Установка защиты: Установка в Москве

Содержание

Установка в Москве

Установка фаркопа (ТСУ) и электрики к нему
установка фаркопа без электрикиот 1500 р.
установка фаркопа с подключением универсальной электрикиот 2500 р.
установка фаркопа с подключением блока согласования MH/07от 3500 р.
установка фаркопа с подключением блока согласования других производителей 5500 р.
установка фаркопа с подключением универсальной электрики на отеч. а/м 2500 р.
установка универсальной электрики 500-3000 р.
установка электрики с блоком согласования (без стоимости блока) 1500-3000 р.
Установка защиты картера двигателя
установка защиты картера с одним элементом 500 р.
установка защиты картера 2 элемента и более 700 р.
установка защиты рк или топливного бака 500 р.
Установка багажников
установка багажной системы в сборе 200 р.
установка модульной багажной системы 500 р.
Установка Бокса (багажника) на крышу от 500 р.
Установка дополнительного оборудования
установка защиты переднего бампера 1500 р.
установка защиты заднего бампера 1500 р.
установка порогов от 1500 р.
установка защиты порогов от 1500 р.
установка декоративной решетки радиатора от 500 р.
Установка упоров (амортизаторов) под капот
установка упоров капота 400 р.
Установка универсальной сетки (защита)
установка сетки универсальной в бампер, без снятия бампера 700 р.
установка сетки универсальной в бампер, со снятием бампера от 1500 р.
Комплексное обслуживание квадроциклов и снегоходов
контрольный осмотр 500 р.
шприцевание подвески от 300 р.
установка полного комплекта защиты днища, рычагов и порогов 2000 р.
установка защиты днища1000 р.
установка рычагов 600 р.
установка площадки для крепления снегового отвала 800 р.
установка площадки для крепления лебедки от 500 р.
установка расширителей арок 1000 р.
работы по ремонту и техническому обслуживанию мототехники 1200 р./ч.
работы по электрической части и установка ДО 1500 р./ч.
Доставка квадроцикла или снегохода до сервисного центра (или обратно)
в черте Екатеринбурга 1000 р.
пригород 1500 р.
доставка из отдаленных мест (область) договорная
Пример стоимости услуг по обслуживанию мототехники
замена шаровых от 500 р.
замена масла двигателя от 300 р.
замена масла в редукторе от 350 р.
замена колодок от 300 р.
замена воздушного фильтра от 500 р.
замена свечей от 100 р.
замена рычага от 300 р.
замена ступичного подшипника от 500 р.
установка доп. фар от 500 р.
установка подогрева ручек от 500 р.

Выбор и установка защиты картера — Полезные статьи

Качество автомобильных дорог не может порадовать водителей и даже ближайшая поездка может создать серьезные неприятности. Камень или большая выбоина могут стать причиной появления пробоины в двигателе, а это в свою очередь приведет к дорогостоящему ремонту. Защита картера закрывает двигатель, картер, коробку передач от грязи и посторонних предметов, он предотвращает повреждение нижней части двигателя. Изготавливают защиту картера из металла или пластика.

Пластиковая защита картера более дешевая, ее часто устанавливают на иномарки. Пластик защищает двигатель от камней и других предметов на дороге. Специалисты рекомендуют устанавливать защиту картера из алюминия, слишком прочный металл не подойдет, так как защита не должна быть крепче силовых элементов машины. Выбирая защиту картера из стали, стоит отдавать предпочтение деталям не толще 2-3 мм. 

Основные требования к защите картера:

· Минимальный вес

· Наличие специальных отверстий для слива моторного масла и замены фильтра

· Установка к жестким элементам автомобиля

· Защита не должна создавать посторонних вибраций

Правильная установка защиты картера предусматривает прокладку амортизирующих резинок, они предназначены для того, чтобы защита не прикасалась к кузову и подвеске. Металлическая защита не должна вплотную подходить к двигателю, поскольку в таком случае, при ударе она может повредить и сам двигатель. Прикручивать защиту нужно только через специальные крепления, не нужно полностью закрывать мотор, поскольку это снижает его охлаждение. 

Автосервис «Колесо.69» в Твери проводит диагностику и ремонт любой сложности. Наши специалисты выполнят всю необходимую работу с помощью современного оборудования. Установка защиты картера в Твери не займет много времени и предотвратит серьезное повреждение двигателя. В том случае, если автомобиль был куплен без защиты картера или защита повредилась, следует как можно скорее установить картер. Подобрать защиту картера можно в нашем интернет-магазине „Колесо.69“.


Как выбрать защиту картера двигателя — журнал За рулем

Установка добротной защиты картера обезопасит агрегаты от повреждений на наших дорогах, но может ли она при этом и навредить? Попробуем разобраться в этом вопросе. Ставить или нет защиту картера? И если да, то какую предпочтительнее?

Большинство производителей оснащают свои автомобили лишь пластиковой защитой картера двигателя. По сути, она уберегает лишь от грязи, а не от механического воздействия. Часть автогигантов все же устанавливают некое подобие металлической защиты, но есть и те, кто вообще ничего не ставит.

Защиты картера двигателя

Рынок предлагает широкий выбор разнообразных вариантов защит.

Рынок предлагает широкий выбор разнообразных вариантов защит.

Фактор риска

На помощь владельцам, которым необходима полноценная защита агрегатов, приходит рынок неоригинального дополнительного оборудования. Бывает, что для одной модели автомобиля доступно аж шесть различных вариантов защит. Обратная сторона медали — это оборудование не сертифицировано самими автопроизводителями. На официальном уровне они говорят, что установка таких защит может сказаться на пассивной безопасности автомобиля при столкновениях и на температурном режиме под капотом. В первом случае под угрозой человеческие жизни, а во втором — риск перегрева и отказа мотора или коробки передач. При этом все будет зависеть от конкретной модели автомобиля, то есть ее конструктивных особенностей. Для одних дополнительная защита может сыграть значимую негативную роль, для других — нет.

По факту, автопроизводители абсолютно правы, но всей ситуацией заведует слово «может». Никто не проводил краш-тестов автомобилей с дополнительными защитами и каких-то полноценных исследований об их влиянии на работу двигателей или коробок передач. На практике нет никакой статистики, которая могла бы подтвердить негативное влияние такого дополнительного оборудования.

Краш-тест

Проведение крэш-тестов — дорогое удовольствие. Цена вопроса полноценного исследования изменения характера повреждений с неоригинальной защитой картера и без нее вообще лежит в другой плоскости.

Проведение крэш-тестов — дорогое удовольствие. Цена вопроса полноценного исследования изменения характера повреждений с неоригинальной защитой картера и без нее вообще лежит в другой плоскости.

В теории дополнительная защита, безусловно, влияет на характер распределения и поглощения энергии удара по силовой структуре автомобиля и может привести к тому, что двигатель не сможет уйти под машину. Однако ни в одной кузовной станции не найти этому практического подтверждения. Не существует и какой-то устойчивой зависимости того, что дополнительная защита усугубляет последствия ДТП.

Нештатная защита картера двигателя, конечно же, влияет на температурный режим под капотом, точнее, на аэродинамические потоки воздуха. Теоретически ее установка может ухудшить охлаждение двигателя и коробки передач. Ведь ее форма и расположение вентиляционных отверстий (если они вообще есть) отличаются от заводского пыльника. Однако на деле и по этому вопросу нет статистических подтверждений возможного вреда. Отказы агрегатов из-за перегрева, в основном, связаны именно с их конструктивными недостатками или неисправностями самой системы охлаждения.

Двигатель

На сегодняшний день уже не двигатели, а автоматические трансмиссии наиболее чувствительны к температурному режиму. Начинку коробок с большим количеством передач размещают в очень компактные корпуса, и этот шаг требует наличия высокопроизводительной системы охлаждения.

На сегодняшний день уже не двигатели, а автоматические трансмиссии наиболее чувствительны к температурному режиму. Начинку коробок с большим количеством передач размещают в очень компактные корпуса, и этот шаг требует наличия высокопроизводительной системы охлаждения.

Против позиции автопроизводителей играет и практика официальных дилеров, которые сами предлагают установку неоригинальных защит, иногда даже нескольких видов. Сложно представить, чтобы при таком раскладе клиенту отказали в гарантийном ремонте агрегатов, на неисправность которых теоретически могло повлиять внедрение такого дополнительного оборудования. Поэтому если вы опасаетесь за возможные проблемы, а защита все же нужна, но средства поджимают, то купите и установите на стороне один из ее видов, который предлагает дилер. В случае возникновения гарантийных случаев никто не будет смотреть, где вам ее поставили. Помните, сам по себе факт наличия неоригинальной защиты — это еще не повод отказывать в гарантийной ремонте, например из-за перегрева мотора. Причинно-следственную связь еще нужно установить.

На некоторых моделях машин штатный пыльник представляет собой сплошной лист пластика с мизерными вентиляционными отверстиями либо вообще без них. В этом случае установка металлической или композитной защиты вообще не изменит климат под капотом.

Примерочная

Рынок предлагает три типа защит картера: стальные, алюминиевые и композитные. При этом для одного и того же автомобиля возможны еще и вариации формы и толщины.

Стальная защита картера

Установка защиты картера автомобиля в Москве в Москве

г. Москва, Айвазовского, 2Ас2, АЗС «Роснефть» г. Москва, Академика Королева, 12А, АЗС «Роснефть» г.

Москва, Верейская, 7, стр. 2 г. Москва, Волгоградский проспект, 24, стр. 1, АЗС «BP» г. Москва, Волоколамское шоссе, 79, АЗС «Роснефть» г. Москва, Героев Панфиловцев, 26 г. Москва, Декабристов, 49Б, АЗС «Роснефть» г. Москва, Дмитровское шоссе, 91А г. Москва, Загородное шоссе, 7, корп. 1 (Севастопольский проспект) г. Москва, Ижорская, 8Б г. Москва, Куликовская, 20, стр. 1 г. Москва, Ленинский проспект, 137А, АЗС «BP» г. Москва, Люблинская, 92, АЗС «Роснефть» г.
Москва, Маршала Катукова, 1 г. Москва, Мичуринский проспект, 21, корп. 2 г. Москва, Можайское шоссе, 43, АЗС «BP» г. Москва, Молдавская, 4 г. Москва, Нахимовский проспект, 24А, АЗС «BP» г. Москва, Пришвина, 2А г. Москва, Проспект Мира, 94, АЗС «Роснефть» г. Москва, Профсоюзная, 84А, стр. 2, АЗС «BP» г. Москва, Рязанский проспект, 26, корп. 2, АЗС «Роснефть» г. Москва, Свободы, 79 г. Москва, Северодвинская, 20А г.
Москва, Скульптора Мухиной, 13 г. Москва, Тимирязевская, 38А, АЗС «Роснефть» г. Москва, Шипиловская, 28Г г. Москва, Щелковское шоссе, 2/1, АЗС «BP» г. Москва, Щелковское шоссе, 98/57 г. Москва, шоссе Энтузиастов, 63, АЗС «BP» г. Москва, Ярославское шоссе, 38, стр. 1 г. Москва, Ясеневая, 13, АЗС «BP» г. Москва, Зеленоград, 1812 г. Москва, Зеленоград, 514, стр. 1 г. Москва, Зеленоград, 4801, д. 3, АЗС «BP» г.
Москва, 55-й км МКАД, авторынок ТК «АвтоМОЛЛ» г. Москва, 62-й км МКАД, вл. 7, АЗС «Роснефть» г. Москва, 80-й км МКАД, авторынок «Тэнек» МО, Балашиха, шоссе Энтузиастов, 1/2 МО, Балашиха, шоссе Энтузиастов, 84 МО, Балашиха, Щелковское шоссе, 1Б МО, Балашиха, деревня Черное, Агрогородок, вл. 77 МО, Красногорск, Знаменская, 9, АЗС «BP» МО, Красногорск, Ленина, 5 МО, Мытищи, Олимпийский проспект, 31А МО, Подольск, Правды, 40 МО, Солнечногорский район, деревня Черная Грязь МО, Электроугли, Железнодорожная, 29, стр.
1 МО, г. Орехово-Зуево, Малодубенское шоссе, 3

Установка защиты своими руками | AUTO-GL.ru

При поездке на дальние расстояния необходимо быть полностью уверенным в своём автомобиле. Хорошо, когда он полностью технически исправен, но бывают непредвиденные поломки. Одна из них – это пробитие поддона картера двигателя. Часто на дороге можно налететь на камень или попасть в яму. Чтобы избежать таких досадных повреждений и существует защита картера двигателя. При выборе защиты двигателя не стоит забывать и про защиту кпп. Если вы часто проезжаете по дорогам, состояние которых далеко от идеального или по бездорожью, то защита кпп вам явно не помешает.

Характеристики защиты двигателя, на которые стоит обратить внимание:

  • Способы крепления;
  • Общая жёсткость конструкции;
  • Форма защиты;
  • Прочность;
  • Вес.

Если вы решили установить защиту двигателя, обратите внимание, как она крепится к автомобилю.

Крепление должно быть на подрамнике или лонжеронах. Следует выбирать защиту с рёбрами жёсткости, при ударе такая конструкция больше противостоит повреждениям. Форма защиты должна иметь небольшой наклон к задней части, при аварии такая защита не помешает мотору уйти вниз. Защита картера двигателя должна быть прочной, оптимальный вес защиты не должен превышать более 15-20 килограммов (если у вас внедорожник, к вам это не относится). Больший вес может перегрузить переднюю подвеску.

Материалы, используемые при изготовлении защиты двигателя:

  • Сталь;
  • Нержавеющая сталь;
  • Алюминий;
  • Титан;
  • Композитные материалы (углепластик или стеклопластик).

Стальная защита – наиболее популярная, её толщина обычно около 2 мм, для джипов часто производят усиленную защиту, толщиной около 3 мм. Плюсом защиты из стали является её дешевизна, несмотря на небольшую цену, она отлично справляется со своей задачей. Однако главным недостатком защиты из стали является её неустойчивость к коррозии. Фирмы «Шериф» и «Автоброня» производят широкий спектр защит из данного материала.

«Кольчуга» из нержавеющей стали обладает теми же характеристиками, что и металлическая защита из простой стали, но имеет более респектабельный внешний вид и прекрасно противостоит коррозии. Но высокая цена отпугивает автовладельцев.

Алюминиевая защита отличается лёгкостью, имеет высокую жёсткость, но при этом стоит дорого и часто окисляется в процессе эксплуатации.

Многие устанавливают композитную пластиковую защиту, мотивируя это тем, что производителем часто устанавливается композитная защита картера. Данная защита прекрасно выглядит, имеет минимальный вес и не ржавеет. Однако, после ударов, на ней возникают трещины и сколы, которые приводят впоследствии к разрушению.

Титановая защита была бы лучшим выбором, если бы не огромная цена на изделия из титана.

Если вы сделали выбор защиты в пользу известной фирмы, например «Шериф», то установка не составит большого труда, ведь защиты сделаны для конкретных моделей автомобилей. Если же вам не удалось подобрать нужную модель, не стоит отчаиваться, выберите подходящую по размерам и просверлите несколько дырок, чтобы можно было вставить подходящий болт. В крайнем случае, можно оборудовать защиту креплением с помощью сварки. Для установки вам понадобится подъёмник или яма. Обычно крепления бывают в комплекте с защитой. В отверстия балки устанавливаются крепёжные планки, в каждую планку нужно ввернуть болт. Далее на эти болты одевается защита и зажимается. Крепится защита с переднего края, только потом зажимается нижняя часть. Если ваша защита состоит из нескольких элементов (обычно это композитная), то защита двигателя правая должна быть на уровне с защитой левой.

При монтаже обязательно используйте демпферные прокладки, иначе ваша защита будет греметь на любой неровности. Если появился непонятный грохот, значит, какой-то болт ослаб и его стоит закрепить. Хорошо закрепленная защита не должна издавать никаких посторонних звуков.

Содержание статьи

Как снять защиту двигателя

Часто может понадобиться сделать снятие защиты. Это нужно для ремонта двигателя, замены масла или ремонта подвески. Защита поддона картера двигателя снимается довольно просто, единственной проблемой может стать закисший болт. Начинать снимать защиту нужно с задней части, при этом передняя часть снимается последней по очередности.

Замена защиты

Также может понадобиться замена установленной защиты. Часто купив «родную» защиту многие водители заменяют её стальной. Ещё поставить новую защиту может понадобиться при сильном механическом повреждении старой брони. Железная защита двигателя очень надёжная, но против некоторых булыжников может не выстоять. Замена проходит аналогично снятию и установке.

Где продаётся хорошая защита картера

Раньше большинство запчастей продавалось только на авторынках, сейчас всё лучшее можно купить в интернете. При большом желании можно даже заказать у фирмы производителя. При покупке защиты для начала нужно решить для себя, нужна ли вам мощная стальная броня или хватит лёгкого щита из углепластика. Если для вас бездорожье – это редкие выезды на природу, то вряд ли железная защита вам необходима. При покупке важно обратить внимание на фирму изготовителя. Не рекомендуется покупать неизвестные бренды, скорее всего вам хотят подсунуть китайскую подделку. А вот, например защиты фирмы «Шериф» отлично зарекомендовали себя за годы эксплуатации.

