通过

Intune 中终结点安全性的攻击面减少策略设置

  • 项目

在作为终结点安全策略的一部分的 Intune 终结点安全节点中查看可在配置文件中为攻击面减少策略配置的设置。

应用于:

  • Windows 11
  • Windows 10

支持的平台和配置文件:

  • Windows 10 及更高版本 - 使用此平台策略部署到使用 Intune 管理的设备。

    • 配置文件: 应用和浏览器隔离
    • 配置文件: 应用程序控制
    • 配置文件: 攻击面减少规则
    • 配置文件: 设备控制
    • 配置文件: Exploit Protection
    • 配置文件: Web 保护 (Microsoft Edge 旧版)

  • Windows 10 及更高版本 (ConfigMgr) :使用此平台策略部署到由 Configuration Manager 管理的设备。

    • 配置文件: Exploit Protection (ConfigMgr) (预览版)
    • 配置文件: Web 保护 (ConfigMgr) (预览版)

  • Windows 10、Windows 11 和 Windows Server:使用此平台策略部署到通过 Microsoft Defender for Endpoint 安全管理管理的设备。

    • 配置文件: 攻击面减少规则

MDM) (攻击面减少

应用和浏览器隔离配置文件

注意

本部分详细介绍在 2023 年 4 月 18 日之前创建的应用和浏览器隔离配置文件中的设置。 在该日期之后创建的配置文件使用设置目录中的新设置格式。 通过此更改,你无法再创建旧配置文件的新版本,并且不再开发这些配置文件。 尽管无法再创建旧配置文件的新实例,但可以继续编辑和使用以前创建的实例。

对于使用新设置格式的配置文件,Intune 不再按名称维护每个设置的列表。 相反,Microsoft Intune 管理中心中看到的每个设置的名称、配置选项及其解释性文本直接取自设置权威内容。 该内容可以提供有关设置在其适当上下文中的使用的详细信息。 查看设置信息文本时,可以使用其 “了解详细信息” 链接打开该内容。

应用和浏览器隔离

  • 打开应用程序防护
    CSP: AllowWindowsDefenderApplicationGuard

    • 配置 (默认) - Microsoft Defender 应用程序防护未为 Microsoft Edge 或隔离的 Windows 环境配置。
    • 为 Edge 启用 - 应用程序防护会在 Hyper-V 虚拟化浏览容器中打开未经批准的站点。
    • 为隔离的 Windows 环境启用 - 为 Windows 中为应用防护启用的任何应用程序启用应用程序防护。
    • 为边缘和隔离的 Windows 环境启用 - 为这两种方案配置了应用程序防护。

    注意

    如果要通过 Intune 为 Microsoft Edge 部署应用程序防护,则必须将 Windows 网络隔离 策略配置为先决条件。 可以通过各种配置文件配置网络隔离,包括在 Windows 网络隔离设置下的应用和兄弟隔离。

    当设置为 “为 Edge 启用 ”或 “为边缘和独立 Windows 环境启用”时,以下设置适用于 Edge:

    • 剪贴板行为
      CSP: ClipboardSettings

      从本地电脑和应用程序防护虚拟浏览器选择允许的复制和粘贴操作。

      • 未配置 (默认)
      • 阻止在电脑和浏览器之间复制和粘贴
      • 仅允许从浏览器复制和粘贴到电脑
      • 仅允许从电脑复制和粘贴到浏览器
      • 允许在电脑和浏览器之间复制和粘贴

