使用英语阅读

通过


HoloLens 2 安全基线

重要

此安全基线中使用的一些策略在我们的最新 预览体验成员内部版本中引入。 这些策略仅在更新到最新预览体验成员版本的设备上运行。

本文列出并介绍了可以使用配置服务提供程序(CSP)在 HoloLens 2 上配置的各种安全基线设置。 作为使用 Microsoft Endpoint Manager(正式称为 Microsoft Intune)进行移动设备管理的一部分,请根据组织策略和需求使用以下标准或高级安全基线设置。 使用这些安全基线设置来帮助保护组织资源。

  • 无论用例场景和行业垂直如何,标准安全基线设置都适用于所有类型的用户。
  • 对于对其环境具有严格安全控制的用户,建议使用高级安全基线设置,并且需要对其环境中使用的设备实施严格的安全策略。

这些安全基线设置基于Microsoft在向不同行业客户部署和支持 HoloLens 2 设备方面获得的最佳做法指南和经验。

查看安全基线并决定使用一个或多个部分后,请查看 如何启用这些安全基线

1.标准安全基线设置

以下部分将每个 CSP 的建议设置描述为标准安全基线配置文件的一部分。

策略名称 说明
帐户
Accounts/AllowMicrosoftAccountConnection 0 – 不允许 限制用户使用 MSA 帐户进行非电子邮件相关的连接身份验证和服务。
应用程序管理
ApplicationManagement/AllowAllTrustedApps 0 - 显式拒绝 显式拒绝非Microsoft应用商店应用。
ApplicationManagement/AllowAppStoreAutoUpdate 1 – 允许 允许从 Microsoft 应用商店自动更新应用。
ApplicationManagement/AllowDeveloperUnlock 0 - 显式拒绝 限制用户解锁开发人员模式,允许用户从 IDE 在设备上安装应用。
Browser
Browser/AllowCookies 1 - 仅阻止来自第三方网站的 Cookie 使用此策略,可以将 Microsoft Edge 配置为仅阻止第三方 Cookie 或阻止所有 Cookie。
Browser/AllowPasswordManager 0 – 不允许 禁止Microsoft Edge 使用密码管理器。
Browser/AllowSmartScreen 1 – 已打开 打开 Windows Defender SmartScreen 并阻止用户将其关闭。
连接
连接/AllowUSBConnection 0 – 不允许 禁用设备和计算机之间的 USB 连接,以便将文件与设备同步,或使用开发人员工具部署或调试应用程序。
设备锁定
DeviceLock/AllowIdleReturnWithoutPassword 0 – 不允许 禁止在没有 PIN 或密码的情况下从空闲返回。
DeviceLock/AllowSimpleDevicePassword 0 – 已阻止 阻止 PIN 或密码,例如“1111”或“1234”。
DeviceLock/AlphanumericDevicePasswordRequired 1 – 需要密码或数字 PIN 需要密码或字母数字 PIN。
DeviceLock/DevicePasswordEnabled 0 – 已启用 已启用设备锁定。
DeviceLock/MaxInactivityTimeDeviceLock 整数 X,其中 0 < X < 999 建议值:3 指定设备空闲后允许的最大时间(以分钟为单位),这将导致设备成为 PIN 或密码锁定。
DeviceLock/MinDevicePasswordComplexCharacters 1 - 仅位数 强 PIN 或密码所需的复杂元素类型数(大写字母、数字和标点符号)。
DeviceLock/MinDevicePasswordLength 一个整数 X,其中 4 < X < 16 用于客户端设备Recommended 值:8 指定 PIN 或密码中所需的最小数目或字符。
MDM 注册
Experience/AllowManualMDMUnenrollment 0 – 不允许 禁止用户使用工作区控制面板删除工作区帐户。
标识
MixedReality/AADGroupMembershipCacheValidityInDays 缓存为 validRecommended 值的天数:7 天 Microsoft Entra 组成员身份缓存应有效天数。
Power
Power/DisplayOffTimeoutPluggedIn 空闲时间(以秒为单位)值:60 秒 允许你在 Windows 关闭显示器之前指定处于非活动状态的时间段。
设置
设置/AllowVPN 0 – 不允许 禁止用户更改 VPN 设置。
Settings/PageVisibilityList 用户可见的页面的缩短名称。 将提供用于选择或取消选择页面名称的 UI。 查看建议页面的注释以隐藏。 仅允许在“设置”应用中向用户显示列出的页面。
系统
System/AllowStorageCard 0 – 不允许 不允许使用 SD 卡,并且禁用 USB 驱动器。 此设置不会阻止以编程方式访问存储卡。
更新
Update/AllowUpdateService 1 – 允许 允许访问 Microsoft Update、Windows Server Update Services (WSUS)或 Microsoft 应用商店。
Update/ManagePreviewBuilds 0 - 禁用预览版 禁止在设备上安装预览版本。