Изготовление защиты своими руками

Для некоторых автовладельцев стандартной защиты двигателя недостаточно. Часто они заказывают нестандартные защиты под заказ или делают их своими руками. Изготовление достаточно несложный процесс и не займёт больше трёх дней. Делается схематичный чертеж, и вырезаются элементы защиты, обычно из стали 3 мм. Чтобы согнуть сталь, следует сделать пропилы болгаркой (потом нужно будет их заварить). Мощные крепёжные элементы из уголка крепятся на подрамник или лонжероны. Далее всё как при установке стандартной защиты.

Чтобы установить защиту двигателя можно обратиться на СТО или сделать это самому. В любом случае двигатель вашего автомобиля будет защищён от неприятных сюрпризов на дороге. А степень защищённости вы можете выбрать сами, в зависимости от условий эксплуатации.

 

Установка защиты картера своими руками

Здравствуйте, уважаемые читатели и посетители блога Автогид.ру. Сегодня в статье мы с вами разберёмся, как выполняется установка защиты картера своими руками без посторонней  помощи. На самом деле это достаточно важный вопрос и зачастую многие водители ему не уделяют должного внимания.

Многие модели машин и особенно подержанные повидавшие всё на своём веку не имеют защиты картера двигателя. Они полностью оголены и поэтому риск получения повреждений очень велик. За годы эксплуатации даже, если защиты и была когда-то установлена она уже пришла в негодность.

Если заглянуть под переднюю часть автомобиля под двигателем можно увидеть остатки защиты, словно зафиксированные крепёжными элементами. Установка защиты картера своими руками, если положить руку на сердце, на самом деле несложная процедура.

Просто многие современные водители ленятся устанавливать защиту картера и стараются на этот момент просто не обращать внимания. Специалисты рекомендуют обязательно использовать защиту, ведь в ином случае риск повреждения или деформации картера увеличивается в 2-3 раза.

Для чего в машине картер?

Картер или поддон расположен в нижней части моторного отсека непосредственно под двигателем. Он служит для сбора и хранения моторного масла. В процессе работы мотора масло используется для снижения уровня трения между рабочими элементами двигателя. Нижняя часть картера оборудована специальным сливным отверстием для осуществления замены моторного масла.

Кроме, непосредственно хранения определённого объёма масла поддон обеспечивает защиту кривошипно-шатунного механизма от различных посторонних элементов и повреждений. Для изготовления картера или поддона используется тонкостенная сталь, защищённая от появления коррозии.

Картер можно менять в случае повреждения или деформации. Если не установлена его защита, риск повреждения возрастает многократно.  Именно поэтому специалисты рекомендуют использовать защиту из любого материала. Она в случае механического воздействия погасит силу удара и сможет минимизировать возможный ущерб для  картера.

Для чего нужна защита картера двигателя?

Ответ на вопрос и так понятен для любого опытного водителя со стажем управления транспортным средством. Используемая при изготовлении картера сталь не выдерживает никакой критики в плане эффективной защиты и устойчивости к механическому воздействию. Очень часто наезд на небольшой скорости на средний по размеру камень способен пробить брешь в нём. Через повреждение на рабочем двигателе моторное масло вытечет за считаные секунды.

Повреждение поддона для мотора автомобиля может иметь самые плачевные последствия. Особенно если водитель своевременно не обнаружил нарушение целостности поддона. Риск повреждения рабочих элементов мотора возрастает многократно. Ремонт двигателя в этом случае может влететь в копеечку.

Защита картера двигателя на гранату или солярис или любую другую марку транспортного средства в принципе одинакова. В некоторой степени могут быть отдельные конструктивные изменения. Процесс установки не отличается трудностью и не требует использования специальных инструментов. Если подготовить все необходимые инструменты его установку можно выполнить в течение одного часа.

При выборе защиты для картера двигателя необходимо обращать внимание на ряд параметров. Они важны и показывают эффективность использовать защиты той или иной конструкции.

Выбирая защиту на картер надо обращать внимание на следующие параметры:

Надёжность.

Материал, используемый для изготовления защиты не должен быть подозрительно лёгким. Если на его поверхности находиться достаточно много технологических отверстий для крепления или вентиляции он не сможет выдержать приличный по силе удар и достаточно быстро придёт в негодность и потребует замены.

Качество изготовления.

Современные производители защиты для картера или поддона могут использовать для его производства любые материалы. Единственный критерий в этом случае качество производства. Даже если используется пластик, он должен иметь цельный вид без наплывов, трещин и мелких повреждений. Не металлической защите не должно быть следов коррозии или деформаций. Все эти мелочи в последующем могут сыграть свою отрицательную роль в защите картера мотора.

Вес.

Выбирая защиту для поддона необходимо обязательно обращать внимание на вес. В этом случае необходимо соблюдать золотую середину и не отдавать предпочтение избыточно тяжёлым или подозрительно лёгким защитным элементам. Не стоит перегружать переднюю часть машины. Для примера оптимальный вес металлической защиты для мотора составляет не больше 10-12 килограмм.

Жёсткость.

Жёсткость защиты картера определяет его способность деформироваться при механическом воздействии в минимальном диапазоне, не касаясь поверхности картера. Выбирая защиту для масляного поддона не нужно забывать о дорожном просвете. Установленный защитный элемент не должен его уменьшать, так как это создаст проблемы при движении автомобиля.

Выбирая защиту для картера автомобиля необходимо учитывать, что для каждой марки машины существуют свой вариант защитного элемента.

Именно поэтому надо обращать внимание на следующие моменты:

  • расположение отверстия для  крепления защитного элемента;
  • размещение отверстия для слива моторного масла;
  • вентиляции масляного картера;
  • рекомендации автомобильного производителя.

Установка защиты картера своими руками

Процесс монтажа защиты картера не занимает много свободного времени и не отнимет много сил. Начать надо с подготовительного этапа, когда удаляются остатки пришедшего в негодность старого защитного элемента.

Автомобиль необходимо поместить на смотровую яму или подъёмник. Второй вариант является более предпочтительным и удобным для выполнения установки защиты картера своими руками.

Выполняется демонтаж старой защиты, если таковая имеется. Место выполнения работы должно быть достаточно освещено. Крепёжные отверстия надо очистить от загрязнений.

Для надёжной фиксации защиты картера используются болты, обеспечивающие надёжное крепление и устойчивость к обрыву. Особенно это касается тяжёлой металлической защиты.

Выполнять работу лучше и удобнее вдвоём с напарником. Это поможет сберечь время и нервы. Первоначально защита примеряется к монтажным отверстиям и проверяется их совпадение. Если все нормально можно начинать процесс установки защиты картера своими руками.

Один человек удерживает защиту, а второй не теряя времени, устанавливает болты в монтажные проёмы и быстро их закручивает. Не стоит очень сильно зажимать фиксирующие элементы, так как в любом случае снимать защиту не реже одного раза в год придётся.

Обязательно при установке защиты картера используются демпфирующие прокладки. Они позволяют гасить вибрацию защитного материала при движении автомобиля. Зачастую водители, не использующие прокладочный материал, жаловались на повышенную шумность защитного элемента при движении на автомобиле.

Виды защиты автомобильного поддона

Для каждой модели автомобиля может быть несколько видов защиты поддона от повреждений, и они отличаются между собой качеством, надёжность и долговечностью.

Выделяют следующие виды защиты автомобильного картера:

Стальные.

Считаются одними из самых надёжных и долговечных защит для картера и представленных в продаже. Эффективно обеспечивают защиту от повреждений. Представляют собой оптимальное соотношение цены и качества. Удобно использовать и при грамотном уходе могут использоваться на протяжении значительного интервала времени. В случае деформации стальной защиты её поверхность можно восстановить.

Алюминиевые.

Защиты картера из алюминия практичные, но очень дорогие изделия. Надёжность и долговечность не уступит стальной защите. Преимуществом является простота и удобность установки за счёт небольшого веса. Существенным минусом является дороговизна. Не каждый может себе позволить её установку.

Пластиковые.

Для изготовления пластиковой защиты используются специальные композитно-полимерные материалы. Она достаточно дешева и практична в использовании. Следует отметить, что как правило, век использования пластиковой защиты недолог и скоротечен. Сильные удары она может не выдержать и начнёт постепенно деформироваться или просто лопнет.

Заключение

Настоящий заботливый автолюбитель обязательно будет использовать защиту. Лучше один раз заплатить, чем постоянно менять или ремонтировать картер. Установка защиты для поддона не отнимает много свободного времени и сил. Все работы можно выполнить самостоятельно или с напарником.

Защита настроек | Удаленные утилиты

Вы можете защитить настройки Host паролем, чтобы предотвратить их несанкционированное изменение удаленным пользователем. При включенной защите настроек хоста всякий раз, когда вы пытаетесь получить доступ к настройкам, программа запрашивает пароль. Чтобы разблокировать настройки, вам нужно будет ввести правильный пароль и нажать OK :

Важно!

Не путайте пароль защиты настроек с паролем безопасности с одним паролем .

Включение защиты настроек

  1. Щелкните правой кнопкой мыши значок Host на панели задач и выберите Settings for Host :
  2. Выберите вкладку Защита настроек слева:
  3. Установите флажок Настройки защиты паролем :
  4. Введите и подтвердите новый пароль, затем нажмите OK .
  5. [Необязательно] Вы можете защитить настройки Internet ID и настройки обратного вызова, установив соответствующие флажки:
  6. Нажмите ОК , чтобы закрыть окно настроек.

Изменение пароля защиты настроек

Для изменения пароля защиты настроек:

  1. Щелкните правой кнопкой мыши значок Host на панели задач и выберите Settings for Host :
  2. При появлении запроса введите свой текущий пароль защиты настроек, который вы создали ранее, и нажмите OK :
  3. Перейдите на вкладку Защита настроек и щелкните Установить пароль... :
  4. Введите старый пароль, создайте и подтвердите новый пароль. Нажмите ОК :
  5. Установлен новый пароль. Нажмите ОК , чтобы закрыть окно настроек хоста:

Отключение защиты настроек

Если вам больше не нужно защищать настройки на этом хосте, вы можете снять защиту паролем:

  1. Щелкните правой кнопкой мыши значок Host на панели задач и выберите Settings for Host :
  2. При появлении запроса введите свой текущий пароль защиты настроек, который вы создали ранее, и нажмите OK :
  3. Перейдите на вкладку Защита настроек и снимите флажок Настройки защиты паролем :
  4. Введите текущий пароль защиты настроек и нажмите OK :
  5. Защита настроек отключена. Нажмите ОК , чтобы закрыть окно настроек хоста:

Параметры защиты для устройств с Windows 10 в Microsoft Intune — Azure

  • 43 минуты для чтения

В этой статье

Microsoft Intune включает множество настроек для защиты ваших устройств.В этой статье описаны все параметры, которые вы можете включить и настроить в Windows 10 и более новых устройствах. Эти параметры создаются в профиле конфигурации защиты конечных точек в Intune для управления безопасностью, включая BitLocker и Microsoft Defender.

Чтобы настроить антивирус Microsoft Defender, см. Ограничения для устройств Windows 10.

Прежде чем начать

Создайте профиль конфигурации устройства защиты конечной точки.

Для получения дополнительной информации о поставщиках услуг конфигурации (CSP) см. Справочник поставщика услуг конфигурации.

Защитник приложений Microsoft Defender

При использовании Microsoft Edge Application Guard в защитнике Microsoft защищает вашу среду от сайтов, которым ваша организация не доверяет. Когда пользователи посещают сайты, не указанные в вашей изолированной сетевой границе, сайты открываются в сеансе виртуального просмотра Hyper-V. Надежные сайты определяются границей сети, которая настраивается в конфигурации устройства.

Application Guard доступен только для устройств с Windows 10 (64-бит).Использование этого профиля устанавливает компонент Win32 для активации Application Guard.

  • Application Guard
    По умолчанию : не настроено
    Application Guard CSP: Settings / AllowWindowsDefenderApplicationGuard

    • Включено для Edge — включает эту функцию, которая открывает ненадежные сайты в виртуализированном контейнере просмотра Hyper-V.
    • Не настроено — Любой сайт (надежный и ненадежный) может открываться на устройстве.
  • Поведение буфера обмена
    По умолчанию : Не настроено
    CSP Application Guard: Настройки / Параметры буфера обмена

    Выберите, какие действия копирования и вставки разрешены между локальным ПК и виртуальным браузером Application Guard.

    • Не настроено
    • Разрешить копирование и вставку только с ПК в браузер
    • Разрешить копирование и вставку только из браузера на ПК
    • Разрешить копирование и вставку между ПК и браузером
    • Блочное копирование и вставка между ПК и браузером
  • Содержимое буфера обмена
    Этот параметр доступен только в том случае, если для параметра Поведение буфера обмена установлено значение одного из параметров разрешить .
    По умолчанию : Не настроено
    CSP Application Guard: Параметры / ClipboardFileType

    Выберите разрешенное содержимое буфера обмена.

    • Не настроено
    • Текст
    • Изображения
    • Текст и изображения
  • Внешний контент на корпоративных сайтах
    По умолчанию : не настроен
    Application Guard CSP: Настройки / BlockNonEnterpriseContent

    • Блок — блокировать загрузку контента с неутвержденных веб-сайтов.
    • Не настроено — На устройстве могут открываться сайты вне предприятия.
  • Печать из виртуального браузера
    По умолчанию : не настроено
    Application Guard CSP: Настройки / Параметры печати

    • Разрешить — разрешает печать выбранного содержимого из виртуального браузера.
    • Не настроено Отключить все функции печати.

    Когда вы Разрешите печать , вы можете настроить следующий параметр:

    • Тип (а) печати Выберите один или несколько из следующих вариантов:
      • PDF
      • XPS
      • Локальные принтеры
      • Сетевые принтеры
  • Сбор журналов
    По умолчанию : не настроен
    Application Guard CSP: Audit / AuditApplicationGuard

    • Разрешить — собирать журналы событий, происходящих в сеансе просмотра Application Guard.
    • Не настроено — Не собирать журналы во время сеанса просмотра.
  • Сохранять данные браузера, созданные пользователем
    По умолчанию : не настроено
    Application Guard CSP: Настройки / AllowPersistence

    • Разрешить Сохранить данные пользователя (например, пароли, избранное и файлы cookie), созданные во время сеанса виртуального просмотра Application Guard.
    • Не настроено Удалять загруженные пользователем файлы и данные при перезапуске устройства или при выходе пользователя из системы.
  • Ускорение графики
    По умолчанию : не настроено
    Application Guard CSP: Настройки / AllowVirtualGPU

    • Включить — быстрее загружать веб-сайты и видео с большим количеством графики за счет доступа к виртуальному графическому процессору.
    • Не настроено Использовать ЦП устройства для графики; Не используйте виртуальный графический процессор.
  • Загрузка файлов в файловую систему хоста
    По умолчанию : Не настроено
    Application Guard CSP: Настройки / SaveFilesToHost

    • Включить — Пользователи могут загружать файлы из виртуализированного браузера в операционную систему хоста.
    • Не настроено — сохраняет файлы локально на устройстве и не загружает файлы в файловую систему хоста.

Брандмауэр защитника Microsoft

Глобальные настройки

Эти настройки применимы ко всем типам сетей.

  • Протокол передачи файлов
    По умолчанию : не настроен
    CSP межсетевого экрана: MdmStore / Global / DisableStatefulFtp

    • Блок — отключить FTP с отслеживанием состояния.
    • Не настроено — межсетевой экран выполняет фильтрацию FTP с отслеживанием состояния, чтобы разрешить вторичные соединения.
  • Время простоя сопоставления безопасности перед удалением
    По умолчанию : Не настроено
    CSP межсетевого экрана: MdmStore / Global / SaIdleTime

    Укажите время простоя в секундах, по истечении которого ассоциации безопасности удаляются.

