您可以透過 Intune Endpoint Protection 配置檔管理的 Windows 設定

發行項
07/30/2024

注意事項

Intune 可能支援比本文所列的設定更多的設定。並非所有設定都會記載，而且不會記載。若要查看您可以設定的設定，請建立裝置設定原則，然後選取 [ 設定目錄]。如需詳細資訊，請移至 [設定] 目錄。

Microsoft Intune 包含許多可協助保護裝置的設定。本文說明裝置設定 Endpoint Protection 範本中的設定。若要管理裝置安全性，您也可以使用端點安全策略，這會直接著重於裝置安全性的子集。若要設定 Microsoft Defender 防病毒軟體，請參閱 Windows 裝置限制或使用端點安全性防病毒軟體原則。

開始之前

建立 Endpoint Protection 裝置組態配置檔。

如需設定服務提供者 (CSP) 的詳細資訊，請參閱設定服務提供者參考。

Microsoft Defender 應用程式防護

針對 Microsoft Edge，Microsoft Defender 應用程式防護可保護您的環境不受貴組織信任的網站。使用應用程式防護時，不在隔離網路界限中的網站會在 Hyper-V 虛擬瀏覽會話中開啟。信任的月臺是由網路界限所定義，而網路界限是在裝置組態中設定。如需詳細資訊，請參閱在 Windows 裝置上建立網路界限。

應用程式防護僅適用於 64 位 Windows 裝置。使用此設定檔會安裝 Win32 元件來啟用應用程式防護。

應用程式防護
預設：未設定
應用程式防護 CSP： Settings/AllowWindowsDefenderApplicationGuard
- 啟用 Edge - 開啟此功能，以在 Hyper-V 虛擬化流覽容器中開啟不受信任的網站。
- 未設定 - 任何 (受信任和不受信任的網站) 都可以在裝置上開啟。
剪貼簿行為
預設：未設定
應用程式防護 CSP：設定/剪貼簿設定

選擇本機電腦與應用程式防護虛擬瀏覽器之間允許的複製和貼上動作。
- 未設定
- 只允許從電腦複製並貼到瀏覽器
- 只允許從瀏覽器複製並貼到電腦
- 允許在電腦和瀏覽器之間複製和貼上
- 封鎖電腦與瀏覽器之間的複製和貼上
剪貼簿內容
只有在 [剪貼簿行為 ] 設定為其中一個允許設定時，才能使用此設定。
預設：未設定
應用程式防護 CSP： Settings/ClipboardFileType

選取允許的剪貼簿內容。
- 未設定
- 文字
- Images
- 文字和影像
企業網站上的外部內容
預設：未設定
應用程式防護 CSP： Settings/BlockNonEnterpriseContent
- 封鎖 - 禁止來自未經核准網站的內容載入。
- 未設定 - 非企業網站可以在裝置上開啟。
從虛擬瀏覽器列印
預設：未設定
應用程式防護 CSP：設定/列印設定
- 允許 -允許從虛擬瀏覽器列印選取的內容。
- 未設定 停用所有列印功能。
當您允許列印時，接著可以設定下列設定：
- 列印類型 (的) 選取下列一或多個選項：
  - PDF
  - XPS
  - 本機印表機
  - 網路印表機
收集記錄
預設：未設定
應用程式防護 CSP： Audit/AuditApplicationGuard
- 允許 -收集應用程式防護瀏覽會話內所發生事件的記錄。
- 未設定 - 不要在瀏覽工作階段內收集任何記錄。
保留用戶產生的瀏覽器數據
預設：未設定
應用程式防護 CSP：設定/AllowPersistence
- 允許將用戶數據儲存 (，例如在 Application Guard 虛擬瀏覽會話期間建立的密碼、我的最愛和 Cookie) 。
- 未設定 當裝置重新啟動或使用者註銷時，捨棄使用者下載的檔案和數據。
圖形加速
預設：未設定
應用程式防護 CSP：設定/AllowVirtualGPU
- 啟用 - 透過取得虛擬圖形處理器的存取權，更快速地載入需要大量圖形的網站和視訊。
- 未設定 將裝置的 CPU 用於圖形;請勿使用虛擬圖形處理單位。
將檔案下載到主機檔系統
預設：未設定
應用程式防護 CSP： Settings/SaveFilesToHost
- 啟用 - 使用者可以從虛擬化瀏覽器將檔案下載到主機作業系統。
- 未設定 - 將檔案保留在本機裝置上，且不會將檔案下載到主機文件系統。

Windows 防火牆

通用設定

這些設定適用於所有網路類型。

檔傳輸通訊協定
預設：未設定
防火牆 CSP： MdmStore/Global/DisableStatefulFtp
- 封鎖 - 停用具狀態 FTP。
- 未設定 - 防火牆會進行具狀態的 FTP 篩選，以允許次要連線。
刪除前的安全性關聯空閒時間
預設： 未設定
防火牆 CSP： MdmStore/Global/SaIdleTime

以秒為單位指定空閒時間，之後就會刪除安全性關聯。
預先共用金鑰編碼
預設：未設定
防火牆 CSP： MdmStore/Global/PresharedKeyEncoding
- 啟用 - 使用 UTF-8 編碼預先聽過的金鑰。
- 未設定 - 使用本地儲存值編碼預先聽過的金鑰。
IPsec豁免
預設值： 已選取 0 個
防火牆 CSP： MdmStore/Global/IPsecExempt

選取下列一或多個要豁免 IPsec 的流量類型：
- 芳鄰探索 IPv6 ICMP 類型代碼
- ICMP
- 路由器探索 IPv6 ICMP 類型代碼
- IPv4 和 IPv6 DHCP 網路流量
證書吊銷清單驗證
預設：未設定
防火牆 CSP： MdmStore/Global/CRLcheck

選擇裝置如何驗證證書吊銷清單。選項包括：
- 停用CRL驗證
- 僅在撤銷的憑證上進行CRL驗證失敗
- 發生任何錯誤時，CRL 驗證失敗。
以機會方式比對每個金鑰模組的驗證集
預設：未設定
防火牆 CSP： MdmStore/Global/OpportunisticallyMatchAuthSetPerKM
- 使金鑰模組必須只忽略它們不支援的驗證套件。
- 未設定，如果金鑰模組不支援集合中指定的所有驗證套件，則必須忽略整個驗證集。
封包佇列
預設：未設定
防火牆 CSP： MdmStore/Global/EnablePacketQueue

指定如何針對 IPsec 信道閘道的加密接收和純文字轉送啟用接收端上的軟體調整。此設定會確認已保留封包順序。選項包括：
- 未設定
- 停用所有封包佇列
- 僅佇列輸入加密封包
- 解密后的佇列封包僅針對轉送執行
- 設定輸入和輸出封包

網路設定

下列設定會在本文中單次列出，但全部都適用於三種特定的網路類型：

網域 (工作場所) 網路
私人 (可探索) 網路
公用 (無法探索的) 網路

一般

Windows Firewall
預設：未設定
防火牆 CSP： EnableFirewall
- 啟用 - 開啟防火牆和進階安全性。
- 未設定 允許所有網路流量，不論任何其他原則設定為何。
隱形模式
預設：未設定
防火牆 CSP： DisableStealthMode
- 未設定
- 封鎖 - 防火牆無法在隱形模式下運作。封鎖隱形模式也可讓您封鎖 IPsec 安全封包豁免。
- 允許 - 防火牆會以隱形模式運作，有助於防止對探查要求的回應。
使用隱形模式的 IPsec 安全封包豁免
預設：未設定
防火牆 CSP： DisableStealthModeIpsecSecuredPacketExemption

如果 [隱形] 模式 設定為 [ 封鎖]，則會忽略此選項。
- 未設定
- 封鎖 - IPSec 安全封包不會收到豁免。
- 允許 - 啟用豁免。防火牆的隱形模式「不得」防止主計算機回應 IPsec 所保護的未經要求網路流量。
遮罩
預設：未設定
防火牆 CSP：受防護
- 未設定
- 封鎖 - 當 Windows 防火牆開啟且此設定設為 [ 封鎖] 時，不論其他原則設定為何，都會封鎖所有連入流量。
- 允許 - 當設定為 [允許] 時，會關閉此設定，並根據其他原則設定允許連入流量。
多播廣播的單播回應
預設：未設定
防火牆 CSP： DisableUnicastResponsesToMulticastBroadcast