建议将此 CSP 配置为最佳做法,但对于此 CSP 中的每个节点没有特定值的建议。

节点名称 说明
租户 ID TenantId 全局唯一标识符(GUID),不带大括号({ , } ),用作 Windows Hello 企业版预配和管理的一部分。
TenantId/Policies/UsePassportForWork 将 Windows Hello 企业版设置为登录 Windows 的方法。
TenantId/policies/RequireSecurityDevice 需要适用于 Windows Hello 企业版的受信任平台模块 (TPM)。
TenantId/policies/ExcludeSecurityDevices/TPM12 允许将 TPM 修订版 1.2 模块与 Windows Hello 企业版一起使用。
TenantId/Policies/EnablePinRecovery 不会创建或存储 PIN 恢复机密。
TenantId/Policies/UseCertificateForOnPremAuth 当用户登录时预配 PIN,而无需等待证书有效负载。
TenantId/Policies/PINComplexity/MinimumPINLength 6 PIN 长度必须大于或等于此数字。
TenantId/Policies/PINComplexity/MaximumPINLength 6 PIN 长度必须小于或等于此数字。
TenantId/Policies/PINComplexity/UppercaseLetters 2 数字是必需的,不允许所有其他字符集。
TenantId/Policies/PINComplexity/LowercaseLetters 2 数字是必需的,不允许所有其他字符集。
TenantId/Policies/PINComplexity/SpecialCharacters 2 不允许在 PIN 中使用特殊字符。
TenantId/Policies/PINComplexity/Digits 0 允许在 PIN 中使用数字。
TenantId/Policies/PINComplexity/History 10 可以关联到无法重复使用的用户帐户的过去 PIN 数。
TenantId/Policies/PINComplexity/Expiration 90 在系统要求用户更改 PIN 之前可以使用 PIN 的时间段(以天为单位)。
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates 当要求用户授权使用证书的私钥时,应用程序不使用 Windows Hello 企业版证书作为智能卡证书,并且生物识别因素可用。

建议将此 CSP 中的 根、CA、TrustedPublisher 和 TrustedPeople 节点配置为最佳做法,但不建议在此 CSP 中的每个节点上使用特定值。

节点名称 说明
RequireNetworkInOOBE 当设备首次登录或重置后通过 OOBE 时,用户需要在继续之前选择网络。 没有“暂时跳过”选项。 此选项可确保设备在意外或有意重置或擦除的情况下仍绑定到租户。

