Windows-inställningar som du kan hantera via en Intune Endpoint Protection-profil

Microsoft Intune innehåller många inställningar för att skydda dina enheter. I den här artikeln beskrivs inställningarna i mallen endpoint protection för enhetskonfiguration. Om du vill hantera enhetssäkerhet kan du också använda slutpunktssäkerhetsprinciper som fokuserar direkt på delmängder av enhetssäkerhet. Information om hur du konfigurerar Microsoft Defender Antivirus finns i Begränsningar för Windows-enheter eller använda antivirusprincip för slutpunktssäkerhet.

Innan du börjar

Skapa en enhetskonfigurationsprofil för slutpunktsskydd.

Mer information om konfigurationstjänstleverantörer finns i Referens för konfigurationstjänstprovider.

Microsoft Defender Application Guard

För Microsoft Edge skyddar Microsoft Defender Application Guard din miljö från webbplatser som inte är betrodda av din organisation. Med Application Guard öppnas webbplatser som inte finns i din isolerade nätverksgräns i en virtuell Hyper-V-webbläsarsession. Betrodda platser definieras av en nätverksgräns som konfigureras i Enhetskonfiguration. Mer information finns i Skapa en nätverksgräns på Windows-enheter.

Application Guard är endast tillgängligt för 64-bitars Windows-enheter. Med den här profilen installeras en Win32-komponent för att aktivera Application Guard.

• Programskydd som
  Standard: Inte konfigurerat
  CSP för Application Guard: Settings/AllowWindowsDefenderApplicationGuard

  • Aktiverad för Edge – Aktiverar den här funktionen, som öppnar ej betrodda webbplatser i en virtualiserad Hyper-V-webbläsarcontainer.
  • Inte konfigurerad – Alla webbplatser (betrodda och ej betrodda) kan öppnas på enheten.

• Beteende för Urklipp
  Standard: Inte konfigurerat
  CSP:er för Application Guard: Inställningar/UrklippInställningar

  Välj vilka kopierings- och inklistringsåtgärder som tillåts mellan den lokala datorn och den virtuella Application Guard-webbläsaren.

  • Inte konfigurerad
  • Tillåt endast kopiering och inklistring från dator till webbläsare
  • Tillåt endast kopiering och inklistring från webbläsare till dator
  • Tillåt kopiering och inklistring mellan dator och webbläsare
  • Blockera kopiera och klistra in mellan dator och webbläsare

• Urklippsinnehåll
  Den här inställningen är endast tillgänglig när urklippsbeteendet är inställt på någon av tillåtna inställningar.
  Standard: Inte konfigurerat
  CSP:er för Application Guard: Settings/ClipboardFileType

  Välj det tillåtna Innehållet i Urklipp.

  • Inte konfigurerad
  • Text
  • Bilder
  • Text och bilder

• Externt innehåll på företagswebbplatser
  Standard: Inte konfigurerat
  CSP för Application Guard: Settings/BlockNonEnterpriseContent

  • Blockera – Blockera inläsning av innehåll från webbplatser som inte har godkänts.
  • Inte konfigurerad – Webbplatser som inte är företag kan öppnas på enheten.

• Skriv ut från virtuell webbläsare
  Standard: Inte konfigurerat
  CSP:er för Application Guard: Inställningar/utskriftinställningar

  • Tillåt – Tillåter utskrift av markerat innehåll från den virtuella webbläsaren.
  • Inte konfigurerad Inaktivera alla utskriftsfunktioner.

  När du tillåter utskrift kan du konfigurera följande inställning:

  • Utskriftstyper Välj ett eller flera av följande alternativ:
    • PDF
    • XPS
    • Lokala skrivare
    • Nätverksskrivare

• Samla in loggar
  Standard: Inte konfigurerat
  CSP för Application Guard: Audit/AuditApplicationGuard

  • Tillåt – Samla in loggar för händelser som inträffar i en Application Guard-webbläsarsession.
  • Inte konfigurerad – Samla inte in några loggar i webbläsarsessionen.

• Behåll användargenererade webbläsardata
  Standard: Inte konfigurerat
  CSP:er för Application Guard: Settings/AllowPersistence

  • Tillåta Spara användardata (till exempel lösenord, favoriter och cookies) som skapas under en virtuell Application Guard-webbläsarsession.
  • Inte konfigurerad Ignorera användarnedladdade filer och data när enheten startas om eller när en användare loggar ut.

• Grafikacceleration
  Standard: Inte konfigurerat
  CSP:n Application Guard: Settings/AllowVirtualGPU

  • Aktivera – Läs in grafikintensiva webbplatser och video snabbare genom att få åtkomst till en virtuell grafikprocessor.
  • Inte konfigurerad Använd enhetens PROCESSOR för grafik. Använd inte den virtuella grafikprocessorn.

• Ladda ned filer till värdfilsystemet
  Standard: Inte konfigurerat
  CSP:er för Application Guard: Settings/SaveFilesToHost

  • Aktivera – Användare kan ladda ned filer från den virtualiserade webbläsaren till värdoperativsystemet.
  • Inte konfigurerad – Håller filerna lokala på enheten och laddar inte ned filer till värdfilsystemet.

Windows-brandväggen

Globala inställningar

De här inställningarna gäller för alla nätverkstyper.

• File Transfer Protocol
  Standard: Inte konfigurerat
  CSP:n Firewall: MdmStore/Global/DisableStatefulFtp

  • Blockera – Inaktivera tillståndskänslig FTP.
  • Inte konfigurerad – Brandväggen utför tillståndskänslig FTP-filtrering för att tillåta sekundära anslutningar.

• Inaktivitetstid för säkerhetsassociation före borttagning
  Standard: Inte konfigurerat
  CSP:n Firewall: MdmStore/Global/SaIdleTime

  Ange en inaktivitetstid i sekunder, varefter säkerhetsassociationer tas bort.

• Kodning av i förväg delad nyckel
  Standard: Inte konfigurerat
  CSP:n Firewall: MdmStore/Global/PresharedKeyEncoding

  • Aktivera – Koda fördefinierade nycklar med UTF-8.
  • Inte konfigurerad – Koda fördefinierade nycklar med det lokala butiksvärdet.

• IPsec-undantag
  Standard: 0 har valts
  CSP:n Firewall: MdmStore/Global/IPsecExempt

  Välj en eller flera av följande typer av trafik som ska undantas från IPsec:

  • Granne identifierar IPv6 ICMP-typkoder
  • ICMP
  • Router upptäcker IPv6 ICMP-typkoder
  • Både IPv4- och IPv6 DHCP-nätverkstrafik

• Verifiering av listan över återkallade certifikat
  Standard: Inte konfigurerat
  CSP:n Firewall: MdmStore/Global/CRLcheck

  Välj hur enheten verifierar listan över återkallade certifikat. Alternativen är:

  • Inaktivera CRL-verifiering
  • Crl-verifiering misslyckas endast för återkallade certifikat
  • Crl-verifieringen misslyckas för eventuella fel som påträffas.

• Matcha autentiseringsuppsättningen per nyckelmodul opportunistiskt
  Standard: Inte konfigurerat
  CSP:n Firewall: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

  • Möjliggöra Nyckelmoduler får endast ignorera de autentiseringspaket som de inte stöder.
  • Inte konfigurerad, nyckelmoduler måste ignorera hela autentiseringsuppsättningen om de inte stöder alla autentiseringspaket som anges i uppsättningen.

• Paketköer
  Standard: Inte konfigurerat
  CSP:n Firewall: MdmStore/Global/EnablePacketQueue

  Ange hur programvaruskalning på mottagarsidan ska aktiveras för krypterad mottagning och rensa text framåt för scenariot med IPsec-tunnelgatewayen. Den här inställningen bekräftar att paketordningen bevaras. Alternativen är:

  • Inte konfigurerad
  • Inaktivera alla paketköer
  • Köa endast inkommande krypterade paket
  • Köpaket efter dekryptering utförs endast för vidarebefordring
  • Konfigurera både inkommande och utgående paket

Nätverksinställningar

Följande inställningar visas var och en i den här artikeln en gång, men alla gäller för de tre specifika nätverkstyperna:

• Domännätverk (arbetsplats)
• Privat (identifierbart) nätverk
• Offentligt nätverk (kan inte identifieras)

Allmän

• Windows Firewall
  Standard: Inte konfigurerat
  CSP för brandvägg: EnableFirewall

  • Aktivera – Aktivera brandväggen och avancerad säkerhet.
  • Inte konfigurerad Tillåter all nätverkstrafik, oavsett andra principinställningar.

• Dolt läge
  Standard: Inte konfigurerat
  CSP för brandvägg: DisableStealthMode

  • Inte konfigurerad
  • Blockera – Brandväggen blockeras från att fungera i dolt läge. Om du blockerar dolt läge kan du även blockera IPsec-skyddat paketundantag.
  • Tillåt – Brandväggen fungerar i dolt läge, vilket hjälper till att förhindra svar på avsökningsbegäranden.

• IPsec-skyddat paketundantag med dolt läge
  Standard: Inte konfigurerat
  CSP:n Firewall: DisableStealthModeIpsecSecuredPacketExemption

  Det här alternativet ignoreras om Dolt läge är inställt på Blockera.

  • Inte konfigurerad
  • Blockera – IPSec-skyddade paket får inte undantag.
  • Tillåt – Aktivera undantag. Brandväggens dolt läge FÅR INTE hindra värddatorn från att svara på oönskad nätverkstrafik som skyddas av IPsec.

