Liste der Einstellungen in der Microsoft Defender for Endpoint Sicherheitsbaseline in Intune
Dieser Artikel ist eine Referenz für die Einstellungen, die in den verschiedenen Versionen der Microsoft Defender for Endpoint Sicherheitsbaseline verfügbar sind, die Sie mit Microsoft Intune bereitstellen können. Verwenden Sie die Registerkarten, um die Einstellungen in der neuesten Baselineversion und einigen älteren Versionen auszuwählen und anzuzeigen, die möglicherweise noch verwendet werden.
Für jede Einstellung gibt dieser Verweis die Standardkonfiguration der Baselines an. Dies ist auch die empfohlene Konfiguration für diese Einstellung, die vom relevanten Sicherheitsteam bereitgestellt wird. Da Produkte und die Sicherheitslandschaft weiterentwickelt werden, stimmen die empfohlenen Standardwerte in einer Basisversion möglicherweise nicht mit den Standardwerten überein, die Sie in späteren Versionen derselben Baseline finden. Verschiedene Baselinetypen, z. B. die MDM-Sicherheit und die Defender für Endpunkt-Baselines , können auch unterschiedliche Standardwerte festlegen.
Wenn die Intune-Benutzeroberfläche einen Link Weitere Informationen für eine Einstellung enthält, finden Sie dies auch hier. Verwenden Sie diesen Link, um den Konfigurationsdienstanbieter für Einstellungsrichtlinien (Configuration Service Provider , CSP) oder relevante Inhalte anzuzeigen, in denen der Einstellungsvorgang erläutert wird.
Wenn eine neue Version einer Baseline verfügbar wird, ersetzt sie die vorherige Version. Profileinstanzen, die vor der Verfügbarkeit einer neuen Version erstellt wurden:
- Schreibgeschützt. Sie können diese Profile weiterhin verwenden, aber nicht bearbeiten, um ihre Konfiguration zu ändern.
- Kann auf die neueste Version aktualisiert werden. Nachdem Sie ein Profil auf die aktuelle Baselineversion aktualisiert haben, können Sie das Profil bearbeiten, um Einstellungen zu ändern.
Weitere Informationen zur Verwendung von Sicherheitsbaselines finden Sie unter Verwenden von Sicherheitsbaselines. In diesem Artikel finden Sie auch Informationen zu folgenden Vorgehensweisen:
- Ändern Sie die Baselineversion für ein Profil , um ein Profil so zu aktualisieren, dass es die neueste Version dieser Baseline verwendet.
Microsoft Defender for Endpoint Baselineversion 24H1
Baseline-Einstellungen für Microsoft Defender for Endpoint für Dezember 2020 – Version 6
Microsoft Defender for Endpoint Baseline für September 2020 – Version 5
Baseline-Einstellungen für Microsoft Defender for Endpoint für April 2020 – Version 4
Baseline-Einstellungen für Microsoft Defender for Endpoint für März 2020 – Version 3
Die Microsoft Defender for Endpoint Baseline ist verfügbar, wenn Ihre Umgebung die Voraussetzungen für die Verwendung von Microsoft Defender for Endpoint erfüllt.
Diese Baseline ist für physische Geräte optimiert und wird nicht für die Verwendung auf virtuellen Computern (VMs) oder VDI-Endpunkten empfohlen. Bestimmte Baselineeinstellungen können sich auf interaktive Remotesitzungen in virtualisierten Umgebungen auswirken. Weitere Informationen finden Sie unter Erhöhung der Compliance für die Microsoft Defender for Endpoint-Sicherheitsbaseline.
Administrative Vorlagen
Systemgeräteinstallation >> Geräteinstallationseinschränkungen
Verhindern der Installation von Geräten mithilfe von Treibern, die diesen Geräteeinrichtungsklassen entsprechen
Baselinestandard: Aktiviert
Weitere InformationenGilt auch für übereinstimmende Geräte, die bereits installiert sind.
Baselinestandard: FalseVerhinderte Klassen
Baselinestandard: d48179be-ec20-11d1-b6b8-00c04fa372a7
Windows-Komponenten > BitLocker-Laufwerkverschlüsselung
Auswählen der Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke (Windows 10 [Version 1511] und höher)
Baselinestandard: Aktiviert
Weitere InformationenWählen Sie die Verschlüsselungsmethode für Wechseldatenträger aus:
Baselinestandard: AES-CBC 128-Bit (Standard)Wählen Sie die Verschlüsselungsmethode für Betriebssystemlaufwerke aus:
Baselinestandard: XTS-AES 128-Bit (Standard)Wählen Sie die Verschlüsselungsmethode für Festplattenlaufwerke aus:
Baselinestandard: XTS-AES 128-Bit (Standard)
Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Festplattenlaufwerke
Auswählen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können
Baselinestandard: Aktiviert
Weitere InformationenAktivieren Sie BitLocker erst, wenn Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS gespeichert sind.
Baselinestandard: TrueDatenwiederherstellungs-Agent zulassen
Baselinestandard: TrueKonfigurieren der Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS:
Baselinestandard: Sichern von Wiederherstellungskennwörtern und SchlüsselpaketenWert: 256-Bit-Wiederherstellungsschlüssel zulassen
Speichern von BitLocker-Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke
Baselinestandard: TrueAuslassen von Wiederherstellungsoptionen im BitLocker-Setup-Assistenten
Baselinestandard: TrueKonfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen:
Baselinestandard: 48-stelliges Wiederherstellungskennwort zulassen
Verweigern des Schreibzugriffs auf Festplattenlaufwerke, die nicht durch BitLocker geschützt sind
Baselinestandard: Aktiviert
Weitere InformationenErzwingen des Laufwerkverschlüsselungstyps auf Festplattenlaufwerken
Baselinestandard: Aktiviert
Weitere Informationen- Wählen Sie den Verschlüsselungstyp aus: (Gerät)
Baselinestandard: Verschlüsselung nur verwendeter Speicherplatz
- Wählen Sie den Verschlüsselungstyp aus: (Gerät)
Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke
Zulassen, dass Geräte, die mit InstantGo oder HSTI kompatibel sind, die PIN vor dem Start deaktivieren.
Baselinestandard: Deaktiviert
Weitere InformationenErweiterte PINs für den Start zulassen
Baselinestandard: Deaktiviert
Weitere InformationenAuswählen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können
Baselinestandard: Aktiviert
Weitere InformationenAuslassen von Wiederherstellungsoptionen im BitLocker-Setup-Assistenten
Baselinestandard: TrueWert: 256-Bit-Wiederherstellungsschlüssel zulassen
Speichern von BitLocker-Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke
Baselinestandard: TrueAktivieren Sie BitLocker erst, wenn Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert sind.
