Intune Endpoint Protection-profilon keresztül kezelhető Windows-beállítások

Cikk
03/04/2025

Megjegyzés:

Intune a cikkben felsorolt beállításoknál több beállítást támogathat. Nem minden beállítás van dokumentálva, és nem lesz dokumentálva. A konfigurálható beállítások megtekintéséhez hozzon létre egy eszközkonfigurációs szabályzatot, és válassza a Beállítások katalógusa lehetőséget. További információt a Beállításkatalógusban talál.

Microsoft Intune számos beállítást tartalmaz az eszközök védelme érdekében. Ez a cikk az eszközkonfiguráció Végpontvédelmi sablonjának beállításait ismerteti. Az eszközbiztonság kezeléséhez végpontbiztonsági szabályzatokat is használhat, amelyek közvetlenül az eszközbiztonság részhalmazaira összpontosítanak. A Microsoft Defender víruskereső konfigurálásához lásd: Windows-eszközök korlátozásai vagy végpontbiztonsági víruskereső szabályzat használata.

Az első lépések

Hozzon létre egy végpontvédelmi eszközkonfigurációs profilt.

A konfigurációs szolgáltatókkal (CSP-kkal) kapcsolatos további információkért lásd: Konfigurációs szolgáltató referenciája.

Microsoft Defender alkalmazásőr

A Microsoft Edge Microsoft Defender alkalmazásőr védi a környezetet a szervezet által nem megbízhatónak minősítő webhelyektől. A Alkalmazásőr az elkülönített hálózat határán kívüli helyek egy Hyper-V virtuális böngészési munkamenetben nyílnak meg. A megbízható helyeket egy hálózathatár határozza meg, amely az Eszközkonfigurációban van konfigurálva. További információ: Hálózathatár létrehozása Windows-eszközökön.

Alkalmazásőr csak 64 bites Windows-eszközökhöz érhető el. Ezzel a profillal egy Win32-összetevőt telepít a Alkalmazásőr aktiválásához.

Alkalmazásőr
Alapértelmezett: Nincs konfigurálva
Alkalmazásőr CSP: Settings/AllowWindowsDefenderApplicationGuard
- Engedélyezve az Edge-ben – Bekapcsolja ezt a funkciót, amely nem megbízható helyeket nyit meg egy Hyper-V virtualizált böngészési tárolóban.
- Nincs konfigurálva – Bármely (megbízható és nem megbízható) webhely megnyitható az eszközön.
A vágólap viselkedése
Alapértelmezett: Nincs konfigurálva
Alkalmazásőr CSP: Beállítások/Vágólapbeállítások

Válassza ki, hogy milyen másolási és beillesztési műveletek legyenek engedélyezve a helyi számítógép és a Alkalmazásőr virtuális böngésző között.
- Nincs konfigurálva
- Másolás és beillesztés engedélyezése pc-ről böngészőre
- Másolás és beillesztés engedélyezése böngészőből pc-be
- Másolás és beillesztés engedélyezése a számítógép és a böngésző között
- Másolás és beillesztés letiltása a számítógép és a böngésző között
Vágólap tartalma
Ez a beállítás csak akkor érhető el, ha a vágólap viselkedése az engedélyezési beállítások egyikére van beállítva.
Alapértelmezett: Nincs konfigurálva
Alkalmazásőr CSP: Beállítások/VágólapFájltípus

Jelölje ki az engedélyezett vágólaptartalmat.
- Nincs konfigurálva
- Text (Szöveg)
- Képek
- Szöveg és képek
Külső tartalom vállalati webhelyeken
Alapértelmezett: Nincs konfigurálva
Alkalmazásőr CSP: Settings/BlockNonEnterpriseContent
- Letiltás – Letilthatja a nem jóváhagyott webhelyekről származó tartalmak betöltését.
- Nincs konfigurálva – A nem vállalati webhelyek megnyithatók az eszközön.
Nyomtatás virtuális böngészőből
Alapértelmezett: Nincs konfigurálva
Alkalmazásőr CSP: Beállítások/NyomtatásBeállítások
- Engedélyezés – Engedélyezi a kijelölt tartalom nyomtatását a virtuális böngészőből.
- Nincs konfigurálva Tiltsa le az összes nyomtatási funkciót.
Ha engedélyezi a nyomtatást, a következő beállítást konfigurálhatja:
- Nyomtatási típus(ok) Válasszon egy vagy több lehetőséget az alábbi lehetőségek közül:
  - PDF
  - XPS
  - Helyi nyomtatók
  - Hálózati nyomtatók
Naplók gyűjtése
Alapértelmezett: Nincs konfigurálva
Alkalmazásőr CSP: Audit/AuditApplicationGuard
- Engedélyezés – Naplók gyűjtése az Alkalmazásőr böngészési munkamenetben előforduló eseményekről.
- Nincs konfigurálva – Ne gyűjtsön naplókat a böngészési munkameneten belül.
Felhasználó által létrehozott böngészőadatok megőrzése
Alapértelmezett: Nincs konfigurálva
Alkalmazásőr CSP: Settings/AllowPersistence
- Enged Mentse az Alkalmazásőr virtuális böngészési munkamenet során létrehozott felhasználói adatokat (például jelszavakat, kedvenceket és cookie-kat).
- Nincs konfigurálva A felhasználó által letöltött fájlok és adatok elvetése az eszköz újraindításakor vagy a felhasználó kijelentkezésekor.
Grafikus gyorsítás
Alapértelmezett: Nincs konfigurálva
Alkalmazásőr CSP: Beállítások/AllowVirtualGPU
- Engedélyezés – A virtuális grafikus feldolgozó egységhez való hozzáféréssel gyorsabban tölthet be nagy grafikai igényű webhelyeket és videókat.
- Nincs konfigurálva Használja az eszköz processzorát grafikus célokra; Ne használja a virtuális grafikus feldolgozóegységet.
Fájlok letöltése a gazda fájlrendszerbe
Alapértelmezett: Nincs konfigurálva
Alkalmazásőr CSP: Beállítások/SaveFilesToHost
- Engedélyezés – A felhasználók fájlokat tölthetnek le a virtualizált böngészőből a gazdagép operációs rendszerére.
- Nincs konfigurálva – Helyi állapotban tartja a fájlokat az eszközön, és nem tölti le a fájlokat a gazda fájlrendszerbe.

Windows tűzfal

Globális beállítások

Ezek a beállítások minden hálózati típusra érvényesek.

Fájlátviteli protokoll
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP-címe: MdmStore/Global/DisableStatefulFtp
- Blokk – Tiltsa le az állapotalapú FTP-t.
- Nincs konfigurálva – A tűzfal állapotalapú FTP-szűrést végez a másodlagos kapcsolatok engedélyezéséhez.
Biztonsági társítás üresjárati ideje a törlés előtt
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP-címe: MdmStore/Global/SaIdleTime

Adjon meg egy tétlen időt másodpercben, amely után a biztonsági társítások törlődnek.
Előre megosztott kulcs kódolása
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP-címe: MdmStore/Global/PresharedKeyEncoding
- Engedélyezés – Előlapos kulcsok kódolása UTF-8 használatával.
- Nincs konfigurálva – Az előlapos kulcsok kódolása a helyi tároló értékével.
IPsec-kivételek
Alapértelmezett: 0 kijelölve
Tűzfal CSP-címe: MdmStore/Global/IPsecExempt

Válasszon ki egy vagy több olyan forgalomtípust, amely mentesül az IPsec alól:
- Szomszéd felderítése IPv6 ICMP-típuskódok
- ICMP
- Útválasztó-felderítő IPv6 ICMP-típuskódok
- IPv4- és IPv6-alapú DHCP hálózati forgalom
A visszavont tanúsítványok listájának ellenőrzése
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP-címe: MdmStore/Global/CRLcheck

Válassza ki, hogyan ellenőrzi az eszköz a visszavont tanúsítványok listáját. A lehetőségek a következők:
- CRL-ellenőrzés letiltása
- Sikertelen CRL-ellenőrzés csak visszavont tanúsítvány esetén
- Sikertelen CRL-ellenőrzés bármilyen észlelt hiba esetén.
A hitelesítési készletnek a kulcsok modulonkénti opportunisztikus egyeztetése
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP-címe: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM
- Engedélyez A kulcsoló moduloknak csak azokat a hitelesítési csomagokat kell figyelmen kívül hagyniuk, amelyeket nem támogatnak.
- Nincs konfigurálva, a kulcsoló moduloknak figyelmen kívül kell hagyniuk a teljes hitelesítési készletet, ha nem támogatják a készletben megadott összes hitelesítési csomagot.
Csomagsor-kezelés
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP-címe: MdmStore/Global/EnablePacketQueue

Adja meg, hogyan engedélyezve van a szoftverskálázás a fogadó oldalon a titkosított fogadáshoz és a szöveg továbbításának törléséhez az IPsec-alagútátjáró forgatókönyvében. Ez a beállítás megerősíti, hogy a csomagsorrend megmarad. A lehetőségek a következők:
- Nincs konfigurálva
- Az összes csomagsor letiltása
- Csak a bejövő titkosított csomagok várólistára helyezése
- Várólista-csomagok a visszafejtés után csak továbbítás céljából
- Bejövő és kimenő csomagok konfigurálása

Hálózati beállítások

A következő beállításokat csak egyszer soroljuk fel ebben a cikkben, de mindegyik a három konkrét hálózattípusra vonatkozik:

Tartományi (munkahelyi) hálózat
Privát (felderíthető) hálózat
Nyilvános (nem felderíthető) hálózat

Általános

Windows tűzfal
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP: EnableFirewall
- Engedélyezés – Kapcsolja be a tűzfalat és a fokozott biztonságot.
- Nincs konfigurálva Minden hálózati forgalmat engedélyez, a többi házirend-beállítástól függetlenül.
Rejtett mód
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP: DisableStealthMode
- Nincs konfigurálva
- Blokkolás – A tűzfal nem működik rejtett módban. A rejtett mód blokkolása lehetővé teszi az IPsec által védett csomagmentesség blokkolását is.
- Engedélyezés – A tűzfal rejtett módban működik, ami segít megakadályozni a mintavételi kérelmekre adott válaszokat.
IPsec biztonságos csomagmentesség lopakodó móddal
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP: DisableStealthModeIpsecSecuredPacketExemption

Ezt a beállítást a rendszer figyelmen kívül hagyja, ha a Lopakodó módBlokk értékre van állítva.
- Nincs konfigurálva
- Blokk – Az IPSec által védett csomagok nem kapnak kivételeket.
- Engedélyezés – Kivételek engedélyezése. A tűzfal rejtett üzemmódja NEM akadályozhatja meg, hogy a gazdaszámítógép válaszoljon az IPsec által védett kéretlen hálózati forgalomra.
Árnyékolt
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP: Védett
- Nincs konfigurálva
- Letiltás – Ha a Windows tűzfal be van kapcsolva, és ez a beállítás Blokkolás értékre van állítva, az összes bejövő forgalom blokkolva lesz, a többi házirend-beállítástól függetlenül.
- Engedélyezés – Ha az Engedélyezés értékre van állítva, ez a beállítás ki van kapcsolva, és a bejövő forgalom más házirend-beállítások alapján engedélyezve van.
Egyedi küldésű válaszok csoportos küldésű szórásokra
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP-címe: DisableUnicastResponsesToMulticastBroadcast