一般而言，您不想要接收多播或廣播訊息的單播回應。這些回應可能表示拒絕服務 (DOS) 攻擊，或攻擊者嘗試探查已知的實時電腦。
- 未設定
- 封鎖 - 停用多播廣播的單播回應。
- 允許 - 允許多播廣播的單播回應。
輸入通知
預設：未設定
防火牆 CSP： DisableInboundNotifications
- 未設定
- 封鎖 - 隱藏當應用程式遭到封鎖而無法接聽埠時所要使用的通知。
- 允許 - 啟用此設定，而且當應用程式遭到封鎖而無法接聽埠時，可能會對用戶顯示通知。
輸出連線的預設動作
預設：未設定
防火牆 CSP： DefaultOutboundAction

設定防火牆在輸出連線上執行的默認動作。此設定會套用至 Windows 1809 版和更新版本。
- 未設定
- 封鎖 - 除非明確指定不要封鎖，否則預設防火牆動作不會在輸出流量上執行。
- 允許 - 在輸出連線上執行預設防火牆動作。
輸入連線的預設動作
預設：未設定
防火牆 CSP： DefaultInboundAction
- 未設定
- 封鎖 - 預設防火牆動作不會在輸入連線上執行。
- 允許 - 預設防火牆動作會在輸入連線上執行。

規則合併

來自本地存儲的授權應用程式 Windows 防火牆規則
預設：未設定
防火牆 CSP： AuthAppsAllowUserPrefMerge
- 未設定
- 封鎖 - 本地存儲中已授權的應用程式防火牆規則會被忽略且不會強制執行。
- 允許 - 選擇 [啟用 ] 在本地存儲中套用防火牆規則，以便辨識並強制執行這些規則。
來自本地存儲的全域埠 Windows 防火牆規則
預設：未設定
防火牆 CSP： GlobalPortsAllowUserPrefMerge
- 未設定
- 封鎖 - 會忽略並不會強制執行本地存儲中的全域埠防火牆規則。
- 允許 -套用本地存儲中要辨識和強制執行的全域埠防火牆規則。
來自本地存儲的 Windows 防火牆規則
預設：未設定
防火牆 CSP： AllowLocalPolicyMerge
- 未設定
- 封鎖 - 會忽略並不會強制執行來自本地存儲的防火牆規則。
- 允許 - 在本地存儲中套用要辨識和強制執行的防火牆規則。
來自本地存儲的 IPsec 規則
預設：未設定
防火牆 CSP： AllowLocalIpsecPolicyMerge
- 未設定
- 封鎖 - 不論架構版本和連線安全性規則版本為何，都會忽略並不會強制執行來自本地存儲的連線安全性規則。
- 允許 - 從本地存儲套用連線安全性規則，不論架構或連線安全性規則版本為何。

防火牆規則

您可以新增一或多個自定義防火牆規則。如需詳細資訊，請參閱為 Windows 裝置新增自定義防火牆規則。

自訂防火牆規則支援下列選項：

一般設定

名稱
預設值： 無名稱

指定規則的易記名稱。此名稱會出現在規則清單中，以協助您識別它。
描述
默認值： 無描述

提供規則的描述。
方向
預設：未設定
防火牆 CSP： FirewallRules/FirewallRuleName/Direction

指定此規則 是否適用於輸入或輸出流量。當設定為 [未設定] 時，規則會自動套用至輸出流量。
動作
預設：未設定
防火牆 CSP： FirewallRules/FirewallRuleName/Action 和 FirewallRules/FirewallRuleName/Action/Type

從 [ 允許] 或 [ 封鎖] 中選取。當設定為 [未設定] 時，規則預設為允許流量。
網路類型
預設值：已選取 0 個
防火牆 CSP： FirewallRules/FirewallRuleName/Profiles

選取此規則所屬的最多三種網路類型。選項包括網域、私人和公用。如果未選取任何網路類型，則規則會套用至這三種網路類型。

應用程式設定

應用程式 (的)
預設值：全部

控制應用程式或程序的連線。應用程式和程式可以透過 檔案路徑、 套件系列名稱或 服務名稱來指定：
- 套件系列名稱 – 指定套件系列名稱。若要尋找套件系列名稱，請使用PowerShell命令 Get-AppxPackage。
  防火牆 CSP： FirewallRules/FirewallRuleName/App/PackageFamilyName
- 檔案路徑 – 您必須指定用戶端裝置上應用程式的檔案路徑，它可以是絕對路徑或相對路徑。例如：C:\Windows\System\Notepad.exe 或 %WINDIR%\Notepad.exe。
  防火牆 CSP： FirewallRules/FirewallRuleName/App/FilePath
- Windows 服務 – 如果是服務，而不是傳送或接收流量的應用程式，請指定 Windows 服務簡短名稱。若要尋找服務簡短名稱，請使用 PowerShell 命令 Get-Service。
  防火牆 CSP： FirewallRules/FirewallRuleName/App/ServiceName
- 全部– 不需要設定

IP 位址設定

指定套用此規則的本機和遠端位址。

本機位址
預設：任何位址
防火牆 CSP： FirewallRules/FirewallRuleName/LocalPortRanges

選 取 [任何位址 ] 或 [指定的位址]。

當您使用 [指定的位址] 時，會將一或多個位址新增為規則所涵蓋的本機位址逗號分隔清單。有效的權杖包括：
- 針對任何本機位址使用星號*。如果您使用星號，它必須是您唯一使用的令牌。
- 使用子網掩碼或網路前置詞表示法來指定子網。如果未指定子網掩碼或網路前綴，則子網掩碼預設為 255.255.255.255。
- 有效的 IPv6 位址。
- IPv4 位址範圍格式為「起始位址 - 結束位址」，不包含空格。
- IPv6 位址範圍格式為「起始位址 - 結束位址」，不包含空格。
遠端位址
預設：任何位址
防火牆 CSP： FirewallRules/FirewallRuleName/RemoteAddressRanges

選 取 [任何位址 ] 或 [指定的位址]。

當您使用 [指定的位址] 時，您會新增一或多個位址作為規則所涵蓋的遠端位址逗號分隔清單。令牌不區分大小寫。有效的權杖包括：
- 針對任何遠端位址使用星號 “*”。如果您使用星號，它必須是您唯一使用的令牌。
- Defaultgateway
- DHCP
- DNS
- WINS
- Intranet windows 1809 版和更新版本的 (支援)
- RmtIntranet windows 1809 版和更新版本的 (支援)
- Internet windows 1809 版和更新版本的 (支援)
- Ply2Renders windows 1809 版和更新版本的 (支援)
- LocalSubnet 表示本機子網上的任何本機位址。
- 使用子網掩碼或網路前置詞表示法來指定子網。如果未指定子網掩碼或網路前綴，則子網掩碼預設為 255.255.255.255。
- 有效的 IPv6 位址。
- IPv4 位址範圍格式為「起始位址 - 結束位址」，不包含空格。
- IPv6 位址範圍格式為「起始位址 - 結束位址」，不包含空格。

埠和通訊協議設定

指定套用此規則的本機和遠端埠。

Protocol (通訊協定)
默認值：任何
防火牆 CSP： FirewallRules/FirewallRuleName/Protocol
從下列項目中選取，並完成任何必要的設定：
- 全部 – 沒有可用的設定。
- TCP – 設定本機和遠端埠。這兩個選項都支援 [所有埠] 或 [指定的埠]。使用逗號分隔清單輸入指定的埠。
  - 本機埠 - 防火牆 CSP： FirewallRules/FirewallRuleName/LocalPortRanges
  - 遠端埠 - 防火牆 CSP： FirewallRules/FirewallRuleName/RemotePortRanges
- UDP – 設定本機和遠端埠。這兩個選項都支援 [所有埠] 或 [指定的埠]。使用逗號分隔清單輸入指定的埠。
  - 本機埠 - 防火牆 CSP： FirewallRules/FirewallRuleName/LocalPortRanges
  - 遠端埠 - 防火牆 CSP： FirewallRules/FirewallRuleName/RemotePortRanges
- 自訂 – 指定從 0 到 255 的自訂 通訊協定 編號。

進階設定

介面類型
預設值：已選取 0 個
防火牆 CSP： FirewallRules/FirewallRuleName/InterfaceTypes

從下列選項中選取：
- 遠端存取
- 無線電
- 局域網路
只允許來自這些用戶的連線
預設值：未 指定清單時，所有使用者 (預設為所有使用)
防火牆 CSP： FirewallRules/FirewallRuleName/LocalUserAuthorizationList

