Configurações do Windows que você pode gerenciar por meio de um perfil do Intune Endpoint Protection

  • Artigo

Observação

O Intune pode dar suporte a mais configurações do que as configurações listadas neste artigo. Nem todas as configurações estão documentadas e não serão documentadas. Para ver as configurações que você pode configurar, crie uma política de configuração de dispositivo e selecione Catálogo de Configurações. Para obter mais informações, acesse Catálogo de configurações.

Microsoft Intune inclui muitas configurações para ajudar a proteger seus dispositivos. Este artigo descreve as configurações no modelo de proteção de ponto de extremidade de configuração do dispositivo. Para gerenciar a segurança do dispositivo, você também pode usar políticas de segurança de ponto de extremidade, que se concentram diretamente em subconjuntos de segurança do dispositivo. Para configurar Microsoft Defender Antivírus, consulte Restrições de dispositivo Windows ou usar a política antivírus de segurança do ponto de extremidade.

Antes de começar

Crie um perfil de configuração de dispositivo de proteção de ponto de extremidade.

Para obter mais informações sobre CSPs (provedores de serviços de configuração), consulte Referência do provedor de serviços de configuração.

Microsoft Defender Application Guard

Para o Microsoft Edge, Microsoft Defender Application Guard protege seu ambiente contra sites que não são confiáveis pela sua organização. Com Application Guard, sites que não estão no limite de rede isolado são abertos em uma sessão de navegação virtual do Hyper-V. Sites confiáveis são definidos por um limite de rede, que está configurado na Configuração do Dispositivo. Para obter mais informações, consulte Criar um limite de rede em dispositivos Windows.

Application Guard só está disponível para dispositivos Windows de 64 bits. O uso desse perfil instala um componente Win32 para ativar Application Guard.

  • Application Guard
    Padrão: não configurado
    Application Guard CSP: Configurações/AllowWindowsDefenderApplicationGuard

    • Habilitado para o Edge – ativa esse recurso, que abre sites não confiáveis em um contêiner de navegação virtualizado do Hyper-V.
    • Não configurado – qualquer site (confiável e não confiável) pode ser aberto no dispositivo.

  • Comportamento da área de transferência
    Padrão: não configurado
    Application Guard CSP: Configurações/clipboardSettings

    Escolha quais ações de cópia e colagem são permitidas entre o computador local e o navegador virtual Application Guard.

    • Não configurado
    • Permitir copiar e colar somente do computador para o navegador
    • Permitir copiar e colar somente do navegador para o computador
    • Permitir copiar e colar entre o computador e o navegador
    • Bloquear cópia e colar entre o computador e o navegador

  • Conteúdo da área de transferência
    Essa configuração só está disponível quando o comportamento da área de transferência é definido como uma das configurações de permissão .
    Padrão: não configurado
    Application Guard CSP: Configurações/ClipboardFileType

    Selecione o conteúdo da área de transferência permitido.

    • Não configurado
    • Text
    • Imagens
    • Texto e imagens

  • Conteúdo externo em sites empresariais
    Padrão: não configurado
    Application Guard CSP: Configurações/BlockNonEnterpriseContent

    • Bloquear – bloquear o conteúdo de sites não aprovados do carregamento.
    • Não configurado – sites não empresariais podem ser abertos no dispositivo.

  • Imprimir do navegador virtual
    Padrão: não configurado
    Application Guard CSP: Configurações/PrintingSettings

    • Permitir – permite a impressão de conteúdo selecionado no navegador virtual.
    • Não configurado Desabilite todos os recursos de impressão.

    Ao permitir a impressão, você poderá configurar a seguinte configuração:

    • Tipos de impressão Selecione uma ou mais das seguintes opções:
      • PDF
      • XPS
      • Impressoras locais
      • Impressoras de rede

  • Coletar logs
    Padrão: não configurado
    Application Guard CSP: Auditoria/AuditApplicationGuard

    • Permitir – Coletar logs para eventos que ocorrem em uma sessão de navegação Application Guard.
    • Não configurado – Não colete nenhum log na sessão de navegação.

  • Reter dados do navegador gerados pelo usuário
    Padrão: não configurado
    Application Guard CSP: Configurações/AllowPersistence

    • Permitir Salve dados do usuário (como senhas, favoritos e cookies) criados durante uma sessão de navegação virtual Application Guard.
    • Não configurado Descarte arquivos e dados baixados pelo usuário quando o dispositivo for reiniciado ou quando um usuário sair.

  • Aceleração gráfica
    Padrão: não configurado
    Application Guard CSP: Configurações/AllowVirtualGPU

    • Habilitar – Carregue sites e vídeos com uso intensivo gráfico mais rapidamente, obtendo acesso a uma unidade de processamento de gráficos virtuais.
    • Não configurado Use a CPU do dispositivo para gráficos; Não use a unidade de processamento de gráficos virtuais.

  • Baixar arquivos para hospedar o sistema de arquivos
    Padrão: não configurado
    Application Guard CSP: Configurações/SaveFilesToHost

    • Habilitar – os usuários podem baixar arquivos do navegador virtualizado no sistema operacional host.
    • Não configurado – mantém os arquivos locais no dispositivo e não baixa arquivos para o sistema de arquivos do host.

Firewall do Windows

Configurações globais

Essas configurações são aplicáveis a todos os tipos de rede.

  • Protocolo de transferência de arquivo
    Padrão: não configurado
    Firewall CSP: MdmStore/Global/DisableStatefulFtp

    • Bloquear – Desabilitar FTP com estado.
    • Não configurado – o firewall faz filtragem FTP com estado para permitir conexões secundárias.

  • Tempo ocioso da associação de segurança antes da exclusão
    Padrão: não configurado
    Firewall CSP: MdmStore/Global/SaIdleTime

    Especifique um tempo ocioso em segundos, após o qual as associações de segurança são excluídas.

  • Codificação de chave pré-compartilhada
    Padrão: não configurado
    Firewall CSP: MdmStore/Global/PresharedKeyEncoding

    • Habilitar - Codificar chaves pré-ouvidas usando UTF-8.
    • Não configurado – Codificar chaves pré-ouvidas usando o valor do repositório local.

  • Isenções IPsec
    Padrão: 0 selecionado
    Firewall CSP: MdmStore/Global/IPsecExempt

    Selecione um ou mais dos seguintes tipos de tráfego a serem isentos do IPsec:

    • Vizinhos descobrem códigos de tipo IPv6 ICMP
    • ICMP
    • Descobrir códigos de tipo IPv6 ICMP do roteador
    • Tráfego de rede DHCP IPv4 e IPv6

  • Verificação da lista de revogação de certificado
    Padrão: não configurado
    Firewall CSP: MdmStore/Global/CRLcheck

    Escolha como o dispositivo verifica a lista de revogação de certificado. As opções são:

    • Desabilitar a verificação de CRL
    • Falha na verificação de CRL somente no certificado revogado
    • Falha na verificação de CRL em qualquer erro encontrado.

  • Conjunto de autenticação de correspondência oportunista por módulo de chave
    Padrão: não configurado
    Firewall CSP: MdmStore/Global/OportunistaAllyMatchAuthSetPerKM

    • Permitir Os módulos de chave devem ignorar apenas os pacotes de autenticação que eles não dão suporte.
    • Não configurados, os módulos keying devem ignorar todo o conjunto de autenticação se não derem suporte a todos os pacotes de autenticação especificados no conjunto.

  • Enfileiramento de pacotes
    Padrão: não configurado
    Firewall CSP: MdmStore/Global/EnablePacketQueue

    Especifique como o dimensionamento de software no lado de recebimento está habilitado para o recebimento criptografado e desmarque o texto para o cenário do gateway de túnel IPsec. Essa configuração confirma que a ordem do pacote está preservada. As opções são:

    • Não configurado
    • Desabilitar toda a fila de pacotes
    • Somente pacotes criptografados de entrada da fila
    • Pacotes de fila após a descriptografia são executados somente para encaminhamento
    • Configurar pacotes de entrada e saída

Configurações de rede

As seguintes configurações são listadas neste artigo uma única vez, mas todas se aplicam aos três tipos de rede específicos:

  • Rede de domínio (local de trabalho)
  • Rede privada (detectável)
  • Rede pública (não detectável)

Geral

  • Firewall do Windows
    Padrão: não configurado
    Firewall CSP: EnableFirewall

    • Habilitar – ative o firewall e a segurança avançada.
    • Não configurado Permite todo o tráfego de rede, independentemente de qualquer outra configuração de política.

  • Modo furtivo
    Padrão: não configurado
    Firewall CSP: DisableStealthMode

    • Não configurado
    • Bloco – o firewall está impedido de operar no modo furtivo. Bloquear o modo furtivo permite que você também bloqueie a isenção de pacote protegido do IPsec.
    • Permitir – o firewall opera no modo furtivo, o que ajuda a evitar respostas a solicitações de sondagem.

