HoloLens 2 安全基线
重要
此安全基线中使用的一些策略在我们的最新 预览体验成员内部版本中引入。 这些策略仅在更新到最新预览体验成员版本的设备上运行。
本文列出并介绍了可以使用配置服务提供程序(CSP)在 HoloLens 2 上配置的各种安全基线设置。 作为使用 Microsoft Endpoint Manager(正式称为 Microsoft Intune)进行移动设备管理的一部分,请根据组织策略和需求使用以下标准或高级安全基线设置。 使用这些安全基线设置来帮助保护组织资源。
- 无论用例场景和行业垂直如何,标准安全基线设置都适用于所有类型的用户。
- 对于对其环境具有严格安全控制的用户,建议使用高级安全基线设置,并且需要对其环境中使用的设备实施严格的安全策略。
这些安全基线设置基于Microsoft在向不同行业客户部署和支持 HoloLens 2 设备方面获得的最佳做法指南和经验。
查看安全基线并决定使用一个或多个部分后,请查看 如何启用这些安全基线
以下部分将每个 CSP 的建议设置描述为标准安全基线配置文件的一部分。
1.1 策略 CSP
策略名称 | 值 | 说明 |
---|---|---|
帐户 | ||
Accounts/AllowMicrosoftAccountConnection | 0 – 不允许 | 限制用户使用 MSA 帐户进行非电子邮件相关的连接身份验证和服务。 |
应用程序管理 | ||
ApplicationManagement/AllowAllTrustedApps | 0 - 显式拒绝 | 显式拒绝非Microsoft应用商店应用。 |
ApplicationManagement/AllowAppStoreAutoUpdate | 1 – 允许 | 允许从 Microsoft 应用商店自动更新应用。 |
ApplicationManagement/AllowDeveloperUnlock | 0 - 显式拒绝 | 限制用户解锁开发人员模式,允许用户从 IDE 在设备上安装应用。 |
Browser | ||
Browser/AllowCookies | 1 - 仅阻止来自第三方网站的 Cookie | 使用此策略,可以将 Microsoft Edge 配置为仅阻止第三方 Cookie 或阻止所有 Cookie。 |
Browser/AllowPasswordManager | 0 – 不允许 | 禁止Microsoft Edge 使用密码管理器。 |
Browser/AllowSmartScreen | 1 – 已打开 | 打开 Windows Defender SmartScreen 并阻止用户将其关闭。 |
连接 | ||
连接/AllowUSBConnection | 0 – 不允许 | 禁用设备和计算机之间的 USB 连接,以便将文件与设备同步,或使用开发人员工具部署或调试应用程序。 |
设备锁定 | ||
DeviceLock/AllowIdleReturnWithoutPassword | 0 – 不允许 | 禁止在没有 PIN 或密码的情况下从空闲返回。 |
DeviceLock/AllowSimpleDevicePassword | 0 – 已阻止 | 阻止 PIN 或密码,例如“1111”或“1234”。 |
DeviceLock/AlphanumericDevicePasswordRequired | 1 – 需要密码或数字 PIN | 需要密码或字母数字 PIN。 |
DeviceLock/DevicePasswordEnabled | 0 – 已启用 | 已启用设备锁定。 |
DeviceLock/MaxInactivityTimeDeviceLock | 整数 X,其中 0 < X < 999 建议值:3 | 指定设备空闲后允许的最大时间(以分钟为单位),这将导致设备成为 PIN 或密码锁定。 |
DeviceLock/MinDevicePasswordComplexCharacters | 1 - 仅位数 | 强 PIN 或密码所需的复杂元素类型数(大写字母、数字和标点符号)。 |
DeviceLock/MinDevicePasswordLength | 一个整数 X,其中 4 < X < 16 用于客户端设备Recommended 值:8 | 指定 PIN 或密码中所需的最小数目或字符。 |
MDM 注册 | ||
Experience/AllowManualMDMUnenrollment | 0 – 不允许 | 禁止用户使用工作区控制面板删除工作区帐户。 |
标识 | ||
MixedReality/AADGroupMembershipCacheValidityInDays | 缓存为 validRecommended 值的天数:7 天 | Microsoft Entra 组成员身份缓存应有效天数。 |
Power | ||
Power/DisplayOffTimeoutPluggedIn | 空闲时间(以秒为单位)值:60 秒 | 允许你在 Windows 关闭显示器之前指定处于非活动状态的时间段。 |
设置 | ||
设置/AllowVPN | 0 – 不允许 | 禁止用户更改 VPN 设置。 |
Settings/PageVisibilityList | 用户可见的页面的缩短名称。 将提供用于选择或取消选择页面名称的 UI。 查看建议页面的注释以隐藏。 | 仅允许在“设置”应用中向用户显示列出的页面。 |
系统 | ||
