Configurações do Windows 10 (e posterior) para proteger dispositivos usando o Intune

Observação

O Intune pode dar suporte a mais configurações que as listadas neste artigo. Nem todas as configurações estão ou serão documentadas. Para ver as configurações que você pode definir, crie um perfil de configuração de dispositivo e selecione Catálogo de Configurações. Para saber mais, confira Catálogo de configurações.

O Microsoft Intune inclui muitas configurações para ajudar a proteger seus dispositivos. Este artigo descreve algumas das configurações que você pode habilitar e definir em dispositivos Windows 10 e mais recentes. Essas configurações são criadas em um perfil de configuração do Endpoint Protection no Intune para controle da segurança, incluindo o BitLocker e o Microsoft Defender.

Para configurar o Microsoft Defender Antivírus, confira Restrições de dispositivo do Windows 10.

Antes de começar

Crie um perfil de configuração do dispositivo do Endpoint Protection.

Para saber mais sobre os CSPs (provedores de serviços de configuração), confira a Referência de provedores de serviços de configuração.

Microsoft Defender Application Guard

Ao usar o Microsoft Edge, o Microsoft Defender Application Guard protege seu ambiente contra sites que não são confiáveis para sua organização. Quando os usuários visitam sites que não estão listados no limite de rede isolada, os sites são abertos em uma sessão de navegação virtual do Hyper-V. Os sites confiáveis são definidos por um limite de rede, que são configurados em Configuração do Dispositivo. Para obter mais informações, confira Criar um limite de rede em dispositivos Windows.

O Application Guard só está disponível para dispositivos Windows 10 (64 bits). Usar esse perfil instala um componente do Win32 para ativar o Application Guard.

  • Application Guard
    Padrão: Não configurado
    CSP do Application Guard: Settings/AllowWindowsDefenderApplicationGuard

    • Habilitado para Microsoft Edge – ative esse recurso, que abre sites não confiáveis em um contêiner de navegação virtualizado do Hyper-V.
    • Não configurado – qualquer site (confiável e não confiável) pode ser aberto no dispositivo.
  • Comportamento da área de transferência
    Padrão: Não configurado
    CSP do Application Guard: Settings/ClipboardSettings

    Escolha quais ações de copiar e colar são permitidas entre o computador local e o navegador virtual do Application Guard.

    • Não configurado
    • Permitir copiar e colar somente do PC para o navegador
    • Permitir copiar e colar somente do navegador para o PC
    • Permitir copiar e colar entre o PC e o navegador
    • Bloquear a ação de copiar e colar entre o PC e o navegador
  • Conteúdo da área de transferência
    Essa configuração fica disponível somente quando Comportamento da área de transferência está definido com uma das configurações permitir.
    Padrão: Não configurado
    CSP do Application Guard: Settings/ClipboardFileType

    Selecione o conteúdo da área de transferência permitido.

    • Não configurado
    • Text
    • Imagens
    • Texto e imagens
  • Conteúdo externo em sites empresariais
    Padrão: Não configurado
    CSP do Application Guard: Settings/BlockNonEnterpriseContent

    • Bloquear – impede o carregamento do conteúdo de sites não aprovados.
    • Não configurado – permite abrir sites não empresariais no dispositivo.
  • Imprimir por meio do navegador virtual
    Padrão: Não configurado
    CSP do Application Guard: Settings/PrintingSettings

    • Permitir – permite a impressão do conteúdo selecionado do navegador virtual.
    • Não configurado – desabilita todos os recursos de impressão.

    Optando por Permitir a impressão, você pode definir a seguinte configuração:

    • Tipos de impressão – selecione uma ou mais das seguintes opções:
      • PDF
      • XPS
      • Impressoras locais
      • Impressoras de rede
  • Coletar logs
    Padrão: Não configurado
    CSP do Application Guard: Audit/AuditApplicationGuard

    • Permitir – coleta logs de eventos que ocorrem em uma sessão de navegação do Application Guard.
    • Não configurado – não coleta logs na sessão de navegação.
  • Manter os dados do navegador gerados pelo usuário
    Padrão: Não configurado
    CSP do Application Guard: Settings/AllowPersistence

    • Permitir salva os dados do usuário (como senhas, favoritos e cookies) criados durante uma sessão de navegação virtual do Application Guard.
    • Não configurado descarta os dados e arquivos baixados pelo usuário quando o dispositivo é reiniciado ou quando um usuário sai do serviço.
  • Aceleração gráfica
    Padrão: Não configurado
    CSP do Application Guard: Settings/AllowVirtualGPU

    • Habilitar – carrega mais rapidamente sites e vídeos com uso intenso de elementos gráficos ao obter acesso a uma unidade de processamento gráfico virtual.
    • Não configurado – usa a CPU do dispositivo para os elementos gráficos; não usa a unidade de processamento de elementos gráficos virtuais.
  • Baixar arquivos no sistema de arquivos host
    Padrão: Não configurado
    CSP do Application Guard: Settings/SaveFilesToHost

    • Habilitar – permite que os usuários baixem arquivos do navegador virtualizado no sistema operacional do host.
    • Não configurado – mantém os arquivos localmente no dispositivo e não baixa arquivos no sistema de arquivos de host.

Microsoft Defender Firewall

Configurações globais

Essas configurações são aplicáveis a todos os tipos de rede.

  • Protocolo FTP
    Padrão: Não configurado
    CSP do Firewall: MdmStore/Global/DisableStatefulFtp

    • Bloquear – desabilita o FTP com estado.
    • Não configurado – o firewall realiza a filtragem do FTP com estado para permitir conexões secundárias.
  • Tempo ocioso da associação de segurança antes da exclusão
    Padrão: Não configurado
    CSP do Firewall: MdmStore/Global/SaIdleTime

    Especifique um tempo ocioso, em segundos, após o qual as associações de segurança são excluídas.

  • Codificação de chave pré-compartilhada
    Padrão: Não configurado
    CSP do Firewall: MdmStore/Global/PresharedKeyEncoding

    • Habilitar – codifica chaves pré-compartilhadas usando UTF-8.
    • Não configurado – codifica chaves pré-compartilhadas usando o valor do repositório local.
  • Isenções do IPsec
    Padrão: 0 selecionado
    CSP do Firewall: MdmStore/Global/IPsecExempt

    Selecione um ou mais dos seguintes tipos de tráfego a serem isentos do IPsec:

    • Códigos de tipo ICMP do IPv6 de descoberta de vizinho
    • ICMP
    • Códigos de tipo ICMP do IPv6 de descoberta de roteador
    • Tráfego de rede DHCP do IPv4 e IPv6
  • Verificação da lista de certificados revogados
    Padrão: Não configurado
    CSP do Firewall: MdmStore/Global/CRLcheck

    Escolha como o dispositivo verifica a lista de certificados revogados. As opções incluem:

    • Desabilitar verificação da CRL
    • Falhar verificação da CRL somente em caso de certificado revogado
    • Falhar verificação da CRL caso qualquer erro seja encontrado.
  • Encontrar uma correspondência oportuna de conjunto de autenticação por módulo de chave
    Padrão: Não configurado
    CSP do Firewall: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • Habilitar – força os módulos para chave a ignorar somente os conjuntos de autenticação aos quais eles não dão suporte.
    • Não configurado – os módulos para chave deverão ignorar o conjunto completo de autenticação se eles não derem suporte a todos os pacotes de autenticação especificados no conjunto.
  • Enfileiramento de pacotes
    Padrão: Não configurado
    CSP do Firewall: MdmStore/Global/EnablePacketQueue

    Especifique como o dimensionamento de software no lado do recebimento é habilitado para o recebimento criptografado e o encaminhamento de texto não criptografado para o cenário de gateway de túnel IPsec. Essa configuração confirma que a ordem de pacote é preservada. As opções incluem:

    • Não configurado
    • Desabilitar todos os enfileiramentos de pacotes
    • Enfileirar somente pacotes criptografados de entrada
    • Enfileirar pacotes após a descriptografia somente para encaminhamento
    • Configurar pacotes de entrada e de saída

Configurações de rede

As seguintes configurações são listadas neste artigo apenas uma vez, mas todas se aplicam aos três tipos de rede específicos:

  • Rede de domínio (local de trabalho)
  • Rede privada (detectável)
  • Rede pública (não detectável)

Configurações gerais

  • Microsoft Defender Firewall
    Padrão: Não configurado
    CSP do Firewall: EnableFirewall

    • Habilitar – ativa o firewall e a segurança avançada.
    • Não configurado permite todo o tráfego de rede, independentemente de outras configurações de política.
  • Modo oculto
    Padrão: Não configurado
    CSP do Firewall: DisableStealthMode

    • Não configurado
    • Bloquear – a operação do firewall em modo furtivo é bloqueada. O bloqueio do modo furtivo permite bloquear também a Isenção de pacote protegido por IPsec.
    • Permitir – o firewall opera em modo furtivo, o que ajuda a evitar respostas a solicitações de investigação.
  • Isenção de pacote protegido por IPsec com Modo Furtivo
    Padrão: Não configurado
    CSP do Firewall: DisableStealthModeIpsecSecuredPacketExemption

    Essa opção é ignorada quando Modo furtivo está definido como Bloquear.