  • Isenção de pacote protegido do IPsec com o Modo Furtivo
    Padrão: não configurado
    Firewall CSP: DisableStealthModeIpsecSecuredPacketExemption

    Essa opção será ignorada se o modo Stealth estiver definido como Bloquear.

    • Não configurado
    • Bloquear – pacotes protegidos por IPSec não recebem isenções.
    • Permitir – Habilitar isenções. O modo furtivo do firewall NÃO DEVE impedir que o computador host responda ao tráfego de rede não solicitado protegido pelo IPsec.

  • Blindado
    Padrão: não configurado
    CSP do firewall: protegido

    • Não configurado
    • Bloquear – quando o Firewall do Windows estiver ativado e essa configuração estiver definida como Bloquear, todo o tráfego de entrada será bloqueado, independentemente de outras configurações de política.
    • Permitir - Quando definido como Permitir, essa configuração é desativada – e o tráfego de entrada é permitido com base em outras configurações de política.

  • Respostas unicast a transmissões multicast
    Padrão: não configurado
    Firewall CSP: DisableUnicastResponsesToMulticastBroadcast

    Normalmente, você não deseja receber respostas unicast para mensagens multicast ou de transmissão. Essas respostas podem indicar um ataque DE (negação de serviço) ou um invasor tentando investigar um computador ao vivo conhecido.

    • Não configurado
    • Bloquear – Desabilitar respostas unicast a transmissões multicast.
    • Permitir – permitir respostas unicast a transmissões multicast.

  • Notificações de entrada
    Padrão: não configurado
    CSP do Firewall: DesabilitarInboundNotifications

    • Não configurado
    • Bloquear – ocultar notificações a serem usadas quando um aplicativo é impedido de ouvir em uma porta.
    • Permitir – Habilita essa configuração e pode mostrar uma notificação aos usuários quando um aplicativo está impedido de ouvir em uma porta.

  • Ação padrão para conexões de saída
    Padrão: não configurado
    CSP do Firewall: DefaultOutboundAction

    Configure o firewall de ação padrão executado em conexões de saída. Essa configuração será aplicada à versão 1809 do Windows e acima.

    • Não configurado
    • Bloquear – A ação de firewall padrão não é executada no tráfego de saída, a menos que seja explicitamente especificada para não bloquear.
    • Permitir – As ações de firewall padrão são executadas em conexões de saída.

  • Ação padrão para conexões de entrada
    Padrão: não configurado
    CSP do Firewall: DefaultInboundAction

    • Não configurado
    • Bloquear – a ação de firewall padrão não é executada em conexões de entrada.
    • Permitir – ações de firewall padrão são executadas em conexões de entrada.

Mesclagem de regra

  • Regras do Firewall do Windows do aplicativo autorizado do repositório local
    Padrão: não configurado
    Firewall CSP: AuthAppsAllowUserPrefMerge

    • Não configurado
    • Bloquear – as regras de firewall de aplicativo autorizadas no repositório local são ignoradas e não impostas.
    • Permitir – Escolha Habilitar Aplica regras de firewall no repositório local para que elas sejam reconhecidas e impostas.

  • Regras de Firewall do Windows de porta global do repositório local
    Padrão: não configurado
    Firewall CSP: GlobalPortsAllowUserPrefMerge

    • Não configurado
    • Bloquear – as regras de firewall de porta global no repositório local são ignoradas e não impostas.
    • Permitir – Aplicar regras globais de firewall de porta no repositório local a serem reconhecidas e impostas.

  • Regras do Firewall do Windows da loja local
    Padrão: não configurado
    Firewall CSP: AllowLocalPolicyMerge

    • Não configurado
    • Bloquear – as regras de firewall do repositório local são ignoradas e não impostas.
    • Permitir – aplicar regras de firewall no repositório local para ser reconhecido e imposto.

  • Regras IPsec da loja local
    Padrão: não configurado
    Firewall CSP: AllowLocalIpsecPolicyMerge

    • Não configurado
    • Bloquear – as regras de segurança de conexão do repositório local são ignoradas e não impostas, independentemente da versão do esquema e da versão da regra de segurança de conexão.
    • Permitir – Aplicar regras de segurança de conexão do repositório local, independentemente das versões de regra de segurança de conexão ou esquema.

Regras de firewall

Você pode adicionar uma ou mais regras de Firewall personalizadas. Para obter mais informações, consulte Adicionar regras de firewall personalizadas para dispositivos Windows.

As regras de firewall personalizadas dão suporte às seguintes opções:

Configurações gerais

  • Nome
    Padrão: sem nome

    Especifique um nome amigável para sua regra. Esse nome aparecerá na lista de regras para ajudá-lo a identificá-lo.

  • Descrição
    Padrão: nenhuma descrição

    Forneça uma descrição da regra.

  • Direção
    Padrão: não configurado
    Firewall CSP: FirewallRules/FirewallRuleName/Direction

    Especifique se essa regra se aplica ao tráfego de entrada ou de saída . Quando definida como Não configurada, a regra se aplica automaticamente ao tráfego de saída.

  • Action
    Padrão: não configurado
    Firewall CSP: FirewallRules/FirewallRuleName/Action e FirewallRules/FirewallRuleName/Action/Type

    Selecione em Permitir ou Bloquear. Quando definida como Não configurada, a regra é padrão para permitir o tráfego.

  • Tipo de rede
    Padrão: 0 selecionado
    Firewall CSP: FirewallRules/FirewallRuleName/Profiles

    Selecione até três tipos de tipos de rede aos quais essa regra pertence. As opções incluem Domínio, Privado e Público. Se nenhum tipo de rede for selecionado, a regra se aplicará a todos os três tipos de rede.

Configurações de aplicativo

  • Aplicativos(s)
    Padrão: Todos

    Controlar conexões para um aplicativo ou programa. Aplicativos e programas podem ser especificados por caminho de arquivo, nome da família do pacote ou nome do serviço:

    • Nome da família de pacotes – especifique um nome de família de pacotes. Para localizar o nome da família de pacotes, use o comando Do PowerShell Get-AppxPackage.
      Firewall CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName

    • Caminho do arquivo – você deve especificar um caminho de arquivo para um aplicativo no dispositivo cliente, que pode ser um caminho absoluto ou um caminho relativo. Por exemplo: C:\Windows\System\Notepad.exe ou %WINDIR%\Notepad.exe.
      Firewall CSP: FirewallRules/FirewallRuleName/App/FilePath

    • Serviço Windows – especifique o nome curto do serviço Windows se for um serviço e não um aplicativo que envie ou receba tráfego. Para localizar o nome curto do serviço, use o comando Get-Service do PowerShell.
      Firewall CSP: FirewallRules/FirewallRuleName/App/ServiceName

    • Tudo: nenhuma configuração é necessária

Configurações de endereço IP

Especifique os endereços locais e remotos aos quais essa regra se aplica.

  • Endereços locais
    Padrão: Qualquer endereço
    Firewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges

    Selecione Qualquer endereço ou endereço especificado.

    Ao usar o endereço especificado, você adiciona um ou mais endereços como uma lista separada por vírgulas de endereços locais que são cobertos pela regra. Os tokens válidos incluem:

    • Use um asterisco * para qualquer endereço local. Se você usar um asterisco, ele deve ser o único token que você usa.
    • Especifique uma sub-rede pela máscara de sub-rede ou pela notação de prefixo de rede. Se uma máscara de sub-rede ou um prefixo de rede não for especificado, a máscara de sub-rede será padrão para 255.255.255.255.
    • Um endereço IPv6 válido.
    • Um intervalo de endereços IPv4 no formato de "endereço inicial – endereço final" sem espaços incluídos.
    • Um intervalo de endereços IPv6 no formato de "endereço inicial – endereço final" sem espaços incluídos.

  • Endereços remotos
    Padrão: Qualquer endereço
    Firewall CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

    Selecione Qualquer endereço ou endereço especificado.

    Ao usar o endereço especificado, você adiciona um ou mais endereços como uma lista separada por vírgulas de endereços remotos que são cobertos pela regra. Os tokens não são sensíveis a casos. Os tokens válidos incluem:

    • Use um asterisco "*" para qualquer endereço remoto. Se você usar um asterisco, ele deve ser o único token que você usa.
    • Defaultgateway
    • DHCP
    • DNS
    • WINS
    • Intranet (com suporte nas versões do Windows 1809 e posteriores)
    • RmtIntranet (com suporte nas versões do Windows 1809 e posteriores)
    • Internet (com suporte nas versões do Windows 1809 e posteriores)
    • Ply2Renders (com suporte nas versões do Windows 1809 e posteriores)
    • LocalSubnet indica qualquer endereço local na sub-rede local.
    • Especifique uma sub-rede pela máscara de sub-rede ou pela notação de prefixo de rede. Se uma máscara de sub-rede ou um prefixo de rede não for especificado, a máscara de sub-rede será padrão para 255.255.255.255.
    • Um endereço IPv6 válido.
    • Um intervalo de endereços IPv4 no formato de "endereço inicial – endereço final" sem espaços incluídos.
    • Um intervalo de endereços IPv6 no formato de "endereço inicial – endereço final" sem espaços incluídos.

