Windows 11策略设置

下表列出了Microsoft托管桌面中使用的Windows 11策略设置。

ControlPanelDisplay.admx

  • 位置:计算机
  • 策略路径: Control Panel\Personalization
  • Polity 设置名称:阻止锁屏界面背景
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows\Personalization!AnimateLockScreenBackground
  • 支持日期:至少Windows 10
  • 设置值:-

此策略设置控制锁屏界面图像是静态的,还是具有由设备加速计输出驱动的细微平移效果。

  • 如果启用此设置,则会阻止运动,并且用户会看到传统的静态锁屏界面背景图像。
  • 如果 (关闭此设置,并且设备具有加速计) ,则用户在物理移动设备时会看到锁屏界面背景在静止图像周围平移。

Globalization.admx

  • 位置:计算机
  • 策略路径: Control Panel\Regional and Language Options
  • 策略设置名称:限制语言包和语言功能安装
  • 注册表信息: HKLM\Software\Policies\Microsoft\Control Panel\International!RestrictLanguagePacksAndFeaturesInstall
  • 支持日期:至少Windows Server 2016 Windows 10
  • 设置值:-

此策略设置限制所有用户安装语言包和按需语言功能包。 如果想要限制 Windows 语言使用限制 Windows 语言,则此策略不会限制切换 Windows 语言,该策略将限制 Windows 语言,该策略将限制 Windows 语言。

  • 如果启用此策略设置,用户将无法安装语言包和语言功能。
  • 如果关闭或未配置此策略设置,用户可以安装语言包或功能。

SecGuide.admx

  • 位置:计算机
  • 策略路径: MS Security Guide
  • 策略设置名称:将打印驱动程序安装限制为管理员
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint!RestrictDriverInstallationToAdministrators
  • 支持:至少 Windows Server 2008 R2 或 Windows 7
  • 设置值:-

确定不是管理员的用户是否可以在此计算机上安装打印机驱动程序。 默认情况下,非管理员用户无法在此计算机上安装打印驱动程序。

  • 如果启用此设置或未配置此设置,系统将打印驱动程序的安装限制为此计算机的管理员。
  • 如果关闭此设置,则系统不会限制到此计算机的打印驱动程序安装。 有关详细信息,请参阅 限制新打印机的安装

DnsClient.admx

  • 位置:计算机
  • 策略路径: Network\DNS Client
  • 策略设置名称:通过 HTTPS 配置 DNS (DoH) 名称解析
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient!DoHPolicy
  • 支持:至少 Windows Vista
  • 设置值:-

指定 DNS 客户端是否将通过 HTTPS (DoH) 通过 DNS 执行名称解析。 默认情况下,DNS 客户端将通过 UDP 或 TCP) 执行经典 DNS 名称解析 (。 此设置可以增强 DNS 客户端,以使用 DoH 协议解析域名。

若要使用此策略设置,请选择“ 已启用” ,然后从下拉菜单中选择以下选项之一:

  • 禁止 DoH:不执行 DoH 名称解析。
  • 允许 DoH:如果配置的 DNS 服务器支持 DoH,则执行 DoH 查询。 如果不支持,它会尝试经典名称解析。
  • 需要 DoH:仅允许 DoH 名称解析。 如果没有配置支持 DoH 的 DNS 服务器,则名称解析会失败。

如果关闭此策略设置或未配置此策略设置,计算机将使用本地配置的设置。

Printing.admx (启用设备控制打印限制)

  • 位置:计算机
  • 策略路径: Printers
  • 策略设置名称:启用设备控制打印限制
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows NT\Printers!EnableDeviceControl
  • 支持日期:至少Windows Server 2016 Windows 10
  • 设置值:-

确定是否为此计算机上打印强制执行设备控制打印限制。

默认情况下,根据连接类型或打印机制作/型号打印没有限制。

  • 如果启用此设置,计算机将打印限制为公司网络上的打印机连接或已批准的 USB 连接打印机。
  • 如果关闭此设置或未配置此设置,则根据连接类型或打印机制造/型号打印没有限制。

Printing.admx (批准的 USB 连接打印设备)

  • 位置:计算机
  • 策略路径: Printers
  • 策略设置名称:已批准的 USB 连接打印设备列表
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows NT\Printers!ApprovedUsbPrintDevices
  • 支持日期:至少Windows Server 2016 Windows 10
  • 设置值:-

此设置是设备控制打印限制的一个组件。 若要使用此设置,请打开 “启用设备控制打印限制 ”设置。

当设备控制打印处于打开状态时,系统会使用指定的 vid/pid 值列表来确定当前 USB 连接的打印机是否被批准用于本地打印。 输入所有批准的 vid/pid 组合 (用逗号分隔,) 对应于批准的 USB 打印机型号。

当用户尝试打印到 USB 打印机队列时,会将设备 vid/pid 与批准列表进行比较。

StartMenu.admx

  • 位置:计算机
  • 策略路径: Start Menu and Taskbar
  • 策略设置名称:在“开始”菜单中显示或隐藏“最常用的”列表
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows\Explorer!ShowOrHideMostUsedApps
  • 支持日期:至少Windows Server 2016 Windows 10版本 2106
  • 设置值:-

