows для глобальных портов из локального хранилища
  По умолчанию: не настроено
  Поставщик CSP брандмауэра: GlobalPortsAllowUserPrefMerge

  • Не настроено
  • Блокировать . Правила брандмауэра глобальных портов в локальном хранилище игнорируются и не применяются.
  • Разрешить . Применяйте правила брандмауэра для глобальных портов в локальном хранилище для распознавания и принудительного применения.

• Правила брандмауэра Windows из локального хранилища
  По умолчанию: не настроено
  Брандмауэр CSP: AllowLocalPolicyMerge

  • Не настроено
  • Блокировать . Правила брандмауэра из локального хранилища игнорируются и не применяются.
  • Разрешить — применение правил брандмауэра в локальном хранилище для распознавания и применения.

• Правила IPsec из локального хранилища
  По умолчанию: не настроено
  Поставщик служб CSP брандмауэра: AllowLocalIpsecPolicyMerge

  • Не настроено
  • Блокировать . Правила безопасности подключений из локального хранилища игнорируются и не применяются, независимо от версии схемы и правила безопасности подключения.
  • Разрешить — применение правил безопасности подключения из локального хранилища независимо от версий схемы или правил безопасности подключения.

Правила брандмауэра

Вы можете добавить одно или несколько настраиваемых правил брандмауэра. Дополнительные сведения см. в статье Добавление настраиваемых правил брандмауэра для устройств Windows.

Настраиваемые правила брандмауэра поддерживают следующие параметры:

Общие параметры

• Название
  По умолчанию: нет имени

  Укажите понятное имя правила. Это имя появится в списке правил, которые помогут вам определить его.

• Описание
  По умолчанию: нет описания

  Укажите описание правила.

• Направление
  По умолчанию: не настроено
  Брандмауэр CSP: FirewallRules/FirewallRuleName/Direction

  Укажите, применяется ли это правило к входящего или исходящему трафику. Если задано значение Не настроено, правило автоматически применяется к исходящему трафику.

• Действие
  По умолчанию: не настроено
  Брандмауэр CSP: FirewallRules/FirewallRuleName/Action и FirewallRules/FirewallRuleName/Action

  Выберите пункт Разрешить или Заблокировать. Если задано значение Не настроено, правило по умолчанию разрешает трафик.

• Тип сети
  По умолчанию: выбрано 0
  Поставщик служб CSP брандмауэра: FirewallRules/FirewallRuleName/Profiles

  Выберите до трех типов сети, к которым принадлежит это правило. Параметры включают домен, частный и общедоступный. Если типы сети не выбраны, правило применяется ко всем трем типам сети.

Параметры приложений

• Приложения
  По умолчанию: Все

  Управление подключениями для приложения или программы. Приложения и программы можно указать путем к файлу, именем семейства пакетов или именем службы:

  • Имя семейства пакетов — укажите имя семейства пакетов. Чтобы найти имя семейства пакетов, используйте команду PowerShell Get-AppxPackage.
    Брандмауэр CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName

  • Путь к файлу . Необходимо указать путь к файлу к приложению на клиентском устройстве, который может быть абсолютным или относительным путем. Например, C:\Windows\System\Notepad.exe или %WINDIR%\Notepad.exe.
    Брандмауэр CSP: FirewallRules/FirewallRuleName/App/FilePath

  • Служба Windows — укажите короткое имя службы Windows, если это служба, а не приложение, которое отправляет или получает трафик. Чтобы найти короткое имя службы, используйте команду PowerShell Get-Service.
    Брандмауэр CSP: FirewallRules/FirewallRuleName/App/ServiceName

  • Все — конфигурации не требуются.

Параметры IP-адреса

Укажите локальный и удаленный адреса, к которым применяется это правило.

• Локальные адреса
  По умолчанию: любой адрес
  Поставщик служб CSP брандмауэра: FirewallRules/FirewallRuleName/LocalPortRanges

  Выберите Любой адрес или Указанный адрес.

  При использовании указанного адреса вы добавляете один или несколько адресов в список локальных адресов, на которые распространяется правило, разделенные запятыми. Допустимые маркеры:

  • Используйте звездочку * для любого локального адреса. Если вы используете звездочку, она должна быть единственным маркером, который вы используете.
  • Укажите подсеть с помощью нотации маски подсети или префикса сети. Если маска подсети или префикс сети не указаны, по умолчанию маска подсети имеет значение 255.255.255.255.255.
  • Допустимый IPv6-адрес.
  • Диапазон адресов IPv4 в формате "начальный адрес - конечный адрес" без пробелов.
  • Диапазон адресов IPv6 в формате "начальный адрес - конечный адрес" без пробелов.

• Удаленные адреса
  По умолчанию: любой адрес
  Брандмауэр CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

  Выберите Любой адрес или Указанный адрес.

  При использовании указанного адреса вы добавляете один или несколько адресов в список удаленных адресов, разделенных запятыми, на которые распространяется правило. Маркеры не чувствительны к регистру. Допустимые маркеры:

  • Используйте звездочку "*" для любого удаленного адреса. Если вы используете звездочку, она должна быть единственным маркером, который вы используете.
  • Defaultgateway
  • DHCP
  • DNS
  • WINS
  • Intranet (поддерживается в Windows версии 1809 и более поздних)
  • RmtIntranet (поддерживается в Windows версии 1809 и более поздних)
  • Internet (поддерживается в Windows версии 1809 и более поздних)
  • Ply2Renders (поддерживается в Windows версии 1809 и более поздних)
  • LocalSubnet указывает любой локальный адрес в локальной подсети.
  • Укажите подсеть с помощью нотации маски подсети или префикса сети. Если маска подсети или префикс сети не указаны, по умолчанию маска подсети имеет значение 255.255.255.255.255.
  • Допустимый IPv6-адрес.
  • Диапазон адресов IPv4 в формате "начальный адрес - конечный адрес" без пробелов.
  • Диапазон адресов IPv6 в формате "начальный адрес - конечный адрес" без пробелов.

Параметры порта и протокола

Укажите локальный и удаленный порты, к которым применяется это правило.

• Protocol (Протокол)
  По умолчанию: Любой
  Брандмауэр CSP: FirewallRules/FirewallRuleName/Protocol
  Выберите один из следующих вариантов и выполните все необходимые настройки:
  • Все — конфигурация недоступна.
  • TCP — настройка локальных и удаленных портов. Оба варианта поддерживают все порты или указанные порты. Введите указанные порты с разделив запятыми список.
    • Локальные порты — поставщик служб CSP брандмауэра: FirewallRules/FirewallRuleName/LocalPortRanges
    • Удаленные порты — брандмауэр CSP: FirewallRules/FirewallRuleName/RemotePortRanges
  • UDP — настройка локальных и удаленных портов. Оба варианта поддерживают все порты или указанные порты. Введите указанные порты с разделив запятыми список.
    • Локальные порты — поставщик служб CSP брандмауэра: FirewallRules/FirewallRuleName/LocalPortRanges
    • Удаленные порты — брандмауэр CSP: FirewallRules/FirewallRuleName/RemotePortRanges
  • Пользовательский — укажите пользовательский номер протокола от 0 до 255.

Расширенная конфигурация

• Типы интерфейсов
  По умолчанию: выбрано 0
  Брандмауэр CSP: FirewallRules/FirewallRuleName/InterfaceTypes

  Выберите один из следующих параметров.

  • Удаленный доступ
  • Беспроводная связь
  • Локальная сеть

• Разрешить подключения только от этих пользователей
  По умолчанию: все пользователи (по умолчанию используется, если список не указан)
  Поставщик служб CSP брандмауэра: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

  Укажите список авторизованных локальных пользователей для этого правила. Невозможно указать список авторизованных пользователей, если это правило применяется к службе Windows.