  • Кодирование общего ключа
    По умолчанию : Не настроено
    CSP межсетевого экрана: MdmStore / Global / PresharedKeyEncoding

    • Включить — кодировать предварительно прорезанные ключи с помощью UTF-8.
    • Не настроено — Закодируйте предварительно прослушанные ключи, используя значение из локального хранилища.
  • Исключения IPsec
    По умолчанию : 0 выбрано
    CSP межсетевого экрана: MdmStore / Global / IPsecExempt

    Выберите один или несколько из следующих типов трафика для исключения из IPsec:

    • Обнаружение соседей IPv6 Коды типов ICMP
    • ICMP
    • Маршрутизатор обнаруживает коды типов IPv6 ICMP
    • Сетевой трафик IPv4 и IPv6 DHCP
  • Проверка списка отзыва сертификатов
    По умолчанию : не настроено
    CSP межсетевого экрана: MdmStore / Global / CRLcheck

    Выберите способ проверки устройством списка отозванных сертификатов.Варианты включают:

    • Отключить проверку CRL
    • Неудачная проверка CRL только для отозванного сертификата
    • Неудачная проверка CRL при обнаружении любой ошибки .
  • Возможное совпадение набора аутентификации для модуля ввода
    По умолчанию : Не настроено
    CSP межсетевого экрана: MdmStore / Global / OpportunisticallyMatchAuthSetPerKM

    • Включить Модули ключей должны игнорировать только те комплекты аутентификации, которые они не поддерживают.
    • Не настроено , модули ключей должны игнорировать весь набор аутентификации, если они не поддерживают все наборы аутентификации, указанные в наборе.
  • Очередь пакетов
    По умолчанию : Не настроено
    CSP межсетевого экрана: MdmStore / Global / EnablePacketQueue

    Укажите, как программное масштабирование на принимающей стороне включено для зашифрованного приема и пересылки открытого текста для сценария шлюза туннеля IPsec.Этот параметр подтверждает, что порядок пакетов сохраняется. Варианты включают:

    • Не настроено
    • Отключить очередь всех пакетов
    • Очередь только входящих зашифрованных пакетов
    • Очередь пакетов после расшифровки выполняется только для пересылки
    • Настроить как входящие, так и исходящие пакеты

Настройки сети

Каждая из следующих настроек приводится в этой статье отдельно, но все они применяются к трем конкретным типам сетей:

  • Доменная сеть (рабочее место)
  • Частная (обнаруживаемая) сеть
  • Общедоступная (недоступная для обнаружения) сеть
Общие настройки
  • Брандмауэр Microsoft Defender
    По умолчанию : не настроен
    CSP межсетевого экрана: EnableFirewall

    • Включить — включить брандмауэр и повышенную безопасность.
    • Не настроено Разрешает весь сетевой трафик независимо от любых других параметров политики.
  • Скрытый режим
    По умолчанию : не настроен
    CSP межсетевого экрана: DisableStealthMode

    • Не настроено
    • Блок — Межсетевой экран заблокирован для работы в скрытом режиме. Блокировка скрытого режима также позволяет заблокировать исключение защищенных пакетов IPsec .
    • Разрешить — брандмауэр работает в скрытом режиме, что помогает предотвратить ответы на зондирующие запросы.
  • Исключение защищенных пакетов IPsec в скрытом режиме
    По умолчанию : не настроено
    CSP межсетевого экрана: DisableStealthModeIpsecSecuredPacketExemption

    Эта опция игнорируется, если Скрытый режим установлен на Блок .

    • Не настроено
    • Блок — пакеты, защищенные IPSec, не получают исключений.
    • Разрешить — Включить исключения. Скрытый режим брандмауэра НЕ ДОЛЖЕН препятствовать тому, чтобы хост-компьютер отвечал на незапрошенный сетевой трафик, защищенный IPsec.
  • Экранированный
    По умолчанию : Не настроен
    Межсетевой экран CSP: Экранированный

    • Не настроено
    • Блок — когда брандмауэр Защитника Microsoft включен и для этого параметра установлено значение Блок , весь входящий трафик блокируется независимо от других параметров политики.
    • Разрешить — если установлено значение Разрешить , этот параметр отключен — и входящий трафик разрешен на основе других параметров политики.
  • Одноадресные ответы на многоадресные широковещательные рассылки
    По умолчанию : Не настроено
    CSP межсетевого экрана: DisableUnicastResponsesToMulticastBroadcast

    Обычно вы не хотите получать одноадресные ответы на многоадресные или широковещательные сообщения. Эти ответы могут указывать на атаку типа «отказ в обслуживании» (DOS) или на злоумышленника, пытающегося зондировать известный работающий компьютер.

    • Не настроено
    • Блок — отключить одноадресные ответы на многоадресные широковещательные рассылки.
    • Разрешить — Разрешить одноадресные ответы на многоадресные рассылки.
  • Входящие уведомления
    По умолчанию : не настроено
    CSP межсетевого экрана: DisableInboundNotifications

    • Не настроено
    • Блок — Скрыть уведомления для использования, когда приложение заблокировано от прослушивания порта.
    • Разрешить — включает этот параметр и может отображать уведомление для пользователей, когда приложение заблокировано от прослушивания порта.
  • Действие по умолчанию для исходящих подключений
    По умолчанию : не настроено
    CSP межсетевого экрана: DefaultOutboundAction

    Настройте действие по умолчанию, которое брандмауэр выполняет при исходящих подключениях. Этот параметр будет применен к версии Windows 1809 и выше.

    • Не настроено
    • Блок — действие брандмауэра по умолчанию не выполняется для исходящего трафика, если явно не указано не блокировать.
    • Разрешить — действия брандмауэра по умолчанию выполняются для исходящих подключений.
  • Действие по умолчанию для входящих подключений
    По умолчанию : не настроено
    CSP межсетевого экрана: DefaultInboundAction

    • Не настроено
    • Блок — действие брандмауэра по умолчанию не выполняется для входящих подключений.
    • Разрешить — действия брандмауэра по умолчанию выполняются для входящих подключений.
Правило объединения
  • Авторизованное приложение Правила брандмауэра Microsoft Defender из локального хранилища
    По умолчанию : не настроено
    CSP брандмауэра: AuthAppsAllowUserPrefMerge

    • Не настроено
    • Блок — авторизованные правила брандмауэра приложений в локальном хранилище игнорируются и не применяются.
    • Разрешить — Выберите Включить. Применяет правила брандмауэра в локальном хранилище, чтобы они распознавались и применялись.
  • Глобальный порт Правила брандмауэра Microsoft Defender из локального хранилища
    По умолчанию : не настроен
    CSP брандмауэра: GlobalPortsAllowUserPrefMerge

    • Не настроено
    • Блок — правила брандмауэра глобального порта в локальном хранилище игнорируются и не применяются.
    • Разрешить — применить правила брандмауэра глобального порта в локальном хранилище, чтобы их можно было распознать и применить.
  • Правила брандмауэра Microsoft Defender из локального хранилища
    По умолчанию : не настроено
    CSP брандмауэра: AllowLocalPolicyMerge

    • Не настроено
    • Блок — правила брандмауэра из локального хранилища игнорируются и не применяются.
    • Разрешить — применить правила брандмауэра в локальном хранилище, чтобы их можно было распознать и применить.
  • Правила IPsec из локального хранилища
    По умолчанию : не настроено
    CSP межсетевого экрана: AllowLocalIpsecPolicyMerge

    • Не настроено
    • Блок — правила безопасности подключения из локального хранилища игнорируются и не применяются, независимо от версии схемы и версии правила безопасности подключения.
    • Разрешить — применять правила безопасности подключения из локального хранилища, независимо от схемы или версии правил безопасности подключения.

Правила межсетевого экрана

Вы можете Добавить одно или несколько настраиваемых правил межсетевого экрана. Дополнительные сведения см. В разделе Добавление настраиваемых правил брандмауэра для устройств с Windows 10.

Пользовательские правила брандмауэра поддерживают следующие параметры:

Общие настройки:
  • Имя
    По умолчанию : Без имени

    Укажите понятное имя для вашего правила.Это имя появится в списке правил, чтобы помочь вам идентифицировать его.

  • Описание
    По умолчанию : Нет описания

    Введите описание правила.

  • Направление
    По умолчанию : не настроено
    CSP межсетевого экрана: FirewallRules / FirewallRuleName / Direction

    Укажите, применяется ли это правило к входящему трафику или исходящему трафику .Если установлено значение Не настроено , правило автоматически применяется к исходящему трафику.

  • Действие
    По умолчанию : Не настроено
    CSP межсетевого экрана: FirewallRules / FirewallRuleName / Action и FirewallRules / FirewallRuleName / Action / Type

    Выберите из Разрешить или Блок . Если установлено значение Не настроено , правило разрешает трафик по умолчанию.

  • Тип сети
    По умолчанию : 0 выбрано
    CSP межсетевого экрана: FirewallRules / FirewallRuleName / Profiles

    Выберите до трех типов сетей, к которым относится это правило.Варианты включают Домен , Частный и Общедоступный . Если типы сетей не выбраны, правило применяется ко всем трем типам сетей.

Настройки приложения
  • Приложения
    По умолчанию : Все

    Управляйте соединениями для приложения или программы. Выберите один из следующих вариантов, а затем выполните дополнительную настройку:

    • Имя семейства пакетов — укажите имя семейства пакетов.Чтобы найти имя семейства пакетов, используйте команду PowerShell Get-AppxPackage .
      CSP межсетевого экрана: FirewallRules / FirewallRuleName / App / PackageFamilyName

    • Путь к файлу — необходимо указать путь к файлу приложения на клиентском устройстве, который может быть абсолютным или относительным. Например: C: \ Windows \ System \ Notepad.exe или% WINDIR% \ Notepad.exe.
      CSP межсетевого экрана: FirewallRules / FirewallRuleName / App / FilePath

    • Служба Windows — укажите краткое имя службы Windows, если это служба, а не приложение, которое отправляет или получает трафик.Чтобы найти краткое имя службы, используйте команду PowerShell Get-Service .
      CSP межсетевого экрана: Правила межсетевого экрана / Имя правила межсетевого экрана / Приложение / Имя службы

    • Все Дополнительная конфигурация недоступна .

Настройки IP-адреса

Укажите локальный и удаленный адреса, к которым применяется это правило.

  • Локальные адреса
    По умолчанию : любой адрес
    CSP межсетевого экрана: FirewallRules / FirewallRuleName / LocalPortRanges

    Выберите Любой адрес или Указанный адрес .

    Когда вы используете Указанный адрес , вы добавляете один или несколько адресов в виде разделенного запятыми списка локальных адресов, на которые распространяется правило. Допустимые токены:

    • Используйте звездочку «*» для любого локального адреса . Если вы используете звездочку, это должен быть единственный токен, который вы используете.
    • Чтобы указать подсеть, используйте либо маску подсети, либо нотацию сетевого префикса. Если ни маска подсети, ни префикс сети не указаны, маска подсети по умолчанию равна 255.255.255.255.
    • Действительный адрес IPv6.
    • Диапазон адресов IPv4 в формате «начальный адрес — конечный адрес» без пробелов.
    • Диапазон адресов IPv6 в формате «начальный адрес — конечный адрес» без пробелов.
  • Удаленные адреса
    По умолчанию : любой адрес
    CSP межсетевого экрана: FirewallRules / FirewallRuleName / RemoteAddressRanges

    Выберите Любой адрес или Указанный адрес .

    При использовании Указанный адрес вы добавляете один или несколько адресов в виде списка удаленных адресов, разделенных запятыми, на которые распространяется правило. Токены не чувствительны к регистру. Допустимые токены:

    • Используйте звездочку «*» для любого удаленного адреса . Если вы используете звездочку, это должен быть единственный токен, который вы используете.
    • «Шлюз по умолчанию»
    • «DHCP»
    • «DNS»
    • «WINS»
    • «Интранет» (поддерживается в Windows версии 1809 и новее)
    • «RmtIntranet» (поддерживается в Windows версии 1809 и более поздних)
    • «Интернет» (поддерживается в Windows версии 1809 и новее)
    • «Ply2Renders» (поддерживается в Windows версии 1809 и новее)
    • «LocalSubnet» указывает любой локальный адрес в локальной подсети.
    • Чтобы указать подсеть, используйте либо маску подсети, либо нотацию сетевого префикса. Если ни маска подсети, ни сетевой префикс не указаны, маска подсети по умолчанию равна 255.255.255.255.
    • Действительный адрес IPv6.
    • Диапазон адресов IPv4 в формате «начальный адрес — конечный адрес» без пробелов.
    • Диапазон адресов IPv6 в формате «начальный адрес — конечный адрес» без пробелов.
Настройки порта и протокола

Укажите локальный и удаленный порты, к которым применяется это правило.

  • Протокол
    По умолчанию : Любой
    CSP межсетевого экрана: FirewallRules / FirewallRuleName / Protocol
    Выберите одно из следующих и выполните любые необходимые настройки:
    • Все — Дополнительная конфигурация недоступна.
    • TCP — настройка локальных и удаленных портов. Оба варианта поддерживают все порты или указанные порты. Введите указанные порты, используя список, разделенный запятыми.
    • UDP — настройка локальных и удаленных портов.Оба варианта поддерживают все порты или указанные порты. Введите указанные порты, используя список, разделенный запятыми.
    • Custom — Укажите номер пользовательского протокола от 0 до 255.
Расширенная конфигурация

Параметры SmartScreen в Microsoft Defender

На устройстве должен быть установлен

Microsoft Edge.

  • SmartScreen для приложений и файлов
    По умолчанию : не настроен
    SmartScreen CSP: SmartScreen / EnableSmartScreenInShell

    • Не настроено — отключает использование SmartScreen.
    • Включить — включить Windows SmartScreen для выполнения файлов и запуска приложений. SmartScreen — это облачный компонент защиты от фишинга и вредоносного ПО.
  • Выполнение непроверенных файлов
    По умолчанию : Не настроено
    SmartScreen CSP: SmartScreen / PreventOverrideForFilesInShell

    • Не настроено — отключает эту функцию и позволяет конечным пользователям запускать файлы, которые не были проверены.
    • Блок — запретить конечным пользователям запускать файлы, которые не были проверены Windows SmartScreen.

Шифрование Windows

Параметры Windows

  • Устройства шифрования
    По умолчанию : не настроено
    BitLocker CSP: RequireDeviceEncryption

    • Требовать — предлагать пользователям включить шифрование устройства. В зависимости от выпуска Windows и конфигурации системы пользователей могут спросить:
      • Чтобы подтвердить, что шифрование от другого поставщика не включено.
      • Требуется отключить шифрование диска BitLocker, а затем снова включить BitLocker.
    • Не настроено

    Если шифрование Windows включено при активном другом методе шифрования, устройство может работать нестабильно.

Базовые настройки BitLocker

Базовые настройки — это универсальные настройки BitLocker для всех типов дисков с данными. Эти параметры определяют, какие задачи шифрования дисков или параметры конфигурации конечный пользователь может изменять для всех типов дисков с данными.

  • Предупреждение о другом шифровании диска
    По умолчанию : не настроено
    BitLocker CSP: AllowWarningForOtherDiskEncryption

    • Блок — отключить предупреждение, если на устройстве есть другая служба шифрования диска.
    • Не настроено — Разрешить отображение предупреждения о другом шифровании диска.

    Подсказка

    Чтобы установить BitLocker автоматически и без вывода сообщений на устройство, присоединенное к Azure AD и работающее под управлением Windows 1809 или более поздней версии, для этого параметра необходимо установить значение , блок . Дополнительные сведения см. В разделе Автоматическое включение BitLocker на устройствах.

    Если установлено значение Блок , вы можете настроить следующие параметры:

    • Разрешить стандартным пользователям включать шифрование во время присоединения к Azure AD
      Этот параметр применяется только к устройствам, присоединенным к Azure Active Directory (Azure ADJ), и зависит от предыдущего параметра Предупреждение для другого шифрования диска .
      По умолчанию : не настроен
      BitLocker CSP: AllowStandardUserEncryption

      • Разрешить — стандартные пользователи (не администраторы) могут включить шифрование BitLocker при входе в систему.
      • Не настроено Только администраторы могут включить шифрование BitLocker на устройстве.

    Подсказка

    Чтобы установить BitLocker автоматически и без вывода сообщений на устройство, присоединенное к Azure AD и работающее под управлением Windows 1809 или более поздней версии, для этого параметра должно быть установлено значение Разрешить .Дополнительные сведения см. В разделе Автоматическое включение BitLocker на устройствах.

  • Настроить методы шифрования
    По умолчанию : не настроено
    BitLocker CSP: EncryptionMethodByDriveType

    • Включить — настройка алгоритмов шифрования для операционной системы, данных и съемных дисков.
    • Не настроено — BitLocker использует 128-битный XTS-AES в качестве метода шифрования по умолчанию или использует метод шифрования, указанный в любом сценарии установки.

    Если установлено значение Включить , вы можете настроить следующие параметры:

    • Шифрование для дисков операционной системы
      По умолчанию : XTS-AES 128-бит

      Выберите метод шифрования для дисков операционной системы. Мы рекомендуем использовать алгоритм XTS-AES.

      • AES-CBC 128 бит
      • AES-CBC 256 бит
      • XTS-AES 128 бит
      • XTS-AES 256 бит
    • Шифрование для фиксированных дисков с данными
      По умолчанию : AES-CBC 128-бит

      Выберите метод шифрования для фиксированных (встроенных) дисков с данными.Мы рекомендуем использовать алгоритм XTS-AES.

