Поставщик служб CSP политики — безопасность
AllowAddProvisioningPackage
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Security/AllowAddProvisioningPackage
Указывает, следует ли разрешить агенту конфигурации среды выполнения устанавливать пакеты подготовки.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. |
| 1 (по умолчанию) | Разрешено. |
AllowManualRootCertificateInstallation
Примечание.
Эта политика является устаревшей и может быть удалена в будущем выпуске.
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
❌ Pro ❌ Enterprise ❌ для образования ❌ Windows SE ❌ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Security/AllowManualRootCertificateInstallation
Этот параметр политики является устаревшим.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. |
| 1 (по умолчанию) | Разрешено. |
AllowRemoveProvisioningPackage
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Security/AllowRemoveProvisioningPackage
Указывает, следует ли разрешить агенту конфигурации среды выполнения удалять пакеты подготовки.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. |
| 1 (по умолчанию) | Разрешено. |
AntiTheftMode
Примечание.
Эта политика является устаревшей и может быть удалена в будущем выпуске.
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
Неприменимо | ✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Security/AntiTheftMode
Этот параметр политики является устаревшим.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Отключено. |
| 1 (по умолчанию) | Включено. |
ClearTPMIfNotReady
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Security/ClearTPMIfNotReady
Этот параметр политики настраивает систему, чтобы предложить пользователю очистить TPM, если TPM находится в состоянии, отличном от готовности. Эта политика вступит в силу только в том случае, если TPM системы находится в состоянии, отличном от Готовности, в том числе если доверенный платформенный модуль имеет значение "Готово, с ограниченными возможностями". Запрос на очистку доверенного платформенного модуля начнется после следующей перезагрузки при входе пользователя только в том случае, если вошедший в систему пользователь входит в группу администраторов системы. Запрос можно отклонить, но он будет появляться после каждой перезагрузки и входа до тех пор, пока политика не будет отключена или пока доверенный платформенный модуль не будет находиться в состоянии Готовности.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не будет принудительное восстановление из состояния не готового доверенного платформенного модуля. |
| 1 | Предложит очистить TPM, если доверенный платформенный модуль находится в состоянии не готово (или ограничена функциональность), которую можно исправить с помощью TPM Clear. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | ClearTPMIfNotReady_Name |
| Понятное имя | Настройте систему для очистки доверенного платформенного модуля, если он не находится в состоянии готовности. |
| Location | Конфигурация компьютера |
| Путь | Системные > службы доверенных платформенных модулей |
| Имя раздела реестра | Software\Policies\Microsoft\TPM |
| Имя значения реестра | ClearTPMIfNotReadyGP |
| Имя файла ADMX | TPM.admx |
НастройкаWindowsPasswords
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Security/ConfigureWindowsPasswords
Настраивает использование паролей для компонентов Windows.
Примечание.
Эта политика поддерживается только в Windows 10 S.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 2 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Запретить пароли (асимметричные учетные данные будут повышены до замены паролей в функциях Windows). |
| 1 | Разрешить пароли (пароли по-прежнему разрешено использовать для функций Windows). |
| 2 (по умолчанию) | В зависимости от SKU и возможностей устройства. Windows 10 устройстваХ S по умолчанию будет задано значение "Запретить пароли", а для всех остальных устройств по умолчанию — "Разрешить пароли"). |
PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
Указывает, следует ли разрешить автоматическое шифрование устройства во время запуска при запуске при Microsoft Entra присоединении устройства.
Дополнительные сведения см. в разделе Шифрование устройства BitLocker.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Шифрование включено. |
| 1 | Шифрование отключено. |
RecoveryEnvironmentAuthentication
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ✅ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./User/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
./Device/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
Эта политика управляет требованием проверки подлинности Администратор в RecoveryEnvironment.
Процедура проверки:
Чтобы проверить эту политику, проверка, требуется ли проверка подлинности администратора в среде восстановления Windows (WinRE) для обновления ("Сохранить мои файлы") и сброса ("Удалить все").
- Сначала запустите сброс кнопок (PBR) в WinRE. Откройте командную строку от имени администратора и выполните следующую команду:
reagentc /boottore - Устройство должно перезапуститься в WinRE. В интерфейсе WinRE перейдите в раздел Устранение неполадок и выберите Сбросить этот компьютер. Вы должны увидеть два варианта: Сохранить мои файлы и Удалить все.
- Выберите параметр Сохранить мои файлы. Просмотрите поведение для проверки подлинности.
- Щелкните стрелку назад и выберите Удалить все. Просмотрите поведение для проверки подлинности.
Вместо того, чтобы вернуться назад, вы также можете перейти к параметрам сброса и выбрать Отмена на последней странице подтверждения. Затем он вернется к main интерфейсу WinRE.
В следующей таблице показано поведение, ожидаемое для параметров политики в каждом сценарии.
- ✔️ Он запрашивает проверку подлинности.
- ❌ Проверка подлинности не требуется, и она продолжается с параметрами сброса.
| Политика | Сохранение файлов | "Удалить все" |
|---|---|---|
По умолчанию (0) |
✔️ | ❌ |
RequireAuthentication" (1) |
✔️ | ✔️ |
NoRequireAuthentication" (2) |
❌ | ❌ |
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Текущее) поведение. |
| 1 | RequireAuthentication: для компонентов RecoveryEnvironment всегда требуется проверка подлинности Администратор. |
| 2 | NoRequireAuthentication: Администратор проверка подлинности не требуется для компонентов RecoveryEnvironment. |
RequireDeviceEncryption
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Security/RequireDeviceEncryption
Позволяет предприятиям включать внутреннее шифрование хранилища. Самое ограниченное значение - 1. Важно. Если шифрование включено, его нельзя отключить с помощью этой политики.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Шифрование не требуется. |
| 1 | Требуется шифрование. |
RequireProvisioningPackageSignature
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Security/RequireProvisioningPackageSignature
Указывает, должен ли пакет подготовки иметь сертификат, подписанный доверенным центром устройства.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не требуется. |
| 1 | Обязательный. |
RequireRetrieveHealthCertificateOnBoot
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Security/RequireRetrieveHealthCertificateOnBoot
Указывает, следует ли получать и публиковать журналы загрузки TCG, а также получать или кэшировать зашифрованный или подписанный отчет об аттестации работоспособности из службы аттестации Microsoft Health (HAS) при загрузке или перезагрузке устройства. Установка для этой политики значения 1 (обязательно) :D eterminmin определяет, поддерживает ли устройство удаленную аттестацию работоспособности устройства, проверяя, имеет ли устройство TPM 2. 0. Повышает производительность устройства, позволяя устройству получать и кэшировать данные, чтобы уменьшить задержку во время проверки работоспособности устройства.
Примечание.
Рекомендуется установить для этой политики значение Обязательно после регистрации MDM. Самое ограниченное значение - 1.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не требуется. |
| 1 | Обязательный. |