為此規則指定授權的本機用戶清單。如果此規則套用至 Windows 服務，則無法指定授權使用者的清單。

Microsoft Defender SmartScreen 設定

Microsoft必須在裝置上安裝Edge。

適用於應用程式和檔案的SmartScreen
預設：未設定
SmartScreen CSP： SmartScreen/EnableSmartScreenInShell
- 未設定 - 停用 SmartScreen 的使用。
- 啟用 - 啟用 Windows SmartScreen 以執行檔案和執行應用程式。 SmartScreen 是雲端式反網路釣魚和反惡意代碼元件。
未驗證的檔案執行
預設：未設定
SmartScreen CSP： SmartScreen/PreventOverrideForFilesInShell
- 未設定 - 停用此功能，並允許使用者執行尚未驗證的檔案。
- 封鎖 - 防止終端使用者執行 Windows SmartScreen 尚未驗證的檔案。

Windows 加密

Windows 設定

加密裝置
預設：未設定
BitLocker CSP： RequireDeviceEncryption
- 需要 - 提示使用者啟用裝置加密。視 Windows 版本和系統設定而定，系統可能會詢問使用者：
  - 確認未啟用來自另一個提供者的加密。
  - 必須關閉 BitLocker 磁碟驅動器加密，然後重新開啟 BitLocker。
- 未設定
如果在其他加密方法作用中時開啟 Windows 加密，裝置可能會變得不穩定。

BitLocker 基底設定

基底設定是所有數據磁碟驅動器類型的通用 BitLocker 設定。這些設定會管理終端使用者可以跨所有數據磁碟驅動器類型修改的磁碟驅動器加密工作或組態選項。

其他磁碟加密的警告
預設：未設定
BitLocker CSP： AllowWarningForOtherDiskEncryption
- 封鎖 - 如果裝置上有另一個磁碟加密服務，請停用警告提示。
- 未設定 - 允許顯示其他磁碟加密的警告。
提示

若要在已加入 Entra 並執行 Windows 1809 或更新版本的 Microsoft 裝置上自動且無訊息地安裝 BitLocker，此設定必須設定為 [封鎖]。如需詳細資訊，請參閱在裝置上以無訊息方式啟用 BitLocker。

當設定為 [封鎖] 時，您可以接著設定下列設定：
- 允許標準使用者在Microsoft加入期間啟用加密
  此設定僅適用於Microsoft已加入 Entra (Azure ADJ) 裝置，且取決於先前的設定 Warning for other disk encryption。
  預設：未設定
  BitLocker CSP： AllowStandardUserEncryption
  - 允許 - (非系統管理員的標準使用者) 可以在登入時啟用 BitLocker 加密。
  - 未設定 ，只有系統管理員可以在裝置上啟用 BitLocker 加密。
提示

若要在已加入 Entra 並執行 Windows 1809 或更新版本Microsoft裝置上自動以無訊息方式安裝 BitLocker，此設定必須設定為 [允許]。如需詳細資訊，請參閱在裝置上以無訊息方式啟用 BitLocker。
設定加密方法
預設：未設定
BitLocker CSP： EncryptionMethodByDriveType
- 啟用 -設定作業系統、數據和卸載式磁碟驅動器的加密演算法。
- 未設定 - BitLocker 使用 XTS-AES 128 位作為預設加密方法，或使用任何安裝腳本所指定的加密方法。
當設定為 [啟用] 時，您可以設定下列設定：
- 操作系統磁碟驅動器的加密
  默認值：XTS-AES 128 位
  
  選擇作業系統磁碟驅動器的加密方法。建議您使用 XTS-AES 演算法。
  - AES-CBC 128-bit
  - AES-CBC 256-bit
  - XTS-AES 128 位
  - XTS-AES 256-bit
- 固定數據磁碟驅動器的加密
  預設值：AES-CBC 128 位
  
  選擇固定 (內建) 數據磁碟驅動器的加密方法。建議您使用 XTS-AES 演算法。
  - AES-CBC 128-bit
  - AES-CBC 256-bit
  - XTS-AES 128 位
  - XTS-AES 256-bit
- 抽取式數據磁碟驅動器的加密
  預設值：AES-CBC 128 位
  
  選擇抽取式數據磁碟驅動器的加密方法。如果卸載式磁碟驅動器與未執行 Windows 10/11 的裝置搭配使用，則建議您使用 AES-CBC 演算法。
  - AES-CBC 128-bit
  - AES-CBC 256-bit
  - XTS-AES 128 位
  - XTS-AES 256-bit

BitLocker OS 磁碟驅動器設定

這些設定特別適用於作業系統數據磁碟驅動器。

啟動時的其他驗證
預設：未設定
BitLocker CSP： SystemDrivesRequireStartupAuthentication
- 需要 - 設定電腦啟動的驗證需求，包括使用信賴平臺模組 (TPM) 。
- 未設定 - 只在具有 TPM 的裝置上設定基本選項。
當設定為 [ 需要] 時，您可以設定下列設定：
- 具有不相容 TPM 晶片的 BitLocker
  預設：未設定
  - 封鎖 - 當裝置沒有相容的 TPM 晶片時，停用 BitLocker 的使用。
  - 未設定 - 使用者可以使用 BitLocker，而不需要相容的 TPM 晶片。 BitLocker 可能需要密碼或啟動金鑰。
- 相容的 TPM 啟動
  默認值：允許 TPM
  
  設定是否允許、必要或不允許 TPM。
  - 允許 TPM
  - 不允許 TPM
  - 需要 TPM
- 相容的 TPM 啟動 PIN
  默認：允許使用 TPM 啟動 PIN
  
  選擇允許、不允許或要求搭配 TPM 晶片使用啟動 PIN。啟用啟動 PIN 需要終端用戶的互動。
  - 允許使用 TPM 啟動 PIN
  - 不允許使用 TPM 啟動 PIN
  - 需要搭配 TPM 的啟動 PIN
  提示
  
  若要在已加入 Entra 並執行 Windows 1809 或更新版本Microsoft裝置上自動且無訊息地安裝 BitLocker，此設定不得設定為 [需要搭配 TPM 啟動 PIN]。如需詳細資訊，請參閱在裝置上以無訊息方式啟用 BitLocker。
- 相容的 TPM 啟動金鑰
  預設：允許使用 TPM 的啟動金鑰
  
  選擇允許、不允許或要求搭配 TPM 晶片使用啟動金鑰。啟用啟動金鑰需要終端用戶的互動。
  - 使用 TPM 允許啟動金鑰
  - 不允許使用 TPM 的啟動金鑰
  - 需要使用 TPM 的啟動金鑰
  提示
  
  若要在已加入 Entra 並執行 Windows 1809 或更新版本Microsoft裝置上自動以無訊息方式安裝 BitLocker，此設定不得設定為 [需要使用 TPM 啟動密鑰]。如需詳細資訊，請參閱在裝置上以無訊息方式啟用 BitLocker。
- 相容的 TPM 啟動金鑰和 PIN
  默認：允許搭配 TPM 使用啟動金鑰和 PIN
  
  選擇允許、不允許或要求搭配 TPM 晶片使用啟動金鑰和 PIN。啟用啟動金鑰和 PIN 需要終端用戶的互動。
  - 允許搭配 TPM 使用啟動金鑰和 PIN
  - 不允許搭配 TPM 使用啟動金鑰和 PIN
  - 需要搭配 TPM 的啟動金鑰和 PIN
  提示
  
  若要在已加入 Entra 並執行 Windows 1809 或更新版本Microsoft裝置上自動以無訊息方式安裝 BitLocker，此設定不得設定為 [需要使用 TPM 啟動密鑰和 PIN]。如需詳細資訊，請參閱在裝置上以無訊息方式啟用 BitLocker。
PIN 長度下限
預設：未設定
BitLocker CSP： SystemDrivesMinimumPINLength
- 使設定 TPM 啟動 PIN 的最小長度。
- 未設定 - 使用者可以設定長度介於 6 到 20 位數之間的啟動 PIN。
當設定為 [啟用] 時，您可以設定下列設定：
- 最小字元數
  默認： 未設定 BitLocker CSP： SystemDrivesMinimumPINLength
  