System/AllowStorageCard | 0 – 不允许 | 不允许使用 SD 卡,并且禁用 USB 驱动器。 此设置不会阻止以编程方式访问存储卡。 |
更新 | ||
Update/AllowUpdateService | 1 – 允许 | 允许访问 Microsoft Update、Windows Server Update Services (WSUS)或 Microsoft 应用商店。 |
Update/ManagePreviewBuilds | 0 - 禁用预览版 | 禁止在设备上安装预览版本。 |
建议将此 CSP 配置为最佳做法,但对于此 CSP 中的每个节点没有特定值的建议。
节点名称 | 值 | 说明 |
---|---|---|
租户 ID | TenantId | 全局唯一标识符(GUID),不带大括号({ , } ),用作 Windows Hello 企业版预配和管理的一部分。 |
TenantId/Policies/UsePassportForWork | 真 | 将 Windows Hello 企业版设置为登录 Windows 的方法。 |
TenantId/policies/RequireSecurityDevice | 真 | 需要适用于 Windows Hello 企业版的受信任平台模块 (TPM)。 |
TenantId/policies/ExcludeSecurityDevices/TPM12 | 假 | 允许将 TPM 修订版 1.2 模块与 Windows Hello 企业版一起使用。 |
TenantId/Policies/EnablePinRecovery | 假 | 不会创建或存储 PIN 恢复机密。 |
TenantId/Policies/UseCertificateForOnPremAuth | 假 | 当用户登录时预配 PIN,而无需等待证书有效负载。 |
TenantId/Policies/PINComplexity/MinimumPINLength | 6 | PIN 长度必须大于或等于此数字。 |
TenantId/Policies/PINComplexity/MaximumPINLength | 6 | PIN 长度必须小于或等于此数字。 |
TenantId/Policies/PINComplexity/UppercaseLetters | 2 | 数字是必需的,不允许所有其他字符集。 |
TenantId/Policies/PINComplexity/LowercaseLetters | 2 | 数字是必需的,不允许所有其他字符集。 |
TenantId/Policies/PINComplexity/SpecialCharacters | 2 | 不允许在 PIN 中使用特殊字符。 |
TenantId/Policies/PINComplexity/Digits | 0 | 允许在 PIN 中使用数字。 |
TenantId/Policies/PINComplexity/History | 10 | 可以关联到无法重复使用的用户帐户的过去 PIN 数。 |
TenantId/Policies/PINComplexity/Expiration | 90 | 在系统要求用户更改 PIN 之前可以使用 PIN 的时间段(以天为单位)。 |
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | 假 | 当要求用户授权使用证书的私钥时,应用程序不使用 Windows Hello 企业版证书作为智能卡证书,并且生物识别因素可用。 |
建议将此 CSP 中的 根、CA、TrustedPublisher 和 TrustedPeople 节点配置为最佳做法,但不建议在此 CSP 中的每个节点上使用特定值。
节点名称 | 值 | 说明 |
---|---|---|
RequireNetworkInOOBE | 真 | 当设备首次登录或重置后通过 OOBE 时,用户需要在继续之前选择网络。 没有“暂时跳过”选项。 此选项可确保设备在意外或有意重置或擦除的情况下仍绑定到租户。 |
1.6 VPNv2 CSP
建议将此 CSP 配置为最佳做法,但对于此 CSP 中的每个节点,我们没有特定值的建议。 大多数设置都与客户环境相关。
1.7 WiFi CSP
建议将此 CSP 配置为最佳做法,但对于此 CSP 中的每个节点,我们没有特定值的建议。 大多数设置都与客户环境相关。
以下各节将每个 CSP 的建议设置描述为高级安全基线配置文件的一部分。
2.1 策略 CSP
策略名称 | 值 | 说明 |
---|---|---|
帐户 | ||
Accounts/AllowMicrosoftAccountConnection | 0 – 不允许 | 限制用户使用 MSA 帐户进行非电子邮件相关的连接身份验证和服务。 |
应用程序管理 | ||
ApplicationManagement/AllowAllTrustedApps | 0 - 显式拒绝 | 显式拒绝非Microsoft应用商店应用。 |
ApplicationManagement/AllowAppStoreAutoUpdate | 1 – 允许 | 允许从 Microsoft 应用商店自动更新应用。 |
ApplicationManagement/AllowDeveloperUnlock | 0 - 显式拒绝 | 限制用户解锁开发人员模式,允许用户从 IDE 在设备上安装应用。 |
身份验证 | ||