      • AES-CBC 128 бит
      • AES-CBC 256 бит
      • XTS-AES 128 бит
      • XTS-AES 256 бит
    • Шифрование съемных дисков с данными
      По умолчанию : AES-CBC 128-бит

      Выберите метод шифрования для съемных дисков с данными. Если съемный диск используется с устройствами, которые не работают под управлением Windows 10, мы рекомендуем использовать алгоритм AES-CBC.

      • AES-CBC 128 бит
      • AES-CBC 256 бит
      • XTS-AES 128 бит
      • XTS-AES 256 бит

Настройки диска ОС BitLocker

Эти настройки применяются конкретно к дискам с данными операционной системы.

  • Дополнительная проверка подлинности при запуске
    По умолчанию : не настроено
    BitLocker CSP: SystemDrivesRequireStartupAuthentication

    • Требовать — настройка требований проверки подлинности для запуска компьютера, включая использование доверенного платформенного модуля (TPM).
    • Не настроено — настройте только основные параметры на устройствах с TPM.

    Если установлено значение Требовать , вы можете настроить следующие параметры:

    • BitLocker с несовместимым чипом TPM
      По умолчанию : не настроено

      • Блок — отключение использования BitLocker, если на устройстве нет совместимого чипа TPM.
      • Не настроено — Пользователи могут использовать BitLocker без совместимого чипа TPM.BitLocker может потребовать пароль или ключ запуска.
    • Запуск совместимого TPM
      По умолчанию : разрешить TPM

      Настройте, если доверенный платформенный модуль разрешен, обязателен или запрещен.

      • Разрешить TPM
      • Не разрешать TPM
      • Требуется TPM
    • Совместимый ПИН-код запуска TPM
      По умолчанию : Разрешить ПИН-код запуска с TPM

      Выберите разрешить, запретить или требовать использование ПИН-кода запуска с микросхемой TPM.Включение пускового ПИН-кода требует взаимодействия со стороны конечного пользователя.

      • Разрешить ПИН-код запуска с TPM
      • Не разрешать ПИН-код запуска с TPM
      • Требовать ПИН-код запуска с TPM

      Подсказка

      Чтобы установить BitLocker автоматически и без вывода сообщений на устройство, присоединенное к Azure AD и работающее под управлением Windows 1809 или более поздней версии, этот параметр не должен иметь значение Требовать ПИН-код запуска с TPM . Дополнительные сведения см. В разделе Автоматическое включение BitLocker на устройствах.

    • Совместимый ключ запуска TPM
      По умолчанию : Разрешить ключ запуска с TPM

      Выберите разрешить, запретить или требовать использование ключа запуска с микросхемой TPM. Включение ключа запуска требует взаимодействия со стороны конечного пользователя.

      • Разрешить ключ запуска с TPM
      • Не разрешать ключ запуска с TPM
      • Требуется ключ запуска с TPM

      Подсказка

      Чтобы установить BitLocker автоматически и без вывода сообщений на устройство, присоединенное к Azure AD и работающее под управлением Windows 1809 или более поздней версии, этот параметр не должен иметь значение Требовать ключ запуска с TPM .Дополнительные сведения см. В разделе Автоматическое включение BitLocker на устройствах.

    • Совместимый ключ запуска TPM и PIN-код
      По умолчанию : Разрешить ключ запуска и PIN-код с TPM

      Выберите разрешить, запретить или требовать использование ключа запуска и ПИН-кода с микросхемой TPM. Включение ключа запуска и ПИН-кода требует взаимодействия со стороны конечного пользователя.

      • Разрешить ключ запуска и PIN-код с TPM
      • Не разрешать ключ запуска и PIN-код с TPM
      • Требовать ключ запуска и PIN-код с TPM

      Подсказка

      Чтобы установить BitLocker автоматически и без вывода сообщений на устройство, присоединенное к Azure AD и работающее под управлением Windows 1809 или более поздней версии, этот параметр не должен иметь значение Требовать ключ запуска и ПИН-код с TPM .Дополнительные сведения см. В разделе Автоматическое включение BitLocker на устройствах.

  • Минимальная длина PIN-кода
    По умолчанию : не настроено
    BitLocker CSP: SystemDrivesMinimumPINLength

    • Включить Настройте минимальную длину ПИН-кода запуска TPM.
    • Не настроен — Пользователи могут настроить ПИН-код запуска любой длины от 6 до 20 цифр.

    Если установлено значение Включить , вы можете настроить следующие параметры:

    • Минимум символов
      По умолчанию : Не настроено BitLocker CSP: SystemDrivesMinimumPINLength

      Введите необходимое количество символов для стартового ПИН-кода из диапазона 4 20 .

  • Восстановление диска ОС
    По умолчанию : не настроено
    BitLocker CSP: SystemDrivesRecoveryOptions

    • Включить — управление восстановлением дисков операционной системы с защитой BitLocker, когда необходимая информация для запуска недоступна.
    • Не настроено — Параметры восстановления по умолчанию поддерживаются для восстановления BitLocker. По умолчанию DRA разрешен, параметры восстановления выбираются пользователем, включая пароль восстановления и ключ восстановления, а информация для восстановления не копируется в AD DS.

    Если установлено значение Включить , вы можете настроить следующие параметры:

    • Агент восстановления данных на основе сертификатов
      По умолчанию : не настроен

      • Блок — запретить использование агента восстановления данных с дисками ОС, защищенными BitLocker.
      • Не настроено — Разрешить использование агентов восстановления данных с дисками операционной системы, защищенными BitLocker.
    • Пользователь создает пароль восстановления
      По умолчанию : разрешить 48-значный пароль восстановления

      Выберите, разрешено ли пользователям создавать 48-значный пароль восстановления, требовать или нет.

      • Разрешить 48-значный пароль восстановления
      • Не разрешать 48-значный пароль восстановления
      • Требуется 48-значный пароль восстановления
    • Пользовательское создание ключа восстановления
      По умолчанию : разрешить 256-битный ключ восстановления

      Выберите, разрешено ли пользователям создавать 256-битный ключ восстановления.

      • Разрешить 256-битный ключ восстановления
      • Не разрешать 256-битный ключ восстановления
      • Требуется 256-битный ключ восстановления
    • Параметры восстановления в мастере установки BitLocker
      По умолчанию : не настроено

      • Блок — Пользователи не могут видеть и изменять параметры восстановления.При установке на
      • Не настроено — Пользователи могут видеть и изменять параметры восстановления при включении BitLocker.
    • Сохранить информацию для восстановления BitLocker в Azure Active Directory
      По умолчанию : не настроено

      • Включить — сохранить информацию для восстановления BitLocker в Azure Active Directory (Azure AD).
      • Не настроено — информация для восстановления BitLocker не хранится в Azure AD.
    • Информация для восстановления BitLocker, хранящаяся в Azure Active Directory
      По умолчанию : резервное копирование паролей восстановления и пакетов ключей

      Настройте, какие части информации для восстановления BitLocker хранятся в Azure AD. Выбирать из:

      • Резервное копирование паролей восстановления и пакетов ключей
      • Резервное копирование только паролей восстановления
    • Ротация паролей восстановления на основе клиента
      По умолчанию : ротация ключей включена для устройств, присоединенных к Azure AD
      BitLocker CSP: ConfigureRecoveryPasswordRotation

      Этот параметр инициирует управляемую клиентом смену пароля восстановления после восстановления диска ОС (с помощью bootmgr или WinRE).

      • Не настроено
      • Поворот ключа отключен
      • Ротация ключей включена для устройств, присоединенных к Azure AD
      • Ротация ключей включена для Azure AD и гибридных устройств
    • Сохраните информацию для восстановления в Azure Active Directory перед включением BitLocker
      По умолчанию : не настроено

      Запретить пользователям включать BitLocker, если компьютер не создаст резервную копию данных восстановления BitLocker в Azure Active Directory.

      • Требовать — запретить пользователям включать BitLocker, если информация для восстановления BitLocker не будет успешно сохранена в Azure AD.
      • Не настроено — Пользователи могут включить BitLocker, даже если информация для восстановления не сохраняется в Azure AD.
  • Сообщение о восстановлении перед загрузкой и URL-адрес
    По умолчанию : не настроено
    BitLocker CSP: SystemDrivesRecoveryMessage

    • Включить — Настройте сообщение и URL-адрес, отображаемые на экране восстановления ключа перед загрузкой.
    • Не настроено — отключить эту функцию.

    Если установлено значение Включить , вы можете настроить следующие параметры:

Фиксированные настройки диска с данными BitLocker

Эти настройки применяются конкретно к фиксированным дискам с данными.

  • Доступ для записи на фиксированный диск с данными, не защищенный BitLocker
    По умолчанию : не настроен
    BitLocker CSP: FixedDrivesRequireEncryption

    • Блок — Предоставляет доступ только для чтения к дискам с данными, которые не защищены BitLocker.
    • Не настроено — По умолчанию доступ для чтения и записи к дискам с данными, которые не зашифрованы.
  • Восстановление фиксированного диска
    По умолчанию : не настроено
    BitLocker CSP: FixedDrivesRecoveryOptions

    • Включить — управление восстановлением фиксированных дисков с защитой BitLocker, когда необходимая информация для запуска недоступна.
    • Не настроено — отключить эту функцию.

    Если установлено значение Включить , вы можете настроить следующие параметры:

    • Агент восстановления данных
      По умолчанию : не настроен

      • Блок — запретить использование агента восстановления данных с редактором политик фиксированных дисков, защищенных BitLocker.
      • Не настроено — разрешает использование агентов восстановления данных с фиксированными дисками, защищенными BitLocker.
    • Пользователь создает пароль восстановления
      По умолчанию : разрешить 48-значный пароль восстановления

      Выберите, разрешено ли пользователям создавать 48-значный пароль восстановления, требовать или нет.

      • Разрешить 48-значный пароль восстановления
      • Не разрешать 48-значный пароль восстановления
      • Требуется 48-значный пароль восстановления
    • Пользовательское создание ключа восстановления
      По умолчанию : разрешить 256-битный ключ восстановления

      Выберите, разрешено ли пользователям создавать 256-битный ключ восстановления.

      • Разрешить 256-битный ключ восстановления
      • Не разрешать 256-битный ключ восстановления
      • Требуется 256-битный ключ восстановления
    • Параметры восстановления в мастере установки BitLocker
      По умолчанию : не настроено

      • Блок — Пользователи не могут видеть и изменять параметры восстановления. При установке на
      • Не настроено — Пользователи могут видеть и изменять параметры восстановления при включении BitLocker.
    • Сохранить информацию для восстановления BitLocker в Azure Active Directory
      По умолчанию : не настроено

      • Включить — сохранить информацию для восстановления BitLocker в Azure Active Directory (Azure AD).
      • Не настроено — информация для восстановления BitLocker не хранится в Azure AD.
    • Информация для восстановления BitLocker, хранящаяся в Azure Active Directory
      По умолчанию : резервное копирование паролей восстановления и пакетов ключей

      Настройте, какие части информации для восстановления BitLocker хранятся в Azure AD.Выбирать из:

      • Резервное копирование паролей восстановления и пакетов ключей
      • Резервное копирование только паролей восстановления
    • Сохраните информацию для восстановления в Azure Active Directory перед включением BitLocker
      По умолчанию : не настроено

      Запретить пользователям включать BitLocker, если компьютер не создаст резервную копию данных восстановления BitLocker в Azure Active Directory.

      • Требовать — запретить пользователям включать BitLocker, если информация для восстановления BitLocker не будет успешно сохранена в Azure AD.
      • Не настроено — Пользователи могут включить BitLocker, даже если информация для восстановления не сохраняется в Azure AD.

Настройки съемного диска с данными BitLocker

Эти параметры применяются конкретно к съемным дискам с данными.

  • Доступ для записи на съемный диск с данными, не защищенный BitLocker
    По умолчанию : не настроен
    BitLocker CSP: RemovableDrivesRequireEncryption

    • Блок — Предоставляет доступ только для чтения к дискам с данными, которые не защищены BitLocker.
    • Не настроено — По умолчанию доступ для чтения и записи к дискам с данными, которые не зашифрованы.

    Если установлено значение Включить , вы можете настроить следующие параметры:

Защита от эксплойтов в Microsoft Defender

Используйте защиту от эксплойтов, чтобы управлять приложениями, используемыми вашими сотрудниками, и снижать их вероятность.

Уменьшение площади атаки

Правила уменьшения поверхности атаки помогают предотвратить поведение, которое вредоносное ПО часто использует для заражения компьютеров вредоносным кодом.

Правила уменьшения площади атаки
Правила предотвращения угроз Office Macro

Запрещает приложениям Office выполнять следующие действия:

Правила предотвращения скриптовых угроз

Заблокируйте следующее, чтобы предотвратить угрозы сценариями:

Правила предотвращения угроз электронной почты

Заблокируйте следующее, чтобы предотвратить угрозы электронной почты:

  • Выполнение исполняемого содержимого (exe, dll, ps, js, vbs и т. Д.), Удаленного из электронной почты (веб-почта / почтовый клиент) (без исключений)
    По умолчанию : не настроено
    Правило: блокировать исполняемое содержимое из почтовый клиент и веб-почта

    • Не настроено
    • Блок — Блокировать выполнение исполняемого содержимого (exe, dll, ps, js, vbs и т. Д.)) выпал из электронной почты (веб-почта / почтовый клиент).
    • Только аудит
Правила защиты от программ-вымогателей
Исключения уменьшения поверхности атаки

Управляемый доступ к папкам

Помогите защитить ценные данные от вредоносных приложений и угроз, таких как программы-вымогатели.

  • Защита папок
    По умолчанию : не настроено
    Defender CSP: EnableControlledFolderAccess

    Защитите файлы и папки от несанкционированных изменений недружественными приложениями.

    • Не настроено
    • Включить
    • Только аудит
    • Модификация дискового блока
    • Ревизионная модификация диска

    При выборе конфигурации, отличной от Не настроено , вы можете настроить:

Сетевая фильтрация

Блокировать исходящие подключения из любого приложения к IP-адресам или доменам с низкой репутацией. Сетевая фильтрация поддерживается как в режиме аудита, так и в режиме блокировки.

  • Защита сети
    По умолчанию : не настроено
    Defender CSP: EnableNetworkProtection

    Назначение этого параметра — защитить конечных пользователей от приложений, имеющих доступ к фишинговым атакам, сайтам с эксплойтами и вредоносному содержимому в Интернете. Это также предотвращает подключение сторонних браузеров к опасным сайтам.

    • Не настроено — отключить эту функцию. Пользователи и приложения не заблокированы для подключения к опасным доменам.Администраторы не могут видеть это действие в Центре безопасности Защитника Microsoft.
    • Включить — включить защиту сети и запретить пользователям и приложениям подключаться к опасным доменам. Администраторы могут видеть это действие в Центре безопасности Защитника Microsoft.
    • Только аудит : — Пользователи и приложения не заблокированы для подключения к опасным доменам. Администраторы могут видеть это действие в Центре безопасности Защитника Microsoft.

Защита от эксплуатации

  • Загрузить XML
    По умолчанию : Не настроено

    Чтобы использовать защиту от эксплойтов для защиты устройств от эксплойтов, создайте XML-файл, который включает необходимые вам параметры защиты системы и приложений.Есть два метода создания XML-файла:

    • PowerShell — используйте один или несколько командлетов PowerShell Get-ProcessMitigation , Set-ProcessMitigation и ConvertTo-ProcessMitigationPolicy . Командлеты настраивают параметры смягчения и экспортируют их XML-представление.

    • Пользовательский интерфейс Центра безопасности Защитника Майкрософт — В Центре безопасности Защитника Майкрософт щелкните Управление приложением и браузером, а затем прокрутите экран вниз, чтобы найти Защита от эксплойтов.Сначала используйте вкладки Параметры системы и Параметры программы, чтобы настроить параметры защиты. Затем найдите ссылку «Экспорт настроек» в нижней части экрана, чтобы экспортировать их XML-представление.

  • Пользовательское редактирование интерфейса защиты от эксплойтов
    По умолчанию : не настроено
    ExploitGuard CSP: ExploitProtectionSettings

    • Блок — Загрузите XML-файл, который позволяет вам настроить память, поток управления и ограничения политики.Настройки в файле XML можно использовать для блокировки приложения от эксплойтов.
    • Не настроено — Пользовательская конфигурация не используется.

Контроль приложений Microsoft Defender

Выберите дополнительные приложения, которые необходимо проверять или которым можно доверять для запуска с помощью Microsoft Defender Application Control. Компоненты Windows и все приложения из магазина Windows автоматически получают доверие к запуску.

Credential Guard в защитнике Microsoft

Credential Guard в Microsoft Defender защищает от атак кражи учетных данных.Он изолирует секреты, так что только привилегированное системное программное обеспечение может получить к ним доступ.

  • Credential Guard
    По умолчанию : отключить
    DeviceGuard CSP

    • Отключить — удаленно отключить Credential Guard, если он был ранее включен с помощью опции Включено без блокировки UEFI .

    • Включить с блокировкой UEFI — Credential Guard нельзя отключить удаленно с помощью раздела реестра или групповой политики.