Microsoft Defender параметры SmartScreen

На устройстве должен быть установлен Microsoft Edge.

• SmartScreen для приложений и файлов
  По умолчанию: не настроено
  SmartScreen CSP: SmartScreen/EnableSmartScreenInShell

  • Не настроено — отключает использование SmartScreen.
  • Включить — включить Windows SmartScreen для выполнения файлов и запуска приложений. SmartScreen — это облачный компонент защиты от фишинга и вредоносных программ.

• Выполнение непроверенных файлов
  По умолчанию: не настроено
  SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell

  • Не настроено — отключает эту функцию и позволяет конечным пользователям запускать файлы, которые еще не были проверены.
  • Блокировать — запретить конечным пользователям запускать файлы, которые не были проверены Windows SmartScreen.

Шифрование Windows

Параметры Windows

• Шифрование устройств
  По умолчанию: не настроено
  BitLocker CSP: RequireDeviceEncryption

  • Требовать — запрашивает у пользователей включение шифрования устройств. В зависимости от выпуска Windows и конфигурации системы пользователям может быть предложено:
    • Чтобы убедиться, что шифрование от другого поставщика не включено.
    • Необходимо отключить шифрование диска BitLocker, а затем снова включить BitLocker.
  • Не настроено

  Если шифрование Windows включено, пока активен другой метод шифрования, устройство может стать нестабильным.

Базовые параметры BitLocker

Базовые параметры — это универсальные параметры BitLocker для всех типов дисков с данными. Эти параметры управляют задачами шифрования дисков или параметрами конфигурации, которые пользователь может изменять на всех типах дисков с данными.

• Предупреждение для другого шифрования диска
  По умолчанию: не настроено
  BitLocker CSP: AllowWarningForOtherDiskEncryption

  • Блокировать — отключить предупреждение, если на устройстве находится другая служба шифрования дисков.
  • Не настроено . Разрешите отображать предупреждение для шифрования другого диска.

  Совет

  Для автоматической и автоматической установки BitLocker на устройстве, которое Microsoft Entra присоединено и работает под управлением Windows 1809 или более поздней версии, для этого параметра необходимо установить значение Блокировать. Дополнительные сведения см. в статье Автоматическое включение BitLocker на устройствах.

  Если задано значение Блокировать, можно настроить следующий параметр:

  • Разрешить стандартным пользователям включать шифрование во время присоединения к Microsoft Entra
    Этот параметр применяется только к устройствам, присоединенным к Microsoft Entra (Azure ADJ), и зависит от предыдущего параметра Warning for other disk encryption.
    По умолчанию: не настроено
    BitLocker CSP: AllowStandardUserEncryption

    • Разрешить — обычные пользователи (не администраторы) могут включить шифрование BitLocker при входе в систему.
    • Не настроено только администраторы могут включить шифрование BitLocker на устройстве.

  Совет

  Для автоматической и автоматической установки BitLocker на устройстве, которое Microsoft Entra присоединено и работает под управлением Windows 1809 или более поздней версии, для этого параметра необходимо установить значение Разрешить. Дополнительные сведения см. в статье Автоматическое включение BitLocker на устройствах.

• Настройка методов шифрования
  По умолчанию: не настроено
  BitLocker CSP: EncryptionMethodByDriveType

  • Включить — настройка алгоритмов шифрования для операционной системы, данных и съемных дисков.
  • Не настроено . BitLocker использует 128-разрядный метод шифрования XTS-AES в качестве метода шифрования по умолчанию или метод шифрования, указанный в любом скрипте установки.

  Если задано значение Включить, можно настроить следующие параметры:

  • Шифрование дисков операционной системы
    По умолчанию: XTS-AES 128-bit

    Выберите метод шифрования для дисков операционной системы. Рекомендуется использовать алгоритм XTS-AES.

    • AES-CBC 128-битная
    • AES-CBC 256-битная
    • XTS-AES 128-разрядная версия
    • XTS-AES 256-битная

  • Шифрование для фиксированных дисков данных
    По умолчанию: AES-CBC, 128-разрядная версия

    Выберите метод шифрования для фиксированных (встроенных) дисков с данными. Рекомендуется использовать алгоритм XTS-AES.

    • AES-CBC 128-битная
    • AES-CBC 256-битная
    • XTS-AES 128-разрядная версия
    • XTS-AES 256-битная

  • Шифрование съемных дисков с данными
    По умолчанию: AES-CBC, 128-разрядная версия

    Выберите метод шифрования для съемных дисков с данными. Если съемный диск используется с устройствами, которые не работают Windows 10/11, рекомендуется использовать алгоритм AES-CBC.

    • AES-CBC 128-битная
    • AES-CBC 256-битная
    • XTS-AES 128-разрядная версия
    • XTS-AES 256-битная

Параметры диска ОС BitLocker

Эти параметры применяются специально к дискам с данными операционной системы.

• Дополнительная проверка подлинности при запуске
  По умолчанию: не настроено
  BitLocker CSP: SystemDrivesRequireStartupAuthentication

  • Требовать — настройте требования к проверке подлинности для запуска компьютера, включая использование доверенного платформенного модуля (TPM).
  • Не настроено — настройте только базовые параметры на устройствах с доверенным платформенный платформенный модуль.

  Если задано значение Требовать, можно настроить следующие параметры:

  • BitLocker с несовместимой микросхемой доверенного платформенного модуля
    По умолчанию: не настроено

    • Блокировать . Отключите использование BitLocker, если на устройстве нет совместимой микросхемы доверенного платформенного модуля.
    • Не настроено — пользователи могут использовать BitLocker без совместимой микросхемы доверенного платформенного модуля. Для BitLocker может потребоваться пароль или ключ запуска.

  • Запуск совместимого доверенного платформенного модуля
    По умолчанию: разрешить TPM

    Настройте, разрешен ли TPM, является ли он разрешенным, обязательным или недопустимым.

    • Разрешить TPM
    • Не разрешать доверенный платформенный модуль
    • Требовать TPM

  • ПИН-код запуска совместимого доверенного платформенного модуля
    По умолчанию: разрешить ПИН-код запуска с помощью доверенного платформенного модуля

    Выберите разрешение, запретить или требовать использование ПИН-кода запуска с микросхемой доверенного платформенного модуля. Включение ПИН-кода запуска требует взаимодействия со стороны конечного пользователя.

    • Разрешить ПИН-код запуска с доверенным платформенный модуль
    • Запретить запуск ПИН-кода с доверенным платформенный модуль
    • Требовать ПИН-код запуска с TPM

    Совет

    Для автоматической и автоматической установки BitLocker на устройстве, которое Microsoft Entra присоединено и работает под управлением Windows 1809 или более поздней версии, этот параметр не должен иметь значение Требовать ПИН-код запуска с доверенным платформенный модуль. Дополнительные сведения см. в статье Автоматическое включение BitLocker на устройствах.

  • Ключ запуска совместимого доверенного платформенного модуля
    По умолчанию: разрешить ключ запуска с TPM

    Выберите разрешить, запретить или требовать использование ключа запуска с микросхемой доверенного платформенного модуля. Включение ключа запуска требует взаимодействия со стороны конечного пользователя.

    • Разрешение ключа запуска с TPM
    • Не разрешайте ключ запуска с TPM
    • Требовать ключ запуска с TPM

    Совет

    Для автоматической и автоматической установки BitLocker на устройстве, которое Microsoft Entra присоединено и работает под управлением Windows 1809 или более поздней версии, этот параметр не должен иметь значение Требовать ключ запуска с доверенным платформенный модуль. Дополнительные сведения см. в статье Автоматическое включение BitLocker на устройствах.

