Поставщик служб CSP политики — ServiceControlManager
Совет
Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.
Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.
SvchostProcessMitigation
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
❌ Pro ✅ Enterprise ✅ для образования ❌ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1903 [10.0.18362] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ServiceControlManager/SvchostProcessMitigation
Этот параметр политики включает параметры защиты процессов в svchost.exe процессах.
- Если этот параметр политики включен, встроенные системные службы, размещенные в svchost.exe процессах, будут иметь более строгие политики безопасности.
Сюда входит политика, требующая подписи всех двоичных файлов, загруженных в этих процессах корпорацией Майкрософт, а также политика, разрешающая динамически создаваемый код.
- Если этот параметр политики отключен или не настроен, эти более строгие параметры безопасности применяться не будут.
Если эта политика включена, она добавляет в процессы SVCHOST защиту целостности кода (CIG) и произвольного защиты кода (ACG) и другие политики устранения рисков и целостности кода.
Важно.
Включение этой политики может вызвать проблемы совместимости со сторонним программным обеспечением, которое использует svchost.exe процессы. Например, стороннее антивирусное программное обеспечение.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | SvchostProcessMitigationEnable |
| Понятное имя | Включение svchost.exe параметров устранения рисков |
| Location | Конфигурация компьютера |
| Путь | Параметры > безопасности диспетчера управления системными > службами |
| Имя раздела реестра | System\CurrentControlSet\Control\SCMConfig |
| Имя значения реестра | EnableSvchostMitigationPolicy |
| Имя файла ADMX | ServiceControlManager.admx |