策略 CSP - 安全性

  • 项目

AllowAddProvisioningPackage

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 ✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10版本 1507 [10.0.10240] 及更高版本 
./Device/Vendor/MSFT/Policy/Config/Security/AllowAddProvisioningPackage

指定是否允许运行时配置代理安装预配包。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 不允许。
1 (默认) 允许。

AllowManualRootCertificateInstallation

注意

此策略已弃用,可能会在将来的版本中删除。

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 ❌ 专业版
❌ 企业版
❌ 教育版
❌ Windows SE
❌ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10版本 1507 [10.0.10240] 及更高版本 
./Device/Vendor/MSFT/Policy/Config/Security/AllowManualRootCertificateInstallation

此策略已弃用。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 不允许。
1 (默认) 允许。

AllowRemoveProvisioningPackage

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 ✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10版本 1507 [10.0.10240] 及更高版本 
./Device/Vendor/MSFT/Policy/Config/Security/AllowRemoveProvisioningPackage

指定是否允许运行时配置代理删除预配包。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 不允许。
1 (默认) 允许。

AntiTheftMode

注意

此策略已弃用,可能会在将来的版本中删除。

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 不适用 ✅Windows 10版本 1507 [10.0.10240] 及更高版本 
./Device/Vendor/MSFT/Policy/Config/Security/AntiTheftMode

此策略已弃用。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 已禁用。
1 (默认) 已启用。

ClearTPMIfNotReady

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 ✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10版本 1709 [10.0.16299] 及更高版本 
./Device/Vendor/MSFT/Policy/Config/Security/ClearTPMIfNotReady

此策略设置将系统配置为在检测到 TPM 处于“就绪”以外的任何状态时提示用户清除 TPM。 仅当系统的 TPM 处于“就绪”状态(包括 TPM 为“就绪,功能减少”)时,此策略才会生效。 仅在登录用户是系统的管理员组的一部分时,下次重新启动后才会开始提示清除 TPM。 提示可以消除,但在每次重新启动和登录后都会重新出现,直到策略被禁用或 TPM 处于“就绪”状态。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 不会强制从非就绪 TPM 状态恢复。
1 如果 TPM 处于非就绪状态,将提示清除 TPM, (或功能) 可通过 TPM 清除进行修正。

组策略映射:

名称
名称 ClearTPMIfNotReady_Name
友好名称 将系统配置为清除 TPM(如果 TPM 未处于就绪状态)。
位置 “计算机配置”
路径 系统 > 受信任的平台模块服务
注册表项名称 Software\Policies\Microsoft\TPM
注册表值名称 ClearTPMIfNotReadyGP
ADMX 文件名 TPM.admx

ConfigureWindowsPasswords

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 ✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10版本 1803 [10.0.17134] 及更高版本 
./Device/Vendor/MSFT/Policy/Config/Security/ConfigureWindowsPasswords

为 Windows 功能配置密码的使用。

注意

此策略仅在 Windows 10 S 中受支持。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 2

允许的值:

描述
0 将提升禁止密码 (非对称凭据,以替换 Windows 功能上的密码) 。
1 允许密码 (继续允许密码用于 Windows 功能) 。
2 (默认) 根据 SKU 和设备功能。 Windows 10 S 设备将显示“不允许密码”默认值,所有其他设备将默认为“允许密码”) 。

PreventAutomaticDeviceEncryptionForAzureADJoinedDevices

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 ✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10版本 1607 [10.0.14393] 及更高版本 
./Device/Vendor/MSFT/Policy/Config/Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices

指定当设备加入Microsoft Entra时,是否允许在 OOBE 期间自动设备加密。

有关详细信息,请参阅 BitLocker 设备加密

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 已启用加密。
1 加密已禁用。

RecoveryEnvironmentAuthentication

范围 版本 适用的操作系统
✅ 设备
✅ 用户		 ✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10 版本 1809 [10.0.17763] 及更高版本 
./User/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication

./Device/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication

此策略控制 RecoveryEnvironment 中管理员身份验证的要求。

验证过程

若要验证此策略,检查刷新 (“保留我的文件”) 和重置 (“删除所有内容”) 是否需要在 Windows 恢复环境中 (WinRE) 中进行身份验证。

  1. 首先,在 WinRE 中启动一键重置 (PBR) 。 以管理员身份打开命令提示符并运行以下命令: reagentc /boottore
  2. 设备应重启到 WinRE。 在 WinRE 界面中,转到 “故障排除 ”,然后选择“ 重置此电脑”。 应看到两个选项:保留我的文件和删除所有内容
  3. 选择“ 保留我的文件”选项。 查看身份验证行为。
  4. 选择后退箭头,然后选择 “删除所有内容”。 查看身份验证行为。

或者,可以执行重置选项,并在最终确认页上选择“ 取消 ”,而不是返回。 然后,它将返回到 main WinRE 接口。

下表显示了每个方案的策略设置的预期行为:

  • ✔️ 它提示进行身份验证。
  • ❌ 无需身份验证,它将继续使用重置选项。
策略 保留我的文件 “删除所有内容”
默认 (0) ✔️
RequireAuthentication“ (1) ✔️ ✔️
NoRequireAuthentication“ (2)

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 当前) 行为。
1 RequireAuthentication:管理员 RecoveryEnvironment 中的组件始终需要身份验证。
2 NoRequireAuthentication:管理员 RecoveryEnvironment 中的组件不需要身份验证。

RequireDeviceEncryption

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 ✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10版本 1607 [10.0.14393] 及更高版本 
./Device/Vendor/MSFT/Policy/Config/Security/RequireDeviceEncryption

允许企业启用内部存储加密。 最受限制的值为 1。 重要事项。 如果已启用加密,则无法使用此策略将其关闭。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 不需要加密。
1 需要加密。

RequireProvisioningPackageSignature

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 ✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10版本 1507 [10.0.10240] 及更高版本 
./Device/Vendor/MSFT/Policy/Config/Security/RequireProvisioningPackageSignature

指定预配包是否必须具有由设备受信任的颁发机构签名的证书。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 非必需。
1 必需。

RequireRetrieveHealthCertificateOnBoot

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 ✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10版本 1507 [10.0.10240] 及更高版本 
./Device/Vendor/MSFT/Policy/Config/Security/RequireRetrieveHealthCertificateOnBoot

指定在设备启动或重新启动时,是否检索和发布 TCG 启动日志,以及从Microsoft Health证明服务获取或缓存加密或签名的运行状况证明报告, (HAS) 。 将此策略设置为 1 (必需) :通过验证设备是否具有 TPM 2,确定设备是否能够进行远程设备运行状况证明。 0. 通过允许设备提取和缓存数据来降低设备运行状况验证期间的延迟,从而提高设备的性能。

注意

建议在 MDM 注册后将此策略设置为“必需”。 最受限制的值为 1。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 非必需。
1 必需。

策略配置服务提供程序