• Skärmad
  Standard: Inte konfigurerat
  CSP för brandvägg: Avskärmad

  • Inte konfigurerad
  • Blockera – När Windows-brandväggen är aktiverad och den här inställningen är inställd på Blockera blockeras all inkommande trafik, oavsett andra principinställningar.
  • Tillåt – När inställningen är inställd på Tillåt inaktiveras den här inställningen och inkommande trafik tillåts baserat på andra principinställningar.

• Unicast-svar på multicast-sändningar
  Standard: Inte konfigurerat
  CSP för brandvägg: DisableUnicastResponsesToMulticastBroadcast

  Normalt vill du inte ta emot unicast-svar på multicast- eller broadcast-meddelanden. Dessa svar kan tyda på en DOS-attack (Denial of Service) eller en angripare som försöker avsöka en känd livedator.

  • Inte konfigurerad
  • Blockera – Inaktivera unicast-svar på multicast-sändningar.
  • Tillåt – Tillåt unicast-svar på multicast-sändningar.

• Inkommande meddelanden
  Standard: Inte konfigurerat
  CSP för brandvägg: DisableInboundNotifications

  • Inte konfigurerad
  • Blockera – Dölj meddelanden för användning när en app blockeras från att lyssna på en port.
  • Tillåt – Aktiverar den här inställningen och kan visa ett meddelande till användare när en app blockeras från att lyssna på en port.

• Standardåtgärd för utgående anslutningar
  Standard: Inte konfigurerat
  CSP för brandvägg: DefaultOutboundAction

  Konfigurera standardåtgärden som brandväggen utför på utgående anslutningar. Den här inställningen tillämpas på Windows version 1809 och senare.

  • Inte konfigurerad
  • Blockera – Standardåtgärden för brandväggen körs inte på utgående trafik om den inte uttryckligen anges att den inte ska blockeras.
  • Tillåt – Standardinställda brandväggsåtgärder körs på utgående anslutningar.

• Standardåtgärd för inkommande anslutningar
  Standard: Inte konfigurerat
  CSP för brandvägg: DefaultInboundAction

  • Inte konfigurerad
  • Blockera – Standardåtgärden för brandväggen körs inte på inkommande anslutningar.
  • Tillåt – Standardåtgärder för brandväggar körs på inkommande anslutningar.

Regelsammanslagningen

• Auktoriserade windows-brandväggsregler från det lokala arkivet
  Standard: Inte konfigurerat
  CSP för brandvägg: AuthAppsAllowUserPrefMerge

  • Inte konfigurerad
  • Blockera – De auktoriserade brandväggsreglerna för program i det lokala arkivet ignoreras och framtvingas inte.
  • Tillåt – Välj Aktivera Tillämpar brandväggsregler i det lokala arkivet så att de identifieras och framtvingas.

• Globala Windows-portbrandväggsregler från det lokala arkivet
  Standard: Inte konfigurerat
  CSP för brandvägg: GlobalPortsAllowUserPrefMerge

  • Inte konfigurerad
  • Blockera – De globala portbrandväggsreglerna i det lokala arkivet ignoreras och framtvingas inte.
  • Tillåt – Använd globala portbrandväggsregler i det lokala arkivet för att identifieras och framtvingas.

• Windows-brandväggsregler från det lokala arkivet
  Standard: Inte konfigurerat
  CSP:n Firewall: AllowLocalPolicyMerge

  • Inte konfigurerad
  • Blockera – Brandväggsregler från det lokala arkivet ignoreras och framtvingas inte.
  • Tillåt – Tillämpa brandväggsregler i det lokala arkivet för att identifieras och framtvingas.

• IPsec-regler från det lokala arkivet
  Standard: Inte konfigurerat
  CSP:n Firewall: AllowLocalIpsecPolicyMerge

  • Inte konfigurerad
  • Blockera – Anslutningssäkerhetsreglerna från det lokala arkivet ignoreras och framtvingas inte, oavsett schemaversion och version av anslutningssäkerhetsregeln.
  • Tillåt – Tillämpa anslutningssäkerhetsregler från det lokala arkivet, oavsett schema- eller anslutningssäkerhetsregelversioner.

Brandväggsregler

Du kan lägga till en eller flera anpassade brandväggsregler. Mer information finns i Lägga till anpassade brandväggsregler för Windows-enheter.

Anpassade brandväggsregler stöder följande alternativ:

Allmänna inställningar

• Namn
  Standard: Inget namn

  Ange ett eget namn för regeln. Det här namnet visas i listan över regler som hjälper dig att identifiera det.

• Beskrivning
  Standard: Ingen beskrivning

  Ange en beskrivning av regeln.

• Riktning
  Standard: Inte konfigurerat
  CSP för brandvägg: FirewallRules/FirewallRuleName/Direction

  Ange om den här regeln gäller för inkommande eller utgående trafik. När den anges som Inte konfigurerad gäller regeln automatiskt för utgående trafik.

• Åtgärd
  Standard: Inte konfigurerat
  CSP för brandvägg: FirewallRules/FirewallRuleName/Action och FirewallRules/FirewallRuleName/Action/Type

  Välj från Tillåt eller Blockera. När den har angetts som Inte konfigurerad tillåts trafik som standard av regeln.

• Nätverkstyp
  Standard: 0 har valts
  CSP för brandvägg: FirewallRules/FirewallRuleName/Profiles

  Välj upp till tre typer av nätverkstyper som den här regeln tillhör. Alternativen är Domän, Privat och Offentlig. Om inga nätverkstyper har valts gäller regeln för alla tre nätverkstyperna.

Programinställningar

• Program
  Standard: Alla

  Kontrollera anslutningar för en app eller ett program. Appar och program kan anges antingen efter filsökväg, paketfamiljenamn eller tjänstnamn:

  • Paketfamiljenamn – Ange ett paketfamiljenamn. Om du vill hitta paketfamiljenamnet använder du PowerShell-kommandot Get-AppxPackage.
    CSP för brandvägg: FirewallRules/FirewallRuleName/App/PackageFamilyName

  • Filsökväg – Du måste ange en filsökväg till en app på klientenheten, som kan vara en absolut sökväg eller en relativ sökväg. Exempel: C:\Windows\System\Notepad.exe eller %WINDIR%\Notepad.exe.
    CSP för brandvägg: FirewallRules/FirewallRuleName/App/FilePath

  • Windows-tjänsten – Ange kortnamnet för Windows-tjänsten om det är en tjänst och inte ett program som skickar eller tar emot trafik. Om du vill hitta tjänstens korta namn använder du PowerShell-kommandot Get-Service.
    CSP för brandvägg: FirewallRules/FirewallRuleName/App/ServiceName

  • Alla – inga konfigurationer krävs

IP-adressinställningar

Ange de lokala adresser och fjärradresser som den här regeln gäller för.

• Lokala adresser
  Standard: Alla adresser
  CSP för brandvägg: FirewallRules/FirewallRuleName/LocalPortRanges

  Välj Valfri adress eller Angiven adress.

  När du använder Angiven adress lägger du till en eller flera adresser som en kommaavgränsad lista över lokala adresser som omfattas av regeln. Giltiga token är:

  • Använd en asterisk * för alla lokala adresser. Om du använder en asterisk måste det vara den enda token som du använder.
  • Ange ett undernät med nätmasken eller nätverksprefixet notation. Om en nätmask eller ett nätverksprefix inte anges är nätmasken som standard 255.255.255.255.255.
  • En giltig IPv6-adress.
  • Ett IPv4-adressintervall i formatet "startadress – slutadress" utan blanksteg.
  • Ett IPv6-adressintervall i formatet "startadress – slutadress" utan blanksteg.

• Fjärradresser
  Standard: Alla adresser
  CSP för brandvägg: FirewallRules/FirewallRuleName/RemoteAddressRanges

  Välj Valfri adress eller Angiven adress.

  När du använder Angiven adress lägger du till en eller flera adresser som en kommaavgränsad lista över fjärradresser som omfattas av regeln. Token är inte skiftlägeskänsliga. Giltiga token är:

  • Använd en asterisk "*" för alla fjärradresser. Om du använder en asterisk måste det vara den enda token som du använder.
  • Defaultgateway
  • DHCP
  • DNS
  • WINS
  • Intranet (stöds i Windows version 1809 och senare)
  • RmtIntranet (stöds i Windows version 1809 och senare)
  • Internet (stöds i Windows version 1809 och senare)
  • Ply2Renders (stöds i Windows version 1809 och senare)
  • LocalSubnet anger en lokal adress i det lokala undernätet.
  • Ange ett undernät med nätmasken eller nätverksprefixet notation. Om en nätmask eller ett nätverksprefix inte anges är nätmasken som standard 255.255.255.255.255.
  • En giltig IPv6-adress.
  • Ett IPv4-adressintervall i formatet "startadress – slutadress" utan blanksteg.
  • Ett IPv6-adressintervall i formatet "startadress – slutadress" utan blanksteg.

Port- och protokollinställningar

Ange de lokala portar och fjärrportar som regeln gäller för.