Általában nem szeretne egyedi küldésű válaszokat kapni csoportos vagy szórásos üzenetekre. Ezek a válaszok szolgáltatásmegtagadási (DOS-) támadást jelezhetnek, vagy egy támadó egy ismert élő számítógép mintavételét próbálja meg.
- Nincs konfigurálva
- Blokkolás – Tiltsa le az egyedi küldésű válaszokat a csoportos küldésű szórásokra.
- Engedélyezés – Egyedi küldésű válaszok engedélyezése csoportos küldésű szórásokhoz.
Bejövő értesítések
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP: DisableInboundNotifications
- Nincs konfigurálva
- Letiltás – Elrejtheti azokat az értesítéseket, amikor egy alkalmazás le van tiltva egy port figyelésében.
- Engedélyezés – Engedélyezi ezt a beállítást, és értesítést jeleníthet meg a felhasználóknak, ha egy alkalmazás nem figyeli a portokat.
Kimenő kapcsolatok alapértelmezett művelete
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP: DefaultOutboundAction

Konfigurálja az alapértelmezett műveleti tűzfalat a kimenő kapcsolatokon. Ez a beállítás a Windows 1809-es vagy újabb verziójára lesz alkalmazva.
- Nincs konfigurálva
- Blokkolás – Az alapértelmezett tűzfalművelet csak akkor fut a kimenő forgalomon, ha explicit módon nincs megadva a blokkolásra.
- Engedélyezés – Az alapértelmezett tűzfalműveletek kimenő kapcsolatokon futnak.
Bejövő kapcsolatok alapértelmezett művelete
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP: DefaultInboundAction
- Nincs konfigurálva
- Blokkolás – Az alapértelmezett tűzfalművelet nem bejövő kapcsolatokon fut.
- Engedélyezés – Az alapértelmezett tűzfalműveletek bejövő kapcsolatokon futnak.

Szabályegyesítés

Engedélyezett alkalmazás Windows tűzfalszabályai a helyi tárolóból
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP: AuthAppsAllowUserPrefMerge
- Nincs konfigurálva
- Blokkolás – A helyi tároló engedélyezett alkalmazás tűzfalszabályai figyelmen kívül lesznek hagyva, és nem lesznek kényszerítve.
- Engedélyezés – Válassza az Engedélyezés Tűzfalszabályok alkalmazása a helyi tárolóban lehetőséget, hogy azok felismerhetők és kikényszeríthetők legyenek.
Globális port windowsos tűzfalszabályai a helyi tárolóból
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP: GlobalPortsAllowUserPrefMerge
- Nincs konfigurálva
- Blokkolás – A helyi tároló globális port tűzfalszabályai figyelmen kívül lesznek hagyva, és nem lesznek kényszerítve.
- Engedélyezés – A helyi tárolóban a globális port tűzfalszabályainak felismerése és kényszerítése.
Windows tűzfalszabályok a helyi áruházból
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP-je: AllowLocalPolicyMerge
- Nincs konfigurálva
- Letiltás – A helyi tároló tűzfalszabályai figyelmen kívül lesznek hagyva, és nem lesznek kényszerítve.
- Engedélyezés – A helyi tárolóban található tűzfalszabályok felismerése és kényszerítése.
IPsec-szabályok a helyi tárolóból
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP-je: AllowLocalIpsecPolicyMerge
- Nincs konfigurálva
- Letiltás – A rendszer figyelmen kívül hagyja és nem kényszeríti a helyi tárolóból származó kapcsolatbiztonsági szabályokat, függetlenül a séma verziójától és a kapcsolatbiztonsági szabály verziójától.
- Engedélyezés – Kapcsolatbiztonsági szabályok alkalmazása a helyi tárolóból a séma- vagy kapcsolatbiztonsági szabályverzióktól függetlenül.

Tűzfalszabályok

Hozzáadhat egy vagy több egyéni tűzfalszabályt. További információ: Egyéni tűzfalszabályok hozzáadása Windows-eszközökhöz.

Az egyéni tűzfalszabályok a következő lehetőségeket támogatják:

Általános beállítások

Név
Alapértelmezett: Nincs név

Adjon meg egy rövid nevet a szabálynak. Ez a név jelenik meg a szabályok listájában, hogy segítsen azonosítani.
Leírás
Alapértelmezett: Nincs leírás

Adja meg a szabály leírását.
Irány
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP: FirewallRules/FirewallRuleName/Direction

Adja meg, hogy ez a szabály a bejövő vagy kimenő forgalomra vonatkozik-e. Ha a nincs konfigurálva értékre van állítva, a szabály automatikusan a kimenő forgalomra lesz alkalmazva.
Művelet
Alapértelmezett: Nincs konfigurálva
Tűzfal CSP-címe: FirewallRules/FirewallRuleName/Action és FirewallRules/FirewallRuleName/Action/Type

Válassza az Engedélyezés vagy a Letiltás lehetőséget. Ha nincs konfigurálva értékre állítva, a szabály alapértelmezés szerint engedélyezi a forgalmat.
Hálózat típusa
Alapértelmezett: 0 kijelölve
Tűzfal CSP: FirewallRules/FirewallRuleName/Profiles

Legfeljebb három típusú hálózattípust választhat ki, amelyekhez ez a szabály tartozik. A lehetőségek közé tartozik a Tartomány, a Privát és a Nyilvános. Ha nincs kiválasztva hálózattípus, a szabály mindhárom hálózattípusra érvényes.

Alkalmazásbeállítások

Alkalmazás(ok)
Alapértelmezett: Mind

Alkalmazás vagy program kapcsolatainak vezérlése. Az alkalmazások és programok fájlelérési út, csomagcsaládnév vagy szolgáltatásnév alapján adhatók meg:
- Csomagcsalád neve – Adja meg a csomagcsalád nevét. A csomagcsalád nevének megkereséséhez használja a Get-AppxPackage PowerShell-parancsot.
  Tűzfal CSP-címe: FirewallRules/FirewallRuleName/App/PackageFamilyName
- Fájl elérési útja – Meg kell adnia egy alkalmazás elérési útját az ügyféleszközön, amely lehet abszolút vagy relatív elérési út. Például: C:\Windows\System\Notepad.exe vagy %WINDIR%\Notepad.exe.
  Tűzfal CSP-címe: FirewallRules/FirewallRuleName/App/FilePath
- Windows-szolgáltatás – Adja meg a Windows-szolgáltatás rövid nevét, ha az egy szolgáltatás, és nem egy olyan alkalmazás, amely forgalmat küld vagy fogad. A szolgáltatás rövid nevének megkereséséhez használja a Get-Service PowerShell-parancsot.
  Tűzfal CSP-címe: FirewallRules/FirewallRuleName/App/ServiceName
- All – Nincs szükség konfigurációra

IP-cím beállításai

Adja meg azokat a helyi és távoli címeket, amelyekre ez a szabály vonatkozik.

Helyi címek
Alapértelmezett: Bármely cím
Tűzfal CSP-címe: FirewallRules/FirewallRuleName/LocalPortRanges

Válassza a Bármely cím vagy a Megadott cím lehetőséget.

A Megadott cím használata esetén egy vagy több címet a szabály hatálya alá tartozó helyi címek vesszővel tagolt listájaként ad hozzá. Az érvényes jogkivonatok a következők:
- Használjon csillagot *bármely helyi címhez. Csillag használata esetén csak ez a token használható.
- Adjon meg egy alhálózatot az alhálózati maszk vagy a hálózati előtag jelölésével. Ha nincs megadva alhálózati maszk vagy hálózati előtag, az alhálózati maszk alapértelmezett értéke 255.255.255.255.
- Érvényes IPv6-cím.
- Egy IPv4-címtartomány "kezdőcím – záró cím" formátumban, szóközök nélkül.
- Egy IPv6-címtartomány "kezdőcím – végcím" formátumban, szóközök nélkül.
Távoli címek
Alapértelmezett: Bármely cím
Tűzfal CSP-címe: FirewallRules/FirewallRuleName/RemoteAddressRanges

Válassza a Bármely cím vagy a Megadott cím lehetőséget.

A Megadott cím használata esetén egy vagy több címet ad hozzá a szabály által lefedett távoli címek vesszővel tagolt listájaként. A tokenek nem különböztetik meg a kis- és nagybetűket. Az érvényes jogkivonatok a következők:
- Használjon csillagot (*) bármely távoli címhez. Csillag használata esetén csak ez a token használható.
- Defaultgateway
- DHCP
- DNS
- WINS
- Intranet (a Windows 1809-ben és újabb verzióiban támogatott)
- RmtIntranet (a Windows 1809-ben és újabb verzióiban támogatott)
- Internet (a Windows 1809-ben és újabb verzióiban támogatott)
- Ply2Renders (a Windows 1809-ben és újabb verzióiban támogatott)
- LocalSubnet A a helyi alhálózaton található bármely helyi címet jelzi.
- Adjon meg egy alhálózatot az alhálózati maszk vagy a hálózati előtag jelölésével. Ha nincs megadva alhálózati maszk vagy hálózati előtag, az alhálózati maszk alapértelmezett értéke 255.255.255.255.
- Érvényes IPv6-cím.
- Egy IPv4-címtartomány "kezdőcím – záró cím" formátumban, szóközök nélkül.
- Egy IPv6-címtartomány "kezdőcím – végcím" formátumban, szóközök nélkül.

Port- és protokollbeállítások

Adja meg azokat a helyi és távoli portokat, amelyekre ez a szabály vonatkozik.

Protocol (Protokoll)
Alapértelmezett: Bármely
Tűzfal CSP-ja: FirewallRules/FirewallRuleName/Protocol
Válasszon az alábbiak közül, és végezze el a szükséges konfigurációkat:
- Mind – Nincs elérhető konfiguráció.
- TCP – Helyi és távoli portok konfigurálása. Mindkét lehetőség támogatja a Minden port vagy a Megadott portot. Adja meg a megadott portokat egy vesszővel tagolt lista használatával.
  - Helyi portok – Tűzfal CSP: FirewallRules/FirewallRuleName/LocalPortRanges
  - Távoli portok – Tűzfal CSP: FirewallRules/FirewallRuleName/RemotePortRanges
- UDP – Helyi és távoli portok konfigurálása. Mindkét lehetőség támogatja a Minden port vagy a Megadott portot. Adja meg a megadott portokat egy vesszővel tagolt lista használatával.
  - Helyi portok – Tűzfal CSP: FirewallRules/FirewallRuleName/LocalPortRanges
  - Távoli portok – Tűzfal CSP: FirewallRules/FirewallRuleName/RemotePortRanges
- Egyéni – Adjon meg egy 0 és 255 közötti egyéni protokollszámot .

Speciális konfiguráció

Illesztőtípusok
Alapértelmezett: 0 kijelölve
Tűzfal CSP: FirewallRules/FirewallRuleName/InterfaceTypes

Válasszon az alábbi lehetőségek közül:
- Távelérés
- Vezeték nélküli
- Helyi hálózat
Csak ezektől a felhasználóktól engedélyezze a kapcsolatokat
Alapértelmezett: Minden felhasználó (alapértelmezés szerint minden felhasználóra érvényes, ha nincs megadva lista)
Tűzfal CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

Adja meg a szabály jogosult helyi felhasználóinak listáját. A jogosult felhasználók listája nem adható meg, ha ez a szabály egy Windows-szolgáltatásra vonatkozik.