如果启用此策略设置,则可以将“开始”菜单配置为显示或隐藏用户最常用的应用列表,而不考虑用户设置。

  • 选择“ 显示 ”以强制显示“最常用的列表”,并且用户无法使用“设置”应用进行更改以隐藏它。
  • 选择“ 隐藏 ”以强制隐藏“最常用的”列表,并且用户无法更改以使用“设置”应用显示该列表。
  • 选择“ 未配置”、“关闭或不配置此策略设置”,以便用户使用“设置”应用打开或关闭“最常用的列表” 的显示。 这是默认行为。

将此策略配置为在受支持的Windows 10版本上显示隐藏优先于与“开始菜单”策略设置中的“删除常用程序”列表一起使用的任何设置。 “从开始菜单中删除常用程序”列表设置管理“开始”菜单的相同部分,但选项较少。

WPN.admx

  • 位置:计算机
  • 策略路径: Start Menu and Taskbar\Notifications
  • 策略设置名称:为 WNS FQDN 启用组策略
  • 注册表信息: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications!WnsEndpoint
  • 支持日期:至少Windows Server 2016 Windows 10
  • 设置值:-

此策略为特定环境设置特殊的 WNS FQDN。

DeviceInstallation.admx

  • 位置:计算机
  • 策略路径: System\Device Installation\Device Installation Restrictions
  • 策略设置名称:对所有设备匹配条件的“允许”和“阻止”设备安装策略应用分层评估顺序
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions!AllowDenyLayered
  • 支持日期:至少Windows Server 2016 Windows 10版本 2106
  • 设置值:-

当多个安装策略设置适用于给定设备时,此策略设置将更改应用“允许”和“阻止”策略设置的评估顺序。

启用此策略设置以确保基于已建立的层次结构应用重叠的设备匹配条件,其中更具体的匹配条件取代了不太具体的匹配条件。

指定设备匹配条件的策略设置的分层评估顺序是设备实例 ID > 设备 ID > 设备设置类 > 可移动设备设备实例 ID1。 阻止使用与这些设备实例 ID 匹配的驱动程序安装设备2。

  • 允许使用与这些设备实例 IDsDevice IDs3匹配的驱动程序安装设备。
  • 阻止使用与这些设备匹配的驱动程序安装设备 IDs4
  • 允许使用与这些设备匹配的驱动程序安装设备 IDsDevice setup class5
  • 阻止使用与这些设备设置 classes6匹配的驱动程序安装设备。
  • 允许使用与这些设备设置 classesRemovable devices7匹配的驱动程序安装设备。
  • 阻止安装可移动设备。 此策略设置提供比 阻止安装其他策略设置未描述的设备 策略设置更精细的控制。

如果同时打开这些冲突的策略设置,则会启用 “允许”和“阻止跨所有设备匹配条件的设备安装策略应用分层评估顺序 ”策略设置,并忽略其他策略设置。 如果关闭或未配置此策略设置,则使用默认评估。

默认情况下,所有 “阻止安装...” 策略设置优先于允许 Windows 安装设备的任何其他策略设置。

FileSys.admx (启用 NTFS 非分页池使用)

  • 位置:计算机
  • 策略路径: System\Filesystem\NTFS
  • 策略设置名称:启用 NTFS 非分页池使用情况
  • 注册表信息: HKLM\System\CurrentControlSet\Policies!NtfsForceNonPagedPoolAllocation
  • 支持日期:至少Windows Server 2016 Windows 10
  • 设置值:-

默认情况下,NTFS 根据需要从可分页内存和非分页内存中分配内存。 启用此设置会告知 NTFS 对所有分配使用不可分页内存。 NTFS 还会将其所有代码节更改为不可分页。 启用此功能的好处是减少了页面故障和堆栈使用量,但代价是占用更多内存。 此设置需要重启才能生效。

FileSys.admx (NTFS 默认层)

  • 位置:计算机
  • 策略路径: System\Filesystem\NTFS
  • 策略设置名称:NTFS 默认层
  • 注册表信息: HKLM\System\CurrentControlSet\Policies!NtfsDefaultTier
  • 支持日期:至少Windows Server 2016 Windows 10
  • 设置值:-

对于 NTFS 分层卷,此设置控制新分配默认转到的层。 客户端系统默认为性能层。 服务器系统默认为“容量”层。

FileSys.admx (NTFS 并行刷新阈值)

  • 位置:计算机
  • 策略路径: System\Filesystem\NTFS
  • 策略路径设置名称:NTFS 并行刷新阈值
  • 注册表信息: HKLM\System\CurrentControlSet\Policies!NtfsParallelFlushThreshold
  • 支持日期:至少Windows Server 2016 Windows 10
  • 设置值:-

从内存刷新修改的文件数据时,NTFS 会根据当前打开的文件数选择使用一个或多个线程。 此设置用于控制用于触发并行刷新的打开文件阈值。

FileSys.admx (NFTS 并行刷新工作线程)

  • 位置:计算机
  • 策略路径: System\Filesystem\NTFS
  • 策略设置名称:NTFS 并行刷新工作线程
  • 注册表信息: HKLM\System\CurrentControlSet\Policies!NtfsParallelFlushWorkers
  • 支持日期:至少Windows Server 2016 Windows 10
  • 设置值:-

从内存刷新修改的文件数据时,NTFS 会根据当前打开的文件数选择使用一个或多个线程。 此设置用于控制使用的线程数。 增大此值可能会减少刷新卷所需的时间,但刷新可能会对其他并发 IO 操作产生较大影响。 具有特殊含义的值:

  • 0:使用系统计算的默认值
  • 1:禁用并行刷新

此设置的默认值和限制因给定系统上的可用处理器数而异。 默认值计算为: (([NumProcessors]/2) + 1) - Default max value calculation is: ([NumProcessors]*2)

