Блокировка конфигурации защищенного ядра компьютера

  • Статья
  • Применяется к:
    Windows 11

В корпоративной организации ИТ-администраторы применяют политики на своих корпоративных устройствах, чтобы обеспечить соответствие устройств требованиям и защитить ОС, не позволяя пользователям изменять конфигурации и создавать смещение конфигураций. Смещение конфигурации происходит, когда пользователи с правами локального администратора изменяют параметры и не синхронизируют устройство с политиками безопасности. Устройства в несоответствуемом состоянии могут быть уязвимы до следующей синхронизации и сброса конфигурации с помощью MDM. Windows 11 с блокировкой конфигурации позволяет ИТ-администраторам предотвратить смещение конфигурации и сохранить конфигурацию ОС в нужном состоянии. При блокировке конфигурации ОС отслеживает ключи реестра, настраивающие каждую функцию, и при обнаружении смещения возвращается к требуемому ИТ-специалистами состоянию за считанные секунды.

Блокировка конфигурации с защищенными ядрами (блокировка конфигурации) — это новая функция защищенного ядра (SCPC), которая предотвращает смещение конфигурации от функций защищенного ядра компьютера, вызванное непреднамеренной неправильной настройкой. Короче говоря, это гарантирует, что устройство, предназначенное для защищенного ядра, остается защищенным.

Подведем итоги: блокировка конфигурации:

  • Позволяет ИТ-службам "блокировать" функции защищенного ядра компьютера при управлении с помощью MDM
  • Обнаруживает исправления смещения в течение нескольких секунд
  • Не предотвращает вредоносные атаки

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие блокировку конфигурации secured-core:

Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
Да Да Да Да

Лицензии на блокировку защищенной конфигурации предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
Да Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Поток конфигурации

После того как компьютеры с защищенными ядрами достигнут рабочего стола, блокировка конфигурации предотвратит смещение конфигурации, определив, является ли устройство защищенным ядром. Если устройство не является защищенным компьютером, блокировка не применяется. Если устройство является компьютером с защищенными ядрами, блокировка конфигурации блокирует политики, перечисленные в списке заблокированных политик.

Включение блокировки конфигурации с помощью Microsoft Intune

Блокировка конфигурации не включена по умолчанию или не включена ОС во время загрузки. Скорее, вам нужно включить его.

Чтобы включить блокировку конфигурации с помощью Microsoft Intune, выполните следующие действия.

  1. Убедитесь, что устройство для включения блокировки конфигурации зарегистрировано в Microsoft Intune.

  2. В Центре администрирования Intune выберитеПрофили> конфигурации устройств>Создать профиль.

  3. Выберите следующее и нажмите кнопку Создать:

    • Платформа: Windows 10 and later
    • Тип профиля: Templates
    • Имя шаблона: Пользовательское

    В разделе Профили конфигурации отображается страница Создание профиля, где для параметра Платформа задано значение Windows 10 и более поздних версий, а также тип профиля шаблонов.

  4. Присвойте своему профилю имя.

  5. Когда вы перейдете к шагу Параметры конфигурации, выберите "Добавить" и добавьте следующие сведения:

    • OMA-URI: ./Vendor/MSFT/DMClient/Provider/MS%20DM%20Server/ConfigLock/Lock
    • Тип данных: Integer
    • Значение: 1

    Чтобы отключить блокировку конфигурации, измените значение на 0.

    На шаге Параметры конфигурации отображается страница Изменение строки с именем блокировки конфигурации, описанием блокировки конфигурации и набором OMA-URI, а также типом данных Integer, равным значению 1.

  6. Выберите устройства, чтобы включить блокировку конфигурации. Если вы используете тестовый клиент, можно выбрать "+ Добавить все устройства".

  7. Вам не нужно задавать какие-либо правила применимости для тестовых целей.

  8. Проверьте конфигурацию и выберите "Создать", если все правильно.