    • Não configurado
    • Bloquear – os pacotes protegidos por IPSec não recebem isenções.
    • Permitir – habilita isenções. O modo furtivo do firewall NÃO PODE impedir que o computador host responda ao tráfego de rede não solicitado que é protegido por IPsec.
  • Blindado
    Padrão: Não configurado
    CSP do Firewall: Blindado

    • Não configurado
    • Bloquear – quando o Microsoft Defender Firewall está ativado e a configuração está definida como Bloquear, todo o tráfego de entrada é bloqueado, independentemente de outras configurações de política.
    • Permitir – quando definida como Permitir, essa configuração é desativada e o tráfego de entrada é permitido com base em outras configurações de política.
  • Respostas unicast para difusões multicast
    Padrão: Não configurado
    CSP do Firewall: DisableUnicastResponsesToMulticastBroadcast

    Normalmente, você não deseja receber respostas unicast para mensagens de difusão ou multicast. Essas respostas podem indicar um ataque DoS (negação de serviço) ou um invasor tentando investigar um computador ativo conhecido.

    • Não configurado
    • Bloquear – desabilitar respostas unicast para difusões multicast.
    • Permitir – permite respostas unicast para difusões multicast.
  • Notificações de entrada
    Padrão: Não configurado
    CSP do Firewall: DisableInboundNotifications

    • Não configurado
    • Bloquear – oculta notificações para os usuários quando um aplicativo é impedido de escutar em uma porta.
    • Permitir – habilita essa configuração e pode mostrar uma notificação para os usuários quando um aplicativo é impedido de escutar em uma porta.
  • Ação padrão para conexões de saída
    Padrão: Não configurado
    CSP do Firewall: DefaultOutboundAction

    Configure a ação padrão que o firewall executa em conexões de saída. Essa configuração será aplicada ao Windows versão 1809 e superiores.

    • Não configurado
    • Bloquear – a ação de firewall padrão não é executada no tráfego de saída a menos que seja especificado explicitamente para não bloquear.
    • Permitir – ações de firewall padrão são executadas em conexões de saída.
  • Ação padrão para conexões de entrada
    Padrão: Não configurado
    CSP do Firewall: DefaultInboundAction

    • Não configurado
    • Bloquear – a ação de firewall padrão não é executada em conexões de entrada.
    • Permitir – ações de firewall padrão são executadas em conexões de entrada.

Mesclagem de regra

  • Regras do Microsoft Defender Firewall de aplicativo autorizado no repositório local
    Padrão: Não configurado
    CSP do Firewall: AuthAppsAllowUserPrefMerge

    • Não configurado
    • Bloquear – as regras de firewall de aplicativo autorizado no repositório local são ignoradas e não são impostas.
    • Permitir - Escolher Habilitar aplica regras de firewall no repositório local para que elas sejam reconhecidas e impostas.
  • Regras do Microsoft Defender Firewall de porta global no repositório local
    Padrão: Não configurado
    CSP do Firewall: GlobalPortsAllowUserPrefMerge

    • Não configurado
    • Bloquear – as regras de firewall da porta global no repositório local são ignoradas e não são impostas.
    • Permitir – aplicar regras de firewall de porta global no repositório local para que elas sejam reconhecidas e impostas.
  • Regras do Microsoft Defender Firewall no repositório local
    Padrão: Não configurado
    CSP do Firewall: AllowLocalPolicyMerge

    • Não configurado
    • Bloquear – as regras de firewall do repositório local são ignoradas e não são impostas.
    • Permitir – aplicar regras de firewall no repositório local para que elas sejam reconhecidas e impostas.
  • Regras do IPsec do repositório local
    Padrão: Não configurado
    CSP do Firewall: AllowLocalIpsecPolicyMerge

    • Não configurado
    • Bloquear – as regras de segurança da conexão no armazenamento local são ignoradas e não são impostas, independentemente das versões de regra de segurança da conexão ou do esquema.
    • Permitir – aplicar regras de segurança da conexão no repositório local, independentemente das versões do esquema ou da regra de segurança da conexão.

Regras de firewall

Você pode Adicionar uma ou mais regras de firewall personalizadas. Para saber mais, confira Adicionar regras de firewall personalizadas para dispositivos Windows 10.

As regras de firewall personalizadas dão suporte às seguintes opções:

Configurações gerais:

  • Nome
    Padrão: sem nome

    Especifique um nome amigável para a regra. Esse nome aparecerá na lista de regras e ajudará você a identificá-la.

  • Descrição
    Padrão: sem descrição

    Forneça uma descrição da regra.

  • Direção
    Padrão: Não configurado
    CSP do Firewall: FirewallRules/FirewallRuleName/Direction

    Especifique se essa regra se aplica ao tráfego de Entrada ou de Saída. Quando definida como Não configurado, a regra se aplica automaticamente ao tráfego de saída.

  • Ação
    Padrão: Não configurado
    CSP do Firewall: FirewallRules/FirewallRuleName/Action e FirewallRules/FirewallRuleName/Action/Type

    Selecione Permitir ou Bloquear. Quando definida como Não configurado, a regra, por padrão, permite o tráfego.

  • Tipo de rede
    Padrão: 0 selecionado
    CSP do Firewall: FirewallRules/FirewallRuleName/Profiles

    Selecione até três tipos de rede aos quais a regra pertence. As opções incluem Domínio, Privada e Pública. Se nenhum tipo de rede for selecionado, a regra se aplicará aos três tipos.

Configurações do aplicativo

  • Aplicativo(s)
    Padrão: Todos

    Controlar as conexões de um aplicativo ou programa. Selecione uma destas opções e, em seguida, faça a configuração adicional:

    • Nome da família de pacotes – especifique um nome de família de pacotes. Para localizar o nome da família de pacotes, use o comando Get-AppxPackage do PowerShell.
      CSP do Firewall: FirewallRules/FirewallRuleName/App/PackageFamilyName

    • Caminho do arquivo – você precisa especificar um caminho de arquivo para um aplicativo no dispositivo cliente, que pode ser um caminho absoluto ou relativo. Por exemplo: C:\Windows\System\Notepad.exe ou %WINDIR%\Notepad.exe.
      CSP do Firewall: FirewallRules/FirewallRuleName/App/FilePath

    • Serviço Windows – especifique o nome curto do serviço Windows se ele for um serviço e não um aplicativo que envia ou recebe tráfego. Para localizar o nome curto do serviço, use o comando Get-Service do PowerShell.
      CSP do Firewall: FirewallRules/FirewallRuleName/App/ServiceName

    • Tudonenhuma configuração adicional está disponível.

Configurações de endereço IP

Especifique os endereços locais e remotos aos quais a regra se aplica.

  • Endereços locais
    Padrão: Qualquer endereço
    CSP do Firewall: FirewallRules/FirewallRuleName/LocalPortRanges

    Selecione Qualquer endereço ou Endereço especificado.

    Quando usa Endereço especificado, você adiciona um ou mais endereços como uma lista separada por vírgula de endereços locais cobertos pela regra. Os tokens válidos incluem:

    • Use um asterisco "*" para qualquer endereço local. Se você usar um asterisco, ele deverá ser o único token usado.
    • Para especificar uma sub-rede, use a máscara de sub-rede ou a notação de prefixo de rede. Se nem uma máscara de sub-rede nem um prefixo de rede for especificado, a máscara de sub-rede terá o valor padrão de 255.255.255.255.
    • Um endereço IPv6 válido.
    • Um intervalo de endereços IPv4 no formato "endereço inicial – endereço final" sem espaços incluídos.
    • Um intervalo de endereços IPv6 no formato "endereço inicial – endereço final" sem espaços incluídos.
  • Endereços remotos
    Padrão: Qualquer endereço
    CSP do Firewall: FirewallRules/FirewallRuleName/RemoteAddressRanges

    Selecione Qualquer endereço ou Endereço especificado.