Kerberos.admx

  • 位置:计算机
  • 策略路径: System\Kerberos
  • 策略设置名称:允许在登录期间检索云 kerberos 票证
  • 注册表信息: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters!CloudKerberosTicketRetrievalEnabled
  • 支持日期:至少Windows Server 2016 Windows 10
  • 设置值:-

此策略设置允许在登录期间检索云 kerberos 票证。

  • 如果关闭或未配置此策略设置,则登录期间不会检索云 kerberos 票证。
  • 如果启用此策略设置,则会在登录期间检索云 kerberos 票证。

Netlogon.admx

  • 位置:计算机
  • 策略路径: System\Net Logon\DC Locator DNS Records
  • 策略设置名称:注册域控制器 SRV 记录时使用小写的 DNS 主机名
  • 注册表信息: HKLM\Software\Policies\Microsoft\Netlogon\Parameters!DnsSrvRecordUseLowerCaseHostNames
  • 支持日期:未知
  • 设置值:-

此策略设置配置在注册 SRV 记录时,应用此设置的域控制器是否将其 DNS 主机名小写。

如果启用此设置,则域控制器会在注册域控制器 SRV 记录时将其 DNS 主机名小写。 将尽最大努力删除任何以前注册的包含混合大小写 DNS 主机名的 SRV 记录。 有关详细信息和可能的手动清理过程,请参阅 小写主机名记录

  • 如果关闭此设置,则域控制器在注册域控制器 SRV 记录时会按原样使用其配置的 DNS 主机名。
  • 如果未配置,则域控制器默认使用其本地配置。 默认本地配置已启用。 对此设置的更改无需重启即可生效。

sam.admx

  • 位置:计算机
  • 策略路径: System\Security Account Manager
  • 策略设置名称:在身份验证期间配置 ROCA 易受攻击的 WHfB 密钥的验证
  • 注册表信息: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM!SamNGCKeyROCAValidation
  • 支持:至少 Windows Vista
  • 设置值:-

此策略设置允许配置域控制器如何处理Windows Hello 企业版 (WHfB) 密钥,这些密钥容易受到“铜匠攻击的返回” (ROCA) 漏洞。 有关详细信息,请参阅 ROCA 漏洞

如果启用此策略设置,则支持以下选项:

  • 忽略:在身份验证期间,域控制器不会探测 ROCA 漏洞的任何 WHfB 密钥
  • 审核:在身份验证期间,域控制器会针对受 ROCA 漏洞约束的 WHfB 密钥发出审核事件, (身份验证) 仍然成功。
  • 阻止:在身份验证期间,域控制器阻止使用受 ROCA 漏洞约束的 WHfB 密钥, (身份验证失败) 。 此设置仅在域控制器上生效。

如果未配置,则域控制器默认使用其本地配置。 默认本地配置为 Audit。 对此设置的更改无需重新启动即可生效。

为避免意外中断,在执行适当的修正(例如修补易受攻击的 TPM)之前,不应将此设置设置为“阻止”

AppxPackageManager.admx (存档不常使用的应用)

  • 位置:计算机
  • 策略路径: Windows Components\App Package Deployment
  • 策略设置名称:存档不常用的应用
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows\Appx!AllowAutomaticAppArchiving
  • 支持日期:至少Windows Server 2016 Windows 10
  • 设置值:-

此策略设置控制系统是否可以存档不常使用的应用。

  • 如果启用此策略设置,系统会定期检查和存档不常使用的应用。
  • 如果关闭此策略设置,则系统不会存档任何应用。
  • 如果不 (默认) 配置此策略设置,系统会遵循默认行为,即定期检查不常使用的应用并存档,用户可以自行配置此设置。

AppxPackageManager.admx (不允许旁加载的应用自动更新)

  • 位置:计算机
  • 策略路径: Windows Components\App Package Deployment
  • 策略设置名称:不允许旁加载的应用在后台自动更新
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows\Appx!DisableBackgroundAutoUpdates
  • 支持日期:至少Windows Server 2016 Windows 10版本 2106
  • 设置值:-

管理旁加载应用在后台自动更新的能力。

  • 如果启用此策略,旁加载的应用不会在后台自动更新。
  • 如果关闭此策略,旁加载的应用会自动在后台更新。 默认值为“disabled” (键不存在) 。

AppxPackageManager.admx (不允许旁加载应用在按流量计费的网络) 自动更新

  • 位置:计算机
  • 策略路径: Windows Components\App Package Deployment
  • 策略设置名称:不允许旁加载的应用在按流量计费的网络上的后台自动更新
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows\Appx!DisableMeteredNetworkBackgroundAutoUpdates
  • 支持日期:至少Windows Server 2016 Windows 10版本 2106
  • 设置值:-

管理旁加载应用在按流量计费的网络上的后台自动更新的能力。

  • 如果启用此策略,旁加载的应用不会在按流量计费的网络上在后台自动更新。
  • 如果关闭此策略,旁加载的应用会自动在按流量计费的网络上的后台更新。 默认值为“disabled” (键不存在) 。