Microsoft Defender SmartScreen beállításai

A Microsoft Edge-et telepíteni kell az eszközön.

SmartScreen alkalmazásokhoz és fájlokhoz
Alapértelmezett: Nincs konfigurálva
SmartScreen CSP: SmartScreen/EnableSmartScreenInShell
- Nincs konfigurálva – Letiltja a SmartScreen használatát.
- Engedélyezés – A Windows SmartScreen engedélyezése fájlvégrehajtáshoz és alkalmazások futtatásához. A SmartScreen egy felhőalapú adathalászat- és kártevőirtó összetevő.
Nem ellenőrzött fájlok végrehajtása
Alapértelmezett: Nincs konfigurálva
SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell
- Nincs konfigurálva – Letiltja ezt a funkciót, és lehetővé teszi a végfelhasználók számára a nem ellenőrzött fájlok futtatását.
- Letiltás – Megakadályozza, hogy a végfelhasználók olyan fájlokat futtassanak, amelyeket a Windows SmartScreen nem ellenőrzött.

Windows-titkosítás

Windows-beállítások

Eszközök titkosítása
Alapértelmezett: Nincs konfigurálva
BitLocker CSP: RequireDeviceEncryption
- Kötelező – Kérje meg a felhasználókat az eszköztitkosítás engedélyezésére. A Windows kiadásától és rendszerkonfigurációjától függően a rendszer a következő kérdéseket kérheti a felhasználóktól:
  - Annak ellenőrzése, hogy egy másik szolgáltató titkosítása nincs-e engedélyezve.
  - Ki kell kapcsolnia a BitLocker meghajtótitkosítást, majd vissza kell kapcsolnia a BitLockert.
- Nincs konfigurálva
Ha a Windows titkosítás be van kapcsolva, miközben egy másik titkosítási módszer aktív, előfordulhat, hogy az eszköz instabillá válik.

A BitLocker alapbeállításai

Az alapbeállítások univerzális BitLocker-beállítások minden típusú adatmeghajtóhoz. Ezek a beállítások határozzák meg, hogy a végfelhasználó milyen meghajtótitkosítási feladatokat vagy konfigurációs beállításokat módosíthat az összes adatmeghajtótípuson.

Figyelmeztetés más lemeztitkosításra
Alapértelmezett: Nincs konfigurálva
BitLocker CSP: AllowWarningForOtherDiskEncryption
- Blokkolás – Tiltsa le a figyelmeztető üzenetet, ha egy másik lemeztitkosítási szolgáltatás található az eszközön.
- Nincs konfigurálva – A többi lemeztitkosítás figyelmeztetésének megjelenítése.
Tipp

Ha a BitLockert automatikusan és csendesen szeretné telepíteni egy Microsoft Entra csatlakoztatott és Windows 1809-es vagy újabb rendszert futtató eszközön, ezt a beállítást Blokkolás értékre kell állítani. További információ: A BitLocker csendes engedélyezése eszközökön.

Ha a Letiltás értékre van állítva, a következő beállítást konfigurálhatja:
- Titkosítás engedélyezése a standard felhasználók számára Microsoft Entra csatlakozás során
  Ez a beállítás csak Microsoft Entra csatlakoztatott (Azure ADJ) eszközökre vonatkozik, és az előző beállítástól függ: Warning for other disk encryption.
  Alapértelmezett: Nincs konfigurálva
  BitLocker CSP: AllowStandardUserEncryption
  - Engedélyezés – A standard felhasználók (nem rendszergazdák) engedélyezhetik a BitLocker-titkosítást bejelentkezéskor.
  - Nincs konfigurálva , csak a rendszergazdák engedélyezhetik a BitLocker titkosítást az eszközön.
Tipp

Ha a BitLockert automatikusan és csendesen szeretné telepíteni egy olyan eszközre, amely Microsoft Entra csatlakozik, és Windows 1809 vagy újabb rendszert futtat, ezt a beállítást Engedélyezés értékre kell állítani. További információ: A BitLocker csendes engedélyezése eszközökön.
Titkosítási módszerek konfigurálása
Alapértelmezett: Nincs konfigurálva
BitLocker CSP: EncryptionMethodByDriveType
- Engedélyezés – Titkosítási algoritmusok konfigurálása operációs rendszerhez, adatokhoz és cserélhető meghajtókhoz.
- Nincs konfigurálva – A BitLocker az XTS-AES 128 bites alapértelmezett titkosítási módszert használja, vagy bármely beállítási szkript által megadott titkosítási módszert használja.
Ha az Engedélyezés értékre van állítva, a következő beállításokat konfigurálhatja:
- Titkosítás operációsrendszer-meghajtókhoz
  Alapértelmezett: XTS-AES 128 bites
  
  Válassza ki az operációsrendszer-meghajtók titkosítási módszerét. Javasoljuk, hogy az XTS-AES algoritmust használja.
  - AES-CBC 128 bites
  - 256 bites AES-CBC
  - XTS-AES 128 bites
  - XTS-AES 256 bites
- Titkosítás rögzített adatmeghajtókhoz
  Alapértelmezett: AES-CBC 128 bites
  
  Válassza ki a rögzített (beépített) adatmeghajtók titkosítási módszerét. Javasoljuk, hogy az XTS-AES algoritmust használja.
  - AES-CBC 128 bites
  - 256 bites AES-CBC
  - XTS-AES 128 bites
  - XTS-AES 256 bites
- Cserélhető adatmeghajtók titkosítása
  Alapértelmezett: AES-CBC 128 bites
  
  Válassza ki a cserélhető adatmeghajtók titkosítási módszerét. Ha a cserélhető meghajtót olyan eszközökkel használja, amelyek nem Windows 10/11-et futtatnak, akkor az AES-CBC algoritmus használatát javasoljuk.
  - AES-CBC 128 bites
  - 256 bites AES-CBC
  - XTS-AES 128 bites
  - XTS-AES 256 bites

BitLocker operációsrendszer-meghajtó beállításai

Ezek a beállítások kifejezetten az operációs rendszer adatmeghajtóira vonatkoznak.

További hitelesítés indításkor
Alapértelmezett: Nincs konfigurálva
BitLocker CSP: SystemDrivesRequireStartupAuthentication
- Require – Konfigurálja a számítógép indítási hitelesítési követelményeit, beleértve a platformmegbízhatósági modul (TPM) használatát is.
- Nincs konfigurálva – Csak alapszintű beállítások konfigurálása TPM-et használó eszközökön.
Ha a Kötelező értékre van állítva, a következő beállításokat konfigurálhatja:
- BitLocker nem kompatibilis TPM-lapkával
  Alapértelmezett: Nincs konfigurálva
  - Letiltás – Tiltsa le a BitLocker használatát, ha egy eszköz nem rendelkezik kompatibilis TPM-lapkával.
  - Nincs konfigurálva – A felhasználók kompatibilis TPM-lapka nélkül használhatják a BitLockert. A BitLocker használatához jelszóra vagy indítási kulcsra lehet szükség.
- Kompatibilis TPM-indítás
  Alapértelmezett: TPM engedélyezése
  
  Konfigurálja, hogy a TPM engedélyezett, kötelező vagy nem engedélyezett-e.
  - TPM engedélyezése
  - Ne engedélyezze a TPM-et
  - TPM megkövetelése
- Kompatibilis TPM indítási PIN-kód
  Alapértelmezett: Indítási PIN-kód engedélyezése A TPM használatával
  
  Választhatja, hogy engedélyezi, nem engedélyezi vagy megköveteli egy indítási PIN-kód használatát a TPM-lapkával. Az indítási PIN-kód engedélyezéséhez a végfelhasználó beavatkozása szükséges.
  - Indítási PIN-kód engedélyezése A TPM használatával
  - Indítási PIN-kód engedélyezése a TPM-hez
  - Indítási PIN-kód megkövetelése a TPM-hez
  Tipp
  
  Ha a BitLockert automatikusan és csendesen szeretné telepíteni egy Microsoft Entra csatlakoztatott és Windows 1809-es vagy újabb rendszert futtató eszközön, ez a beállítás nem lehet indítási PIN-kód megkövetelése a TPM-hez beállításra. További információ: A BitLocker csendes engedélyezése eszközökön.
- Kompatibilis TPM-indítási kulcs
  Alapértelmezett: Indítási kulcs engedélyezése A TPM használatával
  
  Dönthet úgy, hogy engedélyezi, nem engedélyezi vagy megköveteli egy indítási kulcs használatát a TPM-lapkával. Az indítási kulcsok engedélyezéséhez a végfelhasználó beavatkozása szükséges.
  - Indítási kulcs engedélyezése A TPM használatával
  - Indítási kulcs használatának tiltja a TPM-et
  - Indítási kulcs megkövetelése a TPM-hez
  Tipp
  
  Ha a BitLockert automatikusan és csendesen szeretné telepíteni egy olyan eszközön, amely Microsoft Entra csatlakoztatott és Windows 1809 vagy újabb rendszert futtat, ez a beállítás nem lehet Indítókulcs megkövetelése a TPM-hez beállításra. További információ: A BitLocker csendes engedélyezése eszközökön.
- Kompatibilis TPM-indítási kulcs és PIN-kód
  Alapértelmezett: Indítási kulcs és PIN-kód engedélyezése A TPM használatával
  
  Dönthet úgy, hogy engedélyezi, nem engedélyezi vagy megköveteli egy indítókulcs és PIN-kód használatát a TPM-lapkával. Az indítási kulcs és a PIN-kód engedélyezéséhez a végfelhasználó beavatkozására van szükség.
  - Indítási kulcs és PIN-kód engedélyezése A TPM használatával
  - Indítási kulcs és PIN-kód engedélyezése a TPM-hez
  - Indítási kulcs és PIN-kód megkövetelése a TPM-hez
  Tipp
  
  Ha a BitLockert automatikusan és csendesen szeretné telepíteni egy olyan eszközön, amely Microsoft Entra csatlakozik, és Windows 1809 vagy újabb rendszert futtat, ez a beállítás nem lehet Indítókulcs és PIN-kód megkövetelése a TPM-hez beállítás. További információ: A BitLocker csendes engedélyezése eszközökön.
PIN-kód minimális hossza
Alapértelmezett: Nincs konfigurálva
BitLocker CSP: SystemDrivesMinimumPINLength
- Engedélyez Konfigurálja a TPM indítási PIN-kódjának minimális hosszát.
- Nincs konfigurálva – A felhasználók 6 és 20 számjegy közötti hosszúságú indítási PIN-kódot konfigurálhatnak.
Ha az Engedélyezés értékre van állítva, a következő beállítást konfigurálhatja:
- Minimális karakterek
  Alapértelmezett: Nincs konfigurálva BitLocker CSP: SystemDrivesMinimumPINLength
  