• Protokoll
  Standard: Alla
  CSP för brandvägg: FirewallRules/FirewallRuleName/Protocol
  Välj mellan följande och slutför alla nödvändiga konfigurationer:
  • Alla – ingen konfiguration är tillgänglig.
  • TCP – Konfigurera lokala portar och fjärrportar. Båda alternativen stöder Alla portar eller Angivna portar. Ange Angivna portar med hjälp av en kommaavgränsad lista.
    • Lokala portar – CSP för brandvägg: FirewallRules/FirewallRuleName/LocalPortRanges
    • Fjärrportar – CSP för brandvägg: FirewallRules/FirewallRuleName/RemotePortRanges
  • UDP – Konfigurera lokala portar och fjärrportar. Båda alternativen stöder Alla portar eller Angivna portar. Ange Angivna portar med hjälp av en kommaavgränsad lista.
    • Lokala portar – CSP för brandvägg: FirewallRules/FirewallRuleName/LocalPortRanges
    • Fjärrportar – CSP för brandvägg: FirewallRules/FirewallRuleName/RemotePortRanges
  • Anpassad – Ange ett anpassat protokollnummer från 0 till 255.

Avancerad konfiguration

• Gränssnittstyper
  Standard: 0 har valts
  CSP för brandvägg: FirewallRules/FirewallRuleName/InterfaceTypes

  Välj bland följande alternativ:

  • Fjärråtkomst
  • Trådlös
  • Lokalt nätverk

• Tillåt endast anslutningar från dessa användare
  Standard: Alla användare (standard för alla användningsområden när ingen lista har angetts)
  CSP för brandvägg: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

  Ange en lista över behöriga lokala användare för den här regeln. En lista över behöriga användare kan inte anges om den här regeln gäller för en Windows-tjänst.

Microsoft Defender SmartScreen-inställningar

Microsoft Edge måste vara installerat på enheten.

• SmartScreen för appar och filer
  Standard: Inte konfigurerat
  CSP för SmartScreen: SmartScreen/EnableSmartScreenInShell

  • Inte konfigurerat – Inaktiverar användning av SmartScreen.
  • Aktivera – Aktivera Windows SmartScreen för filkörning och appar som körs. SmartScreen är en molnbaserad komponent för skydd mot nätfiske och skadlig kod.

• Körning av overifierade filer
  Standard: Inte konfigurerat
  CSP för SmartScreen: SmartScreen/PreventOverrideForFilesInShell

  • Inte konfigurerad – Inaktiverar den här funktionen och tillåter slutanvändare att köra filer som inte har verifierats.
  • Blockera – Förhindra att slutanvändare kör filer som inte har verifierats av Windows SmartScreen.

Windows-kryptering

Windows-inställningar

• Kryptera enheter
  Standard: Inte konfigurerat
  BitLocker CSP: RequireDeviceEncryption

  • Kräv – Uppmana användarna att aktivera enhetskryptering. Beroende på Windows-utgåvan och systemkonfigurationen kan användarna tillfrågas:
    • Bekräfta att kryptering från en annan provider inte är aktiverat.
    • Du måste inaktivera BitLocker-diskkryptering och sedan aktivera BitLocker igen.
  • Inte konfigurerad

  Om Windows-kryptering är aktiverat medan en annan krypteringsmetod är aktiv kan enheten bli instabil.

BitLocker-basinställningar

Basinställningar är universella BitLocker-inställningar för alla typer av dataenheter. De här inställningarna hanterar vilka diskkrypteringsuppgifter eller konfigurationsalternativ som slutanvändaren kan ändra på alla typer av dataenheter.

• Varning för annan diskkryptering
  Standard: Inte konfigurerat
  BitLocker CSP: AllowWarningForOtherDiskEncryption

  • Blockera – Inaktivera varningsmeddelandet om en annan diskkrypteringstjänst finns på enheten.
  • Inte konfigurerat – Tillåt att varningen för annan diskkryptering visas.

  Tips

  Om du vill installera BitLocker automatiskt och tyst på en enhet som är Microsoft Entra-ansluten och kör Windows 1809 eller senare måste den här inställningen anges till Blockera. Mer information finns i Aktivera BitLocker tyst på enheter.

  När värdet är Blockera kan du konfigurera följande inställning:

  • Tillåt standardanvändare att aktivera kryptering under Microsoft Entra-anslutning
    Den här inställningen gäller endast för Microsoft Entra-anslutna enheter (Azure ADJ) och beror på den tidigare inställningen, Warning for other disk encryption.
    Standard: Inte konfigurerat
    BitLocker CSP: AllowStandardUserEncryption

    • Tillåt – Standardanvändare (icke-administratörer) kan aktivera BitLocker-kryptering när de är inloggade.
    • Inte konfigurerad Endast administratörer kan aktivera BitLocker-kryptering på enheten.

  Tips

  Om du vill installera BitLocker automatiskt och tyst på en enhet som är Microsoft Entra-ansluten och kör Windows 1809 eller senare måste den här inställningen vara inställd på Tillåt. Mer information finns i Aktivera BitLocker tyst på enheter.

• Konfigurera krypteringsmetoder
  Standard: Inte konfigurerat
  BitLocker CSP: EncryptionMethodByDriveType

  • Aktivera – Konfigurera krypteringsalgoritmer för operativsystem, data och flyttbara enheter.
  • Inte konfigurerad – BitLocker använder XTS-AES 128-bitars som standardkrypteringsmetod eller använder krypteringsmetoden som anges av ett installationsskript.

  När inställningen är Aktivera kan du konfigurera följande inställningar:

  • Kryptering för operativsystemenheter
    Standard: XTS-AES 128-bitars

    Välj krypteringsmetod för operativsystemenheter. Vi rekommenderar att du använder XTS-AES-algoritmen.

    • AES-CBC 128-bitars
    • AES-CBC 256-bitars
    • XTS-AES 128-bitars
    • XTS-AES 256-bitars

  • Kryptering för fasta dataenheter
    Standard: AES-CBC 128-bitars

    Välj krypteringsmetod för fasta (inbyggda) dataenheter. Vi rekommenderar att du använder XTS-AES-algoritmen.

    • AES-CBC 128-bitars
    • AES-CBC 256-bitars
    • XTS-AES 128-bitars
    • XTS-AES 256-bitars

  • Kryptering för flyttbara dataenheter
    Standard: AES-CBC 128-bitars

    Välj krypteringsmetod för flyttbara dataenheter. Om den flyttbara enheten används med enheter som inte kör Windows 10/11 rekommenderar vi att du använder AES-CBC-algoritmen.

    • AES-CBC 128-bitars
    • AES-CBC 256-bitars
    • XTS-AES 128-bitars
    • XTS-AES 256-bitars

Inställningar för BitLocker OS-enhet

De här inställningarna gäller specifikt för operativsystemdataenheter.

• Ytterligare autentisering vid start
  Standard: Inte konfigurerat
  BitLocker CSP: SystemDrivesRequireStartupAuthentication

  • Kräv – Konfigurera autentiseringskraven för datorstart, inklusive användning av Trusted Platform Module (TPM).
  • Inte konfigurerad – Konfigurera endast grundläggande alternativ på enheter med en TPM.

  När värdet är Kräv kan du konfigurera följande inställningar:

  • BitLocker med icke-kompatibelt TPM-chip
    Standard: Inte konfigurerat

    • Blockera – Inaktivera användning av BitLocker när en enhet inte har ett kompatibelt TPM-chip.
    • Inte konfigurerad – Användare kan använda BitLocker utan ett kompatibelt TPM-chip. BitLocker kan kräva ett lösenord eller en startnyckel.

  • Kompatibel TPM-start
    Standard: Tillåt TPM

    Konfigurera om TPM tillåts, krävs eller inte tillåts.

    • Tillåt TPM
    • Tillåt inte TPM
    • Kräv TPM

  • Kompatibel PIN-kod för TPM-start
    Standard: Tillåt pin-kod för start med TPM

    Välj att tillåta, inte tillåta eller kräva att du använder en pin-kod för start med TPM-kretsen. Aktivering av en PIN-kod för start kräver interaktion från slutanvändaren.

    • Tillåt pin-kod för start med TPM
    • Tillåt inte pin-kod för start med TPM
    • Kräv pin-kod för start med TPM

    Tips

    Om du vill installera BitLocker automatiskt och tyst på en enhet som är Microsoft Entra-ansluten och kör Windows 1809 eller senare får den här inställningen inte vara inställd på Kräv PIN-kod för start med TPM. Mer information finns i Aktivera BitLocker tyst på enheter.

  • Kompatibel TPM-startnyckel
    Standard: Tillåt startnyckel med TPM

    Välj att tillåta, inte tillåta eller kräva att du använder en startnyckel med TPM-kretsen. Aktivering av en startnyckel kräver interaktion från slutanvändaren.

    • Tillåt startnyckel med TPM
    • Tillåt inte startnyckel med TPM
    • Kräv startnyckel med TPM

    Tips

    Om du vill installera BitLocker automatiskt och tyst på en enhet som är Microsoft Entra-ansluten och kör Windows 1809 eller senare får den här inställningen inte vara inställd på Kräv startnyckel med TPM. Mer information finns i Aktivera BitLocker tyst på enheter.

  • Kompatibel TPM-startnyckel och PIN-kod
    Standard: Tillåt startnyckel och PIN-kod med TPM

    Välj att tillåta, inte tillåta eller kräva att du använder en startnyckel och PIN-kod med TPM-chipet. Aktivering av startnyckel och PIN-kod kräver interaktion från slutanvändaren.

    • Tillåt startnyckel och PIN-kod med TPM
    • Tillåt inte startnyckel och PIN-kod med TPM
    • Kräv startnyckel och PIN-kod med TPM

    Tips

    Om du vill installera BitLocker automatiskt och tyst på en enhet som är Microsoft Entra-ansluten och kör Windows 1809 eller senare får den här inställningen inte vara inställd på Kräv startnyckel och PIN-kod med TPM. Mer information finns i Aktivera BitLocker tyst på enheter.