  • Совместимый ключ запуска доверенного платформенного модуля и ПИН-код
    По умолчанию: разрешить ключ запуска и ПИН-код с TPM

    Выберите разрешение, запретить или требовать использование ключа запуска и ПИН-кода с микросхемой доверенного платформенного модуля. Включение ключа запуска и ПИН-кода требует взаимодействия со стороны конечного пользователя.

    • Разрешение ключа запуска и ПИН-кода с помощью доверенного платформенного модуля
    • Не разрешайте ключ запуска и ПИН-код с доверенным платформенный платформенный модуль
    • Требовать ключ запуска и ПИН-код с TPM

    Совет

    Для автоматической и автоматической установки BitLocker на устройстве, которое Microsoft Entra присоединено и работает под управлением Windows 1809 или более поздней версии, этот параметр не должен иметь значение Требовать ключ запуска и ПИН-код с доверенным платформенный модуль. Дополнительные сведения см. в статье Автоматическое включение BitLocker на устройствах.

• Минимальная длина ПИН-кода
  По умолчанию: не настроено
  BitLocker CSP: SystemDrivesMinimumPINLength

  • Включить Настройте минимальную длину ПИН-кода запуска доверенного платформенного модуля.
  • Не настроено — пользователи могут настроить ПИН-код запуска любой длины от 6 до 20 цифр.

  Если задано значение Включить, можно настроить следующий параметр:

  • Минимальное количество символов
    По умолчанию: Не настроен поставщик служб CSP BitLocker: SystemDrivesMinimumPINLength

    Введите число символов, необходимое для ПИН-кода запуска, начиная с 4-20.

• Восстановление диска ОС
  По умолчанию: не настроено
  BitLocker CSP: SystemDrivesRecoveryOptions

  • Включить . Управление восстановлением дисков операционной системы, защищенных BitLocker, если необходимые сведения о запуске недоступны.
  • Не настроено — поддерживаются параметры восстановления по умолчанию, включая DRA. Конечный пользователь может указать параметры восстановления. Сведения о восстановлении не архивируются в AD DS.

  Если задано значение Включить, можно настроить следующие параметры:

  • Агент восстановления данных на основе сертификатов
    По умолчанию: не настроено

    • Блокировать . Запретить использование агента восстановления данных с дисками ОС, защищенными BitLocker.
    • Не настроено — разрешить использование агентов восстановления данных с дисками операционной системы, защищенными BitLocker.

  • Создание пользователем пароля восстановления
    По умолчанию: разрешить 48-значный пароль восстановления

    Укажите, разрешено ли пользователям создавать 48-значный пароль восстановления.

    • Разрешить 48-значный пароль восстановления
    • Запретить 48-значный пароль восстановления
    • Требовать пароль восстановления из 48 цифр

  • Создание пользователем ключа восстановления
    По умолчанию: разрешить 256-разрядный ключ восстановления

    Выберите, разрешено ли пользователям, обязательно или запрещено создавать 256-разрядный ключ восстановления.

    • Разрешить 256-разрядный ключ восстановления
    • Не разрешать 256-разрядный ключ восстановления
    • Требовать 256-разрядный ключ восстановления

  • Параметры восстановления в мастере настройки BitLocker
    По умолчанию: не настроено

    • Блокировать — пользователи не могут видеть и изменять параметры восстановления. Если задано значение
    • Не настроено — пользователи могут просматривать и изменять параметры восстановления при включении BitLocker.

  • Сохранение сведений о восстановлении BitLocker в Microsoft Entra id
    По умолчанию: не настроено

    • Включить . Храните сведения о восстановлении BitLocker в Microsoft Entra идентификаторе.
    • Не настроено — сведения о восстановлении BitLocker не хранятся в идентификаторе Microsoft Entra.

  • Сведения о восстановлении BitLocker, хранящиеся в Microsoft Entra идентификаторе
    По умолчанию: резервное копирование паролей восстановления и пакетов ключей

    Настройте, какие части сведений о восстановлении BitLocker хранятся в идентификаторе Microsoft Entra. Варианты:

    • Пароли восстановления резервных копий и пакеты ключей
    • Только пароли восстановления резервного копирования

  • Смена пароля восстановления на основе клиента
    По умолчанию: не настроено
    BitLocker CSP: ConfigureRecoveryPasswordRotation

    Этот параметр инициирует смену пароля восстановления на основе клиента после восстановления диска ОС (с помощью bootmgr или WinRE).

    • Не настроено
    • Смена ключей отключена
    • Включена смена ключей для Microsoft Entra присоединенных дейсов
    • Смена ключей включена для Microsoft Entra идентификаторов и устройств с гибридным присоединением

  • Хранение сведений о восстановлении в идентификаторе Microsoft Entra перед включением BitLocker
    По умолчанию: не настроено

    Запретить пользователям включать BitLocker, если компьютер не успешно резервирует сведения о восстановлении BitLocker для Microsoft Entra идентификатора.

    • Требовать— запретить пользователям включать BitLocker, если сведения о восстановлении BitLocker успешно хранятся в Microsoft Entra идентификаторе.
    • Не настроено. Пользователи могут включить BitLocker, даже если сведения о восстановлении не сохраняются в Microsoft Entra идентификаторе.

• Сообщение о восстановлении перед загрузкой и URL-адрес
  По умолчанию: не настроено
  BitLocker CSP: SystemDrivesRecoveryMessage

  • Включить . Настройте сообщение и URL-адрес, отображаемые на экране восстановления ключа перед загрузкой.
  • Не настроено — отключите эту функцию.

  Если задано значение Включить, можно настроить следующий параметр:

  • Сообщение о восстановлении перед загрузкой
    По умолчанию: используйте сообщение о восстановлении и URL-адрес по умолчанию.

    Настройте отображение сообщения о восстановлении перед загрузкой для пользователей. Варианты:

    • Использование сообщения о восстановлении по умолчанию и URL-адреса
    • Использование пустого сообщения восстановления и URL-адреса
    • Использование пользовательского сообщения восстановления
    • Использование пользовательского URL-адреса восстановления

Фиксированные параметры диска данных BitLocker

Эти параметры применяются специально к фиксированным дискам с данными.

• Доступ на запись на фиксированный диск с данными, не защищенный BitLocker
  По умолчанию: не настроено
  BitLocker CSP: FixedDrivesRequireEncryption

  • Блокировать . Предоставление доступа только для чтения дискам с данными, которые не защищены BitLocker.
  • Не настроено . По умолчанию доступ на чтение и запись к дискам с данными, которые не зашифрованы.

• Исправлено восстановление диска
  По умолчанию: не настроено
  BitLocker CSP: FixedDrivesRecoveryOptions

  • Включить — управление восстановлением фиксированных дисков, защищенных BitLocker, если необходимые сведения о запуске недоступны.
  • Не настроено — отключите эту функцию.

  Если задано значение Включить, можно настроить следующие параметры:

  • Агент восстановления данных
    По умолчанию: не настроено

    • Блокировать — запретить использование агента восстановления данных с редактором политики фиксированных дисков, защищенных BitLocker.
    • Не настроено — позволяет использовать агенты восстановления данных с фиксированными дисками, защищенными BitLocker.

  • Создание пользователем пароля восстановления
    По умолчанию: разрешить 48-значный пароль восстановления

    Укажите, разрешено ли пользователям создавать 48-значный пароль восстановления.