Baselinestandard: TrueKonfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen:
Baselinestandard: 48-stelliges Wiederherstellungskennwort zulassenDatenwiederherstellungs-Agent zulassen
Baselinestandard: TrueKonfigurieren der Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS:
Baselinestandard: Speichern von Wiederherstellungskennwörtern und Schlüsselpaketen
Aktivieren der Verwendung der BitLocker-Authentifizierung, die Tastatureingaben vor dem Start auf Wahllisten erfordert
Baselinestandard: Aktiviert
Weitere InformationenErzwingen des Laufwerkverschlüsselungstyps auf dem Betriebssystemlaufwerk
Baselinestandard: Aktiviert
Weitere Informationen- Wählen Sie den Verschlüsselungstyp aus: (Gerät)
Baselinestandard: Verschlüsselung nur verwendeter Speicherplatz
- Wählen Sie den Verschlüsselungstyp aus: (Gerät)
Zusätzliche Authentifizierung beim Start erforderlich
Baselinestandard: Aktiviert
Weitere InformationenKonfigurieren des TPM-Startschlüssels und der PIN:
Baselinestandard: Startschlüssel und PIN mit TPM nicht zulassenBitLocker ohne kompatibles TPM zulassen (erfordert ein Kennwort oder einen Startschlüssel auf einem USB-Speicherstick)
Baselinestandard: FalseTpm-Start konfigurieren:
Baselinestandard: TPM zulassenKonfigurieren der TPM-Start-PIN:
Baselinestandard: Start-PIN mit TPM zulassenKonfigurieren des TPM-Startschlüssels:
Baselinestandard: Startschlüssel mit TPM nicht zulassen
Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Wechseldatenträger
Steuern der Verwendung von BitLocker auf Wechseldatenträgern
Baselinestandard: Aktiviert
Weitere InformationenBenutzern das Anwenden des BitLocker-Schutzes auf Wechseldatenträger erlauben (Gerät)
Baselinestandard: TrueErzwingen des Laufwerkverschlüsselungstyps auf Wechseldatenträgern
Baselinestandard: Aktiviert
Weitere Informationen- Wählen Sie den Verschlüsselungstyp aus: (Gerät)
Baselinestandard: Verschlüsselung nur verwendeter Speicherplatz
- Wählen Sie den Verschlüsselungstyp aus: (Gerät)
Zulassen, dass Benutzer den BitLocker-Schutz auf Wechseldatenträgern (Gerät) anhalten und entschlüsseln können
Baselinestandard: False
Verweigern des Schreibzugriffs auf Wechseldatenträger, die nicht durch BitLocker geschützt sind
Baselinestandard: Aktiviert
Weitere Informationen- Lassen Sie keinen Schreibzugriff auf Geräte zu, die in einer anderen organization
Baselinestandard: False
- Lassen Sie keinen Schreibzugriff auf Geräte zu, die in einer anderen organization
windows components > Explorer
Windows Defender SmartScreen konfigurieren
Baselinestandard: Aktiviert
Weitere Informationen- Wählen Sie eine der folgenden Einstellungen aus: (Gerät)
Baselinestandard: Warnen und Verhindern der Umgehung
- Wählen Sie eine der folgenden Einstellungen aus: (Gerät)
Internet-Explorer für Windows-Komponenten >
Umgehen von SmartScreen-Filterwarnungen zu Dateien verhindern, die häufig nicht aus dem Internet heruntergeladen werden
Baselinestandard: Aktiviert
Weitere InformationenUmgehen von SmartScreen-Filterwarnungen zu Dateien verhindern, die häufig nicht aus dem Internet heruntergeladen werden (Benutzer)
Baselinestandard: Aktiviert
Weitere InformationenVerhindern der Verwaltung von SmartScreen-Filtern
Baselinestandard: Aktiviert
Weitere Informationen- Auswählen des SmartScreen-Filtermodus
Baselinestandard: Ein
- Auswählen des SmartScreen-Filtermodus
BitLocker
Warnung zulassen für andere Datenträgerverschlüsselung
Baselinestandard: Aktiviert
Weitere InformationenKonfigurieren der Wiederherstellungskennwortrotation
Baselinestandard: Aktualisierung für in Azure AD eingebundene und hybrid eingebundene Geräte
Weitere InformationenGeräteverschlüsselung erforderlich
Baselinestandard: Aktiviert
Weitere Informationen
Defender
Archivüberprüfung zulassen
Baselinestandard: Zulässig. Scannt die Archivdateien.
Weitere InformationenVerhaltensüberwachung zulassen
Baselinestandard: Zulässig. Aktiviert die Verhaltensüberwachung in Echtzeit.
Weitere InformationenCloudschutz zulassen
Baselinestandard: Zulässig. Aktiviert cloud protection.
Weitere InformationenEmail-Überprüfung zulassen
Baselinestandard: Zulässig. Aktiviert die E-Mail-Überprüfung.
Weitere InformationenVollständige Überprüfung von Wechseldatenträgern zulassen
Baselinestandard: Zulässig. Überprüft Wechseldatenträger.
Weitere InformationenSchutz bei Zugriff zulassen
Baselinestandard: Zulässig.
Weitere InformationenEchtzeitüberwachung zulassen
Baselinestandard: Zulässig. Aktiviert und führt den Echtzeitüberwachungsdienst aus.
Weitere InformationenScannen von Netzwerkdateien zulassen
Baselinestandard: Zulässig. Überprüft Netzwerkdateien.
Weitere InformationenÜberprüfung aller heruntergeladenen Dateien und Anlagen zulassen
Baselinestandard: Zulässig.
Weitere InformationenSkriptüberprüfung zulassen
Baselinestandard: Zulässig.
Weitere InformationenBenutzeroberflächenzugriff zulassen
Baselinestandard: Zulässig. Ermöglicht Benutzern den Zugriff auf die Benutzeroberfläche.