• Minsta PIN-kodslängd
  Standard: Inte konfigurerat
  BitLocker CSP: SystemDrivesMinimumPINLength

  • Möjliggöra Konfigurera en minsta längd för PIN-koden för TPM-start.
  • Inte konfigurerad – Användare kan konfigurera en PIN-kod för start av valfri längd mellan 6 och 20 siffror.

  När värdet är Aktivera kan du konfigurera följande inställning:

  • Minsta tecken
    Standard: Inte konfigurerad BitLocker CSP: SystemDrivesMinimumPINLength

    Ange det antal tecken som krävs för pin-koden för start från 4-20.

• Återställning av operativsystemenhet
  Standard: Inte konfigurerat
  BitLocker CSP: SystemDrivesRecoveryOptions

  • Aktivera – Styr hur BitLocker-skyddade operativsystemenheter återställs när nödvändig startinformation inte är tillgänglig.
  • Inte konfigurerat – Standardåterställningsalternativ stöds inklusive DRA. Slutanvändaren kan ange återställningsalternativ. Återställningsinformationen säkerhetskopieras inte till AD DS.

  När inställningen är Aktivera kan du konfigurera följande inställningar:

  • Certifikatbaserad dataåterställningsagent
    Standard: Inte konfigurerat

    • Blockera – Förhindra användning av dataåterställningsagent med BitLocker-skyddade OS-enheter.
    • Inte konfigurerad – Tillåt att dataåterställningsagenter används med BitLocker-skyddade operativsystemenheter.

  • Skapa återställningslösenord för användare
    Standard: Tillåt 48-siffrigt återställningslösenord

    Välj om användare tillåts, krävs eller inte får generera ett 48-siffrigt återställningslösenord.

    • Tillåt 48-siffrigt återställningslösenord
    • Tillåt inte 48-siffrigt återställningslösenord
    • Kräv 48-siffrigt återställningslösenord

  • Skapa återställningsnyckel för användare
    Standard: Tillåt 256-bitars återställningsnyckel

    Välj om användare tillåts, krävs eller inte får generera en 256-bitars återställningsnyckel.

    • Tillåt 256-bitars återställningsnyckel
    • Tillåt inte 256-bitars återställningsnyckel
    • Kräv 256-bitars återställningsnyckel

  • Återställningsalternativ i installationsguiden för BitLocker
    Standard: Inte konfigurerat

    • Blockera – Användarna kan inte se och ändra återställningsalternativen. När det är inställt på
    • Inte konfigurerad – Användarna kan se och ändra återställningsalternativen när de aktiverar BitLocker.

  • Spara BitLocker-återställningsinformation till Microsoft Entra-ID
    Standard: Inte konfigurerat

    • Aktivera – Lagra BitLocker-återställningsinformation till Microsoft Entra-ID.
    • Inte konfigurerad – BitLocker-återställningsinformation lagras inte i Microsoft Entra-ID.

  • BitLocker-återställningsinformation som lagras i Microsoft Entra-ID
    Standard: Säkerhetskopiering av återställningslösenord och nyckelpaket

    Konfigurera vilka delar av BitLocker-återställningsinformation som lagras i Microsoft Entra-ID. Välj mellan:

    • Säkerhetskopiera återställningslösenord och nyckelpaket
    • Endast lösenord för säkerhetskopieringsåterställning

  • Klientdriven rotering av återställningslösenord
    Standard: Inte konfigurerat
    BitLocker CSP: ConfigureRecoveryPasswordRotation

    Den här inställningen initierar en klientdriven återställningslösenordsrotation efter en återställning av operativsystemenhet (antingen med bootmgr eller WinRE).

    • Inte konfigurerad
    • Nyckelrotation inaktiverad
    • Nyckelrotation aktiverad för Microsoft Entra-anslutna deices
    • Nyckelrotation aktiverad för Microsoft Entra-ID och Hybrid-anslutna enheter

  • Lagra återställningsinformation i Microsoft Entra-ID innan du aktiverar BitLocker
    Standard: Inte konfigurerat

    Hindra användare från att aktivera BitLocker om inte datorn säkerhetskopierar BitLocker-återställningsinformationen till Microsoft Entra-ID.

    • Kräv – Hindra användare från att aktivera BitLocker om inte BitLocker-återställningsinformationen har lagrats i Microsoft Entra-ID.
    • Inte konfigurerat – Användare kan aktivera BitLocker, även om återställningsinformation inte har lagrats i Microsoft Entra-ID.

• Återställningsmeddelande och URL före start
  Standard: Inte konfigurerat
  BitLocker CSP: SystemDrivesRecoveryMessage

  • Aktivera – Konfigurera meddelandet och URL:en som visas på återställningsskärmen för förstartsnyckeln.
  • Inte konfigurerad – Inaktivera den här funktionen.

  När värdet är Aktivera kan du konfigurera följande inställning:

  • Återställningsmeddelande före start
    Standard: Använd standardåterställningsmeddelande och URL

    Konfigurera hur återställningsmeddelandet före start visas för användarna. Välj mellan:

    • Använd standardåterställningsmeddelande och URL
    • Använd tomt återställningsmeddelande och url
    • Använda anpassat återställningsmeddelande
    • Använda anpassad återställnings-URL

BitLocker-inställningar för fast dataenhet

De här inställningarna gäller specifikt för fasta dataenheter.

• Skrivåtkomst till fast dataenhet som inte skyddas av BitLocker
  Standard: Inte konfigurerat
  BitLocker CSP: FixedDrivesRequireEncryption

  • Blockera – Ge skrivskyddad åtkomst till dataenheter som inte är BitLocker-skyddade.
  • Inte konfigurerad – som standard läs- och skrivåtkomst till dataenheter som inte är krypterade.

• Återställning av fast enhet
  Standard: Inte konfigurerat
  BitLocker CSP: FixedDrivesRecoveryOptions

  • Aktivera – Styr hur BitLocker-skyddade fasta enheter återställs när nödvändig startinformation inte är tillgänglig.
  • Inte konfigurerad – Inaktivera den här funktionen.

  När inställningen är Aktivera kan du konfigurera följande inställningar:

  • Dataåterställningsagent
    Standard: Inte konfigurerat

    • Blockera – Förhindra användning av dataåterställningsagenten med Principredigeraren för BitLocker-skyddade fasta enheter.
    • Inte konfigurerad – Aktiverar användning av dataåterställningsagenter med BitLocker-skyddade fasta enheter.

  • Skapa återställningslösenord för användare
    Standard: Tillåt 48-siffrigt återställningslösenord

    Välj om användare tillåts, krävs eller inte får generera ett 48-siffrigt återställningslösenord.

    • Tillåt 48-siffrigt återställningslösenord
    • Tillåt inte 48-siffrigt återställningslösenord
    • Kräv 48-siffrigt återställningslösenord

  • Skapa återställningsnyckel för användare
    Standard: Tillåt 256-bitars återställningsnyckel

    Välj om användare tillåts, krävs eller inte får generera en 256-bitars återställningsnyckel.

    • Tillåt 256-bitars återställningsnyckel
    • Tillåt inte 256-bitars återställningsnyckel
    • Kräv 256-bitars återställningsnyckel

  • Återställningsalternativ i installationsguiden för BitLocker
    Standard: Inte konfigurerat

    • Blockera – Användarna kan inte se och ändra återställningsalternativen. När det är inställt på
    • Inte konfigurerad – Användarna kan se och ändra återställningsalternativen när de aktiverar BitLocker.

  • Spara BitLocker-återställningsinformation till Microsoft Entra-ID
    Standard: Inte konfigurerat

    • Aktivera – Lagra BitLocker-återställningsinformation till Microsoft Entra-ID.
    • Inte konfigurerad – BitLocker-återställningsinformation lagras inte i Microsoft Entra-ID.

  • BitLocker-återställningsinformation som lagras i Microsoft Entra-ID
    Standard: Säkerhetskopiering av återställningslösenord och nyckelpaket

    Konfigurera vilka delar av BitLocker-återställningsinformation som lagras i Microsoft Entra-ID. Välj mellan:

    • Säkerhetskopiera återställningslösenord och nyckelpaket
    • Endast lösenord för säkerhetskopieringsåterställning

  • Lagra återställningsinformation i Microsoft Entra-ID innan du aktiverar BitLocker
    Standard: Inte konfigurerat

    Hindra användare från att aktivera BitLocker om inte datorn säkerhetskopierar BitLocker-återställningsinformationen till Microsoft Entra-ID.

    • Kräv – Hindra användare från att aktivera BitLocker om inte BitLocker-återställningsinformationen har lagrats i Microsoft Entra-ID.
    • Inte konfigurerat – Användare kan aktivera BitLocker, även om återställningsinformation inte har lagrats i Microsoft Entra-ID.

BitLocker-inställningar för flyttbara dataenheter

De här inställningarna gäller specifikt för flyttbara dataenheter.

• Skrivåtkomst till flyttbar dataenhet som inte skyddas av BitLocker
  Standard: Inte konfigurerat
  BITLocker CSP: RemovableDrivesRequireEncryption

  • Blockera – Ge skrivskyddad åtkomst till dataenheter som inte är BitLocker-skyddade.
  • Inte konfigurerad – som standard läs- och skrivåtkomst till dataenheter som inte är krypterade.

  När värdet är Aktivera kan du konfigurera följande inställning:

  • Skrivåtkomst till enheter som konfigurerats i en annan organisation
    Standard: Inte konfigurerat

    • Blockera – Blockera skrivåtkomst till enheter som konfigurerats i en annan organisation.
    • Inte konfigurerad – Neka skrivåtkomst.