  9. После синхронизации устройства с сервером Microsoft Intune можно проверить, успешно ли включена блокировка конфигурации.

    Панель мониторинга состояния назначения профиля при просмотре профиля конфигурации устройства блокировки конфигурации блокировки конфигурации конфигурации, показывающая, что одно устройство успешно применено к этому профилю.

    В поле Состояние устройства для профиля конфигурации блокировки конфигурации устройства конфигурации устройства отображается одно устройство с состоянием развертывания

Настройка функций защищенного ядра компьютера

Блокировка конфигурации предназначена для обеспечения непреднамеренно неправильной настройки защищенного компьютера. Вы сохраните возможность включения или отключения функций SCPC, например защиты встроенного ПО. Эти изменения можно внести с помощью групповых политик или служб MDM, таких как Microsoft Intune.

Параметр защиты встроенного ПО Defender с описанием Защитник Windows System Guard защищает устройство от компрометации встроенного ПО. Для параметра задано значение Выкл.

Вопросы и ответы

  • Можно ли отключить блокировку конфигурации? Да. С помощью MDM можно полностью отключить блокировку конфигурации или переключить ее во временный режим разблокировки для действий службы технической поддержки.

Список заблокированных политик

Поставщики служб конфигурации
BitLocker
PassportForWork
WindowsDefenderApplicationGuard
ApplicationControl
Политики MDM Поддерживается групповая политика
DataProtection/AllowDirectMemoryAccess Нет
DataProtection/LegacySelectiveWipeID Нет
DeviceGuard/ConfigureSystemGuardLaunch Да
DeviceGuard/EnableVirtualizationBasedSecurity Да
DeviceGuard/LsaCfgFlags Да
DeviceGuard/RequirePlatformSecurityFeatures Да
DeviceInstallation/AllowInstallationOfMatchingDeviceIDs Да
DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs Да
DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses Да
DeviceInstallation/PreventDeviceMetadataFromNetwork Да
DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtPolicySettings Да
DeviceInstallation/PreventInstallationOfMatchingDeviceIDs Да
DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs Да
DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses Да
DmaGuard/DeviceEnumerationPolicy Да
WindowsDefenderSecurityCenter/CompanyName Да
WindowsDefenderSecurityCenter/DisableAccountProtectionUI Да
WindowsDefenderSecurityCenter/DisableAppBrowserUI Да
WindowsDefenderSecurityCenter/DisableClearTpmButton Да
WindowsDefenderSecurityCenter/DisableDeviceSecurityUI Да
WindowsDefenderSecurityCenter/DisableEnhancedNotifications Да
WindowsDefenderSecurityCenter/DisableFamilyUI Да
WindowsDefenderSecurityCenter/DisableHealthUI Да
WindowsDefenderSecurityCenter/DisableNetworkUI Да
WindowsDefenderSecurityCenter/DisableNotifications Да
WindowsDefenderSecurityCenter/DisableTpmFirmwareUpdateWarning Да
WindowsDefenderSecurityCenter/DisableVirusUI Да
WindowsDefenderSecurityCenter/DisallowExploitProtectionOverride Да
WindowsDefenderSecurityCenter/Email Да
WindowsDefenderSecurityCenter/EnableCustomizedToasts Да
WindowsDefenderSecurityCenter/EnableInAppCustomization Да
WindowsDefenderSecurityCenter/HideRansomwareDataRecovery Да
WindowsDefenderSecurityCenter/HideSecureBoot Да
WindowsDefenderSecurityCenter/HideTPMTroubleshooting Да
WindowsDefenderSecurityCenter/HideWindowsSecurityNotificationAreaControl Да
WindowsDefenderSecurityCenter/Phone Да
WindowsDefenderSecurityCenter/URL-адрес Да
SmartScreen/EnableAppInstallControl Да
SmartScreen/EnableSmartScreenInShell Да
SmartScreen/PreventOverrideForFilesInShell Да