  輸入啟動 PIN 所需的字元數，從 4-20 開始。
操作系統磁碟驅動器復原
預設：未設定
BitLocker CSP： SystemDrivesRecoveryOptions
- 啟用 - 控制當必要的啟動資訊無法使用時，受 BitLocker 保護的作業系統磁碟驅動器如何復原。
- 未設定 - 支援預設復原選項，包括 DRA。終端使用者可以指定復原選項。復原資訊不會備份至 AD DS。
當設定為 [啟用] 時，您可以設定下列設定：
- 憑證型數據復原代理程式
  預設：未設定
  - 封鎖 - 防止使用數據復原代理程式搭配受 BitLocker 保護的 OS 磁碟驅動器。
  - 未設定 - 允許數據復原代理程式與受 BitLocker 保護的作業系統磁碟驅動器搭配使用。
- 使用者建立修復密碼
  默認：允許 48 位數的修復密碼
  
  選擇是否允許、必要或不允許用戶產生 48 位數的修復密碼。
  - 允許48位數的修復密碼
  - 不允許 48 位數的修復密碼
  - 需要 48 位數的修復密碼
- 使用者建立修復金鑰
  默認：允許256位修復金鑰
  
  選擇是否允許、必要或不允許用戶產生256位修復金鑰。
  - 允許256位修復金鑰
  - 不允許256位修復金鑰
  - 需要256位修復金鑰
- BitLocker 安裝精靈中的復原選項
  預設：未設定
  - 封鎖 - 使用者無法查看及變更復原選項。設定為時
  - 未設定 - 用戶可以在開啟 BitLocker 時看到並變更復原選項。
- 將 BitLocker 復原資訊儲存至 Microsoft 識別符
  預設：未設定
  - 啟用 - 儲存 BitLocker 復原資訊以Microsoft Entra ID。
  - 未設定 - BitLocker 修復資訊不會儲存在 Microsoft Entra ID 中。
- 儲存至 Microsoft Entra ID 的 BitLocker 修復資訊
  默認：備份修復密碼和金鑰套件
  
  設定 BitLocker 復原資訊的哪些部分會儲存在 Microsoft Entra ID 中。從下列項目中選擇：
  - 備份修復密碼和金鑰套件
  - 僅備份復原密碼
- 用戶端驅動的復原密碼輪替
  預設：未設定
  BitLocker CSP： ConfigureRecoveryPasswordRotation
  
  此設定會使用 bootmgr 或 WinRE) ，在 OS 磁碟驅動器復原 (之後起始用戶端驅動的修復密碼輪替。
  - 尚未設定
  - 已停用金鑰輪替
  - 啟用金鑰輪替Microsoft加入 Entra deices
  - 啟用金鑰輪替Microsoft Entra ID 和已加入混合式的裝置
- 啟用 BitLocker 之前，請先將復原資訊儲存在 Microsoft Entra ID 中
  預設：未設定
  
  除非計算機成功將 BitLocker 修復資訊備份至 Microsoft Entra ID，否則防止使用者啟用 BitLocker。
  - 需要 - 除非 BitLocker 修復資訊成功儲存在 Microsoft Entra ID 中，否則停止使用者開啟 BitLocker。
  - 未設定 - 使用者可以開啟 BitLocker，即使復原資訊未成功儲存在 Microsoft Entra ID 中也一樣。
開機前復原訊息和 URL
預設：未設定
BitLocker CSP： SystemDrivesRecoveryMessage
- 啟用 -設定開機前金鑰修復畫面上顯示的訊息和 URL。
- 未設定 - 停用此功能。
當設定為 [啟用] 時，您可以設定下列設定：
- 開機前復原訊息
  預設：使用預設復原訊息和URL
  
  設定開機前復原訊息對用戶的顯示方式。從下列項目中選擇：
  - 使用預設復原訊息和 URL
  - 使用空白復原訊息和 URL
  - 使用自定義復原訊息
  - 使用自定義復原URL

BitLocker 固定數據磁碟驅動器設定

這些設定特別適用於固定數據磁碟驅動器。

未受 BitLocker 保護之固定數據磁碟驅動器的寫入存取權
預設：未設定
BitLocker CSP： FixedDrivesRequireEncryption
- 封鎖 - 為不受 BitLocker 保護的數據磁碟驅動器提供唯讀存取權。
- 未設定 - 根據預設，讀取和寫入未加密數據磁碟驅動器的存取權。
固定磁碟驅動器復原
預設：未設定
BitLocker CSP： FixedDrivesRecoveryOptions
- 啟用 - 控制當必要的啟動資訊無法使用時，受 BitLocker 保護的固定磁碟驅動器如何復原。
- 未設定 - 停用此功能。
當設定為 [啟用] 時，您可以設定下列設定：
- 數據復原代理程式
  預設：未設定
  - 封鎖 - 防止使用數據復原代理程式搭配受 BitLocker 保護的固定磁碟驅動器原則編輯器。
  - 未設定 - 可讓您搭配 BitLocker 保護的固定磁碟驅動器使用資料復原代理程式。
- 使用者建立修復密碼
  默認：允許 48 位數的修復密碼
  
  選擇是否允許、必要或不允許用戶產生 48 位數的修復密碼。
  - 允許48位數的修復密碼
  - 不允許 48 位數的修復密碼
  - 需要 48 位數的修復密碼
- 使用者建立修復金鑰
  默認：允許256位修復金鑰
  
  選擇是否允許、必要或不允許用戶產生256位修復金鑰。
  - 允許256位修復金鑰
  - 不允許256位修復金鑰
  - 需要256位修復金鑰
- BitLocker 安裝精靈中的復原選項
  預設：未設定
  - 封鎖 - 使用者無法查看及變更復原選項。設定為時
  - 未設定 - 用戶可以在開啟 BitLocker 時看到並變更復原選項。
- 將 BitLocker 復原資訊儲存至 Microsoft 識別符
  預設：未設定
  - 啟用 - 儲存 BitLocker 復原資訊以Microsoft Entra ID。
  - 未設定 - BitLocker 修復資訊不會儲存在 Microsoft Entra ID 中。
- 儲存至 Microsoft Entra ID 的 BitLocker 修復資訊
  默認：備份修復密碼和金鑰套件
  
  設定 BitLocker 復原資訊的哪些部分會儲存在 Microsoft Entra ID 中。從下列項目中選擇：
  - 備份修復密碼和金鑰套件
  - 僅備份復原密碼
- 啟用 BitLocker 之前，請先將復原資訊儲存在 Microsoft Entra ID 中
  預設：未設定
  
  除非計算機成功將 BitLocker 修復資訊備份至 Microsoft Entra ID，否則防止使用者啟用 BitLocker。
  - 需要 - 除非 BitLocker 修復資訊成功儲存在 Microsoft Entra ID 中，否則停止使用者開啟 BitLocker。
  - 未設定 - 使用者可以開啟 BitLocker，即使復原資訊未成功儲存在 Microsoft Entra ID 中也一樣。

BitLocker 抽取式數據磁碟驅動器設定

這些設定特別適用於卸載式數據磁碟驅動器。

未受 BitLocker 保護之抽取式數據磁碟驅動器的寫入許可權
預設：未設定
BitLocker CSP： RemovableDrivesRequireEncryption
- 封鎖 - 為不受 BitLocker 保護的數據磁碟驅動器提供唯讀存取權。
- 未設定 - 根據預設，讀取和寫入未加密數據磁碟驅動器的存取權。
當設定為 [啟用] 時，您可以設定下列設定：
- 對另一個組織中設定的裝置進行寫入存取
  預設：未設定
  - 封鎖 - 封鎖對另一個組織中所設定裝置的寫入存取。
  - 未設定 - 拒絕寫入存取。

Microsoft Defender 惡意探索防護

使用惡意探索保護來管理和減少員工所使用應用程式的攻擊面。

受攻擊面縮小

受攻擊面縮小規則有助於防止惡意代碼經常使用惡意代碼感染計算機的行為。

受攻擊面縮小規則

若要深入瞭解，請參閱適用於端點的 Microsoft Defender 檔中的受攻擊面縮小規則。

Intune 中受攻擊面縮小規則的合併行為：

受攻擊面縮小規則支持合併來自不同原則的設定，以建立每個裝置的原則超集。只會合並未發生衝突的設定，而發生衝突的設定不會新增至規則的超集。先前，如果兩個原則包含單一設定的衝突，這兩個原則都會標示為發生衝突，而且不會部署來自任一配置檔的設定。