Microsoft Defender Exploit Guard

Använd exploateringsskydd för att hantera och minska attackytan för appar som används av dina anställda.

Minskning av attackytan

Regler för minskning av attackytan hjälper till att förhindra beteenden som skadlig kod ofta använder för att infektera datorer med skadlig kod.

Regler för minskning av attackytan

Mer information finns i Regler för minskning av attackytan i dokumentationen för Microsoft Defender för Endpoint.

Sammanslagningsbeteende för regler för minskning av attackytan i Intune:

Regler för minskning av attackytan stöder en sammanslagning av inställningar från olika principer för att skapa en överordnad principuppsättning för varje enhet. Endast de inställningar som inte är i konflikt slås samman, medan inställningar som är i konflikt inte läggs till i superuppsättningen med regler. Om två principer tidigare innehöll konflikter för en enda inställning flaggades båda principerna som i konflikt och inga inställningar från någon av profilerna skulle distribueras.

Beteendet för regelsammanslagning för minskning av attackytan är följande:

• Regler för minskning av attackytan från följande profiler utvärderas för varje enhet som reglerna gäller för:
  • Enhetskonfigurationsprincip >> Endpoint Protection-profil > Microsoft Defender Exploit Guard >Minskning av attackytan
  • Policy för minskning av > attackytans slutpunktssäkerhet >– regler för minskning av attackytan
  • Säkerhetsbaslinjer för slutpunktssäkerhet >> Microsoft Defender för slutpunktsbaslinje >, regler för minskning av attackytan.
• Inställningar som inte har konflikter läggs till i en överordnad principuppsättning för enheten.
• När två eller flera principer har motstridiga inställningar läggs inte de motstridiga inställningarna till i den kombinerade principen. Inställningar som inte är i konflikt läggs till i superuppsättningsprincipen som gäller för en enhet.
• Endast konfigurationerna för motstridiga inställningar hålls tillbaka.

Inställningar i den här profilen:

• Flagga stöld av autentiseringsuppgifter från undersystemet windows local security authority
  Standard: Inte konfigurerat
  Regel: Blockera stöld av autentiseringsuppgifter från undersystemet för den lokala säkerhetsmyndigheten i Windows (lsass.exe)

  Hjälp till att förhindra åtgärder och appar som vanligtvis används av sårbarhetssökande skadlig kod för att infektera datorer.

  • Inte konfigurerad
  • Aktivera – Flagga stöld av autentiseringsuppgifter från undersystemet windows local security authority (lsass.exe).
  • Granska endast

• Processskapande från Adobe Reader (beta)
  Standard: Inte konfigurerat
  Regel: Blockera Adobe Reader från att skapa underordnade processer

  • Inte konfigurerad
  • Aktivera – Blockera underordnade processer som skapas från Adobe Reader.
  • Granska endast

Regler för att förhindra office-makrohot

Blockera Office-appar från att vidta följande åtgärder:

• Office-appar som matas in i andra processer (inga undantag)
  Standard: Inte konfigurerat
  Regel: Blockera Office-program från att mata in kod i andra processer

  • Inte konfigurerad
  • Blockera – Blockera Office-appar från att mata in i andra processer.
  • Granska endast

• Office-appar/makron skapar körbart innehåll
  Standard: Inte konfigurerat
  Regel: Blockera Office-program från att skapa körbart innehåll

  • Inte konfigurerad
  • Blockera – Blockera Office-appar och -makron från att skapa körbart innehåll.
  • Granska endast

• Office-appar startar underordnade processer
  Standard: Inte konfigurerat
  Regel: Blockera alla Office-program från att skapa underordnade processer

  • Inte konfigurerad
  • Blockera – Blockera Office-appar från att starta underordnade processer.
  • Granska endast

• Win32-importer från Office-makrokod
  Standard: Inte konfigurerat
  Regel: Blockera Win32 API-anrop från Office-makron

  • Inte konfigurerad
  • Blockera – Blockera Win32-importer från makrokod i Office.
  • Granska endast

• Processskapande från Office-kommunikationsprodukter
  Standard: Inte konfigurerat
  Regel: Blockera Office-kommunikationsprogram från att skapa underordnade processer

  • Inte konfigurerad
  • Aktivera – Blockera skapande av underordnade processer från Office-kommunikationsappar.
  • Granska endast

Regler för att förhindra skripthot

Blockera följande för att förhindra skripthot:

• Dold js/vbs/ps/makrokod
  Standard: Inte konfigurerat
  Regel: Blockera körning av potentiellt dolda skript

  • Inte konfigurerad
  • Blockera – Blockera eventuell dold js/vbs/ps/makrokod.
  • Granska endast

• js/vbs som kör nyttolasten som laddats ned från Internet (inga undantag)
  Standard: Inte konfigurerat
  Regel: Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll

  • Inte konfigurerad
  • Blockera – Blockera js/vbs från att köra nyttolasten som laddats ned från Internet.
  • Granska endast

• Processskapande från PSExec- och WMI-kommandon
  Standard: Inte konfigurerat
  Regel: Blockera processskapanden som kommer från PSExec- och WMI-kommandon

  • Inte konfigurerad
  • Blockera – Blockera processskapanden som kommer från PSExec- och WMI-kommandon.
  • Granska endast

• Icke betrodda och osignerade processer som körs från USB
  Standard: Inte konfigurerat
  Regel: Blockera obetrodda och osignerade processer som körs från USB

  • Inte konfigurerad
  • Blockera – Blockera obetrodda och osignerade processer som körs från USB.
  • Granska endast

• Körbara filer som inte uppfyller kriterier för prevalens, ålder eller betrodd lista
  Standard: Inte konfigurerat
  Regel: Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista

  • Inte konfigurerad
  • Blockera – Blockera körbara filer från att köras om de inte uppfyller ett villkor för prevalens, ålder eller betrodd lista.
  • Granska endast

Regler för att förhindra e-posthot

Blockera följande för att förhindra e-posthot:

• Körning av körbart innehåll (exe, dll, ps, js, vbs osv.) som tagits bort från e-post (webmail/e-postklient) (inga undantag)
  Standard: Inte konfigurerat
  Regel: Blockera körbart innehåll från e-postklienten och webbmeddelandet

  • Inte konfigurerad
  • Blockera – Blockera körning av körbart innehåll (exe, dll, ps, js, vbs osv.) som tagits bort från e-post (webmail/mail-client).
  • Granska endast

Regler för att skydda mot utpressningstrojaner

• Avancerat skydd mot utpressningstrojaner
  Standard: Inte konfigurerat
  Regel: Använd avancerat skydd mot utpressningstrojaner

  • Inte konfigurerad
  • Aktivera – Använd aggressivt skydd mot utpressningstrojaner.
  • Granska endast

Undantag för minskning av attackytan

• Filer och mappar som ska undantas från regler för minskning av attackytan
  CSP för Defender: AttackSurfaceReductionOnlyExclusions

  • Importera en .csv fil som innehåller filer och mappar som ska undantas från regler för minskning av attackytan.
  • Lägg till lokala filer eller mappar manuellt.

Reglerad mappåtkomst

Skydda värdefulla data från skadliga appar och hot, till exempel utpressningstrojaner.

• Mappskydd
  Standard: Inte konfigurerat
  Defender CSP: EnableControlledFolderAccess

  Skydda filer och mappar från obehöriga ändringar av ovänliga appar.

  • Inte konfigurerad
  • Möjliggöra
  • Granska endast
  • Blockera diskändring
  • Granska diskändring

  När du väljer en annan konfiguration än Inte konfigurerad kan du sedan konfigurera:

  • Lista över appar som har åtkomst till skyddade mappar
    CSP för Defender: ControlledFolderAccessAllowedApplications

    • Importera en .csv fil som innehåller en applista.
    • Lägg till appar i den här listan manuellt.

  • Lista över ytterligare mappar som behöver skyddas
    CSP för Defender: ControlledFolderAccessProtectedFolders

    • Importera en .csv fil som innehåller en mapplista.
    • Lägg till mappar i den här listan manuellt.

Nätverksfiltrering

Blockera utgående anslutningar från alla appar till IP-adresser eller domäner med lågt rykte. Nätverksfiltrering stöds i både gransknings- och blockeringsläge.

• Nätverksskydd
  Standard: Inte konfigurerat
  Defender CSP: EnableNetworkProtection

  Syftet med den här inställningen är att skydda slutanvändarna från appar med åtkomst till nätfiskebedrägerier, exploateringsvärdwebbplatser och skadligt innehåll på Internet. Det förhindrar också att webbläsare från tredje part ansluter till farliga platser.

  • Inte konfigurerad – Inaktivera den här funktionen. Användare och appar blockeras inte från att ansluta till farliga domäner. Administratörer kan inte se den här aktiviteten i Microsoft Defender Security Center.
  • Aktivera – Aktivera nätverksskydd och blockera användare och appar från att ansluta till farliga domäner. Administratörer kan se den här aktiviteten i Microsoft Defender Security Center.
  • Endast granskning: – Användare och appar blockeras inte från att ansluta till farliga domäner. Administratörer kan se den här aktiviteten i Microsoft Defender Security Center.

Exploateringsskydd

• Ladda upp XML
  Standard: Inte konfigurerat

  Om du vill använda Sårbarhetsskydd för att skydda enheter från kryphål skapar du en XML-fil som innehåller de inställningar för system- och programreducering som du vill använda. Det finns två metoder för att skapa XML-filen:

  • PowerShell – Använd en eller flera av PowerShell-cmdletarna Get-ProcessMitigation, Set-ProcessMitigation och ConvertTo-ProcessMitigationPolicy . Cmdletarna konfigurerar åtgärdsinställningar och exporterar en XML-representation av dem.