身份验证/AllowFastReconnect | 0 – 不允许 | 禁止 EAP 快速重新连接尝试 EAP 方法 TLS。 |
蓝牙 | ||
蓝牙/AllowDiscoverableMode | 0 – 不允许 | 其他设备将无法检测此设备。 |
Browser | ||
Browser/AllowAutofill | 0 – 阻止/不允许 | 防止用户使用自动填充功能自动填充 Microsoft Edge 中的表单字段。 |
Browser/AllowCookies | 1 - 仅阻止来自第三方网站的 Cookie | 仅阻止来自第三方网站的 Cookie。 |
Browser/AllowDoNotTrack | 0 - 从不发送跟踪信息 | 从不发送跟踪信息。 |
Browser/AllowPasswordManager | 0 – 不允许 | 禁止Microsoft Edge 使用密码管理器。 |
Browser/AllowPopups | 1 – 打开弹出窗口阻止程序 | 打开弹出窗口阻止程序,停止弹出窗口。 |
Browser/AllowSearchSuggestionsinAddressBar | 0 – 阻止/不允许 | 在 Microsoft Edge 的地址栏中隐藏搜索建议。 |
Browser/AllowSmartScreen | 1 – 已打开 | 打开 Windows Defender SmartScreen 并阻止用户将其关闭。 |
连接 | ||
Connectivity/AllowBluetooth | 0 – 禁止蓝牙 | 蓝牙控制面板灰显,用户将无法打开蓝牙。 |
连接/AllowUSBConnection | 0 – 不允许 | 禁用设备和计算机之间的 USB 连接,以便将文件与设备同步,或使用开发人员工具部署或调试应用程序。 |
设备锁定 | ||
DeviceLock/AllowIdleReturnWithoutPassword | 0 – 不允许 | 禁止在没有 PIN 或密码的情况下从空闲返回。 |
DeviceLock/AllowSimpleDevicePassword | 0 – 已阻止 | 阻止 PIN 或密码,例如“1111”或“1234”。 |
DeviceLock/AlphanumericDevicePasswordRequired | 0 - 需要密码或字母数字 PIN | 需要密码或字母数字 PIN。 |
DeviceLock/DevicePasswordEnabled | 0 – 已启用 | 已启用设备锁定。 |
DeviceLock/DevicePasswordHistory | 整数 X,其中 0 < X < 50Recommended 值:15 | 指定在不能使用的历史记录中可以存储多少个密码。 |
DeviceLock/MaxDevicePasswordFailedAttempts | 一个整数 X,其中 4 < X < 16 用于客户端设备Recommended 值:10 | 擦除设备之前允许的身份验证失败数。 |
DeviceLock/MaxInactivityTimeDeviceLock | 整数 X,其中 0 < X < 999 建议值:3 | 指定设备空闲后允许的最大时间(以分钟为单位),这将导致设备成为 PIN 或密码锁定。 |
DeviceLock/MinDevicePasswordComplexCharacters | 3 - 需要数字、小写字母和大写字母 | 强 PIN 或密码所需的复杂元素类型数(大写字母、数字和标点符号)。 |
DeviceLock/MinDevicePasswordLength | 一个整数 X,其中 4 < X < 16 用于客户端设备Recommended 值:12 | 指定 PIN 或密码中所需的最小数目或字符。 |
MDM 注册 | ||
Experience/AllowManualMDMUnenrollment | 0 – 不允许 | 禁止用户使用工作区控制面板删除工作区帐户。 |
标识 | ||
MixedReality/AADGroupMembershipCacheValidityInDays | 缓存为 validRecommended 值的天数:7 天 | Microsoft Entra 组成员身份缓存应有效天数。 |
Power | ||
Power/DisplayOffTimeoutPluggedIn | 空闲时间(以秒为单位)值:60 秒 | 允许你在 Windows 关闭显示器之前指定处于非活动状态的时间段。 |
隐私 | ||
隐私/LetAppsAccess AccountInfo |
2 - 强制拒绝 | 拒绝 Windows 应用访问帐户信息。 |
隐私/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Windows 应用的分号分隔的程序包系列名称列表 | 允许列出的 Windows 应用访问帐户信息。 |
隐私/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Windows 应用的分号分隔的程序包系列名称列表 | 列出的 Windows 应用被拒绝访问帐户信息。 |
隐私/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Windows 应用的分号分隔的程序包系列名称列表 | 用户能够控制列出的 Windows 应用的帐户信息隐私设置。 |
