Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo é uma referência para as definições que estão disponíveis na linha de base de segurança Do Agente de IA Local – OpenClaw para Microsoft Intune.
Esta linha de base limita a utilização de agentes de IA locais não autorizados, como o OpenClaw, ao configurar definições de dispositivos que interrompem os caminhos de execução utilizados frequentemente. As regras de firewall incluídas restringem a comunicação de rede de saída a partir de ambientes de runtime de agentes locais comuns, como Node.js.
Importante
Estas definições podem não bloquear totalmente todos os caminhos de execução do agente. Esta linha base inclui controlos que restringem ambientes de runtime (por exemplo, Subsistema do Windows para Linux e Node.js) que podem ser aproveitados por agentes locais. Esta linha base também pode bloquear outros processos além do OpenClaw. Reveja e teste cada definição antes da implementação e desative as definições que tenham um impacto inaceitável nas cargas de trabalho legítimas.
Dica
Para identificar os dispositivos que têm agentes de IA locais instalados antes de implementar esta linha de base, utilize o catálogo de propriedades para recolher dados de inventário do Agente de IA Local .
Acerca deste artigo de referência
Cada linha de base de segurança é um grupo de definições pré-configuradas do Windows que o ajudam a aplicar e impor definições de segurança granulares recomendadas pelas equipas de segurança relevantes. Você também pode personalizar cada linha de base implantada para impor somente as configurações e os valores necessários. Ao criar um perfil de linha de base de segurança no Intune, você está criando um modelo composto por várias definições de configuração de dispositivo.
Este artigo apresenta:
- Uma lista de cada definição com a respetiva configuração, conforme encontrado na instância predefinida dessa versão de linha de base.
- Quando disponível, uma ligação para a documentação do fornecedor de serviços de configuração (CSP) subjacente ou outro conteúdo relacionado do grupo de produtos relevante que fornece contexto e, possivelmente, detalhes adicionais para uma utilização de definições.
Quando uma nova versão de uma linha de base fica disponível, substitui a versão anterior. Instâncias de perfil que foram criadas antes da disponibilidade de uma nova versão:
- Torne-se só de leitura. Pode continuar a utilizar esses perfis, mas não pode editá-los para alterar a configuração.
- Pode ser atualizado para a versão atual. Depois de atualizar um perfil para a versão de linha de base atual, pode editar o perfil para modificar as definições.
Para saber mais sobre como utilizar linhas de base de segurança, veja:
- Utilizar linhas de base de segurança
- Alterar a versão de linha de base de um perfil
- Gerenciar as linhas de base de segurança
Linha de Base do Agente de IA Local – OpenClaw (Pré-visualização), Versão 1
Subsistema Windows para Linux
Permitir WSL1
Predefinição da linha de base: ativado
Saiba MaisPermitir o Subsistema Windows para Linux
Predefinição da linha de base: ativado
Saiba Mais
Firewall
Nome da Regra de Firewall
Predefinição da linha de base: Configurado
Saiba MaisEsta linha de base inclui duas regras de firewall pré-configuradas. Ambas as regras bloqueiam as ligações TCP de saída de Node.js executáveis para interromper caminhos de execução comuns utilizados pelo OpenClaw.
Regra: bloquear nodejs na pasta LOCALAPPDATA
Propriedade Valor padrão Enabled Enabled Nome bloquear nodejs na pasta LOCALAPPDATA Tipos de Interface Tudo Caminho do Ficheiro %LOCALAPPDATA%\Programs\node\node.exeTipos de Rede FW_PROFILE_TYPE_ALL Direção A regra aplica-se ao tráfego de saída Action Bloquear Protocolo Configurado - 6 (TCP) Regra: bloquear nodejs na pasta ProgramFiles
Propriedade Valor padrão Enabled Enabled Nome bloquear nodejs na pasta ProgramFiles Tipos de Interface Tudo Caminho do Ficheiro %ProgramFiles%\nodejs\node.exeTipos de Rede FW_PROFILE_TYPE_ALL Direção A regra aplica-se ao tráfego de saída Action Bloquear Protocolo Configurado - 6 (TCP) Para obter detalhes sobre as propriedades da regra de firewall, veja CSP da Firewall – FirewallRules.