Weitere InformationenAusführung potenziell verborgener Skripts blockieren
Baselinestandard: Aus
Weitere InformationenBlockieren von Win32-API-Aufrufen von Office-Makros
Baselinestandard: Aus
Weitere InformationenAusführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium
Baselinestandard: Aus
Weitere InformationenOffice-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern
Baselinestandard: Aus
Weitere InformationenAlle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern
Baselinestandard: Aus
Weitere InformationenJavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern
Baselinestandard: Aus
Weitere InformationenWebshellerstellung für Server blockieren
Baselinestandard: Aus
Weitere InformationenNicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren
Baselinestandard: Aus
Weitere InformationenAdobe Reader am Erstellen von untergeordneten Prozessen hindern
Baselinestandard: Aus
Weitere InformationenBlockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität
Baselinestandard: Aus
Weitere InformationenBlockieren des Missbrauchs von anfälligen signierten Treibern (Gerät)
Baselinestandard: Aus
Weitere InformationenPersistenz durch WMI-Ereignisabonnement blockieren
Baselinestandard: Aus
Weitere Informationen[VORSCHAU] Blockieren der Verwendung kopierter oder imitierter Systemtools
Baselinestandard: Aus
Weitere InformationenErstellung von Prozessen durch PSExec- und WMI-Befehle blockieren
Baselinestandard: Aus
Weitere InformationenOffice-Anwendungen am Erstellen ausführbarer Inhalte hindern
Baselinestandard: Aus
Weitere InformationenOffice-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern
Baselinestandard: Aus
Weitere Informationen[VORSCHAU] Neustart des Computers im abgesicherten Modus blockieren
Baselinestandard: Aus
Weitere InformationenVerwenden des erweiterten Schutzes vor Ransomware
Baselinestandard: Aus
Weitere InformationenAusführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren
Baselinestandard: Aus
Weitere Informationen
Überprüfen auf Signaturen vor dem Ausführen der Überprüfung
Baselinestandard: Aktiviert
Weitere InformationenCloudblockebene
Baselinestandard: Hoch
Weitere InformationenErweitertes Cloudtimeout
Baselinestandard: Konfiguriert
Wert: 50
Weitere InformationenLokale Admin Zusammenführung deaktivieren
Baselinestandard: Lokale Admin Merge aktivieren
Weitere InformationenAktivieren des Netzwerkschutzes
Baselinestandard: Aktiviert (Blockmodus)
Weitere InformationenAusblenden von Ausschlüssen von lokalen Administratoren
Baselinestandard: Wenn Sie diese Einstellung aktivieren, können lokale Administratoren die Ausschlussliste nicht mehr in Windows-Sicherheit App oder über PowerShell anzeigen.
Weitere InformationenAusblenden von Ausschlüssen von lokalen Benutzern
Baselinestandard: Wenn Sie diese Einstellung aktivieren, können lokale Benutzer die Ausschlussliste nicht mehr in Windows-Sicherheit App oder über PowerShell anzeigen.
Weitere InformationenAktivieren von Rtp und Sig Update
Baselinestandard: Wenn Sie diese Einstellung aktivieren, werden Echtzeitschutz und Security Intelligence-Updates während der Windows-Willkommensseite aktiviert.
Weitere InformationenPUA-Schutz
Baselinestandard: PUA-Schutz aktiviert. Erkannte Elemente werden blockiert. Sie werden zusammen mit anderen Bedrohungen in der Geschichte angezeigt.
Weitere InformationenEchtzeit-Scanrichtung
Baselinestandard: Überwachen Sie alle Dateien (bidirektional).
Weitere InformationenScanparameter
Baselinestandard: Schnellüberprüfung
Weitere InformationenPlanen der Zeit für schnelle Überprüfungen
Baselinestandard: Konfiguriert
Wert: 120
Weitere InformationenPlanen des Scantags
Baselinestandard: Jeden Tag
Weitere InformationenPlanen der Scanzeit
Baselinestandard: Konfiguriert
Wert: 120
Weitere InformationenSignaturaktualisierungsintervall
Baselinestandard: Konfiguriert
Wert: 4
Weitere InformationenAbsenden von Beispielen– Zustimmung
Baselinestandard: Alle Stichproben werden automatisch gesendet.
Weitere Informationen
Device Guard
- Credential Guard
Baselinestandard: (Mit UEFI-Sperre aktiviert) Aktiviert Credential Guard mit UEFI-Sperre.
Weitere Informationen
Dma Guard
- Geräteenumerationsrichtlinie
Baselinestandard: Alle blockieren (restriktiv)
Weitere Informationen
Firewall
Überprüfung der Zertifikatsperrliste
Baselinestandard: Keine
Weitere InformationenDeaktivieren von zustandsbehafteten FTP-Dateien
Baselinestandard: True
Weitere InformationenAktivieren der Domänennetzwerkfirewall
Baselinestandard: True
Weitere InformationenDeaktivieren der Ausnahme für ipsec-gesicherte Pakete im Stealth-Modus
Baselinestandard: True
Weitere InformationenDeaktivieren des Stealth-Modus
Baselinestandard: False
Weitere InformationenZusammenführung lokaler IPSec-Richtlinien zulassen
Baselinestandard: True
Weitere InformationenDeaktivieren eingehender Benachrichtigungen
Baselinestandard: True
Weitere InformationenGlobale Ports lassen die Pref-Zusammenführung für Benutzer zu
Baselinestandard: True
Weitere InformationenDeaktivieren von Unicastantworten auf Multicastübertragung
Baselinestandard: False
Weitere InformationenZusammenführung lokaler Richtlinien zulassen
Baselinestandard: True
Weitere Informationen
Aktivieren der Paketwarteschlange
Baselinestandard: Konfiguriert
Weitere InformationenAktivieren der Firewall für private Netzwerke
Baselinestandard: True
Weitere InformationenStandardaktion für eingehenden Datenverkehr für privates Profil
Baselinestandard: True
Weitere InformationenDeaktivieren von Unicastantworten auf Multicastübertragung
Baselinestandard: False
Weitere InformationenDeaktivieren des Stealth-Modus
Baselinestandard: False
Weitere InformationenGlobale Ports lassen die Pref-Zusammenführung für Benutzer zu
Baselinestandard: True
Weitere InformationenZusammenführung lokaler IPSec-Richtlinien zulassen
Baselinestandard: True
Weitere InformationenDeaktivieren der Ausnahme für ipsec-gesicherte Pakete im Stealth-Modus
Baselinestandard: True
Weitere InformationenZusammenführung lokaler Richtlinien zulassen
