原則 CSP - 安全性
AllowAddProvisioningPackage
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Security/AllowAddProvisioningPackage
指定是否允許運行時間設定代理程式安裝布建套件。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 不允許。 |
| 1 (預設) | 已允許。 |
AllowManualRootCertificateInstallation
注意
此原則已被取代,並可能在未來的版本中移除。
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
❌ 專業版 ❌ 企業版 ❌ 教育版 ❌ Windows SE ❌ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Security/AllowManualRootCertificateInstallation
此原則已被取代。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 不允許。 |
| 1 (預設) | 已允許。 |
AllowRemoveProvisioningPackage
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Security/AllowRemoveProvisioningPackage
指定是否允許運行時間設定代理程式移除布建套件。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 不允許。 |
| 1 (預設) | 已允許。 |
AntiTheftMode
注意
此原則已被取代,並可能在未來的版本中移除。
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
不適用 | ✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Security/AntiTheftMode
此原則已被取代。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 停用。 |
| 1 (預設) | 啟用。 |
ClearTPMIfNotReady
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Security/ClearTPMIfNotReady
如果偵測到 TPM 處於 Ready 以外的任何狀態,此原則設定會設定系統提示使用者清除 TPM。 只有當系統的 TPM 處於「就緒」以外的狀態時,此原則才會生效,包括 TPM 為「就緒,功能已減少」時。 只有在登入的使用者是系統的 Administrators 群組一部分時,才會在使用者登入時,在下次重新啟動後開始提示清除 TPM。 提示可以關閉,但會在每次重新啟動並登入之後重新出現,直到原則停用或 TPM 處於就緒狀態為止。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 不會強制從未就緒 TPM 狀態復原。 |
| 1 | 如果 TPM 處於未就緒狀態,則會提示您清除 TPM, (或縮減功能) 可使用 TPM Clear 進行補救。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | ClearTPMIfNotReady_Name |
| 易記名稱 | 將系統設定為在 TPM 未處於就緒狀態時清除它。 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 信任平臺模組服務 |
| 登錄機碼名稱 | Software\Policies\Microsoft\TPM |
| 登錄值名稱 | ClearTPMIfNotReadyGP |
| ADMX 檔案名稱 | TPM.admx |
ConfigureWindowsPasswords
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Security/ConfigureWindowsPasswords
設定 Windows 功能的密碼使用方式。
注意
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 2 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 不允許 (非對稱認證的密碼會升級為取代 Windows 功能) 上的密碼。 |
| 1 | 允許密碼 (繼續允許密碼用於 Windows 功能) 。 |
| 2 (預設) | 根據 SKU 和裝置功能。 Windows 10 S 裝置會呈現「不允許密碼」預設值,而所有其他裝置則預設為「允許密碼」) 。 |
PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
指定當裝置 Microsoft Entra 加入時,是否要在 OOBE 期間允許自動裝置加密。
如需詳細資訊,請參閱 BitLocker 裝置加密
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 已啟用加密。 |
| 1 | 已停用加密。 |
RecoveryEnvironmentAuthentication
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./User/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
./Device/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
此原則會控制在 RecoveryEnvironment 中 管理員 驗證的需求。
驗證程式:
若要驗證此原則,請檢查重新整理是否 (「保留我的檔案」) 並重設 (「移除所有專案」,) 需要 Windows Recovery Environment (WinRE) 中的系統管理員驗證。
- 首先,在 WinRE 中 (PBR) 啟動 [按鍵重設]。 以系統管理員身分開啟命令提示字元,然後執行下列命令:
reagentc /boottore - 裝置應該會重新啟動至 WinRE。 在 WinRE 介面中,移至 [疑難解答 ],然後選取 [ 重設此計算機]。 您應該會看到兩個選項: 保留我的檔案 和 移除所有專案。
- 選擇 [ 保留我的檔案] 選項。 檢視驗證的行為。
- 選取向後箭號,然後選擇 [移除所有專案]。 檢視驗證的行為。
您也可以在最終確認頁面上完成重設選項,然後選取 [ 取消 ],而不是返回。 然後,它會返回主要 WinRE 介面。
下表顯示每個案例的原則設定預期的行為:
- ✔️ 它會提示您進行驗證。
- ❌ 不需要驗證,且會繼續重設選項。
| 原則 | 保留我的檔案 | 移除所有項目 |
|---|---|---|
默認 (0) |
✔️ | ❌ |
RequireAuthentication“ (1) |
✔️ | ✔️ |
NoRequireAuthentication“ (2) |
❌ | ❌ |
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 目前) 行為。 |
| 1 | RequireAuthentication:管理員 RecoveryEnvironment 中的元件一律需要驗證。 |
| 2 | NoRequireAuthentication:管理員 RecoveryEnvironment 中的元件不需要驗證。 |
RequireDeviceEncryption
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Security/RequireDeviceEncryption
允許企業開啟內部記憶體加密。 限制程度最高的值為 1。 重要。 如果已啟用加密,則無法使用此原則關閉。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 不需要加密。 |
| 1 | 需要加密。 |
RequireProvisioningPackageSignature
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Security/RequireProvisioningPackageSignature
指定布建套件是否必須具有由裝置信任授權單位簽署的憑證。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 不需要。 |
| 1 | 必要。 |
RequireRetrieveHealthCertificateOnBoot
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Security/RequireRetrieveHealthCertificateOnBoot
指定是否要擷取和張貼 TCG 開機記錄,以及從 Microsoft Health 證明服務取得或快取加密或已簽署的健康情況證明報告, (裝置開機或重新啟動時,HAS) 。 將此原則設定為 1 (必要) :確認裝置是否有 TPM 2,以判斷裝置是否能夠進行遠端裝置健康情況證明。 0. 讓裝置能夠擷取和快取數據,以減少裝置健康情況驗證期間的延遲,以改善裝置的效能。
注意
建議您在 MDM 註冊之後,將此原則設定為 [必要]。 限制程度最高的值為 1。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 不需要。 |
| 1 | 必要。 |