    • 阻止来自非企业批准的站点的外部内容
      CSP: BlockNonEnterpriseContent

      • 未配置 (默认)
      • - 阻止加载来自未经批准的网站的内容。

    • 收集应用程序防护浏览会话中发生的事件的日志
      CSP: AuditApplicationGuard

      • 未配置 (默认)
      • - 收集应用程序防护虚拟浏览会话中发生的事件的日志。

    • 允许保存用户生成的浏览器数据
      CSP: AllowPersistence

      • 未配置 (默认)
      • - 允许保存在应用程序防护虚拟浏览会话期间创建的用户数据。 用户数据的示例包括密码、收藏夹和 Cookie。

    • 启用硬件图形加速
      CSP: AllowVirtualGPU

      • 未配置 (默认)
      • - 在应用程序防护虚拟浏览会话中,使用虚拟图形处理单元更快地加载图形密集型网站。

    • 允许用户将文件下载到主机上
      CSP: SaveFilesToHost

      • 未配置 (默认)
      • - 允许用户将文件从虚拟化浏览器下载到主机操作系统。

    • 应用程序防护允许相机和麦克风访问
      CSP: AllowCameraMicrophoneRedirection

      • 未配置 (默认) - Microsoft Defender 应用程序防护中的应用程序无法访问用户设备上的相机和麦克风。
      • - Microsoft Defender 应用程序防护中的应用程序可以访问用户设备上的相机和麦克风。
      • - Microsoft Defender 应用程序防护中的应用程序无法访问用户设备上的相机和麦克风。 这与“ 未配置”的行为相同。

  • 应用程序防护允许打印到本地打印机

    • 未配置 (默认)
    • - 允许打印到本地打印机。

  • 应用程序防护允许打印到网络打印机

    • 未配置 (默认)
    • - 允许打印到网络打印机。

  • 应用程序防护允许打印为 PDF

    • 未配置 (默认)
    • - 允许打印为 PDF。

  • 应用程序防护允许打印到 XPS

    • 未配置 (默认)
    • - 允许打印到 XPS。

  • 应用程序防护允许从用户设备使用根证书颁发机构
    CSP: CertificateThumbprints

    配置证书指纹以自动将匹配的根证书传输到 Microsoft Defender 应用程序防护容器。

    若要一次添加一个指纹,请选择“ 添加”。 可以使用 Import 指定一个 .CSV 文件,该文件包含同时添加到配置文件的多个指纹条目。 使用 .CSV 文件时,每个指纹都必须用逗号分隔。 例如:b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

    配置文件中列出的所有条目都处于活动状态。 无需选中指纹条目的复选框即可将其激活。 请改用复选框来帮助你管理已添加到配置文件的条目。 例如,可以选中一个或多个证书指纹条目的复选框,然后通过单个操作从配置文件 中删除 这些条目。

  • Windows 网络隔离策略

    • 未配置 (默认)
    • - 配置 Windows 网络隔离策略。

    设置为 “是”时,可以配置以下设置:

    • IP 范围
      展开下拉列表,选择“ 添加”,然后指定 下级地址上限地址

    • 云资源
      展开下拉列表,选择“ 添加”,然后指定 IP 地址或 FQDN代理

    • 网络域
      展开下拉列表,选择“ 添加”,然后指定 “网络域”。

    • 代理服务器
      展开下拉列表,选择“ 添加”,然后指定 “代理服务器”。

    • 内部代理服务器
      展开下拉列表,选择“ 添加”,然后指定 “内部代理服务器”。

    • 中性资源
      展开下拉列表,选择“ 添加”,然后指定 “非特定资源”。

    • 禁用其他企业代理服务器的自动检测

      • 未配置 (默认)
      • - 禁用其他企业代理服务器的自动检测。

    • 禁用其他企业 IP 范围的自动检测

      • 未配置 (默认)
      • - 禁用其他企业 IP 范围的自动检测。

    注意

    创建配置文件后,应应用策略的任何设备都将启用 Microsoft Defender 应用程序防护。 用户可能必须重启其设备才能提供保护。

应用程序控制配置文件

Microsoft Defender 应用程序控制

  • 应用保险箱应用程序控制
    CSP: AppLocker

    • 未配置 (默认)
    • 强制实施组件和应用商店应用
    • 审核组件和应用商店应用
    • 强制实施组件、应用商店应用和 Smartlocker
    • 审核组件、应用商店应用和 Smartlocker

  • 阻止用户忽略 SmartScreen 警告
    CSP: SmartScreen/PreventOverrideForFilesInShell

    • 未配置 (默认) - 用户可以忽略文件和恶意应用的 SmartScreen 警告。
    • - SmartScreen 已启用,用户无法绕过文件或恶意应用的警告。

  • 打开 Windows SmartScreen
    CSP: SmartScreen/EnableSmartScreenInShell

    • 未配置 (默认) - 将设置返回到 Windows 默认值,即启用 SmartScreen,但用户可以更改此设置。 若要禁用 SmartScreen,请使用自定义 URI。
    • - 强制所有用户使用 SmartScreen。