Baselinestandard: True
Weitere InformationenStandardaktion für ausgehenden Datenverkehr
Baselinestandard: Zulassen
Weitere InformationenAuthentifizierungs-Apps lassen die Zusammenführung von Pref-Dateien für Benutzer zu
Baselinestandard: True
Weitere InformationenDeaktivieren eingehender Benachrichtigungen
Baselinestandard: True
Weitere Informationen
Aktivieren der Firewall für öffentliche Netzwerke
Baselinestandard: True
Weitere InformationenDeaktivieren des Stealth-Modus
Baselinestandard: False
Weitere InformationenStandardaktion für ausgehenden Datenverkehr
Baselinestandard: Zulassen
Weitere InformationenDeaktivieren eingehender Benachrichtigungen
Baselinestandard: True
Weitere InformationenDeaktivieren der Ausnahme für ipsec-gesicherte Pakete im Stealth-Modus
Baselinestandard: True
Weitere InformationenStandardaktion für eingehenden Datenverkehr für öffentliches Profil
Baselinestandard: Block
Weitere InformationenGlobale Ports lassen die Pref-Zusammenführung für Benutzer zu
Baselinestandard: True
Weitere InformationenZusammenführung lokaler Richtlinien zulassen
Baselinestandard: True
Weitere InformationenZusammenführung lokaler IPSec-Richtlinien zulassen
Baselinestandard: True
Weitere InformationenAuthentifizierungs-Apps lassen die Zusammenführung von Pref-Dateien für Benutzer zu
Baselinestandard: True
Weitere InformationenDeaktivieren von Unicastantworten auf Multicastübertragung
Baselinestandard: False
Weitere Informationen
Vorinstallierte Schlüsselcodierung
Baselinestandard: UTF8
Weitere InformationenLeerlaufzeit der Sicherheitszuordnung
Baselinestandard: Konfiguriert
Wert: 300
Weitere Informationen
Microsoft Edge
Konfigurieren von Microsoft Defender SmartScreen
Baselinestandard: AktiviertKonfigurieren von Microsoft Defender SmartScreen zum Blockieren potenziell unerwünschter Apps
Baselinestandard: AktiviertAktivieren von Microsoft Defender SmartScreen-DNS-Anforderungen
Baselinestandard: AktiviertAktivieren der neuen SmartScreen-Bibliothek
Baselinestandard: AktiviertErzwingen von Microsoft Defender SmartScreen-Überprüfungen bei Downloads aus vertrauenswürdigen Quellen
Baselinestandard: AktiviertUmgehen von Microsoft Defender SmartScreen-Eingabeaufforderungen für Websites verhindern
Baselinestandard: AktiviertUmgehung von Microsoft Defender SmartScreen-Warnungen zu Downloads verhindern
Baselinestandard: Aktiviert
Regeln zur Verringerung der Angriffsfläche
Regeln zur Verringerung der Angriffsfläche unterstützen eine Zusammenführung von Einstellungen aus verschiedenen Richtlinien, um eine Obermenge von Richtlinien für jedes Gerät zu erstellen. Nur die Einstellungen, die nicht in Konflikt stehen, werden zusammengeführt. In Konflikt stehende Einstellungen werden der Obermenge der Regeln nicht hinzugefügt. Wenn bisher zwei Richtlinien Konflikte für eine einzelne Einstellung enthielten, wurden beide Richtlinien als in Konflikt gekennzeichnet, und es wurden keine Einstellungen aus beiden Profilen bereitgestellt.
Verhalten der Regel zur Verringerung der Angriffsfläche sieht wie folgt aus:
- Regeln zur Verringerung der Angriffsfläche aus den folgenden Profilen werden für jedes Gerät ausgewertet, für das die Regeln gelten:
- Gerätekonfigurationsrichtlinie >> Endpoint Protection-Profil > Microsoft Defender Verringerung der Angriffsfläche von Exploit Guard >
- Endpunktsicherheit > Richtlinie > zur Verringerung der Angriffsfläche: Regeln zur Verringerung der Angriffsfläche
- Endpunktsicherheit > Sicherheitsbaselines > Microsoft Defender for Endpoint Baseline-Regeln >zur Verringerung der Angriffsfläche.
- Einstellungen ohne Konflikte werden einer Obermenge der Richtlinie für das Gerät hinzugefügt.
- Wenn zwei oder mehr Richtlinien in Konflikt stehende Einstellungen aufweisen, werden die in Konflikt stehenden Einstellungen nicht zur kombinierten Richtlinie hinzugefügt, während Einstellungen, die keinen Konflikt verursachen, der übergeordneten Richtlinie hinzugefügt werden, die für ein Gerät gilt.
- Nur die Konfigurationen für in Konflikt stehende Einstellungen werden zurückgehalten.
Weitere Informationen finden Sie unter Regeln zur Verringerung der Angriffsfläche in der Microsoft Defender for Endpoint-Dokumentation.
Blockieren der Erstellung untergeordneter Prozesse durch Office-Kommunikations-Apps
Baselinestandard: Aktivieren
Weitere InformationenAdobe Reader am Erstellen von untergeordneten Prozessen hindern
Baselinestandard: Aktivieren
Weitere InformationenOffice-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern
Baselinestandard: Block
Weitere InformationenOffice-Anwendungen am Erstellen ausführbarer Inhalte hindern
Baselinestandard: Block
Weitere InformationenJavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern
Baselinestandard: Block
Weitere InformationenAktivieren des Netzwerkschutzes
Baselinestandard: Aktivieren
Weitere InformationenNicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren
Baselinestandard: Block
Weitere InformationenDiebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren
Baselinestandard: Aktivieren
Weitere InformationenHerunterladen ausführbarer Inhalte von E-Mail- und Webmailclients blockieren
Baselinestandard: Block
Weitere InformationenAlle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern
Baselinestandard: Block
Weitere InformationenBlockieren der Ausführung potenziell verschleierter Skripts (js/vbs/ps)
Baselinestandard: Block
Weitere InformationenWin32-API-Aufrufe von Office-Makro blockieren
Baselinestandard: Block
Weitere Informationen
Application Guard
Weitere Informationen finden Sie unter WindowsDefenderApplicationGuard CSP in der Windows-Dokumentation.
Wenn Sie Microsoft Edge verwenden, schützt Microsoft Defender Application Guard Ihre Umgebung vor Websites, denen Ihr organization nicht vertraut. Wenn Benutzer Websites besuchen, die nicht in Ihrer isolierten Netzwerkgrenze aufgeführt sind, werden die Websites in einer virtuellen Hyper-V-Browsersitzung geöffnet. Vertrauenswürdige Standorte werden durch eine Netzwerkgrenze definiert.