建议将此 CSP 配置为最佳做法,但对于此 CSP 中的每个节点,我们没有特定值的建议。 大多数设置都与客户环境相关。

建议将此 CSP 配置为最佳做法,但对于此 CSP 中的每个节点,我们没有特定值的建议。 大多数设置都与客户环境相关。

2 高级安全基线设置

以下各节将每个 CSP 的建议设置描述为高级安全基线配置文件的一部分。

策略名称 说明
帐户
Accounts/AllowMicrosoftAccountConnection 0 – 不允许 限制用户使用 MSA 帐户进行非电子邮件相关的连接身份验证和服务。
应用程序管理
ApplicationManagement/AllowAllTrustedApps 0 - 显式拒绝 显式拒绝非Microsoft应用商店应用。
ApplicationManagement/AllowAppStoreAutoUpdate 1 – 允许 允许从 Microsoft 应用商店自动更新应用。
ApplicationManagement/AllowDeveloperUnlock 0 - 显式拒绝 限制用户解锁开发人员模式,允许用户从 IDE 在设备上安装应用。
身份验证
身份验证/AllowFastReconnect 0 – 不允许 禁止 EAP 快速重新连接尝试 EAP 方法 TLS。
蓝牙
蓝牙/AllowDiscoverableMode 0 – 不允许 其他设备将无法检测此设备。
Browser
Browser/AllowAutofill 0 – 阻止/不允许 防止用户使用自动填充功能自动填充 Microsoft Edge 中的表单字段。
Browser/AllowCookies 1 - 仅阻止来自第三方网站的 Cookie 仅阻止来自第三方网站的 Cookie。
Browser/AllowDoNotTrack 0 - 从不发送跟踪信息 从不发送跟踪信息。
Browser/AllowPasswordManager 0 – 不允许 禁止Microsoft Edge 使用密码管理器。
Browser/AllowPopups 1 – 打开弹出窗口阻止程序 打开弹出窗口阻止程序,停止弹出窗口。
Browser/AllowSearchSuggestionsinAddressBar 0 – 阻止/不允许 在 Microsoft Edge 的地址栏中隐藏搜索建议。
Browser/AllowSmartScreen 1 – 已打开 打开 Windows Defender SmartScreen 并阻止用户将其关闭。
连接
Connectivity/AllowBluetooth 0 – 禁止蓝牙 蓝牙控制面板灰显,用户将无法打开蓝牙。
连接/AllowUSBConnection 0 – 不允许 禁用设备和计算机之间的 USB 连接,以便将文件与设备同步,或使用开发人员工具部署或调试应用程序。
设备锁定
DeviceLock/AllowIdleReturnWithoutPassword 0 – 不允许 禁止在没有 PIN 或密码的情况下从空闲返回。
DeviceLock/AllowSimpleDevicePassword 0 – 已阻止 阻止 PIN 或密码,例如“1111”或“1234”。
DeviceLock/AlphanumericDevicePasswordRequired 0 - 需要密码或字母数字 PIN 需要密码或字母数字 PIN。
DeviceLock/DevicePasswordEnabled 0 – 已启用 已启用设备锁定。
DeviceLock/DevicePasswordHistory 整数 X,其中 0 < X < 50Recommended 值:15 指定在不能使用的历史记录中可以存储多少个密码。
DeviceLock/MaxDevicePasswordFailedAttempts 一个整数 X,其中 4 < X < 16 用于客户端设备Recommended 值:10 擦除设备之前允许的身份验证失败数。
DeviceLock/MaxInactivityTimeDeviceLock 整数 X,其中 0 < X < 999 建议值:3 指定设备空闲后允许的最大时间(以分钟为单位),这将导致设备成为 PIN 或密码锁定。
DeviceLock/MinDevicePasswordComplexCharacters 3 - 需要数字、小写字母和大写字母 强 PIN 或密码所需的复杂元素类型数(大写字母、数字和标点符号)。
DeviceLock/MinDevicePasswordLength 一个整数 X,其中 4 < X < 16 用于客户端设备Recommended 值:12 指定 PIN 或密码中所需的最小数目或字符。
MDM 注册
Experience/AllowManualMDMUnenrollment 0 – 不允许 禁止用户使用工作区控制面板删除工作区帐户。
标识
MixedReality/AADGroupMembershipCacheValidityInDays 缓存为 validRecommended 值的天数:7 天 Microsoft Entra 组成员身份缓存应有效天数。
Power
Power/DisplayOffTimeoutPluggedIn 空闲时间(以秒为单位)值:60 秒 允许你在 Windows 关闭显示器之前指定处于非活动状态的时间段。
隐私
隐私/LetAppsAccess
AccountInfo
2 - 强制拒绝 拒绝 Windows 应用访问帐户信息。
隐私/LetAppsAccess
AccountInfo_ForceAllowTheseApps
Windows 应用的分号分隔的程序包系列名称列表 允许列出的 Windows 应用访问帐户信息。
隐私/LetAppsAccess
AccountInfo_ForceDenyTheseApps
Windows 应用的分号分隔的程序包系列名称列表 列出的 Windows 应用被拒绝访问帐户信息。
隐私/LetAppsAccess
AccountInfo_UserInControlOfTheseApps
Windows 应用的分号分隔的程序包系列名称列表 用户能够控制列出的 Windows 应用的帐户信息隐私设置。
隐私/LetAppsAccess
BackgroundSpatialPerception
2 - 强制拒绝 在后台运行应用时,拒绝 Windows 应用访问用户头部、手部、运动控制器和其他跟踪对象的移动。
隐私/LetAppsAccess
BackgroundSpatialPerception_ForceAllowTheseApps
Windows 应用商店应用的分号分隔的程序包系列名称列表 在后台运行应用时,允许列出的应用访问用户的移动。
隐私/LetAppsAccess
BackgroundSpatialPerception_ForceDenyTheseApps
Windows 应用商店应用的分号分隔的程序包系列名称列表 在后台运行应用时,列出的应用被拒绝访问用户移动。
隐私/LetAppsAccess
sBackgroundSpatialPerception_UserInControlOfTheseApps
Windows 应用商店应用的分号分隔的程序包系列名称列表 用户能够控制列出的应用的用户移动隐私设置。
隐私/LetAppsAccess
Microphone_ForceDenyTheseApps
Microsoft应用商店应用的分号分隔的包系列名称列表 列出的应用被拒绝访问麦克风。
隐私/LetAppsAccess
Microphone_UserInControlOfTheseApps
Microsoft应用商店应用的分号分隔的包系列名称列表 用户能够控制列出的应用的麦克风隐私设置。
搜索
搜索/AllowSearchToUseLocation 0 – 不允许 禁止搜索以使用位置信息。
安全
Security/AllowAddProvisioningPackage 0 – 不允许 禁止运行时配置代理安装预配包。
设置
设置/AllowVPN 0 – 不允许 禁止用户更改 VPN 设置。
Settings/PageVisibilityList 用户可见的页的缩短名称将提供用于选择或取消选择页面名称的 UI。 查看建议页面的注释以隐藏。 仅允许在“设置”应用中向用户显示列出的页面。
系统
System/AllowStorageCard 0 – 不允许 不允许使用 SD 卡,并且禁用 USB 驱动器。 此设置不会阻止以编程方式访问存储卡。
System/AllowTelemetry 0 - 不允许 禁止设备发送诊断和使用情况遥测数据,例如 Watson。
更新
Update/AllowUpdateService 1 – 允许 允许访问 Microsoft Update、Windows Server Update Services (WSUS)或 Microsoft 应用商店。
Update/ManagePreviewBuilds 0 - 禁用预览版 禁止在设备上安装预览版本。
Wi-Fi
Wifi/AllowManualWiFiConfiguration 0 – 不允许 禁止连接到 MDM 服务器安装网络之外的 Wi-Fi。
节点名称 说明
UserProfileManagement/EnableProfileManager 为共享或公用设备方案启用配置文件生存期管理。
UserProfileManagement/DeletionPolicy 2 - 在存储容量阈值和配置文件非活动阈值处删除 配置何时删除配置文件。
UserProfileManagement/StorageCapacityStartDeletion 25% 当可用存储容量低于此阈值时,开始删除配置文件,给定配置文件的总存储百分比。 将首先删除处于非活动状态的配置文件。
UserProfileManagement/StorageCapacityStopDeletion 50% 当可用存储容量达到此阈值时,请停止删除配置文件,给定为配置文件可用的总存储百分比。
UserProfileManagement/ProfileInactivityThreshold 30 在指定时间段内未登录配置文件时,开始删除配置文件,给定天数。
节点名称 说明
策略/策略 GUID 策略 blob 中的 策略 ID 策略 Blob 中的策略 ID。
策略/策略 GUID/Policy 策略 blob 在 base64 中编码的策略二进制 Blob。