AppPrivacy.admx (让 Windows 应用) 获取屏幕截图

  • 位置:计算机
  • 策略路径: Windows Components\App Privacy
  • 策略设置名称:让 Windows 应用获取各种窗口或显示器的屏幕截图
  • 注册表信息:
    • HKLM\Software\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessGraphicsCaptureProgrammatic<
    • HKLM\Software\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessGraphicsCaptureProgrammatic_UserInControlOfTheseApps
    • HKLM\Software\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessGraphicsCaptureProgrammatic_ForceAllowTheseApps
    • HKLM\Software\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessGraphicsCaptureProgrammatic_ForceDenyTheseApps
  • 支持日期:至少Windows Server 2016 Windows 10
  • 设置值:-

此策略设置指定 Windows 应用是否可以拍摄各种窗口或显示器的屏幕截图。 可以通过指定包系列名称来指定所有应用的默认设置或按应用设置。 可以使用 获取应用的 Get-AppPackage Windows PowerShell cmdlet包系列名称。 每应用设置将替代默认设置。

  • “用户处于控制”选项中 :组织中的员工可以使用设备上的“设置隐私” > 来决定 Windows 应用是否可以拍摄各种窗口或显示器的屏幕截图。
  • 强制允许 选项:允许 Windows 应用拍摄各种窗口或显示器的屏幕截图,组织中的员工无法更改它。
  • 强制拒绝 选项:不允许 Windows 应用拍摄各种窗口的屏幕截图或显示,并且组织中的员工无法对其进行更改。

如果关闭或未配置此策略设置,组织中的员工可以通过在设备上使用“设置隐私” > 来决定 Windows 应用是否可以拍摄各种窗口的屏幕截图或显示。

如果应用在设备上应用此组策略对象时处于打开状态,则员工必须重启应用或设备,才能将策略更改应用到该应用。

AppPrivacy.admx (让 Windows 应用关闭屏幕截图边框)

  • 位置:计算机
  • 策略路径: Windows Components\App Privacy
  • 策略设置名称:让 Windows 应用关闭屏幕截图边框
    • HKLM\Software\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessGraphicsCaptureWithoutBorder
    • HKLM\Software\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessGraphicsCaptureWithoutBorder_UserInControlOfTheseApps
    • HKLM\Software\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessGraphicsCaptureWithoutBorder_ForceAllowTheseApps
    • HKLM\Software\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessGraphicsCaptureWithoutBorder_ForceDenyTheseApps
  • 支持日期:至少Windows Server 2016 Windows 10
  • 设置值:-

此策略设置指定 Windows 应用是否可以关闭屏幕截图边框。 可以通过指定包系列名称来指定所有应用的默认设置或按应用设置。 可以使用 Get-AppPackage Windows PowerShell cmdlet 获取应用的包系列名称。 每应用设置将替代默认设置。

  • “用户处于控制”选项中 :组织中的员工可以使用设备上的“设置隐私” > 来决定 Windows 应用是否可以关闭屏幕截图边框。
  • “强制允许” 选项:允许 Windows 应用关闭屏幕截图边框,并且组织中的员工无法更改它。
  • 强制拒绝 选项:不允许 Windows 应用关闭屏幕截图边框,并且组织中的员工无法更改它。

如果你关闭或不配置此策略设置,则组织中的员工可以通过在设备上使用“设置隐私” > 来决定 Windows 应用是否可以关闭屏幕截图边框。

如果应用在设备上应用此组策略对象时处于打开状态,则员工必须重启应用或设备,才能将策略更改应用到该应用。

Taskbar.admx

  • 位置:计算机
  • 策略路径: Windows Components\Chat
  • 策略设置名称:配置任务栏上的聊天图标
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows\Windows Chat!ChatIcon
  • 支持日期:至少Windows Server 2016 Windows 10
  • 设置值:-

使用此策略设置,可以在任务栏上配置“聊天”图标。

  • 如果启用此策略设置并将其设置为 “显示”,则默认情况下,任务栏上会显示“聊天”图标。 用户可以在“设置”中显示或隐藏它。
  • 如果启用此策略设置并将其设置为 “隐藏”,则默认情况下会隐藏聊天图标。 用户可以在“设置”中显示或隐藏它。
  • 如果打开此策略设置并将其设置为 “已禁用”,则不会显示“聊天”图标,并且用户无法在“设置”中显示或隐藏它。
  • 如果关闭或未配置此策略设置,则会根据 Windows 版本的默认值配置聊天图标。

CloudContent.admx

  • 位置:计算机
  • 策略路径: Windows Components\Cloud Content
  • 策略设置名称:关闭云使用者帐户状态内容
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows\CloudContent!DisableConsumerAccountStateContent
  • 支持日期:至少Windows Server 2016 Windows 10版本 1909
  • 设置值:-

此策略设置允许关闭所有 Windows 体验中的云使用者帐户状态内容。

  • 如果启用此策略,使用云使用者帐户状态内容客户端组件的 Windows 体验会显示默认回退内容。
  • 如果关闭或未配置此策略,Windows 体验可以使用云使用者帐户状态内容。

DataCollection.admx (禁用 OneSettings 下载)

  • 位置:计算机
  • 策略路径: Windows Components\Data Collection and Preview Builds
  • 策略设置名称:禁用 OneSettings 下载
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows\DataCollection!DisableOneSettingsDownloads
  • 支持日期:至少Windows Server 2016 Windows 10版本 1909
  • 设置值:-

此策略设置控制 Windows 是否尝试与 OneSettings 服务连接。

  • 如果启用此策略,Windows 不会尝试与 OneSettings 服务连接。
  • 如果关闭或未配置此策略设置,Windows 会定期尝试与 OneSettings 服务连接以下载配置设置。