Aktivieren von Application Guard für Edge (Optionen)
Baselinestandard: Für Edge aktiviert
Weitere InformationenBlockieren externer Inhalte von nicht vom Unternehmen genehmigten Websites
Baselinestandard: Ja
Weitere InformationenVerhalten der Zwischenablage
Baselinestandard: Kopieren und Einfügen zwischen PC und Browser blockieren
Weitere Informationen
Windows-Richtlinie für Netzwerkisolierung
Baselinestandard: Konfigurieren
Weitere Informationen- Netzwerkdomänen
Baselinestandard: securitycenter.windows.com
- Netzwerkdomänen
BitLocker
Erfordern der Verschlüsselung von Speicherkarten (nur für Mobilgeräte)
Baselinestandard: Ja
Weitere InformationenHinweis
Der Support für Windows 10 Mobile und Windows Phone 8.1 endete im August 2020.
Aktivieren der vollständigen Datenträgerverschlüsselung für Betriebssystem- und Festplattenlaufwerke
Baselinestandard: Ja
Weitere InformationenBitLocker-Richtlinie für Systemlaufwerk
Baselinestandard: Konfigurieren
Weitere Informationen- Konfigurieren der Verschlüsselungsmethode für Betriebssystemlaufwerke
Baselinestandard: Nicht konfiguriert
Weitere Informationen
- Konfigurieren der Verschlüsselungsmethode für Betriebssystemlaufwerke
BitLocker-Richtlinie für Festplattenlaufwerk
Baselinestandard: Konfigurieren
Weitere InformationenBlockieren des Schreibzugriffs auf Festplattenlaufwerke, die nicht durch BitLocker geschützt sind
Baselinestandard: Ja
Weitere Informationen
Diese Einstellung ist verfügbar, wenn die BitLocker-Richtlinie für feste Laufwerke auf Konfigurieren festgelegt ist.Konfigurieren der Verschlüsselungsmethode für Festplattenlaufwerke
Baselinestandard: AES 128-Bit-XTS
Weitere Informationen
bitLockerRemovableDrivePolicy
Baselinestandard: Konfigurieren
Weitere InformationenKonfigurieren der Verschlüsselungsmethode für Wechseldatenträger
Baselinestandard: AES 128-Bit-CBC
Weitere InformationenBlockieren des Schreibzugriffs auf Wechseldatenträger, die nicht durch BitLocker geschützt sind
Baselinestandard: Nicht konfiguriert
Weitere Informationen
Standbyzustände im Ruhezustand im Akkubetrieb Baselinestandard: Deaktiviert
Weitere InformationenStandbyzustände im Ruhezustand während des Netzbetriebs
Baselinestandard: Deaktiviert
Weitere InformationenAktivieren der vollständigen Datenträgerverschlüsselung für Betriebssystem- und Festplattenlaufwerke
Baselinestandard: Ja
Weitere InformationenBitLocker-Richtlinie für Systemlaufwerk
Baselinestandard: Konfigurieren
Weitere InformationenStartauthentifizierung erforderlich
Baselinestandard: Ja
Weitere InformationenKompatible TPM-Start-PIN
Baselinestandard: Zulässig
Weitere InformationenKompatibler TPM-Startschlüssel
Baselinestandard: Erforderlich
Weitere InformationenDeaktivieren von BitLocker auf Geräten, auf denen TPM nicht kompatibel ist
Baselinestandard: Ja
Weitere InformationenKonfigurieren der Verschlüsselungsmethode für Betriebssystemlaufwerke
Baselinestandard: Nicht konfiguriert
Weitere Informationen
BitLocker-Richtlinie für Festplattenlaufwerk
Baselinestandard: Konfigurieren
Weitere InformationenBlockieren des Schreibzugriffs auf Festplattenlaufwerke, die nicht durch BitLocker geschützt sind
Baselinestandard: Ja
Weitere Informationen
Diese Einstellung ist verfügbar, wenn die BitLocker-Richtlinie für feste Laufwerke auf Konfigurieren festgelegt ist.Konfigurieren der Verschlüsselungsmethode für Festplattenlaufwerke
Baselinestandard: AES 128-Bit-XTS
Weitere Informationen
bitLockerRemovableDrivePolicy
Baselinestandard: Konfigurieren
Weitere InformationenKonfigurieren der Verschlüsselungsmethode für Wechseldatenträger
Baselinestandard: AES 128-Bit-CBC
Weitere InformationenBlockieren des Schreibzugriffs auf Wechseldatenträger, die nicht durch BitLocker geschützt sind
Baselinestandard: Nicht konfiguriert
Weitere Informationen
BitLocker-Richtlinie für Systemlaufwerk
Baselinestandard: Konfigurieren
Weitere InformationenStartauthentifizierung erforderlich
Baselinestandard: Ja
Weitere InformationenKompatible TPM-Start-PIN
Baselinestandard: Zulässig
Weitere InformationenKompatibler TPM-Startschlüssel
Baselinestandard: Erforderlich
Weitere InformationenDeaktivieren von BitLocker auf Geräten, auf denen TPM nicht kompatibel ist
Baselinestandard: Ja
Weitere InformationenKonfigurieren der Verschlüsselungsmethode für Betriebssystemlaufwerke
Baselinestandard: Nicht konfiguriert
Weitere Informationen
Standbyzustände im Ruhezustand im Akkubetrieb Baselinestandard: Deaktiviert
Weitere InformationenStandbyzustände im Ruhezustand während des Netzbetriebs
Baselinestandard: Deaktiviert
Weitere InformationenAktivieren der vollständigen Datenträgerverschlüsselung für Betriebssystem- und Festplattenlaufwerke
Baselinestandard: Ja
Weitere InformationenBitLocker-Richtlinie für Festplattenlaufwerk
Baselinestandard: Konfigurieren
Weitere InformationenBlockieren des Schreibzugriffs auf Festplattenlaufwerke, die nicht durch BitLocker geschützt sind
Baselinestandard: Ja
Weitere Informationen
Diese Einstellung ist verfügbar, wenn die BitLocker-Richtlinie für feste Laufwerke auf Konfigurieren festgelegt ist.Konfigurieren der Verschlüsselungsmethode für Festplattenlaufwerke
Baselinestandard: AES 128-Bit-XTS
Weitere Informationen
bitLockerRemovableDrivePolicy
Baselinestandard: Konfigurieren
Weitere InformationenKonfigurieren der Verschlüsselungsmethode für Wechseldatenträger
Baselinestandard: AES 128-Bit-CBC
Weitere InformationenBlockieren des Schreibzugriffs auf Wechseldatenträger, die nicht durch BitLocker geschützt sind
Baselinestandard: Nicht konfiguriert
Weitere Informationen
Browser
SmartScreen für Microsoft Edge erforderlich
Baselinestandard: Ja
Weitere InformationenBlockieren des Zugriffs auf schädliche Websites
Baselinestandard: Ja
Weitere InformationenHerunterladen nicht überprüfter Dateien blockieren
Baselinestandard: Ja
Weitere Informationen
Datenschutz
- Blockieren des direkten Speicherzugriffs
Baselinestandard: Ja
Weitere Informationen
Device Guard
- Aktivieren von Credential Guard
Baselinestandard: Mit UEFI-Sperre aktivieren
Weitere Informationen
Geräteinstallation
Hardwaregeräteinstallation nach Gerätebezeichnern
Baselinestandard: Hardwaregeräteinstallation blockieren
Weitere InformationenEntfernen passender Hardwaregeräte Baselinestandard: Ja
Hardwaregerätebezeichner, die blockiert sind
Baselinestandard: Standardmäßig nicht konfiguriert. Fügen Sie manuell eine oder mehrere Gerätebezeichner hinzu.