    • Разрешить 48-значный пароль восстановления
    • Запретить 48-значный пароль восстановления
    • Требовать пароль восстановления из 48 цифр

  • Создание пользователем ключа восстановления
    По умолчанию: разрешить 256-разрядный ключ восстановления

    Выберите, разрешено ли пользователям, обязательно или запрещено создавать 256-разрядный ключ восстановления.

    • Разрешить 256-разрядный ключ восстановления
    • Не разрешать 256-разрядный ключ восстановления
    • Требовать 256-разрядный ключ восстановления

  • Параметры восстановления в мастере настройки BitLocker
    По умолчанию: не настроено

    • Блокировать — пользователи не могут видеть и изменять параметры восстановления. Если задано значение
    • Не настроено — пользователи могут просматривать и изменять параметры восстановления при включении BitLocker.

  • Сохранение сведений о восстановлении BitLocker в Microsoft Entra id
    По умолчанию: не настроено

    • Включить . Храните сведения о восстановлении BitLocker в Microsoft Entra идентификаторе.
    • Не настроено — сведения о восстановлении BitLocker не хранятся в идентификаторе Microsoft Entra.

  • Сведения о восстановлении BitLocker, хранящиеся в Microsoft Entra идентификаторе
    По умолчанию: резервное копирование паролей восстановления и пакетов ключей

    Настройте, какие части сведений о восстановлении BitLocker хранятся в идентификаторе Microsoft Entra. Варианты:

    • Пароли восстановления резервных копий и пакеты ключей
    • Только пароли восстановления резервного копирования

  • Хранение сведений о восстановлении в идентификаторе Microsoft Entra перед включением BitLocker
    По умолчанию: не настроено

    Запретить пользователям включать BitLocker, если компьютер не успешно резервирует сведения о восстановлении BitLocker для Microsoft Entra идентификатора.

    • Требовать— запретить пользователям включать BitLocker, если сведения о восстановлении BitLocker успешно хранятся в Microsoft Entra идентификаторе.
    • Не настроено. Пользователи могут включить BitLocker, даже если сведения о восстановлении не сохраняются в Microsoft Entra идентификаторе.

Параметры съемного диска с данными BitLocker

Эти параметры применяются специально к съемным дискам с данными.

• Доступ на запись на съемный диск с данными, не защищенный BitLocker
  По умолчанию: не настроено
  BitLocker CSP: RemovableDrivesRequireEncryption

  • Блокировать . Предоставление доступа только для чтения дискам с данными, которые не защищены BitLocker.
  • Не настроено . По умолчанию доступ на чтение и запись к дискам с данными, которые не зашифрованы.

  Если задано значение Включить, можно настроить следующий параметр:

  • Доступ на запись к устройствам, настроенным в другой организации
    По умолчанию: не настроено

    • Блокировать — блокировать доступ на запись к устройствам, настроенным в другой организации.
    • Не настроено — запретить доступ на запись.

Microsoft Defender Exploit Guard

Используйте защиту от эксплойтов для управления и уменьшения уязвимой области приложений, используемых сотрудниками.

Сокращение направлений атак

Правила сокращения направлений атак помогают предотвратить поведение, часто использующееся вредоносными программами для заражения компьютеров вредоносным кодом.

Правила сокращения направлений атак

Дополнительные сведения см. в статье Правила сокращения направлений атак в документации по Microsoft Defender для конечной точки.

Поведение слияния для правил сокращения направлений атаки в Intune:

Правила сокращения направлений атаки поддерживают слияние параметров из разных политик для создания надмножества политик для каждого устройства. Объединяются только параметры, которые не конфликтуют, а конфликтующие параметры не добавляются в надмножество правил. Ранее, если две политики включали конфликты для одного параметра, обе политики помечались как конфликтующие, и параметры из любого профиля не развертывались.

Поведение слияния правил сокращения направлений атаки выглядит следующим образом:

• Правила сокращения направлений атаки из следующих профилей оцениваются для каждого устройства, к которого применяются правила:
  • Политика конфигурации > устройств > Профиль > защиты конечных точек Microsoft Defender Сокращение направлений атак Exploit Guard >
  • Политика сокращения направлений > атак безопасности > конечных точек Правила сокращения направлений атак
  • Базовые показатели безопасности > конечных > точек Microsoft Defender для конечной точки базовые правила сокращения направлений> атак.
• Параметры, не имеющие конфликтов, добавляются в надмножество политики для устройства.
• Если две или несколько политик имеют конфликтующие параметры, конфликтующие параметры не добавляются в объединенную политику. Параметры, не конфликтующие, добавляются в политику надмножества, применяемую к устройству.
• Удерживаются только конфигурации для конфликтующих параметров.

Параметры в этом профиле:

• Пометка кражи учетных данных из подсистемы локального центра безопасности Windows
  По умолчанию: не настроено
  Правило . Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe)

  Помогают предотвратить действия и приложения, которые обычно используются вредоносными программами, ищущими эксплойты, для заражения компьютеров.

  • Не настроено
  • Включить — пометка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe).
  • Только аудит

• Процесс создания из Adobe Reader (бета-версия)
  По умолчанию: не настроено
  Правило. Запретить Adobe Reader создавать дочерние процессы

  • Не настроено
  • Включить — блокировать дочерние процессы, созданные из Adobe Reader.
  • Только аудит

Правила для предотвращения угроз макросов Office

Запретить приложениям Office выполнять следующие действия:

• Приложения Office, внедряющиеся в другие процессы (без исключений)
  По умолчанию: не настроено
  Правило: запретить приложениям Office внедрять код в другие процессы

  • Не настроено
  • Блокировать — запретить внедрение приложений Office в другие процессы.
  • Только аудит

• Приложения и макросы Office, создающие исполняемое содержимое
  По умолчанию: не настроено
  Правило. Запрет приложений Office на создание исполняемого содержимого

  • Не настроено
  • Блокировать — блокировать создание исполняемого содержимого в приложениях и макросах Office.
  • Только аудит

• Приложения Office запускают дочерние процессы
  По умолчанию: не настроено
  Правило . Запретить всем приложениям Office создавать дочерние процессы

  • Не настроено
  • Блокировать — блокировать запуск дочерних процессов в приложениях Office.
  • Только аудит

• Импорт Win32 из кода макроса Office
  По умолчанию: не настроено
  Правило . Блокировка вызовов API Win32 из макросов Office

  • Не настроено
  • Блокировать — блокировать импорт Win32 из макрокода в Office.
  • Только аудит

• Процесс создания из коммуникационных продуктов Office
  По умолчанию: не настроено
  Правило: запретить приложению office для общения создавать дочерние процессы

  • Не настроено
  • Включить — блокировать создание дочерних процессов из приложений Office для коммуникации.
  • Только аудит

Правила для предотвращения угроз скриптов

Чтобы предотвратить угрозы сценариев, заблокируйте следующее:

• Запутан код js/vbs/ps/macro
  По умолчанию: не настроено
  Правило . Блокировать выполнение потенциально скрытых скриптов

  • Не настроено
  • Блокировать — блокировать любой скрытый код js/vbs/ps/macro.
  • Только аудит

• js/vbs выполняет полезные данные, скачанные из Интернета (без исключений)
  По умолчанию: не настроено
  Правило . Запретить запуск скачаемого исполняемого содержимого в JavaScript или VBScript

  • Не настроено
  • Блокировать — блокировать js/vbs для выполнения полезных данных, скачанных из Интернета.
  • Только аудит

• Процесс создания из команд PSExec и WMI
  По умолчанию: не настроено
  Правило . Блокировать создание процессов, исходящих из команд PSExec и WMI

  • Не настроено
  • Block — блокировать создание процессов, исходящих из команд PSExec и WMI.
  • Только аудит

• Блокируются недоверенные и неподписанные процессы, запускаемые с USB-накопителей
  По умолчанию: не настроено
  Правило . Блокировка недоверенных и неподписанных процессов, выполняемых с USB

  • Не настроено
  • Блокировать — блокировать недоверенные и неподписанные процессы, выполняемые с USB.
  • Только аудит

• Исполняемые файлы, которые не соответствуют критериям распространенности, возраста или списка доверия
  По умолчанию: не настроено
  Правило. Запретить выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия.