  Adja meg az indítási PIN-kódhoz szükséges karakterek számát 4-20-tól.
Operációsrendszer-meghajtó helyreállítása
Alapértelmezett: Nincs konfigurálva
BitLocker CSP: SystemDrivesRecoveryOptions
- Engedélyezés – Szabályozhatja, hogy a BitLocker által védett operációsrendszer-meghajtók hogyan állíthatók helyre, ha a szükséges indítási információk nem érhetők el.
- Nincs konfigurálva – Az alapértelmezett helyreállítási lehetőségek támogatottak, beleértve a DRA-t is. A végfelhasználó megadhat helyreállítási beállításokat. A helyreállítási adatokról nem készül biztonsági mentés az AD DS-ben.
Ha az Engedélyezés értékre van állítva, a következő beállításokat konfigurálhatja:
- Tanúsítványalapú adat-helyreállítási ügynök
  Alapértelmezett: Nincs konfigurálva
  - Blokk – Adat-helyreállítási ügynök használatának megakadályozása BitLocker által védett operációsrendszer-meghajtókkal.
  - Nincs konfigurálva – Adat-helyreállítási ügynökök bitLocker által védett operációsrendszer-meghajtókkal való használatának engedélyezése.
- Helyreállítási jelszó felhasználó által történő létrehozása
  Alapértelmezett: 48 jegyű helyreállítási jelszó engedélyezése
  
  Adja meg, hogy a felhasználók számára engedélyezett, kötelező vagy nem engedélyezett-e 48 jegyű helyreállítási jelszó létrehozása.
  - 48 jegyű helyreállítási jelszó engedélyezése
  - Ne engedélyezze a 48 jegyű helyreállítási jelszót
  - 48 jegyű helyreállítási jelszó megkövetelése
- A helyreállítási kulcs felhasználó által történő létrehozása
  Alapértelmezett: 256 bites helyreállítási kulcs engedélyezése
  
  Adja meg, hogy a felhasználók számára engedélyezett, kötelező vagy nem engedélyezett-e a 256 bites helyreállítási kulcs létrehozása.
  - 256 bites helyreállítási kulcs engedélyezése
  - 256 bites helyreállítási kulcs engedélyezése
  - 256 bites helyreállítási kulcs megkövetelése
- Helyreállítási lehetőségek a BitLocker telepítővarázslójában
  Alapértelmezett: Nincs konfigurálva
  - Letiltás – A felhasználók nem láthatják és nem módosíthatják a helyreállítási beállításokat. Ha értékre van állítva
  - Nincs konfigurálva – A felhasználók megtekinthetik és módosíthatják a helyreállítási beállításokat a BitLocker bekapcsolásakor.
- A BitLocker helyreállítási adatainak mentése Microsoft Entra ID
  Alapértelmezett: Nincs konfigurálva
  - Engedélyezés – Tárolja a BitLocker helyreállítási adatait a Microsoft Entra ID.
  - Nincs konfigurálva – A BitLocker helyreállítási adatai nincsenek tárolva Microsoft Entra ID.
- A BitLocker Microsoft Entra ID tárolt helyreállítási adatai
  Alapértelmezett: Helyreállítási jelszavak és kulcscsomagok biztonsági mentése
  
  Konfigurálja, hogy a BitLocker helyreállítási adatai mely részei legyenek tárolva Microsoft Entra ID. Válasszon a következő lehetőségek közül:
  - Helyreállítási jelszavak és kulcscsomagok biztonsági mentése
  - Csak biztonsági mentési helyreállítási jelszavak
- Ügyfélalapú helyreállítási jelszó rotálása
  Alapértelmezett: Nincs konfigurálva
  BitLocker CSP: ConfigureRecoveryPasswordRotation
  
  Ez a beállítás kezdeményezi az ügyfélalapú helyreállítási jelszóváltást az operációs rendszer meghajtó-helyreállítását követően (a bootmgr vagy a WinRE használatával).
  - Nincs konfigurálva
  - Kulcsrotálás letiltva
  - Kulcsrotálás engedélyezve Microsoft Entra csatlakoztatott kockákhoz
  - Kulcsrotálás engedélyezve Microsoft Entra ID és hibrid csatlakoztatott eszközökön
- Helyreállítási adatok tárolása Microsoft Entra ID a BitLocker engedélyezése előtt
  Alapértelmezett: Nincs konfigurálva
  
  Megakadályozza, hogy a felhasználók engedélyezzék a BitLockert, kivéve, ha a számítógép sikeresen biztonsági másolatot készít a BitLocker helyreállítási adatairól a Microsoft Entra ID.
  - Kötelező – Állítsa le a felhasználókat a BitLocker bekapcsolására, kivéve, ha a BitLocker helyreállítási adatainak tárolása sikeresen megtörtént Microsoft Entra ID.
  - Nincs konfigurálva – A felhasználók akkor is bekapcsolhatják a BitLockert, ha a helyreállítási adatokat nem sikerült tárolni Microsoft Entra ID.
Rendszerindítás előtti helyreállítási üzenet és URL-cím
Alapértelmezett: Nincs konfigurálva
BitLocker CSP: SystemDrivesRecoveryMessage
- Engedélyezés – Konfigurálja a rendszerindítás előtti kulcs helyreállítási képernyőjén megjelenő üzenetet és URL-címet.
- Nincs konfigurálva – Tiltsa le ezt a funkciót.
Ha az Engedélyezés értékre van állítva, a következő beállítást konfigurálhatja:
- Rendszerindítás előtti helyreállítási üzenet
  Alapértelmezett: Alapértelmezett helyreállítási üzenet és URL-cím használata
  
  Konfigurálja, hogyan jelenjen meg a rendszerindítás előtti helyreállítási üzenet a felhasználók számára. Válasszon a következő lehetőségek közül:
  - Alapértelmezett helyreállítási üzenet és URL-cím használata
  - Üres helyreállítási üzenet és URL-cím használata
  - Egyéni helyreállítási üzenet használata
  - Egyéni helyreállítási URL-cím használata

A BitLocker rögzített adatmeghajtó-beállításokat

Ezek a beállítások kifejezetten a rögzített adatmeghajtókra vonatkoznak.

Írási hozzáférés bitlocker által nem védett rögzített adatmeghajtóhoz
Alapértelmezett: Nincs konfigurálva
BitLocker CSP: FixedDrivesRequireEncryption
- Blokkolás – Csak olvasási hozzáférés biztosítása a nem BitLocker által védett adatmeghajtókhoz.
- Nincs konfigurálva – Alapértelmezés szerint olvasási és írási hozzáférés a nem titkosított adatmeghajtókhoz.
Rögzített meghajtó-helyreállítás
Alapértelmezett: Nincs konfigurálva
BitLocker CSP: FixedDrivesRecoveryOptions
- Engedélyezés – Szabályozhatja, hogy a BitLocker által védett rögzített meghajtók hogyan állíthatók helyre, ha a szükséges indítási információk nem érhetők el.
- Nincs konfigurálva – Tiltsa le ezt a funkciót.
Ha az Engedélyezés értékre van állítva, a következő beállításokat konfigurálhatja:
- Adat-helyreállítási ügynök
  Alapértelmezett: Nincs konfigurálva
  - Blokkolás – Az adat-helyreállítási ügynök BitLocker által védett rögzített meghajtókkal való használatának megakadályozása Házirend Szerkesztő.
  - Nincs konfigurálva – Engedélyezi az adat-helyreállítási ügynökök használatát BitLocker által védett rögzített meghajtókkal.
- Helyreállítási jelszó felhasználó által történő létrehozása
  Alapértelmezett: 48 jegyű helyreállítási jelszó engedélyezése
  
  Adja meg, hogy a felhasználók számára engedélyezett, kötelező vagy nem engedélyezett-e 48 jegyű helyreállítási jelszó létrehozása.
  - 48 jegyű helyreállítási jelszó engedélyezése
  - Ne engedélyezze a 48 jegyű helyreállítási jelszót
  - 48 jegyű helyreállítási jelszó megkövetelése
- A helyreállítási kulcs felhasználó által történő létrehozása
  Alapértelmezett: 256 bites helyreállítási kulcs engedélyezése
  
  Adja meg, hogy a felhasználók számára engedélyezett, kötelező vagy nem engedélyezett-e a 256 bites helyreállítási kulcs létrehozása.
  - 256 bites helyreállítási kulcs engedélyezése
  - 256 bites helyreállítási kulcs engedélyezése
  - 256 bites helyreállítási kulcs megkövetelése
- Helyreállítási lehetőségek a BitLocker telepítővarázslójában
  Alapértelmezett: Nincs konfigurálva
  - Letiltás – A felhasználók nem láthatják és nem módosíthatják a helyreállítási beállításokat. Ha értékre van állítva
  - Nincs konfigurálva – A felhasználók megtekinthetik és módosíthatják a helyreállítási beállításokat a BitLocker bekapcsolásakor.
- A BitLocker helyreállítási adatainak mentése Microsoft Entra ID
  Alapértelmezett: Nincs konfigurálva
  - Engedélyezés – Tárolja a BitLocker helyreállítási adatait a Microsoft Entra ID.
  - Nincs konfigurálva – A BitLocker helyreállítási adatai nincsenek tárolva Microsoft Entra ID.
- A BitLocker Microsoft Entra ID tárolt helyreállítási adatai
  Alapértelmezett: Helyreállítási jelszavak és kulcscsomagok biztonsági mentése
  
  Konfigurálja, hogy a BitLocker helyreállítási adatai mely részei legyenek tárolva Microsoft Entra ID. Válasszon a következő lehetőségek közül:
  - Helyreállítási jelszavak és kulcscsomagok biztonsági mentése
  - Csak biztonsági mentési helyreállítási jelszavak
- Helyreállítási adatok tárolása Microsoft Entra ID a BitLocker engedélyezése előtt
  Alapértelmezett: Nincs konfigurálva
  
  Megakadályozza, hogy a felhasználók engedélyezzék a BitLockert, kivéve, ha a számítógép sikeresen biztonsági másolatot készít a BitLocker helyreállítási adatairól a Microsoft Entra ID.
  - Kötelező – Állítsa le a felhasználókat a BitLocker bekapcsolására, kivéve, ha a BitLocker helyreállítási adatainak tárolása sikeresen megtörtént Microsoft Entra ID.
  - Nincs konfigurálva – A felhasználók akkor is bekapcsolhatják a BitLockert, ha a helyreállítási adatokat nem sikerült tárolni Microsoft Entra ID.

BitLocker cserélhető adatmeghajtó beállításai

Ezek a beállítások kifejezetten a cserélhető adatmeghajtókra vonatkoznak.

Írási hozzáférés bitlocker által nem védett cserélhető adatmeghajtóhoz
Alapértelmezett: Nincs konfigurálva
BitLocker CSP: RemovableDrivesRequireEncryption
- Blokkolás – Csak olvasási hozzáférés biztosítása a nem BitLocker által védett adatmeghajtókhoz.
- Nincs konfigurálva – Alapértelmezés szerint olvasási és írási hozzáférés a nem titkosított adatmeghajtókhoz.
Ha az Engedélyezés értékre van állítva, a következő beállítást konfigurálhatja:
- Írási hozzáférés egy másik szervezetben konfigurált eszközökhöz
  Alapértelmezett: Nincs konfigurálva
  - Blokk – Más szervezetben konfigurált eszközök írási hozzáférésének letiltása.
  - Nincs konfigurálva – Írási hozzáférés megtagadása.