受攻擊面縮小規則合併行為如下：

下列設定檔中的受攻擊面縮小規則會針對套用規則的每個裝置進行評估：
- 裝置 > 設定原則 > 端點保護配置檔 > Microsoft Defender 惡意探索防護 >攻擊面縮小
- 端點安全 > 性受攻擊面縮小原則 >受攻擊面縮小規則
- 端點安全 > 性 > 基準Microsoft適用於端點的Defender基準 >受攻擊面縮小規則。
不會發生衝突的設定會新增至裝置的原則超集。
當兩個或多個原則的設定發生衝突時，衝突的設定不會新增至合併的原則。不會衝突的設定會新增至套用至裝置的超集原則。
只會保留衝突設定的組態。

設定檔設定：

標幟從 Windows 本地安全機構子系統竊取認證
預設：未設定
規則：封鎖從 Windows 本地安全機構子系統竊取認證 (lsass.exe)

協助防止通常由惡意探索惡意代碼用來感染機器的動作和應用程式。
- 未設定
- 啟用 - 標幟從 Windows 本地安全機構子系統 (lsass.exe) 竊取認證。
- 僅稽核
從 Adobe Reader 建立程式 (beta)
預設：未設定
規則：封鎖 Adobe 讀取器建立子進程
- 未設定
- 啟用 - 封鎖從 Adobe Reader 建立的子進程。
- 僅稽核

防止 Office 宏威脅的規則

禁止 Office 應用程式採取下列動作：

插入其他進程的 Office 應用程式 (沒有任何例外狀況)
預設：未設定
規則：封鎖 Office 應用程式將程式代碼插入其他進程
- 未設定
- 封鎖 - 禁止 Office 應用程式插入其他進程。
- 僅稽核
建立可執行內容的 Office 應用程式/宏
預設：未設定
規則：封鎖 Office 應用程式建立可執行內容
- 未設定
- 封鎖 - 禁止 Office 應用程式和宏建立可執行文件內容。
- 僅稽核
啟動子進程的 Office 應用程式
預設：未設定
規則：封鎖所有 Office 應用程式建立子進程
- 未設定
- 封鎖 - 封鎖 Office 應用程式啟動子進程。
- 僅稽核
Win32 從 Office 巨集程式代碼匯入
預設：未設定
規則：封鎖來自 Office 宏的 Win32 API 呼叫
- 未設定
- 封鎖 - 封鎖從 Office 中的巨集程式代碼匯入 Win32。
- 僅稽核
從 Office 通訊產品建立程式
預設：未設定
規則：封鎖 Office 通訊應用程式建立子進程
- 未設定
- 啟用 -封鎖從 Office 通訊應用程式建立子進程。
- 僅稽核

防止腳本威脅的規則

封鎖下列專案，以協助防止腳本威脅：

模糊化的 js/vbs/ps/巨集程序代碼
預設：未設定
規則：封鎖可能模糊化腳本的執行
- 未設定
- 封鎖 - 封鎖任何模糊化的 js/vbs/ps/巨集程序代碼。
- 僅稽核
執行從因特網下載之承載的 js/vbs (沒有任何例外狀況)
預設：未設定
規則：封鎖 JavaScript 或 VBScript 啟動下載的可執行文件內容
- 未設定
- 封鎖 - 禁止 js/vb 執行從因特網下載的承載。
- 僅稽核
從 PSExec 和 WMI 命令建立進程
預設：未設定
規則：封鎖源自 PSExec 和 WMI 命令的進程建立
- 未設定
- 封鎖 - 封鎖源自 PSExec 和 WMI 命令的進程建立。
- 僅稽核
從 USB 執行的未受信任與未簽署處理序
預設：未設定
規則：封鎖從 USB 執行的不受信任和未簽署進程
- 未設定
- 封鎖 - 封鎖從 USB 執行的不受信任和未簽署的進程。
- 僅稽核
不符合普遍性、年齡或受信任清單準則的可執行檔
預設：未設定
規則：封鎖可執行檔執行，除非它們符合普遍性、存留期或受信任的清單準則
- 未設定
- 封鎖 - 封鎖可執行檔，除非它們符合普遍性、存留期或受信任的清單準則，否則無法執行。
- 僅稽核

防止電子郵件威脅的規則

封鎖下列專案以協助防止電子郵件威脅：

執行可執行文件內容 (exe、dll、ps、js、vb 等 ) 從電子郵件 (webmail/mail 用戶端卸除，) (沒有任何例外狀況)
預設：未設定
規則：封鎖來自電子郵件用戶端和 Webmail 的可執行內容
- 未設定
- 封鎖 - 封鎖從電子郵件 (webmail/mail-client) 卸除 (執行、dll、ps、js、vb 等 ) 執行可執行文件內容。
- 僅稽核

防範勒索軟體的規則

進階勒索軟體保護
預設：未設定
規則：針對勒索軟體使用進階保護
- 未設定
- 啟用 - 使用主動式勒索軟體保護。
- 僅稽核

受攻擊面縮小例外狀況

要從受攻擊面縮小規則中排除的檔案和資料夾
Defender CSP： AttackSurfaceReductionOnlyExclusions
- 匯入 .csv 檔案，其中包含要從受攻擊面縮小規則排除的檔案和資料夾。
- 手動新增本機檔案或資料夾。

重要事項

若要允許正確安裝和執行 LOB Win32 應用程式，反惡意代碼設定應該排除下列目錄而無法掃描：
在 X64 用戶端電腦上：
C：\Program Files (x86) \Microsoft Intune 管理延伸模組\內容
C：\windows\IMECache

在 X86 用戶端電腦上：
C：\Program Files\Microsoft Intune 管理延伸模組\內容
C：\windows\IMECache

如需詳細資訊，請參閱執行目前支援 Windows 版本的企業電腦病毒掃描建議。

受控資料夾存取權

協助保護重要數據免於遭受惡意應用程式和威脅，例如勒索軟體。

資料夾保護
預設：未設定
Defender CSP： EnableControlledFolderAccess

保護檔案和資料夾不受不友善應用程式未經授權的變更。
- 未設定
- Enable
- 僅稽核
- 封鎖磁碟修改
- 稽核磁碟修改
當您選取 [未設定] 以外的組態時，您可以接著設定：
- 可存取受保護資料夾的應用程式清單
  Defender CSP： ControlledFolderAccessAllowedApplications
  - 匯入包含應用程式清單的 .csv 檔案。
  - 手動將應用程式新增至此清單。
- 需要保護的其他資料夾清單
  Defender CSP： ControlledFolderAccessProtectedFolders
  - 匯入包含資料夾清單的 .csv 檔案。
  - 手動將資料夾新增至此清單。

網路篩選

封鎖從任何應用程式到IP位址或低信譽網域的輸出連線。稽核和封鎖模式都支援網路篩選。

網路保護
預設：未設定
Defender CSP： EnableNetworkProtection

此設定的目的是要保護使用者免於應用程式存取網路釣魚詐騙、惡意探索裝載網站，以及因特網上的惡意內容。它也會防止第三方瀏覽器連線到危險的網站。
- 未設定 - 停用此功能。不會封鎖使用者和應用程式連線到危險的網域。系統管理員無法在 Microsoft Defender 資訊安全中心看到此活動。
- 啟用 - 開啟網路保護，並封鎖使用者和應用程式連線到危險的網域。系統管理員可以在 Microsoft Defender 資訊安全中心查看此活動。
- 僅稽核： - 不會封鎖使用者和應用程式連線到危險的網域。系統管理員可以在 Microsoft Defender 資訊安全中心查看此活動。

入侵防護

上傳 XML
預設： 未設定

若要使用 惡意探索保護 來保護裝置免於遭到入侵，請建立 XML 檔案，其中包含您想要的系統和應用程式風險降低設定。建立 XML 檔案的方法有兩種：
- PowerShell - 使用一或多個 Get-ProcessMitigation、 Set-ProcessMitigation 和 ConvertTo-ProcessMitigationPolicy PowerShell Cmdlet。 Cmdlet 會設定風險降低設定，並導出它們的 XML 表示法。
- Microsoft Defender 資訊安全中心 UI - 在 Microsoft Defender 資訊安全中心中，選 取 [應用程式 & 瀏覽器控 件]，然後捲動到產生的畫面底部以尋找 [惡意探索保護]。首先，使用 [系統設定] 和 [程序設定] 索引標籤來設定風險降低設定。然後，在畫面底部尋找 [匯出設定] 連結，以匯出它們的 XML 表示法。
用戶編輯惡意探索保護介面
預設：未設定
ExploitGuard CSP： ExploitProtectionSettings
- 封鎖 - 上傳可讓您設定記憶體、控制流程和原則限制的 XML 檔案。 XML 檔案中的設定可用來防止應用程式遭到惡意探索。
- 未設定 - 未使用自訂組態。