  • Не настроено
  • Блокировать — блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия.
  • Только аудит

Правила для предотвращения угроз электронной почты

Чтобы предотвратить угрозы электронной почты, заблокируйте следующее:

• Выполнение исполняемого содержимого (exe, dll, ps, js, vbs и т. д.), удаленного из электронной почты (webmail/mail client) (без исключений)
  По умолчанию: не настроено
  Правило . Блокировка исполняемого содержимого из почтового клиента и веб-почты

  • Не настроено
  • Блокировать — блокировать выполнение исполняемого содержимого (exe, dll, ps, js, vbs и т. д.), удаленных из электронной почты (webmail/mail-client).
  • Только аудит

Правила для защиты от программ-шантажистов

• Расширенная защита от программ-шантажистов
  По умолчанию: не настроено
  Правило . Использование расширенной защиты от программ-шантажистов

  • Не настроено
  • Включить — используйте защиту от программ-шантажистов.
  • Только аудит

Исключения сокращения направлений атак

• Файлы и папки для исключения из правил сокращения направлений атак
  Поставщик CSP Defender: AttackSurfaceReductionOnlyExclusions

  • Импортируйте файл .csv, содержащий файлы и папки, которые следует исключить из правил сокращения направлений атак.
  • Добавьте локальные файлы или папки вручную.

Важно!

Чтобы обеспечить правильную установку и выполнение бизнес-приложений Win32, параметры защиты от вредоносных программ должны исключить из проверки следующие каталоги:
На клиентских компьютерах X64:
C:\Program Files (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache

На клиентских компьютерах X86:
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Дополнительные сведения см. в статье Рекомендации по проверке на вирусы для корпоративных компьютеров под управлением поддерживаемых в настоящее время версий Windows.

Контролируемый доступ к папкам

Помогает защитить ценные данные от вредоносных приложений и угроз, таких как программы-шантажисты.

• Защита папок
  По умолчанию: не настроено
  Поставщик CSP Defender: EnableControlledFolderAccess

  Защита файлов и папок от несанкционированных изменений недружественными приложениями.

  • Не настроено
  • Enable
  • Только аудит
  • Блокировка изменения диска
  • Аудит изменения диска

  При выборе конфигурации, отличной от Не настроенной, можно настроить следующее:

  • Список приложений, имеющих доступ к защищенным папкам
    Поставщик CSP Defender: ControlledFolderAccessAllowedApplications

    • Импортируйте файл .csv, содержащий список приложений.
    • Добавьте приложения в этот список вручную.

  • Список дополнительных папок, которые необходимо защитить
    Поставщик CSP Defender: ControlledFolderAccessProtectedFolders

    • Импорт файла .csv, содержащего список папок.
    • Добавьте папки в этот список вручную.

Фильтрация сети

Блокировать исходящие подключения из любого приложения к IP-адресам или доменам с низкой репутацией. Фильтрация по сети поддерживается как в режиме аудита, так и в режиме блокировки.

• Защита сети
  По умолчанию: не настроено
  Поставщик служб CSP Defender: EnableNetworkProtection

  Этот параметр предназначен для защиты пользователей от приложений с доступом к фишинговым мошенничествам, сайтам размещения эксплойтов и вредоносному содержимому в Интернете. Это также предотвращает подключение сторонних браузеров к опасным сайтам.

  • Не настроено — отключите эту функцию. Пользователям и приложениям не запрещено подключаться к опасным доменам. Администраторы не могут видеть это действие в Центр безопасности в Microsoft Defender.
  • Включить — включить защиту сети и запретить пользователям и приложениям подключаться к опасным доменам. Администраторы могут видеть это действие в Центр безопасности в Microsoft Defender.
  • Только аудит: пользователям и приложениям не запрещено подключаться к опасным доменам. Администраторы могут видеть это действие в Центр безопасности в Microsoft Defender.

Защита от эксплойтов

• Отправка XML
  По умолчанию: не настроено

  Чтобы использовать защиту от эксплойтовдля защиты устройств от эксплойтов, создайте XML-файл, содержащий нужные параметры защиты системы и приложений. Существует два метода создания XML-файла:

  • PowerShell . Используйте один или несколько командлетов PowerShell Get-ProcessMitigation, Set-ProcessMitigation и ConvertTo-ProcessMitigationPolicy . Командлеты настраивают параметры устранения рисков и экспортируют их xml-представление.

  • Центр безопасности в Microsoft Defender пользовательского интерфейса. В Центр безопасности в Microsoft Defender выберите Элемент управления "Приложение & браузера", а затем прокрутите экран вниз, чтобы найти защиту от эксплойтов. Сначала используйте вкладки Параметры системы и Параметры программы, чтобы настроить параметры устранения рисков. Затем найдите ссылку Экспорт параметров в нижней части экрана, чтобы экспортировать их XML-представление.

• Редактирование пользователем интерфейса защиты от эксплойтов
  По умолчанию: не настроено
  ExploitGuard CSP: ExploitProtectionSettings

  • Блокировать . Отправка XML-файла, который позволяет настроить ограничения памяти, потока управления и политики. Параметры в XML-файле можно использовать для блокировки эксплойтов в приложении.
  • Не настроено — настраиваемая конфигурация не используется.

Управление приложениями Microsoft Defender

Выберите приложения для аудита или доверенные для запуска Microsoft Defender управления приложениями. Компоненты Windows и все приложения из Магазина Windows автоматически становятся доверенными для запуска.

• Политики целостности кода управления приложениями
  По умолчанию: не настроено
  CSP: поставщик служб CSP AppLocker

  • Принудительно. Выберите политики целостности кода управления приложениями для устройств пользователей.

    После включения на устройстве управление приложениями можно отключить, только изменив режим принудительного применения на только аудит. При изменении режима с "Принудительно" на "Не настроено" управление приложениями продолжает применяться на назначенных устройствах.

  • Не настроено — управление приложениями не добавляется на устройства. Однако ранее добавленные параметры по-прежнему применяются на назначенных устройствах.

  • Только аудит — приложения не блокируются. Все события регистрируются в журналах локального клиента.

    Примечание.

    Если вы используете этот параметр, поведение CSP AppLocker в настоящее время предлагает пользователю перезагрузить компьютер при развертывании политики.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard защищает от атак кражи учетных данных. Он изолирует секреты, чтобы доступ к ним могли получить только привилегированные системные программы.

• Credential Guard
  По умолчанию: отключить
  DeviceGuard CSP

  • Отключить — удаленное отключение Credential Guard, если он ранее был включен с параметром Включено без блокировки UEFI .

  • Включить с блокировкой UEFI . Credential Guard нельзя отключить удаленно с помощью раздела реестра или групповой политики.

    Примечание.

    Если вы используете этот параметр, а затем позже захотите отключить Credential Guard, необходимо задать для групповая политика значение Отключено. И физически очистите сведения о конфигурации UEFI с каждого компьютера. Пока конфигурация UEFI сохраняется, Credential Guard включена.

  • Включить без блокировки UEFI— позволяет удаленно отключить Credential Guard с помощью групповая политика. Устройства, использующие этот параметр, должны работать Windows 10 версии 1511 и более поздних или Windows 11.