  • Användargränssnitt för Microsoft Defender Security Center – I Microsoft Defender Security Center väljer du App & webbläsarkontroll och bläddrar sedan längst ned på den resulterande skärmen för att hitta Exploit Protection. Använd först flikarna Systeminställningar och Programinställningar för att konfigurera åtgärdsinställningar. Leta sedan upp länken Exportera inställningar längst ned på skärmen för att exportera en XML-representation av dem.

• Användarredigering av gränssnittet för sårbarhetsskydd
  Standard: Inte konfigurerat
  ExploitGuard CSP: ExploitProtectionSettings

  • Blockera – Ladda upp en XML-fil som gör att du kan konfigurera minnes-, kontrollflödes- och principbegränsningar. Inställningarna i XML-filen kan användas för att blockera ett program från kryphål.
  • Inte konfigurerad – Ingen anpassad konfiguration används.

Microsoft Defender-programkontroll

Välj appar som ska granskas av eller som är betrodda att köras av Microsoft Defender Application Control. Windows-komponenter och alla appar från Windows Store är automatiskt betrodda att köras.

• Kodintegritetsprinciper för programkontroll
  Standard: Inte konfigurerat
  CSP: AppLocker CSP

  • Framtvinga – Välj kodintegritetsprinciper för programkontroll för användarnas enheter.

    När programkontrollen har aktiverats på en enhet kan den bara inaktiveras genom att ändra läget från Framtvinga till Endast granskning. Om du ändrar läget från Framtvinga till Inte konfigurerad fortsätter programkontrollen att tillämpas på tilldelade enheter.

  • Inte konfigurerad – Programkontroll läggs inte till på enheter. Inställningar som tidigare lagts till fortsätter dock att tillämpas på tilldelade enheter.

  • Endast granskning – program blockeras inte. Alla händelser loggas i den lokala klientens loggar.

    Obs!

    Om du använder den här inställningen uppmanar AppLocker CSP-beteende för närvarande slutanvändaren att starta om datorn när en princip distribueras.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard skyddar mot stöld av autentiseringsuppgifter. Det isolerar hemligheter så att endast privilegierad systemprogramvara kan komma åt dem.

• Credential Guard
  Standard: Inaktivera
  DeviceGuard CSP

  • Inaktivera – Fjärraktivera Credential Guard om den tidigare var aktiverad med alternativet Aktiverad utan UEFI-lås .

  • Aktivera med UEFI-lås – Credential Guard kan inte fjärraktiveras med hjälp av en registernyckel eller grupprincip.

    Obs!

    Om du använder den här inställningen och senare vill inaktivera Credential Guard måste du ställa in grupprincipen på Inaktiverad. Och rensa UEFI-konfigurationsinformationen fysiskt från varje dator. Så länge UEFI-konfigurationen kvarstår är Credential Guard aktiverat.

  • Aktivera utan UEFI-lås – Tillåter att Credential Guard fjärraktiveras med hjälp av grupprincip. De enheter som använder den här inställningen måste köra Windows 10 version 1511 och senare, eller Windows 11.

  När du aktiverar Credential Guard aktiveras även följande nödvändiga funktioner:

  • Virtualiseringsbaserad säkerhet (VBS)
    Aktiveras vid nästa omstart. Virtualiseringsbaserad säkerhet använder Windows Hypervisor för att ge stöd för säkerhetstjänster.
  • Säker start med åtkomst till katalogminne
    Aktiverar VBS med skydd för säker start och direkt minnesåtkomst (DMA). DMA-skydd kräver maskinvarustöd och aktiveras endast på korrekt konfigurerade enheter.

Microsoft Defender Security Center

Microsoft Defender Security Center fungerar som en separat app eller process från var och en av de enskilda funktionerna. Den visar meddelanden via Åtgärdscenter. Den fungerar som en insamlare eller en enda plats för att se statusen och köra en konfiguration för var och en av funktionerna. Läs mer i Microsoft Defender-dokumenten .

Microsoft Defender Security Center-app och meddelanden

Blockera slutanvändarens åtkomst till de olika områdena i Microsoft Defender Security Center-appen. Om du döljer ett avsnitt blockeras även relaterade meddelanden.

• Skydd mot virus och hot
  Standard: Inte konfigurerat
  CSP för WindowsDefenderSecurityCenter: DisableVirusUI

  Konfigurera om slutanvändare kan visa området skydd mot virus och hot i Microsoft Defender Security Center. Om du döljer det här avsnittet blockeras även alla meddelanden som rör virus- och hotskydd.

  • Inte konfigurerad
  • Gömma

• Skydd mot utpressningstrojaner
  Standard: Inte konfigurerat
  CSP för WindowsDefenderSecurityCenter: HideRansomwareDataRecovery

  Konfigurera om slutanvändarna kan visa området skydd mot utpressningstrojaner i Microsoft Defender Security Center. Om du döljer det här avsnittet blockeras även alla meddelanden som rör skydd mot utpressningstrojaner.

  • Inte konfigurerad
  • Gömma

• Kontoskydd
  Standard: Inte konfigurerat
  CSP för WindowsDefenderSecurityCenter: DisableAccountProtectionUI

  Konfigurera om slutanvändare kan visa området Kontoskydd i Microsoft Defender Security Center. Om du döljer det här avsnittet blockeras även alla meddelanden som rör kontoskydd.

  • Inte konfigurerad
  • Gömma

• Brandväggs- och nätverksskydd
  Standard: Inte konfigurerat
  CSP för WindowsDefenderSecurityCenter: DisableNetworkUI

  Konfigurera om slutanvändare kan visa området Brandvägg och nätverksskydd i Microsoft Defender Security Center. Om du döljer det här avsnittet blockeras även alla meddelanden som rör brandvägg och nätverksskydd.

  • Inte konfigurerad
  • Gömma

• App- och webbläsarkontroll
  Standard: Inte konfigurerat
  CSP för WindowsDefenderSecurityCenter: DisableAppBrowserUI

  Konfigurera om slutanvändarna kan visa kontrollområdet App och webbläsare i Microsoft Defender Security Center. Om du döljer det här avsnittet blockeras även alla meddelanden som rör app- och webbläsarkontroll.

  • Inte konfigurerad
  • Gömma

• Maskinvaruskydd
  Standard: Inte konfigurerat
  CSP för WindowsDefenderSecurityCenter: DisableDeviceSecurityUI

  Konfigurera om slutanvändare kan visa området Maskinvaruskydd i Microsoft Defender Security Center. Om du döljer det här avsnittet blockeras även alla meddelanden som rör maskinvaruskydd.

  • Inte konfigurerad
  • Gömma

• Enhetens prestanda och hälsa
  Standard: Inte konfigurerat
  CSP för WindowsDefenderSecurityCenter: DisableHealthUI

  Konfigurera om slutanvändarna kan visa området Enhetsprestanda och hälsotillstånd i Microsoft Defender Security Center. Om du döljer det här avsnittet blockeras även alla meddelanden som rör enhetens prestanda och hälsa.

  • Inte konfigurerad
  • Gömma

• Familjealternativ
  Standard: Inte konfigurerat
  CSP för WindowsDefenderSecurityCenter: DisableFamilyUI

  Konfigurera om slutanvändarna kan visa området Familjealternativ i Microsoft Defender Security Center. Om du döljer det här avsnittet blockeras även alla meddelanden som är relaterade till familjealternativ.

  • Inte konfigurerad
  • Gömma

• Meddelanden från de områden som visas i appen
  Standard: Inte konfigurerat
  CSP för WindowsDefenderSecurityCenter: DisableNotifications

  Välj vilka meddelanden som ska visas för slutanvändarna. Icke-kritiska meddelanden innehåller sammanfattningar av Microsoft Defender Antivirus-aktivitet, inklusive meddelanden när genomsökningar har slutförts. Alla andra meddelanden anses vara kritiska.

  • Inte konfigurerad
  • Blockera icke-kritiska meddelanden
  • Blockera alla meddelanden

• Windows Security Center-ikonen i systemfältet
  Standard: Inte konfigurerad CSP för WindowsDefenderSecurityCenter: HideWindowsSecurityNotificationAreaControl

  Konfigurera visningen av meddelandeområdeskontrollen. Användaren måste antingen logga ut och logga in eller starta om datorn för att den här inställningen ska börja gälla.

  • Inte konfigurerad
  • Gömma

• Knappen Rensa TPM
  Standard: Inte konfigurerad CSP för WindowsDefenderSecurityCenter: DisableClearTpmButton

  Konfigurera visningen av knappen Rensa TPM.

  • Inte konfigurerad
  • Inaktivera

• Varning om uppdatering av inbyggd TPM-programvara
  Standard: Inte konfigurerad CSP för WindowsDefenderSecurityCenter: DisableTpmFirmwareUpdateWarning

  Konfigurera visning av uppdatering av inbyggd TPM-programvara när en sårbar inbyggd programvara identifieras.

  • Inte konfigurerad
  • Gömma

• Manipulationsskydd
  Standard: Inte konfigurerat

  Aktivera eller inaktivera manipulationsskydd på enheter. Om du vill använda manipulationsskydd måste du integrera Microsoft Defender för Endpoint med Intune och ha Enterprise Mobility + Security E5-licenser.

  • Inte konfigurerad – Ingen ändring görs i enhetsinställningarna.
  • Aktiverad – Manipulationsskydd är aktiverat och begränsningar tillämpas på enheter.
  • Inaktiverad – Manipulationsskydd är inaktiverat och begränsningar tillämpas inte.