DataCollection.admx (启用 OneSettings 审核)

  • 位置:计算机
  • 策略路径: Windows Components\Data Collection and Preview Builds
  • 策略设置名称:启用 OneSettings 审核
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows\DataCollection!EnableOneSettingsAuditing
  • 支持日期:至少Windows Server 2016 Windows 10版本 1909
  • 设置值:-

此策略设置控制 Windows 记录是否尝试通过 OneSettings 服务连接到 EventLog。

  • 如果启用此策略,Windows 会记录尝试通过 OneSettings 服务连接到 Microsoft\Windows\Privacy-Auditing\Operational EventLog 通道。
  • 如果关闭或未配置此策略设置,Windows 不会记录使用 OneSettings 服务连接到 EventLog 的尝试。

DataCollection.admx (限制诊断日志收集)

  • 位置:计算机
  • 策略路径: Windows Components\Data Collection and Preview Builds
  • 策略设置名称:限制诊断日志收集
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows\DataCollection!LimitDiagnosticLogCollection
  • 支持日期:至少Windows Server 2016 Windows 10版本 1909
  • 设置值:-

当需要更多信息来排查设备上的问题时,此策略设置控制是否收集更多诊断日志。 仅当设备配置为发送可选诊断数据时,才会发送诊断日志。

  • 如果启用此策略设置,则不会收集诊断日志。
  • 如果关闭或未配置此策略设置,如果设备已配置为发送可选诊断数据,我们可能会收集诊断日志。

DataCollection.admx (限制转储收集)

  • 位置:计算机
  • 策略路径: Windows Components\Data Collection and Preview Builds
  • 策略设置名称:限制转储集合
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows\DataCollection!LimitDumpCollection
  • 支持日期:至少Windows Server 2016 Windows 10版本 1909
  • 设置值:-

此策略设置限制在需要更多信息来排查问题时可以收集的转储类型。 仅当设备配置为发送可选诊断数据时,才会发送转储。

  • 如果启用此设置,Windows 错误报告仅限于发送内核微型转储和用户模式会审转储。
  • 如果关闭或未配置此策略设置,如果用户选择发送可选诊断数据,我们可能会收集完整转储或堆转储。

Sensors.admx (强制即时锁定)

  • 位置:计算机
  • 策略路径: Windows Components\Human Presence
  • 策略设置名称:强制即时锁定
  • 注册表信息: HKLM\Software\Policies\Microsoft\HumanPresence!ForceInstantLock; HKLM\Software\Policies\Microsoft\HumanPresence!ForceInstantLock
  • 支持日期:至少Windows 10
  • 设置值:-

确定“离开锁定”是否由 MDM 策略强制打开/关闭。 用户无法更改此设置,并且用户体验中的切换开关灰显。

Sensors.admx (强制即时唤醒)

  • 位置:计算机
  • 策略路径: Windows Components\Human Presence
  • 策略设置名称:强制即时唤醒
  • 注册表信息: HKLM\Software\Policies\Microsoft\HumanPresence!ForceInstantWake; HKLM\Software\Policies\Microsoft\HumanPresence!ForceInstantWake
  • 支持日期:至少Windows 10
  • 设置值:-

确定 MDM 策略是否强制打开/关闭到达时唤醒。 用户无法更改此设置,并且用户体验中的切换开关灰显。

Sensors.admx (锁定超时)

  • 位置:计算机
  • 策略路径: Windows Components\Human Presence
  • 策略设置名称:锁定超时
  • 注册表信息: HKLM\Software\Policies\Microsoft\HumanPresence!ForceLockTimeout
  • 支持日期:至少Windows 10
  • 设置值:-

确定 MDM 策略强制在离开时锁定的超时。 用户无法更改此设置,并且用户体验中的切换开关灰显。

inetres.admx

  • 位置:计算机
  • 策略路径: Windows Components\Internet Explorer
  • 策略设置名称:通过 MSHTML/WebOC 加载 JScript9Legacy 来替换 JScript。
  • 注册表信息: HKLM\Software\Policies\Microsoft\Internet Explorer\Main!JScriptReplacement
  • 支持日期:至少 Internet Explorer 11.0
  • 设置值:-

此策略设置指定是否为基于 MSHTML/WebOC 的调用加载 JScript 或 JScript9Legacy。 如果启用此策略设置, JScript9Legacy 则会在实例化 JScript 的情况下加载 。 如果关闭或未配置此策略,则使用 JScript。

WindowsDefender.admx (配置计划任务时间随机化窗口)

  • 位置:计算机
  • 策略路径:Windows 组件\Microsoft Defender防病毒
  • 策略设置名称:配置计划任务时间随机化窗口
  • 注册表信息:
    • HKLM\Software\Policies\Microsoft\Windows Defender!SchedulerRandomizationTime
    • HKLM\Software\Policies\Microsoft\Windows Defender!SchedulerRandomizationTime
  • 支持日期:至少Windows Server 2012 Windows 8或Windows RT
  • 设置值:-

通过此策略设置,可以配置计划的扫描开始时间和计划的安全智能更新开始时间窗口 () 数小时。

  • 如果关闭或未配置此设置,计划任务将在指定开始时间之后的 4 小时内随机开始。
  • 如果启用此设置,则必须选择一个随机窗口(以小时为单位)。 可能的随机窗口间隔介于 1 到 23 小时之间。 |

WindowsDefender.admx (定义用于复制支持日志文件的目录路径)