Configurações de porta e protocolo

Especifique as portas locais e remotas às quais essa regra se aplica.

Configuração avançada

  • Tipos de interface
    Padrão: 0 selecionado
    Firewall CSP: FirewallRules/FirewallRuleName/InterfaceTypes

    Selecione nas seguintes opções:

    • Acesso remoto
    • Sem fio
    • Rede de área local

  • Permitir apenas conexões desses usuários
    Padrão: todos os usuários (Padrões para todos os usos quando nenhuma lista é especificada)
    Firewall CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    Especifique uma lista de usuários locais autorizados para essa regra. Uma lista de usuários autorizados não poderá ser especificada se essa regra se aplicar a um serviço windows.

Microsoft Defender configurações do SmartScreen

O Microsoft Edge deve ser instalado no dispositivo.

  • SmartScreen para aplicativos e arquivos
    Padrão: não configurado
    SmartScreen CSP: SmartScreen/EnableSmartScreenInShell

    • Não configurado – desabilita o uso do SmartScreen.
    • Habilitar – habilitar o Windows SmartScreen para execução de arquivos e execução de aplicativos. O SmartScreen é um componente anti-phishing e anti-malware baseado em nuvem.

  • Execução de arquivos não verificados
    Padrão: não configurado
    SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell

    • Não configurado – Desabilita esse recurso e permite que os usuários finais executem arquivos que não foram verificados.
    • Bloquear – impedir que os usuários finais executem arquivos que não foram verificados pelo Windows SmartScreen.

Criptografia do Windows

Configurações do Windows

  • Criptografar dispositivos
    Padrão: não configurado
    CSP do BitLocker: RequireDeviceEncryption

    • Exigir – Solicitar que os usuários habilitem a criptografia do dispositivo. Dependendo da edição do Windows e da configuração do sistema, os usuários podem ser solicitados:
      • Para confirmar se a criptografia de outro provedor não está habilitada.
      • Seja necessário desativar a Criptografia de Unidade do BitLocker e, em seguida, ativar o BitLocker novamente.
    • Não configurado

    Se a criptografia do Windows estiver ativada enquanto outro método de criptografia estiver ativo, o dispositivo poderá se tornar instável.

Configurações de base do BitLocker

As configurações base são configurações universais do BitLocker para todos os tipos de unidades de dados. Essas configurações gerenciam quais tarefas de criptografia de unidade ou opções de configuração o usuário final pode modificar em todos os tipos de unidades de dados.

  • Aviso para outra criptografia de disco
    Padrão: não configurado
    BitLocker CSP: AllowWarningForOtherDiskEncryption

    • Bloquear – Desabilite o prompt de aviso se outro serviço de criptografia de disco estiver no dispositivo.
    • Não configurado – permitir que o aviso para outra criptografia de disco seja mostrado.

    Dica

    Para instalar o BitLocker automaticamente e silenciosamente em um dispositivo que está Microsoft Entra ingressado e executa o Windows 1809 ou posterior, essa configuração deve ser definida como Bloquear. Para obter mais informações, consulte Habilitar silenciosamente o BitLocker em dispositivos.

    Quando definido como Bloquear, você pode configurar a seguinte configuração:

    • Permitir que usuários padrão habilitem a criptografia durante Microsoft Entra junção
      Essa configuração só se aplica a dispositivos do Azure ADJ (ingressado em Microsoft Entra) e depende da configuração anterior, Warning for other disk encryption.
      Padrão: não configurado
      BitLocker CSP: AllowStandardUserEncryption

      • Permitir – usuários padrão (não administradores) podem habilitar a criptografia BitLocker quando conectados.
      • Não configurado , somente os administradores podem habilitar a criptografia BitLocker no dispositivo.

    Dica

    Para instalar o BitLocker automaticamente e silenciosamente em um dispositivo que está Microsoft Entra ingressado e executa o Windows 1809 ou posterior, essa configuração deve ser definida como Permitir. Para obter mais informações, consulte Habilitar silenciosamente o BitLocker em dispositivos.

  • Configurar métodos de criptografia
    Padrão: não configurado
    CSP do BitLocker: EncryptionMethodByDriveType

    • Habilitar – Configurar algoritmos de criptografia para o sistema operacional, dados e unidades removíveis.
    • Não configurado – o BitLocker usa o XTS-AES 128 bit como o método de criptografia padrão ou usa o método de criptografia especificado por qualquer script de configuração.

    Quando definido como Habilitar, você pode configurar as seguintes configurações:

    • Criptografia para unidades do sistema operacional
      Padrão: XTS-AES de 128 bits

      Escolha o método de criptografia para unidades do sistema operacional. Recomendamos que você use o algoritmo XTS-AES.

      • AES-CBC de 128 bits
      • AES-CBC de 256 bits
      • XTS-AES de 128 bits
      • XTS-AES de 256 bits

    • Criptografia para unidades de dados fixas
      Padrão: AES-CBC 128 bits

      Escolha o método de criptografia para unidades de dados fixas (internas). Recomendamos que você use o algoritmo XTS-AES.

      • AES-CBC de 128 bits
      • AES-CBC de 256 bits
      • XTS-AES de 128 bits
      • XTS-AES de 256 bits

    • Criptografia para unidades de dados removíveis
      Padrão: AES-CBC 128 bits

      Escolha o método de criptografia para unidades de dados removíveis. Se a unidade removível for usada com dispositivos que não estão em execução Windows 10/11, recomendamos que você use o algoritmo AES-CBC.

      • AES-CBC de 128 bits
      • AES-CBC de 256 bits
      • XTS-AES de 128 bits
      • XTS-AES de 256 bits

Configurações da unidade do sistema operacional BitLocker

Essas configurações se aplicam especificamente a unidades de dados do sistema operacional.

  • Autenticação adicional na inicialização
    Padrão: não configurado
    BitLocker CSP: SystemDrivesRequireStartupAuthentication

    • Exigir – configurar os requisitos de autenticação para inicialização de computador, incluindo o uso do TPM (Trusted Platform Module).
    • Não configurado – configure apenas opções básicas em dispositivos com um TPM.

    Quando definido como Obrigatório, você pode configurar as seguintes configurações:

    • BitLocker com chip TPM não compatível
      Padrão: não configurado

      • Bloquear – desabilitar o uso do BitLocker quando um dispositivo não tiver um chip TPM compatível.
      • Não configurado – os usuários podem usar o BitLocker sem um chip TPM compatível. O BitLocker pode exigir uma senha ou uma chave de inicialização.

    • Inicialização TPM compatível
      Padrão: permitir o TPM

      Configure se o TPM for permitido, necessário ou não permitido.

      • Permitir TPM
      • Não permitir O TPM
      • Exigir TPM

    • PIN de inicialização TPM compatível
      Padrão: permitir o PIN de inicialização com o TPM

      Escolha permitir, não permitir ou exigir o uso de um PIN de inicialização com o chip TPM. Habilitar um PIN de inicialização requer interação do usuário final.

      • Permitir PIN de inicialização com TPM
      • Não permitir o PIN de inicialização com O TPM
      • Exigir PIN de inicialização com TPM

      Dica

      Para instalar o BitLocker automaticamente e silenciosamente em um dispositivo que está Microsoft Entra ingressado e executa o Windows 1809 ou posterior, essa configuração não deve ser definida como Exigir PIN de inicialização com TPM. Para obter mais informações, consulte Habilitar silenciosamente o BitLocker em dispositivos.

    • Chave de inicialização TPM compatível
      Padrão: permitir a chave de inicialização com o TPM

      Escolha permitir, não permitir ou exigir o uso de uma chave de inicialização com o chip TPM. Habilitar uma chave de inicialização requer interação do usuário final.

      • Permitir a chave de inicialização com o TPM
      • Não permitir a chave de inicialização com o TPM
      • Exigir a chave de inicialização com o TPM

      Dica

      Para instalar o BitLocker automaticamente e silenciosamente em um dispositivo que está Microsoft Entra ingressado e executa o Windows 1809 ou posterior, essa configuração não deve ser definida como Exigir chave de inicialização com O TPM. Para obter mais informações, consulte Habilitar silenciosamente o BitLocker em dispositivos.

    • Chave de inicialização TPM compatível e PIN
      Padrão: permitir chave de inicialização e PIN com TPM

      Escolha permitir, não permitir ou exigir o uso de uma chave de inicialização e PIN com o chip TPM. Habilitar a chave de inicialização e o PIN requer interação do usuário final.

      • Permitir chave de inicialização e PIN com TPM
      • Não permitir a chave de inicialização e o PIN com o TPM
      • Exigir chave de inicialização e PIN com TPM

      Dica

      Para instalar o BitLocker automaticamente e silenciosamente em um dispositivo que está Microsoft Entra ingressado e executa o Windows 1809 ou posterior, essa configuração não deve ser definida como Exigir chave de inicialização e PIN com TPM. Para obter mais informações, consulte Habilitar silenciosamente o BitLocker em dispositivos.

  • Comprimento mínimo do PIN
    Padrão: não configurado
    CSP do BitLocker: SystemDrivesMinimumPINLength

    • Permitir Configure um comprimento mínimo para o PIN de inicialização do TPM.
    • Não configurado – os usuários podem configurar um PIN de inicialização de qualquer comprimento entre 6 e 20 dígitos.

    Quando definido como Habilitar, você pode configurar a seguinte configuração:

    • Caracteres mínimos
      Padrão: Não configurado BitLocker CSP: SystemDrivesMinimumPINLength

      Insira o número de caracteres necessários para o PIN de inicialização de 4-20.

  • Recuperação da unidade do sistema operacional
    Padrão: não configurado
    CSP do BitLocker: SystemDrivesRecoveryOptions

    • Habilitar – controlar como as unidades do sistema operacional protegidas pelo BitLocker se recuperam quando as informações de inicialização necessárias não estiverem disponíveis.
    • Não configurado – há suporte para opções de recuperação padrão, incluindo DRA. O usuário final pode especificar opções de recuperação. As informações de recuperação não fazem backup do AD DS.

    Quando definido como Habilitar, você pode configurar as seguintes configurações:

    • Agente de recuperação de dados baseado em certificado
      Padrão: não configurado

      • Bloquear – impedir o uso do agente de recuperação de dados com unidades do sistema operacional protegidas pelo BitLocker.
      • Não configurado – permitir que agentes de recuperação de dados sejam usados com unidades do sistema operacional protegidas pelo BitLocker.

    • Criação de usuário da senha de recuperação
      Padrão: permitir a senha de recuperação de 48 dígitos

      Escolha se os usuários são permitidos, necessários ou não autorizados a gerar uma senha de recuperação de 48 dígitos.

      • Permitir senha de recuperação de 48 dígitos
      • Não permitir senha de recuperação de 48 dígitos
      • Exigir senha de recuperação de 48 dígitos

    • Criação de usuário da chave de recuperação
      Padrão: permitir a chave de recuperação de 256 bits

      Escolha se os usuários são permitidos, necessários ou não autorizados a gerar uma chave de recuperação de 256 bits.

      • Permitir chave de recuperação de 256 bits
      • Não permitir a chave de recuperação de 256 bits
      • Exigir chave de recuperação de 256 bits

    • Opções de recuperação no assistente de instalação do BitLocker
      Padrão: não configurado

      • Bloquear – os usuários não podem ver e alterar as opções de recuperação. Quando definido como
      • Não configurado – os usuários podem ver e alterar as opções de recuperação ao ativar o BitLocker.

    • Salvar informações de recuperação do BitLocker para Microsoft Entra ID
      Padrão: não configurado

      • Habilitar – armazene as informações de recuperação do BitLocker para Microsoft Entra ID.
      • Não configurado – as informações de recuperação do BitLocker não são armazenadas no Microsoft Entra ID.

    • Informações de recuperação do BitLocker armazenadas em Microsoft Entra ID
      Padrão: Senhas de recuperação de backup e pacotes de chaves

      Configure quais partes das informações de recuperação do BitLocker são armazenadas em Microsoft Entra ID. Escolha entre:

      • Senhas de recuperação de backup e pacotes de chaves
      • Somente senhas de recuperação de backup

    • Rotação de senha de recuperação orientada pelo cliente
      Padrão: não configurado
      BitLocker CSP: ConfigureRecoveryPasswordRotation

      Essa configuração inicia uma rotação de senha de recuperação orientada pelo cliente após uma recuperação da unidade do sistema operacional (usando bootmgr ou WinRE).

      • Não configurado
      • Rotação de chaves desabilitada
      • Rotação de chaves habilitada para Microsoft Entra deices ingressadas
      • Rotação de chaves habilitada para Microsoft Entra ID e dispositivos híbridos ingressados

    • Armazenar informações de recuperação no Microsoft Entra ID antes de habilitar o BitLocker
      Padrão: não configurado

      Impedir que os usuários habilitem o BitLocker, a menos que o computador faça backup com êxito das informações de recuperação do BitLocker para Microsoft Entra ID.

      • Exigir – impedir que os usuários ativem o BitLocker, a menos que as informações de recuperação do BitLocker sejam armazenadas com êxito em Microsoft Entra ID.
      • Não configurado – os usuários podem ativar o BitLocker, mesmo que as informações de recuperação não sejam armazenadas com êxito em Microsoft Entra ID.

  • Mensagem de recuperação de pré-inicialização e URL
    Padrão: não configurado
    CSP do BitLocker: SystemDrivesRecoveryMessage

    • Habilitar – configure a mensagem e a URL exibidas na tela de recuperação da chave de pré-inicialização.
    • Não configurado – Desabilite esse recurso.

    Quando definido como Habilitar, você pode configurar a seguinte configuração:

    • Mensagem de recuperação de pré-inicialização
      Padrão: usar a mensagem de recuperação padrão e a URL

      Configure como a mensagem de recuperação de pré-inicialização é exibida aos usuários. Escolha entre:

      • Usar a mensagem de recuperação padrão e a URL
      • Usar mensagem de recuperação e URL vazias
      • Usar mensagem de recuperação personalizada
      • Usar URL de recuperação personalizada

Configurações de unidade de dados fixas do BitLocker

Essas configurações se aplicam especificamente a unidades de dados fixas.

  • Gravar acesso à unidade de dados fixa não protegida pelo BitLocker
    Padrão: não configurado
    CSP do BitLocker: FixedDrivesRequireEncryption

    • Bloquear – dê acesso somente leitura a unidades de dados que não estão protegidas pelo BitLocker.
    • Não configurado – Por padrão, leia e escreva acesso a unidades de dados que não estão criptografadas.

  • Recuperação de unidade fixa
    Padrão: não configurado
    CSP do BitLocker: FixedDrivesRecoveryOptions

    • Habilitar – controlar como as unidades fixas protegidas pelo BitLocker se recuperam quando as informações de inicialização necessárias não estiverem disponíveis.
    • Não configurado – Desabilite esse recurso.

    Quando definido como Habilitar, você pode configurar as seguintes configurações:

    • Agente de recuperação de dados
      Padrão: não configurado

      • Bloquear – impedir o uso do agente de recuperação de dados com o Editor de Política de unidades fixas protegido pelo BitLocker.
      • Não configurado – habilita o uso de agentes de recuperação de dados com unidades fixas protegidas pelo BitLocker.

    • Criação de usuário da senha de recuperação
      Padrão: permitir a senha de recuperação de 48 dígitos

      Escolha se os usuários são permitidos, necessários ou não autorizados a gerar uma senha de recuperação de 48 dígitos.

      • Permitir senha de recuperação de 48 dígitos
      • Não permitir senha de recuperação de 48 dígitos
      • Exigir senha de recuperação de 48 dígitos

    • Criação de usuário da chave de recuperação
      Padrão: permitir a chave de recuperação de 256 bits

      Escolha se os usuários são permitidos, necessários ou não autorizados a gerar uma chave de recuperação de 256 bits.

      • Permitir chave de recuperação de 256 bits
      • Não permitir a chave de recuperação de 256 bits
      • Exigir chave de recuperação de 256 bits

    • Opções de recuperação no assistente de instalação do BitLocker
      Padrão: não configurado

      • Bloquear – os usuários não podem ver e alterar as opções de recuperação. Quando definido como
      • Não configurado – os usuários podem ver e alterar as opções de recuperação ao ativar o BitLocker.

    • Salvar informações de recuperação do BitLocker para Microsoft Entra ID
      Padrão: não configurado

      • Habilitar – armazene as informações de recuperação do BitLocker para Microsoft Entra ID.
      • Não configurado – as informações de recuperação do BitLocker não são armazenadas no Microsoft Entra ID.

    • Informações de recuperação do BitLocker armazenadas em Microsoft Entra ID
      Padrão: Senhas de recuperação de backup e pacotes de chaves

      Configure quais partes das informações de recuperação do BitLocker são armazenadas em Microsoft Entra ID. Escolha entre:

      • Senhas de recuperação de backup e pacotes de chaves
      • Somente senhas de recuperação de backup

    • Armazenar informações de recuperação no Microsoft Entra ID antes de habilitar o BitLocker
      Padrão: não configurado

      Impedir que os usuários habilitem o BitLocker, a menos que o computador faça backup com êxito das informações de recuperação do BitLocker para Microsoft Entra ID.

      • Exigir – impedir que os usuários ativem o BitLocker, a menos que as informações de recuperação do BitLocker sejam armazenadas com êxito em Microsoft Entra ID.
      • Não configurado – os usuários podem ativar o BitLocker, mesmo que as informações de recuperação não sejam armazenadas com êxito em Microsoft Entra ID.

Configurações de unidade de dados removível do BitLocker

Essas configurações se aplicam especificamente a unidades de dados removíveis.

  • Gravar acesso à unidade de dados removível não protegida pelo BitLocker
    Padrão: não configurado
    BitLocker CSP: RemovableDrivesRequireEncryption

    • Bloquear – dê acesso somente leitura a unidades de dados que não estão protegidas pelo BitLocker.
    • Não configurado – Por padrão, leia e escreva acesso a unidades de dados que não estão criptografadas.

    Quando definido como Habilitar, você pode configurar a seguinte configuração:

    • Gravar acesso a dispositivos configurados em outra organização
      Padrão: não configurado

      • Bloquear – bloquear o acesso de gravação a dispositivos configurados em outra organização.
      • Não configurado – Negar acesso à gravação.

Microsoft Defender Exploit Guard

Use a proteção de exploração para gerenciar e reduzir a superfície de ataque de aplicativos usados por seus funcionários.

Redução de superfície de ataque

As regras de redução de superfície de ataque ajudam a evitar comportamentos que o malware costuma usar para infectar computadores com código mal-intencionado.

Regras de Redução de Superfície de Ataque

Para saber mais, consulte Regras de redução de superfície de ataque na documentação Microsoft Defender para Ponto de Extremidade.

Comportamento de mesclagem para regras de redução de superfície de ataque no Intune:

As regras de redução de superfície de ataque dão suporte a uma fusão de configurações de políticas diferentes, para criar um superconjunto de política para cada dispositivo. Somente as configurações que não estão em conflito são mescladas, enquanto as configurações que estão em conflito não são adicionadas ao superconjunto de regras. Anteriormente, se duas políticas incluíssem conflitos para uma única configuração, ambas as políticas seriam sinalizadas como em conflito e nenhuma configuração de nenhum dos perfis seria implantada.

O comportamento de mesclagem da regra de redução de superfície de ataque é o seguinte:

  • As regras de redução de superfície de ataque dos seguintes perfis são avaliadas para cada dispositivo a que as regras se aplicam:
    • Perfil de proteção de ponto de extremidade da política > de configuração > de dispositivos > Microsoft Defender Explorar a Redução de Superfície de Ataque do Guard >
    • Segurança do ponto de extremidade > Política > de redução de superfície de ataque Regras de redução de superfície de ataque
    • Linhas de base de segurança de segurança > do ponto de extremidade Microsoft Defender para Ponto de Extremidade regras de redução de superfície de ataque de linha de base>.>
  • Configurações que não têm conflitos são adicionadas a um superconjunto de política para o dispositivo.
  • Quando duas ou mais políticas têm configurações conflitantes, as configurações conflitantes não são adicionadas à política combinada. Configurações que não entram em conflito são adicionadas à política de superconjunto que se aplica a um dispositivo.
  • Somente as configurações para configurações conflitantes são retidas.

Configurações neste perfil:

  • Roubo de credencial de sinalizador do subsistema da autoridade de segurança local do Windows
    Padrão: não configurado
    Regra: bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)

    Ajude a impedir ações e aplicativos que normalmente são usados por malwares que buscam exploração para infectar computadores.

    • Não configurado
    • Habilitar - Roubo de credencial de sinalizador do subsistema da autoridade de segurança local do Windows (lsass.exe).
    • Somente Auditoria

  • Criação de processo do Adobe Reader (beta)
    Padrão: não configurado
    Regra: impedir o Adobe Reader de criar processos filho

    • Não configurado
    • Habilitar – bloquear processos filho que são criados a partir do Adobe Reader.
    • Somente Auditoria

Regras para evitar ameaças do Office Macro

Impedir que os aplicativos do Office executem as seguintes ações:

Regras para evitar ameaças de script

Bloqueie o seguinte para ajudar a evitar ameaças de script:

Regras para evitar ameaças de email

Bloqueie o seguinte para ajudar a evitar ameaças de email:

  • Execução de conteúdo executável (exe, dll, ps, js, vbs etc.) retirada do email (cliente webmail/email) (sem exceções)
    Padrão: não configurado
    Regra: bloquear o conteúdo executável do cliente de email e do webmail

    • Não configurado
    • Bloquear – Bloquear a execução de conteúdo executável (exe, dll, ps, js, vbs etc.) retirado do email (webmail/mail-client).
    • Somente Auditoria

Regras para proteger contra ransomware

Exceções de Redução de Superfície de Ataque

  • Arquivos e pasta a serem excluídos das regras de redução da superfície de ataque
    Defender CSP: AttackSurfaceReductionOnlyExclusions

    • Importe um arquivo .csv que contém arquivos e pastas para excluir das regras de redução da superfície de ataque.
    • Adicione arquivos ou pastas locais manualmente.

Importante

Para permitir a instalação e a execução adequadas de aplicativos LOB Win32, as configurações anti-malware devem excluir os seguintes diretórios de serem verificados:
Em computadores cliente X64:
C:\Arquivos de Programa (x86)\Microsoft Intune Extensão de Gerenciamento\Conteúdo
C:\windows\IMECache

Em computadores cliente X86:
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Para obter mais informações, consulte Recomendações de verificação de vírus para computadores Enterprise que estão executando versões com suporte no momento do Windows.

Acesso a pastas controladas

Ajude a proteger dados valiosos contra aplicativos mal-intencionados e ameaças, como ransomware.

  • Proteção de pastas
    Padrão: não configurado
    Defender CSP: HabilitarControlledFolderAccess

    Proteja arquivos e pastas contra alterações não autorizadas por aplicativos hostis.

    • Não configurado
    • Enable
    • Somente Auditoria
    • Bloquear modificação de disco
    • Modificação de disco de auditoria

    Quando você seleciona uma configuração diferente de Não configurada, você pode configurar:

    • Lista de aplicativos que têm acesso a pastas protegidas
      Defender CSP: ControlledFolderAccessAllowedApplications

      • Importe um arquivo .csv que contém uma lista de aplicativos.
      • Adicione aplicativos a essa lista manualmente.

    • Lista de pastas adicionais que precisam ser protegidas
      Defender CSP: ControlledFolderAccessProtectedFolders

      • Importe um arquivo .csv que contém uma lista de pastas.
      • Adicione pastas a essa lista manualmente.

Filtragem de rede

Bloquear conexões de saída de qualquer aplicativo para endereços IP ou domínios com baixa reputação. Há suporte para filtragem de rede no modo Audit e Block.

  • Proteção de rede
    Padrão: não configurado
    Defender CSP: EnableNetworkProtection

    A intenção dessa configuração é proteger os usuários finais de aplicativos com acesso a golpes de phishing, sites de exploração e conteúdo mal-intencionado na Internet. Ele também impede que navegadores de terceiros se conectem a sites perigosos.

    • Não configurado – Desabilite esse recurso. Usuários e aplicativos não são impedidos de se conectar a domínios perigosos. Os administradores não podem ver essa atividade no Central de Segurança do Microsoft Defender.
    • Habilitar - Ativar a proteção de rede e impedir que usuários e aplicativos se conectem a domínios perigosos. Os administradores podem ver essa atividade no Central de Segurança do Microsoft Defender.
    • Somente auditoria: – Usuários e aplicativos não estão impedidos de se conectar a domínios perigosos. Os administradores podem ver essa atividade no Central de Segurança do Microsoft Defender.

Proteção de exploração

  • Carregar XML
    Padrão: não configurado

    Para usar a Proteção de Exploração para proteger dispositivos contra explorações, crie um arquivo XML que inclua as configurações de mitigação de sistema e aplicativo desejadas. Há dois métodos para criar o arquivo XML:

    • PowerShell – use um ou mais cmdlets Get-ProcessMitigation, Set-ProcessMitigation e ConvertTo-ProcessMitigationPolicy PowerShell. Os cmdlets configuram as configurações de mitigação e exportam uma representação XML delas.

    • Central de Segurança do Microsoft Defender interface do usuário – no Central de Segurança do Microsoft Defender, selecione Controle do navegador & aplicativo e role até a parte inferior da tela resultante para encontrar a Proteção de Exploração. Primeiro, use as guias Configurações do Sistema e Configurações do Programa para configurar as configurações de mitigação. Em seguida, localize o link Exportar configurações na parte inferior da tela para exportar uma representação XML delas.

  • Edição do usuário da interface de proteção de exploração
    Padrão: não configurado
    ExploitGuard CSP: ExploitProtectionSettings

    • Bloquear – Carregar um arquivo XML que permite configurar restrições de memória, fluxo de controle e política. As configurações no arquivo XML podem ser usadas para bloquear um aplicativo de explorações.
    • Não configurado – nenhuma configuração personalizada é usada.

controle de aplicativo Microsoft Defender

Escolha aplicativos a serem auditados ou confiáveis para serem executados por Microsoft Defender Controle de Aplicativo. Componentes do Windows e todos os aplicativos da loja do Windows são automaticamente confiáveis para serem executados.

  • Políticas de integridade do código de controle de aplicativo
    Padrão: não configurado
    CSP: AppLocker CSP

    • Impor – escolha as políticas de integridade do código de controle do aplicativo para os dispositivos de seus usuários.

      Depois de habilitado em um dispositivo, o Controle de Aplicativo só pode ser desabilitado alterando o modo somente de Impor para Auditoria. A alteração do modo de Impor para Não Configurado resulta em Controle de Aplicativo continuando a ser imposto em dispositivos atribuídos.

    • Não configurado – o Controle de Aplicativo não é adicionado aos dispositivos. No entanto, as configurações que foram adicionadas anteriormente continuam a ser impostas em dispositivos atribuídos.

    • Somente auditoria – os aplicativos não estão bloqueados. Todos os eventos são registrados nos logs do cliente local.

      Observação

      Se você usar essa configuração, o comportamento do CSP do AppLocker atualmente solicitará que o usuário final reinicialize o computador quando uma política for implantada.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard protege contra ataques de roubo de credencial. Ele isola segredos para que apenas o software do sistema privilegiado possa acessá-los.

  • Credential Guard
    Padrão: Desabilitar
    DeviceGuard CSP

    • Desabilitar – Desative o Credential Guard remotamente, se ele estiver ativado anteriormente com a opção De bloqueio habilitado sem UEFI .

    • Habilitar com o bloqueio UEFI – o Credential Guard não pode ser desabilitado remotamente usando uma chave de registro ou uma política de grupo.

      Observação

      Se você usar essa configuração e depois quiser desabilitar o Credential Guard, deverá definir o Política de Grupo como Desabilitado. E desmarque fisicamente as informações de configuração UEFI de cada computador. Enquanto a configuração UEFI persistir, o Credential Guard estará habilitado.

    • Habilitar sem bloqueio UEFI – permite que o Credential Guard seja desabilitado remotamente usando Política de Grupo. Os dispositivos que usam essa configuração devem estar executando Windows 10 versão 1511 e mais recente ou Windows 11.

    Quando você habilita o Credential Guard, os seguintes recursos necessários também estão habilitados:

    • VBS (segurança baseada em virtualização)
      Ativa durante a próxima reinicialização. A segurança baseada em virtualização usa o Windows Hypervisor para fornecer suporte para serviços de segurança.
    • Inicialização segura com acesso à memória do diretório
      Ativa o VBS com proteções DMA (Inicialização Segura) e acesso direto à memória. As proteções DMA exigem suporte a hardware e só estão habilitadas em dispositivos configurados corretamente.

Central de Segurança do Microsoft Defender.

Central de Segurança do Microsoft Defender opera como um aplicativo ou processo separado de cada um dos recursos individuais. Ele exibe notificações por meio da Central de Ações. Ele atua como um coletor ou um único local para ver o status e executar alguma configuração para cada um dos recursos. Saiba mais nos documentos do Microsoft Defender.

Central de Segurança do Microsoft Defender aplicativo e notificações

Bloquear o acesso do usuário final às várias áreas do aplicativo Central de Segurança do Microsoft Defender. Ocultar uma seção também bloqueia notificações relacionadas.

  • Proteção contra vírus e ameaças
    Padrão: não configurado
    WindowsDefenderSecurityCenter CSP: DisableVirusUI

    Configure se os usuários finais puderem exibir a área de proteção contra vírus e ameaças no Central de Segurança do Microsoft Defender. Ocultar esta seção também bloqueará todas as notificações relacionadas à proteção contra vírus e ameaças.

    • Não configurado
    • Ocultar

  • Proteção de ransomware
    Padrão: não configurado
    WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

    Configure se os usuários finais puderem exibir a área de proteção do Ransomware no Central de Segurança do Microsoft Defender. Ocultar esta seção também bloqueará todas as notificações relacionadas à proteção do Ransomware.

    • Não configurado
    • Ocultar

  • Proteção de contas
    Padrão: não configurado
    WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI

    Configure se os usuários finais puderem exibir a área de proteção de conta no Central de Segurança do Microsoft Defender. Ocultar esta seção também bloqueará todas as notificações relacionadas à proteção de conta.

    • Não configurado
    • Ocultar

  • Firewall e proteção de rede
    Padrão: não configurado
    WindowsDefenderSecurityCenter CSP: DisableNetworkUI

    Configure se os usuários finais puderem exibir a área de proteção de rede e firewall na central de segurança Microsoft Defender. Ocultar esta seção também bloqueará todas as notificações relacionadas ao Firewall e à proteção de rede.

    • Não configurado
    • Ocultar

  • Controle de aplicativo e navegador
    Padrão: não configurado
    WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

    Configure se os usuários finais puderem exibir a área de controle de aplicativo e navegador na central de segurança do Microsoft Defender. Ocultar esta seção também bloqueará todas as notificações relacionadas ao controle de aplicativo e navegador.

    • Não configurado
    • Ocultar

  • Proteção de hardware
    Padrão: não configurado
    WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

    Configure se os usuários finais puderem exibir a área de proteção de hardware no Central de Segurança do Microsoft Defender. Ocultar esta seção também bloqueará todas as notificações relacionadas à proteção de hardware.

    • Não configurado
    • Ocultar

  • Desempenho e integridade do dispositivo
    Padrão: não configurado
    WindowsDefenderSecurityCenter CSP: DisableHealthUI

    Configure se os usuários finais puderem exibir a área de desempenho e integridade do dispositivo na central de segurança Microsoft Defender. Ocultar esta seção também bloqueará todas as notificações relacionadas ao desempenho e à integridade do dispositivo.

    • Não configurado
    • Ocultar

  • Opções familiares
    Padrão: não configurado
    WindowsDefenderSecurityCenter CSP: DisableFamilyUI

    Configure se os usuários finais puderem exibir a área opções família na central de segurança Microsoft Defender. Ocultar esta seção também bloqueará todas as notificações relacionadas às opções família.

    • Não configurado
    • Ocultar

  • Notificações das áreas exibidas do aplicativo
    Padrão: não configurado
    WindowsDefenderSecurityCenter CSP: Desabilitações

    Escolha quais notificações serão exibidas para usuários finais. As notificações não críticas incluem resumos de Microsoft Defender atividade antivírus, incluindo notificações quando as verificações forem concluídas. Todas as outras notificações são consideradas críticas.

    • Não configurado
    • Bloquear notificações não críticas
    • Bloquear todas as notificações

  • ícone Segurança do Windows Central na bandeja do sistema
    Padrão: Não configurado WindowsDefenderSecurityCenter CSP: HideWindowsSecurityNotificationAreaControl

    Configure a exibição do controle da área de notificação. O usuário precisa sair e entrar ou reiniciar o computador para que essa configuração entre em vigor.

    • Não configurado
    • Ocultar

  • Limpar o botão TPM
    Padrão: Não configurado WindowsDefenderSecurityCenter CSP: DisableClearTpmButton

    Configure a exibição do botão Limpar TPM.

    • Não configurado
    • Disable

  • Aviso de atualização de firmware do TPM
    Padrão: Não configurado WindowsDefenderSecurityCenter CSP: DisableTpmFirmwareUpdateWarning

    Configure a exibição da atualização do TPM Firmware quando um firmware vulnerável for detectado.

    • Não configurado
    • Ocultar

  • Proteção contra adulteração
    Padrão: não configurado

    Ative ou desative a Proteção contra Adulterações em dispositivos. Para usar a Proteção contra Adulteração, você deve integrar Microsoft Defender para Ponto de Extremidade ao Intune e ter Enterprise Mobility + Security Licenças E5.

    • Não configurado – nenhuma alteração é feita nas configurações do dispositivo.
    • Habilitado – a Proteção contra Adulteração é ativada e as restrições são impostas em dispositivos.
    • Desabilitado – a Proteção contra adulterações é desativada e as restrições não são impostas.

Informações de contato de TI

Forneça informações de contato de TI para aparecer no aplicativo Central de Segurança do Microsoft Defender e nas notificações do aplicativo.

Você pode optar por Exibir no aplicativo e em notificações, Exibir somente no aplicativo, Exibir somente em notificações ou Não exibir. Insira o nome da organização de TI e pelo menos uma das seguintes opções de contato:

  • Informações de contato de TI
    Padrão: não exibir
    WindowsDefenderSecurityCenter CSP: EnableCustomizedToasts

    Configure onde exibir informações de contato de TI para usuários finais.

    • Exibir no aplicativo e em notificações
    • Exibir somente no aplicativo
    • Exibir somente em notificações
    • Não exibir

    Quando configurado para exibição, você pode configurar as seguintes configurações:

    • Nome da organização de TI
      Padrão: não configurado
      WindowsDefenderSecurityCenter CSP: CompanyName

    • Número de telefone do departamento de TI ou ID do Skype
      Padrão: não configurado
      WindowsDefenderSecurityCenter CSP: Telefone

    • Endereço de email do departamento de TI
      Padrão: não configurado
      WindowsDefenderSecurityCenter CSP: Email

    • URL do site de suporte de TI
      Padrão: não configurado
      WindowsDefenderSecurityCenter CSP: URL

Opções de segurança do dispositivo local

Use essas opções para configurar as configurações de segurança local em dispositivos Windows 10/11.

Contas

  • Adicionar novas contas da Microsoft
    Padrão: não configurado
    CSP do LocalPoliciesSecurityOptions: Accounts_BlockMicrosoftAccounts

    • Bloco Impedir que os usuários adicionando novas contas da Microsoft ao dispositivo.
    • Não configurado – os usuários podem usar contas da Microsoft no dispositivo.

  • Logon remoto sem senha
    Padrão: não configurado
    CSP localPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Bloquear – permitir que apenas contas locais com senhas em branco entrem usando o teclado do dispositivo.
    • Não configurado – permitir que contas locais com senhas em branco entrem em locais diferentes do dispositivo físico.

Administrador

Guest

  • Conta de convidado
    Padrão: não configurado
    CSP localPoliciesSecurityOptions: LocalPoliciesSecurityOptions

    • Bloquear – impedir o uso de uma conta de convidado.
    • Não configurado

  • Renomear conta de convidado
    Padrão: não configurado
    CSP localPoliciesSecurityOptions: Accounts_RenameGuestAccount

    Defina um nome de conta diferente a ser associado ao SID (identificador de segurança) para a conta "Convidado".

Dispositivos

  • Desencaixar dispositivo sem logon
    Padrão: não configurado
    CSP localPoliciesSecurityOptions: Devices_AllowUndockWithoutHavingToLogon

    • Bloquear – um usuário deve entrar no dispositivo e receber permissão para desencaixar o dispositivo.
    • Não configurado – os usuários podem pressionar o botão de ejeção física de um dispositivo portátil encaixado para desencaixar o dispositivo com segurança.

  • Instalar drivers de impressora para impressoras compartilhadas
    Padrão: não configurado
    CSP localPoliciesSecurityOptions: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

    • Habilitado – qualquer usuário pode instalar um driver de impressora como parte da conexão com uma impressora compartilhada.
    • Não configurado – somente os administradores podem instalar um driver de impressora como parte da conexão com uma impressora compartilhada.

  • Restringir o acesso de CD-ROM ao usuário ativo local
    Padrão: não configurado
    CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

    • Habilitado – somente o usuário conectado interativamente pode usar a mídia CD-ROM. Se essa política estiver habilitada e ninguém estiver conectado interativamente, a CD-ROM será acessada pela rede.
    • Não configurado – qualquer pessoa tem acesso à CD-ROM.

  • Formatar e ejetar mídia removível
    Padrão: Administradores
    CSP: Devices_AllowedToFormatAndEjectRemovableMedia

    Defina quem tem permissão para formatar e ejetar mídia NTFS removível:

    • Não configurado
    • Administradores
    • Administradores e Usuários do Power
    • Administradores e usuários interativos

Logon interativo

  • Minutos de inatividade da tela de bloqueio até que o protetor de tela seja ativado
    Padrão: não configurado
    CSP do LocalPoliciesSecurityOptions: InteractiveLogon_MachineInactivityLimit

    Insira os minutos máximos de inatividade até que o protetor de tela seja ativado. (0 - 99999)

  • Exigir CTRL+ALT+DEL para fazer logon
    Padrão: não configurado
    CSP localPoliciesSecurityOptions: InteractiveLogon_DoNotRequireCTRLALTDEL

    • Habilitar – exigir que os usuários pressionem CTRL+ALT+DEL antes de fazer logon no Windows.
    • Não configurado – Não é necessário pressionar CTRL+ALT+DEL para que os usuários entrem.

  • Comportamento de remoção de cartão inteligente
    Padrão: Nenhuma Ação LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

    Determina o que acontece quando o cartão inteligente para um usuário conectado é removido do leitor de cartão inteligente. Suas opções:

    • Estação de trabalho de bloqueio – a estação de trabalho é bloqueada quando o cartão inteligente é removido. Essa opção permite que os usuários saiam da área, levem seus cartão inteligentes com eles e ainda mantenham uma sessão protegida.
    • Nenhuma ação
    • Forçar Logoff – o usuário é automaticamente conectado quando o cartão inteligente é removido.
    • Desconecte-se se uma sessão dos Serviços de Área de Trabalho Remota – a remoção do cartão inteligente desconectará a sessão sem fazer logon do usuário. Essa opção permite que o usuário insira o cartão inteligente e retome a sessão mais tarde ou em outro computador inteligente cartão equipado com leitor, sem precisar entrar novamente. Se a sessão for local, essa política funcionará de forma idêntica à Estação de Trabalho de Bloqueio.

Exibir

  • Informações do usuário na tela de bloqueio
    Padrão: não configurado
    CSP do LocalPoliciesSecurityOptions: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

    Configure as informações do usuário exibidas quando a sessão estiver bloqueada. Se não estiver configurado, o nome de exibição do usuário, o domínio e o nome de usuário serão mostrados.

    • Não configurado
    • Nome de exibição do usuário, domínio e nome de usuário
    • Somente nome de exibição de usuário
    • Não exiba informações do usuário

  • Ocultar o último usuário conectado
    Padrão: não configurado
    CSP localPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayLastSignedIn

    • Habilitar – ocultar o nome de usuário.
    • Não configurado – mostrar o último nome de usuário.

  • Ocultar nome de usuário nopadrão de entrada: não configurado
    CSP localPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayUsernameAtSignIn

    • Habilitar – ocultar o nome de usuário.
    • Não configurado – mostrar o último nome de usuário.

  • Título da mensagem de logon
    Padrão: não configurado
    CSP do LocalPoliciesSecurityOptions: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

    Defina o título da mensagem para os usuários que entrarem.

  • Texto da mensagem de logon
    Padrão: não configurado
    CSP do LocalPoliciesSecurityOptions: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

    Defina o texto da mensagem para os usuários que entrarem.

Acesso e segurança de rede

  • Acesso anônimo a pipes e compartilhamentos nomeados
    Padrão: não configurado
    CSP do LocalPoliciesSecurityOptions: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

    • Não configurado – restrinja o acesso anônimo a configurações de pipe nomeado e de compartilhamento. Aplica-se às configurações que podem ser acessadas anonimamente.
    • Bloquear – desabilitar essa política, disponibilizando o acesso anônimo.

  • Enumeração anônima de contas SAM
    Padrão: não configurado
    CSP do LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

    • Não configurado – usuários anônimos podem enumerar contas SAM.
    • Bloquear – impedir a enumeração anônima de contas SAM.

  • Enumeração anônima de contas e compartilhamentos sam
    Padrão: não configurado
    CSP do LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

    • Não configurado – usuários anônimos podem enumerar os nomes de contas de domínio e compartilhamentos de rede.
    • Bloquear – impedir a enumeração anônima de contas e compartilhamentos SAM.

  • Valor de hash do LAN Manager armazenado na alteração de senha
    Padrão: não configurado
    CSP do LocalPoliciesSecurityOptions: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

    Determine se o valor de hash para senhas será armazenado na próxima vez que a senha for alterada.

    • Não configurado – O valor de hash não é armazenado
    • Bloquear – O LM (LAN Manager) armazena o valor de hash da nova senha.

  • Solicitações de autenticação PKU2U
    Padrão: não configurado
    CSP localPoliciesSecurityOptions: NetworkSecurity_AllowPKU2UAuthenticationRequests

    • Não configurado- Permitir solicitações PU2U.
    • Bloquear – Bloquear solicitações de autenticação PKU2U para o dispositivo.

  • Restringir conexões remotas do RPC ao SAM
    Padrão: não configurado
    CSP localPoliciesSecurityOptions: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

    • Não configurado – use o descritor de segurança padrão, que pode permitir que usuários e grupos façam chamadas remotas do RPC para o SAM.

    • Permitir – Negar que usuários e grupos façam chamadas remotas do RPC para o SAM (Gerenciador de Contas de Segurança), que armazena contas de usuário e senhas. Permitir também permite que você altere a cadeia de caracteres SDDL (Linguagem de Definição de Descritor de Segurança) padrão para permitir ou negar explicitamente que usuários e grupos façam essas chamadas remotas.

      • Descritor de segurança
        Padrão: não configurado

  • Segurança mínima da sessão para clientes baseados em SSP NTLM
    Padrão: Nenhum
    CSP do LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

    Essa configuração de segurança permite que um servidor exija a negociação de criptografia de 128 bits e/ou segurança de sessão NTLMv2.

    • Nenhum
    • Exigir segurança da sessão NTLMv2
    • Exigir criptografia de 128 bits
    • Criptografia NTLMv2 e 128 bits

  • Segurança mínima da sessão para o servidor baseado em SSP do NTLM
    Padrão: Nenhum
    CSP localPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

    Essa configuração de segurança determina qual protocolo de autenticação de desafio/resposta é usado para logons de rede.

    • Nenhum
    • Exigir segurança da sessão NTLMv2
    • Exigir criptografia de 128 bits
    • Criptografia NTLMv2 e 128 bits

  • Nível de autenticação do LAN Manager
    Padrão: LM e NTLM
    CSP localPoliciesSecurityOptions: NetworkSecurity_LANManagerAuthenticationLevel

    • LM e NTLM
    • LM, NTLM e NTLMv2
    • NTLM
    • NTLMv2
    • NTLMv2 e não LM
    • NTLMv2 e não LM ou NTLM

  • Logons de convidado inseguros
    Padrão: não configurado
    LanmanWorkstation CSP: LanmanWorkstation

    Se você habilitar essa configuração, o cliente SMB rejeitará logons de convidado inseguros.

    • Não configurado
    • Bloquear – o cliente SMB rejeita logons de convidado inseguros.

Console de recuperação e desligamento

  • Limpar o arquivo de página de memória virtual ao desligar
    Padrão: não configurado
    CSP localPoliciesSecurityOptions: Shutdown_ClearVirtualMemoryPageFile

    • Habilitar – Desmarque o arquivo de página de memória virtual quando o dispositivo estiver desligado.
    • Não configurado – Não limpa a memória virtual.

  • Desligar sem fazer logon
    Padrão: não configurado
    CSP localPoliciesSecurityOptions: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

    • Bloquear – ocultar a opção de desligamento na tela de entrada do Windows. Os usuários devem entrar no dispositivo e, em seguida, desligar.
    • Não configurado – permitir que os usuários desliguem o dispositivo da tela de entrada do Windows.

Controle da conta de usuário

  • Integridade do UIA sem local seguro
    Padrão: não configurado
    CSP do LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Bloquear – Os aplicativos que estão em um local seguro no sistema de arquivos serão executados apenas com integridade do UIAccess.
    • Não configurado – permite que os aplicativos sejam executados com integridade do UIAccess, mesmo que os aplicativos não estejam em um local seguro no sistema de arquivos.

  • Virtualizar falhas de gravação de arquivo e registro em locais por usuário
    Padrão: não configurado
    CSP localPoliciesSecurityOptions: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

    • Habilitado – Os aplicativos que gravam dados em locais protegidos falham.
    • Não configurado – as falhas de gravação do aplicativo são redirecionadas em tempo de execução para locais de usuário definidos para o sistema de arquivos e o registro.

  • Apenas elevar arquivos executáveis que são assinados e validados
    Padrão: não configurado
    CSP do LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Habilitado – imponha a validação do caminho de certificação PKI para um arquivo executável antes que ele possa ser executado.
    • Não configurado – não imponha a validação do caminho de certificação PKI antes que um arquivo executável possa ser executado.

Comportamento de prompt de elevação do UIA

  • Prompt de elevação para administradores
    Padrão: solicitar consentimento para binários que não são do Windows
    CSP localPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

    Defina o comportamento do prompt de elevação para administradores no modo de aprovação Administração.

    • Não configurado
    • Elevar sem solicitar
    • Solicitar credenciais na área de trabalho segura
    • Solicitar credenciais
    • Solicitar consentimento
    • Solicitar consentimento para binários que não são do Windows

  • Prompt de elevação para usuários padrão
    Padrão: solicitar credenciais
    CSP localPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

    Defina o comportamento do prompt de elevação para usuários padrão.

    • Não configurado
    • Negar automaticamente solicitações de elevação
    • Solicitar credenciais na área de trabalho segura
    • Solicitar credenciais

  • Solicitações de elevação de rota para a área de trabalho interativa do usuário
    Padrão: não configurado
    CSP localPoliciesSecurityOptions: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

    • Habilitado – Todas as solicitações de elevação para acessar a área de trabalho do usuário interativo em vez da área de trabalho segura. Todas as configurações de política de comportamento prompt para administradores e usuários padrão são usadas.
    • Não configurado – Force todas as solicitações de elevação a ir para a área de trabalho segura, independentemente de qualquer configuração de política de comportamento prompt para administradores e usuários padrão.

  • Prompt elevado para instalações de aplicativo
    Padrão: não configurado
    CSP localPoliciesSecurityOptions: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

    • Habilitado – os pacotes de instalação do aplicativo não são detectados ou solicitados para elevação.
    • Não configurado – os usuários são solicitados a obter um nome de usuário administrativo e uma senha quando um pacote de instalação de aplicativo requer privilégios elevados.

  • Prompt de elevação do UIA sem área de trabalho segura
    Padrão: não configurado
    CSP do LocalPoliciesSecurityOptions: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

  • Habilitar – permitir que aplicativos UIAccess solicitem a elevação, sem usar a área de trabalho segura.

  • Não configurado – os prompts de elevação usam uma área de trabalho segura.

Modo de Aprovação Administração

  • Administração modo de aprovação para administrador interno
    Padrão: não configurado
    CSP localPoliciesSecurityOptions: UserAccountControl_UseAdminApprovalMode

    • Habilitado – permitir que a conta de administrador interna use Administração Modo de Aprovação. Qualquer operação que exija a elevação do privilégio solicita que o usuário aprove a operação.
    • Não configurado – executa todos os aplicativos com privilégios de administrador completos.

  • Executar todos os administradores no modo de aprovação Administração
    Padrão: não configurado
    CSP do LocalPoliciesSecurityOptions: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

    • Habilitado- Habilitar o modo de aprovação de Administração.
    • Não configurado – Desabilite Administração Modo de Aprovação e todas as configurações de política UAC relacionadas.

Cliente da Rede Microsoft

  • Assinar comunicações digitalmente (se o servidor concordar)
    Padrão: não configurado
    CSP localPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

    Determina se o cliente SMB negocia a assinatura do pacote SMB.

    • Bloquear – o cliente SMB nunca negocia a assinatura do pacote SMB.
    • Não configurado – o cliente de rede da Microsoft pede que o servidor execute a assinatura do pacote SMB após a instalação da sessão. Se a assinatura de pacote estiver habilitada no servidor, a assinatura do pacote será negociada.

  • Enviar senha não criptografada para servidores SMB de terceiros
    Padrão: não configurado
    CSP localPoliciesSecurityOptions: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

    • Bloquear – o redirecionador SMB (Server Message Block) pode enviar senhas de texto sem texto para servidores SMB que não são da Microsoft que não dão suporte à criptografia de senha durante a autenticação.
    • Não configurado – bloquear o envio de senhas de texto sem texto. As senhas são criptografadas.

  • Assinar comunicações digitalmente (sempre)
    Padrão: não configurado
    CSP localPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

    • Habilitar – o cliente de rede da Microsoft não se comunica com um servidor de rede da Microsoft, a menos que esse servidor concorde com a assinatura de pacoteS SMB.
    • Não configurado – a assinatura do pacote SMB é negociada entre o cliente e o servidor.

Microsoft Network Server

  • Assinar comunicações digitalmente (se o cliente concordar)
    Padrão: não configurado
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

    • Habilitar – o servidor de rede da Microsoft negocia a assinatura de pacoteS SMB conforme solicitado pelo cliente. Ou seja, se a assinatura de pacote estiver habilitada no cliente, a assinatura do pacote será negociada.
    • Não configurado – o cliente SMB nunca negocia a assinatura do pacote SMB.

  • Assinar comunicações digitalmente (sempre)
    Padrão: não configurado
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

    • Habilitar – o servidor de rede da Microsoft não se comunica com um cliente de rede da Microsoft, a menos que esse cliente concorde com a assinatura de pacoteS SMB.
    • Não configurado – a assinatura do pacote SMB é negociada entre o cliente e o servidor.

Serviços Xbox

Próximas etapas

O perfil foi criado, mas ainda não está fazendo nada. Em seguida, atribua o perfil e monitore seu status.

Configure as configurações de proteções de ponto de extremidade em dispositivos macOS .