IT-kontaktinformation

Ange IT-kontaktinformation som ska visas i Microsoft Defender Security Center-appen och appaviseringar.

Du kan välja att Visa i appen och i meddelanden, Visa endast i appen, Visa endast i meddelanden eller Visa inte. Ange IT-organisationens namn och minst ett av följande kontaktalternativ:

• IT-kontaktuppgifter
  Standard: Visa inte
  CSP för WindowsDefenderSecurityCenter: EnableCustomizedToasts

  Konfigurera var IT-kontaktuppgifter ska visas för slutanvändarna.

  • Visa i appen och i meddelanden
  • Visa endast i appen
  • Visa endast i meddelanden
  • Visa inte

  När du har konfigurerat att visa kan du konfigurera följande inställningar:

  • IT-organisationsnamn
    Standard: Inte konfigurerat
    CSP för WindowsDefenderSecurityCenter: CompanyName

  • IT-avdelningens telefonnummer eller Skype-ID
    Standard: Inte konfigurerat
    CSP för WindowsDefenderSecurityCenter: Phone

  • E-postadress till IT-avdelningen
    Standard: Inte konfigurerat
    CSP för WindowsDefenderSecurityCenter: E-post

  • URL för IT-supportwebbplats
    Standard: Inte konfigurerat
    CSP:en WindowsDefenderSecurityCenter: URL

Säkerhetsalternativ för lokala enheter

Använd de här alternativen för att konfigurera de lokala säkerhetsinställningarna på Windows 10/11-enheter.

Konton

• Lägga till nya Microsoft-konton
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: Accounts_BlockMicrosoftAccounts

  • Block Förhindra användare från att lägga till nya Microsoft-konton på enheten.
  • Inte konfigurerad – Användare kan använda Microsoft-konton på enheten.

• Fjärrinloggning utan lösenord
  Standard: Inte konfigurerat
  CSP:en LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

  • Blockera – Tillåt endast lokala konton med tomma lösenord att logga in med enhetens tangentbord.
  • Inte konfigurerad – Tillåt att lokala konton med tomma lösenord loggar in från andra platser än den fysiska enheten.

Administratör

• Lokalt administratörskonto
  Standard: Inte konfigurerat
  CSP:en LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

  • Block Förhindra användning av ett lokalt administratörskonto.
  • Inte konfigurerad

• Byt namn på administratörskonto
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: Accounts_RenameAdministratorAccount

  Definiera ett annat kontonamn som ska associeras med säkerhetsidentifieraren (SID) för kontot "Administratör".

Gäst

• Gästkonto
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: LocalPoliciesSecurityOptions

  • Blockera – Förhindra användning av ett gästkonto.
  • Inte konfigurerad

• Byt namn på gästkonto
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: Accounts_RenameGuestAccount

  Definiera ett annat kontonamn som ska associeras med säkerhetsidentifieraren (SID) för kontot "Gäst".

Enheter

• Ta bort dockning av enhet utan inloggning
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: Devices_AllowUndockWithoutHavingToLogon

  • Blockera – En användare måste logga in på enheten och få behörighet att avdocka enheten.
  • Inte konfigurerad – Användarna kan trycka på en dockad bärbar enhets fysiska utmatningsknapp för att på ett säkert sätt koppla bort enheten.

• Installera skrivardrivrutiner för delade skrivare
  Standard: Inte konfigurerat
  CSP:Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters LocalPoliciesSecurityOptions

  • Aktiverad – Alla användare kan installera en skrivardrivrutin som en del av anslutningen till en delad skrivare.
  • Inte konfigurerad – Endast administratörer kan installera en skrivardrivrutin som en del av anslutningen till en delad skrivare.

• Begränsa CD-ROM-åtkomst till lokal aktiv användare
  Standard: Inte konfigurerat
  CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

  • Aktiverad – Endast den interaktivt inloggade användaren kan använda CD-ROM-mediet. Om den här principen är aktiverad och ingen är inloggad interaktivt kommer CD-ROM-enheten att nås via nätverket.
  • Inte konfigurerad – Alla har åtkomst till CD-ROM.

• Formatera och mata ut flyttbara medier
  Standard: Administratörer
  CSP: Devices_AllowedToFormatAndEjectRemovableMedia

  Definiera vem som får formatera och mata ut flyttbara NTFS-media:

  • Inte konfigurerad
  • Administratörer
  • Administratörer och power-användare
  • Administratörer och interaktiva användare

Interaktiv inloggning

• Minuter av inaktivitet på låsskärmen tills skärmsläckaren aktiveras
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: InteractiveLogon_MachineInactivityLimit

  Ange maximalt antal minuter av inaktivitet tills skärmsläckare aktiveras. (0 - 99999)

• Kräv CTRL+ALT+DEL för att logga in
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: InteractiveLogon_DoNotRequireCTRLALTDEL

  • Aktivera – Kräv att användarna trycker på CTRL+ALT+DEL innan de loggar in på Windows.
  • Inte konfigurerad – Om du trycker på CTRL+ALT+DEL krävs det inte för att användarna ska kunna logga in.

• Beteende vid borttagning av smartkort
  Standard: Csp:n LocalPoliciesSecurityOptions: InteractiveLogon_SmartCardRemovalBehavior

  Avgör vad som händer när smartkortet för en inloggad användare tas bort från smartkortsläsaren. Dina alternativ:

  • Lås arbetsstation – Arbetsstationen låses när smartkortet tas bort. Med det här alternativet kan användare lämna området, ta med sig smartkortet och ändå underhålla en skyddad session.
  • Ingen åtgärd
  • Tvinga utloggning – Användaren loggas ut automatiskt när smartkortet tas bort.
  • Koppla från om en fjärrskrivbordstjänstsession – Borttagning av smartkortet kopplar från sessionen utan att logga ut användaren. Med det här alternativet kan användaren infoga smartkortet och återuppta sessionen senare, eller på en annan dator med smartkortsläsare, utan att behöva logga in igen. Om sessionen är lokal fungerar den här principen identiskt med Lås arbetsstation.

Visning

• Användarinformation på låsskärmen
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

  Konfigurera den användarinformation som visas när sessionen är låst. Om det inte är konfigurerat visas användarens visningsnamn, domän och användarnamn.

  • Inte konfigurerad
  • Användarens visningsnamn, domän och användarnamn
  • Endast användarens visningsnamn
  • Visa inte användarinformation

• Dölj senast inloggad användare
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayLastSignedIn

  • Aktivera – Dölj användarnamnet.
  • Inte konfigurerat – Visa det senaste användarnamnet.

• Dölj användarnamn vid inloggningstandard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayUsernameAtSignIn

  • Aktivera – Dölj användarnamnet.
  • Inte konfigurerat – Visa det senaste användarnamnet.

• Rubrik på inloggningsmeddelande
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

  Ange meddelanderubriken för användare som loggar in.

• Meddelandetext för inloggning
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

  Ange meddelandetexten för användare som loggar in.

Nätverksåtkomst och säkerhet

• Anonym åtkomst till namngivna pipes och resurser
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

  • Inte konfigurerad – Begränsa anonym åtkomst till delnings- och namngivna pipe-inställningar. Gäller för de inställningar som kan nås anonymt.
  • Blockera – Inaktivera den här principen, vilket gör anonym åtkomst tillgänglig.

• Anonym uppräkning av SAM-konton
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

  • Inte konfigurerad – Anonyma användare kan räkna upp SAM-konton.
  • Blockera – Förhindra anonym uppräkning av SAM-konton.

• Anonym uppräkning av SAM-konton och -resurser
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

  • Inte konfigurerad – Anonyma användare kan räkna upp namnen på domänkonton och nätverksresurser.
  • Blockera – Förhindra anonym uppräkning av SAM-konton och -resurser.

• LAN Manager-hashvärde som lagras vid lösenordsändring
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

  Kontrollera om hash-värdet för lösenord lagras nästa gång lösenordet ändras.

  • Inte konfigurerat – hash-värdet lagras inte
  • Blockera – LAN Manager (LM) lagrar hash-värdet för det nya lösenordet.

• PKU2U-autentiseringsbegäranden
  Standard: Inte konfigurerat
  CSP:en LocalPoliciesSecurityOptions: NetworkSecurity_AllowPKU2UAuthenticationRequests

  • Inte konfigurerad – Tillåt PU2U-begäranden.
  • Blockera – Blockera PKU2U-autentiseringsbegäranden till enheten.

• Begränsa RPC-fjärranslutningar till SAM
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

  • Inte konfigurerad – Använd standardsäkerhetsbeskrivningen, som kan göra det möjligt för användare och grupper att göra RPC-fjärranrop till SAM.

  • Tillåt – Neka användare och grupper från att göra fjärr-RPC-anrop till Säkerhetskontohanteraren (SAM), som lagrar användarkonton och lösenord. Tillåt låter dig också ändra standardsträngen för SDDL (Security Descriptor Definition Language) för att uttryckligen tillåta eller neka användare och grupper att göra dessa fjärranrop.

    • Säkerhetsbeskrivning
      Standard: Inte konfigurerat

• Minsta sessionssäkerhet för NTLM SSP-baserade klienter
  Standard: Ingen
  CSP:et LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

  Med den här säkerhetsinställningen kan en server kräva förhandling om 128-bitars kryptering och/eller NTLMv2-sessionssäkerhet.