  • 位置:计算机
  • 策略路径: Windows Components\Microsoft Defender Antivirus
  • 策略设置名称:定义用于复制支持日志文件的目录路径
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows Defender!SupportLogLocation
  • 支持的版本:至少Windows Server 2016 Windows 10版本 1607
  • 设置值:-

此策略设置允许配置将支持日志文件复制到的目录路径。 此设置的值应为有效的目录路径。

  • 如果启用此设置,则支持日志文件将复制到指定的支持日志位置路径。
  • 如果禁用或未配置此设置,则不会将支持日志文件复制到任何位置。

WindowsDefender.admx (定义设备控制策略组)

  • 位置:计算机
  • 策略路径: Windows Components\Microsoft Defender Antivirus\Device Control
  • 策略设置名称:定义设备控制策略组
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows Defender\Device Control\Policy Groups!PolicyGroups
  • 支持日期:未知
  • 设置值:-

按照设备控制策略组 xml 架构填写策略组数据。

WindowsDefender.admx (定义设备控制策略规则)

  • 位置:计算机
  • 策略路径: Windows Components\Microsoft Defender Antivirus\Device Control
  • 策略设置名称:定义设备控制策略规则
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows Defender\Device Control\Policy Rules!PolicyRules
  • 支持日期:未知
  • 设置值:-

按照设备控制策略组 xml 架构填写策略组数据。

WindowsDefender.admx (IP 地址排除)

  • 位置:计算机
  • 策略路径: Windows Components\Microsoft Defender Antivirus\Exclusions
  • 策略设置名称:IP 地址排除
  • 注册表信息:
    • HKLM\Software\Policies\Microsoft\Windows Defender\Exclusions!Exclusions_IpAddresses
    • HKLM\Software\Policies\Microsoft\Windows Defender\Exclusions\IpAddresses
  • 支持日期:至少Windows Server 2016 Windows 10版本 1709
  • 设置值:-

允许管理员显式禁用对一组特定 IP 地址进行的 wdnisdrv 网络数据包检查。

WindowsDefender.admx (控制是否可以在 Windows Server 上将网络保护配置为阻止模式或测试模式)

  • 位置:计算机
  • 策略路径: Windows Components\Microsoft Defender Antivirus\Microsoft Defender Exploit Guard\Network Protection
  • 策略设置名称:控制是否可以在 Windows Server 上将网络保护配置为阻止模式或测试模式。
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection!AllowNetworkProtectionOnWinServer
  • 支持日期:至少Windows Server 2016 Windows 10版本 1709
  • 设置值: Disabled

此配置依赖于配置 EnableNetworkProtection 。 如果此配置为 false, EnableNetworkProtection 则忽略 ,否则网络保护在 Windows Server 上启动,具体取决于 的值 EnableNetworkProtection

  • 已禁用 (默认) 未配置禁用,无法在 Windows Server 上将网络保护配置为阻止或测试模式。
  • 已启用:管理员可以控制是否可以在 Windows Server 上将网络保护配置为阻止模式或测试模式。

WindowsDefender.admx (控制网络保护的数据报处理。)

  • 位置:计算机
  • 策略路径: Windows Components\Microsoft Defender Antivirus\Network Inspection System
  • 策略设置名称:控制网络保护的数据报处理。
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows Defender\NIS!DisableDatagramProcessing
  • 支持日期:至少Windows Server 2016 Windows 10版本 1709
  • 设置值: Disabled

此配置依赖于配置 EnableNetworkProtection 。 如果此配置为 false, EnableNetworkProtection 则忽略 ,否则网络保护在 Windows Server 上启动,具体取决于 的值 EnableNetworkProtection

  • 已禁用 (默认) :如果未 配置禁用,则无法在 Windows Server 上将网络保护配置为阻止或测试模式。
  • 已启用:管理员可以控制是否可以在 Windows Server 上将网络保护配置为阻止模式或测试模式。

WindowsDefender.admx (打开脚本扫描)

  • 位置:计算机
  • 策略路径: Windows Components\Microsoft Defender Antivirus\Real-time Protection
  • 策略设置名称:启用脚本扫描
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection!DisableScriptScanning
  • 支持日期:至少Windows Server 2012 Windows 8或Windows RT
  • 设置值:-

此策略设置允许配置脚本扫描。

  • 如果打开或未配置此设置,则会启用脚本扫描。
  • 如果关闭此设置,则会禁用脚本扫描。

WindowsDefender.admx (允许Microsoft Defender防病毒通过按流量计费的连接进行更新和通信)

  • 位置:计算机
  • 策略路径: Windows Components\Microsoft Defender Antivirus\Security Intelligence Updates
  • 策略设置名称:允许Microsoft Defender防病毒通过按流量计费的连接进行更新和通信。
  • 注册表信息: HKLM\Software\Policies\Microsoft\Windows Defender\Signature Updates!MeteredConnectionUpdates
  • 支持日期:至少Windows Server 2012 Windows 8或Windows RT
  • 设置值: Disabled

设置选项:

  • 禁用 (默认) :不允许通过按流量计费的连接进行汇报和通信。
  • 已启用:允许托管设备通过按流量计费的连接进行更新。 可能会收取数据费用。

TerminalServer.admx (允许UI 自动化重定向)

  • 位置:计算机
  • 策略路径: Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection
  • 策略设置名称:允许UI 自动化重定向
  • 注册表信息: HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services!EnableUiaRedirection
  • 支持日期:未知
  • 设置值:-