Hardwaregeräteinstallation nach Setupklassen
Baselinestandard: Hardwaregeräteinstallation blockieren
Weitere InformationenEntfernen passender Hardwaregeräte Baselinestandard: Nicht konfiguriert
Hardwaregerätebezeichner, die blockiert sind Baselinestandard: Standardmäßig nicht konfiguriert. Fügen Sie manuell eine oder mehrere Gerätebezeichner hinzu.
Blockieren der Hardwaregeräteinstallation nach Setupklassen:
Baselinestandard: Ja
Weitere InformationenEntfernen sie übereinstimmende Hardwaregeräte:
Baselinestandard: JaBlockierungsliste
Baselinestandard: Standardmäßig nicht konfiguriert. Fügen Sie manuell eine oder mehrere setup-Klasse global eindeutige Bezeichner hinzu.
DMA Guard
- Aufzählung externer Geräte, die mit kernel-DMA-Schutz nicht kompatibel sind
Baselinestandard: Alle blockieren
Weitere Informationen
- Aufzählung externer Geräte, die mit kernel-DMA-Schutz nicht kompatibel sind
Baselinestandard: Nicht konfiguriert
Weitere Informationen
Erkennung und Reaktion am Endpunkt
Beispielfreigabe für alle Dateien
Baselinestandard: Ja
Weitere InformationenBeschleunigen der Häufigkeit von Telemetrieberichten
Baselinestandard: Ja
Weitere Informationen
Firewall
Zustandsbehaftetes Dateiübertragungsprotokoll (FTP)
Baselinestandard: Deaktiviert
Weitere InformationenAnzahl der Sekunden, in der sich eine Sicherheitszuordnung im Leerlauf befinden kann, bevor sie gelöscht wird
Baselinestandard: 300
Weitere InformationenVorab freigegebene Schlüsselcodierung
Baselinestandard: UTF8
Weitere InformationenÜberprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL)
Baselinestandard: Nicht konfiguriert
Weitere InformationenPaketwarteschlange
Baselinestandard: Nicht konfiguriert
Weitere InformationenFirewallprofil privat
Baselinestandard: Konfigurieren
Weitere InformationenEingehende Verbindungen blockiert
Baselinestandard: Ja
Weitere InformationenUnicastantworten auf Multicastübertragungen erforderlich
Baselinestandard: Ja
Weitere InformationenAusgehende Verbindungen erforderlich
Baselinestandard: Ja
Weitere InformationenEingehende Benachrichtigungen blockiert
Baselinestandard: Ja
Weitere InformationenGlobale Portregeln aus Gruppenrichtlinien zusammengeführt
Baselinestandard: Ja
Weitere InformationenFirewall aktiviert
Baselinestandard: Zulässig
Weitere InformationenAutorisierte Anwendungsregeln aus gruppenrichtlinien nicht zusammengeführt
Baselinestandard: Ja
Weitere InformationenVerbindungssicherheitsregeln aus gruppenrichtlinien nicht zusammengeführt
Baselinestandard: Ja
Weitere InformationenEingehender Datenverkehr erforderlich
Baselinestandard: Ja
Weitere InformationenRichtlinienregeln aus Gruppenrichtlinien nicht zusammengeführt
Baselinestandard: Ja
Weitere Informationen
- Stealth-Modus blockiert
Baselinestandard: Ja
Weitere Informationen
Firewallprofil öffentlich
Baselinestandard: Konfigurieren
Weitere InformationenEingehende Verbindungen blockiert
Baselinestandard: Ja
Weitere InformationenUnicastantworten auf Multicastübertragungen erforderlich
Baselinestandard: Ja
Weitere InformationenAusgehende Verbindungen erforderlich
Baselinestandard: Ja
Weitere InformationenAutorisierte Anwendungsregeln aus gruppenrichtlinien nicht zusammengeführt
Baselinestandard: Ja**
Weitere InformationenEingehende Benachrichtigungen blockiert
Baselinestandard: Ja
Weitere InformationenGlobale Portregeln aus Gruppenrichtlinien zusammengeführt
Baselinestandard: Ja
Weitere InformationenFirewall aktiviert
Baselinestandard: Zulässig
Weitere InformationenVerbindungssicherheitsregeln aus gruppenrichtlinien nicht zusammengeführt
Baselinestandard: Ja
Weitere InformationenEingehender Datenverkehr erforderlich
Baselinestandard: Ja
Weitere InformationenRichtlinienregeln aus Gruppenrichtlinien nicht zusammengeführt
Baselinestandard: Ja
Weitere Informationen
- Stealth-Modus blockiert
Baselinestandard: Ja
Weitere Informationen
Firewallprofildomäne
Baselinestandard: Konfigurieren
Weitere InformationenUnicastantworten auf Multicastübertragungen erforderlich
Baselinestandard: Ja
Weitere InformationenAutorisierte Anwendungsregeln aus gruppenrichtlinien nicht zusammengeführt
Baselinestandard: Ja
Weitere InformationenEingehende Benachrichtigungen blockiert
Baselinestandard: Ja