      Примечание

      Если вы используете этот параметр, а затем хотите отключить Credential Guard, необходимо установить для групповой политики значение Отключено . И физически очистите информацию о конфигурации UEFI с каждого компьютера. Пока сохраняется конфигурация UEFI, Credential Guard включен.

    • Включить без блокировки UEFI — разрешает удаленное отключение Credential Guard с помощью групповой политики. Устройства, использующие этот параметр, должны работать под управлением Windows 10 версии 1511 и новее.

    Когда вы включаете Credential Guard, также включаются следующие необходимые функции:

    • Безопасность на основе виртуализации (VBS)
      Включается во время следующей перезагрузки. Безопасность на основе виртуализации использует гипервизор Windows для поддержки служб безопасности.
    • Безопасная загрузка с доступом к памяти каталога
      Включает VBS с защитой безопасной загрузки и прямого доступа к памяти (DMA). Для защиты DMA требуется аппаратная поддержка, и она включена только на правильно настроенных устройствах.

Центр безопасности Microsoft Defender

Microsoft Defender Security Center работает как отдельное приложение или процесс для каждой из отдельных функций. Он отображает уведомления через Центр поддержки. Он действует как сборщик или единое место для просмотра статуса и запуска некоторой конфигурации для каждой из функций. Дополнительные сведения см. В документации по Microsoft Defender.

Приложение и уведомления Microsoft Defender Security Center

Заблокируйте доступ конечных пользователей к различным областям приложения Microsoft Defender Security Center.Скрытие раздела также блокирует связанные уведомления.

  • Защита от вирусов и угроз
    По умолчанию : не настроено
    WindowsDefenderSecurityCenter CSP: DisableVirusUI

    Настройте, могут ли конечные пользователи просматривать область защиты от вирусов и угроз в Центре безопасности Microsoft Defender. Скрытие этого раздела также заблокирует все уведомления, связанные с защитой от вирусов и угроз.

  • Защита от программ-вымогателей
    По умолчанию : не настроено
    WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

    Настройте, могут ли конечные пользователи просматривать область защиты от программ-вымогателей в Центре безопасности Microsoft Defender.Скрытие этого раздела также заблокирует все уведомления, связанные с защитой от программ-вымогателей.

  • Защита учетной записи
    По умолчанию : не настроено
    WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI

    Настройте, могут ли конечные пользователи просматривать область защиты учетной записи в Центре безопасности Microsoft Defender. Скрытие этого раздела также заблокирует все уведомления, связанные с защитой учетной записи.

  • Брандмауэр и защита сети
    По умолчанию : не настроено
    WindowsDefenderSecurityCenter CSP: DisableNetworkUI

    Настройте, могут ли конечные пользователи просматривать область межсетевого экрана и защиты сети в Центре безопасности Microsoft Defender.Скрытие этого раздела также заблокирует все уведомления, связанные с брандмауэром и защитой сети.

  • Управление приложением и браузером
    По умолчанию : не настроено
    WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

    Настройте, могут ли конечные пользователи просматривать область управления приложением и браузером в центре безопасности Microsoft Defender. Скрытие этого раздела также заблокирует все уведомления, связанные с управлением приложениями и браузером.

  • Аппаратная защита
    По умолчанию : не настроено
    WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

    Настройте, могут ли конечные пользователи просматривать область «Аппаратная защита» в Центре безопасности Microsoft Defender.Скрытие этого раздела также заблокирует все уведомления, связанные с аппаратной защитой.

  • Производительность и работоспособность устройства
    По умолчанию : не настроено
    WindowsDefenderSecurityCenter CSP: DisableHealthUI

    Настройте, могут ли конечные пользователи просматривать область производительности и работоспособности устройства в центре безопасности Microsoft Defender. Скрытие этого раздела также заблокирует все уведомления, связанные с производительностью и состоянием устройства.

  • Параметры семейства
    По умолчанию : не настроено
    WindowsDefenderSecurityCenter CSP: DisableFamilyUI

    Настройте, могут ли конечные пользователи просматривать область параметров семейства в центре безопасности Microsoft Defender.Скрытие этого раздела также заблокирует все уведомления, связанные с семейными параметрами.

  • Уведомления из отображаемых областей приложения
    По умолчанию : не настроено
    WindowsDefenderSecurityCenter CSP: DisableNotifications

    Выберите, какие уведомления показывать конечным пользователям. Некритические уведомления включают сводные данные об активности антивируса Microsoft Defender, в том числе уведомления о завершении сканирования. Все остальные уведомления считаются критическими.

    • Не настроено
    • Блокировать некритические уведомления

Настроить защиту от эксплойтов — Безопасность Windows

  • Читать 12 минут

В этой статье

Важно

Добро пожаловать в Microsoft Defender для Endpoint , новое название Microsoft Defender Advanced Threat Protection .Подробнее об этом и других обновлениях читайте здесь. В ближайшем будущем мы обновим названия продуктов и документов.

Применимо к:

Защита от эксплойтов автоматически применяет ряд методов предотвращения эксплойтов как к процессам операционной системы, так и к отдельным приложениям.

Настройте эти параметры с помощью приложения Windows Security на отдельном устройстве. Затем экспортируйте конфигурацию в виде файла XML, чтобы можно было развернуть ее на других устройствах. Используйте групповую политику для одновременного распространения XML-файла на несколько устройств.Вы также можете настроить меры защиты с помощью PowerShell.

В этой статье перечислены все способы защиты от эксплойтов. Он указывает, может ли смягчение применяться в масштабах всей системы или к отдельным приложениям, а также дает краткое описание того, как работает смягчение.

В нем также описывается, как включить или настроить средства защиты с помощью Windows Security, PowerShell и поставщиков услуг конфигурации (CSP) для управления мобильными устройствами (MDM). Это первый шаг в создании конфигурации, которую вы можете развернуть в своей сети.Следующий шаг включает создание, экспорт, импорт и развертывание конфигурации на нескольких устройствах.

Предупреждение

Некоторые технологии защиты от угроз могут иметь проблемы совместимости с некоторыми приложениями. Вы должны протестировать защиту от эксплойтов во всех сценариях целевого использования, используя режим аудита, прежде чем развертывать конфигурацию в производственной среде или в остальной части вашей сети.

Средства защиты от эксплойтов

Все меры по снижению рисков можно настроить для отдельных приложений.Некоторые смягчения также могут применяться на уровне операционной системы.

Вы можете включить, выключить или установить значение по умолчанию для каждого смягчения. Некоторые средства защиты имеют дополнительные параметры, которые указаны в описании в таблице.

Значения по умолчанию всегда указываются в скобках в Использовать параметр по умолчанию для каждого смягчения. В следующем примере по умолчанию для предотвращения выполнения данных установлено значение «Вкл.».

Использовать конфигурацию по умолчанию для каждой из настроек снижения риска указывает на нашу рекомендацию по базовому уровню защиты для повседневного использования домашними пользователями.Развертывания на предприятии должны учитывать защиту, необходимую для их индивидуальных потребностей, и может потребоваться изменить конфигурацию, отличную от значений по умолчанию.

Информацию о связанных командлетах PowerShell для каждого средства защиты см. В справочной таблице PowerShell в нижней части этой статьи.

Смягчение Описание Может применяться к Доступен режим аудита
Ограничитель потока управления (CFG) Обеспечивает целостность потока управления для косвенных вызовов.При желании можно подавить экспорт и использовать строгий CFG. Уровень системы и приложения Галочка no
Предотвращение выполнения данных (DEP) Предотвращает запуск кода из страниц памяти только для данных, таких как куча и стеки. Настраивается только для 32-разрядных (x86) приложений, постоянно включен для всех остальных архитектур. При желании можно включить эмуляцию преобразователя ATL. Уровень системы и приложения Галочка no
Принудительная рандомизация изображений (обязательно ASLR) Принудительно перемещает образы, не скомпилированные с / DYNAMICBASE.При необходимости может сбой при загрузке изображений, не имеющих информации о перемещении. Уровень системы и приложения Галочка no
Случайное распределение памяти (ASLR снизу вверх) Случайно выбирает места для распределения виртуальной памяти. Он включает в себя кучи структуры системы, стеки, блоки TEB и PEB. При желании можно использовать более широкую дисперсию рандомизации для 64-битных процессов. Уровень системы и приложения Галочка no
Проверить цепочки исключений (SEHOP) Обеспечивает целостность цепочки исключений во время отправки исключения.Настраивается только для 32-разрядных (x86) приложений. Уровень системы и приложения Галочка no
Проверить целостность кучи Завершает процесс при обнаружении повреждения кучи. Уровень системы и приложения Галочка no
Защита с произвольным кодом (ACG) Предотвращает внедрение исполняемого кода без поддержки изображений и предотвращает изменение кодовых страниц. При желании можно разрешить отказ от потока и возможность удаленного перехода на более раннюю версию (настраивается только с помощью PowerShell). Только на уровне приложения Галочка да
Блок изображений с низкой целостностью Предотвращает загрузку изображений с низким уровнем целостности. Только на уровне приложения Галочка да
Блокировать удаленные изображения Запрещает загрузку изображений с удаленных устройств. Только на уровне приложения Галочка no
Блокировать ненадежные шрифты Предотвращает загрузку любых шрифтов на основе GDI, не установленных в каталоге системных шрифтов, особенно шрифтов из Интернета. Только на уровне приложения Галочка да
Защита целостности кода Ограничивает загрузку изображений, подписанных Microsoft, WHQL или выше. При желании можно разрешить подписанные изображения Microsoft Store. Только на уровне приложения Галочка да
Отключить точки расширения Отключает различные механизмы расширяемости, которые позволяют внедрять DLL во все процессы, такие как библиотеки DLL AppInit, обработчики окон и поставщики служб Winsock. Только на уровне приложения Галочка no
Отключить системные вызовы Win32k Запрещает приложению использовать таблицу системных вызовов Win32k. Только на уровне приложения Галочка да
Не разрешать дочерние процессы Запрещает приложению создавать дочерние процессы. Только на уровне приложения Галочка да
Фильтрация адресов экспорта (EAF) Обнаруживает опасные операции, выполняемые вредоносным кодом.При желании может проверять доступ для модулей, обычно используемых эксплойтами. Только на уровне приложения Галочка no
Фильтрация адресов импорта (IAF) Обнаруживает опасные операции, выполняемые вредоносным кодом. Только на уровне приложения Галочка no
Имитация выполнения (SimExec) Гарантирует, что вызовы конфиденциальных API-интерфейсов возвращаются законным вызывающим абонентам. Настраивается только для 32-разрядных (x86) приложений.Не совместим с ACG Только на уровне приложения Галочка no
Проверить вызов API (CallerCheck) Гарантирует, что секретные API вызываются законными вызывающими объектами. Настраивается только для 32-разрядных (x86) приложений. Не совместим с ACG Только на уровне приложения Галочка no
Подтвердить использование ручки Вызывает исключение при любых недопустимых ссылках на дескрипторы. Только на уровне приложения Галочка no
Проверить целостность зависимостей изображения Обеспечивает подписание кода для загрузки зависимостей образа Windows. Только на уровне приложения Галочка no
Проверка целостности стека (StackPivot) Гарантирует, что стек не был перенаправлен для конфиденциальных API. Не совместим с ACG Только на уровне приложения Галочка no

Важно

Если вы добавите приложение в раздел Program settings и сконфигурируете там индивидуальные параметры защиты, они будут учитываться выше конфигурации для тех же средств защиты, которые указаны в разделе System settings .Следующая таблица и примеры помогают проиллюстрировать, как работают значения по умолчанию:

Включено в Программные настройки Включено в Системные настройки Поведение
Галочка да Галочка no Как определено в Настройки программы
Галочка да Галочка да Как определено в Настройки программы
Галочка no Галочка да Как определено в Системные настройки
Галочка no Галочка да По умолчанию, как определено в Использовать параметр по умолчанию
  • Пример 1

    Mikael настраивает Data Execution Prevention (DEP) в разделе System settings как Off по умолчанию .

    Микаэль затем добавляет приложение test.exe в раздел Настройки программы . В параметрах этого приложения в разделе Data Execution Prevention (DEP) он включает параметр Override system settings и устанавливает переключатель в положение On . В разделе Настройки программы других приложений нет.

    В результате DEP будет включен только для test.exe . Ко всем другим приложениям не будет применяться DEP.

  • Пример 2

    Джози настраивает Data Execution Prevention (DEP) в разделе Системные настройки как Off по умолчанию .

    Джози затем добавляет приложение test.exe в раздел Настройки программы . В параметрах этого приложения в разделе Data Execution Prevention (DEP) она включает параметр Override system settings и устанавливает переключатель в положение On .

    Джози также добавляет приложение miles.exe в раздел Program settings и настраивает Controlflow Guard (CFG) с на на . Она не включает параметр Override system settings для DEP или какие-либо другие меры для этого приложения.

    В результате будет включен DEP для test.exe . DEP не будет включен для других приложений, включая miles.exe . CFG будет активирован для миль.exe .

Примечание

Если вы обнаружили какие-либо проблемы в этой статье, вы можете сообщить об этом непосредственно партнеру Windows Server / Windows Client или использовать номера службы технической поддержки Microsoft для вашей страны.

Настройка средств защиты на уровне системы с помощью приложения безопасности Windows

  1. Откройте приложение Windows Security, щелкнув значок щита на панели задач или выполнив поиск в меню «Пуск» Defender .

  2. Выберите плитку Управление приложением и браузером (или значок приложения в левой строке меню), а затем выберите Защита от эксплойтов .

  3. В разделе Системные настройки найдите смягчение, которое вы хотите настроить, и выберите один из следующих. Приложения, которые не настроены индивидуально в разделе Параметры программы , будут использовать параметры, указанные здесь:

    • Включено по умолчанию — Снижение риска — включено для приложений, для которых это смягчение не установлено в параметрах приложения Настройки программы раздел

    • Выключено по умолчанию — Сглаживание отключено для приложений, для которых это снижение не задано в настройках программы для конкретных приложений раздел

    • Использовать по умолчанию — смягчение последствий либо включено, либо отключено, в зависимости от конфигурации по умолчанию, настроенной при установке Windows 10; значение по умолчанию ( на или выкл ) всегда указывается рядом с Использовать метку по умолчанию для каждого смягчения

      Примечание

      При изменении некоторых настроек вы можете увидеть окно управления учетными записями пользователей.Введите учетные данные администратора, чтобы применить настройку.

      Для изменения некоторых настроек может потребоваться перезагрузка.

  4. Повторите это для всех средств защиты на уровне системы, которые вы хотите настроить.

  5. Перейдите в раздел Program settings и выберите приложение, к которому вы хотите применить меры:

    1. Если приложение, которое вы хотите настроить, уже есть в списке, выберите его, а затем выберите Изменить
    2. Если приложения нет в списке, в верхней части списка выберите Добавить программу, чтобы настроить , а затем выберите, как вы хотите добавить приложение:
      • Используйте Добавить по имени программы , чтобы смягчение последствий применялось к любому запущенному процессу с этим именем.Вы должны указать файл с расширением. Вы можете ввести полный путь, чтобы ограничить защиту только приложением с таким именем в этом месте.
      • Использовать Выберите точный путь к файлу , чтобы использовать стандартное окно выбора файлов Windows Explorer для поиска и выбора нужного файла.
  6. После выбора приложения вы увидите список всех возможных мер по снижению рисков. Чтобы включить смягчение, установите флажок, а затем переместите ползунок на на .Выберите любые дополнительные параметры. Выбор Audit применит смягчение только в режиме аудита. Вы получите уведомление, если вам нужно перезапустить процесс или приложение, или если вам нужно перезапустить Windows.

  7. Повторите эти шаги для всех приложений и средств защиты, которые вы хотите настроить. Выберите Применить , когда закончите настройку конфигурации.

Теперь вы можете экспортировать эти параметры в виде XML-файла или продолжить настройку средств защиты для конкретных приложений.

Экспорт конфигурации в виде файла XML позволяет копировать конфигурацию с одного устройства на другие устройства.

Ссылка на PowerShell

Вы можете использовать приложение Windows Security для настройки защиты от эксплойтов или использовать командлеты PowerShell.

Параметры конфигурации, которые были изменены последним, будут применяться всегда, независимо от того, используете ли вы PowerShell или Windows Security. Это означает, что если вы используете приложение для настройки защиты, а затем используете PowerShell для настройки того же средства защиты, приложение обновится, чтобы показать изменения, внесенные с помощью PowerShell.Если вы затем снова воспользуетесь приложением, чтобы изменить смягчение, это изменение будет применено.

Важно

Любые изменения, развернутые на устройстве с помощью групповой политики, переопределят локальную конфигурацию. При настройке начальной конфигурации используйте устройство, к которому не будет применена конфигурация групповой политики, чтобы гарантировать, что ваши изменения не будут отменены.