Microsoft Defender 應用程控

選擇要稽核的應用程式，或由 Microsoft Defender 應用程控所信任的應用程式執行。 Windows 元件和來自 Windows 市集的所有應用程式都會自動信任執行。

應用程控程式代碼完整性原則
預設：未設定
CSP： AppLocker CSP
- 強制執行 - 選擇使用者裝置的應用程控程式代碼完整性原則。
  
  在裝置上啟用之後，只能藉由將模式從 [ 強制 ] 變更為 [僅稽核] 來停用應用程控。將模式從 [強制 ] 變更為 [ 未設定] 會導致應用程式控制繼續在指派的裝置上強制執行。
- 未設定 - 應用程控不會新增至裝置。不過，先前新增的設定會繼續在指派的裝置上強制執行。
- 僅稽核 - 不會封鎖應用程式。所有事件都會記錄在本機客戶端的記錄中。
  
  注意事項
  
  如果您使用此設定，AppLocker CSP 行為目前會提示終端使用者在部署原則時重新啟動其電腦。

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard 可防範認證竊取攻擊。它會隔離秘密，讓只有具特殊許可權的系統軟體可以存取它們。

Credential Guard
預設值：停用
DeviceGuard CSP
- 停用 - 如果先前已使用 [ 啟用但不使用 UEFI 鎖定 ] 選項開啟 Credential Guard，請從遠端關閉 Credential Guard。
- 使用 UEFI 鎖定啟用 - 無法使用登入機碼或組策略從遠端停用 Credential Guard。
  
  注意事項
  
  如果您使用此設定，然後稍後想要停用 Credential Guard，則必須將組策略設定為 [ 已停用]。而且，從每部計算機實際清除 UEFI 組態資訊。只要 UEFI 設定持續存在，就會啟用 Credential Guard。
- 在不使用 UEFI 鎖定的情況下啟 用 - 允許使用組策略從遠端停用 Credential Guard。使用此設定的裝置必須執行 Windows 10 1511 版和更新版本，或 Windows 11。
當您啟用 Credential Guard 時，也會啟用下列必要功能：
- 虛擬化型安全 性 (VBS)
  在下次重新啟動期間開啟。虛擬化型安全性會使用 Windows Hypervisor 來提供安全性服務的支援。
- 使用目錄記憶體取安全開機
  開啟具有安全開機和直接記憶體存取 (DMA) 保護的 VBS。 DMA 保護需要硬體支援，而且只在正確設定的裝置上啟用。

Microsoft Defender 資訊安全中心

Microsoft Defender 資訊安全中心會以個別應用程式或程式的形式運作，與每個個別功能不同。它會透過控制中心顯示通知。它可作為收集器或單一位置來查看狀態，並針對每個功能執行一些組態。如需詳細資訊，請參閱 Microsoft Defender 檔。

Microsoft Defender 資訊安全中心應用程式和通知

封鎖使用者存取 Microsoft Defender 資訊安全中心應用程式的各種區域。隱藏區段也會封鎖相關的通知。

病毒和威脅防護
預設：未設定
WindowsDefenderSecurityCenter CSP： DisableVirusUI

設定終端使用者是否可以在 Microsoft Defender 資訊安全中心檢視病毒和威脅防護區域。隱藏此區段也會封鎖與病毒和威脅防護相關的所有通知。
- 未設定
- Hide
勒索軟體保護
預設：未設定
WindowsDefenderSecurityCenter CSP： HideRansomwareDataRecovery

設定終端使用者是否可以在 Microsoft Defender 資訊安全中心檢視勒索軟體保護區域。隱藏此區段也會封鎖與勒索軟體保護相關的所有通知。
- 未設定
- Hide
帳戶防護
預設：未設定
WindowsDefenderSecurityCenter CSP： DisableAccountProtectionUI

設定終端使用者是否可以在 Microsoft Defender 資訊安全中心檢視帳戶保護區域。隱藏此區段也會封鎖與帳戶保護相關的所有通知。
- 未設定
- Hide
防火牆和網路保護
預設：未設定
WindowsDefenderSecurityCenter CSP： DisableNetworkUI

設定終端使用者是否可以在 Microsoft Defender 資訊安全中心檢視防火牆和網路保護區域。隱藏此區段也會封鎖與防火牆和網路保護相關的所有通知。
- 未設定
- Hide
應用程式和瀏覽器控制件
預設：未設定
WindowsDefenderSecurityCenter CSP： DisableAppBrowserUI

設定終端使用者是否可以在 Microsoft Defender 資訊安全中心檢視應用程式和瀏覽器控制區域。隱藏此區段也會封鎖與應用程式和瀏覽器控制件相關的所有通知。
- 未設定
- Hide
硬體保護
預設：未設定
WindowsDefenderSecurityCenter CSP： DisableDeviceSecurityUI

設定終端使用者是否可以在 Microsoft Defender 資訊安全中心檢視硬體保護區域。隱藏此區段也會封鎖與硬體保護相關的所有通知。
- 未設定
- Hide
裝置效能和健康情況
預設：未設定
WindowsDefenderSecurityCenter CSP： DisableHealthUI

設定終端使用者是否可以在 Microsoft Defender 資訊安全中心檢視裝置效能和健康情況區域。隱藏此區段也會封鎖與裝置效能和健康情況相關的所有通知。
- 未設定
- Hide
系列選項
預設：未設定
WindowsDefenderSecurityCenter CSP： DisableFamilyUI

設定終端使用者是否可以在 Microsoft Defender 資訊安全中心檢視 [系列] 選項區域。隱藏此區段也會封鎖與 [系列] 選項相關的所有通知。
- 未設定
- Hide
來自應用程式顯示區域的通知
預設：未設定
WindowsDefenderSecurityCenter CSP： DisableNotifications

選擇要向用戶顯示的通知。非重大通知包括Microsoft Defender 防病毒軟體活動摘要，包括掃描完成時的通知。所有其他通知都被視為重要。
- 未設定
- 封鎖非重大通知
- 封鎖所有通知
系統匣中的 Windows 資訊安全中心圖示
默認：未設定 WindowsDefenderSecurityCenter CSP： HideWindowsSecurityNotificationAreaControl

設定通知區域控制件的顯示。使用者必須註銷並登入，或重新啟動計算機，此設定才會生效。
- 未設定
- Hide
清除 TPM 按鈕
默認：未設定 WindowsDefenderSecurityCenter CSP： DisableClearTpmButton

設定 [清除 TPM] 按鈕的顯示。
- 未設定
- Disable
TPM 韌體更新警告
默認：未設定 WindowsDefenderSecurityCenter CSP： DisableTpmFirmwareUpdateWarning

在偵測到易受攻擊的韌體時，設定更新 TPM 韌體的顯示。
- 未設定
- Hide
竄改保護
預設：未設定

在裝置上開啟或關閉竄改保護。若要使用竄改保護，您必須整合 Microsoft Defender for Endpoint 與 Intune，並擁有 Enterprise Mobility + Security E5 授權。
- 未設定 - 不會變更裝置設定。
- 已啟用 - 已開啟竄改保護，並在裝置上強制執行限制。
- 已停用 - 已關閉竄改保護，且不會強制執行限制。

IT 聯繫人資訊

提供要顯示在 Microsoft Defender 資訊安全中心應用程式和應用程式通知中的 IT 聯繫人資訊。

您可以選擇 [在應用程式和通知中顯示]、 [僅在應用程式中顯示]、 [僅在通知中顯示] 或 [ 不顯示]。輸入 IT 組織名稱，以及至少下列其中一個連絡人選項：

IT 聯繫人資訊
默認值：不顯示
WindowsDefenderSecurityCenter CSP： EnableCustomizedToasts

設定要向用戶顯示 IT 聯繫人資訊的位置。
- 在應用程式和通知中顯示
- 僅在應用程式中顯示
- 僅顯示在通知中
- 不要顯示
設定為顯示時，您可以設定下列設定：
- IT 組織名稱
  預設： 未設定
  WindowsDefenderSecurityCenter CSP： CompanyName
- IT 部門電話號碼或Skype標識符
  預設： 未設定
  WindowsDefenderSecurityCenter CSP：電話
- IT 部門電子郵件位址
  預設： 未設定
  WindowsDefenderSecurityCenter CSP：電子郵件
- IT 支援網站 URL
  預設： 未設定
  WindowsDefenderSecurityCenter CSP： URL