此策略设置确定在本地计算机上运行的用户界面 (UI) 自动化客户端应用程序是否可以访问服务器上的 UI 元素。

UI 自动化:

  • 向程序提供对大多数 UI 元素的访问权限。 可以使用需要与 UI 交互才能正常工作的辅助技术产品,例如放大镜和讲述人。

  • 允许自动测试脚本与 UI 交互。 远程桌面会话当前不支持UI 自动化重定向。

  • 如果打开或未配置此策略设置,本地计算机上的任何UI 自动化客户端都可以与远程应用交互。 例如,可以使用本地计算机的“讲述人”和“放大镜”客户端与在远程会话中打开的网页上的 UI 进行交互。

  • 如果关闭此策略设置,则在本地计算机上运行的UI 自动化客户端无法与远程应用交互。

TerminalServer.admx (不允许位置重定向)

  • 位置:计算机
  • 策略路径: Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection
  • 策略设置名称:不允许位置重定向
  • 注册表信息: HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services!fDisableLocationRedir
  • 支持日期:未知
  • 设置值:-

通过此策略设置,可以控制在远程桌面服务会话中将位置数据重定向到远程计算机。 默认情况下,远程桌面服务允许重定向位置数据。

  • 如果启用此策略设置,则用户无法将其位置数据重定向到远程计算机。
  • 如果关闭或未配置此策略设置,用户可以将其位置数据重定向到远程计算机。 |

TenantRestrictions.admx

  • 位置:计算机
  • 策略路径: Windows Components\Tenant Restrictions
  • 策略设置名称:云策略详细信息
  • 注册表信息:
    • HKLM\SOFTWARE\Policies\Microsoft\Windows\TenantRestrictions\Payload!cloudid
    • HKLM\SOFTWARE\Policies\Microsoft\Windows\TenantRestrictions\Payload!tenantid
    • HKLM\SOFTWARE\Policies\Microsoft\Windows\TenantRestrictions\Payload!policyid
    • HKLM\SOFTWARE\Policies\Microsoft\Windows\TenantRestrictions\Payload!enforceFirewall
    • HKLM\SOFTWARE\Policies\Microsoft\Windows\TenantRestrictions\Payload!hostnames
    • HKLM\SOFTWARE\Policies\Microsoft\Windows\TenantRestrictions\Payload!subdomainSupportedHostnames
    • HKLM\SOFTWARE\Policies\Microsoft\Windows\TenantRestrictions\Payload!ipRanges
  • 支持日期:至少Windows 10版本 1909
  • 设置值:-

此设置为Microsoft Entra ID启用和配置基于设备的租户限制功能。 启用此设置时,根据Microsoft Entra租户中设置的策略,将阻止合规应用程序访问不允许的租户。

需要在主租户中创建策略,建议对托管设备采取更多安全措施,以获得最佳保护。

有关详细信息,请参阅在启用防火墙保护之前Microsoft Entra租户限制,以确保将正确标记应用程序的 Windows Defender 应用程序控制 (WDAC) 策略应用于目标设备。

在没有相应的 WDAC 策略的情况下启用防火墙保护可防止所有应用程序访问Microsoft终结点。 并非所有版本的 Windows 都支持此防火墙设置。 有关详细信息,请参阅 使用租户限制设置 WDAC |

NewsAndInterests.admx

  • 位置:计算机
  • 策略路径: Windows Components\Widgets
  • 策略设置名称:允许小组件
  • 注册表信息: HKLM\SOFTWARE\Policies\Microsoft\Dsh!AllowNewsAndInterests
  • 支持日期:至少Windows 10
  • 设置值:-

此策略指定是否允许在设备上使用小组件功能。 默认情况下,小组件处于打开状态,除非你在设置中更改此策略。 如果之前已打开此设置,除非将其关闭,否则它会自动保持打开状态。

Passport.admx

  • 位置:计算机
  • 策略路径: Windows Components\Windows Hello for Business
  • 策略设置名称:使用云信任进行本地身份验证
  • 注册表信息: HKLM\SOFTWARE\Policies\Microsoft\PassportForWork!UseCloudTrustForOnPremAuth
  • 支持日期:至少Windows 10
  • 设置值:-

使用此策略设置可将Windows Hello 企业版配置为使用 Microsoft Entra Kerberos 进行本地身份验证。

  • 如果打开此策略设置,Windows Hello 企业版使用从向 Azure 进行身份验证时检索到的 Kerberos 票证进行本地身份验证。
  • 如果关闭或未配置此策略设置,Windows Hello 企业版使用密钥或证书 (,具体取决于本地身份验证) 的其他策略设置。

同时启用此策略设置和使用Windows Hello 企业版策略设置的环境需要一个或多个Windows Server 2016域控制器。 否则,Windows Hello 企业版身份验证失败。

WindowsSandbox.admx (允许Windows 沙盒) 中的音频输入

  • 位置:计算机
  • 策略路径: Windows Components\Windows Sandbox
  • 策略设置名称:允许在Windows 沙盒中输入音频
  • 注册表信息: HKLM\SOFTWARE\Policies\Microsoft\Windows\Sandbox!AllowAudioInput
  • 支持日期:未知
  • 设置值:-