Вы можете использовать команду PowerShell Get или Set с командлетом ProcessMitigation .Использование Get отобразит текущее состояние конфигурации любых средств защиты, включенных на устройстве — добавьте командлет -Name и приложение exe, чтобы увидеть меры защиты только для этого приложения:

  Get-ProcessMitigation -Name processName.exe
  

Важно

Не настроенные средства защиты на уровне системы покажут состояние NOTSET .

Для настроек системного уровня NOTSET указывает, что были применены настройки по умолчанию для этого смягчения.

Для настроек уровня приложения NOTSET указывает, что будут применены настройки системного уровня для снижения риска.

Настройку по умолчанию для каждого снижения на уровне системы можно увидеть в Windows Security.

Используйте Set , чтобы настроить каждое смягчение в следующем формате:

  Set-ProcessMitigation - <область действия> <исполняемый файл приложения> - <действие> <меры или параметры>, <меры или параметры>, <меры или параметры>
  

Где:

  • <Область применения>:
    • -Имя , чтобы указать, что меры по снижению рисков должны применяться к определенному приложению.После этого флага укажите исполняемый файл приложения.
    • -Система для обозначения смягчения последствий должна применяться на системном уровне
  • <Действие>:
    • -Включите , чтобы включить смягчение
    • -Отключить , чтобы отключить смягчение
  • <Смягчение>:

    • Командлет устранения рисков, как определено в таблице командлетов устранения рисков, вместе с любыми подопциями (окруженными пробелами).Каждое смягчение последствий разделяется запятой.

    Например, чтобы включить предотвращение выполнения данных (DEP) с помощью эмуляции преобразователя ATL и для исполняемого файла с именем testing.exe в папке C: \ Apps \ LOB \ tests и предотвратить создание этого исполняемого файла дочерние процессы, вы должны использовать следующую команду:

      Set-ProcessMitigation -Name c: \ apps \ lob \ tests \ testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation
      

    Важно

    Разделите каждый параметр смягчения запятыми.

    Если вы хотите применить DEP на системном уровне, вы должны использовать следующую команду:

      Set-Processmitigation -System -Enable DEP
      

    Чтобы отключить меры защиты, вы можете заменить -Enable на -Disable . Однако для средств защиты на уровне приложений это приведет к отключению защиты только для этого приложения.

    Если вам нужно восстановить систему смягчения последствий по умолчанию, вам необходимо также включить командлет -Remove , как в следующем примере:

      Тест Set-Processmitigation -Name.exe -Удалить -Отключить DEP
      

Вы также можете установить некоторые меры по снижению рисков в режиме аудита. Вместо использования командлета PowerShell для смягчения последствий используйте командлет Audit mode , как указано в таблице командлетов устранения рисков ниже.

Например, чтобы включить защиту произвольного кода (ACG) в режиме аудита для ранее использовавшегося testing.exe , вы должны использовать следующую команду:

  Set-ProcessMitigation -Name c: \ apps \ lob \ tests \ testing.exe -Enable AuditDynamicCode
  

Вы можете отключить режим аудита, используя ту же команду, но заменив -Enable на -Disable .

Справочная таблица PowerShell

В этой таблице перечислены командлеты PowerShell (и связанный командлет режима аудита), которые можно использовать для настройки каждого средства защиты.

Смягчение Относится к Командлеты PowerShell Командлет режима аудита
Ограничитель потока управления (CFG) Уровень системы и приложения CFG, StrictCFG, подавление экспорта Аудит недоступен
Предотвращение выполнения данных (DEP) Уровень системы и приложения DEP, EmulateAtlThunks Аудит недоступен
Принудительная рандомизация изображений (обязательно ASLR) Уровень системы и приложения ForceRelocateImages Аудит недоступен
Случайное распределение памяти (ASLR снизу вверх) Уровень системы и приложения BottomUp, HighEntropy Аудит недоступен
Проверить цепочки исключений (SEHOP) Уровень системы и приложения SEHOP, SEHOP Телеметрия Аудит недоступен
Проверить целостность кучи Уровень системы и приложения TerminateOnError Аудит недоступен
Защита с произвольным кодом (ACG) Только на уровне приложения DynamicCode AuditDynamicCode
Блок изображений с низкой целостностью Только на уровне приложения BlockLowLabel AuditImageLoad
Блокировать удаленные изображения Только на уровне приложения BlockRemoteImages Аудит недоступен
Блокировать ненадежные шрифты Только на уровне приложения DisableNonSystemFonts AuditFont, FontAuditOnly
Защита целостности кода Только на уровне приложения BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Отключить точки расширения Только на уровне приложения ExtensionPoint Аудит недоступен
Отключить системные вызовы Win32k Только на уровне приложения DisableWin32kSystemCalls AuditSystemCall
Запретить дочерние процессы Только на уровне приложения DisallowChildProcessCreation AuditChildProcess
Фильтрация адресов экспорта (EAF) Только на уровне приложения EnableExportAddressFilterPlus, EnableExportAddressFilter [1] Аудит недоступен
Фильтрация адресов импорта (IAF) Только на уровне приложения EnableImportAddressFilter Аудит недоступен
Имитация выполнения (SimExec) Только на уровне приложения EnableRopSimExec Аудит недоступен
Проверить вызов API (CallerCheck) Только на уровне приложения EnableRopCallerCheck Аудит недоступен
Подтвердить использование ручки Только на уровне приложения StrictHandle Аудит недоступен
Проверить целостность зависимостей изображения Только на уровне приложения EnforceModuleDepencySigning Аудит недоступен
Проверка целостности стека (StackPivot) Только на уровне приложения EnableRopStackPivot Аудит недоступен

[1]: Используйте следующий формат для включения модулей EAF для dll для процесса:

  Set-ProcessMitigation -Name имя_процесса.exe -Включить EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
  

Настроить уведомление

Для получения дополнительных сведений о настройке уведомления, когда срабатывает правило и блокирует приложение или файл, см. Раздел Безопасность Windows.

См. Также

Параметры политики защиты приложений Android — Microsoft Intune

  • На чтение 24 минуты

В этой статье

В этой статье описаны настройки политики защиты приложений для устройств Android.Описанные параметры политики можно настроить для политики защиты приложений на панели Параметры на портале Azure. Существует три категории параметров политики: параметры защиты данных, требования к доступу и условный запуск. В этой статье термин приложения, управляемые политиками, относится к приложениям, для которых настроены политики защиты приложений.

Важно

Корпоративный портал Intune необходим на устройстве для получения политик защиты приложений для устройств Android.Дополнительные сведения см. В разделе Требования к приложениям для доступа к корпоративному порталу Intune.

Управляемый браузер Intune больше не используется. Используйте Microsoft Edge для защищенного браузера Intune.

Защита данных

Передача данных

Настройка Как использовать Значение по умолчанию
Резервное копирование данных организации в службы резервного копирования Android Выберите Block , чтобы запретить этому приложению резервное копирование рабочих или учебных данных в службу резервного копирования Android.

Выберите Разрешить , чтобы разрешить этому приложению резервное копирование рабочих или учебных данных.

Разрешить
Отправлять данные организации в другие приложения Укажите, какие приложения могут получать данные из этого приложения:
  • Приложения, управляемые политикой : разрешить передачу только в другие приложения, управляемые политикой.
  • Все приложения : разрешить передачу в любое приложение.
  • Нет : запретить передачу данных в какое-либо приложение, включая другие приложения, управляемые политиками.

Есть некоторые исключенные приложения и службы, которым Intune может разрешать передачу данных по умолчанию. Кроме того, вы можете создать свои собственные исключения, если вам нужно разрешить передачу данных в приложение, которое не поддерживает Intune APP. Для получения дополнительной информации см. Исключения для передачи данных.

Эта политика также может применяться к ссылкам на приложения Android. Общие веб-ссылки управляются ссылками на приложение Open в параметре политики управляемого браузера Intune.

Примечание

Intune в настоящее время не поддерживает функцию мгновенных приложений Android.Intune заблокирует любое подключение к приложению или от него. Дополнительные сведения см. В разделе «Приложения с мгновенным запуском Android» в документации для разработчиков Android.

Если Отправлять данные организации в другие приложения настроен на Все приложения , текстовые данные могут по-прежнему передаваться через совместное использование ОС в буфер обмена.

Все приложения
Этот параметр доступен, если вы выбрали Приложения, управляемые политикой, для предыдущего параметра.
Выберите Блок , чтобы отключить использование опции «Сохранить как» в этом приложении.Выберите Разрешить , если вы хотите разрешить использование Сохранить как . Если установлено значение Блок , вы можете настроить параметр Разрешить пользователю сохранять копии в выбранных службах .

Примечание:

  • Этот параметр поддерживается для Microsoft Excel, OneNote, PowerPoint и Word. Он также может поддерживаться сторонними приложениями и бизнес-приложениями.
  • Этот параметр применяется только в том случае, если для параметра Отправлять данные организации в другие приложения установлено значение Приложения, управляемые политикой , Приложения, управляемые политикой, с общим доступом к ОС или Приложения, управляемые политикой, с фильтрацией Open-In / Share .
Разрешить
      Разрешить пользователю сохранять копии в выбранных службах
Пользователи могут сохранять в выбранных службах (OneDrive для бизнеса, SharePoint и локальное хранилище). Все остальные сервисы будут заблокированы. 0 выбрано
    Передача телекоммуникационных данных на
Обычно, когда пользователь выбирает номер телефона с гиперссылкой в ​​приложении, открывается приложение номеронабирателя с предварительно заполненным телефонным номером, готовым к вызову.Для этого параметра выберите, как обрабатывать этот тип передачи содержимого, когда он инициируется из приложения, управляемого политикой:
  • Нет, не передавать эти данные между приложениями : не передавать данные связи при обнаружении номера телефона.
  • Определенное приложение номеронабирателя : разрешить определенному приложению номеронабирателя инициировать контакт при обнаружении номера телефона.
  • Любое приложение номеронабирателя, управляемое политикой. : разрешить любому приложению номеронабирателя, управляемому политикой, инициировать контакт при обнаружении номера телефона.
  • Любое приложение для набора номера : разрешить использование любого приложения для набора номера для установления контакта при обнаружении номера телефона.
Любое приложение для набора номера
Когда выбрано конкретное приложение для набора номера, необходимо указать идентификатор пакета приложения. Пустой
Когда выбрано определенное приложение для набора номера, необходимо указать имя приложения для набора номера. Пустой
Получать данные из других приложений Укажите, какие приложения могут передавать данные в это приложение:
  • Приложения, управляемые политикой : разрешить передачу только из других приложений, управляемых политикой.
  • Все приложения : разрешить передачу данных из любого приложения.
  • Нет : не разрешать передачу данных из любого приложения, включая другие приложения, управляемые политиками.

Есть некоторые исключенные приложения и службы, из которых Intune может разрешить передачу данных. См. Полный список приложений и служб в разделе Исключения для передачи данных.

Все приложения
    Открытие данных в организационные документы
Выберите Block , чтобы отключить использование опции Open или других опций для обмена данными между учетными записями в этом приложении.Выберите Разрешить , если вы хотите разрешить использование Открыть .

Если задано значение Block , вы можете настроить Разрешить пользователю открывать данные из выбранных служб , чтобы указать, какие службы разрешены для местоположений данных организации.

Примечание:

  • Этот параметр применяется только в том случае, если для параметра Получать данные из других приложений установлено значение Приложения, управляемые политикой, .
  • Следующие приложения поддерживают этот параметр:
.

Разрешить

      Разрешить пользователям открывать данные из выбранных служб
Выберите службы хранения приложений, из которых пользователи могут открывать данные. Все остальные сервисы заблокированы. Если вы не выберете службы, пользователи не смогут открывать данные.

Поддерживаемые службы:

  • OneDrive для бизнеса
  • SharePoint Online
  • Камера
Все выбранное
Ограничить вырезание, копирование и вставку между другими приложениями Укажите, когда в этом приложении можно использовать операции вырезания, копирования и вставки.Выберите одно из:
  • Заблокировано : не разрешать операции вырезания, копирования и вставки между этим приложением и любым другим приложением.
  • Приложения, управляемые политикой : разрешить операции вырезания, копирования и вставки между этим приложением и другими приложениями, управляемыми политикой.
  • Политика, управляемая с помощью вставки в : разрешить вырезание или копирование между этим приложением и другими приложениями, управляемыми политиками. Разрешить вставку данных из любого приложения в это приложение.
  • Любое приложение : Нет ограничений для вырезания, копирования и вставки в это приложение и из него.
Любое приложение
    Вырезать и скопировать ограничение на количество символов для любого приложения
Укажите количество символов, которые можно вырезать или скопировать из данных организации и учетных записей. Это позволит совместно использовать указанное количество символов, если в противном случае оно было бы заблокировано настройкой «Ограничить вырезание, копирование и вставку с другими приложениями».

Значение по умолчанию = 0

Примечание : требуется корпоративный портал Intune версии 5.0.4364.0 или новее.

0
Снимок экрана и Google Assistant Выберите Block , чтобы заблокировать снимок экрана и возможности Google Assistant устройства при использовании этого приложения. Выбор Разрешить также приведет к размытию изображения предварительного просмотра переключателя приложений при использовании этого приложения с рабочей или учебной учетной записью. Блок
Утвержденные клавиатуры Выберите Требовать , а затем укажите список одобренных клавиатур для этой политики.

Пользователи, которые не используют одобренную клавиатуру, получают запрос на загрузку и установку одобренной клавиатуры, прежде чем они смогут использовать защищенное приложение. Этот параметр требует, чтобы в приложении был установлен пакет SDK Intune для Android версии 6.2.0 или выше.

Не требуется
    Выберите клавиатуру для утверждения
Этот параметр доступен при выборе Требовать для предыдущего параметра. Выберите . Выберите , чтобы управлять списком клавиатур и методов ввода, которые могут использоваться с приложениями, защищенными этой политикой.Вы можете добавить в список дополнительные клавиатуры и удалить любые параметры по умолчанию. У вас должна быть хотя бы одна одобренная клавиатура для сохранения настройки. Чтобы добавить клавиатуру, укажите:
  • Имя : понятное имя, идентифицирующее клавиатуру и видимое пользователю.
  • Идентификатор пакета : идентификатор пакета приложения в магазине Google Play. Например, если URL-адрес приложения в магазине Play — https://play.google.com/store/details?id=com.contoskeyboard.android.prod , тогда идентификатор пакета — com.contosokeyboard.android.prod . Этот идентификатор пакета предоставляется пользователю как простая ссылка для загрузки клавиатуры из Google Play.

    Примечание

    Пользователь, которому назначено несколько политик защиты приложений, сможет использовать только утвержденные клавиатуры, общие для всех политик.

Шифрование

Настройка Как использовать Значение по умолчанию
Зашифровать данные организации Выберите Требовать , чтобы включить шифрование рабочих или учебных данных в этом приложении.Intune использует 256-битную схему шифрования AES OpenSSL вместе с системой Android Keystore для безопасного шифрования данных приложения. Данные шифруются синхронно во время задач файлового ввода-вывода. Контент в хранилище устройства всегда зашифрован. Новые файлы будут зашифрованы 256-битными ключами. Существующие 128-битные зашифрованные файлы будут подвергнуты попытке миграции на 256-битные ключи, но этот процесс не гарантируется. Файлы, зашифрованные с помощью 128-битных ключей, останутся доступными для чтения.

Метод шифрования подтвержден FIPS 140-2; для получения дополнительной информации см. Библиотеку OpenSSL FIPS и Руководство по Android.

Требовать
    Шифрование данных организации на зарегистрированных устройствах
Выберите Требовать для принудительного шифрования данных организации с помощью шифрования уровня приложения Intune на всех устройствах. Выберите Не требуется , чтобы не применять принудительное шифрование данных организации с помощью шифрования уровня приложения Intune на зарегистрированных устройствах. Требовать

Функциональность

Настройка Как использовать Значение по умолчанию
Синхронизация данных приложения, управляемого политикой, с собственными приложениями Выберите Блок , чтобы приложения, управляемые политикой, не сохраняли данные в собственных приложениях «Контакты» и «Календарь» на устройстве.Если вы выберете Разрешить , приложение сможет сохранять данные в собственных приложениях «Контакты» и «Календарь» на устройстве, если эти функции включены в приложении, управляемом политикой.

Когда вы выполняете выборочную очистку для удаления данных работы или учебного заведения из приложения, контакты и данные календаря, синхронизированные непосредственно из приложения с собственными приложениями «Контакты» и «Календарь», удаляются. Любые контакты или данные календаря, синхронизированные из собственных приложений «Контакты» или «Календарь» в другой внешний источник, стереть нельзя. В настоящее время это относится только к Outlook для iOS и приложения для Android; Дополнительные сведения см. в разделе «Развертывание Outlook для параметров конфигурации приложений iOS и Android».