本機裝置安全性選項

使用這些選項來設定 Windows 10/11 裝置上的本機安全性設定。

帳戶

新增Microsoft帳戶
預設：未設定
LocalPoliciesSecurityOptions CSP： Accounts_BlockMicrosoftAccounts
- 塊防止使用者將新的Microsoft帳戶新增至裝置。
- 未設定 - 用戶可以在裝置上使用Microsoft帳戶。
沒有密碼的遠端登入
預設：未設定
LocalPoliciesSecurityOptions CSP： Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
- 封鎖 - 只允許具有空白密碼的本機帳戶使用裝置的鍵盤登入。
- 未設定 - 允許具有空白密碼的本機帳戶從實體裝置以外的位置登入。

系統管理員

本機系統管理員帳戶
預設：未設定
LocalPoliciesSecurityOptions CSP： Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
- 塊防止使用本機系統管理員帳戶。
- 未設定
重新命名系統管理員帳戶
預設： 未設定
LocalPoliciesSecurityOptions CSP： Accounts_RenameAdministratorAccount

定義要與帳戶「系統管理員」之安全標識碼 (SID) 相關聯的不同帳戶名稱。

客人

來賓帳戶
預設：未設定
LocalPoliciesSecurityOptions CSP： LocalPoliciesSecurityOptions
- 封鎖 - 防止使用來賓帳戶。
- 未設定
重新命名來賓帳戶
預設： 未設定
LocalPoliciesSecurityOptions CSP： Accounts_RenameGuestAccount

定義要與帳戶「Guest」之 SID) (安全標識符相關聯的不同帳戶名稱。

裝置

未登入的卸除裝置
預設：未設定
LocalPoliciesSecurityOptions CSP： Devices_AllowUndockWithoutHavingToLogon
- 封鎖 - 用戶必須登入裝置，並接收卸載裝置的許可權。
- 未設定 - 使用者可以按停駐的可攜式裝置實體退出按鈕，安全地卸載裝置。
安裝共用印表機的印表機驅動程式
預設：未設定
LocalPoliciesSecurityOptions CSP： Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
- 已啟用 - 任何使用者都可以在連線到共用印表機時安裝印表機驅動程式。
- 未設定 - 只有系統管理員可以在連線到共用印表機時安裝印表機驅動程式。
將 CD-ROM 存取限制為本機作用中使用者
預設：未設定
CSP： Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
- 已啟用 - 只有以互動方式登入的使用者可以使用CD-ROM媒體。如果已啟用此原則，且沒有人以互動方式登入，則會透過網路存取 CD-ROM。
- 未設定 - 任何人都可以存取CD-ROM。
格式化和退出抽取式媒體
預設值：系統管理員
CSP： Devices_AllowedToFormatAndEjectRemovableMedia

定義誰可以格式化和退出抽取式NTFS媒體：
- 未設定
- 系統管理員
- 系統管理員和進階使用者
- 系統管理員和互動式使用者

互動式登錄

鎖定畫面閑置的分鐘數，直到螢幕保護啟動為止
預設： 未設定
LocalPoliciesSecurityOptions CSP： InteractiveLogon_MachineInactivityLimit

輸入停止活動最多分鐘數，直到螢幕保護程式啟動為止。 (0 - 99999)
需要 CTRL+ALT+DEL 才能登入
預設：未設定
LocalPoliciesSecurityOptions CSP： InteractiveLogon_DoNotRequireCTRLALTDEL
- 啟用 - 要求使用者在登入 Windows 之前按 CTRL+ALT+DEL。
- 未設定 - 使用者不需要按 CTRL+ALT+DEL 即可登入。
智慧卡移除行為
默認：無動作 LocalPoliciesSecurityOptions CSP： InteractiveLogon_SmartCardRemovalBehavior

決定當已登入使用者的智慧卡從智慧卡卡片閱讀機中移除時，會發生什麼事。選項包括：
- 鎖定工作站 - 移除智慧卡時會鎖定工作站。此選項可讓使用者離開區域、使用智慧卡，並維持受保護的會話。
- 無動作
- 強制註銷 - 移除智慧卡時，用戶會自動註銷。
- 如果遠端桌面服務會話 中斷連線 - 移除智慧卡會中斷會話的連線，而不會註銷使用者。此選項可讓使用者插入智慧卡，並於稍後繼續會話，或在另一部配備智慧卡卡片閱讀機的計算機上繼續，而不需要再次登入。如果會話是本機，則此原則的運作方式與鎖定工作站相同。

顯示

鎖定畫面上的用戶資訊
預設：未設定
LocalPoliciesSecurityOptions CSP： InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

設定鎖定會話時顯示的用戶資訊。如果未設定，則會顯示用戶顯示名稱、網域和用戶名稱。
- 未設定
- 用戶顯示名稱、網域和用戶名稱
- 僅限用戶顯示名稱
- 不要顯示用戶資訊
隱藏上次登入的使用者
預設：未設定
LocalPoliciesSecurityOptions CSP： InteractiveLogon_DoNotDisplayLastSignedIn
- 啟用 - 隱藏使用者名稱。
- 未設定 - 顯示最後一個用戶名稱。
在登入時隱藏使用者名稱預設值：未設定
LocalPoliciesSecurityOptions CSP： InteractiveLogon_DoNotDisplayUsernameAtSignIn
- 啟用 - 隱藏使用者名稱。
- 未設定 - 顯示最後一個用戶名稱。
登入訊息標題
預設： 未設定
LocalPoliciesSecurityOptions CSP： InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

設定使用者登入的訊息標題。
登入消息正文
預設： 未設定
LocalPoliciesSecurityOptions CSP： InteractiveLogon_MessageTextForUsersAttemptingToLogOn

設定使用者登入的消息正文。

網路存取和安全性

命名管道和共用的匿名存取
預設：未設定
LocalPoliciesSecurityOptions CSP： NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
- 未設定 - 限制共用和命名管道設定的匿名存取。適用於可匿名存取的設定。
- 封鎖 - 停用此原則，讓匿名存取可供使用。
SAM 帳戶的匿名列舉
預設：未設定
LocalPoliciesSecurityOptions CSP： NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
- 未設定 - 匿名使用者可以列舉 SAM 帳戶。
- 封鎖 - 防止匿名列舉 SAM 帳戶。
SAM 帳戶和共用的匿名列舉
預設：未設定
LocalPoliciesSecurityOptions CSP： NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
- 未設定 - 匿名使用者可以列舉網域帳戶和網路共享的名稱。
- 封鎖 - 防止匿名列舉 SAM 帳戶和共用。
密碼變更時儲存的 LAN Manager 哈希值
預設：未設定
LocalPoliciesSecurityOptions CSP： NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

判斷下次密碼變更時，是否儲存密碼的哈希值。
- 未設定 - 哈希值未儲存
- 封鎖 - LAN 管理員 (LM) 儲存新密碼的哈希值。
PKU2U 驗證要求
預設：未設定
LocalPoliciesSecurityOptions CSP： NetworkSecurity_AllowPKU2UAuthenticationRequests
- 未設定 - 允許 PU2U 要求。
- 封鎖 - 封鎖對裝置的 PKU2U 驗證要求。
限制 SAM 的遠端 RPC 連線
預設：未設定
LocalPoliciesSecurityOptions CSP： NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
- 未設定 - 使用預設安全描述符，這可讓使用者和群組對 SAM 進行遠端 RPC 呼叫。
- 允許 - 拒絕使用者和群組對安全性帳戶管理員進行遠端 RPC 呼叫 (SAM) ，以儲存使用者帳戶和密碼。 [允許 ] 也可讓您變更預設安全描述符定義語言 (SDDL) 字串，以明確允許或拒絕使用者和群組進行這些遠端呼叫。
  - 安全描述符
    預設： 未設定
NTLM SSP 型用戶端的最低會話安全性
默認值：無
LocalPoliciesSecurityOptions CSP： NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

此安全性設定可讓伺服器要求交涉128位加密和/或NTLMv2會話安全性。
- 無
- 需要 NTLMv2 會話安全性
- 需要128位加密
- NTLMv2 和128位加密
NTLM SSP 型伺服器的最小會話安全性
默認值：無
LocalPoliciesSecurityOptions CSP： NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