攻击面减少规则配置文件

攻击面减少规则

若要详细了解攻击面减少规则,请参阅 Microsoft 365 文档中 的攻击面减少规则参考

注意

本部分详细介绍在 2022 年 4 月 5 日之前创建的“攻击面减少规则”配置文件中的设置。 在该日期之后创建的配置文件使用设置目录中的新设置格式。 通过此更改,你无法再创建旧配置文件的新版本,并且不再开发这些配置文件。 尽管无法再创建旧配置文件的新实例,但可以继续编辑和使用以前创建的实例。

对于使用新设置格式的配置文件,Intune 不再按名称维护每个设置的列表。 相反,Microsoft Intune 管理中心中看到的每个设置的名称、配置选项及其解释性文本直接取自设置权威内容。 该内容可以提供有关设置在其适当上下文中的使用的详细信息。 查看设置信息文本时,可以使用其 “了解详细信息” 链接打开该内容。

  • 通过 WMI 事件订阅阻止持久性
    使用攻击面减少规则减少攻击面

    此攻击面减少 (ASR) 规则通过以下 GUID 进行控制:e6db77e5-3df2-4cf1-b95a-636979351e5b

    此规则可防止恶意软件滥用 WMI 来达到设备上的持久性。 无文件威胁使用各种策略来保持隐藏状态,以避免在文件系统中被看到,并获得定期执行控制。 某些威胁可能会滥用 WMI 存储库和事件模型,使其保持隐藏状态。

    • 未配置 (默认) – 设置将返回到 Windows 默认值,这是关闭的,不会阻止持久性。
    • 阻止 - 阻止通过 WMI 保持持久性。
    • 审核– 评估此规则在启用(设置为"阻止")时对组织的影响。
    • 禁用 - 禁用此规则。 不阻止持久性。

    若要了解有关此设置的详细信息,请参阅 阻止通过 WMI 事件订阅暂留

  • 阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)
    保护设备免遭攻击

    此攻击面减少 (ASR) 规则通过以下 GUID 进行控制:9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • 未配置 (默认) - 设置将返回到 Windows 默认值(关闭)。
    • 用户定义
    • 启用 - 阻止通过 lsass.exe 窃取凭据的尝试。
    • 审核模式 - 不会阻止用户进入危险域,而是引发 Windows 事件。
    • 警告 - 对于 Windows 10 版本 1809 或更高版本和 Windows 11,设备用户会收到一条消息,指示他们可以绕过 设置的阻止 。 在运行早期版本的 Windows 10 的设备上,该规则强制实施 “启用” 行为。

  • 阻止 Adobe Reader 创建子进程
    使用攻击面减少规则减少攻击面

    此 ASR 规则通过以下 GUID 进行控制:7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

    • 未配置 (默认) - 还原 Windows 默认值,即不阻止创建子进程。
    • 用户定义
    • 启用 - 阻止 Adobe Reader 创建子进程。
    • 审核模式 - 引发 Windows 事件,而不是阻止子进程。
    • 警告 - 对于 Windows 10 版本 1809 或更高版本和 Windows 11,设备用户会收到一条消息,指示他们可以绕过 设置的阻止 。 在运行早期版本的 Windows 10 的设备上,该规则强制实施 “启用” 行为。

  • 阻止 Office 应用程序将代码注入其他进程
    保护设备免遭攻击

    此 ASR 规则通过以下 GUID 进行控制:75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • 未配置 (默认) - 设置将返回到 Windows 默认值(关闭)。
    • 阻止 - 阻止 Office 应用程序将代码注入其他进程。
    • 审核模式 - 引发 Windows 事件,而不是阻止。
    • 警告 - 对于 Windows 10 版本 1809 或更高版本和 Windows 11,设备用户会收到一条消息,指示他们可以绕过 设置的阻止 。 在运行早期版本的 Windows 10 的设备上,该规则强制实施 “启用” 行为。
    • 禁用 - 此设置已关闭。