Разрешить
Печать данных организации Выберите Блок , чтобы приложение не печатало рабочие или учебные данные. Если вы оставите для этого параметра значение Разрешить , значение по умолчанию, пользователи смогут экспортировать и распечатывать все данные организации. Разрешить
Ограничить передачу веб-контента с помощью других приложений Укажите, как веб-контент (ссылки http / https) открывается из приложений, управляемых политикой.Выберите из:
  • Любое приложение : разрешить веб-ссылки в любом приложении.
  • Управляемый браузер Intune : разрешить открытие веб-содержимого только в управляемом браузере Intune. Этот браузер является браузером, управляемым политикой.
  • Microsoft Edge : разрешить открытие веб-содержимого только в Microsoft Edge. Этот браузер является браузером, управляемым политикой.
  • Неуправляемый браузер : разрешить открытие веб-содержимого только в неуправляемом браузере, определенном параметром Протокол неуправляемого браузера .Веб-контент будет неуправляемым в целевом браузере.
    Примечание : требуется корпоративный портал Intune версии 5.0.4415.0 или более поздней.
  • Браузеры, управляемые политиками
    На Android конечные пользователи могут выбирать из других управляемых политиками приложений, которые поддерживают ссылки http / https, если не установлен ни управляемый браузер Intune, ни Microsoft Edge.

    Если требуется, но не установлен браузер, управляемый политиками, конечным пользователям будет предложено установить Microsoft Edge.

    Если требуется браузер, управляемый политикой, ссылки на приложения Android управляются с помощью Разрешить приложению передавать данные в другие приложения. параметр политики.

    Регистрация устройства в Intune
    Если вы используете Intune для управления устройствами, см. Раздел Управление доступом в Интернет с помощью управляемых политик браузера с Microsoft Intune.

    Microsoft Edge под управлением политик
    Браузер Microsoft Edge для мобильных устройств (iOS / iPadOS и Android) поддерживает политики защиты приложений Intune.Пользователи, которые входят в свои корпоративные учетные записи Azure AD в приложении браузера Microsoft Edge, будут защищены Intune. Браузер Microsoft Edge интегрирует APP SDK и поддерживает все его политики защиты данных, за исключением предотвращения:

    • Сохранить как : браузер Microsoft Edge не позволяет пользователю добавлять прямые подключения в приложении. поставщикам облачных хранилищ (например, OneDrive).
    • Синхронизация контактов : браузер Microsoft Edge не сохраняет в собственных списках контактов.
    Примечание: APP SDK не может определить, является ли целевое приложение браузером. На устройствах Android разрешены другие управляемые браузерные приложения, поддерживающие намерение http / https.
Не настроено
Введите идентификатор приложения для одного браузера. Веб-контент (ссылки http / https) из приложений, управляемых политикой, откроется в указанном браузере. Веб-контент будет неуправляемым в целевом браузере. Пустой
Введите имя приложения для браузера, связанного с идентификатором неуправляемого браузера .Это имя будет отображаться для пользователей, если указанный браузер не установлен. Пустой
Уведомления о данных организации Укажите, какой объем организационных данных будет передаваться через уведомления ОС для учетных записей организации. Этот параметр политики повлияет на локальное устройство и все подключенные устройства, такие как носимые устройства и интеллектуальные динамики. Приложения могут предоставлять дополнительные элементы управления для настройки поведения уведомлений или могут не учитывать все значения. Выберите из:
  • Блок : не отправлять уведомления.
    • Если приложение не поддерживает, уведомления будут разрешены.
  • Заблокировать данные организации : не предоставлять данные организации в уведомлениях. Например, «У вас новая почта»; «У вас встреча».
    • Если приложение не поддерживает, уведомления будут заблокированы.
  • Разрешить : Совместное использование данных организации в уведомлениях

Примечание : Для этого параметра требуется поддержка приложения:

  • Outlook для Android 4.0.95 или новее
  • Teams для Android 1416 / 1.0.0.20200 или новее.

Разрешить

Исключения для передачи данных

Существуют некоторые исключенные приложения и службы платформы, в которые политики защиты приложений Intune разрешают передачу данных и от них. Например, все приложения под управлением Intune на Android должны иметь возможность передавать данные в Google Text-to-Speech и из него, чтобы текст с экрана мобильного устройства можно было читать вслух.Этот список может быть изменен и отражает службы и приложения, которые считаются полезными для безопасной работы.

Полное освобождение

Эти приложения и службы полностью разрешены для передачи данных в приложения, управляемые Intune, и из них.

Имя приложения / службы Описание
com.android.phone Родное приложение для телефона
com.android.vending Магазин Google Play
ком.android.documentsui Средство выбора документов Android
com.google.android.webview WebView, который необходим для многих приложений, включая Outlook.
com.android.webview Webview, который необходим для многих приложений, включая Outlook.
com.google.android.tts Синтезатор речи Google
com.android.providers.settings Системные настройки Android
ком.android.settings Системные настройки Android
com.azure.authenticator Приложение Azure Authenticator, которое требуется для успешной проверки подлинности во многих сценариях.
com.microsoft.windowsintune.companyportal Портал компании Intune

Условные освобождения

Эти приложения и службы разрешены для передачи данных в приложения, управляемые Intune, и из них только при определенных условиях.

Имя приложения / службы Описание Исключительное условие
com.android.chrome Браузер Google Chrome Chrome используется для некоторых компонентов WebView на Android 7.0+ и никогда не скрывается от просмотра. Однако поток данных в приложение и из него всегда ограничен.
com.skype.raider скайп Приложение Skype разрешено только для определенных действий, которые приводят к телефонному звонку.
com.android.providers.media Провайдер мультимедийного контента для Android Поставщик мультимедийного содержимого разрешил только действие выбора мелодии звонка.
com.google.android.gms; com.google.android.gsf Пакеты сервисов Google Play Эти пакеты разрешены для действий Google Cloud Messaging, таких как push-уведомления.
com.google.android.apps.maps Карты Google Адреса разрешены для навигации

Дополнительные сведения см. В разделе Исключения политики передачи данных для приложений.

Требования к доступу

Настройка Как использовать
PIN для доступа Выберите Требовать , чтобы запрашивать PIN-код для использования этого приложения. Пользователю предлагается настроить этот ПИН-код при первом запуске приложения на работе или в учебном заведении.

Значение по умолчанию = Требуется

Вы можете настроить надежность ПИН-кода, используя настройки, доступные в разделе ПИН-код для доступа.

Задайте требование для числовых ПИН-кодов или ПИН-кодов перед доступом к приложению, к которому применены политики защиты приложений. Числовые требования включают только цифры, в то время как код доступа может быть определен как минимум с 1 буквенной буквой или как минимум с 1 специальным символом.

Значение по умолчанию = Числовое

Примечание. Разрешенные специальные символы включают специальные символы и символы на клавиатуре Android на английском языке.

Выберите Разрешить , чтобы пользователи могли использовать простые последовательности ПИН-кодов, например 1234 , 1111 , abcd или aaaa . Выберите Blocks , чтобы они не использовали простые последовательности. Простые последовательности проверяются в трехсимвольных скользящих окнах. Если Блок сконфигурирован, 1235 или 1112 не будут приняты как PIN, установленный конечным пользователем, но 1122 будет разрешен.

Значение по умолчанию = Разрешить

Примечание: Если настроен ПИН-код типа пароля, а для простого ПИН задано значение Разрешить, пользователю потребуется хотя бы одна буква или хотя бы один специальный символ в ПИН-коде.Если ПИН-код типа пароля настроен, а для простого ПИН-кода задано значение «Блокировать», пользователю потребуется как минимум одно число и одна буква , и как минимум один специальный символ в своем ПИН-коде.

    Выберите минимальную длину PIN-кода
Укажите минимальное количество цифр в последовательности ПИН.

Значение по умолчанию = 4

    Отпечаток пальца вместо ПИН-кода для доступа (Android 6.0+)
Выберите Разрешить , чтобы пользователь мог использовать аутентификацию по отпечатку пальца вместо ПИН-кода для доступа к приложению.

Значение по умолчанию = Разрешить

Примечание. Эта функция поддерживает общие элементы управления биометрическими данными на устройствах Android. Биометрические параметры OEM, такие как Samsung Pass, , не поддерживаются.

На Android вы можете позволить пользователю подтвердить свою личность, используя аутентификацию по отпечатку пальца Android вместо PIN-кода. Когда пользователь пытается использовать это приложение со своей рабочей или учебной учетной записью, ему предлагается указать свой отпечаток пальца вместо ввода ПИН-кода.

Устройства с зарегистрированным рабочим профилем Android требуют регистрации отдельного отпечатка пальца для отпечатка пальца вместо ПИН-кода для принудительного доступа к политике . Эта политика действует только для приложений, управляемых политикой, установленных в рабочем профиле Android. Отдельный отпечаток пальца необходимо зарегистрировать на устройстве после создания рабочего профиля Android путем регистрации на корпоративном портале. Дополнительные сведения об отпечатках пальцев рабочего профиля с использованием рабочих профилей Android см. В разделе Блокировка рабочего профиля.

    Отмена отпечатка пальца с помощью PIN-кода после тайм-аута
Чтобы использовать этот параметр, выберите Требовать , а затем настройте тайм-аут бездействия.

Значение по умолчанию = Требуется

      Тайм-аут (минут бездействия)
Укажите время в минутах, по истечении которого пароль или числовой (в соответствии с настройкой) ПИН-код переопределят использование отпечатка пальца.Это значение тайм-аута должно быть больше, чем значение, указанное в разделе «Повторная проверка требований доступа после (минут бездействия)».

Значение по умолчанию = 30

    Сброс PIN-кода через определенное количество дней
Выберите Да , чтобы потребовать от пользователей изменить ПИН-код приложения через заданный период времени в днях.

Если установлено значение Да , вы затем настраиваете количество дней до того, как потребуется сброс PIN-кода.

Значение по умолчанию = Нет

Задайте количество дней до того, как потребуется сброс PIN-кода.

Значение по умолчанию = 90

    Выберите количество предыдущих значений PIN для сохранения
Этот параметр указывает количество предыдущих ПИН-кодов, которые будет поддерживать Intune. Любые новые ПИН-коды должны отличаться от тех, которые поддерживает Intune.

Значение по умолчанию = 0

    ПИН-код приложения, если установлен ПИН-код устройства
Выберите Не требуется , чтобы отключить ПИН-код приложения при обнаружении блокировки устройства на зарегистрированном устройстве с настроенным корпоративным порталом.

Значение по умолчанию = Требуется .

Учетные данные рабочего или учебного аккаунта для доступа Выберите Требовать , чтобы пользователь должен был войти в свою рабочую или учебную учетную запись вместо ввода ПИН-кода для доступа к приложению. Если установлено значение Требовать и включены запросы PIN или биометрических данных, отображаются как корпоративные учетные данные, так и запросы PIN или биометрические данные.

Значение по умолчанию = Не требуется

Перепроверьте требования доступа после (минут бездействия) Настройте следующий параметр:
  • Тайм-аут : это количество минут до повторной проверки требований доступа (определенных ранее в политике).Например, администратор включает ПИН-код и блокирует корневые устройства в политике, пользователь открывает приложение, управляемое Intune, должен ввести ПИН-код и должен использовать приложение на некорневом устройстве. При использовании этого параметра пользователю не нужно будет вводить ПИН-код или проходить еще одну проверку на обнаружение корневого доступа в любом приложении, управляемом Intune, в течение периода времени, равного настроенному значению.

    Этот формат параметра политики поддерживает положительное целое число.

    Значение по умолчанию = 30 минут

    Примечание. На Android ПИН-код используется всеми приложениями, управляемыми Intune.Таймер PIN-кода сбрасывается, когда приложение выходит на передний план на устройстве. Пользователю не нужно будет вводить ПИН-код в любом приложении, управляемом Intune, которое использует его ПИН-код на время тайм-аута, определенного в этом параметре.

Условный запуск

Настройте параметры условного запуска, чтобы установить требования безопасности входа для политики защиты приложений.

По умолчанию для некоторых параметров предусмотрены предварительно настроенные значения и действия.Вы можете удалить некоторые настройки, например, Min OS версии . Вы также можете выбрать дополнительные настройки в раскрывающемся списке Select one .

Политики защиты приложений
Настройка Как использовать
Максимальное количество попыток ввода PIN-кода Укажите количество попыток, которое пользователь должен успешно ввести свой PIN-код, прежде чем будет выполнено настроенное действие. Этот формат параметра политики поддерживает положительное целое число. Действия включают:
  • Сброс PIN-кода — пользователь должен сбросить свой PIN-код.
  • Очистить данные — учетная запись пользователя, связанная с приложением, удалена с устройства.
Значение по умолчанию = 5
Льготный период офлайн Количество минут, в течение которых приложения MAM могут работать в автономном режиме. Укажите время (в минутах) до повторной проверки требований доступа для приложения. Действия включают:
  • Очистить данные (дни) — по прошествии этого количества дней (определяется администратором) работы в автономном режиме приложение потребует от пользователя подключения к сети и повторной аутентификации.Если пользователь успешно аутентифицируется, он может продолжить доступ к своим данным, и интервал автономного режима будет сброшен. Если пользователю не удается пройти аутентификацию, приложение выполнит выборочную очистку учетной записи и данных пользователя. В разделе Как стереть только корпоративные данные из приложений, управляемых Intune.
Этот формат параметра политики поддерживает положительное целое число.

Значение по умолчанию = 90 дней

Эта запись может появляться несколько раз, при этом каждый экземпляр поддерживает разные действия.

Взломанные / рутированные устройства Для этого параметра нет значения. Действия включают:
  • Блокировать доступ — запретить запуск этого приложения на взломанных или рутированных устройствах. Пользователь по-прежнему сможет использовать это приложение для личных задач, но ему придется использовать другое устройство для доступа к рабочим или учебным данным в этом приложении.
  • Очистить данные — учетная запись пользователя, связанная с приложением, удалена с устройства.
Аккаунт отключен Для этого параметра нет значения. Действия включают:
  • Блокировать доступ — когда мы подтверждаем, что пользователь был отключен в Azure Active Directory, приложение блокирует доступ к рабочим или учебным данным.
  • Очистить данные — когда мы подтвердим, что пользователь был отключен в Azure Active Directory, приложение выполнит выборочную очистку учетной записи и данных пользователей.
Минимальная версия ОС Укажите минимальную версию операционной системы Android, которая требуется для использования этого приложения. Действия включают:
  • Предупредить — пользователь увидит уведомление, если версия Android на устройстве не соответствует требованиям. Это уведомление можно закрыть.
  • Заблокировать доступ — доступ пользователя будет заблокирован, если версия Android на устройстве не соответствует этому требованию.
  • Очистить данные — учетная запись пользователя, связанная с приложением, удалена с устройства.
Этот формат параметра политики поддерживает major.minor, major.minor.build, major.minor.build.revision.
Минимальная версия приложения Укажите значение минимального значения операционной системы. Действия включают:
  • Предупредить — пользователь видит уведомление, если версия приложения на устройстве не соответствует требованиям.Это уведомление можно закрыть.
  • Блокировать доступ — доступ пользователя заблокирован, если версия приложения на устройстве не соответствует требованиям.
  • Очистить данные — учетная запись пользователя, связанная с приложением, удалена с устройства.
Поскольку приложения часто имеют разные схемы управления версиями между собой, создайте политику с одной минимальной версией приложения, ориентированной на одно приложение (например, Политика версий Outlook ).

Эта запись может появляться несколько раз, при этом каждый экземпляр поддерживает свое действие.

Этот формат параметра политики поддерживает: major.minor, major.minor.build, major.minor.build.revision.

Кроме того, вы можете настроить , где ваши конечные пользователи могут получить обновленную версию бизнес-приложения (LOB). Конечные пользователи увидят это в диалоговом окне условного запуска приложения мин версии , в котором конечным пользователям будет предложено выполнить обновление до минимальной версии LOB-приложения.На Android эта функция использует корпоративный портал. Чтобы настроить, где конечный пользователь должен обновлять LOB-приложение, приложению требуется политика конфигурации управляемого приложения, отправленная ему с ключом com.microsoft.intune.myappstore . Отправленное значение будет определять, из какого магазина конечный пользователь загрузит приложение. Если приложение развертывается через корпоративный портал, значение должно быть CompanyPortal . Для любого другого магазина необходимо ввести полный URL-адрес.