隐私/LetAppsAccess BackgroundSpatialPerception |
2 - 强制拒绝 | 在后台运行应用时,拒绝 Windows 应用访问用户头部、手部、运动控制器和其他跟踪对象的移动。 |
隐私/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Windows 应用商店应用的分号分隔的程序包系列名称列表 | 在后台运行应用时,允许列出的应用访问用户的移动。 |
隐私/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Windows 应用商店应用的分号分隔的程序包系列名称列表 | 在后台运行应用时,列出的应用被拒绝访问用户移动。 |
隐私/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Windows 应用商店应用的分号分隔的程序包系列名称列表 | 用户能够控制列出的应用的用户移动隐私设置。 |
隐私/LetAppsAccess Microphone_ForceDenyTheseApps |
Microsoft应用商店应用的分号分隔的包系列名称列表 | 列出的应用被拒绝访问麦克风。 |
隐私/LetAppsAccess Microphone_UserInControlOfTheseApps |
Microsoft应用商店应用的分号分隔的包系列名称列表 | 用户能够控制列出的应用的麦克风隐私设置。 |
搜索 | ||
搜索/AllowSearchToUseLocation | 0 – 不允许 | 禁止搜索以使用位置信息。 |
安全 | ||
Security/AllowAddProvisioningPackage | 0 – 不允许 | 禁止运行时配置代理安装预配包。 |
设置 | ||
设置/AllowVPN | 0 – 不允许 | 禁止用户更改 VPN 设置。 |
Settings/PageVisibilityList | 用户可见的页的缩短名称将提供用于选择或取消选择页面名称的 UI。 查看建议页面的注释以隐藏。 | 仅允许在“设置”应用中向用户显示列出的页面。 |
系统 | ||
System/AllowStorageCard | 0 – 不允许 | 不允许使用 SD 卡,并且禁用 USB 驱动器。 此设置不会阻止以编程方式访问存储卡。 |
System/AllowTelemetry | 0 - 不允许 | 禁止设备发送诊断和使用情况遥测数据,例如 Watson。 |
更新 | ||
Update/AllowUpdateService | 1 – 允许 | 允许访问 Microsoft Update、Windows Server Update Services (WSUS)或 Microsoft 应用商店。 |
Update/ManagePreviewBuilds | 0 - 禁用预览版 | 禁止在设备上安装预览版本。 |
Wi-Fi | ||
Wifi/AllowManualWiFiConfiguration | 0 – 不允许 | 禁止连接到 MDM 服务器安装网络之外的 Wi-Fi。 |
节点名称 | 值 | 说明 |
---|---|---|
UserProfileManagement/EnableProfileManager | 真 | 为共享或公用设备方案启用配置文件生存期管理。 |
UserProfileManagement/DeletionPolicy | 2 - 在存储容量阈值和配置文件非活动阈值处删除 | 配置何时删除配置文件。 |
UserProfileManagement/StorageCapacityStartDeletion | 25% | 当可用存储容量低于此阈值时,开始删除配置文件,给定配置文件的总存储百分比。 将首先删除处于非活动状态的配置文件。 |
UserProfileManagement/StorageCapacityStopDeletion | 50% | 当可用存储容量达到此阈值时,请停止删除配置文件,给定为配置文件可用的总存储百分比。 |
UserProfileManagement/ProfileInactivityThreshold | 30 | 在指定时间段内未登录配置文件时,开始删除配置文件,给定天数。 |
节点名称 | 值 | 说明 |
---|---|---|
策略/策略 GUID | 策略 blob 中的 策略 ID | 策略 Blob 中的策略 ID。 |
策略/策略 GUID/Policy | 策略 blob | 在 base64 中编码的策略二进制 Blob。 |
建议将此 CSP 配置为最佳做法,但对于此 CSP 中的每个节点没有特定值的建议。
节点名称 | 值 | 说明 |
---|---|---|
租户 ID | TenantId | 全局唯一标识符(GUID),不带大括号({ , } ),用作 Windows Hello 企业版预配和管理的一部分。 |
TenantId/Policies/UsePassportForWork | 真 | 将 Windows Hello 企业版设置为登录 Windows 的方法。 |
TenantId/policies/RequireSecurityDevice | 真 | 需要适用于 Windows Hello 企业版的受信任平台模块 (TPM)。 |
TenantId/policies/ExcludeSecurityDevices/TPM12 | 假 | 允许将 TPM 修订版 1.2 模块与 Windows Hello 企业版一起使用。 |
