Как да активирате заключването на конфигурацията на Windows 11 на защитени компютри

Заключването на основната сигурна конфигурация на Windows 11 (Configuration Lock) е нова функция за цялата система в Windows 11 Актуализация на Windows 11 2022 г защитавам Сигурен компютър от неволна грешка в конфигурацията. Когато е активирано, заключването на конфигурацията на Windows 11 трябва да гарантира, че защитените компютри няма да бъдат засегнати от аберация на конфигурацията. В тази статия ще обясня подробно как работи заключването на конфигурацията и как можете да я конфигурирате във файл Център за администриране на Intune.

Когато Microsoft разкри Поддържани минимални хардуерни изисквания За Windows 11 софтуерният гигант е направил много ясен фокуса си върху сигурността. Чрез премахване на поддръжката за чипове и чипсети, които не поддържат подобрената производителност, надеждност и функции за сигурност на Windows 11, компанията направи значими стъпки към продукт, който е на първо място за сигурността.

Как работи заключването на конфигурацията на Windows 11?

За да разберете как работи заключването на конфигурацията на Windows 11, първо трябва да разберете какво е „сигурен компютър“, което звучи малко като маркетингов термин – и е така.

Какво е защитен компютър?

Защитеният компютър е устройство, което отговаря на поредица от най-добри практики, които осигуряват защита срещу сложни атаки. Със Secure PCs Microsoft започна да се бори с един от най-често срещаните вектори на атака в съвременните операционни системи – ядро.

Съвременният зловреден софтуер се възползва от уязвимите драйвери на ядрото, за да получи директен достъп до самата операционна система, заобикаляйки обичайните контроли за сигурност, предназначени да защитават компютрите. Тъй като този тип атака може да бъде открита и да деактивира защитите за сигурност, като напр Microsoft DefenderТова е особено голям проблем, когато става въпрос за защита срещу заплахи.

Въпреки че подобряването на сигурността винаги е добро нещо, все пак е важно то да не влияе твърде много на потребителското изживяване. Като цяло ИТ специалистите трябва да гарантират, че се прилага подходящото ниво на сигурност за случая или ролята на компютъра.

За критични данни в силно чувствителни индустрии като банкиране и здравеопазване е общоприето, че сигурността ще бъде стегната и че потребителското изживяване може да пострада в резултат на това. Това е този тип устройство, което трябва да бъде конфигурирано като защитен компютър.

За компютри и работни станции с общо предназначение, използвани за въвеждане на данни и поддръжка на клиенти, Microsoft препоръчва Базови показатели за сигурност на Windows Вместо това се предлага в Intune. Подкрепени от Secure Boot, Bitlocker криптиране, Microsoft Defender, биометрично удостоверяване на Windows Hello и чип TPM 2.0, тези базови линии осигуряват хардуерен корен на доверие за самата операционна система.

Безопасни функции на компютъра

Въпреки че има много припокриване между Windows Security Essentials (за компютри с общо предназначение) и Secure Essential PC, има няколко функции за сигурност на Secure Essential, които наистина се открояват. Те включват:

Microsoft прави много лесно конфигурирането на тези функции за сигурност за внедряване чрез Intune или Мениджър на конфигурацията.

Как Windows 11 Configuration Lock работи на защитени компютри

След като устройството е конфигурирано със сигурни основни компютърни функции, винаги е възможно тази конфигурация да подлежи на промяна с течение на времето. Устройство, което е част от много групи за сигурност, може да бъде предмет на редица правила за конфигурация на Intune по време на живота си.

Какво се случва, ако една от тези политики деактивира функция за защитен компютър? Е, тук идва заключването на конфигурацията на Windows 11.

Заключването на конфигурацията е основна сигурна функция на компютъра, която е предназначена да предотврати това да се случи отклонение на конфигурацията, състояние, при което конфигурацията на устройството се променя от първоначалното си състояние. Той прави това чрез бързо откриване на неправилна конфигурация и почти мигновено обработване на променена настройка.

Въпреки че повечето конфигурации, управлявани от Intune, автоматично ще се върнат към конфигурираното си състояние, ако бъдат променени, този процес на откриване и коригиране се основава на редовно синхронизиране на MDM, обикновено на всеки 8 часа. През този период компютрите все още могат да бъдат оставени в уязвимо състояние за известно време.

Windows 11 Configuration Lock на защитени компютри има за цел незабавно да открие и отстрани аномалия в конфигурацията. Той постига това чрез активно наблюдение на специфичните записи в системния регистър за целевата стойност. Ако стойността се промени от предназначението си, операционната система незабавно коригира настройката.

Как да конфигурирате заключване на конфигурация за Windows 11

Както вече трябва да знаете, възможността за заключване на конфигурацията на Windows 11 е достъпна само за компютри Те се класифицират като компютри със защитено ядро. За да конфигурирате Windows 11 Configuration Lock, ще трябва да отидете на File Център за администриране на Intune.

Създайте профил в центъра за администриране на Microsoft Endpoint Manager

В центъра за администриране на Microsoft Endpoint Manager преминете към хардуерИ на След това щракнете конфигурационни профили под раздела за политика.

След натискане Създайте профилизберете следните настройки:

  • програма: Windows 10 и по-нови версии
  • Тип профил: шаблони
  • Мухъл: навик
Създайте своя профил в центъра за администриране на Microsoft Endpoint Manager

В Основите Стъпка, име на профила. Отидох на „разрешаване на заключване на конфигурацията“. Добре е да дадете полезно описание на този етап.

профилно име
Дайте името на вашия профил

щракнете следващ Когато сте готови да конфигурирате настройките за заключване на конфигурацията за Windows 11

Конфигурационни настройки за заключване на конфигурацията на Windows 11

На конфигурационни настройки екран, въведете следната информация:

  • OMA-URI: ./Vendor/MSFT/DMClient/Provider/MS%20DM%20Server/ConfigLock/Lock
  • тип данни: Цяло число
  • Стойности: 1 (0 изключено заключване на конфигурацията)

щракнете следващ Когато сте готови.

Конфигурационни настройки за заключване на конфигурацията
конфигурационни настройки

На задачи ще трябва да въведете целева група за вашия профил. Избирам следващ Когато сте готови

Ти си
Задачи – intune.microsoft.com

На Правила за кандидатстване екран, можете да дефинирате различни правила за приложението на вашия профил в дадена група, но не е необходимо да правите това за целите на тестването. щракнете следващ Когато сте готови.

Правила за кандидатстване – intune.microsoft.com

След като пристигнете преглед + създаване екран, можете да проверите отново вашите настройки за конфигурация за вашия профил за заключване на конфигурацията. щракнете Създавайте Ако всичко изглежда добре.

Преглед и изграждане – intune.microsoft.com

В преглед + създаване екран, щракнете Създавайте.

Профилът Enable Configuration Lock сега се появява в списъка с профили за конфигурация
Конфигурационни профили – intune.microsoft.com

След като приключите, профилът Enable Configuration Lock ще се появи в списъка с профили за конфигурация в центъра за администриране на Microsoft Endpoint Manager. След като вашите устройства се синхронизират със сървъра на Microsoft Intune, ще можете да видите дали заключването на конфигурацията е активирано успешно.

заключение

Windows 11 Configuration Lock дава възможност на администраторите да определят, че компютрите с висока степен на сигурност или групите от компютри са толкова чувствителни, че е наложително конфигурацията им да не се променя. Това дава на организациите, работещи в силно защитени или регулирани среди, увереност, че техните устройства са и ще останат защитени.