  • 阻止 Office 应用程序创建可执行内容
    保护设备免遭攻击

    此 ASR 规则通过以下 GUID 进行控制:3B576869-A4EC-4529-8536-B80A7769E899

    • 未配置 (默认) - 设置将返回到 Windows 默认值(关闭)。
    • 阻止 - 阻止 Office 应用程序创建可执行内容。
    • 审核模式 - 引发 Windows 事件,而不是阻止。
    • 警告 - 对于 Windows 10 版本 1809 或更高版本和 Windows 11,设备用户会收到一条消息,指示他们可以绕过 设置的阻止 。 在运行早期版本的 Windows 10 的设备上,该规则强制实施 “启用” 行为。
    • 禁用 - 此设置已关闭。

  • 阻止所有 Office 应用程序创建子进程
    保护设备免遭攻击

    此 ASR 规则通过以下 GUID 进行控制:D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • 未配置 (默认) - 设置将返回到 Windows 默认值(关闭)。
    • 阻止 - 阻止 Office 应用程序创建子进程。
    • 审核模式 - 引发 Windows 事件,而不是阻止。
    • 警告 - 对于 Windows 10 版本 1809 或更高版本和 Windows 11,设备用户会收到一条消息,指示他们可以绕过 设置的阻止 。 在运行早期版本的 Windows 10 的设备上,该规则强制实施 “启用” 行为。
    • 禁用 - 此设置已关闭。

  • 阻止来自 Office 宏的 Win32 API 调用
    保护设备免遭攻击

    此 ASR 规则通过以下 GUID 进行控制:92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

    • 未配置 (默认) - 设置将返回到 Windows 默认值(关闭)。
    • 阻止 - 阻止 Office 宏使用 Win32 API 调用。
    • 审核模式 - 引发 Windows 事件,而不是阻止。
    • 警告 - 对于 Windows 10 版本 1809 或更高版本和 Windows 11,设备用户会收到一条消息,指示他们可以绕过 设置的阻止 。 在运行早期版本的 Windows 10 的设备上,该规则强制实施 “启用” 行为。
    • 禁用 - 此设置已关闭。

  • 阻止 Office 通信应用创建子进程
    保护设备免遭攻击

    此 ASR 规则通过以下 GUID 进行控制:26190899-1602-49e8-8b27-eb1d0a1ce869。

    • 未配置 (默认) - 还原 Windows 默认值,即不会阻止创建子进程。
    • 用户定义
    • 启用 - 阻止 Office 通信应用程序创建子进程。
    • 审核模式 - 引发 Windows 事件,而不是阻止子进程。
    • 警告 - 对于 Windows 10 版本 1809 或更高版本和 Windows 11,设备用户会收到一条消息,指示他们可以绕过 设置的阻止 。 在运行早期版本的 Windows 10 的设备上,该规则强制实施 “启用” 行为。

  • 阻止执行可能混淆的脚本 (js/vbs/ps)
    保护设备免遭攻击

    此 ASR 规则通过以下 GUID 进行控制:5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • 未配置 (默认) - 设置将返回到 Windows 默认值(关闭)。
    • 阻止 - Defender 阻止执行模糊处理脚本。
    • 审核模式 - 引发 Windows 事件,而不是阻止。
    • 警告 - 对于 Windows 10 版本 1809 或更高版本和 Windows 11,设备用户会收到一条消息,指示他们可以绕过 设置的阻止 。 在运行早期版本的 Windows 10 的设备上,该规则强制实施 “启用” 行为。
    • 禁用 - 此设置已关闭。

  • 阻止 JavaScript 或 VBScript 启动下载的可执行内容
    保护设备免遭攻击

    此 ASR 规则通过以下 GUID 进行控制:D3E037E1-3EB8-44C8-A917-57927947596D

    • 未配置 (默认) - 设置将返回到 Windows 默认值(关闭)。
    • 阻止 - Defender 阻止执行已从 Internet 下载的 JavaScript 或 VBScript 文件。
    • 审核模式 - 引发 Windows 事件,而不是阻止。
    • 禁用 - 此设置已关闭。