Weitere InformationenGlobale Portregeln aus Gruppenrichtlinien zusammengeführt
Baselinestandard: Ja
Weitere InformationenFirewall aktiviert
Baselinestandard: Zulässig
Weitere InformationenVerbindungssicherheitsregeln aus gruppenrichtlinien nicht zusammengeführt
Baselinestandard: Ja
Weitere InformationenRichtlinienregeln aus Gruppenrichtlinien nicht zusammengeführt
Baselinestandard: Ja
Weitere Informationen
- Stealth-Modus blockiert
Baselinestandard: Ja
Weitere Informationen
Microsoft Defender
Aktivieren des Echtzeitschutzes
Baselinestandard: Ja
Weitere InformationenZusätzlicher Zeitaufwand (0 bis 50 Sekunden) zum Verlängern des Cloudschutztimeouts
Baselinestandard: 50
Weitere InformationenAlle heruntergeladenen Dateien und Anlagen überprüfen
Baselinestandard: Ja
Weitere InformationenScantyp
Baselinestandard: Schnellüberprüfung
Weitere InformationenDefender-Zeitplanüberprüfungstag:
Baselinestandard: TäglichStartzeit der Defender-Überprüfung:
Baselinestandard: Nicht konfiguriertDefender-Beispieleinwilligung für die Übermittlung
Baselinestandard: Sichere Stichproben automatisch senden
Weitere InformationenVon der Cloud bereitgestellte Schutzebene
Baselinestandard: Hoch
Weitere InformationenÜberprüfen von Wechseldatenträgern während der vollständigen Überprüfung
Baselinestandard: Ja
Weitere InformationenDefender-Aktion bei möglicherweise unerwünschter App
Baselinestandard: Block
Weitere InformationenÜber die Cloud bereitgestellten Netzwerkschutz aktivieren
Baselinestandard: Ja
Weitere Informationen
Aktivieren des Echtzeitschutzes
Baselinestandard: Ja
Weitere InformationenZusätzlicher Zeitaufwand (0 bis 50 Sekunden) zum Verlängern des Cloudschutztimeouts
Baselinestandard: 50
Weitere InformationenAlle heruntergeladenen Dateien und Anlagen überprüfen
Baselinestandard: Ja
Weitere InformationenScantyp
Baselinestandard: Schnellüberprüfung
Weitere InformationenDefender-Beispieleinwilligung für die Übermittlung
Baselinestandard: Sichere Stichproben automatisch senden
Weitere InformationenVon der Cloud bereitgestellte Schutzebene
Baselinestandard: Hoch
Weitere InformationenÜberprüfen von Wechseldatenträgern während der vollständigen Überprüfung
Baselinestandard: Ja
Weitere InformationenDefender-Aktion bei möglicherweise unerwünschter App
Baselinestandard: Block
Weitere InformationenÜber die Cloud bereitgestellten Netzwerkschutz aktivieren
Baselinestandard: Ja
Weitere Informationen
Ausführen einer täglichen Schnellüberprüfung unter
Baselinestandard: 2:00 Uhr
Weitere InformationenStartzeit der geplanten Überprüfung
Baselinestandard: 2:00 UhrKonfigurieren einer niedrigen CPU-Priorität für geplante Überprüfungen
Baselinestandard: Ja
Weitere InformationenBlockieren der Erstellung untergeordneter Prozesse durch Office-Kommunikations-Apps
Baselinestandard: Aktivieren
Weitere InformationenAdobe Reader am Erstellen von untergeordneten Prozessen hindern
Baselinestandard: Aktivieren
Weitere InformationenÜberprüfen eingehender E-Mail-Nachrichten
Baselinestandard: Ja
Weitere InformationenAktivieren des Echtzeitschutzes
Baselinestandard: Ja
Weitere InformationenAnzahl der Tage (0-90) für die Aufbewahrung von schadsoftware unter Quarantäne
Baselinestandard: 0
Weitere InformationenZeitplan für die Überprüfung des Defender-Systems
Baselinestandard: Benutzerdefiniert
Weitere InformationenZusätzlicher Zeitaufwand (0 bis 50 Sekunden) zum Verlängern des Cloudschutztimeouts
Baselinestandard: 50
Weitere InformationenÜberprüfen zugeordneter Netzlaufwerke während einer vollständigen Überprüfung
Baselinestandard: Ja
Weitere InformationenNetzwerkschutz aktivieren
Baselinestandard: Ja
Weitere InformationenAlle heruntergeladenen Dateien und Anlagen überprüfen
Baselinestandard: Ja
Weitere InformationenZugriffsschutz blockieren
Baselinestandard: Nicht konfiguriert
Weitere InformationenBrowserskripts überprüfen
Baselinestandard: Ja
Weitere InformationenBlockieren des Benutzerzugriffs auf Microsoft Defender-App
Baselinestandard: Ja
Weitere InformationenMaximal zulässige CPU-Auslastung (0–100 Prozent) pro Scan
Baselinestandard: 50
Weitere InformationenScantyp
Baselinestandard: Schnellüberprüfung
Weitere InformationenGeben Sie ein, wie oft (0 bis 24 Stunden) nach Security Intelligence-Updates gesucht werden soll.
Baselinestandard: 8
Weitere InformationenDefender-Beispieleinwilligung für die Übermittlung
Baselinestandard: Sichere Stichproben automatisch senden
Weitere InformationenVon der Cloud bereitgestellte Schutzebene
Baselinestandard: *Nicht konfiguriert
Weitere InformationenArchivdateien überprüfen
Baselinestandard: Ja
Weitere InformationenAktivieren der Verhaltensüberwachung
Baselinestandard: Ja
Weitere InformationenÜberprüfen von Wechseldatenträgern während der vollständigen Überprüfung
Baselinestandard: Ja
Weitere InformationenÜberprüfen von Netzwerkdateien
Baselinestandard: Ja
Weitere InformationenDefender-Aktion bei möglicherweise unerwünschter App
Baselinestandard: Block
Weitere InformationenÜber die Cloud bereitgestellten Netzwerkschutz aktivieren
Baselinestandard: Ja
Weitere InformationenOffice-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern
Baselinestandard: Block
Weitere InformationenOffice-Anwendungen am Erstellen ausführbarer Inhalte hindern
Baselinestandard: Block
Weitere InformationenJavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern
Baselinestandard: Block
Weitere InformationenAktivieren des Netzwerkschutzes
Baselinestandard: Überwachungsmodus
Weitere InformationenNicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren
Baselinestandard: Block
Weitere InformationenDiebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren
Baselinestandard: Aktivieren
Weitere InformationenHerunterladen ausführbarer Inhalte von E-Mail- und Webmailclients blockieren
Baselinestandard: Block
Weitere InformationenAlle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern
Baselinestandard: Block
Weitere InformationenBlockieren der Ausführung potenziell verschleierter Skripts (js/vbs/ps)
Baselinestandard: Block
Weitere InformationenWin32-API-Aufrufe von Office-Makro blockieren
Baselinestandard: Block
Weitere Informationen
Ausführen einer täglichen Schnellüberprüfung unter
Baselinestandard: 2:00 Uhr
Weitere InformationenStartzeit der geplanten Überprüfung
Baselinestandard: 2:00 UhrKonfigurieren einer niedrigen CPU-Priorität für geplante Überprüfungen
Baselinestandard: Ja
Weitere InformationenBlockieren der Erstellung untergeordneter Prozesse durch Office-Kommunikations-Apps
Baselinestandard: Aktivieren
Weitere InformationenAdobe Reader am Erstellen von untergeordneten Prozessen hindern
Baselinestandard: Aktivieren
Weitere InformationenÜberprüfen eingehender E-Mail-Nachrichten
Baselinestandard: Ja
Weitere InformationenAktivieren des Echtzeitschutzes
Baselinestandard: Ja
Weitere InformationenAnzahl der Tage (0-90) für die Aufbewahrung von schadsoftware unter Quarantäne
Baselinestandard: 0
Weitere InformationenZeitplan für die Überprüfung des Defender-Systems
Baselinestandard: Benutzerdefiniert
Weitere InformationenZusätzlicher Zeitaufwand (0 bis 50 Sekunden) zum Verlängern des Cloudschutztimeouts
Baselinestandard: 50
Weitere InformationenÜberprüfen zugeordneter Netzlaufwerke während einer vollständigen Überprüfung
Baselinestandard: Ja
Weitere InformationenNetzwerkschutz aktivieren
Baselinestandard: Ja
Weitere InformationenAlle heruntergeladenen Dateien und Anlagen überprüfen
Baselinestandard: Ja
Weitere InformationenZugriffsschutz blockieren
Baselinestandard: Nicht konfiguriert
Weitere InformationenBrowserskripts überprüfen
Baselinestandard: Ja
Weitere InformationenBlockieren des Benutzerzugriffs auf Microsoft Defender-App
Baselinestandard: Ja
Weitere InformationenMaximal zulässige CPU-Auslastung (0–100 Prozent) pro Scan
Baselinestandard: 50
Weitere InformationenScantyp
Baselinestandard: Schnellüberprüfung
Weitere InformationenGeben Sie ein, wie oft (0 bis 24 Stunden) nach Security Intelligence-Updates gesucht werden soll.
Baselinestandard: 8
Weitere InformationenDefender-Beispieleinwilligung für die Übermittlung
Baselinestandard: Sichere Stichproben automatisch senden
Weitere InformationenVon der Cloud bereitgestellte Schutzebene
Baselinestandard: *Nicht konfiguriert
Weitere InformationenArchivdateien überprüfen
Baselinestandard: Ja
Weitere InformationenAktivieren der Verhaltensüberwachung
Baselinestandard: Ja
Weitere InformationenÜberprüfen von Wechseldatenträgern während der vollständigen Überprüfung
Baselinestandard: Ja
Weitere InformationenÜberprüfen von Netzwerkdateien
Baselinestandard: Ja
Weitere InformationenDefender-Aktion bei möglicherweise unerwünschter App
Baselinestandard: Block
Weitere InformationenÜber die Cloud bereitgestellten Netzwerkschutz aktivieren
Baselinestandard: Ja
Weitere InformationenOffice-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern
Baselinestandard: Block
Weitere InformationenOffice-Anwendungen am Erstellen ausführbarer Inhalte hindern
Baselinestandard: Block
Weitere InformationenJavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern
Baselinestandard: Block
Weitere InformationenAktivieren des Netzwerkschutzes
Baselinestandard: Überwachungsmodus
Weitere InformationenNicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren
Baselinestandard: Block
Weitere InformationenDiebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren
Baselinestandard: Aktivieren
Weitere InformationenHerunterladen ausführbarer Inhalte von E-Mail- und Webmailclients blockieren
Baselinestandard: Block
Weitere InformationenAlle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern
Baselinestandard: Block
Weitere InformationenBlockieren der Ausführung potenziell verschleierter Skripts (js/vbs/ps)
Baselinestandard: Block
Weitere InformationenWin32-API-Aufrufe von Office-Makro blockieren
Baselinestandard: Block
Weitere Informationen
Microsoft Defender Security Center
- Blockieren der Bearbeitung der Exploit Guard-Schutzschnittstelle durch Benutzer
Baselinestandard: Ja
Weitere Informationen
SmartScreen
Blockieren, dass Benutzer SmartScreen-Warnungen ignorieren
Baselinestandard: Ja
Weitere InformationenAktivieren von Windows SmartScreen
Baselinestandard: Ja
Weitere InformationenSmartScreen für Microsoft Edge erforderlich
Baselinestandard: Ja
Weitere InformationenBlockieren des Zugriffs auf schädliche Websites
Baselinestandard: Ja
Weitere InformationenHerunterladen nicht überprüfter Dateien blockieren
Baselinestandard: Ja
Weitere InformationenKonfigurieren von Microsoft Defender SmartScreen
Baselinestandard: AktiviertUmgehen von Microsoft Defender SmartScreen-Eingabeaufforderungen für Websites verhindern
Baselinestandard: AktiviertUmgehung von Microsoft Defender SmartScreen-Warnungen zu Downloads verhindern
Baselinestandard: AktiviertKonfigurieren von Microsoft Defender SmartScreen zum Blockieren potenziell unerwünschter Apps
Baselinestandard: Aktiviert
Nur Apps aus dem Store anfordern
Baselinestandard: JaAktivieren von Windows SmartScreen
Baselinestandard: Ja
Weitere Informationen
Windows Hello for Business
Weitere Informationen finden Sie unter PassportForWork CSP in der Windows-Dokumentation.
Windows Hello for Business blockieren
Baselinestandard: DeaktiviertKleinbuchstaben in PIN Baselinestandard: Zulässig
Sonderzeichen in PIN Baselinestandard: Zulässig
Großbuchstaben in PIN Baselinestandard: Zulässig
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für