建议将此 CSP 配置为最佳做法,但对于此 CSP 中的每个节点没有特定值的建议。

节点名称 说明
租户 ID TenantId 全局唯一标识符(GUID),不带大括号({ , } ),用作 Windows Hello 企业版预配和管理的一部分。
TenantId/Policies/UsePassportForWork 将 Windows Hello 企业版设置为登录 Windows 的方法。
TenantId/policies/RequireSecurityDevice 需要适用于 Windows Hello 企业版的受信任平台模块 (TPM)。
TenantId/policies/ExcludeSecurityDevices/TPM12 允许将 TPM 修订版 1.2 模块与 Windows Hello 企业版一起使用。
TenantId/Policies/EnablePinRecovery 不会创建或存储 PIN 恢复机密。
TenantId/Policies/UseCertificateForOnPremAuth 当用户登录时预配 PIN,而无需等待证书有效负载。
TenantId/Policies/PINComplexity/MinimumPINLength 6 PIN 长度必须大于或等于此数字。
TenantId/Policies/PINComplexity/MaximumPINLength 6 PIN 长度必须小于或等于此数字。
TenantId/Policies/PINComplexity/UppercaseLetters 2 数字是必需的,不允许所有其他字符集。
TenantId/Policies/PINComplexity/LowercaseLetters 2 数字是必需的,不允许所有其他字符集。
TenantId/Policies/PINComplexity/SpecialCharacters 2 不允许在 PIN 中使用特殊字符。
TenantId/Policies/PINComplexity/Digits 0 允许在 PIN 中使用数字。
TenantId/Policies/PINComplexity/History 10 可以关联到无法重复使用的用户帐户的过去 PIN 数。
TenantId/Policies/PINComplexity/Expiration 90 在系统要求用户更改 PIN 之前可以使用 PIN 的时间段(以天为单位)。
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates 当要求用户授权使用证书的私钥时,应用程序不使用 Windows Hello 企业版证书作为智能卡证书,并且生物识别因素可用。