    Quando usa Endereço especificado, você adiciona um ou mais endereços como uma lista separada por vírgula de endereços remotos cobertos pela regra. Os tokens não diferenciam maiúsculas de minúsculas. Os tokens válidos incluem:

    • Use um asterisco "*" para qualquer endereço remoto. Se você usar um asterisco, ele deverá ser o único token usado.
    • "Defaultgateway"
    • "DHCP"
    • "DNS"
    • "WINS"
    • "Intranet" (com suporte nas versões 1809 e posteriores do Windows)
    • "RmtIntranet" (com suporte nas versões 1809 e posteriores do Windows)
    • "Internet" (com suporte nas versões 1809 e posteriores do Windows)
    • "Ply2Renders" (com suporte nas versões 1809 e posteriores do Windows)
    • "LocalSubnet" indica qualquer endereço local na sub-rede local.
    • Para especificar uma sub-rede, use a máscara de sub-rede ou a notação de prefixo de rede. Se nem uma máscara de sub-rede nem um prefixo de rede for especificado, a máscara de sub-rede terá o valor padrão de 255.255.255.255.
    • Um endereço IPv6 válido.
    • Um intervalo de endereços IPv4 no formato "endereço inicial – endereço final" sem espaços incluídos.
    • Um intervalo de endereços IPv6 no formato "endereço inicial – endereço final" sem espaços incluídos.

Configurações de porta e protocolo

Especifique as portas locais e remotas às quais a regra se aplica.

Configuração avançada

  • Tipos de interface
    Padrão: 0 selecionado
    CSP do Firewall: FirewallRules/FirewallRuleName/InterfaceTypes

    Selecione entre as seguintes opções:

    • Acesso remoto
    • Sem fio
    • Rede local
  • Permitir somente conexões destes usuários
    Padrão: Todos os usuários (por padrão, o valor é Todos os usuários quando nenhuma lista é especificada)
    CSP do Firewall: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    Especifique uma lista de usuários locais autorizados para a regra. Não será possível especificar uma lista de usuários autorizados quando a regra se aplicar a um serviço Windows.

Configurações do Microsoft Defender SmartScreen

O Microsoft Edge precisa estar instalado no dispositivo.

  • SmartScreen para aplicativos e arquivos
    Padrão: Não configurado
    CSP do SmartScreen: SmartScreen/EnableSmartScreenInShell

    • Não configurado – desabilita o uso de SmartScreen.
    • Habilitar – habilite o Windows SmartScreen para execução de arquivos e aplicativos em execução. O SmartScreen é um componente baseado em nuvem para anti-phishing e antimalware.
  • Execução de arquivos não verificados
    Padrão: Não configurado
    CSP do SmartScreen: SmartScreen/PreventOverrideForFilesInShell

    • Não configurado – desabilita esse recurso e permite aos usuários finais executar arquivos que ainda não foram verificados.
    • Bloquear – impede que os usuários finais executem arquivos que não foram verificados pelo Windows SmartScreen.

Criptografia do Windows

Configurações do Windows

  • Criptografar dispositivos
    Padrão: Não configurado
    CSP do BitLocker: RequireDeviceEncryption

    • Exigir – solicita aos usuários que habilitem a criptografia de dispositivo. Dependendo da edição do Windows e a configuração do sistema, os usuários podem ser solicitados a:
      • Confirmar que a criptografia de outro provedor não está habilitada.
      • Desativar a Criptografia de Unidade de Disco BitLocker e, em seguida, ativar o BitLocker novamente.
    • Não configurado

    Se a criptografia do Windows for ativada enquanto outro método de criptografia está ativo, o dispositivo pode se tornar instável.

Configurações base do BitLocker

As configurações básicas são as configurações universais do BitLocker para todos os tipos de unidades de dados. Essas configurações gerenciam quais tarefas de criptografia de unidade ou opções de configuração o usuário final pode modificar em todos os tipos de unidades de dados.

  • Aviso para outras criptografias de disco
    Padrão: Não configurado
    CSP do BitLocker: AllowWarningForOtherDiskEncryption

    • Bloquear – desabilita o prompt de aviso se outro serviço de criptografia de disco está no dispositivo.
    • Não configurado – permite que o aviso da outra criptografia de disco seja mostrado.

    Dica

    Para instalar o BitLocker de modo automático e silencioso em um dispositivo ingressado no Azure AD que executa o Windows 1809 ou posterior, essa configuração precisa ser definida como Bloquear. Para saber mais, confira Habilitar o BitLocker silenciosamente em dispositivos.

    Quando definido como Bloquear, você pode definir a seguinte configuração:

    • Permitir que usuários padrão habilitem a criptografia durante o ingresso no Azure AD
      Essa configuração se aplica somente a dispositivos Azure ADJ (Ingressados no Azure Active Directory) e depende da configuração anterior, Warning for other disk encryption.
      Padrão: Não configurado
      CSP do BitLocker: AllowStandardUserEncryption

      • Permitir – usuários padrão (não administradores) podem habilitar a criptografia do BitLocker após se conectarem.
      • Não configurado só Administradores podem habilitar a criptografia do BitLocker no dispositivo.

    Dica

    Para instalar o BitLocker de modo automático e silencioso em um dispositivo ingressado no Azure AD que executa o Windows 1809 ou posterior, essa configuração precisa ser definida como Permitir. Para saber mais, confira Habilitar o BitLocker silenciosamente em dispositivos.

  • Configurar métodos de criptografia
    Padrão: Não configurado
    CSP do BitLocker: EncryptionMethodByDriveType

    • Habilitar – configure os algoritmos de criptografia para o sistema operacional, os dados e as unidades removíveis.
    • Não configurado – o BitLocker usa o XTS-AES de 128 bits como o método de criptografia padrão ou usa o método de criptografia especificado por qualquer script de instalação.

    Quando está como Habilitar, você pode definir as seguintes configurações:

    • Criptografia para unidades do sistema operacional
      Padrão: XTS-AES de 128 bits

      Escolha o método de criptografia para unidades do sistema operacional. Recomendamos que você use o algoritmo XTS-AES.

      • AES-CBC de 128 bits
      • AES-CBC de 256 bits
      • XTS-AES de 128 bits
      • XTS-AES de 256 bits
    • Criptografia para unidades de dados fixas
      Padrão: AES-CBC de 128 bits

      Escolha o método de criptografia para unidades de dados fixas (internas). Recomendamos que você use o algoritmo XTS-AES.

      • AES-CBC de 128 bits
      • AES-CBC de 256 bits
      • XTS-AES de 128 bits
      • XTS-AES de 256 bits
    • Criptografia para unidades de dados removíveis
      Padrão: AES-CBC de 128 bits

      Escolha o método de criptografia para unidades de dados removíveis. Se a unidade removível é usada com dispositivos que não executam o Windows 10, recomendamos o uso do algoritmo AES-CBC.

      • AES-CBC de 128 bits
      • AES-CBC de 256 bits
      • XTS-AES de 128 bits
      • XTS-AES de 256 bits

Configurações de unidade do sistema operacional do BitLocker

Essas configurações aplicam-se especificamente às unidades de dados do sistema operacional.

  • Autenticação adicional na inicialização
    Padrão: Não configurado
    CSP do BitLocker: SystemDrivesRequireStartupAuthentication

    • Exigir – configure os requisitos de autenticação da inicialização do computador, incluindo o uso do TPM (Trusted Platform Module).
    • Não configurado – configure somente as opções básicas em dispositivos com um TPM.

    Quando está como Exigir, você pode definir as seguintes configurações:

    • BitLocker com chip do TPM não compatível
      Padrão: Não configurado

      • Bloquear – desabilita o uso do BitLocker quando um dispositivo não tem um chip de TPM compatível.
      • Não configurado – os usuários podem usar o BitLocker sem um chip de TPM compatível. O BitLocker pode exigir uma senha ou uma chave de inicialização.
    • Inicialização do TPM compatível
      Padrão: Permitir TPM

      Configure se o TPM é permitido, obrigatório ou não permitido.

      • Permitir TPM
      • Não permitir TPM
      • Exigir TPM
    • PIN de inicialização do TPM compatível
      Padrão: Permitir PIN de inicialização com TPM

      Escolha permitir, não permitir ou exigir o uso de um PIN de inicialização com o chip do TPM. A habilitação de um PIN de inicialização exige a interação do usuário final.