  • Ingen
  • Kräv NTLMv2-sessionssäkerhet
  • Kräv 128-bitars kryptering
  • NTLMv2- och 128-bitarskryptering

• Lägsta sessionssäkerhet för NTLM SSP-baserad server
  Standard: Ingen
  CSP:et LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

  Den här säkerhetsinställningen avgör vilket protokoll för autentisering av utmaning/svar som används för nätverksinloggningar.

  • Ingen
  • Kräv NTLMv2-sessionssäkerhet
  • Kräv 128-bitars kryptering
  • NTLMv2- och 128-bitarskryptering

• LAN Manager-autentiseringsnivå
  Standard: LM och NTLM
  CSP:et LocalPoliciesSecurityOptions: NetworkSecurity_LANManagerAuthenticationLevel

  • LM och NTLM
  • LM, NTLM och NTLMv2
  • NTLM
  • NTLMv2
  • NTLMv2 och inte LM
  • NTLMv2 och inte LM eller NTLM

• Osäkra gästinloggningar
  Standard: Inte konfigurerat
  CSP för LanmanWorkstation: LanmanWorkstation

  Om du aktiverar den här inställningen avvisar SMB-klienten osäkra gästinloggningar.

  • Inte konfigurerad
  • Blockera – SMB-klienten avvisar osäkra gästinloggningar.

Återställningskonsol och avstängning

• Rensa växlingsfilen för virtuellt minne när du stänger av
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: Shutdown_ClearVirtualMemoryPageFile

  • Aktivera – Rensa växlingsfilen för virtuellt minne när enheten stängs av.
  • Inte konfigurerad – rensar inte det virtuella minnet.

• Stäng av utan inloggning
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

  • Blockera – Dölj avstängningsalternativet på Windows-inloggningsskärmen. Användarna måste logga in på enheten och sedan stänga av.
  • Inte konfigurerad – Tillåt användare att stänga av enheten från Windows-inloggningsskärmen.

Kontroll av användarkonto

• UIA-integritet utan säker plats
  Standard: Inte konfigurerad
  CSP:et LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

  • Blockera – Appar som finns på en säker plats i filsystemet körs endast med UIAccess-integritet.
  • Inte konfigurerad – Gör att appar kan köras med UIAccess-integritet, även om apparna inte finns på en säker plats i filsystemet.

• Virtualisera fil- och registerskrivningsfel till platser per användare
  Standard: Inte konfigurerad
  CSP:et LocalPoliciesSecurityOptions: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

  • Aktiverad – Program som skriver data till skyddade platser misslyckas.
  • Inte konfigurerad – Programskrivningsfel omdirigeras vid körning till definierade användarplatser för filsystemet och registret.

• Höj endast körbara filer som är signerade och verifierade
  Standard: Inte konfigurerad
  CSP:et LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

  • Aktiverad – Framtvinga validering av PKI-certifieringssökväg för en körbar fil innan den kan köras.
  • Inte konfigurerad – Framtvinga inte validering av PKI-certifieringssökväg innan en körbar fil kan köras.

UIA-fråga om utökade privilegier

• Fråga om utökade privilegier för administratörer
  Standard: Fråga efter medgivande för binärfiler som inte kommer från Windows
  CSP:et LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

  Definiera beteendet för fråga om utökade privilegier för administratörer i läge för administratörstillåtelse.

  • Inte konfigurerad
  • Höj utan att fråga
  • Fråga efter autentiseringsuppgifter på det skyddade skrivbordet
  • Fråga efter autentiseringsuppgifter
  • Fråga efter medgivande
  • Fråga efter medgivande för binärfiler som inte kommer från Windows

• Fråga om utökade privilegier för standardanvändare
  Standard: Fråga efter autentiseringsuppgifter
  CSP:et LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

  Definiera beteendet för fråga om utökade privilegier för standardanvändare.

  • Inte konfigurerad
  • Neka begäranden om utökade privilegier automatiskt
  • Fråga efter autentiseringsuppgifter på det skyddade skrivbordet
  • Fråga efter autentiseringsuppgifter

• Dirigera frågor om utökade privilegier till användarens interaktiva skrivbord
  Standard: Inte konfigurerad
  CSP:et LocalPoliciesSecurityOptions: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

  • Aktiverad – Alla begäranden om utökade privilegier för att gå till den interaktiva användarens skrivbord i stället för det säkra skrivbordet. Eventuella principinställningar för frågande för administratörer och standardanvändare används.
  • Inte konfigurerad – Tvinga alla begäranden om utökade privilegier att gå till det skyddade skrivbordet, oavsett eventuella principinställningar för frågande för administratörer och standardanvändare.

• Upphöjd uppmaning för appinstallationer
  Standard: Inte konfigurerad
  CSP:en LocalPoliciesSecurityOptions: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

  • Aktiverad – Programinstallationspaket identifieras inte eller tillfrågas om utökade privilegier.
  • Inte konfigurerad – Användarna uppmanas att ange ett administrativt användarnamn och lösenord när ett programinstallationspaket kräver utökade privilegier.

• Fråga om UIA-utökade privilegier utan säkert skrivbord
  Standard: Inte konfigurerad
  CSP:et LocalPoliciesSecurityOptions: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

• Aktivera – Tillåt att UIAccess-appar frågar om utökade privilegier, utan att använda det säkra skrivbordet.

• Inte konfigurerat – Frågor om utökade privilegier använder ett säkert skrivbord.

Läge för administratörsgodkännande

• Läge för administratörstillåtelse för inbyggd administratör
  Standard: Inte konfigurerad
  CSP:et LocalPoliciesSecurityOptions: UserAccountControl_UseAdminApprovalMode

  • Aktiverad – Tillåt att det inbyggda administratörskontot använder läget för administratörstillåtelse. Alla åtgärder som kräver utökade privilegier uppmanar användaren att godkänna åtgärden.
  • Inte konfigurerad – kör alla appar med fullständig administratörsbehörighet.

• Kör alla administratörer i läge för administratörsgodkännande
  Standard: Inte konfigurerad
  CSP:et LocalPoliciesSecurityOptions: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

  • Aktiverad – Aktivera läge för administratörsgodkännande.
  • Inte konfigurerat – Inaktivera läge för administratörsgodkännande och alla relaterade UAC-principinställningar.

Microsoft Network Client

• Signera kommunikation digitalt (om servern tillåter)
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

  Avgör om SMB-klienten förhandlar SMB-paketsignering.

  • Blockera – SMB-klienten förhandlar aldrig SMB-paketsignering.
  • Inte konfigurerad – Microsoft-nätverksklienten ber servern att köra SMB-paketsignering vid sessionskonfiguration. Om paketsignering är aktiverat på servern förhandlas paketsignering.

• Skicka okrypterade lösenord till SMB-servrar från tredje part
  Standard: Inte konfigurerat
  CSP:en LocalPoliciesSecurityOptions: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

  • Blockera – SMB-omdirigeraren (Server Message Block) kan skicka lösenord i klartext till SMB-servrar som inte har stöd för lösenordskryptering under autentisering.
  • Inte konfigurerad – Blockera sändning av lösenord i klartext. Lösenorden är krypterade.

• Signera kommunikation digitalt (alltid)
  Standard: Inte konfigurerat
  CSP:et LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

  • Aktivera – Microsoft-nätverksklienten kommunicerar inte med en Microsoft-nätverksserver om inte den servern godkänner signering av SMB-paket.
  • Inte konfigurerad – SMB-paketsignering förhandlas mellan klienten och servern.

Microsoft Network Server

• Signera kommunikation digitalt (om klienten samtycker)
  Standard: Inte konfigurerat
  CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

  • Aktivera – Microsoft-nätverksservern förhandlar SMB-paketsignering på begäran av klienten. Om paketsignering är aktiverat på klienten förhandlas alltså paketsignering.
  • Inte konfigurerad – SMB-klienten förhandlar aldrig SMB-paketsignering.

• Signera kommunikation digitalt (alltid)
  Standard: Inte konfigurerat
  CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

  • Aktivera – Microsoft-nätverksservern kommunicerar inte med en Microsoft-nätverksklient om inte klienten godkänner signering av SMB-paket.
  • Inte konfigurerad – SMB-paketsignering förhandlas mellan klienten och servern.

Xbox-tjänster

• Spara xbox-speluppgift
  Standard: Inte konfigurerat
  CSP: TaskScheduler/EnableXboxGameSaveTask

  Den här inställningen avgör om Xbox Game Save-uppgiften är Aktiverad eller Inaktiverad.

  • Aktiverat
  • Inte konfigurerad

• Hanteringstjänst för Xbox-tillbehör
  Standard: Manuell
  CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupMode

  Den här inställningen avgör starttypen för tillbehörshanteringstjänsten.

  • Handbok
  • Automatisk
  • Inaktiverad

• Tjänsten Xbox Live Auth Manager
  Standard: Manuell
  CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupMode

  Den här inställningen avgör starttypen för Live Auth Manager-tjänsten.

  • Handbok
  • Automatisk
  • Inaktiverad

• Spara Xbox Live-speltjänst
  Standard: Manuell
  CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupMode

  Den här inställningen avgör starttypen för Live Game Save Service.

  • Handbok
  • Automatisk
  • Inaktiverad

• Xbox Live Networking Service
  Standard: Manuell
  CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupMode

  Den här inställningen avgör nätverkstjänstens starttyp.

  • Handbok
  • Automatisk
  • Inaktiverad

Nästa steg

Profilen har skapats, men den gör ingenting ännu. Tilldela sedan profilen och övervaka dess status.

Konfigurera inställningar för slutpunktsskydd på macOS-enheter .