  При включении Credential Guard также включаются следующие необходимые функции:

  • Безопасность на основе виртуализации (VBS)
    Включается во время следующей перезагрузки. Безопасность на основе виртуализации использует гипервизор Windows для обеспечения поддержки служб безопасности.
  • Безопасная загрузка с доступом к памяти каталога
    Включает VBS с защитой безопасной загрузки и прямого доступа к памяти (DMA). Защита DMA требует аппаратной поддержки и включается только на правильно настроенных устройствах.

Центр безопасности в Microsoft Defender

Центр безопасности в Microsoft Defender работает как отдельное приложение или процесс из каждой отдельной функции. В нем отображаются уведомления через центр уведомлений. Он выступает в качестве сборщика или единого места для просмотра состояния и запуска конфигурации для каждой из функций. Дополнительные сведения см. в документации по Microsoft Defender.

Центр безопасности в Microsoft Defender приложения и уведомления

Блокировка доступа конечных пользователей к различным областям приложения Центр безопасности в Microsoft Defender. Скрытие раздела также блокирует связанные уведомления.

• Защита от вирусов и угроз
  По умолчанию: не настроено
  WindowsDefenderSecurityCenter CSP: DisableVirusUI

  Настройте, могут ли конечные пользователи просматривать область защита от вирусов и угроз в Центр безопасности в Microsoft Defender. При скрытии этого раздела также будут заблокированы все уведомления, связанные с защитой от вирусов и угроз.

  • Не настроено
  • Hide

• Защита от программ-шантажистов
  По умолчанию: не настроено
  WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

  Настройте, могут ли конечные пользователи просматривать область защиты от программ-шантажистов в Центр безопасности в Microsoft Defender. При скрытии этого раздела также будут заблокированы все уведомления, связанные с защитой от программ-шантажистов.

  • Не настроено
  • Hide

• Защита учетной записи
  По умолчанию: не настроено
  WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI

  Настройте, могут ли конечные пользователи просматривать область "Защита учетных записей" в Центр безопасности в Microsoft Defender. При скрытии этого раздела также будут заблокированы все уведомления, связанные с защитой учетных записей.

  • Не настроено
  • Hide

• Защита брандмауэра и сети
  По умолчанию: не настроено
  WindowsDefenderSecurityCenter CSP: DisableNetworkUI

  Настройте, могут ли конечные пользователи просматривать область брандмауэра и защиты сети в центре безопасности Microsoft Defender. Скрытие этого раздела также заблокирует все уведомления, связанные с брандмауэром и защитой сети.

  • Не настроено
  • Hide

• Управление приложениями и браузерами
  По умолчанию: не настроено
  WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

  Настройте, могут ли конечные пользователи просматривать область управления приложением и браузером в центре безопасности Microsoft Defender. Скрытие этого раздела также заблокирует все уведомления, связанные с элементом управления приложениями и браузером.

  • Не настроено
  • Hide

• Аппаратная защита
  По умолчанию: не настроено
  WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

  Настройте, могут ли конечные пользователи просматривать область Аппаратной защиты в Центр безопасности в Microsoft Defender. При скрытии этого раздела также будут заблокированы все уведомления, связанные с аппаратной защитой.

  • Не настроено
  • Hide

• Производительность и работоспособность устройства
  По умолчанию: не настроено
  WindowsDefenderSecurityCenter CSP: DisableHealthUI

  Настройте, могут ли конечные пользователи просматривать область производительности и работоспособности устройства в центре безопасности Microsoft Defender. Скрытие этого раздела также заблокирует все уведомления, связанные с производительностью и работоспособностью устройства.

  • Не настроено
  • Hide

• Параметры семьи
  По умолчанию: не настроено
  WindowsDefenderSecurityCenter CSP: DisableFamilyUI

  Настройте, могут ли конечные пользователи просматривать область Параметры семейства в центре безопасности Microsoft Defender. При скрытии этого раздела также будут заблокированы все уведомления, связанные с параметрами "Семья".

  • Не настроено
  • Hide

• Уведомления из отображаемых областей приложения
  По умолчанию: не настроено
  WindowsDefenderSecurityCenter CSP: DisableNotifications

  Выберите уведомления, которые будут отображаться для конечных пользователей. Некритические уведомления включают сводку действий Microsoft Defender антивирусной программы, включая уведомления о завершении сканирования. Все остальные уведомления считаются критически важными.

  • Не настроено
  • Блокировка некритических уведомлений
  • Блокировка всех уведомлений

• Безопасность Windows значок центра в области задач
  По умолчанию: не настроено CSP WindowsDefenderSecurityCenter: HideWindowsSecurityNotificationAreaControl

  Настройте отображение элемента управления областью уведомлений. Чтобы этот параметр вступил в силу, пользователь должен либо выйти из системы и войти в систему, либо перезагрузить компьютер.

  • Не настроено
  • Hide

• Кнопка "Очистить TPM"
  По умолчанию: не настроено CSP WindowsDefenderSecurityCenter: DisableClearTpmButton

  Настройте отображение кнопки Очистить TPM.

  • Не настроено
  • Disable

• Предупреждение об обновлении встроенного ПО доверенного платформенного модуля
  По умолчанию: Не настроено поставщик windowsDefenderSecurityCenter CSP: DisableTpmFirmwareUpdateWarning

  Настройте отображение обновления встроенного ПО доверенного платформенного модуля при обнаружении уязвимого встроенного ПО.

  • Не настроено
  • Hide

• Защита от незаконного изменения
  По умолчанию: не настроено

  Включите или отключите защиту от незаконного изменения на устройствах. Чтобы использовать защиту от незаконного изменения, необходимо интегрировать Microsoft Defender для конечной точки с Intune и иметь Enterprise Mobility + Security лицензии E5.

  • Не настроено — параметры устройства не изменяются.
  • Включено — защита от незаконного изменения включена, а на устройствах применяются ограничения.
  • Отключено — защита от незаконного изменения отключена, а ограничения не применяются.

Контактные данные ит-специалистов

Укажите контактные данные ИТ-специалистов, которые будут отображаться в приложении Центр безопасности в Microsoft Defender и уведомлениях приложения.

Вы можете выбрать отображение в приложении и в уведомлениях, Отображать только в приложении, Отображать только в уведомлениях или Не отображать. Введите название ИТ-организации и по крайней мере один из следующих параметров контакта:

• Контактные данные ИТ
  По умолчанию: не отображать
  WindowsDefenderSecurityCenter CSP: EnableCustomizedToasts

  Настройте, где будут отображаться контактные данные ИТ-специалистов для конечных пользователей.

  • Отображение в приложении и в уведомлениях
  • Отображение только в приложении
  • Отображение только в уведомлениях
  • Не отображать

  При настройке для отображения можно настроить следующие параметры:

  • Название ИТ-организации
    По умолчанию: не настроено
    WindowsDefenderSecurityCenter CSP: CompanyName

  • Номер телефона ИТ-отдела или идентификатор Skype
    По умолчанию: не настроено
    WindowsDefenderSecurityCenter CSP: Phone

  • Адрес электронной почты ИТ-отдела
    По умолчанию: не настроено
    WindowsDefenderSecurityCenter CSP: Email

  • URL-адрес веб-сайта ит-службы поддержки
    По умолчанию: не настроено
    Поставщик служб CSP WindowsDefenderSecurityCenter: URL-адрес

Параметры безопасности локального устройства

Используйте эти параметры для настройки локальных параметров безопасности на устройствах Windows 10/11.

Учетные записи

• Добавление новых учетных записей Майкрософт
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: Accounts_BlockMicrosoftAccounts

  • Блок Запретить пользователям добавлять новые учетные записи Майкрософт на устройство.
  • Не настроено — пользователи могут использовать учетные записи Майкрософт на устройстве.