      • Permitir PIN de inicialização com TPM
      • Não permitir PIN de inicialização com TPM
      • Exigir o PIN de inicialização com o TPM

      Dica

      Para instalar o BitLocker de modo automático e silencioso em um dispositivo ingressado no Azure AD que executa o Windows 1809 ou posterior, essa configuração não pode ser definida como Exigir PIN de inicialização com TPM. Para saber mais, confira Habilitar o BitLocker silenciosamente em dispositivos.

    • Chave de inicialização do TPM compatível
      Padrão: Permitir chave de inicialização com TPM

      Escolha permitir, não permitir ou exigir o uso de uma chave de inicialização com o chip do TPM. A habilitação de uma chave de inicialização exige a interação do usuário final.

      • Permitir chave de inicialização com TPM
      • Não permitir chave de inicialização com TPM
      • Exigir chave de inicialização com TPM

      Dica

      Para instalar o BitLocker de modo automático e silencioso em um dispositivo ingressado no Azure AD que executa o Windows 1809 ou posterior, essa configuração não pode ser definida como Exigir chave de inicialização com TPM. Para saber mais, confira Habilitar o BitLocker silenciosamente em dispositivos.

    • PIN e chave de inicialização do TPM compatível
      Padrão: Permitir chave de inicialização e PIN com TPM

      Escolha permitir, não permitir ou exigir o uso de um PIN e uma chave de inicialização com o chip do TPM. A habilitação de uma chave de inicialização e um PIN exige a interação do usuário final.

      • Permitir chave e PIN de inicialização com TPM
      • Não permitir chave de inicialização e PIN com TPM
      • Exigir chave de inicialização e PIN com TPM

      Dica

      Para instalar o BitLocker de modo automático e silencioso em um dispositivo ingressado no Azure AD que executa o Windows 1809 ou posterior, essa configuração não pode ser definida como Exigir chave de inicialização e PIN com TPM. Para saber mais, confira Habilitar o BitLocker silenciosamente em dispositivos.

  • Tamanho mínimo do PIN
    Padrão: Não configurado
    CSP do BitLocker: SystemDrivesMinimumPINLength

    • Habilitar – configure um tamanho mínimo para o PIN de inicialização do TPM.
    • Não configurado – os usuários podem configurar um PIN de inicialização de qualquer tamanho entre 6 e 20 dígitos.

    Quando está como Habilitar, você pode definir a seguinte configuração:

    • Número mínimo de caracteres
      Padrão: Não configurado CSP do BitLocker: SystemDrivesMinimumPINLength

      Insira o número de caracteres necessário para o PIN de inicialização de 4-20.

  • Recuperação de unidade do sistema operacional
    Padrão: Não configurado
    CSP do BitLocker: SystemDrivesRecoveryOptions

    • Habilitar – controla como as unidades do sistema operacional protegidas pelo BitLocker são recuperadas quando as informações de inicialização necessárias não estão disponíveis.
    • Não configurado – as opções de recuperação padrão são compatíveis com a recuperação do BitLocker. Por padrão, um DRA é permitido, as opções de recuperação são escolhidas pelo usuário, incluindo a senha e a chave de recuperação, e as informações de recuperação não são copiadas em backup no AD DS.

    Quando está como Habilitar, você pode definir as seguintes configurações:

    • Agente de recuperação de dados baseado em certificado
      Padrão: Não configurado

      • Bloquear – impede o uso do agente de recuperação de dados com unidades do SO protegidas pelo BitLocker.
      • Não configurado – permite o uso de agentes de recuperação de dados com as unidades do sistema operacional protegidas pelo BitLocker.
    • Criação de senha de recuperação pelo usuário
      Padrão: Permitir senha de recuperação de 48 dígitos

      Escolha se é permitido, obrigatório ou não permitido que os usuários gerem uma senha de recuperação de 48 dígitos.

      • Permitir senha de recuperação de 48 dígitos
      • Não permitir uma senha de recuperação de 48 dígitos
      • Exigir senha de recuperação de 48 dígitos
    • Criação de chave de recuperação pelo usuário
      Padrão: Permitir chave de recuperação de 256 bits

      Escolha se é permitido, obrigatório ou não permitido que os usuários gerem uma chave de recuperação de 256 bits.

      • Permitir chave de recuperação de 256 bits
      • Não permitir chave de recuperação de 256 bits
      • Exigir chave de recuperação de 256 bits
    • Opções de recuperação no assistente de instalação do BitLocker
      Padrão: Não configurado

      • Bloquear – os usuários não podem ver nem alterar as opções de recuperação. Quando definido como
      • Não configurado – os usuários podem ver e alterar as opções de recuperação ao ativarem o BitLocker.
    • Salvar informações de recuperação do BitLocker no Azure Active Directory
      Padrão: Não configurado

      • Habilitar – armazena as informações de recuperação do BitLocker no Azure AD (Azure Active Directory).
      • Não configurado – as informações de recuperação do BitLocker não são armazenadas no Azure AD.
    • Informações de recuperação do BitLocker armazenadas no Azure Active Directory
      Padrão: Fazer backup de senhas de recuperação e pacotes de chaves

      Configure quais partes das informações de recuperação do BitLocker são armazenadas no Azure AD. Escolha:

      • Fazer backup de pacotes de chaves e senhas de recuperação
      • Fazer backup somente de senhas de recuperação
    • Rotação de senha de recuperação controlada pelo cliente
      Padrão: Rotação de chaves habilitada para dispositivos ingressados no Azure AD
      CSP do BitLocker: ConfigureRecoveryPasswordRotation

      Esta configuração inicia uma rotação da senha de recuperação controlada pelo cliente após uma recuperação de unidade do SO (usando bootmgr ou WinRE).

      • Não configurado
      • Rotação de chaves desabilitada
      • Rotação de chaves habilitada para dispositivos ingressados no Azure AD
      • Rotação de chaves habilitada para o Azure AD e dispositivos ingressados com Híbrido
    • Armazenar informações de recuperação no Azure Active Directory antes de habilitar o BitLocker
      Padrão: Não configurado

      Impeça que os usuários habilitem o BitLocker, a menos que o computador faça backup com êxito das informações de recuperação do BitLocker para o Azure Active Directory.

      • Exigir – impede os usuários de ativar o BitLocker, a menos que as informações de recuperação do BitLocker sejam armazenadas com êxito no Azure AD.
      • Não configurado – permite que os usuários ativem o BitLocker, mesmo se as informações de recuperação não forem armazenadas com êxito no Azure AD.
  • URL e mensagem de recuperação pré-inicialização
    Padrão: Não configurado
    CSP do BitLocker: SystemDrivesRecoveryMessage

    • Habilitar – configure a mensagem e a URL exibidas na tela de recuperação de chave pré-inicialização.
    • Não configurado – desabilita esse recurso.

    Quando está como Habilitar, você pode definir a seguinte configuração:

    • Mensagem de recuperação pré-inicialização
      Padrão: Usar URL e mensagem de recuperação padrão

      Configure como a mensagem de recuperação pré-inicialização é exibida para os usuários. Escolha:

      • Usar mensagem e URL de recuperação padrão
      • Usar mensagem e URL de recuperação vazia
      • Usar mensagem de recuperação personalizada
      • Usar URL de recuperação personalizada

Configurações de unidades de dados fixas do BitLocker

Essas configurações se aplicam especificamente a unidades de dados fixas.

  • Acesso de gravação a unidades de dados fixas não protegidas pelo BitLocker
    Padrão: Não configurado
    CSP do BitLocker: FixedDrivesRequireEncryption

    • Bloquear – fornece acesso somente leitura às unidades de dados que não são protegidas pelo BitLocker.
    • Não configurado – por padrão, acesso de leitura e gravação a unidades de dados não criptografadas.
  • Recuperação de unidade fixa
    Padrão: Não configurado
    CSP do BitLocker: FixedDrivesRecoveryOptions

    • Habilitar – controla como as unidades fixas protegidas pelo BitLocker são recuperadas quando as informações de inicialização necessárias não estão disponíveis.
    • Não configurado – desabilita esse recurso.