Microsoft Defender Exploit Guard

A biztonsági rés kiaknázása elleni védelemmel kezelheti és csökkentheti az alkalmazottak által használt alkalmazások támadási felületét.

Támadásifelület-csökkentés

A támadásifelület-csökkentési szabályok segítenek megakadályozni, hogy a kártevők gyakran rosszindulatú kóddal fertőzzék meg a számítógépeket.

Támadásifelület-csökkentési szabályok

További információ: Támadásifelület-csökkentési szabályok a Végponthoz készült Microsoft Defender dokumentációjában.

A támadásifelület-csökkentési szabályok egyesítési viselkedése Intune:

A támadásifelület-csökkentési szabályok támogatják a különböző szabályzatok beállításainak egyesítését, hogy minden eszközhöz létrehozhasson egy szabályzatot. Csak azok a beállítások egyesülnek, amelyek nincsenek ütközésben, míg az ütköző beállítások nem kerülnek a szabályok szuperhalmazára. Korábban, ha két szabályzat ütközéseket tartalmaz egy adott beállításhoz, mindkét szabályzat ütközőként lett megjelölve, és egyik profil beállításai sem lesznek üzembe helyezve.

A támadási felület csökkentése szabályegyesítési viselkedése a következő:

A következő profilokból származó támadásifelület-csökkentési szabályok kiértékelése minden eszközön történik, amelyre a szabályok vonatkoznak:
- Eszközök > konfigurációs szabályzata > Végpontvédelmi profil > Microsoft Defender Exploit Guard >támadási felületének csökkentése
- Végpontbiztonság > Támadásifelület-csökkentési szabályzat >Támadásifelület-csökkentési szabályok
- A végpontbiztonsági > alapkonfigurációk > Végponthoz készült Microsoft Defender támadásifelület-csökkentési> szabályok.
Az ütközésekkel nem rendelkező beállításokat a rendszer hozzáadja az eszköz szabályzatának egy szuperhalmazához.
Ha két vagy több szabályzat ütköző beállításokkal rendelkezik, az ütköző beállítások nem lesznek hozzáadva az egyesített szabályzathoz. Az ütközést nem okozó beállítások bekerülnek az eszközre vonatkozó szuperhalmaz-szabályzatba.
Csak az ütköző beállítások konfigurációi lesznek visszatartva.

A profil beállításai:

A Windows helyi biztonsági hatóság alrendszeréből származó hitelesítő adatok ellopása megjelölése
Alapértelmezett: Nincs konfigurálva
Szabály: A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopása letiltása

Segít megelőzni azokat a műveleteket és alkalmazásokat, amelyeket általában a biztonsági réseket kereső kártevők használnak a gépek megfertőzéséhez.
- Nincs konfigurálva
- Engedélyezés – A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopása megjelölése.
- Csak naplózás
Folyamat létrehozása az Adobe Readerből (bétaverzió)
Alapértelmezett: Nincs konfigurálva
Szabály: Az Adobe Reader gyermekfolyamatok létrehozásának letiltása
- Nincs konfigurálva
- Engedélyezés – Az Adobe Readerből létrehozott gyermekfolyamatok letiltása.
- Csak naplózás

Az Office makrófenyegetésének megelőzésére szolgáló szabályok

Tiltsa le, hogy az Office-alkalmazások a következő műveleteket hajtják végre:

Más folyamatokba injektált Office-alkalmazások (kivételek nélkül)
Alapértelmezett: Nincs konfigurálva
Szabály: Az Office-alkalmazások nem ágyazhatják be a kódot más folyamatokba
- Nincs konfigurálva
- Blokk – Az Office-alkalmazások más folyamatokba való beszúrásának letiltása.
- Csak naplózás
Végrehajtható tartalmat létrehozó Office-alkalmazások/makrók
Alapértelmezett: Nincs konfigurálva
Szabály: Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása
- Nincs konfigurálva
- Letiltás – Az Office-alkalmazások és -makrók végrehajtható tartalmak létrehozásának letiltása.
- Csak naplózás
Gyermekfolyamatokat indító Office-alkalmazások
Alapértelmezett: Nincs konfigurálva
Szabály: Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása
- Nincs konfigurálva
- Letiltás – Letilthatja, hogy az Office-alkalmazások gyermekfolyamatokat indítsanak.
- Csak naplózás
Win32-importálás office makrókódból
Alapértelmezett: Nincs konfigurálva
Szabály: Win32 API-hívások letiltása Office-makrókból
- Nincs konfigurálva
- Blokk – Az Office-beli makrókódokból származó Win32-importálások letiltása.
- Csak naplózás
Folyamatlétrehozás Az Office kommunikációs termékeiből
Alapértelmezett: Nincs konfigurálva
Szabály: Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása
- Nincs konfigurálva
- Engedélyezés – Gyermekfolyamat-létrehozás letiltása az Office kommunikációs alkalmazásokból.
- Csak naplózás

Szkriptfenyegetések megelőzésére szolgáló szabályok

Tiltsa le az alábbiakat, hogy megelőzze a szkriptekkel kapcsolatos fenyegetéseket:

Rejtjelezett js/vbs/ps/makrókód
Alapértelmezett: Nincs konfigurálva
Szabály: A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása
- Nincs konfigurálva
- Blokk – Blokkolja az elrejtett js/vbs/ps/makrókódot.
- Csak naplózás
Az internetről letöltött hasznos adatokat végrehajtó js/vbs (kivételek nélkül)
Alapértelmezett: Nincs konfigurálva
Szabály: A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában
- Nincs konfigurálva
- Blokk – Letilthatja, hogy a js/vbs az internetről letöltött hasznos adatokat hajtson végre.
- Csak naplózás
Folyamatlétrehozás PSExec- és WMI-parancsokból
Alapértelmezett: Nincs konfigurálva
Szabály: PSExec- és WMI-parancsokból származó folyamatlétrehozások letiltása
- Nincs konfigurálva
- Blokk – A PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása.
- Csak naplózás
USB-n futó nem megbízható és aláíratlan folyamatok
Alapértelmezett: Nincs konfigurálva
Szabály: Usb-n futó nem megbízható és aláíratlan folyamatok letiltása
- Nincs konfigurálva
- Blokkolás – Letilthatja az USB-n futó nem megbízható és aláíratlan folyamatokat.
- Csak naplózás
Olyan végrehajtható fájlok, amelyek nem felelnek meg az előfordulási gyakoriságra, az életkorra vagy a megbízható listára vonatkozó feltételeknek
Alapértelmezett: Nincs konfigurálva
Szabály: Tiltsa le a végrehajtható fájlok futtatását, hacsak nem felelnek meg egy elterjedtségi, életkori vagy megbízható listafeltételnek
- Nincs konfigurálva
- Blokkolás – Letilthatja a végrehajtható fájlok futtatását, ha nem felelnek meg az előfordulási gyakoriságra, az életkorra vagy a megbízható listára vonatkozó feltételeknek.
- Csak naplózás

Szabályok az e-mail-fenyegetések megelőzésére

Tiltsa le az alábbiakat az e-mailes fenyegetések megelőzése érdekében:

Az e-mailből (webmail/mail ügyfélprogramból) elvetett végrehajtható tartalom (exe, dll, ps, js, vbs stb.) végrehajtása (kivételek nélkül)
Alapértelmezett: Nincs konfigurálva
Szabály: Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostáról
- Nincs konfigurálva
- Blokkolás – Letiltja az e-mailből (webmail/mail-client) elvetett végrehajtható tartalmak (exe, dll, ps, js, vbs stb.) végrehajtását.
- Csak naplózás

Zsarolóprogramok elleni védelem szabályai

Speciális zsarolóprogramok elleni védelem
Alapértelmezett: Nincs konfigurálva
Szabály: Speciális védelem használata zsarolóprogramok ellen
- Nincs konfigurálva
- Engedélyezés – Agresszív zsarolóprogramok elleni védelem használata.
- Csak naplózás

Támadásifelület-csökkentési kivételek

A támadásifelület-csökkentési szabályokból kizárandó fájlok és mappák
Defender CSP: AttackSurfaceReductionOnlyExclusions
- Importáljon egy .csv fájlt, amely a támadásifelület-csökkentési szabályokból kizárandó fájlokat és mappákat tartalmazza.
- Adja hozzá manuálisan a helyi fájlokat vagy mappákat.

Fontos

A Win32 LOB-alkalmazások megfelelő telepítésének és végrehajtásának lehetővé tétele érdekében a kártevőirtó beállításoknak ki kell zárniuk a következő könyvtárakat a vizsgálatból:
X64-ügyfélgépeken:
C:\Program Files (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache

X86-ügyfélgépeken:
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache

További információ: Víruskeresési javaslatok a Windows jelenleg támogatott verzióit futtató nagyvállalati számítógépeken.

Mappákhoz való hozzáférés szabályozása

Segít megvédeni az értékes adatokat a rosszindulatú alkalmazásoktól és fenyegetésektől, például a zsarolóprogramoktól.

Mappavédelem
Alapértelmezett: Nincs konfigurálva
Defender CSP: EnableControlledFolderAccess

A fájlok és mappák védelme a jogosulatlan módosítások ellen barátságtalan alkalmazások segítségével.
- Nincs konfigurálva
- Engedélyez
- Csak naplózás
- Lemezmódosítás letiltása
- Lemezmódosítás naplózása
Ha a Nincs konfigurálva beállítástól eltérő konfigurációt választ, a következőt konfigurálhatja:
- A védett mappákhoz hozzáféréssel rendelkező alkalmazások listája
  Defender CSP: ControlledFolderAccessAllowedApplications
  - Alkalmazáslistát tartalmazó .csv-fájl importálása.
  - Alkalmazások hozzáadása a listához manuálisan.
- A védeni kívánt további mappák listája
  Defender CSP: ControlledFolderAccessProtectedFolders
  - Mappalistát tartalmazó .csv fájl importálása.
  - Mappák hozzáadása a listához manuálisan.

Hálózatszűrés

Tiltsa le bármely alkalmazásból az alacsony hírnevű IP-címekre vagy tartományokra irányuló kimenő kapcsolatokat. A hálózatszűrés naplózási és blokkolási módban is támogatott.

Hálózatvédelem
Alapértelmezett: Nincs konfigurálva
Defender CSP: EnableNetworkProtection

Ennek a beállításnak az a célja, hogy megvédje a végfelhasználókat az adathalász csalásokhoz, a biztonsági rés kiaknázása által üzemeltetett webhelyekhez és az interneten található rosszindulatú tartalmakhoz hozzáférő alkalmazásoktól. Emellett megakadályozza, hogy a külső böngészők veszélyes webhelyekhez csatlakozzanak.
- Nincs konfigurálva – Tiltsa le ezt a funkciót. A felhasználók és az alkalmazások nem lesznek blokkolva a veszélyes tartományokhoz való csatlakozásban. A rendszergazdák nem láthatják ezt a tevékenységet a Microsoft Defender biztonsági központ.
- Engedélyezés – Kapcsolja be a hálózatvédelmet, és tiltsa le, hogy a felhasználók és alkalmazások veszélyes tartományokhoz csatlakozzanak. A rendszergazdák a Microsoft Defender biztonsági központ láthatják ezt a tevékenységet.
- Csak naplózás: – A felhasználók és az alkalmazások nem lesznek blokkolva a veszélyes tartományokhoz való csatlakozásban. A rendszergazdák a Microsoft Defender biztonsági központ láthatják ezt a tevékenységet.