TenantId/Policies/EnablePinRecovery | 假 | 不会创建或存储 PIN 恢复机密。 |
TenantId/Policies/UseCertificateForOnPremAuth | 假 | 当用户登录时预配 PIN,而无需等待证书有效负载。 |
TenantId/Policies/PINComplexity/MinimumPINLength | 6 | PIN 长度必须大于或等于此数字。 |
TenantId/Policies/PINComplexity/MaximumPINLength | 6 | PIN 长度必须小于或等于此数字。 |
TenantId/Policies/PINComplexity/UppercaseLetters | 2 | 数字是必需的,不允许所有其他字符集。 |
TenantId/Policies/PINComplexity/LowercaseLetters | 2 | 数字是必需的,不允许所有其他字符集。 |
TenantId/Policies/PINComplexity/SpecialCharacters | 2 | 不允许在 PIN 中使用特殊字符。 |
TenantId/Policies/PINComplexity/Digits | 0 | 允许在 PIN 中使用数字。 |
TenantId/Policies/PINComplexity/History | 10 | 可以关联到无法重复使用的用户帐户的过去 PIN 数。 |
TenantId/Policies/PINComplexity/Expiration | 90 | 在系统要求用户更改 PIN 之前可以使用 PIN 的时间段(以天为单位)。 |
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | 假 | 当要求用户授权使用证书的私钥时,应用程序不使用 Windows Hello 企业版证书作为智能卡证书,并且生物识别因素可用。 |
建议将此 CSP 中的 根、CA、TrustedPublisher 和 TrustedPeople 节点配置为最佳做法,但不建议在此 CSP 中的每个节点上使用特定值。
节点名称 | 值 | 说明 |
---|---|---|
RequireNetworkInOOBE | 真 | 设备首次登录或重置后通过 OOBE 时,用户需要在继续之前选择网络。 没有“暂时跳过”选项。 这可确保设备在意外或有意重置或擦除的情况下仍绑定到租户。 |
2.8 VPNv2 CSP
建议将 VPN 配置文件配置为最佳做法,但不建议为此 CSP 中的每个节点指定特定值。 大多数设置都与客户环境相关。
2.9 WiFi CSP
建议将 WiFi 配置文件配置为最佳做法,但不建议为此 CSP 中的每个节点指定特定值。 大多数设置都与客户环境相关。
- 查看安全基线,并确定要应用的内容。
- 确定要向其分配基线的 Azure 组。 (更多关于用户和组)
- 创建基线。
下面介绍如何创建基线。
可以使用“设置”目录添加许多设置,但有时可能有尚未填充到“设置”目录的设置。 在这些情况下,你将使用自定义策略或 OMA-URI(开放移动联盟 - 统一资源标识符)。 首先查看“设置”目录,如果未找到,请按照下面的说明通过 OMA-URI 创建自定义策略。
在 MEM 管理中心登录到帐户。
- 导航到 设备->配置文件 ->+创建配置文件。 对于平台,请选择 Windows 10 及更高版本,对于配置文件类型,请选择 设置目录(预览版)。
- 为配置文件创建名称,然后选择“下一”按钮
。 - 在“配置设置”屏幕上,选择“+ 添加设置。
使用上述基线中的策略名称,可以搜索策略。 设置目录将留出名称,因此若要查找“Accounts/AllowMicrosoftAccountConnection”,需要搜索“允许Microsoft帐户连接”。 搜索后,会看到策略列表减少到仅包含此策略的 CSP。 一旦看到以下策略结果,请选择 帐户(或当前搜索内容的相关 CSP)。 选中策略的框。
完成后,左侧的面板将添加 CSP 类别和添加的设置。 从此处可以将其从默认设置配置为更安全。
可以继续向同一配置文件添加多个配置,这样就可以更轻松地一次性分配。
某些策略可能尚未在“设置”目录中提供。 对于这些策略,需要 创建自定义 OMA-URI 配置文件。在 MEM 管理中心登录到帐户。
- 导航到 设备->配置文件 ->+创建配置文件。 对于平台,请选择 Windows 10 及更高版本,对于配置文件类型,请选择 模板 并选择 自定义。
- 为配置文件创建名称,然后选择“下一”按钮
。 - 选择“添加”按钮
。
需要填写几个字段。
- 名称,可以将其命名为与策略相关的任何内容。 这可以是用于识别它的简写名称。
- 说明将是可能需要的更多详细信息。
- OMA-URI 将是策略所在的完整 OMA-URI 字符串。 示例:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
- 数据类型是此策略接受的值的类型。 在此示例中,它是介于 0 和 60 之间的数字,因此选择了 Integer。
- 选择数据类型后,即可写出或上传字段中所需的值。
完成后,策略将添加到主窗口。 可以继续将所有自定义策略添加到同一自定义配置。 这有助于减少管理多个设备配置并简化分配。