    Quando está como Habilitar, você pode definir as seguintes configurações:

    • Agente de recuperação de dados
      Padrão: Não configurado

      • Bloquear – impede o uso do agente de recuperação de dados com o Editor de Política das unidades fixas protegidas pelo BitLocker.
      • Não configurado – habilita o uso de agentes de recuperação de dados com unidades fixas protegidas pelo BitLocker.
    • Criação de senha de recuperação pelo usuário
      Padrão: Permitir senha de recuperação de 48 dígitos

      Escolha se é permitido, obrigatório ou não permitido que os usuários gerem uma senha de recuperação de 48 dígitos.

      • Permitir senha de recuperação de 48 dígitos
      • Não permitir uma senha de recuperação de 48 dígitos
      • Exigir senha de recuperação de 48 dígitos
    • Criação de chave de recuperação pelo usuário
      Padrão: Permitir chave de recuperação de 256 bits

      Escolha se é permitido, obrigatório ou não permitido que os usuários gerem uma chave de recuperação de 256 bits.

      • Permitir chave de recuperação de 256 bits
      • Não permitir chave de recuperação de 256 bits
      • Exigir chave de recuperação de 256 bits
    • Opções de recuperação no assistente de instalação do BitLocker
      Padrão: Não configurado

      • Bloquear – os usuários não podem ver nem alterar as opções de recuperação. Quando definido como
      • Não configurado – os usuários podem ver e alterar as opções de recuperação ao ativarem o BitLocker.
    • Salvar informações de recuperação do BitLocker no Azure Active Directory
      Padrão: Não configurado

      • Habilitar – armazena as informações de recuperação do BitLocker no Azure AD (Azure Active Directory).
      • Não configurado – as informações de recuperação do BitLocker não são armazenadas no Azure AD.
    • Informações de recuperação do BitLocker armazenadas no Azure Active Directory
      Padrão: Fazer backup de senhas de recuperação e pacotes de chaves

      Configure quais partes das informações de recuperação do BitLocker são armazenadas no Azure AD. Escolha:

      • Fazer backup de pacotes de chaves e senhas de recuperação
      • Fazer backup somente de senhas de recuperação
    • Armazenar informações de recuperação no Azure Active Directory antes de habilitar o BitLocker
      Padrão: Não configurado

      Impeça que os usuários habilitem o BitLocker, a menos que o computador faça backup com êxito das informações de recuperação do BitLocker para o Azure Active Directory.

      • Exigir – impede os usuários de ativar o BitLocker, a menos que as informações de recuperação do BitLocker sejam armazenadas com êxito no Azure AD.
      • Não configurado – permite que os usuários ativem o BitLocker, mesmo se as informações de recuperação não forem armazenadas com êxito no Azure AD.

Configurações de unidade de dados removíveis do BitLocker

Essas configurações se aplicam especificamente a unidades de dados removíveis.

  • Acesso de gravação a unidades de dados removíveis não protegidas pelo BitLocker
    Padrão: Não configurado
    CSP do BitLocker: RemovableDrivesRequireEncryption

    • Bloquear – fornece acesso somente leitura às unidades de dados que não são protegidas pelo BitLocker.
    • Não configurado – por padrão, acesso de leitura e gravação a unidades de dados não criptografadas.

    Quando está como Habilitar, você pode definir a seguinte configuração:

    • Acesso de gravação a dispositivos configurados em outra organização
      Padrão: Não configurado

      • Bloquear – impede o acesso de gravação a dispositivos configurados em outra organização.
      • Não configurado – nega o acesso de gravação.

Microsoft Defender Exploit Guard

Use o Exploit Protection para gerenciar e reduzir a superfície de ataque dos aplicativos usados por seus funcionários.

Redução da superfície de ataque

As regras de redução da superfície de ataque ajudam a evitar comportamentos que os malwares costumam usar para infectar computadores com código mal-intencionado.

Regras de Redução da superfície de ataque

Para saber mais, confira Regras de redução da superfície de ataque na documentação do Microsoft Defender para Ponto de Extremidade.

Comportamento de mesclagem para regras de redução da superfície de ataque no Intune:

as regras de redução da superfície de ataque dão suporte a uma mesclagem de configurações de políticas diferentes, a fim de criar um superconjunto de políticas para cada dispositivo. Somente configurações que não estão em conflito são mescladas, enquanto as que estão em conflito não são adicionadas ao superconjunto de regras. Anteriormente, se duas políticas tivessem conflitos para uma configuração, as duas eram sinalizadas como estando em conflito e nenhuma configuração de nenhum dos perfis era implantada.

O comportamento de mesclagem de regras de redução da superfície de ataque é o seguinte:

  • Regras de redução da superfície de ataque dos seguintes perfis são avaliadas para cada dispositivo ao qual as regras se aplicam:
    • Dispositivos > Política de configuração > Perfil de proteção do ponto de extremidade > Microsoft Defender Exploit Guard > Redução da superfície de ataque
    • Segurança do ponto de extremidade > Política de redução da superfície de ataque > Regras de redução da superfície de ataque
    • Segurança do ponto de extremidade > Linhas de base de segurança > Linha de Base do Microsoft Defender para Ponto de Extremidade > Regras de Redução da Superfície de Ataque.
  • Configurações que não têm conflitos são adicionadas a um superconjunto de políticas para o dispositivo.
  • Quando duas ou mais políticas têm configurações conflitantes, essas configurações não são adicionadas à política combinada, enquanto as configurações sem conflitos são adicionadas à política do superconjunto que se aplica a um dispositivo.
  • Somente as configurações conflitantes são retidas.

Configurações neste perfil:

Regras para impedir ameaças a macros do Office

Impeça que os aplicativos do Office executem as seguintes ações:

Regras para impedir ameaças de script

Bloqueie o seguinte para ajudar a prevenir ameaças de script:

Regras para impedir ameaças de email

Bloqueie o seguinte para ajudar a prevenir ameaças por email:

  • Execução de conteúdo executável (exe, dll, ps, js, vbs, etc.) proveniente do email (cliente de webmail/email) (sem exceções)
    Padrão: Não configurado
    Regra: Bloquear conteúdo executável do cliente de email e webmail

    • Não configurado
    • Bloquear – impede a execução de conteúdo executável (exe, dll, ps, js, vbs etc.) proveniente do email (cliente de webmail/email).
    • Somente auditoria

Regras para proteger-se contra ransomware

Exceções de redução da superfície de ataque

  • Arquivos e pastas a serem excluídos das regras de redução da superfície de ataque
    CSP do Defender: AttackSurfaceReductionOnlyExclusions

    • Importe um arquivo .csv que contém arquivos e pastas a serem excluídos das regras de redução da superfície de ataque.
    • Adicione arquivos ou pastas locais manualmente.

Importante

Para permitir a instalação e a execução corretas de aplicativos Win32 LOB, as configurações de antimalware devem excluir os seguintes diretórios da verificação:
Em computadores cliente x64:
C:\Arquivos de Programa (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Em computadores cliente x86:
C:\Arquivos de Programa\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Para obter mais informações, confira Recomendações de verificação de vírus para computadores corporativos que executam versões atualmente com suporte do Windows.

Acesso controlado à pasta

Ajude a proteger dados valiosos contra ameaças e aplicativos mal-intencionados, como ransomware.

  • Proteção de pasta
    Padrão: Não configurado
    CSP do Defender: EnableControlledFolderAccess

    Proteger arquivos e pastas contra alterações não autorizadas por aplicativos não amigáveis.

    • Não configurado
    • Habilitar
    • Somente auditoria
    • Bloquear modificação de disco
    • Modificação de disco de auditoria

    Quando seleciona uma configuração diferente de Não configurado, você pode configurar:

    • Lista de aplicativos que têm acesso a pastas protegidas
      CSP do Defender: ControlledFolderAccessAllowedApplications

      • Importe um arquivo .csv que contém uma lista de aplicativos.
      • Adicione aplicativos a essa lista manualmente.
    • Lista de pastas adicionais que precisam ser protegidas
      CSP do Defender: ControlledFolderAccessProtectedFolders

      • Importe um arquivo .csv que contém uma lista de pastas.
      • Adicione pastas a essa lista manualmente.

Filtragem de rede

Bloqueie conexões de saída de qualquer aplicativo para endereços IP ou domínios de má reputação. Há suporte para a filtragem de rede nos modos de Auditoria e de Bloqueio.

  • Proteção de rede
    Padrão: Não configurado
    CSP do Defender: EnableNetworkProtection

    A intenção dessa configuração é proteger os usuários finais contra aplicativos com acesso a scams de phishing, sites de hospedagem de exploits e conteúdo mal-intencionado na Internet. Ela também impede que navegadores de terceiros se conectem a sites perigosos.