Biztonsági rés kiaknázása elleni védelem

XML feltöltése
Alapértelmezett: Nincs konfigurálva

A biztonsági rés kiaknázása elleni védelem használatához hozzon létre egy XML-fájlt, amely tartalmazza a kívánt rendszer- és alkalmazáscsökkentési beállításokat. Az XML-fájl létrehozásának két módja van:
- PowerShell – Használjon egy vagy több Get-ProcessMitigation, Set-ProcessMitigation és ConvertTo-ProcessMitigationPolicy PowerShell-parancsmagot. A parancsmagok konfigurálják a kockázatcsökkentési beállításokat, és exportálják azok XML-ábrázolását.
- Microsoft Defender biztonsági központ felhasználói felület – A Microsoft Defender biztonsági központ válassza az Alkalmazás & böngészővezérlő lehetőséget, majd görgessen az eredményként kapott képernyő aljára a Biztonsági rés kiaknázása elleni védelem megkereséséhez. Először használja a Rendszerbeállítások és a Programbeállítások lapot a kockázatcsökkentési beállítások konfigurálásához. Ezután a képernyő alján található Exportálási beállítások hivatkozásra kattintva exportálhatja a beállítások XML-ábrázolását.
A biztonsági rés kiaknázása elleni védelmi felület felhasználói szerkesztése
Alapértelmezett: Nincs konfigurálva
ExploitGuard CSP: ExploitProtectionSettings
- Blokk – Töltsön fel egy XML-fájlt, amely lehetővé teszi a memória, a vezérlési folyamat és a szabályzatkorlátozások konfigurálását. Az XML-fájl beállításaival letilthatja az alkalmazások biztonsági réseinek kihasználását.
- Nincs konfigurálva – A rendszer nem használ egyéni konfigurációt.

Microsoft Defender alkalmazásvezérlés

Válassza ki azokat az alkalmazásokat, amelyeket naplózni szeretne, vagy amelyeket megbízhatónak tart az alkalmazásvezérlés Microsoft Defender. A Windows-összetevők és a Windows Áruházból származó összes alkalmazás automatikusan megbízhatóan fut.

Alkalmazásvezérlési kódintegritási szabályzatok
Alapértelmezett: Nincs konfigurálva
CSP: AppLocker CSP
- Kényszerítés – Válassza ki a felhasználói eszközök alkalmazásvezérlési kódintegritási szabályzatát.
  
  Az eszközön való engedélyezés után az alkalmazásvezérlés csak úgy tiltható le, ha a módot KényszerítésrőlCsak naplózásra módosítja. Ha a módot Kényszerítés értékről Nincs konfigurálva értékre módosítja, az alkalmazásvezérlés továbbra is kényszerítve lesz a hozzárendelt eszközökön.
- Nincs konfigurálva – Az alkalmazásvezérlés nincs hozzáadva az eszközökhöz. A korábban hozzáadott beállítások azonban továbbra is érvénybe lépnek a hozzárendelt eszközökön.
- Csak naplózás – Az alkalmazások nincsenek letiltva. A rendszer minden eseményt naplóz a helyi ügyfél naplóiban.
  
  Megjegyzés:
  
  Ha ezt a beállítást használja, az AppLocker CSP viselkedése jelenleg arra kéri a végfelhasználót, hogy indítsa újra a gépet egy szabályzat telepítésekor.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard védelmet nyújt a hitelesítő adatok ellopása elleni támadások ellen. Elkülöníti a titkos kódokat, hogy csak a kiemelt rendszerszoftverek férhessenek hozzájuk.

Credential Guard
Alapértelmezett: Letiltás
DeviceGuard CSP
- Letiltás – Kapcsolja ki távolról a Credential Guardot, ha korábban be volt kapcsolva az Engedélyezve UEFI-zárolás nélkül beállítással.
- Engedélyezés UEFI-zárolással – A Credential Guard nem tiltható le távolról beállításkulcs vagy csoportházirend használatával.
  
  Megjegyzés:
  
  Ha ezt a beállítást használja, majd később le szeretné tiltani a Credential Guardot, a Csoportházirend Letiltva értékre kell állítania. Emellett fizikailag törölje az UEFI konfigurációs adatait az egyes számítógépekről. Amíg az UEFI-konfiguráció nem szűnik meg, a Credential Guard engedélyezve van.
- Engedélyezés UEFI-zárolás nélkül – Lehetővé teszi, hogy a Credential Guard távolról le legyen tiltva Csoportházirend használatával. Az ezt a beállítást használó eszközöknek Windows 10 1511-es vagy újabb verziót, vagy Windows 11 kell futtatniuk.
A Credential Guard engedélyezésekor a következő szükséges funkciók is engedélyezve vannak:
- Virtualizálás-alapú biztonság (VBS)
  Bekapcsol a következő újraindítás során. A virtualizálás-alapú biztonság a Windows Hipervizor használatával nyújt támogatást a biztonsági szolgáltatásokhoz.
- Biztonságos rendszerindítás címtármemória-hozzáféréssel
  Bekapcsolja a VBS-t a biztonságos rendszerindítás és a közvetlen memória-hozzáférés (DMA) védelmével. A DMA-védelem hardvertámogatást igényel, és csak a megfelelően konfigurált eszközökön engedélyezett.

Microsoft Defender biztonsági központ

Microsoft Defender biztonsági központ az egyes funkcióktól különálló alkalmazásként vagy folyamatként működik. Értesítéseket jelenít meg a Műveletközponton keresztül. Gyűjtőként vagy egyetlen helyen működik az egyes funkciók állapotának megtekintéséhez és bizonyos konfigurációk futtatásához. További információt a Microsoft Defender dokumentációjában talál.

alkalmazás és értesítések Microsoft Defender biztonsági központ

Letilthatja a végfelhasználók hozzáférését az Microsoft Defender biztonsági központ alkalmazás különböző területeihez. A szakaszok elrejtése a kapcsolódó értesítéseket is blokkolja.

Vírus- és veszélyforrások elleni védelem
Alapértelmezett: Nincs konfigurálva
WindowsDefenderSecurityCenter CSP: DisableVirusUI

Konfigurálja, hogy a végfelhasználók megtekinthetik-e a vírus- és veszélyforrások elleni védelmet a Microsoft Defender biztonsági központ. A szakasz elrejtése a vírus- és veszélyforrások elleni védelemmel kapcsolatos összes értesítést is letiltja.
- Nincs konfigurálva
- Elrejt
Zsarolóprogramok elleni védelem
Alapértelmezett: Nincs konfigurálva
WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

Konfigurálja, hogy a végfelhasználók megtekinthetik-e a Ransomware protection területet a Microsoft Defender biztonsági központ. A szakasz elrejtése a Zsarolóvírusok elleni védelemmel kapcsolatos összes értesítést is letiltja.
- Nincs konfigurálva
- Elrejt
Fiókvédelem
Alapértelmezett: Nincs konfigurálva
WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI

Konfigurálja, hogy a végfelhasználók megtekinthetik-e a Fiókvédelem területet a Microsoft Defender biztonsági központ. A szakasz elrejtése a fiókvédelemmel kapcsolatos összes értesítést is letiltja.
- Nincs konfigurálva
- Elrejt
Tűzfal és hálózatvédelem
Alapértelmezett: Nincs konfigurálva
WindowsDefenderSecurityCenter CSP: DisableNetworkUI

Konfigurálja, hogy a végfelhasználók megtekinthetik-e a Tűzfal és hálózatvédelem területet a Microsoft Defender Security Centerben. A szakasz elrejtése a tűzfallal és a hálózatvédelemmel kapcsolatos összes értesítést is letiltja.
- Nincs konfigurálva
- Elrejt
Alkalmazás- és böngészővezérlő
Alapértelmezett: Nincs konfigurálva
WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

Konfigurálja, hogy a végfelhasználók megtekinthetik-e az alkalmazás- és böngészővezérlő területet a Microsoft Defender Security Centerben. A szakasz elrejtése az alkalmazás- és böngészővezérléssel kapcsolatos összes értesítést is letiltja.
- Nincs konfigurálva
- Elrejt
Hardvervédelem
Alapértelmezett: Nincs konfigurálva
WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

Konfigurálja, hogy a végfelhasználók megtekinthetik-e a Hardvervédelem területet a Microsoft Defender biztonsági központ. A szakasz elrejtése a hardvervédelemmel kapcsolatos összes értesítést is letiltja.
- Nincs konfigurálva
- Elrejt
Eszköz teljesítménye és állapota
Alapértelmezett: Nincs konfigurálva
WindowsDefenderSecurityCenter CSP: DisableHealthUI

Konfigurálja, hogy a végfelhasználók megtekinthetik-e az Eszközteljesítmény és -állapot területet a Microsoft Defender Security Centerben. A szakasz elrejtése az eszköz teljesítményével és állapotával kapcsolatos összes értesítést is letiltja.
- Nincs konfigurálva
- Elrejt
Családi beállítások
Alapértelmezett: Nincs konfigurálva
WindowsDefenderSecurityCenter CSP: DisableFamilyUI

Konfigurálja, hogy a végfelhasználók megtekinthetik-e a Családbeállítások területet a Microsoft Defender Security Centerben. Ha elrejti ezt a szakaszt, az a Család beállításokkal kapcsolatos összes értesítést is letiltja.
- Nincs konfigurálva
- Elrejt
Értesítések az alkalmazás megjelenített területeiről
Alapértelmezett: Nincs konfigurálva
WindowsDefenderSecurityCenter CSP: DisableNotifications

Válassza ki, hogy mely értesítések jelenjenek meg a végfelhasználók számára. A nem kritikus értesítések közé tartoznak az Microsoft Defender víruskereső tevékenységeinek összegzései, beleértve a vizsgálatok befejezéséről kapott értesítéseket is. Minden más értesítés kritikus fontosságúnak minősül.
- Nincs konfigurálva
- Nem kritikus értesítések letiltása
- Az összes értesítés letiltása
Windows biztonság Center ikon a tálcán
Alapértelmezett: Nincs konfigurálva WindowsDefenderSecurityCenter CSP: HideWindowsSecurityNotificationAreaControl

Konfigurálja az értesítési terület vezérlő megjelenítését. A felhasználónak ki kell jelentkeznie, és be kell jelentkeznie, vagy újra kell indítania a számítógépet a beállítás érvénybe léptetéséhez.
- Nincs konfigurálva
- Elrejt
TPM törlése gomb
Alapértelmezett: Nincs konfigurálva WindowsDefenderSecurityCenter CSP: DisableClearTpmButton

Konfigurálja a TPM törlése gomb megjelenítését.
- Nincs konfigurálva
- Letilt
A TPM belső vezérlőprogramjának frissítési figyelmeztetése
Alapértelmezett: Nincs konfigurálva WindowsDefenderSecurityCenter CSP: DisableTpmFirmwareUpdateWarning

Konfigurálja a TPM-vezérlőprogram frissítésének megjelenítését, ha sebezhető belső vezérlőprogramot észlel.
- Nincs konfigurálva
- Elrejt
Illetéktelen módosítás elleni védelem
Alapértelmezett: Nincs konfigurálva

Az Illetéktelen módosítás elleni védelem be- és kikapcsolása az eszközökön. Az Illetéktelen módosítás elleni védelem használatához integrálnia kell Végponthoz készült Microsoft Defender Intune, és Enterprise Mobility + Security E5 licenccel kell rendelkeznie.
- Nincs konfigurálva – A rendszer nem módosítja az eszközbeállításokat.
- Engedélyezve – Az illetéktelen módosítás elleni védelem be van kapcsolva, és korlátozások lépnek érvénybe az eszközökön.
- Letiltva – Az illetéktelen módosítás elleni védelem ki van kapcsolva, és a korlátozások nem lesznek érvényben.