建议将此 CSP 中的 根、CA、TrustedPublisher 和 TrustedPeople 节点配置为最佳做法,但不建议在此 CSP 中的每个节点上使用特定值。

节点名称 说明
RequireNetworkInOOBE 设备首次登录或重置后通过 OOBE 时,用户需要在继续之前选择网络。 没有“暂时跳过”选项。 这可确保设备在意外或有意重置或擦除的情况下仍绑定到租户。

建议将 VPN 配置文件配置为最佳做法,但不建议为此 CSP 中的每个节点指定特定值。 大多数设置都与客户环境相关。

建议将 WiFi 配置文件配置为最佳做法,但不建议为此 CSP 中的每个节点指定特定值。 大多数设置都与客户环境相关。

如何启用这些安全基线

  1. 查看安全基线,并确定要应用的内容。
  2. 确定要向其分配基线的 Azure 组。 (更多关于用户和组
  3. 创建基线。

下面介绍如何创建基线。

可以使用“设置”目录添加许多设置,但有时可能有尚未填充到“设置”目录的设置。 在这些情况下,你将使用自定义策略或 OMA-URI(开放移动联盟 - 统一资源标识符)。 首先查看“设置”目录,如果未找到,请按照下面的说明通过 OMA-URI 创建自定义策略。

设置目录

MEM 管理中心登录到帐户。

  1. 导航到 设备->配置文件 ->+创建配置文件。 对于平台,请选择 Windows 10 及更高版本,对于配置文件类型,请选择 设置目录(预览版)
  2. 为配置文件创建名称,然后选择“下一”按钮
  3. 在“配置设置”屏幕上,选择“+ 添加设置

使用上述基线中的策略名称,可以搜索策略。 设置目录将留出名称,因此若要查找“Accounts/AllowMicrosoftAccountConnection”,需要搜索“允许Microsoft帐户连接”。 搜索后,会看到策略列表减少到仅包含此策略的 CSP。 一旦看到以下策略结果,请选择 帐户(或当前搜索内容的相关 CSP)。 选中策略的框。

设置选取器选项的屏幕截图。

完成后,左侧的面板将添加 CSP 类别和添加的设置。 从此处可以将其从默认设置配置为更安全。

设置目录的屏幕截图。

可以继续向同一配置文件添加多个配置,这样就可以更轻松地一次性分配。

添加自定义 OMA-URI 策略

某些策略可能尚未在“设置”目录中提供。 对于这些策略,需要 创建自定义 OMA-URI 配置文件。在 MEM 管理中心登录到帐户。

  1. 导航到 设备->配置文件 ->+创建配置文件。 对于平台,请选择 Windows 10 及更高版本,对于配置文件类型,请选择 模板 并选择 自定义
  2. 为配置文件创建名称,然后选择“下一”按钮
  3. 选择“添加”按钮

需要填写几个字段。

  • 名称,可以将其命名为与策略相关的任何内容。 这可以是用于识别它的简写名称。
  • 说明将是可能需要的更多详细信息。
  • OMA-URI 将是策略所在的完整 OMA-URI 字符串。 示例:./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
  • 数据类型是此策略接受的值的类型。 在此示例中,它是介于 0 和 60 之间的数字,因此选择了 Integer。
  • 选择数据类型后,即可写出或上传字段中所需的值。

配置 OMA-URI 的屏幕截图。

完成后,策略将添加到主窗口。 可以继续将所有自定义策略添加到同一自定义配置。 这有助于减少管理多个设备配置并简化分配。

OMA-URI 配置的屏幕截图。