本文為 Microsoft Intune 本地 AI 代理基準線 - OpenClaw 安全基準中可用的設定參考資料。
此基準限制未經授權的本地 AI 代理程式(如 OpenClaw)的使用,透過設定裝置設定干擾常用執行路徑。 內建的防火牆規則限制了來自常見本地代理執行環境(如 Node.js)的外發網路通訊。
重要事項
這些設定可能無法完全阻擋所有代理執行路徑。 此基準包含限制執行環境的控制, (例如Windows 子系統 Linux 版與 Node.js) ,這些可被本地代理利用。 這個基準線也可能阻擋除了 OpenClaw 以外的其他程序。 部署前檢查並測試每個設定,並關閉對合法工作負載造成不可接受影響的設定。
提示
在部署此基準線前,要識別已安裝本地 AI 代理的裝置,請使用 屬性目錄 收集 本地 AI 代理 的庫存資料。
關於本參考文章
每個安全基準是一組預先設定好的 Windows 設定,幫助你套用並執行相關安全團隊建議的細緻安全設定。 你也可以自訂每個部署的基線,只強制執行你所需的設定和數值。 當你在 Intune 建立安全基準設定檔時,你是在建立一個包含多個裝置設定的範本。
本文顯示:
- 每個設定的清單及其設定,依據該基準版本的預設實例。
- 若有,CSP) (相關產品群組的文件或其他相關內容,提供背景及可能的額外設定細節, CSP 底層設定服務提供者的連結。
當基線的新版本可用時,會取代先前的版本。 在新版本尚未推出之前建立的設定檔實例:
- 成為唯讀。 你可以繼續使用那些設定檔,但無法編輯它們來更改設定。
- 可以更新到目前的版本。 當你將設定檔更新到目前的基準版本後,可以編輯設定檔來修改設定。
想了解更多使用安全基線的方法,請參見:
本地 AI 代理基線 - OpenClaw (預覽版) ,版本 1
Windows 子系統 for Linux
防火牆
防火牆規則名稱
基準預設: 已設定
深入了解此基準包含兩條預先設定的防火牆規則。 這兩條規則都阻擋了 Node.js 執行檔的 TCP 外站連線,以干擾 OpenClaw 常用的執行路徑。
規則:封鎖 LOCALAPPDATA 資料夾中的 nodejs
Property 預設值 Enabled Enabled 名稱 LOCALAPPDATA 資料夾中的 block nodejs 介面類型 全部 檔案路徑 %LOCALAPPDATA%\Programs\node\node.exe網路類型 FW_PROFILE_TYPE_ALL 方向 該規則適用於出站貨運 動作 封鎖 Protocol (通訊協定) 配置 - 6 個 (TCP) 規則:封鎖 ProgramFiles 資料夾中的 nodejs
Property 預設值 Enabled Enabled 名稱 ProgramFiles 資料夾中的 block nodejs 介面類型 全部 檔案路徑 %ProgramFiles%\nodejs\node.exe網路類型 FW_PROFILE_TYPE_ALL 方向 該規則適用於出站貨運 動作 封鎖 Protocol (通訊協定) 配置 - 6 個 (TCP) 關於防火牆規則屬性的詳細資訊,請參見 Firewall CSP - FirewallRules。