策略 CSP - 安全性
AllowAddProvisioningPackage
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Security/AllowAddProvisioningPackage
指定是否允许运行时配置代理安装预配包。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许。 |
| 1 (默认) | 允许。 |
AllowManualRootCertificateInstallation
注意
此策略已弃用,可能会在将来的版本中删除。
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
❌ 专业版 ❌ 企业版 ❌ 教育版 ❌ Windows SE ❌ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Security/AllowManualRootCertificateInstallation
此策略已弃用。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许。 |
| 1 (默认) | 允许。 |
AllowRemoveProvisioningPackage
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Security/AllowRemoveProvisioningPackage
指定是否允许运行时配置代理删除预配包。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许。 |
| 1 (默认) | 允许。 |
AntiTheftMode
注意
此策略已弃用,可能会在将来的版本中删除。
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
不适用 | ✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Security/AntiTheftMode
此策略已弃用。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 已禁用。 |
| 1 (默认) | 已启用。 |
ClearTPMIfNotReady
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Security/ClearTPMIfNotReady
此策略设置将系统配置为在检测到 TPM 处于“就绪”以外的任何状态时提示用户清除 TPM。 仅当系统的 TPM 处于“就绪”状态(包括 TPM 为“就绪,功能减少”)时,此策略才会生效。 仅在登录用户是系统的管理员组的一部分时,下次重新启动后才会开始提示清除 TPM。 提示可以消除,但在每次重新启动和登录后都会重新出现,直到策略被禁用或 TPM 处于“就绪”状态。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 不会强制从非就绪 TPM 状态恢复。 |
| 1 | 如果 TPM 处于非就绪状态,将提示清除 TPM, (或功能) 可通过 TPM 清除进行修正。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | ClearTPMIfNotReady_Name |
| 友好名称 | 将系统配置为清除 TPM(如果 TPM 未处于就绪状态)。 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 受信任的平台模块服务 |
| 注册表项名称 | Software\Policies\Microsoft\TPM |
| 注册表值名称 | ClearTPMIfNotReadyGP |
| ADMX 文件名 | TPM.admx |
ConfigureWindowsPasswords
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Security/ConfigureWindowsPasswords
为 Windows 功能配置密码的使用。
注意
此策略仅在 Windows 10 S 中受支持。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 2 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 将提升禁止密码 (非对称凭据,以替换 Windows 功能上的密码) 。 |
| 1 | 允许密码 (继续允许密码用于 Windows 功能) 。 |
| 2 (默认) | 根据 SKU 和设备功能。 Windows 10 S 设备将显示“不允许密码”默认值,所有其他设备将默认为“允许密码”) 。 |
PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
指定当设备加入Microsoft Entra时,是否允许在 OOBE 期间自动设备加密。
有关详细信息,请参阅 BitLocker 设备加密
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 已启用加密。 |
| 1 | 加密已禁用。 |
RecoveryEnvironmentAuthentication
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./User/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
./Device/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
此策略控制 RecoveryEnvironment 中管理员身份验证的要求。
验证过程:
若要验证此策略,检查刷新 (“保留我的文件”) 和重置 (“删除所有内容”) 是否需要在 Windows 恢复环境中 (WinRE) 中进行身份验证。
- 首先,在 WinRE 中启动一键重置 (PBR) 。 以管理员身份打开命令提示符并运行以下命令:
reagentc /boottore - 设备应重启到 WinRE。 在 WinRE 界面中,转到 “故障排除 ”,然后选择“ 重置此电脑”。 应看到两个选项:保留我的文件和删除所有内容。
- 选择“ 保留我的文件”选项。 查看身份验证行为。
- 选择后退箭头,然后选择 “删除所有内容”。 查看身份验证行为。
或者,可以执行重置选项,并在最终确认页上选择“ 取消 ”,而不是返回。 然后,它将返回到 main WinRE 接口。
下表显示了每个方案的策略设置的预期行为:
- ✔️ 它提示进行身份验证。
- ❌ 无需身份验证,它将继续使用重置选项。
| 策略 | 保留我的文件 | “删除所有内容” |
|---|---|---|
默认 (0) |
✔️ | ❌ |
RequireAuthentication“ (1) |
✔️ | ✔️ |
NoRequireAuthentication“ (2) |
❌ | ❌ |
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 当前) 行为。 |
| 1 | RequireAuthentication:管理员 RecoveryEnvironment 中的组件始终需要身份验证。 |
| 2 | NoRequireAuthentication:管理员 RecoveryEnvironment 中的组件不需要身份验证。 |
RequireDeviceEncryption
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Security/RequireDeviceEncryption
允许企业启用内部存储加密。 最受限制的值为 1。 重要事项。 如果已启用加密,则无法使用此策略将其关闭。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 不需要加密。 |
| 1 | 需要加密。 |
RequireProvisioningPackageSignature
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Security/RequireProvisioningPackageSignature
指定预配包是否必须具有由设备受信任的颁发机构签名的证书。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 非必需。 |
| 1 | 必需。 |
RequireRetrieveHealthCertificateOnBoot
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Security/RequireRetrieveHealthCertificateOnBoot
指定在设备启动或重新启动时,是否检索和发布 TCG 启动日志,以及从Microsoft Health证明服务获取或缓存加密或签名的运行状况证明报告, (HAS) 。 将此策略设置为 1 (必需) :通过验证设备是否具有 TPM 2,确定设备是否能够进行远程设备运行状况证明。 0. 通过允许设备提取和缓存数据来降低设备运行状况验证期间的延迟,从而提高设备的性能。
注意
建议在 MDM 注册后将此策略设置为“必需”。 最受限制的值为 1。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 非必需。 |
| 1 | 必需。 |