此安全性設定會決定網路登入使用的挑戰/回應驗證通訊協定。
- 無
- 需要 NTLMv2 會話安全性
- 需要128位加密
- NTLMv2 和128位加密
LAN Manager 驗證層級
預設值：LM 和 NTLM
LocalPoliciesSecurityOptions CSP： NetworkSecurity_LANManagerAuthenticationLevel
- LM 和 NTLM
- LM、NTLM 和 NTLMv2
- NTLM
- NTLMv2
- NTLMv2 而非 LM
- NTLMv2，而不是 LM 或 NTLM
不安全的來賓登入
預設：未設定
LanmanWorkstation CSP： LanmanWorkstation

如果啟用此設定，SMB 用戶端將會拒絕不安全的來賓登入。
- 未設定
- 封鎖 - SMB 用戶端會拒絕不安全的來賓登入。

復原主控台和關機

關閉時清除虛擬記憶體頁面檔
預設：未設定
LocalPoliciesSecurityOptions CSP： Shutdown_ClearVirtualMemoryPageFile
- 啟用 -關閉裝置電源時清除虛擬記憶體頁面檔。
- 未設定 - 不會清除虛擬記憶體。
關閉而不登入
預設：未設定
LocalPoliciesSecurityOptions CSP： Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
- 封鎖 - 隱藏 Windows 登入畫面上的關機選項。用戶必須登入裝置，然後關閉。
- 未設定 - 允許使用者從 Windows 登入畫面關閉裝置。

用戶帳戶控制

沒有安全位置的UIA完整性
預設：未設定
LocalPoliciesSecurityOptions CSP： UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
- 封鎖 - 位於檔案系統中安全位置的應用程式只會以 UIAccess 完整性執行。
- 未設定 - 可讓應用程式以 UIAccess 完整性執行，即使應用程式不在檔案系統中的安全位置也一般。
將每個使用者位置的檔案和登錄寫入失敗虛擬化
預設：未設定
LocalPoliciesSecurityOptions CSP： UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
- 已啟用 - 將數據寫入受保護位置的應用程式會失敗。
- 未設定 - 應用程式寫入失敗會在運行時間重新導向至檔案系統和登錄的已定義使用者位置。
只提高已簽署和驗證的可執行檔
預設：未設定
LocalPoliciesSecurityOptions CSP： UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
- 已啟用 - 在可執行檔執行之前，強制執行 PKI 認證路徑驗證。
- 未設定 - 請勿在可執行檔案執行之前強制執行 PKI 認證路徑驗證。

UIA 提高許可權提示行為

系統管理員提高許可權提示
默認：提示您同意非 Windows 二進位檔
LocalPoliciesSecurityOptions CSP： UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

在管理員核准模式中定義系統管理員提高許可權提示的行為。
- 未設定
- 提升而不提示
- 在安全桌面上提示輸入認證
- 提示輸入認證
- 提示同意
- 提示您同意非 Windows 二進位檔
標準使用者的提高許可權提示
默認：提示輸入認證
LocalPoliciesSecurityOptions CSP： UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

定義標準使用者提高許可權提示的行為。
- 未設定
- 自動拒絕提高許可權要求
- 在安全桌面上提示輸入認證
- 提示輸入認證
將提高許可權提示路由傳送至使用者的互動式桌面
預設：未設定
LocalPoliciesSecurityOptions CSP： UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
- 已啟用 - 移至互動式使用者桌面而非安全桌面的所有提高許可權要求。系統會使用系統管理員和標準使用者的任何提示行為原則設定。
- 未設定 - 不論系統管理員和標準使用者的任何提示行為原則設定為何，強制所有提高許可權要求都會移至安全桌面。
提高應用程式安裝許可權的提示
預設：未設定
LocalPoliciesSecurityOptions CSP： UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
- 已啟用 - 未偵測到應用程式安裝套件或提示提高許可權。
- 未設定 - 當應用程式安裝套件需要更高的許可權時，系統會提示使用者輸入系統管理使用者名稱和密碼。
沒有安全桌面的 UIA 提高許可權提示
預設：未設定
LocalPoliciesSecurityOptions CSP： UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
啟用 - 允許 UIAccess 應用程式提示提高許可權，而不使用安全桌面。
未設定 - 提高許可權提示會使用安全桌面。

系統管理員核准模式

內建系統管理員的系統管理員核准模式
預設：未設定
LocalPoliciesSecurityOptions CSP： UserAccountControl_UseAdminApprovalMode
- 已啟用 - 允許內建系統管理員帳戶使用管理員核准模式。任何需要提高許可權的作業會提示使用者核准作業。
- 未設定 - 以完整的系統管理員許可權執行所有應用程式。
以系統管理員核准模式執行所有系統管理員
預設：未設定
LocalPoliciesSecurityOptions CSP： UserAccountControl_RunAllAdministratorsInAdminApprovalMode
- 已啟用 - 啟用管理員核准模式。
- 未設定 - 停用管理員核准模式和所有相關的 UAC 原則設定。

Microsoft網路用戶端

如果伺服器同意) ，則以數位方式簽署通訊 (
預設：未設定
LocalPoliciesSecurityOptions CSP： MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

判斷SMB用戶端是否交涉SMB封包簽署。
- 封鎖 - SMB 用戶端永遠不會交涉 SMB 封包簽署。
- 未設定 - Microsoft網路用戶端會要求伺服器在會話設定時執行 SMB 封包簽署。如果在伺服器上啟用封包簽署，則會交涉封包簽署。
將未加密的密碼傳送至第三方SMB伺服器
預設：未設定
LocalPoliciesSecurityOptions CSP： MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
- 封鎖 - 伺服器消息塊 (SMB) 重新導向器可以將純文字密碼傳送至在驗證期間不支援密碼加密的非Microsoft SMB 伺服器。
- 未設定 - 封鎖純文字密碼的傳送。密碼會加密。
數位簽署通訊 (一律)
預設：未設定
LocalPoliciesSecurityOptions CSP： MicrosoftNetworkClient_DigitallySignCommunicationsAlways
- 啟用 - 除非該伺服器同意SMB封包簽署，否則Microsoft網路用戶端不會與Microsoft網路伺服器通訊。
- 未設定 - SMB 封包簽署是在客戶端與伺服器之間交涉。

Microsoft網路伺服器

如果用戶端同意) ，則以數位方式簽署通訊 (
預設：未設定
CSP： MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
- 啟用 - Microsoft網路伺服器會依照用戶端的要求交涉 SMB 封包簽署。也就是說，如果在用戶端上啟用封包簽署，則會交涉封包簽署。
- 未設定 - SMB 用戶端永遠不會交涉 SMB 封包簽署。
數位簽署通訊 (一律)
預設：未設定
CSP： MicrosoftNetworkServer_DigitallySignCommunicationsAlways
- 啟用 - 除非用戶端同意SMB封包簽署，否則Microsoft網路伺服器不會與Microsoft網路客戶端通訊。
- 未設定 - SMB 封包簽署是在客戶端與伺服器之間交涉。

Xbox 服務

Xbox 遊戲儲存工作
預設：未設定
CSP： TaskScheduler/EnableXboxGameSaveTask

此設定會決定 Xbox 遊戲儲存工作是 [已啟用] 還是 [已停用]。
- Enabled
- 未設定
Xbox Accessory Management Service
默認值：手動
CSP： SystemServices/ConfigureXboxAccessoryManagementServiceStartupMode

此設定會決定存取管理服務的開始類型。
- 手動
- 自動
- Disabled
Xbox Live Auth Manager 服務
默認值：手動
CSP： SystemServices/ConfigureXboxLiveAuthManagerServiceStartupMode

此設定會決定 Live Auth Manager 服務的開始類型。
- 手動
- 自動
- Disabled
Xbox Live Game Save Service
默認值：手動
CSP： SystemServices/ConfigureXboxLiveGameSaveServiceStartupMode

此設定會決定 Live Game Save Service 的開始類型。
- 手動
- 自動
- Disabled
Xbox Live Networking Service
默認值：手動
CSP： SystemServices/ConfigureXboxLiveNetworkingServiceStartupMode

此設定會決定網路服務的開始類型。
- 手動
- 自動
- Disabled

後續步驟

配置檔已建立，但尚未執行任何動作。接下來，指派配置檔並監視其狀態。

在 macOS 裝置上設定端點保護設定。

共用方式為