Минимальная версия патча Require устройств имеет минимальный патч безопасности Android, выпущенный Google.
  • Предупредить — пользователь увидит уведомление, если версия Android на устройстве не соответствует требованиям. Это уведомление можно закрыть.
  • Заблокировать доступ — доступ пользователя будет заблокирован, если версия Android на устройстве не соответствует этому требованию.
  • Очистить данные — учетная запись пользователя, связанная с приложением, удалена с устройства.
Этот параметр политики поддерживает формат даты ГГГГ-ММ-ДД .
Производитель (и) устройства Укажите список производителей, разделенных точкой с запятой. Эти значения не чувствительны к регистру. Действия включают:
  • Разрешить указанное (блокировать не указано) — Только устройства, соответствующие указанному производителю, могут использовать приложение. Все остальные устройства заблокированы.
  • Разрешить указанное (Wipe не указано) — Учетная запись пользователя, связанная с приложением, удалена с устройства.
Дополнительные сведения об использовании этого параметра см. В разделе Действия при условном запуске.
Аттестация устройства SafetyNet Политики защиты приложений поддерживают некоторые API Google Play Protect. Этот параметр, в частности, настраивает аттестацию Google SafetyNet на устройствах конечных пользователей. Укажите Базовая целостность или Базовая целостность и сертифицированные устройства . Базовая целостность сообщает вам об общей целостности устройства.У рутированных устройств, эмуляторов, виртуальных устройств и устройств с признаками взлома нарушается базовая целостность. Базовая целостность и сертифицированные устройства сообщает вам о совместимости устройства со службами Google. Эту проверку могут пройти только немодифицированные устройства, сертифицированные Google. Действия включают:
  • Предупредить — пользователь видит уведомление, если устройство не соответствует требованиям проверки Google SafetyNet Attestation на основе настроенного значения.Это уведомление можно закрыть.
  • Блокировать доступ — пользователю блокируется доступ, если устройство не соответствует требованиям проверки Google SafetyNet Attestation на основе настроенного значения.
  • Очистить данные — учетная запись пользователя, связанная с приложением, удалена с устройства.
Ответы на часто задаваемые вопросы об этом параметре см. В разделе Часто задаваемые вопросы о MAM и защите приложений.
Требовать сканирование угроз в приложениях Политики защиты приложений поддерживают некоторые API Google Play Protect.Этот параметр, в частности, обеспечивает включение сканирования Google Verify Apps для устройств конечных пользователей. Если настроено, конечному пользователю будет заблокирован доступ, пока он не включит сканирование приложений Google на своем устройстве Android. Действия включают:
  • Предупредить — пользователь видит уведомление, если сканирование Google Verify Apps на устройстве не включено. Это уведомление можно закрыть.
  • Заблокировать доступ — пользователю заблокирован доступ, если сканирование Google Verify Apps на устройстве не включено.
Результаты сканирования Google Verify Apps отображаются в отчете «Потенциально опасные приложения» в консоли.
Минимальная версия корпоративного портала С помощью минимальной версии корпоративного портала можно указать конкретную минимально определенную версию корпоративного портала, которая применяется на устройстве конечного пользователя. Этот параметр условного запуска позволяет установить значения Блокировать доступ , Очистить данные и Предупредить как возможные действия, когда каждое значение не выполняется.Возможные форматы этого значения соответствуют шаблону [Major]. [Minor] , [Major]. [Minor]. [Build] или [Major]. [Minor]. [Build]. [Revision] . Учитывая, что некоторые конечные пользователи могут не предпочесть принудительное обновление приложений на месте, вариант «предупреждать» может быть идеальным при настройке этого параметра. Магазин Google Play отлично справляется с отправкой только дельта-байтов для обновлений приложений, но это все равно может быть большой объем данных, который пользователь может не захотеть использовать, если они находятся в данных во время обновления.Принудительное обновление и, таким образом, загрузка обновленного приложения может привести к непредвиденным расходам на передачу данных во время обновления. Дополнительные сведения см. В разделе Параметры политики Android.
Max Возраст версии корпоративного портала (дни) Вы можете установить максимальное количество дней в качестве возраста версии корпоративного портала (CP) для устройств Android. Этот параметр гарантирует, что конечные пользователи находятся в пределах определенного диапазона выпусков CP (в днях). Значение должно быть от 0 до 365 дней.Если параметр для устройств не соблюдается, запускается действие для этого параметра. Действия включают Блокировать доступ , Очистить данные или Предупредить . Дополнительную информацию см. В разделе Параметры политики Android.
Максимально допустимый уровень угрозы для устройства могут использовать преимущества соединителя Intune-MTD. Укажите максимальный уровень угрозы, приемлемый для использования этого приложения. Угрозы определяются выбранным вами приложением поставщика Mobile Threat Defense (MTD) на устройстве конечного пользователя.Укажите Secured , Low , Medium или High . Secured не требует угроз на устройстве и является наиболее ограничивающим настраиваемым значением, тогда как High по существу требует активного соединения Intune-to-MTD. Действия включают:
  • Заблокировать доступ — доступ пользователя будет заблокирован, если уровень угрозы, определенный выбранным приложением поставщика Mobile Threat Defense (MTD) на устройстве конечного пользователя, не соответствует этому требованию.
  • Очистить данные — учетная запись пользователя, связанная с приложением, удалена с устройства.
Дополнительные сведения об использовании этого параметра см. В разделе Включение соединителя защиты от мобильных угроз в Intune для незарегистрированных устройств.

Защита настроек учетной записи | Справочный центр DSM Tool

Здесь, в DSM, мы несем полную ответственность за обеспечение безопасности вашего бизнеса и его бесперебойной работы. Итак, мы создали настройки защиты для поставщиков, которых поддерживает DSM.

Как это выглядит?

Rapid Lister
При попытке добавить элемент в список может возникнуть ошибка защиты настроек учетной записи (с прямой ссылкой на эту статью)

Монитор цен
Вы можете определить элемент, который находится в разделе «Защита настроек учетной записи» «оранжевым замком рядом с количеством пунктов назначения на странице» Монитор цен «.

Оранжевая блокировка будет активирована, когда пункт перейдет в «Защита настроек учетной записи»

Где найти настройки защиты вашей учетной записи?

Перейдите к настройкам своей учетной записи и щелкните вкладку монитора

Затем щелкните имя поставщика , параметры которого вы хотите изменить, чтобы просмотреть соответствующие параметры для него.Вы можете проверить полный список поставщиков, нажав кнопку + Добавить / отредактировать

Разрешить продажу продуктов, для которых не предусмотрена бесплатная доставка

Основной настройкой поставщиков, поддерживаемых DSM Tool, является разрешение системе добавлять в товары вашего магазина, для которых указана стоимость доставки.

Причина этого параметра заключается в том, что DSM Tool иногда не может получить стоимость доставки от конкретного поставщика. В таких случаях вы можете добавить постоянную предполагаемую сумму доставки

В этом примере это 5 долларов.99 можно добавить к цене каждого продукта с eloquii.com, чтобы покрыть расходы на доставку. Он будет добавлен только к товарам стоимостью менее 39 долларов США, независимо от того, какую стоимость доставки они предлагают.

Настройки особых поставщиков


Amazon: товары не из премиум-класса

Товары Amazon Prime имеют право на бесплатную двухдневную доставку, но как только Amazon изменит ее из-за особых характеристик доставки, DSM автоматически переведет ее в режим защиты.

Walmart: сторонние товары

Если товар не продается через Walmart, DSM автоматически переведет его в режим защиты, и даже если вы попытались перечислить такие товары, DSM не будет отображать его.


AliExpress: различная защита транспортной компании

DSM также обеспечивает защиту для товаров AliExpress и работает с тем, какую транспортную компанию вы будете использовать, если транспортная компания, которую вы используете, — это ePacket для ваших списков, и вдруг один из ваших списков изменит судоходной компании от источника, листинг будет находиться под защитой.


Kmart / Sears: Защита сторонних поставщиков

Эта защита для товаров Kmart и Sears аналогична Walmart: если товар продается сторонним поставщиком и Kmart and Sears, товар будет помещен в режим защиты .

Как отключить антивирус и брандмауэр Defender в Windows 10 — wintips.org

Последнее обновление 4 ноября 2019 г.

В этом руководстве показано, как полностью отключить Центр безопасности Защитника и все службы защиты Защитника (антивирус, брандмауэр, защита от угроз) в Windows 10. Перед тем, как продолжить выполнение шагов, упомянутых ниже, вы должен знать, что Windows 10 по умолчанию включает антивирус Defender и брандмауэр Defender, если на компьютере не установлена ​​никакая другая программа безопасности.

Это означает, что если вы установите другую программу безопасности для защиты своего ПК, Защитник Windows будет автоматически отключен Windows 10, и нет необходимости выполнять какие-либо другие действия для отключения Защитника. Итак, следуйте инструкциям в этом руководстве, только если вы столкнулись с проблемами с защитой Защитника Windows или если вы хотите навсегда удалить антивирус и / или брандмауэр Защитника Windows по другим причинам.

Как отключить Центр безопасности Защитника Windows (антивирус, брандмауэр и т. Д.)

Метод 1. Отключите антивирус Защитника Windows из графического интерфейса Windows.
Метод 2. Отключите антивирус Защитника Windows, отредактировав реестр в автономном режиме.
Метод 1. Отключите антивирус Защитника Windows из графического интерфейса Windows.
Шаг 1. Выключите антивирусную защиту Windows Defender в режиме реального времени.

Чтобы выключить защиту в реальном времени, дважды щелкните значок Защитника Windows на панели задач, щелкните Защита от вирусов и угроз , а затем Параметры защиты от вирусов и угроз установите значение ВЫКЛ. Защита в реальном времени и Облачная защита.

Шаг 2. Измените разрешения реестра и Отключите Защитник от шпионского ПО и защиту от вирусов .

1. Редактор открытого реестра. Для этого:

1. Одновременно нажмите клавиши « Win » + « R », чтобы загрузить диалоговое окно Выполнить .
2. Введите regedit и нажмите . Введите , чтобы открыть редактор реестра.

2. Перейдите (с левой панели) в это место / раздел реестра:

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Защитник Windows

3.(ВАЖНО): Прежде чем продолжить, сначала сделайте резервную копию параметров раздела реестра «Защитника Windows», а затем используйте файл резервной копии, если что-то пойдет не так. Чтобы сделать резервную копию ключа Защитника Windows:

1. Щелкните правой кнопкой мыши кнопку «Защитник Windows» и выберите Экспорт .

2. Введите имя файла для файла резервной копии реестра (например, «Защитник Windows») и Сохраните файл на своем Desktop . *

* Примечание. При необходимости дважды щелкните экспортированный файл.reg файл, чтобы восстановить реестр!

4. Щелкните правой кнопкой мыши ключ Защитника Windows и выберите Permissions.

5. В окне «Разрешения для Защитника Windows» щелкните Advanced.

6. Щелкните Изменить владельца .

7. Введите Administrators и нажмите OK.

8. Установите флажок « Заменить владельца подконтейнеров и объектов» и нажмите Применить .

9. Затем дважды щелкните, чтобы открыть запись Administrators .

10. Установите флажок Full Control и нажмите OK три (3) раза. *

* Обновление (октябрь 2019 г.): После последнего обновления системы Windows 10 Microsoft не позволяет изменять разрешения для ключа «Защитник Windows» с ошибкой «Невозможно сохранить изменения разрешений в Защитнике Windows.В доступе отказано ». Если вы столкнулись с этой ошибкой, пропустите остальные инструкции этого шага (нажмите OK -> Отмена и OK , чтобы закрыть окно разрешений) и перейдите к шагу 3 ниже.

11. На правой панели Защитника Windows ключ :

11а. Откройте значение DisableAntiSpyware REG_DWORD и измените данные значения с 0 на . 1 отключите защиту от шпионского ПО в Защитнике Windows.Когда закончите, нажмите OK . *

* Примечание. Если вы не можете редактировать (изменять) данные значения, тогда закройте и повторно откройте редактор реестра или убедитесь, что «Защита в реальном времени» остается выключенной (шаг 1).

11б. Затем откройте значение DisableAntiVirus REG_DWORD и измените значение параметра с 0 на . 1 отключите защиту от вирусов Защитника Windows. Когда закончите, нажмите OK .

12. Перейдите к следующему шагу, чтобы отключить службы Защитника Windows.

Шаг 3. Отключите Центр безопасности Защитника, службы антивируса и брандмауэра.

Последний шаг — отключить службы Защитника, как описано ниже: *

* Примечание. Если вы не можете изменить одно (или несколько) из упомянутых значений реестра с ошибкой « Не удается изменить начало: ошибка записи содержимого значения », затем продолжите и внесите изменения в реестр в автономном режиме, выполнив действия, описанные в методе 2. ниже.

1. Чтобы отключить службу центра безопасности Защитника Windows, измените значение Start REG_DWORD с 2 на 4 в следующем разделе реестра:

  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SecurityHealthService

2. Чтобы отключить антивирусную службу Защитника Windows, измените значение Start REG_DWORD с 3 на 4 в следующем разделе реестра:

  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ WinDefend

3. Чтобы отключить службу проверки антивирусной сети в Защитнике Windows, измените значение Start REG_DWORD с 3 на 4 в следующем разделе реестра:

  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ WdNisSvc

4. Чтобы отключить службу брандмауэра Защитника Windows, измените значение Start REG_DWORD с 2 на 4 в следующем разделе реестра:

  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ MpsSvc

5. Закройте редактор реестра и перезагрузите компьютер.

Метод 2. Как отключить Защитник Windows путем редактирования реестра в автономном режиме.
Шаг 1. Создайте точку восстановления системы. *

* Примечание. Этот шаг не является обязательным, но из соображений предосторожности я предлагаю создать точку восстановления текущего состояния вашей системы, чтобы восстановить ваш компьютер, если что-то пойдет не так.

Для создания точки восстановления:

1. Откройте проводник Windows.
2. На левой панели щелкните правой кнопкой мыши значок «Этот компьютер» и выберите Свойства .
3. Щелкните Защита системы .
4. В настройках защиты системы щелкните Настроить .

5. В окне настроек восстановления:

а. Проверьте Включите защиту системы.
г. Отрегулируйте максимальное дисковое пространство, используемое для защиты системы, примерно до 10-15% от максимального дискового пространства.
г. Щелкните ОК .

6. Теперь нажмите Create , чтобы создать точку восстановления текущего состояния.

7. Введите узнаваемое имя точки восстановления и щелкните Create.
8.
Когда операция будет завершена, перейдите к следующему шагу.

Шаг 2. Отключите службы Защитника Windows в автономном режиме.

1. Запустите Windows 10 в режиме восстановления. Для этого воспользуйтесь одним из следующих способов:

А.Из графического интерфейса Windows: Щелкните правой кнопкой мыши меню Start и затем нажмите кнопку Restart , одновременно нажимая клавишу SHIFT на клавиатуре.

B. Из экрана входа в Windows: Нажмите кнопку Power и затем выберите Restart , одновременно нажимая клавишу SHIFT на клавиатуре.

2. В параметрах восстановления перейдите к Устранение неполадок -> Дополнительные параметры -> Командная строка .(Ваш компьютер перезагрузится)
3. После перезагрузки выберите учетную запись с правами администратора, введите пароль (если есть) и нажмите Продолжить .
4. В окне командной строки введите regedit и нажмите Введите .

5. В редакторе реестра выделите ключ HKEY_LOCAL_MACHINE .

6. В меню Файл выберите Загрузить куст.

7. В «Посмотрите в» выберите диск, на котором установлена ​​Windows (обычно обозначается как диск «D:»).

8. Теперь перейдите по следующему пути на диске ОС:

9. Выделите файл SYSTEM и щелкните Open .

10. Введите имя ключа для автономной базы данных реестра (например, « Offline ») и нажмите OK .

11. Теперь перейдите к следующим разделам реестра и установите для Start значение 4 :

  • HKEY_LOCAL_MACHINE \ Offline \ SYSTEM \ ControlSet001 \ Services \ MpsSvc
  • HKEY_LOCAL_MACHINE \ Offline \ SYSTEM \ ControlSet001 \ Services \ SecurityHealthService
  • HKEY_LOCAL_MACHINE \ Offline \ SYSTEM \ ControlSet001 \ Services \ WdNisSvc
  • HKEY_LOCAL_MACHINE \ Offline \ SYSTEM \ ControlSet001 \ Services \ WinDefend

12. По завершении выделите ранее созданный ключ (например, « Offline ») и в меню File выберите Unload Hive , чтобы записать изменения, внесенные вами в реестр.

13. Выберите Да , когда будет предложено выгрузить текущий ключ,

14. Закройте окна «Редактор реестра» и «Командная строка».
15. Щелкните Выключите компьютер.

16. Включите компьютер и загрузите Windows в обычном режиме.

Готово! Сообщите мне, помогло ли вам это руководство, оставив свой комментарий о своем опыте. Пожалуйста, поставьте лайк и поделитесь этим руководством, чтобы помочь другим.

Если эта статья была для вас полезной, поддержите нас, сделав пожертвование. Даже 1 доллар может иметь огромное значение для нас. в наших усилиях продолжать помогать другим, сохраняя при этом этот сайт бесплатным: Смотрите лучшие предложения на Woot! Компания-амазонка доступна только сегодня.Бесплатная доставка для членов Prime! Если вы хотите, чтобы постоянно были защищены от угроз вредоносного ПО, существующих и будущих , мы рекомендуем вам установить Malwarebytes Anti-Malware PRO , нажав ниже (мы действительно зарабатываете комиссию от продаж, произведенных по этой ссылке, но без дополнительных затрат для вас.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *