安全核心計算機設定鎖定

  • 發行項
  • 適用於:
    Windows 11

在企業組織中,IT 系統管理員會在其公司裝置上強制執行原則,讓裝置保持符合規範的狀態,並防止使用者變更設定並建立設定漂移來保護作業系統。 當具有本機系統管理員許可權的用戶變更設定,並讓裝置與安全策略不同步時,就會發生設定漂移。 在下次使用 MDM 同步處理和設定重設之前,處於不符合規範狀態的裝置可能會容易受到攻擊。 Windows 11 設定鎖定可讓IT系統管理員防止設定漂移,並讓OS設定保持在所需的狀態。 利用設定鎖定,作業系統會監視設定登錄機碼,其會設定每個功能,而當其偵測到漂移時,會在數秒內還原為 IT 所需的狀態。

安全核心設定鎖定 (設定鎖定) 是新的 安全核心計算機 (SCPC) 功能,可防止設定偏離非預期錯誤所造成的安全核心計算機功能。 簡言之,它可確保要作為安全核心計算機的裝置仍為安全核心計算機。

總而言之,設定鎖定:

  • 透過 MDM 管理時,讓 IT 能夠「鎖定」安全核心電腦功能
  • 在幾秒內偵測漂移補救
  • 無法防止惡意攻擊

Windows 版本和授權需求

下表列出支援安全核心設定鎖定的 Windows 版本:

Windows 專業版 Windows 企業版 Windows 專業教育版/SE Windows 教育版

安全核心設定鎖定授權權利由下列授權授與:

Windows 專業版/專業教育版/SE Windows 企業版 E3 Windows 企業版 E5 Windows 教育版 A3 Windows 教育版 A5

如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀

組態流程

安全 核心電腦 到達桌面之後,設定鎖定會偵測裝置是否為安全核心計算機,以防止設定漂移。 當裝置不是安全核心計算機時,即不會套用鎖定。 如果裝置是安全核心計算機,設定鎖定會鎖定原則清單下所列 的原則

使用 Microsoft Intune 啟用組態鎖定

默認不會啟用設定鎖定,或由操作系統在開機期間開啟。 相反地,您需要開啟它。

使用 Microsoft Intune 開啟設定鎖定的步驟如下:

  1. 確定要開啟設定鎖定的裝置已在 Microsoft Intune 中註冊。

  2. Intune 系統管理中心,選取 [裝置>組態配置檔>] [建立配置檔]

  3. 選取下列專案,然後按 [ 建立]

    • 平臺Windows 10 and later
    • 設定檔案類型Templates
    • 範本名稱:自定義

    在 [組態配置檔] 中,會顯示 [建立配置檔] 頁面,其中 [平臺] 設定為 [Windows 10 及更新版本],以及 [配置檔類型] 的 [範本]。

  4. 為您的設定檔命名。

  5. 當您到達 [組態設定] 步驟時,請選取 [新增],然後新增下列資訊:

    • OMA-URI./Vendor/MSFT/DMClient/Provider/MS%20DM%20Server/ConfigLock/Lock
    • 資料類型Integer
    • 1

    若要關閉設定鎖定,請將值變更為 0。

    在 [組態設定] 步驟中,[編輯數據列] 頁面會顯示 [設定鎖定的名稱]、[開啟設定鎖定的描述] 和 [OMA-URI] 集合,以及設定為 [值 1] 的 [整數數據類型]。

  6. 選取要開啟設定鎖定的裝置。 如果您使用測試租使用者,您可以選取 [+ 新增所有裝置]。

  7. 您不需要針對測試目的設定任何適用性規則。

  8. 檢閱設定,如果一切正確,請選取 [建立]。

  9. 裝置與 Microsoft Intune 伺服器同步之後,您可以確認是否已成功啟用設定鎖定。

    檢視設定鎖定裝置組態配置檔時的配置檔指派狀態儀錶板,其中顯示一個裝置已成功套用此配置檔。

    設定鎖定裝置組態配置檔的 [裝置狀態],其中顯示一部裝置的 [部署狀態] 為 [成功],而兩部裝置具有 [擱置]。

設定安全核心計算機功能

設定鎖定的設計目的是要確保安全核心計算機不會意外設定錯誤。 您能夠啟用或停用 SCPC 功能,例如韌體保護。 您可以使用組策略或 MDM 服務進行這些變更,例如 Microsoft Intune。

[Defender 韌體保護] 設定,其中包含 Windows Defender 系統防護 保護您的裝置免於遭到入侵的韌體。設定設為 [關閉]。

常見問題集

  • 我可以停用設定鎖定嗎? 是。 您可以使用 MDM 完全關閉設定鎖定,或將它放在技術服務人員活動的暫時解除鎖定模式中。

鎖定的原則清單

CSP
BitLocker
PassportForWork
WindowsDefenderApplicationGuard
ApplicationControl
MDM 原則 群組原則支援
DataProtection/AllowDirectMemoryAccess
DataProtection/LegacySelectiveWipeID
DeviceGuard/ConfigureSystemGuardLaunch
DeviceGuard/EnableVirtualizationBasedSecurity
DeviceGuard/LsaCfgFlags
DeviceGuard/RequirePlatformSecurityFeatures
DeviceInstallation/AllowInstallationOfMatchingDeviceIDs
DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs
DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses
DeviceInstallation/PreventDeviceMetadataFromNetwork
DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings
DeviceInstallation/PreventInstallationOfMatchingDeviceIDs
DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs
DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses
DmaGuard/DeviceEnumerationPolicy
WindowsDefenderSecurityCenter/CompanyName
WindowsDefenderSecurityCenter/DisableAccountProtectionUI
WindowsDefenderSecurityCenter/DisableAppBrowserUI
WindowsDefenderSecurityCenter/DisableClearTpmButton
WindowsDefenderSecurityCenter/DisableDeviceSecurityUI
WindowsDefenderSecurityCenter/DisableEnhancedNotifications
WindowsDefenderSecurityCenter/DisableFamilyUI
WindowsDefenderSecurityCenter/DisableHealthUI
WindowsDefenderSecurityCenter/DisableNetworkUI
WindowsDefenderSecurityCenter/DisableNotifications
WindowsDefenderSecurityCenter/DisableTpmFirmwareUpdateWarning
WindowsDefenderSecurityCenter/DisableVirusUI
WindowsDefenderSecurityCenter/DisallowExploitProtectionOverride
WindowsDefenderSecurityCenter/Email
WindowsDefenderSecurityCenter/EnableCustomizedToasts
WindowsDefenderSecurityCenter/EnableInAppCustomization
WindowsDefenderSecurityCenter/HideRansomwareDataRecovery
WindowsDefenderSecurityCenter/HideSecureBoot
WindowsDefenderSecurityCenter/HideTPMTroubleshooting
WindowsDefenderSecurityCenter/HideWindowsSecurityNotificationAreaControl
WindowsDefenderSecurityCenter/Phone
WindowsDefenderSecurityCenter/URL
SmartScreen/EnableAppInstallControl
SmartScreen/EnableSmartScreenInShell
SmartScreen/PreventOverrideForFilesInShell