• Удаленный вход без пароля
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

  • Блокировать — разрешать вход с помощью клавиатуры устройства только локальным учетным записям с пустыми паролями.
  • Не настроено — разрешить локальным учетным записям с пустыми паролями вход из расположений, отличных от физического устройства.

Администратор

• Учетная запись локального администратора
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

  • Блок Запретить использование учетной записи локального администратора.
  • Не настроено

• Переименование учетной записи администратора
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: Accounts_RenameAdministratorAccount

  Определите другое имя учетной записи, связанное с идентификатором безопасности (SID) для учетной записи "Администратор".

Guest

• Учетная запись гостя
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions

  • Блокировать — запретить использование гостевой учетной записи.
  • Не настроено

• Переименование гостевой учетной записи
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

  Определите другое имя учетной записи, связанное с идентификатором безопасности (SID) для учетной записи Guest.

Устройства

• Отстыковка устройства без входа
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: Devices_AllowUndockWithoutHavingToLogon

  • Блокировать . Пользователь должен войти на устройство и получить разрешение на отстыковку устройства.
  • Не настроено — пользователи могут нажать кнопку физического извлечения закрепленного портативного устройства, чтобы безопасно отстыковать устройство.

• Установка драйверов принтеров для общих принтеров
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

  • Включено . Любой пользователь может установить драйвер принтера при подключении к общему принтеру.
  • Не настроено — только администраторы могут установить драйвер принтера при подключении к общему принтеру.

• Ограничение доступа к компакт-диску для локального активного пользователя
  По умолчанию: не настроено
  CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

  • Включено . Только пользователь, выполнивший интерактивный вход, может использовать компакт-диск. Если эта политика включена и никто не входит в систему в интерактивном режиме, доступ к компакт-диску осуществляется по сети.
  • Не настроено — доступ к компакт-диску имеет любой пользователь.

• Форматирование и извлечение съемных носителей
  По умолчанию: администраторы
  CSP: Devices_AllowedToFormatAndEjectRemovableMedia

  Определите, кому разрешено форматировать и извлекать съемные носители NTFS:

  • Не настроено
  • Администраторы
  • Администраторы и опытные пользователи
  • Администраторы и интерактивные пользователи

Интерактивный вход

• Минуты бездействия экрана блокировки до активации заставки
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: InteractiveLogon_MachineInactivityLimit

  Введите максимальное количество минут бездействия до активации скринсейвера. (0) - 99999)

• Для входа в систему требуется сочетание клавиш CTRL+ALT+DEL
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotRequireCTRLALTDEL

  • Включить — требуется, чтобы пользователи нажимали клавиши CTRL+ALT+DEL перед входом в Windows.
  • Не настроено — нажатие клавиш CTRL+ALT+DEL не требуется для входа пользователей.

• Поведение удаления интеллектуальной карта
  По умолчанию: Нет действий LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

  Определяет, что происходит при удалении интеллектуальной карта для вошедшего пользователя из средства чтения смарт-карта. Доступны следующие параметры:

  • Блокировка рабочей станции. Рабочая станция блокируется при удалении смарт-карта. Этот параметр позволяет пользователям покинуть район, взять с собой интеллектуальные карта и по-прежнему поддерживать защищенный сеанс.
  • Нет действий
  • Принудительный выход. Пользователь автоматически выключается при удалении смарт-карта.
  • Отключение, если сеанс служб удаленных рабочих столов. Удаление смарт-карта отключает сеанс без выхода пользователя из системы. Этот параметр позволяет пользователю вставлять смарт-карта и возобновлять сеанс позже или на другом компьютере с карта, оснащенном средством чтения, без необходимости повторного входа. Если сеанс является локальным, эта политика работает так же, как и Блокировка рабочей станции.

Display

• Сведения о пользователе на экране блокировки
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

  Настройте сведения о пользователе, отображаемые при блокировке сеанса. Если не настроено, отображается отображаемое имя пользователя, домен и имя пользователя.

  • Не настроено
  • Отображаемое имя пользователя, домен и имя пользователя
  • Только отображаемое имя пользователя
  • Не отображать сведения о пользователе

• Скрыть пользователя, выполнившего последний вход
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayLastSignedIn

  • Включить — скрыть имя пользователя.
  • Не настроено — отображается последнее имя пользователя.

• Скрыть имя пользователя при входеПо умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn

  • Включить — скрыть имя пользователя.
  • Не настроено — отображается последнее имя пользователя.

• Заголовок сообщения для входа
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

  Задайте заголовок сообщения для пользователей, выполняя вход.

• Текст сообщения для входа
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

  Задайте текст сообщения для входа пользователей.

Сетевой доступ и безопасность

• Анонимный доступ к именованным каналам и общим ресурсам
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

  • Не настроено — ограничьте анонимный доступ для общего доступа и параметров именованного канала. Применяется к параметрам, к которым можно получить анонимный доступ.
  • Блокировать — отключить эту политику, сделав анонимный доступ доступным.

• Анонимное перечисление учетных записей SAM
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

  • Не настроено — анонимные пользователи могут перечислять учетные записи SAM.
  • Блокировать — запретить анонимное перечисление учетных записей SAM.

• Анонимное перечисление учетных записей и общих папок SAM
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

  • Не настроено — анонимные пользователи могут перечислять имена учетных записей домена и сетевых папок.
  • Блокировать — запретить анонимное перечисление учетных записей и общих папок SAM.

• Значение хэша LAN Manager, хранящееся при изменении пароля
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

  Определите, сохраняется ли хэш-значение паролей при следующем изменении пароля.

  • Не настроено — хэш-значение не сохраняется
  • Блокировать . Диспетчер локальной сети (LM) сохраняет хэш-значение для нового пароля.

• Запросы проверки подлинности PKU2U
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests

  • Не настроено — разрешить запросы PU2U.
  • Блокировать — блокировать запросы проверки подлинности PKU2U к устройству.

• Ограничение удаленных подключений RPC к SAM
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

  • Не настроено . Используйте дескриптор безопасности по умолчанию, который может разрешить пользователям и группам выполнять удаленные вызовы RPC к SAM.

  • Разрешить — запрет пользователям и группам выполнять удаленные вызовы RPC к диспетчеру учетных записей безопасности (SAM), в котором хранятся учетные записи пользователей и пароли. Разрешить также позволяет изменить строку языка определения дескриптора безопасности (SDDL) по умолчанию, чтобы явно разрешить или запретить пользователям и группам выполнять эти удаленные вызовы.

    • Дескриптор безопасности
      По умолчанию: не настроено

• Минимальная безопасность сеанса для клиентов на основе поставщика служб SSP NTLM
  По умолчанию: Нет
  LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

  Этот параметр безопасности позволяет серверу требовать согласования 128-разрядного шифрования и (или) безопасности сеанса NTLMv2.

  • Нет
  • Требовать безопасность сеанса NTLMv2
  • Требовать 128-разрядное шифрование
  • NTLMv2 и 128-разрядное шифрование

• Минимальная безопасность сеанса для сервера на основе SSP NTLM
  По умолчанию: Нет
  LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

  Этот параметр безопасности определяет, какой протокол проверки подлинности "запрос/ответ" используется для входа в сеть.

