Поделиться через


Поставщик служб CSP политики — безопасность

AllowAddProvisioningPackage

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/Security/AllowAddProvisioningPackage

Указывает, следует ли разрешить агенту конфигурации среды выполнения устанавливать пакеты подготовки.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Не допускается.
1 (по умолчанию) Разрешено.

AllowManualRootCertificateInstallation

Примечание.

Эта политика является устаревшей и может быть удалена в будущем выпуске.

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
❌ Pro
❌ Enterprise
❌ для образования
❌ Windows SE
❌ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/Security/AllowManualRootCertificateInstallation

Этот параметр политики является устаревшим.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Не допускается.
1 (по умолчанию) Разрешено.

AllowRemoveProvisioningPackage

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/Security/AllowRemoveProvisioningPackage

Указывает, следует ли разрешить агенту конфигурации среды выполнения удалять пакеты подготовки.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Не допускается.
1 (по умолчанию) Разрешено.

AntiTheftMode

Примечание.

Эта политика является устаревшей и может быть удалена в будущем выпуске.

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
Неприменимо ✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/Security/AntiTheftMode

Этот параметр политики является устаревшим.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Отключено.
1 (по умолчанию) Включено.

ClearTPMIfNotReady

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/Policy/Config/Security/ClearTPMIfNotReady

Этот параметр политики настраивает систему, чтобы предложить пользователю очистить TPM, если TPM находится в состоянии, отличном от готовности. Эта политика вступит в силу только в том случае, если TPM системы находится в состоянии, отличном от Готовности, в том числе если доверенный платформенный модуль имеет значение "Готово, с ограниченными возможностями". Запрос на очистку доверенного платформенного модуля начнется после следующей перезагрузки при входе пользователя только в том случае, если вошедший в систему пользователь входит в группу администраторов системы. Запрос можно отклонить, но он будет появляться после каждой перезагрузки и входа до тех пор, пока политика не будет отключена или пока доверенный платформенный модуль не будет находиться в состоянии Готовности.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Не будет принудительное восстановление из состояния не готового доверенного платформенного модуля.
1 Предложит очистить TPM, если доверенный платформенный модуль находится в состоянии не готово (или ограничена функциональность), которую можно исправить с помощью TPM Clear.

Сопоставление групповой политики:

Имя Значение
Имя ClearTPMIfNotReady_Name
Понятное имя Настройте систему для очистки доверенного платформенного модуля, если он не находится в состоянии готовности.
Location Конфигурация компьютера
Путь Системные > службы доверенных платформенных модулей
Имя раздела реестра Software\Policies\Microsoft\TPM
Имя значения реестра ClearTPMIfNotReadyGP
Имя файла ADMX TPM.admx

НастройкаWindowsPasswords

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/Security/ConfigureWindowsPasswords

Настраивает использование паролей для компонентов Windows.

Примечание.

Эта политика поддерживается только в Windows 10 S.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 2

Допустимые значения:

Значение Описание
0 Запретить пароли (асимметричные учетные данные будут повышены до замены паролей в функциях Windows).
1 Разрешить пароли (пароли по-прежнему разрешено использовать для функций Windows).
2 (по умолчанию) В зависимости от SKU и возможностей устройства. Windows 10 устройстваХ S по умолчанию будет задано значение "Запретить пароли", а для всех остальных устройств по умолчанию — "Разрешить пароли").

PreventAutomaticDeviceEncryptionForAzureADJoinedDevices

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices

Указывает, следует ли разрешить автоматическое шифрование устройства во время запуска при запуске при Microsoft Entra присоединении устройства.

Дополнительные сведения см. в разделе Шифрование устройства BitLocker.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Шифрование включено.
1 Шифрование отключено.

RecoveryEnvironmentAuthentication

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий
./User/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
./Device/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication

Эта политика управляет требованием проверки подлинности Администратор в RecoveryEnvironment.

Процедура проверки:

Чтобы проверить эту политику, проверка, требуется ли проверка подлинности администратора в среде восстановления Windows (WinRE) для обновления ("Сохранить мои файлы") и сброса ("Удалить все").

  1. Сначала запустите сброс кнопок (PBR) в WinRE. Откройте командную строку от имени администратора и выполните следующую команду: reagentc /boottore
  2. Устройство должно перезапуститься в WinRE. В интерфейсе WinRE перейдите в раздел Устранение неполадок и выберите Сбросить этот компьютер. Вы должны увидеть два варианта: Сохранить мои файлы и Удалить все.
  3. Выберите параметр Сохранить мои файлы. Просмотрите поведение для проверки подлинности.
  4. Щелкните стрелку назад и выберите Удалить все. Просмотрите поведение для проверки подлинности.

Вместо того, чтобы вернуться назад, вы также можете перейти к параметрам сброса и выбрать Отмена на последней странице подтверждения. Затем он вернется к main интерфейсу WinRE.

В следующей таблице показано поведение, ожидаемое для параметров политики в каждом сценарии.

  • ✔️ Он запрашивает проверку подлинности.
  • ❌ Проверка подлинности не требуется, и она продолжается с параметрами сброса.
Политика Сохранение файлов "Удалить все"
По умолчанию (0) ✔️
RequireAuthentication" (1) ✔️ ✔️
NoRequireAuthentication" (2)

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Текущее) поведение.
1 RequireAuthentication: для компонентов RecoveryEnvironment всегда требуется проверка подлинности Администратор.
2 NoRequireAuthentication: Администратор проверка подлинности не требуется для компонентов RecoveryEnvironment.

RequireDeviceEncryption

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Security/RequireDeviceEncryption

Позволяет предприятиям включать внутреннее шифрование хранилища. Самое ограниченное значение - 1. Важно. Если шифрование включено, его нельзя отключить с помощью этой политики.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Шифрование не требуется.
1 Требуется шифрование.

RequireProvisioningPackageSignature

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/Security/RequireProvisioningPackageSignature

Указывает, должен ли пакет подготовки иметь сертификат, подписанный доверенным центром устройства.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Не требуется.
1 Обязательный.

RequireRetrieveHealthCertificateOnBoot

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/Security/RequireRetrieveHealthCertificateOnBoot

Указывает, следует ли получать и публиковать журналы загрузки TCG, а также получать или кэшировать зашифрованный или подписанный отчет об аттестации работоспособности из службы аттестации Microsoft Health (HAS) при загрузке или перезагрузке устройства. Установка для этой политики значения 1 (обязательно) :D eterminmin определяет, поддерживает ли устройство удаленную аттестацию работоспособности устройства, проверяя, имеет ли устройство TPM 2. 0. Повышает производительность устройства, позволяя устройству получать и кэшировать данные, чтобы уменьшить задержку во время проверки работоспособности устройства.

Примечание.

Рекомендуется установить для этой политики значение Обязательно после регистрации MDM. Самое ограниченное значение - 1.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Не требуется.
1 Обязательный.

Поставщик служб конфигурации политики