Informatikai kapcsolattartási adatok

Adja meg az informatikai kapcsolattartási adatokat, hogy megjelenjenek az Microsoft Defender biztonsági központ alkalmazásban és az alkalmazásértesítésekben.

Választhatja a Megjelenítés az alkalmazásban és az értesítésekben, a Csak az alkalmazásban való megjelenítés, a Csak az értesítésekben való megjelenítés vagy a Nem jelenik meg beállítást. Adja meg az informatikai szervezet nevét, és legalább az alábbi kapcsolattartási lehetőségek egyikét:

Informatikai kapcsolattartási adatok
Alapértelmezett: Nem jelenik meg
WindowsDefenderSecurityCenter CSP: EnableCustomizedToasts

Itt adhatja meg, hogy hol jelenjenek meg az informatikai kapcsolattartási adatok a végfelhasználók számára.
- Megjelenítés az alkalmazásban és az értesítésekben
- Csak az alkalmazásban jelenik meg
- Csak az értesítésekben jelenik meg
- Nem jelenik meg
Ha megjelenítésre van konfigurálva, a következő beállításokat konfigurálhatja:
- Informatikai szervezet neve
  Alapértelmezett: Nincs konfigurálva
  WindowsDefenderSecurityCenter CSP: CompanyName
- Informatikai részleg telefonszáma vagy Skype-azonosítója
  Alapértelmezett: Nincs konfigurálva
  WindowsDefenderSecurityCenter CSP: Telefon
- It-részleg e-mail-címe
  Alapértelmezett: Nincs konfigurálva
  WindowsDefenderSecurityCenter CSP: Email
- Informatikai támogatási webhely URL-címe
  Alapértelmezett: Nincs konfigurálva
  WindowsDefenderSecurityCenter CSP: URL

Helyi eszközbiztonsági beállítások

Ezekkel a beállításokkal konfigurálhatja a helyi biztonsági beállításokat Windows 10/11-eszközökön.

Fiókok

Új Microsoft-fiókok hozzáadása
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: Accounts_BlockMicrosoftAccounts
- Blokk Megakadályozza, hogy a felhasználók új Microsoft-fiókokat vegyenek fel az eszközre.
- Nincs konfigurálva – A felhasználók microsoftos fiókokat használhatnak az eszközön.
Távoli bejelentkezés jelszó nélkül
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
- Letiltás – Csak az üres jelszóval rendelkező helyi fiókok jelentkezhetnek be az eszköz billentyűzetével.
- Nincs konfigurálva – Engedélyezi az üres jelszóval rendelkező helyi fiókoknak, hogy a fizikai eszköztől eltérő helyről jelentkezzenek be.

Rendszergazda

Helyi rendszergazdai fiók
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
- Blokk Helyi rendszergazdai fiók használatának megakadályozása.
- Nincs konfigurálva
Rendszergazdai fiók átnevezése
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: Accounts_RenameAdministratorAccount

Adjon meg egy másik fióknevet, amely a "Rendszergazda" fiók biztonsági azonosítójához (SID) társítható.

Vendég

Vendégfiók
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions
- Blokk – Vendégfiók használatának megakadályozása.
- Nincs konfigurálva
Vendégfiók átnevezése
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

Adjon meg egy másik fióknevet, amely a "Guest" fiók biztonsági azonosítójához (SID) társítható.

Eszközök

Eszköz kijelentkezés nélküli leválasztásakor
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: Devices_AllowUndockWithoutHavingToLogon
- Letiltás – A felhasználónak be kell jelentkeznie az eszközre, és engedélyt kell kapnia az eszköz leválasztására.
- Nincs konfigurálva – A felhasználók a rögzített hordozható eszköz fizikai kibocsátó gombját lenyomva biztonságosan leválaszthatják az eszközt.
Nyomtató-illesztőprogramok telepítése megosztott nyomtatókhoz
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
- Engedélyezve – A megosztott nyomtatóhoz való csatlakozás részeként bármely felhasználó telepíthet nyomtató-illesztőprogramot.
- Nincs konfigurálva – A megosztott nyomtatóhoz való csatlakozás részeként csak a rendszergazdák telepíthetnek nyomtató-illesztőprogramokat.
CD-ROM-hozzáférés korlátozása helyi aktív felhasználóra
Alapértelmezett: Nincs konfigurálva
CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
- Engedélyezve – Csak az interaktívan bejelentkezett felhasználó használhatja a CD-ROM-adathordozót. Ha ez a szabályzat engedélyezve van, és senki sincs interaktívan bejelentkezve, akkor a CD-ROM a hálózaton keresztül érhető el.
- Nincs konfigurálva – Bárki hozzáférhet a CD-ROM-hoz.
Cserélhető adathordozó formázása és kiadása
Alapértelmezett: Rendszergazdák
CSP: Devices_AllowedToFormatAndEjectRemovableMedia

Határozza meg, hogy ki formázhatja és hozhatja ki a cserélhető NTFS-adathordozót:
- Nincs konfigurálva
- Rendszergazdák
- Rendszergazdák és power-felhasználók
- Rendszergazdák és interaktív felhasználók

Interaktív bejelentkezés

A zárolási képernyő inaktivitási percei, amíg a képernyőkímélő aktiválódik
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: InteractiveLogon_MachineInactivityLimit

Adja meg a képernyővédő aktiválásáig maximális tétlenségi percet. (0 - 99999)
Bejelentkezéshez a CTRL+ALT+DEL billentyűkombináció szükséges
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotRequireCTRLALTDEL
- Engedélyezés – A Windowsba való bejelentkezés előtt a felhasználóknak le kell nyomnia a CTRL+ALT+DEL billentyűkombinációt.
- Nincs konfigurálva – A felhasználók bejelentkezéséhez nincs szükség a CTRL+ALT+DEL billentyűkombináció lenyomására.
Intelligenskártya-eltávolítási viselkedés
Alapértelmezett: Nincs action LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

Meghatározza, mi történik, ha egy bejelentkezett felhasználó intelligens kártyáját eltávolítják az intelligenskártya-olvasóból. Az Ön lehetőségei:
- Munkaállomás zárolása – A munkaállomás zárolva van az intelligens kártya eltávolításakor. Ezzel a beállítással a felhasználók elhagyhatják a területet, magukkal vihetik az intelligens kártyájukat, és továbbra is fenntarthatják a védett munkamenetet.
- Nincs művelet
- Embléma kényszerítése – A rendszer automatikusan kijelentkezteti a felhasználót az intelligens kártya eltávolításakor.
- Kapcsolat bontása távoli asztali szolgáltatások munkamenete esetén – Az intelligens kártya eltávolítása anélkül bontja a munkamenetet, hogy kijelentkezteti a felhasználót. Ezzel a beállítással a felhasználó beszúrhatja az intelligens kártyát, és később folytathatja a munkamenetet, vagy egy másik intelligenskártya-olvasóval felszerelt számítógépen anélkül, hogy újra be kellene jelentkeznie. Ha a munkamenet helyi, ez a szabályzat ugyanúgy működik, mint a Munkaállomás zárolása.

Megjelenítés

Felhasználói adatok a zárolási képernyőn
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Konfigurálja a munkamenet zárolásakor megjelenő felhasználói adatokat. Ha nincs konfigurálva, megjelenik a felhasználónév, a tartomány és a felhasználónév.
- Nincs konfigurálva
- Felhasználónév, tartomány és felhasználónév
- Csak a felhasználó megjelenítendő neve
- Ne jelenjenek meg felhasználói adatok
Utolsó bejelentkezett felhasználó elrejtése
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayLastSignedIn
- Engedélyezés – A felhasználónév elrejtése.
- Nincs konfigurálva – Az utolsó felhasználónév megjelenítése.
Felhasználónév elrejtése bejelentkezéskor, alapértelmezés: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn
- Engedélyezés – A felhasználónév elrejtése.
- Nincs konfigurálva – Az utolsó felhasználónév megjelenítése.
Bejelentkezési üzenet címe
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Adja meg az üzenet címét a bejelentkező felhasználók számára.
Bejelentkezési üzenet szövege
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Adja meg az üzenet szövegét a bejelentkező felhasználók számára.

Hálózati hozzáférés és biztonság

Névtelen hozzáférés nevesített csövekhez és megosztásokhoz
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
- Nincs konfigurálva – Korlátozza a névtelen hozzáférést a megosztáshoz és a nevesített cső beállításaihoz. A névtelenül elérhető beállításokra vonatkozik.
- Letiltás – Tiltsa le ezt a szabályzatot, és tegye elérhetővé a névtelen hozzáférést.
SAM-fiókok névtelen enumerálása
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
- Nincs konfigurálva – A névtelen felhasználók számba tudják használni a SAM-fiókokat.
- Blokk – A SAM-fiókok névtelen számbavételének megakadályozása.
SAM-fiókok és -megosztások névtelen enumerálása
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
- Nincs konfigurálva – A névtelen felhasználók számba tudják sorolni a tartományi fiókok és a hálózati megosztások nevét.
- Blokk – A SAM-fiókok és -megosztások névtelen számbavételének megakadályozása.
A LAN Manager jelszómódosítással tárolt kivonatértéke
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Állapítsa meg, hogy a jelszó következő módosításakor a rendszer tárolja-e a jelszavak kivonatértékét.
- Nincs konfigurálva – A kivonat értéke nincs tárolva
- Blokk – A LAN Manager (LM) tárolja az új jelszó kivonatértékét.
PKU2U hitelesítési kérések
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests
- Nincs konfigurálva – PU2U-kérések engedélyezése.
- Blokkolás – Az eszközre irányuló PKU2U hitelesítési kérések letiltása.
Távoli RPC-kapcsolatok korlátozása SAM-re
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
- Nincs konfigurálva – Használja az alapértelmezett biztonsági leírót, amely lehetővé teheti, hogy a felhasználók és csoportok távoli RPC-hívásokat kezdeményezhessenek a SAM-hez.
- Engedélyezés – Letilthatja, hogy a felhasználók és csoportok távoli RPC-hívásokat kezdeményezhessenek a felhasználói fiókokat és jelszavakat tároló Security Accounts Manager (SAM) felé. Az Engedélyezés beállítással az alapértelmezett SDDL-sztringet is módosíthatja úgy, hogy explicit módon engedélyezze vagy tiltsa le a felhasználók és csoportok számára ezeket a távoli hívásokat.
  - Biztonsági leíró
    Alapértelmezett: Nincs konfigurálva
Az NTLM SSP-alapú ügyfelek minimális munkamenet-biztonsága
Alapértelmezett: Nincs
LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Ez a biztonsági beállítás lehetővé teszi, hogy a kiszolgáló megkövetelje a 128 bites titkosítás és/vagy az NTLMv2-munkamenet biztonságának egyeztetését.
- Egyikre sem.
- NTLMv2-munkamenet biztonságának megkövetelése
- 128 bites titkosítás megkövetelése
- NTLMv2 és 128 bites titkosítás
Az NTLM SSP-alapú kiszolgáló minimális munkamenet-biztonsága
Alapértelmezett: Nincs
LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Ez a biztonsági beállítás határozza meg, hogy melyik kihívás/válasz hitelesítési protokollt használja a rendszer a hálózati bejelentkezésekhez.
- Egyikre sem.
- NTLMv2-munkamenet biztonságának megkövetelése
- 128 bites titkosítás megkövetelése
- NTLMv2 és 128 bites titkosítás
LAN Manager hitelesítési szint
Alapértelmezett: LM és NTLM
LocalPoliciesSecurityOptions CSP: NetworkSecurity_LANManagerAuthenticationLevel
- LM és NTLM
- LM, NTLM és NTLMv2
- NTLM
- NTLMv2
- NTLMv2 és nem LM
- NTLMv2 és nem LM vagy NTLM
Nem biztonságos vendégbejelentkozások
Alapértelmezett: Nincs konfigurálva
LanmanWorkstation CSP: LanmanWorkstation

