Política CSP – ServiceControlManager
Dica
Este CSP contém políticas apoiadas pelo ADMX que exigem um formato SyncML especial para habilitar ou desabilitar. Você deve especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter detalhes, consulte Noções básicas sobre políticas apoiadas pelo ADMX.
A carga do SyncML deve ser codificada por XML; para essa codificação XML, há uma variedade de codificadores online que você pode usar. Para evitar codificar a carga, você pode usar a CDATA se o MDM der suporte a ela. Para obter mais informações, confira Seções CDATA.
SvchostProcessMitigation
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ❌ Corporativo ✅ Educação ✅ Windows SE ❌ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1903 [10.0.18362] e posterior |
./Device/Vendor/MSFT/Policy/Config/ServiceControlManager/SvchostProcessMitigation
Essa configuração de política permite opções de mitigação de processo em processos svchost.exe.
- Se você habilitar essa configuração de política, os serviços de sistema internos hospedados em processos de svchost.exe terão políticas de segurança mais rigorosas habilitadas.
Isso inclui uma política que exige que todos os binários carregados nesses processos sejam assinados pela Microsoft, bem como uma política que não permite o código gerado dinamicamente.
- Se você desabilitar ou não configurar essa configuração de política, essas configurações de segurança mais rigorosas não serão aplicadas.
Se você habilitar essa política, ela adicionará o CIG (code integrity guard) e a aplicação arbitrária do ACG (code guard) e outras políticas de mitigação de processo/integridade de código aos processos SVCHOST.
Importante
Habilitar essa política pode causar problemas de compatibilidade com software de terceiros que usa processos svchost.exe. Por exemplo, software antivírus de terceiros.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | SvchostProcessMitigationEnable |
| Nome Amigável | Habilitar opções de mitigação de svchost.exe |
| Localização | Configuração do Computador |
| Caminho | Configurações de segurança de configurações > do System > Service Control Manager |
| Nome da Chave do Registro | System\CurrentControlSet\Control\SCMConfig |
| Nome do Valor do Registro | EnableSvchostMitigationPolicy |
| Nome do Arquivo ADMX | ServiceControlManager.admx |