  • 阻止源自 PSExec 和 WMI 命令的进程创建
    保护设备免遭攻击

    此 ASR 规则通过以下 GUID 进行控制:d1e49aac-8f56-4280-b9ba-993a6d77406c

    • 未配置 (默认) - 设置将返回到 Windows 默认值(关闭)。
    • 阻止 - 阻止 PSExec 或 WMI 命令创建的进程。
    • 审核模式 - 引发 Windows 事件,而不是阻止。
    • 警告 - 对于 Windows 10 版本 1809 或更高版本和 Windows 11,设备用户会收到一条消息,指示他们可以绕过 设置的阻止 。 在运行早期版本的 Windows 10 的设备上,该规则强制实施 “启用” 行为。
    • 禁用 - 此设置已关闭。

  • 阻止从 USB 运行的不受信任和未签名的进程
    保护设备免遭攻击

    此 ASR 规则通过以下 GUID 进行控制:b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • 未配置 (默认) - 设置将返回到 Windows 默认值(关闭)。
    • 阻止 - 阻止从 U 盘运行的不受信任和未签名的进程。
    • 审核模式 - 引发 Windows 事件,而不是阻止。
    • 警告 - 对于 Windows 10 版本 1809 或更高版本和 Windows 11,设备用户会收到一条消息,指示他们可以绕过 设置的阻止 。 在运行早期版本的 Windows 10 的设备上,该规则强制实施 “启用” 行为。
    • 禁用 - 此设置已关闭。

  • 阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件
    保护设备免遭攻击

    此 ASR 规则通过以下 GUID 进行控制:01443614-cd74-433a-b99e-2ecdc07bfc25e

    • 未配置 (默认) - 设置将返回到 Windows 默认值(关闭)。
    • 阻止
    • 审核模式 - 引发 Windows 事件,而不是阻止。
    • 警告 - 对于 Windows 10 版本 1809 或更高版本和 Windows 11,设备用户会收到一条消息,指示他们可以绕过 设置的阻止 。 在运行早期版本的 Windows 10 的设备上,该规则强制实施 “启用” 行为。
    • 禁用 - 此设置已关闭。

  • 阻止从电子邮件和 Webmail 客户端下载可执行内容
    保护设备免遭攻击

    • 未配置 (默认) - 设置将返回到 Windows 默认值(关闭)。
    • 阻止 - 阻止从电子邮件和 Web 邮件客户端下载的可执行内容。
    • 审核模式 - 引发 Windows 事件,而不是阻止。
    • 警告 - 对于 Windows 10 版本 1809 或更高版本和 Windows 11,设备用户会收到一条消息,指示他们可以绕过 设置的阻止 。 在运行早期版本的 Windows 10 的设备上,该规则强制实施 “启用” 行为。
    • 禁用 - 此设置已关闭。

  • 使用针对勒索软件的高级防护
    保护设备免遭攻击

    此 ASR 规则通过以下 GUID 进行控制:c1db55ab-c21a-4637-bb3f-a12568109d35

    • 未配置 (默认) - 设置将返回到 Windows 默认值(关闭)。
    • 用户定义
    • Enable
    • 审核模式 - 引发 Windows 事件而不是阻止。

  • 启用文件夹保护
    CSP: EnableControlledFolderAccess

    • 未配置 (默认) - 此设置将返回其默认值,即不会阻止读取或写入。
    • 启用 - 对于不受信任的应用,Defender 阻止尝试修改或删除受保护文件夹中的文件,或写入磁盘扇区。 Defender 会自动确定可以信任的应用程序。 或者,可以定义自己的受信任应用程序列表。
    • 审核模式 - 当不受信任的应用程序访问受控文件夹时,将引发 Windows 事件,但不会强制实施任何阻止。
    • 阻止磁盘修改 - 仅阻止对磁盘扇区进行写入的尝试。
    • 审核磁盘修改 - 将引发 Windows 事件,而不是阻止写入磁盘扇区尝试。

  • 需要保护的其他文件夹列表
    CSP: ControlledFolderAccessProtectedFolders

    定义将受到不受信任的应用程序的保护的磁盘位置列表。

  • 有权访问受保护文件夹的应用列表
    CSP: ControlledFolderAccessAllowedApplications

    定义有权读取/写入受控位置的应用列表。

  • 从攻击面减少规则中排除文件和路径
    CSP: AttackSurfaceReductionOnlyExclusions

    展开下拉列表,然后选择“ 添加” ,定义要从攻击面减少规则中排除的文件或文件夹 的路径

设备控制配置文件

设备控制

注意

本部分详细介绍在 2022 年 5 月 23 日之前创建的“设备控制配置文件”中找到的设置。 在该日期之后创建的配置文件使用设置目录中的新设置格式。 虽然无法再创建原始配置文件的新实例,但可以继续编辑和使用现有配置文件。

对于使用新设置格式的配置文件,Intune 不再按名称维护每个设置的列表。 相反,Microsoft Intune 管理中心中看到的每个设置的名称、配置选项及其解释性文本直接取自设置权威内容。 该内容可以提供有关设置在其适当上下文中的使用的详细信息。 查看设置信息文本时,可以使用其 “了解详细信息” 链接打开该内容。

  • 允许按设备标识符安装硬件设备

    • 未配置 (默认)
    • - Windows 可以安装或更新其即插即用硬件 ID 或兼容 ID 显示在你创建的列表中的任何设备,除非其他策略设置专门阻止该安装。 如果在远程桌面服务器上启用此策略设置,该策略设置会影响从远程桌面客户端到远程桌面服务器的指定设备的重定向。

    设置为 “是” 时,可以配置以下选项:

    • 允许列表 - 使用 “添加”、“ 导入”“导出” 来管理设备标识符列表。

  • 按设备标识符阻止硬件设备安装
    CSP: AllowInstallationOfMatchingDeviceIDs

    • 未配置 (默认)
    • - 为禁止安装 Windows 的设备指定即插即用硬件 ID 和兼容 ID 的列表。 此策略优先于允许 Windows 安装设备的任何其他策略设置。 如果在远程桌面服务器上启用此策略设置,该策略设置会影响从远程桌面客户端到远程桌面服务器的指定设备的重定向。

    设置为 “是” 时,可以配置以下选项:

    • 删除匹配的硬件设备

      • 未配置 (默认)

    • 阻止列表 - 使用 “添加”、“ 导入”“导出” 管理设备标识符列表。

  • 允许按安装程序类安装硬件设备

    • 未配置 (默认)
    • - Windows 可以安装或更新其设备安装类 GUID 显示在你创建的列表中的设备驱动程序,除非其他策略设置专门阻止该安装。 如果在远程桌面服务器上启用此策略设置,该策略设置会影响从远程桌面客户端到远程桌面服务器的指定设备的重定向。

    设置为 “是” 时,可以配置以下选项:

    • 允许列表 - 使用 “添加”、“ 导入”“导出” 来管理设备标识符列表。

  • 按安装程序类阻止硬件设备安装
    CSP: AllowInstallationOfMatchingDeviceSetupClasses

    • 未配置 (默认)
    • - 指定设备安装程序类全局唯一标识符的列表, (GUID) 阻止 Windows 安装的设备驱动程序。 此策略设置优先于允许 Windows 安装设备的任何其他策略设置。 如果在远程桌面服务器上启用此策略设置,该策略设置会影响从远程桌面客户端到远程桌面服务器的指定设备的重定向。

    设置为 “是” 时,可以配置以下选项:

    • 删除匹配的硬件设备

      • 未配置 (默认)

    • 阻止列表 - 使用 “添加”、“ 导入”“导出” 管理设备标识符列表。

  • 允许按设备实例标识符安装硬件设备

    • 未配置 (默认)
    • - 允许 Windows 安装或更新其即插即用设备实例 ID 显示在你创建的列表中的任何设备,除非其他策略设置专门阻止该安装。 如果在远程桌面服务器上启用此策略设置,该策略设置会影响从远程桌面客户端到远程桌面服务器的指定设备的重定向。

    设置为 “是” 时,可以配置以下选项:

    • 允许列表 - 使用 “添加”、“ 导入”“导出” 来管理设备标识符列表。

  • 按设备实例标识符阻止硬件设备安装
    如果在远程桌面服务器上启用此策略设置,该策略设置会影响从远程桌面客户端到远程桌面服务器的指定设备的重定向。

    • 未配置 (默认)
    • - 为禁止安装 Windows 的设备指定即插即用硬件 ID 和兼容 ID 的列表。 此策略优先于允许 Windows 安装设备的任何其他策略设置。 如果在远程桌面服务器上启用此策略设置,该策略设置会影响从远程桌面客户端到远程桌面服务器的指定设备的重定向。

    设置为 “是” 时,可以配置以下选项:

    • 删除匹配的硬件设备

      • 未配置 (默认)

    • 阻止列表 - 使用 “添加”、“ 导入”“导出” 管理设备标识符列表。

  • 阻止对可移动存储的写入访问
    CSP: RemovableDiskDenyWriteAccess

    • 未配置 (默认)
    • - 拒绝对可移动存储的写入访问。
    • - 允许写入访问权限。

  • 在完全扫描期间扫描可移动驱动器
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • 未配置 (默认) - 设置将返回到客户端默认值,这将扫描可移动驱动器,但用户可以禁用此扫描。
    • - 在完全扫描期间,会扫描可移动驱动器 (,例如 U 盘) 。

  • 阻止直接内存访问
    CSP: DataProtection/AllowDirectMemoryAccess

    仅当启用 BitLocker 或设备加密时,才会强制实施此策略设置。

    • 未配置 (默认)
    • - 阻止所有热插拔 PCI 下游端口的直接内存访问 (DMA) ,直到用户登录到 Windows。 用户登录后,Windows 会枚举连接到主机插头 PCI 端口的 PCI 设备。 每次用户锁定计算机时,DMA 都会在热插拔 PCI 端口上被阻止,没有子设备,直到用户再次登录。 计算机解锁时已枚举的设备将继续运行,直到拔出。

  • 枚举与内核 DMA 保护不兼容的外部设备
    CSP: DmaGuard/DeviceEnumerationPolicy

    此策略可以针对支持外部 DMA 的设备提供额外的安全性。 它允许对支持外部 DMA 的设备枚举进行更多控制,这些设备与 DMA 重映射/设备内存隔离和沙盒不兼容。

    仅当系统固件支持并启用内核 DMA 保护时,此策略才会生效。 内核 DMA 保护是系统在制造时必须支持的一项平台功能。 若要检查系统是否支持内核 DMA 保护,请检查 MSINFO32.exe 的“摘要”页中的“内核 DMA 保护”字段。

    • 未配置 - (默认)
    • 全部阻止
    • 全部允许

  • 阻止蓝牙连接
    CSP: 蓝牙/AllowDiscoverableMode

    • 未配置 (默认)
    • - 阻止与设备之间的蓝牙连接。

  • 阻止蓝牙可发现性
    CSP: 蓝牙/AllowDiscoverableMode

    • 未配置 (默认)
    • - 阻止其他启用蓝牙的设备发现设备。

  • 阻止蓝牙预配对
    CSP: 蓝牙/AllowPrepairing

    • 未配置 (默认)
    • - 阻止特定蓝牙设备自动与主机设备配对。

  • 阻止蓝牙广告
    CSP: 蓝牙/允许广告

    • 未配置 (默认)
    • - 阻止设备发送蓝牙广告。

  • 阻止蓝牙近端连接
    CSP: 蓝牙/AllowPromptedProximalConnections 阻止用户使用 Swift Pair 和其他基于邻近的方案

    • 未配置 (默认)
    • - 阻止设备用户使用 Swift Pair 和其他基于邻近的方案。

    Bluetooth/AllowPromptedProximalConnections CSP

  • 允许的蓝牙服务
    CSP: Bluetooth/ServicesAllowedList
    有关服务列表的详细信息,请参阅 ServicesAllowedList 用法指南

    • 添加 - 将允许的蓝牙服务和配置文件指定为十六进制字符串,例如 {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}
    • 导入 - 导入包含蓝牙服务和配置文件列表(十六进制字符串)的 .csv 文件,例如 {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}

  • 可移动存储
    CSP: Storage/RemovableDiskDenyWriteAccess

    • 阻止 (默认) - 阻止用户对设备使用外部存储设备,例如 SD 卡。
    • 未配置

  • 仅) (HoloLens 的 USB 连接
    CSP: Connectivity/AllowUSBConnection

    • 阻止 - 阻止使用设备和计算机之间的 USB 连接来同步文件,或使用开发人员工具部署或调试应用程序。 USB 充电不受影响。
    • 未配置 (默认)

Exploit Protection 配置文件

漏洞保护

注意

本部分详细介绍可在 2022 年 4 月 5 日之前创建的 Exploit Protection 配置文件中找到的设置。 在该日期之后创建的配置文件使用设置目录中的新设置格式。 通过此更改,你无法再创建旧配置文件的新版本,并且不再开发这些配置文件。 尽管无法再创建旧配置文件的新实例,但可以继续编辑和使用以前创建的实例。

对于使用新设置格式的配置文件,Intune 不再按名称维护每个设置的列表。 相反,Microsoft Intune 管理中心中看到的每个设置的名称、配置选项及其解释性文本直接取自设置权威内容。 该内容可以提供有关设置在其适当上下文中的使用的详细信息。 查看设置信息文本时,可以使用其 “了解详细信息” 链接打开该内容。

  • 上传 XML
    CSP: ExploitProtectionSettings

    使 IT 管理员能够向组织中的所有设备推送表示所需系统和应用程序缓解选项的配置。 配置由 XML 文件表示。 攻击防护可帮助保护设备免受使用攻击进行传播和感染的恶意软件的侵害。 使用 Windows 安全应用或 PowerShell 创建一组缓解措施(称为配置)。 然后,可以将此配置导出为 XML 文件,并将其与网络上的多台计算机共享,以便它们具有相同的缓解设置集。 还可以将现有 EMET 配置 XML 文件转换为 exploit Protection 配置 XML 并将其导入到攻击保护配置 XML 中。

    选择 “选择 XML 文件”,指定 XML 文件上传,然后单击“ 选择”。

    • 未配置 (默认)

  • 阻止用户编辑 Exploit Guard 保护界面
    CSP: DisallowExploitProtectionOverride

    • 未配置 (默认) - 本地用户可以在 exploit Protection 设置区域中进行更改。
    • - 阻止用户更改 Microsoft Defender 安全中心内的 exploit Protection 设置区域。

Web 保护 (Microsoft Edge 旧版) 配置文件

Web 保护 (Microsoft Edge 旧版)

  • 启用网络保护
    CSP: EnableNetworkProtection

    • 配置 (默认) - 设置将返回到 Windows 默认值,该默认设置处于禁用状态。
    • 用户定义
    • 启用 - 为系统上的所有用户启用网络保护。
    • 审核模式 - 不会阻止用户进入危险域,而是引发 Windows 事件。

  • 需要用于 Microsoft Edge 的 SmartScreen
    CSP: Browser/AllowSmartScreen

    • - 使用 SmartScreen 保护用户免受潜在网络钓鱼欺诈和恶意软件的侵害。
    • 未配置 (默认)

  • 阻止恶意站点访问
    CSP: Browser/PreventSmartScreenPromptOverride

    • - 阻止用户忽略 Microsoft Defender SmartScreen 筛选器警告,并阻止他们访问站点。
    • 未配置 (默认)

  • 阻止未经验证的文件下载
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • - 阻止用户忽略 Microsoft Defender SmartScreen 筛选器警告,并阻止他们下载未经验证的文件。
    • 未配置 (默认)

攻击面减少 (ConfigMgr)

Exploit Protection (ConfigMgr) (Preview) 配置文件

Exploit Protection

  • 上传 XML
    CSP: ExploitProtectionSettings

    使 IT 管理员能够向组织中的所有设备推送表示所需系统和应用程序缓解选项的配置。 配置由 XML 文件表示。 攻击防护可帮助保护设备免受使用攻击进行传播和感染的恶意软件的侵害。 使用 Windows 安全应用或 PowerShell 创建一组缓解措施(称为配置)。 然后,可以将此配置导出为 XML 文件,并将其与网络上的多台计算机共享,以便它们具有相同的缓解设置集。 还可以将现有 EMET 配置 XML 文件转换为 exploit Protection 配置 XML 并将其导入到攻击保护配置 XML 中。

    选择 “选择 XML 文件”,指定 XML 文件上传,然后单击“ 选择”。

  • 不允许 Exploit Protection Override
    CSP: DisallowExploitProtectionOverride

    • 未配置 (默认)
    • (禁用) 本地用户可在 exploit Protection 设置区域中进行更改
    • (启用) 本地用户无法对 exploit Protection 设置区域进行更改

Web 防护 (ConfigMgr) (预览版) 配置文件

Web 保护

后续步骤

ASR 的终结点安全策略