Ha engedélyezi ezt a beállítást, az SMB-ügyfél elutasítja a nem biztonságos vendégbejelentkeztetéseket.
- Nincs konfigurálva
- Blokk – Az SMB-ügyfél elutasítja a nem biztonságos vendégbejelentkozásokat.

Helyreállítási konzol és leállítás

Virtuális memória lapozófájlja törlése leállításkor
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: Shutdown_ClearVirtualMemoryPageFile
- Engedélyezés – Törölje a virtuális memória lapozófájlját, amikor az eszköz le van kapcsolva.
- Nincs konfigurálva – Nem törli a virtuális memóriát.
Leállítás bejelentkezés nélkül
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
- Letiltás – A leállítási beállítás elrejtése a Windows bejelentkezési képernyőjén. A felhasználóknak be kell jelentkezniük az eszközre, majd le kell állítaniuk.
- Nincs konfigurálva – Engedélyezi a felhasználóknak, hogy leállítják az eszközt a Windows bejelentkezési képernyőjéről.

Felhasználói fiókok vezérlése

UIA-integritás biztonságos hely nélkül
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
- Blokkolás – A fájlrendszerben biztonságos helyen található alkalmazások csak UIAccess-integritással futnak.
- Nincs konfigurálva – Lehetővé teszi, hogy az alkalmazások UIAccess-integritással fussanak, még akkor is, ha az alkalmazások nem biztonságos helyen találhatók a fájlrendszerben.
Fájl- és beállításjegyzék-írási hibák virtualizálása felhasználónkénti helyekre
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
- Engedélyezve – A védett helyekre adatokat író alkalmazások meghiúsulnak.
- Nincs konfigurálva – Az alkalmazásírási hibákat a rendszer futásidőben átirányítja a fájlrendszer és a beállításjegyzék meghatározott felhasználói helyeire.
Csak aláírt és ellenőrzött végrehajtható fájlok emelése
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
- Engedélyezve – Futtatás előtt kényszerítse ki a PKI-tanúsítvány elérési útjának érvényesítését egy végrehajtható fájlhoz.
- Nincs konfigurálva – Ne kényszerítse ki a PKI-tanúsítvány elérési útjának érvényesítését a végrehajtható fájlok futtatása előtt.

UIA jogosultságszint-emelési kérés viselkedése

Jogosultságszint-emelési kérés rendszergazdáknak
Alapértelmezett: Hozzájárulás kérése nem Windows bináris fájlokhoz
LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Határozza meg a rendszergazdai jogosultságszint-emelési kérés viselkedését Rendszergazda Jóváhagyási módban.
- Nincs konfigurálva
- Emelés kérés nélkül
- Hitelesítő adatok kérése a biztonságos asztalon
- Hitelesítő adatok kérése
- Hozzájárulás kérése
- Hozzájárulás kérése nem Windows bináris fájlokhoz
Jogosultságszint-emelési kérés standard felhasználók számára
Alapértelmezett: Hitelesítő adatok kérése
LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Határozza meg a jogosultságszint-emelési kérés viselkedését a standard felhasználók számára.
- Nincs konfigurálva
- Jogosultságszint-emelési kérések automatikus elutasítása
- Hitelesítő adatok kérése a biztonságos asztalon
- Hitelesítő adatok kérése
Jogosultságszint-emelési kérések átirányítása a felhasználó interaktív asztalára
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
- Engedélyezve – Az összes jogosultságszint-emelési kérés az interaktív felhasználó asztalára való ugráshoz a biztonságos asztal helyett. A rendszer a rendszergazdák és a normál felhasználók összes parancssori viselkedési szabályzatbeállítását használja.
- Nincs konfigurálva – Kényszerítse az összes jogosultságszint-emelési kérést a biztonságos asztalra, függetlenül attól, hogy milyen viselkedési házirend-beállítások vannak érvényben a rendszergazdák és a standard felhasználók számára.
Emelt szintű kérés alkalmazástelepítésekhez
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
- Engedélyezve – A rendszer nem észleli az alkalmazástelepítési csomagokat, és nem kéri a jogosultságszint-emelést.
- Nincs konfigurálva – A rendszer rendszergazdai felhasználónevet és jelszót kér a felhasználóktól, ha egy alkalmazástelepítési csomag emelt szintű jogosultságot igényel.
UIA jogosultságszint-emelési kérés biztonságos asztal nélkül
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Engedélyezés – Engedélyezi, hogy az UIAccess-alkalmazások a biztonságos asztal használata nélkül kérhessenek jogosultságszint-emelést.
Nincs konfigurálva – A jogosultságszint-emelési kérések biztonságos asztalt használnak.

Rendszergazda jóváhagyási mód

Rendszergazda jóváhagyási mód beépített rendszergazda számára
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: UserAccountControl_UseAdminApprovalMode
- Engedélyezve – Engedélyezi, hogy a beépített rendszergazdai fiók Rendszergazda jóváhagyási módot használjon. Minden olyan művelet, amely jogosultságszint-emelést igényel, a felhasználót a művelet jóváhagyására kéri.
- Nincs konfigurálva – az összes alkalmazást teljes körű rendszergazdai jogosultságokkal futtatja.
Az összes rendszergazda futtatása Rendszergazda jóváhagyási módban
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode
- Engedélyezve – Engedélyezze Rendszergazda jóváhagyási módot.
- Nincs konfigurálva – Tiltsa le Rendszergazda jóváhagyási módot és az összes kapcsolódó UAC-szabályzatbeállítást.

Microsoft Hálózati ügyfél

Kommunikáció digitális aláírása (ha a kiszolgáló egyetért)
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Meghatározza, hogy az SMB-ügyfél egyezteti-e az SMB-csomagaláírást.
- Blokk – Az SMB-ügyfél soha nem egyeztetI az SMB-csomagaláírást.
- Nincs konfigurálva – A Microsoft hálózati ügyfél arra kéri a kiszolgálót, hogy futtassa az SMB-csomagaláírást a munkamenet beállításakor. Ha a csomagaláírás engedélyezve van a kiszolgálón, a csomagaláírás egyeztetése történik.
Titkosítatlan jelszó küldése külső SMB-kiszolgálóknak
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
- Blokkolás – A kiszolgálói üzenetblokk (SMB) átirányítója egyszerű szöveges jelszavakat küldhet olyan nem Microsoft SMB-kiszolgálóknak, amelyek nem támogatják a jelszótitkosítást a hitelesítés során.
- Nincs konfigurálva – Egyszerű szöveges jelszavak küldésének letiltása. A jelszavak titkosítva vannak.
Kommunikáció digitális aláírása (mindig)
Alapértelmezett: Nincs konfigurálva
LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways
- Engedélyezés – A Microsoft hálózati ügyfél csak akkor kommunikál a Microsoft hálózati kiszolgálóval, ha a kiszolgáló beleegyezik az SMB-csomagaláírásba.
- Nincs konfigurálva – Az SMB-csomagaláírás egyeztetése az ügyfél és a kiszolgáló között történik.

Microsoft Hálózati kiszolgáló

Kommunikáció digitális aláírása (ha az ügyfél egyetért)
Alapértelmezett: Nincs konfigurálva
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
- Engedélyezés – A Microsoft hálózati kiszolgáló egyezteti az SMB-csomagaláírást az ügyfél kérésének megfelelően. Vagyis ha a csomagaláírás engedélyezve van az ügyfélen, a csomagaláírás egyeztetésre kerül.
- Nincs konfigurálva – Az SMB-ügyfél soha nem egyezteti az SMB-csomagaláírást.
Kommunikáció digitális aláírása (mindig)
Alapértelmezett: Nincs konfigurálva
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways
- Engedélyezés – A Microsoft hálózati kiszolgáló csak akkor kommunikál a Microsoft hálózati ügyféllel, ha az ügyfél beleegyezik az SMB-csomagaláírásba.
- Nincs konfigurálva – Az SMB-csomagaláírás egyeztetése az ügyfél és a kiszolgáló között történik.

Xbox-szolgáltatások

Xbox Game Save Task
Alapértelmezett: Nincs konfigurálva
CSP: TaskScheduler/EnableXboxGameSaveTask

Ez a beállítás határozza meg, hogy az Xbox Game Save feladat engedélyezve vagy letiltva van-e.
- Engedélyezve
- Nincs konfigurálva
Xbox tartozékkezelési szolgáltatás
Alapértelmezett: Kézi
CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupMode

Ez a beállítás határozza meg a Tartozékkezelési szolgáltatás indítási típusát.
- Kézikönyv
- Automatikus
- Letiltva
Xbox Live Hitelesítéskezelő szolgáltatás
Alapértelmezett: Kézi
CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupMode

Ez a beállítás határozza meg a Live Auth Manager szolgáltatás indítási típusát.
- Kézikönyv
- Automatikus
- Letiltva
Xbox Live Game Save Service
Alapértelmezett: Kézi
CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupMode

Ez a beállítás határozza meg a Live Game Save szolgáltatás indítási típusát.
- Kézikönyv
- Automatikus
- Letiltva
Xbox Live hálózatkezelési szolgáltatás
Alapértelmezett: Kézi
CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupMode

Ez a beállítás határozza meg a hálózati szolgáltatás indítási típusát.
- Kézikönyv
- Automatikus
- Letiltva

Következő lépések

A profil létrejön, de még nem csinál semmit. Ezután rendelje hozzá a profilt, és figyelje az állapotát.

Végpontvédelmi beállítások konfigurálása macOS-eszközökön .

Megosztás a következőn keresztül: