Configurações do Windows 10 (e posterior) para proteger dispositivos usando o IntuneWindows 10 (and later) settings to protect devices using Intune

O Microsoft Intune inclui muitas configurações para ajudar a proteger seus dispositivos.Microsoft Intune includes many settings to help protect your devices. Este artigo descreve todas as configurações que você pode habilitar e definir em dispositivos Windows 10 e mais recente.This article describes all the settings you can enable and configure in Windows 10 and newer devices. Essas configurações são criadas em um perfil de configuração do Endpoint Protection no Intune para controle da segurança, incluindo o BitLocker e o Microsoft Defender.These settings are created in an endpoint protection configuration profile in Intune to control security, including BitLocker and Microsoft Defender.

Para configurar o Microsoft Defender Antivírus, confira Restrições de dispositivo do Windows 10.To configure Microsoft Defender Antivirus, see Windows 10 device restrictions.

Antes de começarBefore you begin

Crie um perfil de configuração do dispositivo do Endpoint Protection.Create an endpoint protection device configuration profile.

Para obter mais informações sobre provedores de serviços de configuração (CSPs), consulte referência do provedor de serviços de configuração.For more information about configuration service providers (CSPs), see Configuration service provider reference.

Microsoft Defender Application GuardMicrosoft Defender Application Guard

Ao usar o Microsoft Edge, o Microsoft Defender Application Guard protege seu ambiente contra sites que não são confiáveis para sua organização.While using Microsoft Edge, Microsoft Defender Application Guard protects your environment from sites that aren't trusted by your organization. Quando os usuários visitam sites que não estão listados no limite de rede isolada, os sites são abertos em uma sessão de navegação virtual do Hyper-V.When users visit sites that aren’t listed in your isolated network boundary, the sites open in a Hyper-V virtual browsing session. Os sites confiáveis são definidos por um limite de rede, que são configurados em Configuração do Dispositivo.Trusted sites are defined by a network boundary, which are configured in Device Configuration.

O Application Guard só está disponível para dispositivos Windows 10 (64 bits).Application Guard is only available for Windows 10 (64-bit) devices. Usar esse perfil instala um componente do Win32 para ativar o Application Guard.Using this profile installs a Win32 component to activate Application Guard.

  • Application GuardApplication Guard
    Padrão: não configuradoDefault: Not configured
    CSP do Application Guard: Settings/AllowWindowsDefenderApplicationGuardApplication Guard CSP: Settings/AllowWindowsDefenderApplicationGuard

    • Habilitado para Microsoft Edge – ative esse recurso, que abre sites não confiáveis em um contêiner de navegação virtualizado do Hyper-V.Enabled for Edge - Turns on this feature, which opens untrusted sites in a Hyper-V virtualized browsing container.
    • Não configurado -qualquer site (confiável e não confiável) pode ser aberto no dispositivo.Not configured - Any site (trusted and untrusted) can open on the device.
  • Comportamento da área de transferênciaClipboard behavior
    Padrão: não configuradoDefault: Not configured
    CSP do Application Guard: configurações/ClipboardSettingsApplication Guard CSP: Settings/ClipboardSettings

    Escolha quais ações de copiar e colar são permitidas entre o computador local e o navegador virtual do Application Guard.Choose what copy and paste actions are allowed between the local PC and the Application Guard virtual browser.

    • Não configuradoNot configured
    • Permitir copiar e colar do PC para o navegador somenteAllow copy and paste from PC to browser only
    • Permitir copiar e colar do navegador para o PC somenteAllow copy and paste from browser to PC only
    • Permitir copiar e colar entre PC e navegadorAllow copy and paste between PC and browser
    • Bloquear copiar e colar entre PC e navegadorBlock copy and paste between PC and browser
  • Conteúdo da área de transferênciaClipboard content
    Essa configuração está disponível somente quando o comportamento da área de transferência é definido como uma das configurações de permissão .This setting is available only when Clipboard behavior is set to one of the allow settings.
    Padrão: não configuradoDefault: Not configured
    CSP do Application Guard: configurações/ClipboardFileTypeApplication Guard CSP: Settings/ClipboardFileType

    Selecione o conteúdo da área de transferência permitido.Select the allowed clipboard content.

    • Não configuradoNot configured
    • TextText
    • ImagensImages
    • Texto e imagensText and images
  • Conteúdo externo em sites empresariaisExternal content on enterprise sites
    Padrão: não configuradoDefault: Not configured
    CSP do Application Guard: configurações/BlockNonEnterpriseContentApplication Guard CSP: Settings/BlockNonEnterpriseContent

    • Bloquear – impede o carregamento do conteúdo de sites não aprovados.Block - Block content from unapproved websites from loading.
    • Não configurado – permite abrir sites não empresariais no dispositivo.Not configured - Non-enterprise sites can open on the device.
  • Imprimir por meio do navegador virtualPrint from virtual browser
    Padrão: não configuradoDefault: Not configured
    CSP do Application Guard: configurações/PrintingSettingsApplication Guard CSP: Settings/PrintingSettings

    • Permitir – permite a impressão do conteúdo selecionado do navegador virtual.Allow - Allows the printing of selected content from the virtual browser.
    • Não configurado Desabilitar todos os recursos de impressão.Not configured Disable all print features.

    Ao permitir a impressão, você pode definir a seguinte configuração:When you Allow printing, you then can configure the following setting:

    • Tipo (s) de impressão Selecione uma ou mais das seguintes opções:Printing type(s) Select one or more of the following options:
      • PDFPDF
      • XPSXPS
      • Impressoras locaisLocal printers
      • Impressoras de redeNetwork printers
  • Coletar logsCollect logs
    Padrão: não configuradoDefault: Not configured
    CSP do Application Guard: auditoria/AuditApplicationGuardApplication Guard CSP: Audit/AuditApplicationGuard

    • Permitir – coleta logs de eventos que ocorrem em uma sessão de navegação do Application Guard.Allow - Collect logs for events that occur within an Application Guard browsing session.
    • Não configurado – não coleta logs na sessão de navegação.Not configured - Don't collect any logs within the browsing session.
  • Manter os dados do navegador gerados pelo usuárioRetain user-generated browser data
    Padrão: não configuradoDefault: Not configured
    CSP do Application Guard: configurações/AllowPersistenceApplication Guard CSP: Settings/AllowPersistence

    • Permitir salva os dados do usuário (como senhas, favoritos e cookies) criados durante uma sessão de navegação virtual do Application Guard.Allow Save user data (such as passwords, favorites, and cookies) that's created during an Application Guard virtual browsing session.
    • Não configurado descarta os dados e arquivos baixados pelo usuário quando o dispositivo é reiniciado ou quando um usuário sai do serviço.Not configured Discard user-downloaded files and data when the device restarts, or when a user signs out.
  • Aceleração gráficaGraphics acceleration
    Padrão: não configuradoDefault: Not configured
    CSP do Application Guard: configurações/AllowVirtualGPUApplication Guard CSP: Settings/AllowVirtualGPU

    • Habilitar – carrega mais rapidamente sites e vídeos com uso intenso de elementos gráficos ao obter acesso a uma unidade de processamento gráfico virtual.Enable - Load graphic-intensive websites and video faster by getting access to a virtual graphics processing unit.
    • Não configurado Use a CPU do dispositivo para gráficos; Não use a unidade de processamento gráfico virtual.Not configured Use the device's CPU for graphics; Don't use the virtual graphics processing unit.
  • Baixar arquivos no sistema de arquivos hostDownload files to host file system
    Padrão: não configuradoDefault: Not configured
    CSP do Application Guard: configurações/SaveFilesToHostApplication Guard CSP: Settings/SaveFilesToHost

    • Habilitar – permite que os usuários baixem arquivos do navegador virtualizado no sistema operacional do host.Enable - Users can download files from the virtualized browser onto the host operating system.
    • Não configurado – mantém os arquivos localmente no dispositivo e não baixa arquivos no sistema de arquivos de host.Not configured - Keeps the files local on the device, and doesn't download files to the host file system.

Microsoft Defender FirewallMicrosoft Defender Firewall

Configurações globaisGlobal settings

Essas configurações são aplicáveis a todos os tipos de rede.These settings are applicable to all network types.

  • Protocolo FTPFile Transfer Protocol
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: MdmStore/global/DisableStatefulFtpFirewall CSP: MdmStore/Global/DisableStatefulFtp

    • Bloquear – desabilita o FTP com estado.Block - Disable stateful FTP.
    • Não configurado – o firewall realiza a filtragem do FTP com estado para permitir conexões secundárias.Not configured - The firewall does stateful FTP filtering to allow secondary connections.
  • Tempo ocioso da associação de segurança antes da exclusãoSecurity association idle time before deletion
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: MdmStore/global/SaIdleTimeFirewall CSP: MdmStore/Global/SaIdleTime

    Especifique um tempo ocioso em segundos, após o qual as associações de segurança são excluídas.Specify an idle time in seconds, after which security associations are deleted.

  • Codificação de chave pré-compartilhadaPre-shared key encoding
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: MdmStore/global/PresharedKeyEncodingFirewall CSP: MdmStore/Global/PresharedKeyEncoding

    • Enable -codificar chaves distorcedas usando UTF-8.Enable - Encode presheared keys using UTF-8.
    • Não configurado – codifique chaves distorcidos usando o valor do repositório local.Not configured - Encode presheared keys using the local store value.
  • Isenções do IPsecIPsec exemptions
    Padrão: 0 selecionadoDefault: 0 selected
    CSP do firewall: MdmStore/global/IPsecExemptFirewall CSP: MdmStore/Global/IPsecExempt

    Selecione um ou mais dos seguintes tipos de tráfego a serem isentos do IPsec:Select one or more of the following types of traffic to be exempt from IPsec:

    • Códigos de tipo ICMP do IPv6 de descoberta de vizinhoNeighbor discover IPv6 ICMP type-codes
    • ICMPICMP
    • Códigos de tipo ICMP do IPv6 de descoberta de roteadorRouter discover IPv6 ICMP type-codes
    • Tráfego de rede DHCP do IPv4 e IPv6Both IPv4 and IPv6 DHCP network traffic
  • Verificação da lista de certificados revogadosCertificate revocation list verification
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: MdmStore/global/CRLcheckFirewall CSP: MdmStore/Global/CRLcheck

    Escolha como o dispositivo verifica a lista de certificados revogados.Choose how the device verifies the certificate revocation list. As opções incluem:Options include:

    • Desabilitar verificação de CRLDisable CRL verification
    • Falha na verificação de CRL somente no certificado revogadoFail CRL verification on revoked certificate only
    • Falha na verificação de CRL em qualquer erro encontrado.Fail CRL verification on any error encountered.
  • Encontrar uma correspondência oportuna de conjunto de autenticação por módulo de chaveOpportunistically match authentication set per keying module
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: MdmStore/global/OpportunisticallyMatchAuthSetPerKMFirewall CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • Habilitar – força os módulos de chave a ignorar somente os conjuntos de autenticação aos quais eles não dão suporte.Enable Keying modules must ignore only the authentication suites that they don’t support.
    • Não configurado – os módulos para chave deverão ignorar o conjunto completo de autenticação se eles não derem suporte a todos os pacotes de autenticação especificados no conjunto.Not configured, Keying modules must ignore the entire authentication set if they don't support all of the authentication suites specified in the set.
  • Enfileiramento de pacotesPacket queuing
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: MdmStore/global/EnablePacketQueueFirewall CSP: MdmStore/Global/EnablePacketQueue

    Especifique como o dimensionamento de software no lado do recebimento é habilitado para o recebimento criptografado e o encaminhamento de texto não criptografado para o cenário de gateway de túnel IPsec.Specify how software scaling on the receive side is enabled for the encrypted receive and clear text forward for the IPsec tunnel gateway scenario. Essa configuração confirma que a ordem de pacote é preservada.This setting confirms the packet order is preserved. As opções incluem:Options include:

    • Não configuradoNot configured
    • Desabilitar todos os enfileiramentos de pacotesDisable all packet queuing
    • Enfileirar somente pacotes criptografados de entradaQueue inbound encrypted packets only
    • Os pacotes de fila após a descriptografia são executados somente para encaminhamentoQueue packets after decryption is performed for forwarding only
    • Configurar pacotes de entrada e de saídaConfigure both inbound and outbound packets

Configurações de redeNetwork settings

As configurações a seguir são listadas neste artigo uma única vez, mas todas se aplicam aos três tipos de rede específicos:The following settings are each listed in this article a single time, but all apply to the three specific network types:

  • Rede de domínio (local de trabalho)Domain (workplace) network
  • Rede privada (detectável)Private (discoverable) network
  • Rede pública (não detectável)Public (non-discoverable) network

Configurações geraisGeneral settings

  • Microsoft Defender FirewallMicrosoft Defender Firewall
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: EnableFirewallFirewall CSP: EnableFirewall

    • Habilitar – ativa o firewall e a segurança avançada.Enable - Turn on the firewall, and advanced security.
    • Não configurado permite todo o tráfego de rede, independentemente de outras configurações de política.Not configured Allows all network traffic, regardless of any other policy settings.
  • Modo ocultoStealth mode
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: DisableStealthModeFirewall CSP: DisableStealthMode

    • Não configuradoNot configured
    • O bloqueio do firewall está impedido de operar no modo furtivo.Block - Firewall is blocked from operating in stealth mode. O bloqueio do modo furtivo permite bloquear também a Isenção de pacote protegido por IPsec.Blocking stealth mode allows you to also block IPsec secured packet exemption.
    • Permitir -o firewall opera no modo furtivo, o que ajuda a evitar respostas para solicitações de investigação.Allow - The firewall operates in stealth mode, which helps prevent responses to probing requests.
  • Isenção de pacote protegido por IPsec com modo furtivoIPsec secured packet exemption with Stealth Mode
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: DisableStealthModeIpsecSecuredPacketExemptionFirewall CSP: DisableStealthModeIpsecSecuredPacketExemption

    Essa opção será ignorada se o modo stealth estiver definido como Bloquear.This option is ignored if Stealth mode is set to Block.

    • Não configuradoNot configured
    • Bloquear -os pacotes protegidos por IPsec não recebem isenções.Block - IPSec secured packets do not receive exemptions.
    • Permitir -habilitar isenções.Allow - Enable exemptions. O modo stealth do firewall não deve impedir que o computador host responda ao tráfego de rede não solicitado que é protegido pelo IPsec.The firewall's stealth mode MUST NOT prevent the host computer from responding to unsolicited network traffic that is secured by IPsec.
  • BlindadoShielded
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: blindadoFirewall CSP: Shielded

    • Não configuradoNot configured
    • Bloquear – quando o Microsoft defender firewall está ativado e essa configuração é definida como Bloquear, todo o tráfego de entrada é bloqueado, independentemente de outras configurações de política.Block - When the Microsoft Defender Firewall is on and this setting is set to Block, all incoming traffic is blocked, regardless of other policy settings.
    • Allow -quando definido como permitir, essa configuração é desativada e o tráfego de entrada é permitido com base em outras configurações de política.Allow - When set to Allow, this setting is turned off - and incoming traffic is allowed based on other policy settings.
  • Respostas unicast para difusões multicastUnicast responses to multicast broadcasts
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: DisableUnicastResponsesToMulticastBroadcastFirewall CSP: DisableUnicastResponsesToMulticastBroadcast

    Normalmente, você não deseja receber respostas unicast para mensagens de difusão ou multicast.Typically, you don't want to receive unicast responses to multicast or broadcast messages. Essas respostas podem indicar um ataque DoS (negação de serviço) ou um invasor tentando investigar um computador ativo conhecido.These responses can indicate a denial of service (DOS) attack, or an attacker trying to probe a known live computer.

    • Não configuradoNot configured
    • Bloquear – desabilitar respostas unicast para difusões multicast.Block - Disable unicast responses to multicast broadcasts.
    • Permitir – permite respostas unicast para difusões multicast.Allow - Allow unicast responses to multicast broadcasts.
  • Notificações de entradaInbound notifications
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: DisableInboundNotificationsFirewall CSP: DisableInboundNotifications

    • Não configuradoNot configured
    • Bloquear -ocultar notificações a serem usadas quando um aplicativo for impedido de escutar em uma porta.Block - Hide notifications to uses when an app is blocked from listening on a port.
    • Permitir – habilita essa configuração e pode mostrar uma notificação para os usuários quando um aplicativo é impedido de escutar em uma porta.Allow - Enables this setting, and may show a notification to users when an app is blocked from listening on a port.
  • Ação padrão para conexões de saídaDefault action for outbound connections
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: outboundactionFirewall CSP: DefaultOutboundAction

    Configure a ação padrão que o firewall executa em conexões de saída.Configure the default action firewall performs on outbound connections. Essa configuração será aplicada ao Windows versão 1809 e superior.This setting will get applied to Windows version 1809 and above.

    • Não configuradoNot configured
    • Bloquear -a ação de firewall padrão não é executada no tráfego de saída, a menos que seja explicitamente especificado para não bloquear.Block - The default firewall action isn't run on outbound traffic unless it's explicitly specified not to block.
    • Permitir -ações de firewall padrão executadas em conexões de saída.Allow - Default firewall actions run on outbound connections.
  • Ação padrão para conexões de entradaDefault action for inbound connections
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: DefaultInboundActionFirewall CSP: DefaultInboundAction

    • Não configuradoNot configured
    • Bloquear – a ação de firewall padrão não é executada em conexões de entrada.Block - The default firewall action isn't run on inbound connections.
    • Permitir que ações de firewall padrão sejam executadas em conexões de entrada.Allow - Default firewall actions run on inbound connections.

Mesclagem de regraRule merging

  • Regras do Microsoft Defender Firewall de aplicativo autorizado no repositório localAuthorized application Microsoft Defender Firewall rules from the local store
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: AuthAppsAllowUserPrefMergeFirewall CSP: AuthAppsAllowUserPrefMerge

    • Não configuradoNot configured
    • Bloquear – as regras de firewall de aplicativo autorizado no repositório local são ignoradas e não são impostas.Block - The authorized application firewall rules in the local store are ignored and not enforced.
    • Permitir - Escolher Habilitar aplica regras de firewall no repositório local para que elas sejam reconhecidas e impostas.Allow - Choose Enable Applies firewall rules in the local store so they're recognized and enforced.
  • Regras do Microsoft Defender Firewall de porta global no repositório localGlobal port Microsoft Defender Firewall rules from the local store
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: GlobalPortsAllowUserPrefMergeFirewall CSP: GlobalPortsAllowUserPrefMerge

    • Não configuradoNot configured
    • Bloquear -as regras de firewall de porta global no repositório local são ignoradas e não são impostas.Block - The global port firewall rules in the local store are ignored and not enforced.
    • Permitir – aplicar regras de firewall de porta global no repositório local para que elas sejam reconhecidas e impostas.Allow - Apply global port firewall rules in the local store to be recognized and enforced.
  • Regras do Microsoft Defender Firewall no repositório localMicrosoft Defender Firewall rules from the local store
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: AllowLocalPolicyMergeFirewall CSP: AllowLocalPolicyMerge

    • Não configuradoNot configured
    • As regras de firewall de bloqueio do repositório local são ignoradas e não são impostas.Block - Firewall rules from the local store are ignored and not enforced.
    • Permitir – aplicar regras de firewall no repositório local para que elas sejam reconhecidas e impostas.Allow - Apply firewall rules in the local store to be recognized and enforced.
  • Regras do IPsec do repositório localIPsec rules from the local store
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: AllowLocalIpsecPolicyMergeFirewall CSP: AllowLocalIpsecPolicyMerge

    • Não configuradoNot configured
    • Bloquear – as regras de segurança da conexão no armazenamento local são ignoradas e não são impostas, independentemente das versões de regra de segurança da conexão ou do esquema.Block - The connection security rules from the local store are ignored and not enforced, regardless of the schema version and connection security rule version.
    • Permitir – aplicar regras de segurança da conexão no repositório local, independentemente das versões do esquema ou da regra de segurança da conexão.Allow - Apply connection security rules from the local store, regardless of schema or connection security rule versions.

Regras de firewallFirewall rules

Você pode Adicionar uma ou mais regras de firewall personalizadas.You can Add one or more custom Firewall rules. Para obter mais informações, consulte adicionar regras personalizadas de firewall para dispositivos Windows 10.For more information, see Add custom firewall rules for Windows 10 devices.

As regras de firewall personalizadas dão suporte às seguintes opções:Custom Firewall rules support the following options:

Configurações gerais:General settings:

  • NomeName
    Padrão: sem nomeDefault: No name

    Especifique um nome amigável para a regra.Specify a friendly name for your rule. Esse nome aparecerá na lista de regras para ajudá-lo a identificá-lo.This name will appear in the list of rules to help you identify it.

  • DescriçãoDescription
    Padrão: sem descriçãoDefault: No description

    Forneça uma descrição da regra.Provide a description of the rule.

  • Direção Direction
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: FirewallRules/FirewallRuleName/DirectionFirewall CSP: FirewallRules/FirewallRuleName/Direction

    Especifique se essa regra se aplica ao tráfego de entradaou de saída .Specify if this rule applies to Inbound, or Outbound traffic. Quando definido como não configurado, a regra se aplica automaticamente ao tráfego de saída.When set as Not configured, the rule automatically applies to Outbound traffic.

  • AçãoAction
    Padrão: não configuradoDefault: Not configured
    CSP do firewall: FirewallRules/FirewallRuleName/Actione FirewallRules/FirewallRuleName/Action/TypeFirewall CSP: FirewallRules/FirewallRuleName/Action, and FirewallRules/FirewallRuleName/Action/Type

    Selecione de permitir ou Bloquear.Select from Allow or Block. Quando definido como não configurado, a regra assume como padrão permitir o tráfego.When set as Not configured, the rule defaults to allow traffic.

  • Tipo de redeNetwork type
    Padrão: 0 selecionadoDefault: 0 selected
    CSP do firewall: FirewallRules/FirewallRuleName/ProfilesFirewall CSP: FirewallRules/FirewallRuleName/Profiles

    Selecione até três tipos de tipos de rede aos quais essa regra pertence.Select up to three types of network types to which this rule belongs. As opções incluem domínio, privadoe público.Options include Domain, Private, and Public. Se nenhum tipo de rede for selecionado, a regra se aplicará a todos os três tipos de rede.If no network types are selected, the rule applies to all three network types.

Configurações do aplicativoApplication settings

  • Aplicativo (s)Application(s)
    Padrão: todosDefault: All

    Controlar conexões para um aplicativo ou programa.Control connections for an app or program. Selecione uma das seguintes opções e, em seguida, conclua a configuração adicional:Select one of the following options, and then complete the additional configuration:

    • Nome da família de pacotes – especifique um nome de família de pacotes.Package family name – Specify a package family name. Para localizar o nome da família de pacotes, use o comando Get-AppxPackagedo PowerShell.To find the package family name, use the PowerShell command Get-AppxPackage.
      CSP do firewall: FirewallRules/FirewallRuleName/app/PackageFamilyNameFirewall CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName

    • Caminho do arquivo – você deve especificar um caminho de arquivo para um aplicativo no dispositivo cliente, que pode ser um caminho absoluto ou um caminho relativo.File path – You must specify a file path to an app on the client device, which can be an absolute path, or a relative path. Por exemplo: C:\Windows\System\Notepad.exe ou%WINDIR%\Notepad.exe.For example: C:\Windows\System\Notepad.exe or %WINDIR%\Notepad.exe.
      CSP do firewall: FirewallRules/FirewallRuleName/app/FilePathFirewall CSP: FirewallRules/FirewallRuleName/App/FilePath

    • Serviço do Windows – especifique o nome curto do serviço do Windows se ele for um serviço e não um aplicativo que envia ou recebe tráfego.Windows service – Specify the Windows service short name if it’s a service and not an application that sends or receives traffic. Para localizar o nome curto do serviço, use o comando do PowerShell Get-Service.To find the service short name, use the PowerShell command Get-Service.
      CSP do firewall: FirewallRules/FirewallRuleName/app/ServiceNameFirewall CSP: FirewallRules/FirewallRuleName/App/ServiceName

    • Tudonenhuma configuração adicional está disponível.AllNo additional configuration is available.

Configurações de endereço IPIP address settings

Especifique os endereços locais e remotos aos quais essa regra se aplica.Specify the local and remote addresses to which this rule applies.

  • Endereços locais Local addresses
    Padrão: qualquer endereçoDefault: Any address
    CSP do firewall: FirewallRules/FirewallRuleName/LocalPortRangesFirewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges

    Selecione qualquer endereço ou endereço especificado.Select Any address or Specified address.

    Ao usar o endereço especificado, você adiciona um ou mais endereços como uma lista separada por vírgulas de endereços locais que são cobertos pela regra.When you use Specified address, you add one or more addresses as a comma-separated list of local addresses that are covered by the rule. Os tokens válidos incluem:Valid tokens include:

    • Use um asterisco "*" para qualquer endereço local.Use an asterisk “*” for any local address. Se você usar um asterisco, ele deverá ser o único token que você usar.If you use an asterisk, it must be the only token you use.
    • Para especificar uma sub-rede, use a máscara de sub-rede ou a notação de prefixo de rede.To specify a subnet use either the subnet mask or network prefix notation. Se nem uma máscara de sub-rede nem um prefixo de rede for especificado, a máscara de sub-rede padrão será 255.255.255.255.If neither a subnet mask nor a network prefix is specified, the subnet mask defaults to 255.255.255.255.
    • Um endereço IPv6 válido.A valid IPv6 address.
    • Um intervalo de endereços IPv4 no formato "endereço inicial do endereço final" sem espaços incluídos.An IPv4 address range in the format of "start address - end address" with no spaces included.
    • Um intervalo de endereços IPv6 no formato "endereço inicial de endereço final" sem espaços incluídos.An IPv6 address range in the format of "start address - end address" with no spaces included.
  • Endereços remotosRemote addresses
    Padrão: qualquer endereçoDefault: Any address
    CSP do firewall: FirewallRules/FirewallRuleName/RemoteAddressRangesFirewall CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

    Selecione qualquer endereço ou endereço especificado.Select Any address or Specified address.

    Ao usar o endereço especificado, você adiciona um ou mais endereços como uma lista separada por vírgulas de endereços remotos que são cobertos pela regra.When you use Specified address, you add one or more addresses as a comma-separated list of remote addresses that are covered by the rule. Os tokens não diferenciam maiúsculas de minúsculas.Tokens aren't case-sensitive. Os tokens válidos incluem:Valid tokens include:

    • Use um asterisco "*" para qualquer endereço remoto.Use an asterisk “*” for any remote address. Se você usar um asterisco, ele deverá ser o único token que você usar.If you use an asterisk, it must be the only token you use.
    • DefaultGateway"Defaultgateway"
    • "DHCP""DHCP"
    • "DNS""DNS"
    • "WINS""WINS"
    • "Intranet" (com suporte nas versões 1809 e posteriores do Windows)"Intranet" (supported on Windows versions 1809 and later)
    • "RmtIntranet" (com suporte nas versões 1809 e posteriores do Windows)"RmtIntranet" (supported on Windows versions 1809 and later)
    • "Internet" (com suporte no Windows versões 1809 e posteriores)"Internet" (supported on Windows versions 1809 and later)
    • "Ply2Renders" (com suporte nas versões 1809 e posteriores do Windows)"Ply2Renders" (supported on Windows versions 1809 and later)
    • "LocalSubnet" indica qualquer endereço local na sub-rede local."LocalSubnet" indicates any local address on the local subnet.
    • Para especificar uma sub-rede, use a máscara de sub-rede ou a notação de prefixo de rede.To specify a subnet use either the subnet mask or network prefix notation. Se nem uma máscara de sub-rede nem um prefixo de rede for especificado, a máscara de sub-rede padrão será 255.255.255.255.If neither a subnet mask nor a network prefix is specified, the subnet mask defaults to 255.255.255.255.
    • Um endereço IPv6 válido.A valid IPv6 address.
    • Um intervalo de endereços IPv4 no formato "endereço inicial do endereço final" sem espaços incluídos.An IPv4 address range in the format of "start address - end address" with no spaces included.
    • Um intervalo de endereços IPv6 no formato "endereço inicial de endereço final" sem espaços incluídos.An IPv6 address range in the format of "start address - end address" with no spaces included.

Configurações de porta e protocoloPort and protocol settings

Especifique as portas locais e remotas às quais essa regra se aplica.Specify the local and remote ports to which this rule applies.

Configuração avançadaAdvanced configuration

  • Tipos de interfaceInterface types
    Padrão: 0 selecionadoDefault: 0 selected
    CSP do firewall: FirewallRules/FirewallRuleName/InterfaceTypesFirewall CSP: FirewallRules/FirewallRuleName/InterfaceTypes

    Selecione entre as seguintes opções:Select from the following options:

    • Acesso remotoRemote access
    • Sem fioWireless
    • Rede localLocal area network
  • Permitir conexões somente desses usuáriosOnly allow connections from these users
    Padrão: todos os usuários (o padrão é todos os usos quando nenhuma lista é especificada)Default: All users (Defaults to all uses when no list is specified)
    CSP do firewall: FirewallRules/FirewallRuleName/LocalUserAuthorizationListFirewall CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    Especifique uma lista de usuários locais autorizados para esta regra.Specify a list of authorized local users for this rule. Uma lista de usuários autorizados não poderá ser especificada se essa regra se aplicar a um serviço do Windows.A list of authorized users can't be specified if this rule applies to a Windows service.

Configurações do Microsoft Defender SmartScreenMicrosoft Defender SmartScreen settings

O Microsoft Edge deve ser instalado no dispositivo.Microsoft Edge must be installed on the device.

  • SmartScreen para aplicativos e arquivosSmartScreen for apps and files
    Padrão: não configuradoDefault: Not configured
    CSP do SmartScreen: SmartScreen/EnableSmartScreenInShellSmartScreen CSP: SmartScreen/EnableSmartScreenInShell

    • Não configurado -desabilita o uso do SmartScreen.Not configured - Disables use of SmartScreen.
    • Habilitar – habilite o Windows SmartScreen para execução de arquivos e aplicativos em execução.Enable - Enable Windows SmartScreen for file execution, and running apps. O SmartScreen é um componente baseado em nuvem para anti-phishing e antimalware.SmartScreen is a cloud-based anti-phishing and anti-malware component.
  • Execução de arquivos não verificadosUnverified files execution
    Padrão: não configuradoDefault: Not configured
    CSP do SmartScreen: SmartScreen/PreventOverrideForFilesInShellSmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell

    • Não configurado – desabilita esse recurso e permite aos usuários finais executar arquivos que ainda não foram verificados.Not configured - Disables this feature, and allows end users to run files that haven't been verified.
    • Bloquear – impede que os usuários finais executem arquivos que não foram verificados pelo Windows SmartScreen.Block - Prevent end users from running files that haven't been verified by Windows SmartScreen.

Criptografia do WindowsWindows Encryption

Configurações do WindowsWindows Settings

  • Criptografar dispositivosEncrypt devices
    Padrão: não configuradoDefault: Not configured
    CSP do BitLocker: RequireDeviceEncryptionBitLocker CSP: RequireDeviceEncryption

    • Exigir – solicita aos usuários que habilitem a criptografia de dispositivo.Require - Prompt users to enable device encryption. Dependendo da edição do Windows e a configuração do sistema, os usuários podem ser solicitados a:Depending on the Windows edition and system configuration, users may be asked:
      • Confirmar que a criptografia de outro provedor não está habilitada.To confirm that encryption from another provider isn't enabled.
      • Desativar a Criptografia de Unidade de Disco BitLocker e, em seguida, ativar o BitLocker novamente.Be required to turn off BitLocker Drive Encryption, and then turn BitLocker back on.
    • Não configuradoNot configured

    Se a criptografia do Windows for ativada enquanto outro método de criptografia está ativo, o dispositivo pode se tornar instável.If Windows encryption is turned on while another encryption method is active, the device might become unstable.

  • Criptografar cartão de armazenamento (somente dispositivos móveis)Encrypt storage card (mobile only)
    Essa configuração só se aplica ao Windows 10 Mobile.This setting only applies to Windows 10 mobile.
    Padrão: não configuradoDefault: Not configured
    CSP do BitLocker: RequireStorageCardEncryptionBitLocker CSP: RequireStorageCardEncryption

    • Escolha Exigir para criptografar os cartões de armazenamento removíveis usados pelo dispositivo.Require to encrypt any removable storage cards used by the device.
    • Não configurado – não exige a criptografia do cartão de memória e não solicita ao usuário para ativá-la.Not configured - Don't require storage card encryption, and don't prompt the user to turn it on.

Configurações base do BitLockerBitLocker base settings

As configurações básicas são as configurações universais do BitLocker para todos os tipos de unidades de dados.Base settings are universal BitLocker settings for all types of data drives. Essas configurações gerenciam quais tarefas de criptografia de unidade ou opções de configuração o usuário final pode modificar em todos os tipos de unidades de dados.These settings manage what drive encryption tasks or configuration options the end user can modify across all types of data drives.

  • Aviso para outras criptografias de discoWarning for other disk encryption
    Padrão: não configuradoDefault: Not configured
    CSP do BitLocker: AllowWarningForOtherDiskEncryptionBitLocker CSP: AllowWarningForOtherDiskEncryption

    • Bloquear – desabilita o prompt de aviso se outro serviço de criptografia de disco está no dispositivo.Block - Disable the warning prompt if another disk encryption service is on the device.
    • Não configurado -permite que o aviso para outra criptografia de disco seja mostrado.Not configured - Allow the warning for other disk encryption to be shown.

    Quando definido como Bloquear, você pode definir a seguinte configuração:When set to Block, you can then configure the following setting:

    • Permitir que usuários padrão habilitem a criptografia durante o ingresso no Azure ADAllow standard users to enable encryption during Azure AD Join
      Essa configuração se aplica somente a dispositivos Unidos Azure Active Directory (Azure ADJ) e depende da configuração anterior, Warning for other disk encryption.This setting only applies to Azure Active Directory Joined (Azure ADJ) devices, and depends on the previous setting, Warning for other disk encryption.
      Padrão: não configuradoDefault: Not configured
      CSP do BitLocker: AllowStandardUserEncryptionBitLocker CSP: AllowStandardUserEncryption

      • Permitir -usuários padrão (não administradores) podem habilitar a criptografia BitLocker quando conectado.Allow - Standard users (non-administrators) can enable BitLocker encryption when signed in.
      • Não configurado só Administradores podem habilitar a criptografia do BitLocker no dispositivo.Not configured only Administrators can enable BitLocker encryption on the device.
  • Configurar métodos de criptografiaConfigure encryption methods
    Padrão: não configuradoDefault: Not configured
    CSP do BitLocker: EncryptionMethodByDriveTypeBitLocker CSP: EncryptionMethodByDriveType

    • Habilitar – configure os algoritmos de criptografia para o sistema operacional, os dados e as unidades removíveis.Enable - Configure encryption algorithms for operating system, data, and removable drives.
    • Não configurado – o BitLocker usa o XTS-AES de 128 bits como o método de criptografia padrão ou usa o método de criptografia especificado por qualquer script de instalação.Not configured - BitLocker uses XTS-AES 128 bit as the default encryption method, or uses the encryption method specified by any setup script.

    Quando está como Habilitar, você pode definir as seguintes configurações:When set to Enable, you can configure the following settings:

    • Criptografia para unidades do sistema operacionalEncryption for operating system drives
      Padrão: XTS-AES 128-bitDefault: XTS-AES 128-bit

      Escolha o método de criptografia para unidades do sistema operacional.Choose the encryption method for operating system drives. Recomendamos que você use o algoritmo XTS-AES.We recommend you use the XTS-AES algorithm.

      • AES-CBC de 128 bitsAES-CBC 128-bit
      • AES-CBC de 256 bitsAES-CBC 256-bit
      • XTS-AES de 128 bitsXTS-AES 128-bit
      • XTS-AES de 256 bitsXTS-AES 256-bit
    • Criptografia para unidades de dados fixasEncryption for fixed data-drives
      Padrão: AES-CBC 128 bitsDefault: AES-CBC 128-bit

      Escolha o método de criptografia para unidades de dados fixas (internas).Choose the encryption method for fixed (built-in) data drives. Recomendamos que você use o algoritmo XTS-AES.We recommend you use the XTS-AES algorithm.

      • AES-CBC de 128 bitsAES-CBC 128-bit
      • AES-CBC de 256 bitsAES-CBC 256-bit
      • XTS-AES de 128 bitsXTS-AES 128-bit
      • XTS-AES de 256 bitsXTS-AES 256-bit
    • Criptografia para unidades de dados removíveisEncryption for removable data-drives
      Padrão: AES-CBC 128 bitsDefault: AES-CBC 128-bit

      Escolha o método de criptografia para unidades de dados removíveis.Choose the encryption method for removable data drives. Se a unidade removível é usada com dispositivos que não executam o Windows 10, recomendamos o uso do algoritmo AES-CBC.If the removable drive is used with devices that aren't running Windows 10, then we recommend you use the AES-CBC algorithm.

      • AES-CBC de 128 bitsAES-CBC 128-bit
      • AES-CBC de 256 bitsAES-CBC 256-bit
      • XTS-AES de 128 bitsXTS-AES 128-bit
      • XTS-AES de 256 bitsXTS-AES 256-bit

Configurações de unidade do sistema operacional do BitLockerBitLocker OS drive settings

Essas configurações aplicam-se especificamente às unidades de dados do sistema operacional.These settings apply specifically to operating system data drives.

  • Autenticação adicional na inicializaçãoAdditional authentication at startup
    Padrão: não configuradoDefault: Not configured
    CSP do BitLocker: SystemDrivesRequireStartupAuthenticationBitLocker CSP: SystemDrivesRequireStartupAuthentication

    • Exigir – configure os requisitos de autenticação da inicialização do computador, incluindo o uso do TPM (Trusted Platform Module).Require - Configure the authentication requirements for computer startup, including the use of Trusted Platform Module (TPM).
    • Não configurado – configure apenas as opções básicas em dispositivos com um TPM.Not configured - Configure only basic options on devices with a TPM.

    Quando está como Exigir, você pode definir as seguintes configurações:When set to Require, you can configure the following settings:

    • BitLocker com chip do TPM não compatívelBitLocker with non-compatible TPM chip
      Padrão: não configuradoDefault: Not configured

      • Bloquear – desabilita o uso do BitLocker quando um dispositivo não tem um chip de TPM compatível.Block - Disable use of BitLocker when a device doesn't have a compatible TPM chip.
      • Não configurado – os usuários podem usar o BitLocker sem um chip de TPM compatível.Not configured - Users can use BitLocker without a compatible TPM chip. O BitLocker pode exigir uma senha ou uma chave de inicialização.BitLocker may require a password or a startup key.
    • Inicialização do TPM compatívelCompatible TPM startup
      Padrão: Permitir TPMDefault: Allow TPM

      Configure se o TPM é permitido, obrigatório ou não permitido.Configure if TPM is allowed, required, or not allowed.

      • Permitir TPMAllow TPM
      • Não permitir TPMDo not allow TPM
      • Exigir TPMRequire TPM
    • PIN de inicialização do TPM compatívelCompatible TPM startup PIN
      Padrão: permitir PIN de inicialização com TPMDefault: Allow startup PIN with TPM

      Escolha permitir, não permitir ou exigir o uso de um PIN de inicialização com o chip do TPM.Choose to allow, not allow, or require using a startup PIN with the TPM chip. A habilitação de um PIN de inicialização exige a interação do usuário final.Enabling a startup PIN requires interaction from the end user.

      • Permitir PIN de inicialização com TPMAllow startup PIN with TPM
      • Não permitir PIN de inicialização com TPMDo not allow startup PIN with TPM
      • Exigir o PIN de inicialização com o TPMRequire startup PIN with TPM
    • Chave de inicialização do TPM compatívelCompatible TPM startup key
      Padrão: permitir chave de inicialização com TPMDefault: Allow startup key with TPM

      Escolha permitir, não permitir ou exigir o uso de uma chave de inicialização com o chip do TPM.Choose to allow, not allow, or require using a startup key with the TPM chip. A habilitação de uma chave de inicialização exige a interação do usuário final.Enabling a startup key requires interaction from the end user.

      • Permitir chave de inicialização com TPMAllow startup key with TPM
      • Não permitir chave de inicialização com TPMDo not allow startup key with TPM
      • Exigir chave de inicialização com TPMRequire startup key with TPM
    • PIN e chave de inicialização do TPM compatívelCompatible TPM startup key and PIN
      Padrão: permitir chave de inicialização e PIN com TPMDefault: Allow startup key and PIN with TPM

      Escolha permitir, não permitir ou exigir o uso de um PIN e uma chave de inicialização com o chip do TPM.Choose to allow, not allow, or require using a startup key and PIN with the TPM chip. A habilitação de uma chave de inicialização e um PIN exige a interação do usuário final.Enabling startup key and PIN requires interaction from the end user.

      • Permitir chave de inicialização e PIN com TPMAllow startup key and PIN with TPM
      • Não permitir chave de inicialização e PIN com TPMDo not allow startup key and PIN with TPM
      • Exigir chave de inicialização e PIN com TPMRequire startup key and PIN with TPM
  • Tamanho mínimo do PINMinimum PIN Length
    Padrão: não configuradoDefault: Not configured
    CSP do BitLocker: SystemDrivesMinimumPINLengthBitLocker CSP: SystemDrivesMinimumPINLength

    • Habilitar Configure um comprimento mínimo para o PIN de inicialização do TPM.Enable Configure a minimum length for the TPM startup PIN.
    • Não configurado – os usuários podem configurar um PIN de inicialização de qualquer tamanho entre 6 e 20 dígitos.Not configured - Users can configure a startup PIN of any length between 6 and 20 digits.

    Quando está como Habilitar, você pode definir a seguinte configuração:When set to Enable, you can configure the following setting:

    • Número mínimo de caracteresMinimum characters
      Padrão: não CONfigurada CSP do BitLocker: SystemDrivesMinimumPINLengthDefault: Not configured BitLocker CSP: SystemDrivesMinimumPINLength

      Insira o número de caracteres necessário para o PIN de inicialização de 4-20.Enter the number of characters required for the startup PIN from 4-20.

  • Recuperação de unidade do sistema operacionalOS drive recovery
    Padrão: não configuradoDefault: Not configured
    CSP do BitLocker: SystemDrivesRecoveryOptionsBitLocker CSP: SystemDrivesRecoveryOptions

    • Habilitar – controla como as unidades do sistema operacional protegidas pelo BitLocker são recuperadas quando as informações de inicialização necessárias não estão disponíveis.Enable - Control how BitLocker-protected operating system drives recover when the required start-up information isn't available.
    • Não configurado – as opções de recuperação padrão são compatíveis com a recuperação do BitLocker.Not configured - Default recovery options are supported for BitLocker recovery. Por padrão, um DRA é permitido, as opções de recuperação são escolhidas pelo usuário, incluindo a senha e a chave de recuperação, e as informações de recuperação não são copiadas em backup no AD DS.By default, a DRA is allowed, the recovery options are chosen by the user, including the recovery password and recovery key, and recovery information isn't backed up to AD DS.

    Quando está como Habilitar, você pode definir as seguintes configurações:When set to Enable, you can configure the following settings:

    • Agente de recuperação de dados baseado em certificadoCertificate-based data recovery agent
      Padrão: não configuradoDefault: Not configured

      • Bloquear – impedir o uso do agente de recuperação de dados com unidades de sistema operacional protegidas pelo BitLocker.Block - Prevent use of data recovery agent with BitLocker-protected OS drives.
      • Não configurado -permite que os agentes de recuperação de dados sejam usados com unidades do sistema operacional protegidas pelo BitLocker.Not configured - Allow data recovery agents to be used with BitLocker-protected operating system drives.
    • Criação de senha de recuperação pelo usuárioUser creation of recovery password
      Padrão: permitir senha de recuperação de 48 dígitosDefault: Allow 48-digit recovery password

      Escolha se é permitido, obrigatório ou não permitido que os usuários gerem uma senha de recuperação de 48 dígitos.Choose if users are allowed, required, or not allowed to generate a 48-digit recovery password.

      • Permitir senha de recuperação de 48 dígitosAllow 48-digit recovery password
      • Não permitir senha de recuperação de 48 dígitosDo not allow 48-digit recovery password
      • Exigir senha de recuperação de 48 dígitosRequire 48-digit recovery password
    • Criação de chave de recuperação pelo usuárioUser creation of recovery key
      Padrão: permitir chave de recuperação de 256 bitsDefault: Allow 256-bit recovery key

      Escolha se é permitido, obrigatório ou não permitido que os usuários gerem uma chave de recuperação de 256 bits.Choose if users are allowed, required, or not allowed to generate a 256-bit recovery key.

      • Permitir chave de recuperação de 256 bitsAllow 256-bit recovery key
      • Não permitir chave de recuperação de 256 bitsDo not allow 256-bit recovery key
      • Exigir chave de recuperação de 256 bitsRequire 256-bit recovery key
    • Opções de recuperação no assistente de instalação do BitLockerRecovery options in the BitLocker setup wizard
      Padrão: não configuradoDefault: Not configured

      • Bloquear – os usuários não podem ver nem alterar as opções de recuperação.Block - Users can't see and change the recovery options. Quando definido comoWhen set to
      • Não configurado – os usuários podem ver e alterar as opções de recuperação ao ativarem o BitLocker.Not configured - Users can see and change the recovery options when they turn on BitLocker.
    • Salvar informações de recuperação do BitLocker para Azure Active DirectorySave BitLocker recovery information to Azure Active Directory
      Padrão: não configuradoDefault: Not configured

      • Habilitar – armazena as informações de recuperação do BitLocker no Azure AD (Azure Active Directory).Enable - Store the BitLocker recovery information to Azure Active Directory (Azure AD).
      • Não configurado -as informações de recuperação do BitLocker não são armazenadas no AAD.Not configured - BitLocker recovery information isn't stored in AAD.
    • Informações de recuperação do BitLocker armazenadas no Azure Active DirectoryBitLocker recovery Information stored to Azure Active Directory
      Padrão: faz o backup de pacotes de chaves e senhas de recuperaçãoDefault: Backup recovery passwords and key packages

      Configure quais partes das informações de recuperação do BitLocker são armazenadas no Azure AD.Configure what parts of BitLocker recovery information are stored in Azure AD. Escolha:Choose from:

      • Fazer backup de pacotes de chaves e senhas de recuperaçãoBackup recovery passwords and key packages
      • Fazer backup somente de senhas de recuperaçãoBackup recovery passwords only
    • Rotação de senha de recuperação controlada pelo clienteClient-driven recovery password rotation
      Padrão: rotação de chaves habilitada para dispositivos ingressados no Azure ADDefault: Key rotation enabled for Azure AD-joined devices
      CSP do BitLocker: ConfigureRecoveryPasswordRotationBitLocker CSP: ConfigureRecoveryPasswordRotation

      Essa configuração inicia uma rotação de senha de recuperação controlada pelo cliente após uma recuperação de unidade do sistema operacional (seja usando bootmgr ou WinRE).This setting initiates a client-driven recovery password rotation after an OS drive recovery (either by using bootmgr or WinRE).

      • Não configuradoNot configured
      • Rotação de chaves desabilitadaKey rotation disabled
      • Rotação de chaves habilitada para deices unida do Azure ADKey rotation enabled for Azure AD-joined deices
      • Rotação de chaves habilitada para o Azure AD e dispositivos ingressados no híbridoKey rotation enabled for Azure AD and Hybrid-joined devices
    • Armazenar informações de recuperação em Azure Active Directory antes de habilitar o BitLockerStore recovery information in Azure Active Directory before enabling BitLocker
      Padrão: não configuradoDefault: Not configured

      Impedir que os usuários habilitem o BitLocker, a menos que o computador faça o backup com êxito das informações de recuperação do BitLocker para Azure Active Directory.Prevent users from enabling BitLocker unless the computer successfully backs up the BitLocker recovery information to Azure Active Directory.

      • Exigir – impede os usuários de ativar o BitLocker, a menos que as informações de recuperação do BitLocker sejam armazenadas com êxito no Azure AD.Require - Stop users from turning on BitLocker unless the BitLocker recovery information is successfully stored in Azure AD.
      • Não configurado – permite que os usuários ativem o BitLocker, mesmo se as informações de recuperação não forem armazenadas com êxito no Azure AD.Not configured - Users can turn on BitLocker, even if recovery information isn't successfully stored in Azure AD.
  • URL e mensagem de recuperação pré-inicializaçãoPre-boot recovery message and URL
    Padrão: não configuradoDefault: Not configured
    CSP do BitLocker: SystemDrivesRecoveryMessageBitLocker CSP: SystemDrivesRecoveryMessage

    • Habilitar -configurar a mensagem e a URL que são exibidas na tela de recuperação de chave de pré-inicialização.Enable - Configure the message and URL that display on the pre-boot key recovery screen.
    • Não configurado – desabilita esse recurso.Not configured - Disable this feature.

    Quando está como Habilitar, você pode definir a seguinte configuração:When set to Enable, you can configure the following setting:

    • Mensagem de recuperação pré-inicializaçãoPre-boot recovery message
      Padrão: usa a mensagem e URL de recuperação padrãoDefault: Use default recovery message and URL

      Configure como a mensagem de recuperação pré-inicialização é exibida para os usuários.Configure how the pre-boot recovery message displays to users. Escolha:Choose from:

      • Usar mensagem e URL de recuperação padrãoUse default recovery message and URL
      • Usar mensagem e URL de recuperação vaziaUse empty recovery message and URL
      • Usar mensagem de recuperação personalizadaUse custom recovery message
      • Usar URL de recuperação personalizadaUse custom recovery URL

Configurações de unidades de dados fixas do BitLockerBitLocker fixed data-drive settings

Essas configurações se aplicam especificamente a unidades de dados fixas.These settings apply specifically to fixed data drives.

  • Acesso de gravação a unidades de dados fixas não protegidas pelo BitLockerWrite access to fixed data-drive not protected by BitLocker
    Padrão: não configuradoDefault: Not configured
    CSP do BitLocker: FixedDrivesRequireEncryptionBitLocker CSP: FixedDrivesRequireEncryption

    • Bloquear – fornece acesso somente leitura às unidades de dados que não são protegidas pelo BitLocker.Block - Give read-only access to data drives that aren't BitLocker-protected.
    • Não configurado -por padrão, acesso de leitura e gravação a unidades de dados que não são criptografadas.Not configured - By default, read and write access to data drives that aren't encrypted.
  • Recuperação de unidade fixaFixed drive recovery
    Padrão: não configuradoDefault: Not configured
    CSP do BitLocker: FixedDrivesRecoveryOptionsBitLocker CSP: FixedDrivesRecoveryOptions

    • Habilitar – controla como as unidades fixas protegidas pelo BitLocker são recuperadas quando as informações de inicialização necessárias não estão disponíveis.Enable - Control how BitLocker-protected fixed drives recover when the required start-up information isn't available.
    • Não configurado – desabilita esse recurso.Not configured - Disable this feature.

    Quando está como Habilitar, você pode definir as seguintes configurações:When set to Enable, you can configure the following settings:

    • Agente de recuperação de dadosData recovery agent
      Padrão: não configuradoDefault: Not configured

      • Bloquear – impede o uso do agente de recuperação de dados com o Editor de Política das unidades fixas protegidas pelo BitLocker.Block - Prevent use of the data recovery agent with BitLocker-protected fixed drives Policy Editor.
      • Não configurado – habilita o uso de agentes de recuperação de dados com unidades fixas protegidas pelo BitLocker.Not configured - Enables use of data recovery agents with BitLocker-protected fixed drives.
    • Criação de senha de recuperação pelo usuárioUser creation of recovery password
      Padrão: permitir senha de recuperação de 48 dígitosDefault: Allow 48-digit recovery password

      Escolha se é permitido, obrigatório ou não permitido que os usuários gerem uma senha de recuperação de 48 dígitos.Choose if users are allowed, required, or not allowed to generate a 48-digit recovery password.

      • Permitir senha de recuperação de 48 dígitosAllow 48-digit recovery password
      • Não permitir senha de recuperação de 48 dígitosDo not allow 48-digit recovery password
      • Exigir senha de recuperação de 48 dígitosRequire 48-digit recovery password
    • Criação de chave de recuperação pelo usuárioUser creation of recovery key
      Padrão: permitir chave de recuperação de 256 bitsDefault: Allow 256-bit recovery key

      Escolha se é permitido, obrigatório ou não permitido que os usuários gerem uma chave de recuperação de 256 bits.Choose if users are allowed, required, or not allowed to generate a 256-bit recovery key.

      • Permitir chave de recuperação de 256 bitsAllow 256-bit recovery key
      • Não permitir chave de recuperação de 256 bitsDo not allow 256-bit recovery key
      • Exigir chave de recuperação de 256 bitsRequire 256-bit recovery key
    • Opções de recuperação no assistente de instalação do BitLockerRecovery options in the BitLocker setup wizard
      Padrão: não configuradoDefault: Not configured

      • Bloquear – os usuários não podem ver nem alterar as opções de recuperação.Block - Users can't see and change the recovery options. Quando definido comoWhen set to
      • Não configurado – os usuários podem ver e alterar as opções de recuperação ao ativarem o BitLocker.Not configured - Users can see and change the recovery options when they turn on BitLocker.
    • Salvar informações de recuperação do BitLocker para Azure Active DirectorySave BitLocker recovery information to Azure Active Directory
      Padrão: não configuradoDefault: Not configured

      • Habilitar – armazena as informações de recuperação do BitLocker no Azure AD (Azure Active Directory).Enable - Store the BitLocker recovery information to Azure Active Directory (Azure AD).
      • Não configurado -as informações de recuperação do BitLocker não são armazenadas no AAD.Not configured - BitLocker recovery information isn't stored in AAD.
    • Informações de recuperação do BitLocker armazenadas no Azure Active DirectoryBitLocker recovery Information stored to Azure Active Directory
      Padrão: faz o backup de pacotes de chaves e senhas de recuperaçãoDefault: Backup recovery passwords and key packages

      Configure quais partes das informações de recuperação do BitLocker são armazenadas no Azure AD.Configure what parts of BitLocker recovery information are stored in Azure AD. Escolha:Choose from:

      • Fazer backup de pacotes de chaves e senhas de recuperaçãoBackup recovery passwords and key packages
      • Fazer backup somente de senhas de recuperaçãoBackup recovery passwords only
    • Rotação de senha de recuperação controlada pelo clienteClient-driven recovery password rotation
      Padrão: rotação de chaves habilitada para dispositivos ingressados no Azure ADDefault: Key rotation enabled for Azure AD-joined devices
      CSP do BitLocker: ConfigureRecoveryPasswordRotationBitLocker CSP: ConfigureRecoveryPasswordRotation

      Essa configuração inicia uma rotação de senha de recuperação controlada pelo cliente após uma recuperação de unidade do sistema operacional (seja usando bootmgr ou WinRE).This setting initiates a client-driven recovery password rotation after an OS drive recovery (either by using bootmgr or WinRE).

      • Não configuradoNot configured
      • Rotação de chaves desabilitadaKey rotation disabled
      • Rotação de chaves habilitada para deices unida do Azure ADKey rotation enabled for Azure AD-joined deices
      • Rotação de chaves habilitada para o Azure AD e dispositivos ingressados no híbridoKey rotation enabled for Azure AD and Hybrid-joined devices
    • Armazenar informações de recuperação em Azure Active Directory antes de habilitar o BitLockerStore recovery information in Azure Active Directory before enabling BitLocker
      Padrão: não configuradoDefault: Not configured

      Impedir que os usuários habilitem o BitLocker, a menos que o computador faça o backup com êxito das informações de recuperação do BitLocker para Azure Active Directory.Prevent users from enabling BitLocker unless the computer successfully backs up the BitLocker recovery information to Azure Active Directory.

      • Exigir – impede os usuários de ativar o BitLocker, a menos que as informações de recuperação do BitLocker sejam armazenadas com êxito no Azure AD.Require - Stop users from turning on BitLocker unless the BitLocker recovery information is successfully stored in Azure AD.
      • Não configurado – permite que os usuários ativem o BitLocker, mesmo se as informações de recuperação não forem armazenadas com êxito no Azure AD.Not configured - Users can turn on BitLocker, even if recovery information isn't successfully stored in Azure AD.

Configurações de unidade de dados removíveis do BitLockerBitLocker removable data-drive settings

Essas configurações se aplicam especificamente a unidades de dados removíveis.These settings apply specifically to removable data drives.

  • Acesso de gravação a unidades de dados removíveis não protegidas pelo BitLockerWrite access to removable data-drive not protected by BitLocker
    Padrão: não configuradoDefault: Not configured
    CSP do BitLocker: RemovableDrivesRequireEncryptionBitLocker CSP: RemovableDrivesRequireEncryption

    • Bloquear – fornece acesso somente leitura às unidades de dados que não são protegidas pelo BitLocker.Block - Give read-only access to data drives that aren't BitLocker-protected.
    • Não configurado -por padrão, acesso de leitura e gravação a unidades de dados que não são criptografadas.Not configured - By default, read and write access to data drives that aren't encrypted.

    Quando está como Habilitar, você pode definir a seguinte configuração:When set to Enable, you can configure the following setting:

    • Acesso de gravação a dispositivos configurados em outra organizaçãoWrite access to devices configured in another organization
      Padrão: não configuradoDefault: Not configured

      • Bloquear – impede o acesso de gravação a dispositivos configurados em outra organização.Block - Block write access to devices configured in another organization.
      • Não configurado -negar acesso de gravação.Not configured - Deny write access.

Microsoft Defender Exploit GuardMicrosoft Defender Exploit Guard

Use a proteção contra Exploit para gerenciar e reduzir a superfície de ataque de aplicativos usados por seus funcionários.Use exploit protection to manage and reduce the attack surface of apps used by your employees.

Redução da superfície de ataqueAttack Surface Reduction

As regras de redução da superfície de ataque ajudam a evitar comportamentos que o malware geralmente usa para infectar computadores com código mal-intencionado.Attack surface reduction rules help prevent behaviors malware often uses to infect computers with malicious code.

Regras de Redução da superfície de ataqueAttack Surface Reduction rules

Regras para impedir ameaças a macros do OfficeRules to prevent Office Macro threats

Impeça que os aplicativos do Office executem as seguintes ações:Block Office apps from taking the following actions:

Regras para impedir ameaças de scriptRules to prevent script threats

Bloqueie o seguinte para ajudar a prevenir ameaças de script:Block the following to help prevent against script threats:

Regras para impedir ameaças de emailRules to prevent email threats

Bloqueie o seguinte para ajudar a prevenir ameaças por email:Block the following to help prevent email threats:

  • Execução de conteúdo executável (exe, dll, ps, js, vbs, etc.) proveniente do email (cliente de webmail/email) (sem exceções)Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
    Padrão: não configuradoDefault: Not configured
    Regra: bloquear o conteúdo executável do cliente de email e de webmailRule: Block executable content from email client and webmail

    • Não configuradoNot configured
    • Bloquear – impede a execução de conteúdo executável (exe, dll, ps, js, vbs etc.) proveniente do email (cliente de webmail/email).Block - Block execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail-client).
    • Somente auditoriaAudit only

Regras para proteger-se contra ransomwareRules to protect against ransomware

Exceções de redução da superfície de ataqueAttack Surface Reduction exceptions

  • Arquivos e pastas a serem excluídos das regras de redução da superfície de ataqueFiles and folder to exclude from attack surface reduction rules
    CSP do defender: AttackSurfaceReductionOnlyExclusionsDefender CSP: AttackSurfaceReductionOnlyExclusions

    • Importe um arquivo. csv que contenha arquivos e pastas para excluir das regras de redução da superfície de ataque.Import a .csv file that contains files and folders to exclude from attack surface reduction rules.
    • Adicione arquivos ou pastas locais manualmente.Add local files or folders manually.

Importante

Para permitir a instalação e a execução corretas de aplicativos Win32 LOB, as configurações de antimalware devem excluir os seguintes diretórios da verificação:To allow proper installation and execution of LOB Win32 apps, anti-malware settings should exclude the following directories from being scanned:
Em computadores cliente x64:On X64 client machines:
C:\Arquivos de Programa (x86)\Microsoft Intune Management Extension\ContentC:\Program Files (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECacheC:\windows\IMECache

Em computadores cliente x86:On X86 client machines:
C:\Arquivos de Programa\Microsoft Intune Management Extension\ContentC:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECacheC:\windows\IMECache

Acesso controlado à pastaControlled folder access

Ajude a proteger dados valiosos contra ameaças e aplicativos mal-intencionados, como ransomware.Help protect valuable data from malicious apps and threats, such as ransomware.

  • Proteção de pastaFolder protection
    Padrão: não configuradoDefault: Not configured
    CSP do defender: EnableControlledFolderAccessDefender CSP: EnableControlledFolderAccess

    Proteger arquivos e pastas contra alterações não autorizadas por aplicativos não amigáveis.Protect files and folders from unauthorized changes by unfriendly apps.

    • Não configuradoNot configured
    • HabilitarEnable
    • Somente auditoriaAudit only
    • Bloquear modificação de discoBlock disk modification
    • Modificação de disco de auditoriaAudit disk modification

    Quando você seleciona uma configuração diferente de não configurado, você pode configurar:When you select a configuration other than Not configured, you can then configure:

    • Lista de aplicativos que têm acesso a pastas protegidasList of apps that have access to protected folders
      CSP do defender: ControlledFolderAccessAllowedApplicationsDefender CSP: ControlledFolderAccessAllowedApplications

      • Importe um arquivo. csv que contenha uma lista de aplicativos.Import a .csv file that contains an app list.
      • Adicione aplicativos a essa lista manualmente.Add apps to this list manually.
    • Lista de pastas adicionais que precisam ser protegidasList of additional folders that need to be protected
      CSP do defender: ControlledFolderAccessProtectedFoldersDefender CSP: ControlledFolderAccessProtectedFolders

      • Importe um arquivo. csv que contenha uma lista de pastas.Import a .csv file that contains a folder list.
      • Adicione pastas a essa lista manualmente.Add folders to this list manually.

Filtragem de redeNetwork filtering

Bloquear conexões de saída de qualquer aplicativo para endereços IP ou domínios com baixa reputação.Block outbound connections from any app to IP addresses or domains with low reputations. Há suporte para a filtragem de rede no modo de auditoria e de bloqueio.Network filtering is supported in both Audit and Block mode.

  • Proteção de redeNetwork protection
    Padrão: não configuradoDefault: Not configured
    CSP do defender: EnableNetworkProtectionDefender CSP: EnableNetworkProtection

    A intenção dessa configuração é proteger os usuários finais de aplicativos com acesso a golpes de phishing, sites de Hospedagem de exploração e conteúdo mal-intencionado na Internet.The intent of this setting is to protect end users from apps with access to phishing scams, exploit-hosting sites, and malicious content on the Internet. Ele também impede que navegadores de terceiros se conectem a sites perigosos.It also prevents third-party browsers from connecting to dangerous sites.

    • Não configurado – desabilita esse recurso.Not configured - Disable this feature. Os usuários e aplicativos não estão impedidos de se conectar a domínios perigosos.Users and apps aren't blocked from connecting to dangerous domains. Os administradores não podem ver essa atividade na Central de Segurança do Microsoft Defender.Administrators can't see this activity in Microsoft Defender Security Center.
    • Habilitar -ativar a proteção de rede e impedir que usuários e aplicativos se conectem a domínios perigosos.Enable - Turn on network protection, and block users and apps from connecting to dangerous domains. Os administradores não podem ver essa atividade na Central de Segurança do Microsoft Defender.Administrators can see this activity in Microsoft Defender Security Center.
    • Somente auditoria:-os usuários e aplicativos não são impedidos de se conectar a domínios perigosos.Audit only: - Users and apps aren't blocked from connecting to dangerous domains. Os administradores não podem ver essa atividade na Central de Segurança do Microsoft Defender.Administrators can see this activity in Microsoft Defender Security Center.

Proteção contra exploraçõesExploit protection

  • Carregar XMLUpload XML
    Padrão: não configuradoDefault: Not configured

    Para usar a proteção contra Exploit para proteger dispositivos contra explorações, crie um arquivo XML que inclui as configurações de mitigação do sistema e do aplicativo que você deseja.To use exploit protection to protect devices from exploits, create an XML file that includes the system and application mitigation settings you want. Há dois métodos para criar o arquivo XML:There are two methods to create the XML file:

    • PowerShell: use um ou mais dos cmdlets Get-ProcessMitigation, Set-ProcessMitigation e ConvertTo-ProcessMitigationPolicy do PowerShell.PowerShell - Use one or more of the Get-ProcessMitigation, Set-ProcessMitigation, and ConvertTo-ProcessMitigationPolicy PowerShell cmdlets. Os cmdlets definem configurações de mitigação e exportam uma representação XML deles.The cmdlets configure mitigation settings, and export an XML representation of them.

    • Interface do usuário da Central de Segurança do Microsoft Defender – na Central de Segurança do Microsoft Defender, clique no controle de aplicativo e navegador e, em seguida, role até a parte inferior da tela resultante para localizar o Exploit Protection.Microsoft Defender Security Center UI - In the Microsoft Defender Security Center, click on App & browser control and then scroll to the bottom of the resulting screen to find Exploit Protection. Primeiro, use as guias Configurações do sistema e Configurações do programa para definir as configurações de mitigação.First, use the System settings and Program settings tabs to configure mitigation settings. Em seguida, localize o link Exportar configurações na parte inferior da tela para exportar uma representação XML delas.Then, find the Export settings link at the bottom of the screen to export an XML representation of them.

  • Edição de usuário da interface de proteção de exploraçãoUser editing of the exploit protection interface
    Padrão: não configuradoDefault: Not configured
    CSP ExploitGuard: ExploitProtectionSettingsExploitGuard CSP: ExploitProtectionSettings

    • Bloquear – carregar um arquivo XML que permite configurar a memória, o fluxo de controle e as restrições de política.Block - Upload an XML file that allows you to configure memory, control flow, and policy restrictions. As configurações no arquivo XML podem ser usadas para bloquear um aplicativo contra explorações.The settings in the XML file can be used to block an application from exploits.
    • Não configurado -nenhuma configuração personalizada é usada.Not configured - No custom configuration is used.

Controle de Aplicativos do Microsoft DefenderMicrosoft Defender Application Control

Escolha aplicativos adicionais que precisam ser auditados ou que podem ser confiáveis para execução pelo controle de aplicativos do Microsoft defender.Choose additional apps that either need to be audited by, or can be trusted to run by Microsoft Defender Application Control. Os componentes do Windows e todos os aplicativos da Windows Store são automaticamente confiáveis para execução.Windows components and all apps from Windows store are automatically trusted to run.

  • Políticas de integridade de código de controle de aplicativoApplication control code integrity policies
    Padrão: não configuradoDefault: Not configured
    CSP: CSP do AppLockerCSP: AppLocker CSP

    • Impor -escolha as políticas de integridade de código de controle de aplicativo para os dispositivos dos usuários.Enforce - Choose the application control code integrity policies for your users' devices.

      Depois de habilitado em um dispositivo, o Controle do Aplicativo só poderá ser desabilitado quando se alterar o modo de Impor para Somente auditoria.After being enabled on a device, Application Control can only be disabled by changing the mode from Enforce to Audit only. Alterar o modo de Impor para Não Configurado resultará no Controle do Aplicativo continuar a ser imposto nos dispositivos atribuídos.Changing the mode from Enforce to Not Configured results in Application Control continuing to be enforced on assigned devices.

    • Não configurado -o controle de aplicativo não é adicionado aos dispositivos.Not Configured - Application Control is not added to devices. No entanto, as configurações que foram adicionadas anteriormente continuam a ser impostas em dispositivos atribuídos.However, settings that were previously added continue to be enforced on assigned devices.

    • Somente auditoria -os aplicativos não são bloqueados.Audit only - Applications aren't blocked. Todos os eventos são registrados nos logs do cliente local.All events are logged in the local client's logs.

Microsoft defender Credential GuardMicrosoft Defender Credential Guard

O Microsoft Defender Credential Guard protege contra ataques de roubo de credenciais.Microsoft Defender Credential Guard protects against credential theft attacks. Ele isola segredos de modo que apenas o software do sistema privilegiado possa acessá-los.It isolates secrets so that only privileged system software can access them.

  • Credential GuardCredential Guard
    Padrão: DesabilitarDefault: Disable
    CSP DeviceGuardDeviceGuard CSP

    • Desabilitar – desativará o Credential Guard remotamente se ele tiver sido ativado anteriormente com a opção Habilitado sem bloqueio de UEFI.Disable - Turn off Credential Guard remotely, if it was previously turned on with the Enabled without UEFI lock option.

    • Habilitar com bloqueio de UEFI – o Credential Guard não pode ser desabilitado remotamente usando uma chave do Registro ou uma Política de Grupo.Enable with UEFI lock - Credential Guard can't be disabled remotely by using a registry key or group policy.

      Observação

      Se você usar essa configuração e depois quiser desabilitar o Credential Guard, deverá definir a Política de Grupo como Desabilitada.If you use this setting, and then later want to disable Credential Guard, you must set the Group Policy to Disabled. Além disso, limpe fisicamente as informações de configuração de UEFI de cada computador.And, physically clear the UEFI configuration information from each computer. Enquanto a configuração da UEFI for mantida, o Credential Guard estará habilitado.As long as the UEFI configuration persists, Credential Guard is enabled.

    • Habilitar sem bloqueio de UEFI – permite que o Credential Guard seja desabilitado remotamente usando uma Política de Grupo.Enable without UEFI lock - Allows Credential Guard to be disabled remotely by using Group Policy. Os dispositivos que usam essa configuração devem estar executando, Windows 10 versão 1511 e mais recentes.The devices that use this setting must be running Windows 10 version 1511 and newer.

    Ao habilitar o Credential Guard, os seguintes recursos obrigatórios também são habilitados:When you enable Credential Guard, the following required features are also enabled:

    • VBS (Segurança baseada em virtualização)Virtualization-based Security (VBS)
      É ativada durante a próxima reinicialização.Turns on during the next reboot. A segurança baseada em virtualização usa o Hipervisor do Windows para dar suporte aos serviços de segurança.Virtualization-based security uses the Windows Hypervisor to provide support for security services.
    • Inicialização Segura com acesso direto à memóriaSecure Boot with Directory Memory Access
      Ativa a VBS com as proteções Inicialização Segura e DMA (acesso direto à memória).Turns on VBS with Secure Boot and direct memory access (DMA) protections. Proteções de AMD exigem suporte de hardware e são habilitadas somente em dispositivos configurados corretamente.DMA protections require hardware support, and are only enabled on correctly configured devices.

Central de Segurança do Microsoft DefenderMicrosoft Defender Security Center

A Central de Segurança do Microsoft Defender funciona como um aplicativo ou um processo separado de cada um dos recursos individuais.Microsoft Defender Security Center operates as a separate app or process from each of the individual features. Ele exibe notificações por meio da Central de Ações.It displays notifications through the Action Center. Funciona como um coletor ou um único lugar para ver o status e executar algumas etapas de configuração para cada um dos recursos.It acts as a collector or single place to see the status and run some configuration for each of the features. Saiba mais nos documentos do Microsoft defender .Find out more in the Microsoft Defender docs.

Aplicativo Central de Segurança do Microsoft Defender e notificaçõesMicrosoft Defender Security Center app and notifications

Bloqueie o acesso de usuário final às várias áreas do aplicativo da Central de Segurança do Microsoft Defender.Block end-user access to the various areas of the Microsoft Defender Security Center app. Ocultar uma seção também bloqueia as notificações relacionadas.Hiding a section also blocks related notifications.

  • Proteção contra vírus e ameaçasVirus and threat protection
    Padrão: não configuradoDefault: Not configured
    CSP WindowsDefenderSecurityCenter: DisableVirusUIWindowsDefenderSecurityCenter CSP: DisableVirusUI

    Configure se os usuários finais podem exibir a área de proteção contra vírus e ameaças na central de segurança do Microsoft defender.Configure if end users can view the Virus and threat protection area in the Microsoft Defender Security Center. Ocultar esta seção também bloqueará todas as notificações relacionadas à proteção contra vírus e ameaças.Hiding this section will also block all notifications related to Virus and threat protection.

    • Não configuradoNot configured
    • OcultarHide
  • Proteção contra ransomwareRansomware protection
    Padrão: não configuradoDefault: Not configured
    CSP WindowsDefenderSecurityCenter: HideRansomwareDataRecoveryWindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

    Configurar se os usuários finais puderem exibir a área de proteção contra ransomware na central de segurança do Microsoft defender.Configure if end users can view the Ransomware protection area in the Microsoft Defender Security Center. Ocultar esta seção também bloqueará todas as notificações relacionadas à proteção contra ransomware.Hiding this section will also block all notifications related to Ransomware protection.

    • Não configuradoNot configured
    • OcultarHide
  • Proteção da contaAccount protection
    Padrão: não configuradoDefault: Not configured
    CSP WindowsDefenderSecurityCenter: DisableAccountProtectionUIWindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI

    Configurar se os usuários finais puderem exibir a área proteção da conta na central de segurança do Microsoft defender.Configure if end users can view the Account protection area in the Microsoft Defender Security Center. Ocultar esta seção também bloqueará todas as notificações relacionadas à proteção da conta.Hiding this section will also block all notifications related to Account protection.

    • Não configuradoNot configured
    • OcultarHide
  • Proteção de firewall e redeFirewall and network protection
    Padrão: não configuradoDefault: Not configured
    CSP WindowsDefenderSecurityCenter: DisableNetworkUIWindowsDefenderSecurityCenter CSP: DisableNetworkUI

    Configurar se os usuários finais puderem exibir a área de proteção de firewall e rede na central de segurança do Microsoft defender.Configure if end users can view the Firewall and network protection area in the Microsoft Defender Security center. Ocultar esta seção também bloqueará todas as notificações relacionadas ao firewall e à proteção de rede.Hiding this section will also block all notifications related to Firewall and network protection.

    • Não configuradoNot configured
    • OcultarHide
  • Controle de aplicativo e navegadorApp and browser Control
    Padrão: não configuradoDefault: Not configured
    CSP WindowsDefenderSecurityCenter: DisableAppBrowserUIWindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

    Configurar se os usuários finais puderem exibir a área de controle do aplicativo e do navegador na central de segurança do Microsoft defender.Configure if end users can view the App and browser control area in the Microsoft Defender Security center. Ocultar esta seção também bloqueará todas as notificações relacionadas ao aplicativo e ao controle de navegador.Hiding this section will also block all notifications related to App and browser control.

    • Não configuradoNot configured
    • OcultarHide
  • Proteção de hardwareHardware protection
    Padrão: não configuradoDefault: Not configured
    CSP WindowsDefenderSecurityCenter: DisableDeviceSecurityUIWindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

    Configurar se os usuários finais puderem exibir a área de proteção de hardware na central de segurança do Microsoft defender.Configure if end users can view the Hardware protection area in the Microsoft Defender Security Center. Ocultar esta seção também bloqueará todas as notificações relacionadas à proteção de hardware.Hiding this section will also block all notifications related to Hardware protection.

    • Não configuradoNot configured
    • OcultarHide
  • Integridade e desempenho do dispositivoDevice performance and health
    Padrão: não configuradoDefault: Not configured
    CSP WindowsDefenderSecurityCenter: DisableHealthUIWindowsDefenderSecurityCenter CSP: DisableHealthUI

    Configurar se os usuários finais puderem exibir a área de desempenho e integridade do dispositivo na central de segurança do Microsoft defender.Configure if end users can view the Device performance and health area in the Microsoft Defender Security center. Ocultar esta seção também bloqueará todas as notificações relacionadas ao desempenho e à integridade do dispositivo.Hiding this section will also block all notifications related to Device performance and health.

    • Não configuradoNot configured
    • OcultarHide
  • Opções da famíliaFamily options
    Padrão: não configuradoDefault: Not configured
    CSP WindowsDefenderSecurityCenter: DisableFamilyUIWindowsDefenderSecurityCenter CSP: DisableFamilyUI

    Configurar se os usuários finais puderem exibir a área de opções da família na central de segurança do Microsoft defender.Configure if end users can view the Family options area in the Microsoft Defender Security center. Ocultar esta seção também bloqueará todas as notificações relacionadas às opções da família.Hiding this section will also block all notifications-related to Family options.

    • Não configuradoNot configured
    • OcultarHide
  • Notificações das áreas exibidas do aplicativoNotifications from the displayed areas of app
    Padrão: não configuradoDefault: Not configured
    CSP WindowsDefenderSecurityCenter: DisableNotificationsWindowsDefenderSecurityCenter CSP: DisableNotifications

    Escolha quais notificações serão exibidas aos usuários finais.Choose which notifications to display to end users. As notificações não críticas incluem resumos de atividades do Microsoft Defender Antivírus, incluindo notificações após a conclusão das verificações.Non-critical notifications include summaries of Microsoft Defender Antivirus activity, including notifications when scans have completed. Todas as outras notificações são consideradas críticas.All other notifications are considered critical.

    • Não configuradoNot configured
    • Bloquear notificações não críticasBlock non-critical notifications
    • Bloquear todas as notificaçõesBlock all notifications
  • Ícone da central de segurança do Windows na bandeja do sistemaWindows Security Center icon in the system tray
    Padrão: não configuradoDefault: Not configured

    Configure a exibição do controle da área de notificação.Configure the display of the notification area control. O usuário precisa sair e entrar ou reiniciar o computador para que essa configuração entre em vigor.The user needs to either sign out and sign in or reboot the computer for this setting to take effect.

    • Não configuradoNot configured
    • OcultarHide
  • Botão limpar TPMClear TPM button
    Padrão: não configuradoDefault: Not configured

    Configure a exibição do botão limpar TPM.Configure the display of the Clear TPM button.

    • Não configuradoNot configured
    • DesabilitarDisable
  • Aviso de atualização de firmware do TPMTPM firmware update warning
    Padrão: não configuradoDefault: Not configured

    Configure a exibição do firmware do TPM de atualização quando um firmware vulnerável for detectado.Configure the display of update TPM Firmware when a vulnerable firmware is detected.

    • Não configuradoNot configured
    • OcultarHide
  • Proteção contra violaçõesTamper Protection
    Padrão: não configuradoDefault: Not configured

    Ativar ou desativar a proteção contra violação em dispositivos.Turn Tamper Protection on or off on devices. Para usar a proteção contra violações, você deve integrar a proteção avançada contra ameaças do Microsoft defender com o Intunee ter Enterprise Mobility + Security licenças E5.To use Tamper Protection, you must integrate Microsoft Defender Advanced Threat Protection with Intune, and have Enterprise Mobility + Security E5 Licenses.

    • Não configurado -nenhuma alteração é feita nas configurações do dispositivo.Not configured - No change is made to device settings.
    • Habilitado -a proteção contra violação está ativada e as restrições são impostas nos dispositivos.Enabled - Tamper Protection is turned on and restrictions are enforced on devices.
    • Desabilitado -a proteção contra violações está desativada e as restrições não são impostas.Disabled - Tamper Protection is turned off and restrictions are not enforced.

Informações de contato de TIIT contact Information

Forneça as informações de contato de TI que aparecem no aplicativo da Central de Segurança do Microsoft Defender e as notificações do aplicativo.Provide IT contact information to appear in the Microsoft Defender Security Center app and the app notifications.

Você pode escolher Exibir no aplicativo e em notificações, Exibir somente no aplicativo, Exibir somente em notificações ou Não exibir.You can choose to Display in app and in notifications, Display only in app, Display only in notifications, or Don't display. Insira o nome da organização de TI e, pelo menos, uma das seguintes opções de contato:Enter the IT organization name, and at least one of the following contact options:

  • Informações de contato de TIIT contact information
    Padrão: não exibirDefault: Don't display
    CSP WindowsDefenderSecurityCenter: EnableCustomizedToastsWindowsDefenderSecurityCenter CSP: EnableCustomizedToasts

    Configure onde exibir informações de contato para os usuários finais.Configure where to display IT contact information to end users.

    • Exibir no aplicativo e em notificaçõesDisplay in app and in notifications
    • Exibir somente no aplicativoDisplay only in app
    • Exibir somente em notificaçõesDisplay only in notifications
    • Não exibirDon't display

    Quando configurado para exibir, você pode definir as seguintes configurações:When configured to display, you can configure the following settings:

    • Nome da organização de TIIT organization name
      Padrão: não configuradoDefault: Not configured
      CSP WindowsDefenderSecurityCenter: CompanyNameWindowsDefenderSecurityCenter CSP: CompanyName

    • Número de telefone ou ID do Skype do departamento de TIIT department phone number or Skype ID
      Padrão: não configuradoDefault: Not configured
      CSP WindowsDefenderSecurityCenter: telefoneWindowsDefenderSecurityCenter CSP: Phone

    • Endereço de email do departamento de TIIT department email address
      Padrão: não configuradoDefault: Not configured
      CSP WindowsDefenderSecurityCenter: emailWindowsDefenderSecurityCenter CSP: Email

    • URL do site de suporte de TIIT support website URL
      Padrão: não configuradoDefault: Not configured
      CSP WindowsDefenderSecurityCenter: URLWindowsDefenderSecurityCenter CSP: URL

Opções de segurança de dispositivo localLocal device security options

Use estas opções para definir as configurações de segurança locais em dispositivos Windows 10.Use these options to configure the local security settings on Windows 10 devices.

ContasAccounts

  • Adicionar novas contas MicrosoftAdd new Microsoft accounts
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: Accounts_BlockMicrosoftAccountsLocalPoliciesSecurityOptions CSP: Accounts_BlockMicrosoftAccounts

    • Bloquear – impede os usuários de adicionar novas contas Microsoft ao dispositivo.Block Prevent users from adding new Microsoft accounts to the device.
    • Não configurado -os usuários podem usar contas da Microsoft no dispositivo.Not configured - Users can use Microsoft accounts on the device.
  • Logon remoto sem senhaRemote log on without password
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnlyLocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Bloquear – permite que somente contas locais com senhas em branco entrem usando o teclado do dispositivo.Block - Allow only local accounts with blank passwords to sign in using the device's keyboard.
    • Não configurado – permite que contas locais com senhas em branco entrem em locais diferentes do dispositivo físico.Not configured - Allow local accounts with blank passwords to sign in from locations other than the physical device.

AdministradorAdmin

ConvidadoGuest

  • Conta ConvidadoGuest account
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: LocalPoliciesSecurityOptionsLocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions

    • Bloquear – impedir o uso de uma conta de convidado.Block - Prevent use of a Guest account.
    • Não configuradoNot configured
  • Renomear a conta ConvidadoRename guest account
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: Accounts_RenameGuestAccountLocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

    Defina um nome de conta diferente a ser associado ao SID (identificador de segurança) da conta "Convidado".Define a different account name to be associated with the security identifier (SID) for the account “Guest”.

DispositivosDevices

  • Desencaixar dispositivo sem logonUndock device without logon
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: Devices_AllowUndockWithoutHavingToLogonLocalPoliciesSecurityOptions CSP: Devices_AllowUndockWithoutHavingToLogon

    • Bloquear – os usuários podem pressionar o botão físico de ejetar do dispositivo portátil encaixado para desencaixar o dispositivo com segurança.Block - Users can press a docked portable device's physical eject button to safely undock the device.
    • Não configurado -um usuário deve entrar no dispositivo e receber permissão para desencaixar o dispositivo.Not configured - A user must sign in to the device, and receive permission to undock the device.
  • Instalar drivers de impressora para impressoras compartilhadasInstall printer drivers for shared printers
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrintersLocalPoliciesSecurityOptions CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

    • Habilitado – qualquer usuário pode instalar um driver de impressora como parte da conexão com uma impressora compartilhada.Enabled - Any user can install a printer driver as part of connecting to a shared printer.
    • Não configurado – somente os Administradores podem instalar um driver de impressora como parte da conexão a uma impressora compartilhada.Not configured - Only Administrators can install a printer driver as part of connecting to a shared printer.
  • Restringir o acesso de CD-ROM ao usuário ativo localRestrict CD-ROM access to local active user
    Padrão: não configuradoDefault: Not configured
    CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnlyCSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

    • Habilitado – somente o usuário conectado interativamente pode usar a mídia de CD-ROM.Enabled - Only the interactively logged-on user can use the CD-ROM media. Se essa política está habilitada e ninguém está conectado interativamente, o CD-ROM é acessado pela rede.If this policy is enabled, and no one is logged on interactively, then the CD-ROM is accessed over the network.
    • Não configurado -qualquer pessoa tem acesso ao CD-ROM.Not configured - Anyone has access to the CD-ROM.
  • Formatar e ejetar a mídia removívelFormat and eject removable media
    Padrão: administradoresDefault: Administrators
    CSP: Devices_AllowedToFormatAndEjectRemovableMediaCSP: Devices_AllowedToFormatAndEjectRemovableMedia

    Defina quem tem permissão para formatar e ejetar a mídia NTFS removível:Define who is allowed to format and eject removable NTFS media:

    • Não configuradoNot configured
    • AdministradoresAdministrators
    • Administradores e Usuários AvançadosAdministrators and Power Users
    • Administradores e Usuários InterativosAdministrators and Interactive Users

Logon interativoInteractive Logon

  • Minutos de inatividade do bloqueio de tela até a proteção de tela ser ativadaMinutes of lock screen inactivity until screen saver activates
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: InteractiveLogon_MachineInactivityLimitLocalPoliciesSecurityOptions CSP: InteractiveLogon_MachineInactivityLimit

    Insira o máximo de minutos de inatividade na tela de entrada da área de trabalho interativa até a proteção de tela ser iniciada.Enter the maximum minutes of inactivity on the interactive desktop’s sign-in screen until the screen saver starts. (0 - 99999)(0 - 99999)

  • Exigir CTRL+ALT+DEL para fazer logonRequire CTRL+ALT+DEL to log on
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotRequireCTRLALTDELLocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotRequireCTRLALTDEL

    • Habilitar – para que os usuários não precisem pressionar CTRL+ALT+DEL ao entrar.Enable - Pressing CTRL+ALT+DEL isn't required for users to sign in.
    • Não configurado – exige que os usuários pressionem CTRL+ALT+DEL antes de fazer logon no Windows.Not configured Require users to press CTRL+ALT+DEL before logging on to Windows.
  • Comportamento de remoção do cartão inteligenteSmart card removal behavior
    Padrão: Bloquear estação de trabalhoDefault: Lock workstation
    CSP LocalPoliciesSecurityOptions: InteractiveLogon_SmartCardRemovalBehaviorLocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

    Determina o que acontece quando o cartão inteligente de um usuário conectado é removido do leitor de cartão inteligente.Determines what happens when the smart card for a logged-on user is removed from the smart card reader. Suas opções:Your options:

    • Bloquear Estação de Trabalho – a estação de trabalho é bloqueada quando o cartão inteligente é removido.Lock Workstation - The workstation is locked when the smart card is removed. Essa opção permite que os usuários deixem a área, levem o cartão inteligente com eles e ainda mantenham uma sessão protegida.This option allows users to leave the area, take their smart card with them, and still maintain a protected session.
    • Nenhuma açãoNo action
    • Forçar Logoff – o logoff do usuário é feito automaticamente quando o cartão inteligente é removido.Force Logoff - The user is automatically logged off when the smart card is removed.
    • Desconectar em caso de uma sessão de Serviços de Área de Trabalho Remota – a remoção do cartão inteligente desconecta a sessão sem fazer logoff do usuário.Disconnect if a Remote Desktop Services session - Removal of the smart card disconnects the session without logging off the user. Essa opção permite que o usuário insira o cartão inteligente e retome a sessão mais tarde, ou em outro computador equipado com o leitor de cartão inteligente, sem precisar entrar novamente.This option allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to sign in again. Se a sessão for local, essa política funcionará de modo idêntico a Bloquear a Estação de Trabalho.If the session is local, this policy functions identically to Lock Workstation.

MonitorDisplay

Acesso e segurança de redeNetwork access and security

  • Acesso anônimo a Compartilhamentos e Pipes NomeadosAnonymous access to Named Pipes and Shares
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndSharesLocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

    • Não configurado – restringe o acesso anônimo às configurações de compartilhamento e Pipe Nomeado.Not configured - Restrict anonymous access to share and Named Pipe settings. Aplica-se às configurações que podem ser acessadas anonimamente.Applies to the settings that can be accessed anonymously.
    • Bloquear -desabilitar esta política, disponibilizando o acesso anônimo.Block - Disable this policy, making anonymous access available.
  • Enumeração anônima de contas do SAMAnonymous enumeration of SAM accounts
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccountsLocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

    • Não configurado -os usuários anônimos podem enumerar contas Sam.Not configured - Anonymous users can enumerate SAM accounts.
    • Bloquear – impede a enumeração anônima de contas do SAM.Block - Prevent anonymous enumeration of SAM accounts.
  • Enumeração anônima de compartilhamentos e contas do SAMAnonymous enumeration of SAM accounts and shares
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndSharesLocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

    • Não configurado – os usuários anônimos podem enumerar os nomes de contas de domínio e compartilhamentos de rede.Not configured - Anonymous users can enumerate the names of domain accounts and network shares.
    • Bloquear – impede compartilhamentos e a enumeração anônima de contas do SAM.Block - Prevent anonymous enumeration of SAM accounts and shares.
  • Valor do hash do LAN Manager armazenado na alteração de senhaLAN Manager hash value stored on password change
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChangeLocalPoliciesSecurityOptions CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

    Determine se o valor de hash para senhas é armazenado na próxima vez em que a senha for alterada.Determine if the hash value for passwords is stored the next time the password is changed.

    • Não configurado -o valor de hash não está armazenadoNot configured - The hash value isn't stored
    • Bloquear – o LM (Gerenciador de LAN) armazena o valor de hash para a nova senha.Block - The LAN Manager (LM) stores the hash value for the new password.
  • Solicitações de autenticação PKU2UPKU2U authentication requests
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: NetworkSecurity_AllowPKU2UAuthenticationRequestsLocalPoliciesSecurityOptions CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests

    • Não configurado-permitir solicitações PU2U.Not configured- Allow PU2U requests.
    • Bloqueie as solicitações de autenticação PKU2U para o dispositivo.Block - Block PKU2U authentication requests to the device.
  • Restringir conexões RPC remotas com o SAMRestrict remote RPC connections to SAM
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAMLocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

    • Não configurado -use o descritor de segurança padrão, que pode permitir que usuários e grupos façam chamadas RPC remotas para o Sam.Not configured - Use the default security descriptor, which may allow users and groups to make remote RPC calls to the SAM.

    • Permitir -negar que usuários e grupos façam chamadas RPC remotas para o Sam (Gerenciador de contas de segurança), que armazena contas de usuário e senhas.Allow - Deny users and groups from making remote RPC calls to the Security Accounts Manager (SAM), which stores user accounts and passwords. Permitir também permite que você altere a cadeia de caracteres SDDL (linguagem de definição de descritor de segurança) padrão para permitir ou negar explicitamente usuários e grupos para fazer essas chamadas remotas.Allow also lets you change the default Security Descriptor Definition Language (SDDL) string to explicitly allow or deny users and groups to make these remote calls.

      • Descritor de segurançaSecurity descriptor
        Padrão: não configuradoDefault: Not configured
  • Segurança mínima de sessão para clientes baseados em NTLM SSPMinimum Session Security For NTLM SSP Based Clients
    Padrão: nenhumDefault: None
    CSP LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClientsLocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

    Essa configuração de segurança permite que um servidor exija a negociação de criptografia de 128 bits e/ou segurança de sessão NTLMv2.This security setting allows a server to require the negotiation of 128-bit encryption and/or NTLMv2 session security.

    • NenhumNone
    • Exigir segurança de sessão NTLMv2Require NTLMv2 session security
    • Exigir criptografia de 128 bitsRequire 128-bit encryption
    • Exigir criptografia de 128 bits e NTLMv2NTLMv2 and 128-bit encryption
  • Segurança mínima de sessão para servidores baseados em NTLM SSPMinimum Session Security For NTLM SSP Based Server
    Padrão: nenhumDefault: None
    CSP LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServersLocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

    Essa configuração de segurança determina qual protocolo de autenticação de desafio/resposta é usado para logons de rede.This security setting determines which challenge/response authentication protocol is used for network logons.

    • NenhumNone
    • Exigir segurança de sessão NTLMv2Require NTLMv2 session security
    • Exigir criptografia de 128 bitsRequire 128-bit encryption
    • Exigir criptografia de 128 bits e NTLMv2NTLMv2 and 128-bit encryption
  • Nível de autenticação do LAN ManagerLAN Manager Authentication Level
    Padrão: LM e NTLMDefault: LM and NTLM
    CSP LocalPoliciesSecurityOptions: NetworkSecurity_LANManagerAuthenticationLevelLocalPoliciesSecurityOptions CSP: NetworkSecurity_LANManagerAuthenticationLevel

    • LM e NTLMLM and NTLM
    • LM, NTLM e NTLMv2LM, NTLM and NTLMv2
    • NTLMNTLM
    • NTLMv2NTLMv2
    • NTLMv2 e não LMNTLMv2 and not LM
    • NTLMv2 e não LM ou NTLMNTLMv2 and not LM or NTLM
  • Logons de convidado não segurosInsecure Guest Logons
    Padrão: não configuradoDefault: Not configured
    CSP LanmanWorkstation: LanmanWorkstationLanmanWorkstation CSP: LanmanWorkstation

    Se você habilitar essa configuração, o cliente SMB rejeitará logons de convidado inseguros.If you enable this setting, the SMB client will reject insecure guest logons.

    • Não configuradoNot configured
    • Bloquear – o cliente SMB rejeita logons de convidado inseguros.Block - The SMB client rejects insecure guest logons.

Console de recuperação e desligamentoRecovery console and shutdown

  • Limpar arquivo de paginação de memória virtual ao desligarClear virtual memory pagefile when shutting down
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: Shutdown_ClearVirtualMemoryPageFileLocalPoliciesSecurityOptions CSP: Shutdown_ClearVirtualMemoryPageFile

    • Habilitar – limpa o arquivo de paginação de memória virtual quando o dispositivo for desligado.Enable - Clear the virtual memory pagefile when the device is powered down.
    • Não configurado – não limpa a memória virtual.Not configured - Doesn't clear the virtual memory.
  • Desligar sem fazer logonShut down without log on
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOnLocalPoliciesSecurityOptions CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

    • Bloquear – oculta a opção de desligamento na tela de entrada do Windows.Block - Hide the shutdown option on the Windows sign in screen. Os usuários precisam entrar no dispositivo e, em seguida, desligá-lo.Users must sign in to the device, and then shut down.
    • Não configurado – permite que os usuários desliguem o dispositivo na tela de entrada do Windows.Not configured - Allow users to shut down the device from the Windows sign in screen.

Controle de conta de usuárioUser account control

  • Integridade de UIA sem localização seguraUIA integrity without secure location
    Padrão: Não configuradoDefault: Not Configured
    CSP LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocationsLocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Os aplicativos de bloco que estão em um local seguro no sistema de arquivos serão executados somente com a integridade do UIAccess.Block - Apps that are in a secure location in the file system will run only with UIAccess integrity.
    • Não configurado – permite que os aplicativos sejam executados com a integridade de UIAccess, mesmo se eles não estiverem em um local seguro no sistema de arquivos.Not configured - Enables apps to run with UIAccess integrity, even if the apps aren't in a secure location in the file system.
  • Virtualizar falhas de gravação de arquivos e do Registro para locais por usuárioVirtualize file and registry write failures to per-user locations
    Padrão: Não configuradoDefault: Not Configured
    CSP LocalPoliciesSecurityOptions: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocationsLocalPoliciesSecurityOptions CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

    • Habilitada – aplicativos que gravam dados em locais protegidos apresentam falhas.Enabled - Applications that write data to protected locations fail.
    • Não configurado – falhas de gravação de aplicativos são direcionadas em tempo de execução a localizações de usuário definidas tanto para o sistema de arquivos quanto para o Registro.Not configured - Application write failures are redirected at run time to defined user locations for the file system and registry.
  • Elevar somente arquivos executáveis assinados e validadosOnly elevate executable files that are signed and validated
    Padrão: Não configuradoDefault: Not Configured
    CSP LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocationsLocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Habilitado – impõe a validação de caminho de certificação de PKI para um arquivo executável antes que ele possa ser executado.Enabled - Enforce the PKI certification path validation for an executable file before it can run.
    • Não configurado – não impõe a validação de caminho de certificação de PKI antes da execução de um arquivo executável.Not configured - Don't enforce PKI certification path validation before an executable file can run.

Comportamento da solicitação de elevação de UIAUIA elevation prompt behavior

  • Solicitação de elevação para administradoresElevation prompt for admins
    Padrão: solicita o consentimento para binários que não forem do WindowsDefault: Prompt for consent for non-Windows binaries
    CSP LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForAdministratorsLocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

    Defina o comportamento da solicitação de elevação de administradores no Modo de Aprovação de Administrador.Define the behavior of the elevation prompt for admins in Admin Approval Mode.

    • Não configuradoNot configured
    • Elevar sem solicitarElevate without prompting
    • Solicitar credenciais na área de trabalho protegidaPrompt for credentials on the secure desktop
    • Solicitar credenciaisPrompt for credentials
    • Solicitar consentimentoPrompt for consent
    • Solicitar consentimento para binários não WindowsPrompt for consent for non-Windows binaries
  • Solicitação de elevação para usuários padrãoElevation prompt for standard users
    Padrão: solicita credenciaisDefault: Prompt for credentials
    CSP LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsersLocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

    Define o comportamento da solicitação de elevação para usuários padrão.Define the behavior of the elevation prompt for standard users.

    • Não configuradoNot configured
    • Negar automaticamente solicitações de elevaçãoAutomatically deny elevation requests
    • Solicitar credenciais na área de trabalho protegidaPrompt for credentials on the secure desktop
    • Solicitar credenciaisPrompt for credentials
  • Encaminhar solicitações de elevação para a área de trabalho interativa do usuárioRoute elevation prompts to user’s interactive desktop
    Padrão: Não configuradoDefault: Not Configured
    CSP LocalPoliciesSecurityOptions: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevationLocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

    • Habilitado -todas as solicitações de elevação para ir para a área de trabalho do usuário interativo em vez da área de trabalho segura.Enabled - All elevation requests to go to the interactive user's desktop rather than the secure desktop. As configurações de política de comportamento de solicitação para administradores e usuários padrão são usadas.Any prompt behavior policy settings for administrators and standard users are used.
    • Não configurado – força todas as solicitações de elevação a serem encaminhadas para a área de trabalho protegida, independentemente das configurações de política de comportamento de prompts para administradores e usuários padrão.Not configured - Force all elevation requests go to the secure desktop, regardless of any prompt behavior policy settings for administrators and standard users.
  • Prompt com privilégios elevados para instalações de aplicativoElevated prompt for app installations
    Padrão: Não configuradoDefault: Not Configured
    CSP LocalPoliciesSecurityOptions: UserAccountControl_DetectApplicationInstallationsAndPromptForElevationLocalPoliciesSecurityOptions CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

    • Habilitado – pacotes de instalação do aplicativo não são detectados ou solicitados a fornecer elevação.Enabled - Application installation packages aren't detected or prompted for elevation.
    • Não configurado – o usuário é solicitado a fornecer um nome de usuário administrativo e uma senha quando um pacote de instalação de aplicativo exige privilégios elevados.Not configured - Users are prompted for an administrative user name and password when an application installation package requires elevated privileges.
  • Solicitação de elevação de UIA sem a área de trabalho protegidaUIA elevation prompt without secure desktop
    Padrão: Não configuradoDefault: Not Configured
    CSP LocalPoliciesSecurityOptions: UserAccountControl_AllowUIAccessApplicationsToPromptForElevationLocalPoliciesSecurityOptions CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

  • Habilitar – permite que aplicativos de UIAccess solicitem elevação sem usar a área de trabalho protegida.Enable - Allow UIAccess apps to prompt for elevation, without using the secure desktop.

  • Não configurado -as solicitações de elevação usam uma área de trabalho segura.Not configured - Elevation prompts use a secure desktop.

Modo de Aprovação de AdministradorAdmin Approval Mode

  • Modo de Aprovação de Administrador para conta de administrador internoAdmin Approval Mode For Built-in Administrator
    Padrão: Não configuradoDefault: Not Configured
    CSP LocalPoliciesSecurityOptions: UserAccountControl_UseAdminApprovalModeLocalPoliciesSecurityOptions CSP: UserAccountControl_UseAdminApprovalMode

    • Habilitado – permite que a conta de administrador interno use o Modo de Aprovação de Administrador.Enabled - Allow the built-in Administrator account to use Admin Approval Mode. Qualquer operação que exija a elevação de privilégio solicita que o usuário aprove a operação.Any operation that requires elevation of privilege prompts the user to approve the operation.
    • Não configurado – executa todos os aplicativos com privilégios completos de administrador.Not configured - runs all apps with full admin privileges.
  • Executar todos os administradores no Modo de Aprovação de AdministradorRun all admins in Admin Approval Mode
    Padrão: Não configuradoDefault: Not Configured
    CSP LocalPoliciesSecurityOptions: UserAccountControl_RunAllAdministratorsInAdminApprovalModeLocalPoliciesSecurityOptions CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

    • Habilitado– habilitar o modo de aprovação de administrador.Enabled- Enable Admin Approval Mode.
    • Não configurado – desabilita o Modo de Aprovação de Administrador e todas as configurações de política do UAC relacionadas.Not configured - Disable Admin Approval Mode and all related UAC policy settings.

Cliente da Rede MicrosoftMicrosoft Network Client

  • Assinar as comunicações digitalmente (se o servidor concordar)Digitally sign communications (if server agrees)
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgreesLocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

    Determina se o cliente SMB negocia a assinatura de pacotes SMB.Determines if the SMB client negotiates SMB packet signing.

    • Bloquear – o cliente SMB nunca negocia a assinatura de pacote SMB.Block - The SMB client never negotiates SMB packet signing.
    • Não configurado – o cliente de rede Microsoft solicita que o servidor execute a assinatura de pacote SMB na configuração da sessão.Not configured - The Microsoft network client asks the server to run SMB packet signing upon session setup. Se a assinatura de pacote estiver habilitada no servidor, a assinatura de pacote será negociada.If packet signing is enabled on the server, packet signing is negotiated.
  • Enviar senha não criptografada para servidores SMB de terceirosSend unencrypted password to third-party SMB servers
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServersLocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

    • Bloquear – o redirecionador do protocolo SMB pode enviar senhas em texto não criptografado para servidores SMB não Microsoft que não dão suporte à criptografia de senha durante a autenticação.Block - The Server Message Block (SMB) redirector can send plaintext passwords to non-Microsoft SMB servers that don't support password encryption during authentication.
    • Não configurado -bloqueia o envio de senhas de texto sem formatação.Not configured - Block sending of plaintext passwords. As senhas são criptografadas.The passwords are encrypted.
  • Assinar as comunicações digitalmente (sempre)Digitally sign communications (always)
    Padrão: não configuradoDefault: Not configured
    CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsAlwaysLocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

    • Habilitar – o cliente de rede da Microsoft não se comunica com o servidor de rede da Microsoft, a menos que o servidor concorde em executar a assinatura do pacote SMB.Enable - The Microsoft network client doesn't communicate with a Microsoft network server unless that server agrees to SMB packet signing.
    • Não configurado -a assinatura de pacote SMB é negociada entre o cliente e o servidor.Not configured - SMB packet signing is negotiated between the client and server.