    • Não configurado – desabilita esse recurso. Os usuários e os aplicativos não são impedidos de se conectar a domínios perigosos. Os administradores não podem ver essa atividade na Central de Segurança do Microsoft Defender.
    • Habilitar – ativa a proteção de rede e impede que os usuários e os aplicativos se conectem a domínios perigosos. Os administradores não podem ver essa atividade na Central de Segurança do Microsoft Defender.
    • Somente auditoria – os usuários e os aplicativos não são impedidos de se conectar a domínios perigosos. Os administradores não podem ver essa atividade na Central de Segurança do Microsoft Defender.

Proteção contra explorações

  • Carregar XML
    Padrão: Não configurado

    Para usar o Exploit Protection para proteger dispositivos contra exploits, crie um arquivo XML com as configurações desejadas de mitigação do sistema e do aplicativo. Há dois métodos para criar o arquivo XML:

    • PowerShell: use um ou mais dos cmdlets Get-ProcessMitigation, Set-ProcessMitigation e ConvertTo-ProcessMitigationPolicy do PowerShell. Os cmdlets definem configurações de mitigação e exportam uma representação XML deles.

    • Interface do usuário da Central de Segurança do Microsoft Defender – na Central de Segurança do Microsoft Defender, clique no controle de aplicativo e navegador e, em seguida, role até a parte inferior da tela resultante para localizar o Exploit Protection. Primeiro, use as guias Configurações do sistema e Configurações do programa para definir as configurações de mitigação. Em seguida, localize o link Exportar configurações na parte inferior da tela para exportar uma representação XML delas.

  • Edição da interface do Exploit Protection pelo usuário
    Padrão: Não configurado
    CSP do ExploitGuard: ExploitProtectionSettings

    • Bloquear – carrega um arquivo XML que permite configurar a memória, o fluxo de controle e as restrições de política. As configurações no arquivo XML podem ser usadas para bloquear um aplicativo contra explorações.
    • Não configurado – nenhuma configuração personalizada é usada.

Controle de Aplicativos do Microsoft Defender

Escolha aplicativos adicionais que precisam passar por auditoria ou que são confiáveis para execução pelo Controle de Aplicativos do Microsoft Defender. Os componentes do Windows e todos os aplicativos da Windows Store são automaticamente confiáveis para execução.

  • Políticas de integridade do código de controle de aplicativo
    Padrão: Não configurado
    CSP: CSP do AppLocker

    • Impor – escolha as políticas de integridade do código de controle de aplicativo para os dispositivos de seus usuários.

      Depois de habilitado em um dispositivo, o Controle do Aplicativo só poderá ser desabilitado quando se alterar o modo de Impor para Somente auditoria. Alterar o modo de Impor para Não Configurado resultará no Controle do Aplicativo continuar a ser imposto nos dispositivos atribuídos.

    • Não configurado – o Controle de Aplicativos não é adicionado aos dispositivos. No entanto, as configurações que foram adicionadas anteriormente continuam sendo impostas em dispositivos atribuídos.

    • Somente auditoria – os aplicativos não são bloqueados. Todos os eventos são registrados nos logs do cliente local.

      Observação

      Se você usa essa configuração, o comportamento do CSP do AppLocker solicita que o usuário final reinicie o computador quando uma política é implantada.

Microsoft Defender Credential Guard

O Microsoft Defender Credential Guard protege contra ataques de roubo de credenciais. Ele isola segredos de modo que apenas o software do sistema privilegiado possa acessá-los.

  • Credential Guard
    Padrão: Desabilitar
    CSP do DeviceGuard

    • Desabilitar – desativará o Credential Guard remotamente se ele tiver sido ativado anteriormente com a opção Habilitado sem bloqueio de UEFI.

    • Habilitar com bloqueio de UEFI – o Credential Guard não pode ser desabilitado remotamente usando uma chave do Registro ou uma Política de Grupo.

      Observação

      Se você usar essa configuração e depois quiser desabilitar o Credential Guard, deverá definir a Política de Grupo como Desabilitada. Além disso, limpe fisicamente as informações de configuração de UEFI de cada computador. Enquanto a configuração da UEFI for mantida, o Credential Guard estará habilitado.

    • Habilitar sem bloqueio de UEFI – permite que o Credential Guard seja desabilitado remotamente usando uma Política de Grupo. Os dispositivos que usam essa configuração devem estar executando, Windows 10 versão 1511 e mais recentes.

    Ao habilitar o Credential Guard, os seguintes recursos obrigatórios também são habilitados:

    • VBS (Segurança baseada em virtualização)
      É ativada durante a próxima reinicialização. A segurança baseada em virtualização usa o Hipervisor do Windows para dar suporte aos serviços de segurança.
    • Inicialização Segura com acesso direto à memória
      Ativa a VBS com as proteções Inicialização Segura e DMA (acesso direto à memória). Proteções de AMD exigem suporte de hardware e são habilitadas somente em dispositivos configurados corretamente.

Central de Segurança do Microsoft Defender

A Central de Segurança do Microsoft Defender funciona como um aplicativo ou um processo separado de cada um dos recursos individuais. Ele exibe notificações por meio da Central de Ações. Funciona como um coletor ou um único lugar para ver o status e executar algumas etapas de configuração para cada um dos recursos. Encontre mais informações nos documentos do Microsoft Defender.

Aplicativo Central de Segurança do Microsoft Defender e notificações

Bloqueie o acesso de usuário final às várias áreas do aplicativo da Central de Segurança do Microsoft Defender. Ocultar uma seção também bloqueia as notificações relacionadas.

  • Proteção contra vírus e ameaças
    Padrão: Não configurado
    CSP do WindowsDefenderSecurityCenter: DisableVirusUI

    Configure se os usuários finais podem exibir a área de Proteção contra vírus e ameaças na Central de Segurança do Microsoft Defender. Ocultar esta seção também bloqueia todas as notificações relacionadas à Proteção contra vírus e ameaças.

    • Não configurado
    • Ocultar
  • Proteção contra ransomware
    Padrão: Não configurado
    CSP do WindowsDefenderSecurityCenter: HideRansomwareDataRecovery

    Configure se os usuários finais podem exibir a área de Proteção contra ransomware na Central de Segurança do Microsoft Defender. Ocultar esta seção também bloqueia todas as notificações relacionadas à Proteção contra ransomware.

    • Não configurado
    • Ocultar
  • Proteção da conta
    Padrão: Não configurado
    CSP do WindowsDefenderSecurityCenter: DisableAccountProtectionUI

    Configure se os usuários finais podem exibir a área de Proteção de conta na Central de Segurança do Microsoft Defender. Ocultar esta seção também bloqueia todas as notificações relacionadas à Proteção de conta.

    • Não configurado
    • Ocultar
  • Proteção de firewall e rede
    Padrão: Não configurado
    CSP do WindowsDefenderSecurityCenter: DisableNetworkUI

    Configure se os usuários finais podem exibir a área de Proteção de firewall e rede na Central de Segurança do Microsoft Defender. Ocultar esta seção também bloqueia todas as notificações relacionadas à Proteção de firewall e rede.

    • Não configurado
    • Ocultar
  • Controle de aplicativo e navegador
    Padrão: Não configurado
    CSP do WindowsDefenderSecurityCenter: DisableAppBrowserUI

    Configure se os usuários finais podem exibir a área de Controle do aplicativo e navegador na Central de Segurança do Microsoft Defender. Ocultar esta seção também bloqueia todas as notificações relacionadas ao Controle do aplicativo e navegador.

    • Não configurado
    • Ocultar
  • Proteção de hardware
    Padrão: Não configurado
    CSP do WindowsDefenderSecurityCenter: DisableDeviceSecurityUI

    Configure se os usuários finais podem exibir a área de Proteção de hardware na Central de Segurança do Microsoft Defender. Ocultar esta seção também bloqueia todas as notificações relacionadas à Proteção de hardware.

    • Não configurado
    • Ocultar
  • Integridade e desempenho do dispositivo
    Padrão: Não configurado
    CSP do WindowsDefenderSecurityCenter: DisableHealthUI

    Configure se os usuários finais podem exibir a área de Integridade e desempenho do dispositivo na Central de Segurança do Microsoft Defender. Ocultar esta seção também bloqueia todas as notificações relacionadas à Integridade e desempenho do dispositivo.