  • Нет
  • Требовать безопасность сеанса NTLMv2
  • Требовать 128-разрядное шифрование
  • NTLMv2 и 128-разрядное шифрование

• Уровень проверки подлинности LAN Manager
  По умолчанию: LM и NTLM
  LocalPoliciesSecurityOptions CSP: NetworkSecurity_LANManagerAuthenticationLevel

  • LM и NTLM
  • LM, NTLM и NTLMv2
  • NTLM
  • NTLMv2
  • NTLMv2, а не LM
  • NTLMv2, а не LM или NTLM

• Небезопасные гостевые входы
  По умолчанию: не настроено
  LanmanWorkstation CSP: LanmanWorkstation

  Если этот параметр включен, клиент SMB отклонит небезопасные гостевые входы.

  • Не настроено
  • Блокировать — клиент SMB отклоняет небезопасные гостевые входы.

Консоль восстановления и завершение работы

• Очистка файла подкачки виртуальной памяти при завершении работы
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: Shutdown_ClearVirtualMemoryPageFile

  • Включить . Очистите файл подкачки виртуальной памяти при отключенном устройстве.
  • Не настроено — не очищает виртуальную память.

• Завершение работы без входа в систему
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

  • Блокировать — скрыть параметр завершения работы на экране входа в Windows. Пользователи должны войти на устройство, а затем завершить работу.
  • Не настроено — разрешить пользователям завершать работу устройства с экрана входа в Windows.

Контроль учетных записей пользователей

• Целостность UIA без безопасного расположения
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

  • Блокировать . Приложения, которые находятся в безопасном расположении в файловой системе, будут работать только с целостностью UIAccess.
  • Не настроено — позволяет приложениям запускаться с целостностью UIAccess, даже если приложения не в безопасном расположении в файловой системе.

• Сбои виртуализации файлов и реестра в расположениях для отдельных пользователей
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

  • Включено . Приложения, записывющие данные в защищенные расположения, завершаются сбоем.
  • Не настроено — ошибки записи приложения перенаправляются во время выполнения в определенные расположения пользователей для файловой системы и реестра.

• Повышение прав только для подписанных и проверенных исполняемых файлов
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

  • Включено . Перед запуском принудительно выполните проверку пути сертификации PKI для исполняемого файла.
  • Не настроено . Не применяйте проверку пути сертификации PKI перед запуском исполняемого файла.

Поведение запросов на повышение прав пользователя

• Запрос на повышение прав для администраторов
  По умолчанию: запрос согласия для двоичных файлов, отличных от Windows
  LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

  Определите поведение запроса на повышение прав для администраторов в режиме утверждения Администратор.

  • Не настроено
  • Повышение уровня без запроса
  • Запрос учетных данных на безопасном рабочем столе
  • Запрос учетных данных
  • Запрос согласия
  • Запрос согласия для двоичных файлов, отличных от Windows

• Запрос на повышение прав для обычных пользователей
  По умолчанию: запрос учетных данных
  LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

  Определите поведение запроса на повышение прав для обычных пользователей.

  • Не настроено
  • Автоматическое запретить запросы на повышение прав
  • Запрос учетных данных на безопасном рабочем столе
  • Запрос учетных данных

• Запросы повышения прав на перенаправление на интерактивный рабочий стол пользователя
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

  • Включено — все запросы на повышение прав для перехода на интерактивный рабочий стол пользователя, а не на защищенный рабочий стол. Используются любые параметры политики поведения запроса для администраторов и обычных пользователей.
  • Не настроено — принудительно все запросы на повышение прав переходят на защищенный рабочий стол независимо от параметров политики поведения запросов для администраторов и обычных пользователей.

• Запрос на установку приложений с повышенными привилегиями
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

  • Включено — пакеты установки приложений не обнаруживаются и не запрашиваются повышение прав.
  • Не настроено — пользователям предлагается ввести имя пользователя с правами администратора и пароль, если пакету установки приложения требуются повышенные привилегии.

• Запрос на повышение прав пользователя без защищенного рабочего стола
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

• Включить — разрешить приложениям UIAccess запрашивать повышение прав без использования защищенного рабочего стола.

• Не настроено — запросы на повышение прав используют безопасный рабочий стол.

Режим утверждения Администратор

• режим утверждения Администратор для встроенного администратора
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: UserAccountControl_UseAdminApprovalMode

  • Включено— разрешить встроенной учетной записи администратора использовать режим утверждения Администратор. Любая операция, требующая повышения привилегий, предлагает пользователю утвердить операцию.
  • Не настроено — запускает все приложения с полными правами администратора.

• Запуск всех администраторов в режиме утверждения Администратор
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

  • Включено— включение режима утверждения Администратор.
  • Не настроено— отключите режим утверждения Администратор и все связанные параметры политики контроля учетных записей.

Microsoft Network Client

• Цифровая подпись сообщений (если сервер согласен)
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

  Определяет, согласовывает ли клиент SMB подписывание пакетов SMB.

  • Блокировать . Клиент SMB никогда не согласовывает подписывание пакетов SMB.
  • Не настроено . Сетевой клиент Майкрософт запрашивает у сервера выполнение подписывания пакетов SMB после настройки сеанса. Если на сервере включено подписывание пакетов, подписывание пакетов согласовывается.

• Отправка незашифрованного пароля на сторонние серверы SMB
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

  • Блокировать . Перенаправление SMB может отправлять пароли в виде открытого текста на серверы SMB сторонних поставщиков, которые не поддерживают шифрование паролей во время проверки подлинности.
  • Не настроено — запретить отправку паролей в виде открытого текста. Пароли зашифрованы.

• Цифровая подпись сообщений (всегда)
  По умолчанию: не настроено
  LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

  • Включить — сетевой клиент Майкрософт не взаимодействует с сетевым сервером Майкрософт, если только этот сервер не согласен на подписывание пакетов SMB.
  • Не настроено — подписывание пакетов SMB согласовывается между клиентом и сервером.

Microsoft Network Server

• Цифровая подпись сообщений (если клиент соглашается)
  По умолчанию: не настроено
  CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

  • Включить . Сетевой сервер Майкрософт согласовывает подписывание пакетов SMB по запросу клиента. То есть, если на клиенте включено подписывание пакетов, подписывание пакетов согласовывается.
  • Не настроено — клиент SMB никогда не согласовывает подписывание пакетов SMB.

• Цифровая подпись сообщений (всегда)
  По умолчанию: не настроено
  CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

  • Включить . Сетевой сервер Майкрософт не взаимодействует с сетевым клиентом Майкрософт, если только он не соглашается на подписывание пакетов SMB.
  • Не настроено — подписывание пакетов SMB согласовывается между клиентом и сервером.

Службы Xbox

• Задача "Сохранение игры Xbox"
  По умолчанию: не настроено
  CSP: TaskScheduler/EnableXboxGameSaveTask

  Этот параметр определяет, включена или отключена задача сохранения игр Xbox.

  • Enabled
  • Не настроено

• Служба управления аксессуарами Xbox
  По умолчанию: вручную
  CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupMode

  Этот параметр определяет тип запуска службы управления аксессуарами.

  • Manual
  • Автоматическая
  • Disabled

• Служба диспетчера проверки подлинности Xbox Live
  По умолчанию: вручную
  CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupMode

  Этот параметр определяет тип запуска службы Диспетчера динамической проверки подлинности.

  • Manual
  • Автоматическая
  • Disabled

• Служба сохранения игр Xbox Live
  По умолчанию: вручную
  CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupMode

  Этот параметр определяет тип запуска службы live game Save Service.

  • Manual
  • Автоматическая
  • Disabled

• Сетевая служба Xbox Live
  По умолчанию: вручную
  CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupMode

  Этот параметр определяет тип запуска сетевой службы.

  • Manual
  • Автоматическая
  • Disabled

Дальнейшие действия

Профиль создан, но он пока ничего не делает. Затем назначьте профиль и отслеживайте его состояние.

Настройка параметров защиты конечных точек на устройствах macOS .