原則 CSP - ServiceControlManager
提示
此 CSP 包含 ADMX 支持的原則,需要特殊 SyncML 格式才能啟用或停用。 您必須在 SyncML 中將資料型態指定為 <Format>chr</Format>。 如需詳細資訊,請 參閱瞭解 ADMX 支持的原則。
SyncML 的承載必須是 XML 編碼;針對此 XML 編碼,您可以使用各種在線編碼器。 若要避免編碼承載,如果您的 MDM 支援 CDATA,您可以使用 CDATA。 如需詳細資訊,請參閱 CDATA 區段。
SvchostProcessMitigation
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
❌ 專業版 ✅ 企業版 ✅ 教育版 ❌ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ServiceControlManager/SvchostProcessMitigation
此原則設定可在 svchost.exe 程式上啟用程序風險降低選項。
- 如果您啟用此原則設定,裝載於 svchost.exe 進程中的內建系統服務將會啟用更嚴格的安全策略。
這包括要求這些進程中載入的所有二進位檔都必須由 Microsoft 簽署的原則,以及不允許動態產生程式碼的原則。
- 如果您停用或未設定此原則設定,則不會套用這些更嚴格的安全性設定。
如果您啟用此原則,它會將程式代碼完整性防護 (CIG) 和任意程式代碼防護 (ACG) 強制執行和其他程式風險降低/程序代碼完整性原則新增至 SVCHOST 進程。
重要
啟用此原則可能會導致使用 svchost.exe 程式之第三方軟體的相容性問題。 例如,第三方防病毒軟體。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | SvchostProcessMitigationEnable |
| 易記名稱 | 啟用 svchost.exe 風險降低選項 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 服務控制管理員設定安全性 > 設定 |
| 登錄機碼名稱 | System\CurrentControlSet\Control\SCMConfig |
| 登錄值名稱 | EnableSvchostMitigationPolicy |
| ADMX 檔案名稱 | ServiceControlManager.admx |