    • Não configurado
    • Ocultar
  • Opções da família
    Padrão: Não configurado
    CSP do WindowsDefenderSecurityCenter: DisableFamilyUI

    Configure se os usuários finais podem exibir a área de Opções da família na Central de Segurança do Microsoft Defender. Ocultar esta seção também bloqueia todas as notificações relacionadas às Opções da família.

    • Não configurado
    • Ocultar
  • Notificações das áreas exibidas do aplicativo
    Padrão: Não configurado
    CSP do WindowsDefenderSecurityCenter: DisableNotifications

    Escolha quais notificações serão exibidas aos usuários finais. As notificações não críticas incluem resumos de atividades do Microsoft Defender Antivírus, incluindo notificações após a conclusão das verificações. Todas as outras notificações são consideradas críticas.

    • Não configurado
    • Bloquear notificações não críticas
    • Bloquear todas as notificações
  • Ícone da Central de Segurança do Windows na bandeja do sistema
    Padrão: Não configurado

    Configure a exibição do controle da área de notificação. O usuário precisa sair e entrar ou reinicializar o computador para que a configuração entre em vigor.

    • Não configurado
    • Ocultar
  • Botão Limpar TPM
    Padrão: Não configurado

    Configure a exibição do botão Limpar TPM.

    • Não configurado
    • Desabilitar
  • Aviso de atualização de firmware de TPM
    Padrão: Não configurado

    Configure a exibição da atualização do Firmware de TPM quando um firmware vulnerável for detectado.

    • Não configurado
    • Ocultar
  • Proteção Contra Adulterações
    Padrão: Não configurado

    Ative ou desative a Proteção Contra Adulterações em dispositivos. Para usar a Proteção Contra Adulterações, você precisa Integrar o Microsoft Defender para Ponto de Extremidade com o Intune e ter Licenças do Enterprise Mobility + Security E5.

    • Não configurado – nenhuma alteração é feita nas configurações do dispositivo.
    • Habilitado – a Proteção Contra Adulterações é ativada e as restrições são impostas nos dispositivos.
    • Desabilitado – a Proteção Contra Adulterações é desativada e as restrições não são impostas.

Informações de contato de TI

Forneça as informações de contato de TI que aparecem no aplicativo da Central de Segurança do Microsoft Defender e as notificações do aplicativo.

Você pode escolher Exibir no aplicativo e em notificações, Exibir somente no aplicativo, Exibir somente em notificações ou Não exibir. Insira o nome da organização de TI e, pelo menos, uma das seguintes opções de contato:

  • Informações de contato de TI
    Padrão: Não exibir
    CSP do WindowsDefenderSecurityCenter: EnableCustomizedToasts

    Configure onde exibir as informações de contato de TI aos usuários finais.

    • Exibir no aplicativo e nas notificações
    • Exibir somente no aplicativo
    • Exibir somente nas notificações
    • Não exibir

    Quando configurado para exibir, você pode definir as seguintes configurações:

    • Nome da organização de TI
      Padrão: Não configurado
      CSP do WindowsDefenderSecurityCenter: CompanyName

    • Número de telefone ou ID do Skype do departamento de TI
      Padrão: Não configurado
      CSP do WindowsDefenderSecurityCenter: Telefone

    • Endereço de email do departamento de TI
      Padrão: Não configurado
      CSP do WindowsDefenderSecurityCenter: Email

    • URL do site de suporte de TI
      Padrão: Não configurado
      CSP do WindowsDefenderSecurityCenter: URL

Opções de segurança de dispositivo local

Use estas opções para definir as configurações de segurança locais em dispositivos Windows 10.

Contas

  • Adicionar novas contas Microsoft
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: Accounts_BlockMicrosoftAccounts

    • Bloquear – impede os usuários de adicionar novas contas Microsoft ao dispositivo.
    • Não configurado – os usuários podem usar contas Microsoft no dispositivo.
  • Logon remoto sem senha
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Bloquear – permite que somente contas locais com senhas em branco entrem usando o teclado do dispositivo.
    • Não configurado – permite que contas locais com senhas em branco entrem em locais diferentes do dispositivo físico.

Administrador

Convidado

  • Conta Convidado
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: LocalPoliciesSecurityOptions

    • Bloquear – impede o uso de uma conta Convidado.
    • Não configurado
  • Renomear a conta Convidado
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: Accounts_RenameGuestAccount

    Defina um nome de conta diferente a ser associado ao SID (identificador de segurança) da conta "Convidado".

Dispositivos

  • Desencaixar dispositivo sem logon
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: Devices_AllowUndockWithoutHavingToLogon

    • Bloquear – O usuário precisa entrar no dispositivo e receber permissão para desencaixá-lo.
    • Não configurado – Os usuários podem pressionar o botão físico de ejetar do dispositivo portátil encaixado para desencaixar o dispositivo com segurança.
  • Instalar drivers de impressora para impressoras compartilhadas
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

    • Habilitado – qualquer usuário pode instalar um driver de impressora como parte da conexão com uma impressora compartilhada.
    • Não configurado – somente os Administradores podem instalar um driver de impressora como parte da conexão a uma impressora compartilhada.
  • Restringir o acesso de CD-ROM ao usuário ativo local
    Padrão: Não configurado
    CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

    • Habilitado – somente o usuário conectado interativamente pode usar a mídia de CD-ROM. Se essa política está habilitada e ninguém está conectado interativamente, o CD-ROM é acessado pela rede.
    • Não configurado – qualquer pessoa tem acesso ao CD-ROM.
  • Formatar e ejetar a mídia removível
    Padrão: Administradores
    CSP: Devices_AllowedToFormatAndEjectRemovableMedia

    Defina quem tem permissão para formatar e ejetar a mídia NTFS removível:

    • Não configurado
    • Administradores
    • Administradores e Usuários Avançados
    • Administradores e Usuários Interativos

Logon interativo

  • Minutos de inatividade do bloqueio de tela até a proteção de tela ser ativada
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: InteractiveLogon_MachineInactivityLimit

    Insira o máximo de minutos de inatividade até que o protetor de tela seja ativado. (0 - 99999)

  • Exigir CTRL+ALT+DEL para fazer logon
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: InteractiveLogon_DoNotRequireCTRLALTDEL

    • Habilitar – Exige que os usuários pressionem CTRL+ALT+DEL antes de fazer logon no Windows.
    • Não configurado – Isenta os usuários da obrigatoriedade de pressionar CTRL+ALT+DEL ao entrar.
  • Comportamento de remoção do cartão inteligente
    Padrão: Bloquear estação de trabalho
    CSP do LocalPoliciesSecurityOptions: InteractiveLogon_SmartCardRemovalBehavior

    Determina o que acontece quando o cartão inteligente de um usuário conectado é removido do leitor de cartão inteligente. Suas opções:

    • Bloquear Estação de Trabalho – a estação de trabalho é bloqueada quando o cartão inteligente é removido. Essa opção permite que os usuários deixem a área, levem o cartão inteligente com eles e ainda mantenham uma sessão protegida.
    • Nenhuma ação
    • Forçar Logoff – o logoff do usuário é feito automaticamente quando o cartão inteligente é removido.
    • Desconectar em caso de uma sessão de Serviços de Área de Trabalho Remota – a remoção do cartão inteligente desconecta a sessão sem fazer logoff do usuário. Essa opção permite que o usuário insira o cartão inteligente e retome a sessão mais tarde, ou em outro computador equipado com o leitor de cartão inteligente, sem precisar entrar novamente. Se a sessão for local, essa política funcionará de modo idêntico a Bloquear a Estação de Trabalho.

Monitor

  • Informações do usuário na tela de bloqueio
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

    Configure as informações do usuário exibidas quando a sessão é bloqueada. Se não configurado, o nome de exibição do usuário, o domínio e o nome de usuário serão mostrados.

    • Não configurado
    • Nome de exibição do usuário, domínio e nome de usuário
    • Somente nome de exibição do usuário
    • Não exibir informações do usuário
  • Ocultar o último usuário conectado
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayLastSignedIn

    • Habilitar – oculta o nome de usuário.
    • Não configurado – mostra o último nome de usuário.
  • Ocultar nome de usuário nas credenciais Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayUsernameAtSignIn

    • Habilitar – oculta o nome de usuário.
    • Não configurado – mostra o último nome de usuário.
  • Título da mensagem de logon
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

    Defina o título da mensagem para os usuários que estão se conectando.

  • Texto da mensagem de logon
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

    Defina o texto da mensagem para os usuários que estão se conectando.