此策略设置打开或 ogg 音频输入到沙盒。

  • 如果启用此策略设置,Windows 沙盒可以接收来自用户的音频输入。 使用麦克风的应用程序可能需要此设置。
  • 如果关闭此策略设置,Windows 沙盒无法接收用户的音频输入。 使用麦克风的应用程序可能无法在此设置下正常工作。
  • 如果未配置此策略设置,则会启用音频输入。 向容器公开主机音频输入可能存在安全隐患。

WindowsSandbox.admx (允许与Windows 沙盒) 共享剪贴板

  • 位置:计算机
  • 策略路径: Windows Components\Windows Sandbox
  • 策略设置名称:允许使用 Windows 沙盒 共享剪贴板
  • 注册表信息: HKLM\SOFTWARE\Policies\Microsoft\Windows\Sandbox!AllowClipboardRedirection
  • 支持日期:未知
  • 设置值:-

此策略设置启用或禁用与沙盒的剪贴板共享。

  • 如果启用此策略设置,则允许在主机和Windows 沙盒之间复制和粘贴。
  • 如果关闭此策略设置,将限制复制和粘贴沙盒。
  • 如果未配置此策略设置,则会启用剪贴板共享。

WindowsSandbox.admx (允许Windows 沙盒) 中的网络

  • 位置:计算机
  • 策略路径: Windows Components\Windows Sandbox
  • 策略设置名称:允许Windows 沙盒中的网络
  • 注册表信息: HKLM\SOFTWARE\Policies\Microsoft\Windows\Sandbox!AllowNetworking
  • 支持日期:未知
  • 设置值: Disabled

此策略设置打开或关闭沙盒中的网络。 可以禁用网络访问,以减少沙盒公开的攻击面。

  • 如果启用此策略设置,则网络是通过在主机上创建虚拟交换机并通过虚拟 NIC 将Windows 沙盒连接到该交换机来完成的。 打开网络可能会向内部网络公开不受信任的应用程序。
  • 如果关闭此策略设置,则会在 Windows 沙盒 中禁用网络。 如果未配置此策略设置,则会启用网络。

WindowsSandbox.admx (允许与 Windows 沙盒) 共享打印机

  • 位置:计算机
  • 策略路径: Windows Components\Windows Sandbox
  • 策略设置名称:允许使用 Windows 沙盒 共享打印机
  • 注册表信息: HKLM\SOFTWARE\Policies\Microsoft\Windows\Sandbox!AllowPrinterRedirection
  • 支持日期:未知
  • 设置值: Disabled

此策略设置打开或关闭从主机到沙盒的打印机共享。

  • 如果启用此策略设置,主机打印机将共享到Windows 沙盒。
  • 如果关闭此策略设置,Windows 沙盒无法从主机查看打印机。
  • 如果未配置此策略设置,则禁用打印机重定向。

WindowsSandbox.admx (允许Windows 沙盒) 的 vGPU 共享

  • 位置:计算机
  • 策略路径: Windows Components\Windows Sandbox
  • 策略设置名称:允许Windows 沙盒的 vGPU 共享
  • 注册表信息: HKLM\SOFTWARE\Policies\Microsoft\Windows\Sandbox!AllowVGPU
  • 支持日期:未知
  • 设置值: Disabled

此策略设置打开或关闭虚拟化 GPU。

  • 如果启用此策略设置,则Windows 沙盒支持 vGPU。
  • 如果关闭此策略设置,Windows 沙盒使用比虚拟化 GPU 慢的软件呈现。
  • 如果未配置此策略设置,则会打开 vGPU。 启用虚拟化 GPU 可能会增加沙盒的攻击面。

WindowsSandbox.admx (允许Windows 沙盒) 中的视频输入

  • 位置:计算机
  • 策略路径: Windows Components\Windows Sandbox
  • 策略设置名称:允许在Windows 沙盒中输入视频
  • 注册表信息: HKLM\SOFTWARE\Policies\Microsoft\Windows\Sandbox!AllowVideoInput
  • 支持日期:未知
  • 设置: Disabled

此策略设置打开或关闭沙盒的视频输入。

  • 如果启用此策略设置,则会在 Windows 沙盒 中启用视频输入。
  • 如果关闭此策略设置,则会在Windows 沙盒中禁用视频输入。
  • 如果未配置此策略设置,则会禁用视频输入。 使用视频输入的应用程序在Windows 沙盒可能无法正常工作。 向容器公开主机视频输入可能存在安全隐患。

WindowsUpdate.admx

  • 位置:计算机
  • 策略路径: Windows Components\Windows Update\Manage updates offered from Windows Server Update Service
  • 策略设置名称:为特定 Windows 汇报类指定源服务
    • HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!UseUpdateClassPolicySource
    • HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetPolicyDrivenUpdateSourceForFeatureUpdates
    • HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetPolicyDrivenUpdateSourceForQualityUpdates
    • HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetPolicyDrivenUpdateSourceForDriverUpdates
    • HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetPolicyDrivenUpdateSourceForOtherUpdates
  • 支持日期:至少Windows Server 2016 Windows 10版本 2106
  • 设置值:-

启用此策略后,设备将接收从指定更新源列出的类的 Windows 更新:Windows 更新 或 Windows Server 更新服务。

若要从 Windows Server 更新服务接收任何更新,必须通过指定 Intranet Microsoft更新服务位置策略正确配置 Intranet Microsoft更新服务位置

  • 如果未配置或关闭此策略,设备将继续检测其他策略配置的更新。
  • 如果使用“不允许延迟策略导致针对Windows 更新扫描”策略,以确保设备仅针对指定的服务器进行扫描,建议改为配置此策略,或者配置该策略之外。