Microsoft Network ServerMicrosoft Network Server

  • Assinar as comunicações digitalmente (se o cliente concordar)Digitally sign communications (if client agrees)
    Padrão: não configuradoDefault: Not configured
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgreesCSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

    • Habilitar – o servidor da rede Microsoft negocia a assinatura de pacote SMB conforme solicitado pelo cliente.Enable - The Microsoft network server negotiates SMB packet signing as requested by the client. Ou seja, se a assinatura de pacote estiver habilitada no cliente, a assinatura de pacote será negociada.That is, if packet signing is enabled on the client, packet signing is negotiated.
    • Não configurado -o cliente SMB nunca negocia a assinatura de pacote SMB.Not configured - The SMB client never negotiates SMB packet signing.
  • Assinar as comunicações digitalmente (sempre)Digitally sign communications (always)
    Padrão: não configuradoDefault: Not configured
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlwaysCSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

    • Habilitar – o servidor de rede da Microsoft não se comunica com um cliente de rede da Microsoft, a menos que o cliente concorde em executar a assinatura do pacote SMB.Enable - The Microsoft network server doesn't communicate with a Microsoft network client unless that client agrees to SMB packet signing.
    • Não configurado -a assinatura de pacote SMB é negociada entre o cliente e o servidor.Not configured - SMB packet signing is negotiated between the client and server.

Serviços do XboxXbox services

Direitos de usuárioUser Rights

  • Acessar Gerenciador de Credenciais como chamador confiávelAccess Credential Manager as trusted caller
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/AccessCredentialManagerAsTrustedCallerCSP: UserRights/AccessCredentialManagerAsTrustedCaller

    Esse direito de usuário é usado pelo Gerenciador de credenciais durante as operações de backup e restauração.This user right is used by Credential Manager during Backup and Restore operations. As credenciais salvas dos usuários poderão ser comprometidas se esse privilégio for concedido a outras entidades.Users' saved credentials might be compromised if this privilege is given to other entities.

    • Não configuradoNot configured
    • PermitirAllow
  • Permitir logon localAllow local log on
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/AllowLocalLogOnCSP: UserRights/AllowLocalLogOn

    Esse direito de usuário determina quais usuários podem fazer logon no computador.This user right determines which users can log on to the computer.

    • Não configuradoNot configured
    • PermitirAllow
  • Permitir acesso da redeAllow Access From Network
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/AccessFromNetworkCSP: UserRights/AccessFromNetwork

    Esse direito de usuário determina quais usuários e grupos têm permissão para se conectar ao computador pela rede.This user right determines which users and groups are allowed to connect to the computer over the network.

    • Não configuradoNot configured
    • PermitirAllow
  • Atuar como parte do sistema operacionalAct As Part Of The OS
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/ActAsPartOfTheOperatingSystemCSP: UserRights/ActAsPartOfTheOperatingSystem

    Atuar como parte do sistema operacionalAct As Part Of The OS

    • Não configuradoNot configured
    • PermitirAllow
  • Backup de arquivos e diretóriosBackup files and directories
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/BackupFilesAndDirectoriesCSP: UserRights/BackupFilesAndDirectories

    Esse direito de usuário determina quais usuários podem ignorar permissões de arquivo, diretório, registro e outros objetos persistentes ao fazer backup de arquivos e diretórios.This user right determines which users can bypass file, directory, registry, and other persistent objects permissions when backing up files and directories.

    • Não configuradoNot configured
    • PermitirAllow
  • Alterar a hora do sistemaChange the system time
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/ChangeSystemTimeCSP: UserRights/ChangeSystemTime

    Este direito de usuário determina quais usuários e grupos podem alterar a hora e a data no relógio interno do computador.This user right determines which users and groups can change the time and date on the internal clock of the computer.

    • Não configuradoNot configured
    • PermitirAllow
  • Criar objetos globaisCreate global objects
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/CreateGlobalObjectsCSP: UserRights/CreateGlobalObjects

    Essa configuração de segurança determina se os usuários podem criar objetos globais que estão disponíveis para todas as sessões.This security setting determines whether users can create global objects that are available to all sessions. Os usuários que podem criar objetos globais poderiam afetar os processos executados em sessões de outros usuários, o que pode levar à falha ou corrupção de dados do aplicativo.Users who can create global objects could affect processes that run under other users' sessions, which could lead to application failure or data corruption.

    • Não configuradoNot configured
    • PermitirAllow
  • Criar arquivo de paginaçãoCreate pagefile
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/CreatePageFileCSP: UserRights/CreatePageFile

    Esse direito de usuário determina quais usuários e grupos podem chamar uma API interna para criar e alterar o tamanho de um arquivo de paginação.This user right determines which users and groups can call an internal API to create and change the size of a page file.

    • Não configuradoNot configured
    • PermitirAllow
  • Criar objetos compartilhados permanentementeCreate permanent shared objects
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/CreatePermanentSharedObjectsCSP: UserRights/CreatePermanentSharedObjects

    Este direito de usuário determina quais contas podem ser usadas por processos para criar um objeto de diretório usando o Gerenciador de objetos.This user right determines which accounts can be used by processes to create a directory object using the object manager.

    • Não configuradoNot configured
    • PermitirAllow
  • Criar vínculos simbólicosCreate symbolic links
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/CreateSymbolicLinksCSP: UserRights/CreateSymbolicLinks

    Esse direito de usuário determina se o usuário pode criar um link simbólico do computador no qual ele está conectado.This user right determines if the user can create a symbolic link from the computer to which they are logged on.

    • Não configuradoNot configured
    • PermitirAllow
  • Criar tokensCreate tokens
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/CreatetokenCSP: UserRights/CreateToken

    Esse direito de usuário determina quais usuários/grupos podem ser usados por processos para criar um token que pode ser usado para obter acesso a qualquer recurso local quando o processo usa uma API interna para criar um token de acesso.This user right determines which users/groups can be used by processes to create a token that can then be used to get access to any local resources when the process uses an internal API to create an access token.

    • Não configuradoNot configured
    • PermitirAllow
  • Depurar programasDebug programs
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/DebugProgramsCSP: UserRights/DebugPrograms

    Este direito de usuário determina quais usuários podem anexar um depurador a qualquer processo ou ao kernel.This user right determines which users can attach a debugger to any process or to the kernel.

    • Não configuradoNot configured
    • PermitirAllow
  • Negar acesso da redeDeny Access From Network
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/DenyAccessFromNetworkCSP: UserRights/DenyAccessFromNetwork

    Esse direito de usuário determina quais usuários são impedidos de acessar um computador pela rede.This user right determines which users are prevented from accessing a computer over the network.

    • Não configuradoNot configured
    • PermitirAllow
  • Negar o logon como um serviçoDeny log on as a service
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/DenyLocalLogOnCSP: UserRights/DenyLocalLogOn

    Essa configuração de segurança determina quais contas de serviço são impedidas de registrar um processo como um serviço.This security setting determines which service accounts are prevented from registering a process as a service.

    • Não configuradoNot configured
    • PermitirAllow
  • Negar o logon por meio dos Serviços de Área de Trabalho RemotaDeny log on through Remote Desktop Services
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/DenyRemoteDesktopServicesLogOnCSP: UserRights/DenyRemoteDesktopServicesLogOn

    Esse direito de usuário determina quais usuários e grupos são proibidos de fazer logon como um cliente Serviços de Área de Trabalho Remota.This user right determines which users and groups are prohibited from logging on as a Remote Desktop Services client.

    • Não configuradoNot configured
    • PermitirAllow
  • Habilitar delegaçãoEnable delegation
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/EnableDelegationCSP: UserRights/EnableDelegation

Este direito de usuário determina quais usuários podem definir a configuração confiável para delegação em um objeto de usuário ou computador.This user right determines which users can set the Trusted for Delegation setting on a user or computer object.

  • Não configuradoNot configured

  • PermitirAllow

  • Gerar auditorias de segurançaGenerate security audits
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/GenerateSecurityAuditsCSP: UserRights/GenerateSecurityAudits

    Este direito de usuário determina quais contas podem ser usadas por um processo para adicionar entradas ao log de segurança.This user right determines which accounts can be used by a process to add entries to the security log. O log de segurança é usado para rastrear o acesso não autorizado do sistema.The security log is used to trace unauthorized system access.

    • Não configuradoNot configured
    • PermitirAllow
  • Representar um clienteImpersonate a client
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/ImpersonateClientCSP: UserRights/ImpersonateClient

    Atribuir esse direito de usuário a um usuário permite que programas executados em nome desse usuário representem um cliente.Assigning this user right to a user allows programs running on behalf of that user to impersonate a client. Exigir esse direito de usuário para esse tipo de representação impede que um usuário não autorizado convença um cliente para se conectar a um serviço que ele criou e, em seguida, representar esse cliente, o que pode elevar as permissões do usuário não autorizado para níveis administrativos ou de sistema.Requiring this user right for this kind of impersonation prevents an unauthorized user from convincing a client to connect to a service that they have created and then impersonating that client, which can elevate the unauthorized user's permissions to administrative or system levels.

    • Não configuradoNot configured
    • PermitirAllow
  • Aumentar prioridade de agendamentoIncrease scheduling priority
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/IncreaseSchedulingPriorityCSP: UserRights/IncreaseSchedulingPriority

    Este direito de usuário determina quais contas podem usar um processo com acesso de propriedade de gravação a outro processo para aumentar a prioridade de execução atribuída ao outro processo.This user right determines which accounts can use a process with Write Property access to another process to increase the execution priority assigned to the other process.

    • Não configuradoNot configured
    • PermitirAllow
  • Carregar e descarregar drivers de dispositivoLoad and unload device drivers
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/LoadUnloadDeviceDriversCSP: UserRights/LoadUnloadDeviceDrivers

    Este direito de usuário determina quais usuários podem carregar e descarregar dinamicamente drivers de dispositivo ou outro código no modo kernel.This user right determines which users can dynamically load and unload device drivers or other code in to kernel mode.

    • Não configuradoNot configured
    • PermitirAllow
  • Bloquear páginas na memóriaLock pages in memory
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/LockMemoryCSP: UserRights/LockMemory

    Este direito do usuário determina quais contas podem usar um processo para manter dados na memória física, impedindo o sistema de paginar os dados para a memória virtual em disco.This user right determines which accounts can use a process to keep data in physical memory, which prevents the system from paging the data to virtual memory on disk.

    • Não configuradoNot configured
    • PermitirAllow
  • Gerenciar a auditoria e o log de segurançaManage auditing and security log
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/ManageAuditingAndSecurityLogCSP: UserRights/ManageAuditingAndSecurityLog

    Esse direito de usuário determina quais usuários podem especificar opções de auditoria de acesso a objetos para recursos individuais, como arquivos, Active Directory objetos e chaves do registro.This user right determines which users can specify object access auditing options for individual resources, such as files, Active Directory objects, and registry keys.

    • Não configuradoNot configured
    • PermitirAllow
  • Executar tarefas de manutenção de volumePerform volume maintenance tasks
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/ManageVolumeCSP: UserRights/ManageVolume

    Este direito de usuário determina quais usuários e grupos podem executar tarefas de manutenção em um volume, como a desfragmentação remota.This user right determines which users and groups can run maintenance tasks on a volume, such as remote defragmentation.

    • Não configuradoNot configured
    • PermitirAllow
  • Modificar valores de ambiente de firmwareModify firmware environment values
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/ModifyFirmwareEnvironmentCSP: UserRights/ModifyFirmwareEnvironment

    Esse direito de usuário determina quem pode modificar valores de ambiente de firmware.This user right determines who can modify firmware environment values.

    • Não configuradoNot configured
    • PermitirAllow
  • Modificar um rótulo de objetoModify an object label
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/ModifyObjectLabelCSP: UserRights/ModifyObjectLabel

    Este direito de usuário determina quais contas de usuário podem modificar o rótulo de integridade de objetos, como arquivos, chaves do registro ou processos pertencentes a outros usuários.This user right determines which user accounts can modify the integrity label of objects, such as files, registry keys, or processes owned by other users.

    • Não configuradoNot configured
    • PermitirAllow
  • Traçar perfil de um único processoProfile single process
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/ProfileSingleProcessCSP: UserRights/ProfileSingleProcess

    Este direito de usuário determina quais usuários podem usar ferramentas de monitoramento de desempenho para monitorar o desempenho de processos do sistema.This user right determines which users can use performance monitoring tools to monitor the performance of system processes.

    • Não configuradoNot configured
    • PermitirAllow
  • Desligamento remotoRemote shutdown
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/RemoteShutdownCSP: UserRights/RemoteShutdown

    Esse direito de usuário determina quais usuários têm permissão para desligar um computador de um local remoto na rede.This user right determines which users are allowed to shut down a computer from a remote location on the network. O uso indevido desse direito de usuário pode resultar em uma negação de serviço.Misuse of this user right can result in a denial of service.

    • Não configuradoNot configured
    • PermitirAllow
  • Restaurar arquivos e diretóriosRestore files and directories
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/RestoreFilesAndDirectoriesCSP: UserRights/RestoreFilesAndDirectories

    Esse direito de usuário determina quais usuários podem ignorar permissões de arquivo, diretório, registro e outros objetos persistentes ao restaurar arquivos e diretórios de backup e determina quais usuários podem definir qualquer entidade de segurança válida como o proprietário de um objeto.This user right determines which users can bypass file, directory, registry, and other persistent objects permissions when restoring backed up files and directories, and determines which users can set any valid security principal as the owner of an object.

    • Não configuradoNot configured
    • PermitirAllow
  • Apropriar-se de arquivos ou outros objetosTake ownership of files or objects
    Padrão: não configuradoDefault: Not configured
    CSP: UserRights/TakeOwnershipCSP: UserRights/TakeOwnership

    Esse direito de usuário determina quais usuários podem apropriar-se de qualquer objeto protegível no sistema, incluindo Active Directory objetos, arquivos e pastas, impressoras, chaves do registro, processos e threads.This user right determines which users can take ownership of any securable object in the system, including Active Directory objects, files and folders, printers, registry keys, processes, and threads.

    • Não configuradoNot configured
    • PermitirAllow

Próximas etapasNext steps

O perfil foi criado, mas não está fazendo nada ainda.The profile is created, but it's not doing anything yet. Em seguida, atribua o perfil e monitore seu status.Next, assign the profile, and monitor its status.

Definir configurações de proteções de ponto de extremidade em dispositivos macOS.Configure endpoint protections settings on macOS devices.