Acesso e segurança de rede

  • Acesso anônimo a Compartilhamentos e Pipes Nomeados
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

    • Não configurado – restringe o acesso anônimo às configurações de compartilhamento e Pipe Nomeado. Aplica-se às configurações que podem ser acessadas anonimamente.
    • Bloquear – desabilita essa política, disponibilizando o acesso anônimo.
  • Enumeração anônima de contas do SAM
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

    • Não configurado – usuários anônimos podem enumerar contas de SAM.
    • Bloquear – impede a enumeração anônima de contas do SAM.
  • Enumeração anônima de compartilhamentos e contas do SAM
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

    • Não configurado – os usuários anônimos podem enumerar os nomes de contas de domínio e compartilhamentos de rede.
    • Bloquear – impede compartilhamentos e a enumeração anônima de contas do SAM.
  • Valor do hash do LAN Manager armazenado na alteração de senha
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

    Determine se o valor de hash para as senhas será armazenado na próxima vez em que a senha for alterada.

    • Não configurado – o valor de hash não é armazenado
    • Bloquear – o LM (LAN Manager) armazena o valor de hash para a nova senha.
  • Solicitações de autenticação PKU2U
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: NetworkSecurity_AllowPKU2UAuthenticationRequests

    • Não configurado – permite solicitações PU2U.
    • Bloquear – bloqueia solicitações de autenticação PKU2U para o dispositivo.
  • Restringir conexões RPC remotas com o SAM
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

    • Não configurado – usa o descritor de segurança padrão, que pode permitir que usuários e grupos façam chamadas RPC remotas para o SAM.

    • Permitir – impede que usuários e grupos façam chamadas RPC remotas para o SAM (Gerente de Contas de Segurança), que armazena contas de usuário e senhas. Permitir também permite alterar a cadeia de caracteres de SDDL (Linguagem de Definição do Descritor de Segurança) padrão para permitir ou impedir explicitamente que usuários e grupos façam essas chamadas remotas.

      • Descritor de segurança
        Padrão: Não configurado
  • Segurança mínima de sessão para clientes baseados em NTLM SSP
    Padrão: Nenhum
    CSP do LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

    Essa configuração de segurança permite que um servidor exija a negociação de criptografia de 128 bits e/ou segurança de sessão NTLMv2.

    • Nenhum
    • Exigir segurança de sessão NTLMv2
    • Exigir criptografia de 128 bits
    • Exigir criptografia de 128 bits e NTLMv2
  • Segurança mínima de sessão para servidores baseados em NTLM SSP
    Padrão: Nenhum
    CSP do LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

    Essa configuração de segurança determina qual protocolo de autenticação de desafio/resposta é usado para logons de rede.

    • Nenhum
    • Exigir segurança de sessão NTLMv2
    • Exigir criptografia de 128 bits
    • Exigir criptografia de 128 bits e NTLMv2
  • Nível de Autenticação do LAN Manager
    Padrão: LM e NTLM
    CSP do LocalPoliciesSecurityOptions: NetworkSecurity_LANManagerAuthenticationLevel

    • LM e NTLM
    • LM, NTLM e NTLMv2
    • NTLM
    • NTLMv2
    • NTLMv2 e não LM
    • NTLMv2 e não LM ou NTLM
  • Logons de Convidado Inseguro
    Padrão: Não configurado
    CSP do LanmanWorkstation: LanmanWorkstation

    Se você habilitar essa configuração, o cliente SMB rejeitará logons de convidados inseguros.

    • Não configurado
    • Bloquear – o cliente SMB rejeita logons de convidados inseguros.

Console de recuperação e desligamento

  • Limpar arquivo de paginação de memória virtual ao desligar
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: Shutdown_ClearVirtualMemoryPageFile

    • Habilitar – limpa o arquivo de paginação de memória virtual quando o dispositivo for desligado.
    • Não configurado – não limpa a memória virtual.
  • Desligar sem fazer logon
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

    • Bloquear – oculta a opção de desligamento na tela de entrada do Windows. Os usuários precisam entrar no dispositivo e, em seguida, desligá-lo.
    • Não configurado – permite que os usuários desliguem o dispositivo na tela de entrada do Windows.

Controle de conta de usuário

  • Integridade de UIA sem localização segura
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Bloquear – aplicativos em uma localização segura no sistema de arquivos são executados somente com a integridade de UIAccess.
    • Não configurado – permite que os aplicativos sejam executados com a integridade de UIAccess, mesmo se eles não estiverem em um local seguro no sistema de arquivos.
  • Virtualizar falhas de gravação de arquivos e do Registro para locais por usuário
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

    • Habilitada – aplicativos que gravam dados em locais protegidos apresentam falhas.
    • Não configurado – falhas de gravação de aplicativos são direcionadas em tempo de execução a localizações de usuário definidas tanto para o sistema de arquivos quanto para o Registro.
  • Elevar somente arquivos executáveis assinados e validados
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Habilitado – impõe a validação de caminho de certificação de PKI para um arquivo executável antes que ele possa ser executado.
    • Não configurado – não impõe a validação de caminho de certificação de PKI antes da execução de um arquivo executável.

Comportamento da solicitação de elevação de UIA

  • Solicitação de elevação para administradores
    Padrão: Solicitar consentimento para binários não Windows
    CSP do LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

    Defina o comportamento da solicitação de elevação de administradores no Modo de Aprovação de Administrador.

    • Não configurado
    • Elevar sem solicitar
    • Solicitar credenciais na área de trabalho protegida
    • Solicitar credenciais
    • Solicitar consentimento
    • Solicitar consentimento para binários não Windows
  • Solicitação de elevação para usuários padrão
    Padrão: Solicitar credenciais
    CSP do LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

    Define o comportamento da solicitação de elevação para usuários padrão.

    • Não configurado
    • Negar automaticamente solicitações de elevação
    • Solicitar credenciais na área de trabalho protegida
    • Solicitar credenciais
  • Encaminhar solicitações de elevação para a área de trabalho interativa do usuário
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

    • Habilitado – todas as solicitações de elevação são encaminhadas para a área de trabalho do usuário interativo, não para a área de trabalho protegida. As configurações de política de comportamento de solicitação para administradores e usuários padrão são usadas.
    • Não configurado – força todas as solicitações de elevação a serem encaminhadas para a área de trabalho protegida, independentemente das configurações de política de comportamento de prompts para administradores e usuários padrão.
  • Prompt com privilégios elevados para instalações de aplicativo
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

    • Habilitado – pacotes de instalação do aplicativo não são detectados ou solicitados a fornecer elevação.
    • Não configurado – o usuário é solicitado a fornecer um nome de usuário administrativo e uma senha quando um pacote de instalação de aplicativo exige privilégios elevados.
  • Solicitação de elevação de UIA sem a área de trabalho protegida
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

  • Habilitar – permite que aplicativos de UIAccess solicitem elevação sem usar a área de trabalho protegida.

  • Não configurado – os prompts de elevação usam uma área de trabalho protegida.

Modo de Aprovação de Administrador

  • Modo de Aprovação de Administrador para conta de administrador interno
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: UserAccountControl_UseAdminApprovalMode

    • Habilitado – permite que a conta de administrador interno use o Modo de Aprovação de Administrador. Qualquer operação que exija a elevação de privilégio solicita que o usuário aprove a operação.
    • Não configurado – executa todos os aplicativos com privilégios completos de administrador.
  • Executar todos os administradores no Modo de Aprovação de Administrador
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

    • Habilitado – habilita o Modo de Aprovação de Administrador.
    • Não configurado – desabilita o Modo de Aprovação de Administrador e todas as configurações de política do UAC relacionadas.

Cliente da Rede Microsoft

  • Assinar as comunicações digitalmente (se o servidor concordar)
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

    Determina se o cliente SMB negocia a assinatura de pacotes SMB.

    • Bloquear – o cliente SMB nunca negocia a assinatura do pacote SMB.
    • Não configurado – o cliente de rede Microsoft solicita que o servidor execute a assinatura de pacote SMB na configuração da sessão. Se a assinatura de pacote estiver habilitada no servidor, a assinatura de pacote será negociada.
  • Enviar senha não criptografada para servidores SMB de terceiros
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

    • Bloquear – o redirecionador do protocolo SMB pode enviar senhas em texto não criptografado para servidores SMB não Microsoft que não dão suporte à criptografia de senha durante a autenticação.
    • Não configurado – bloqueia o envio de senhas em texto sem formatação. As senhas são criptografadas.
  • Assinar as comunicações digitalmente (sempre)
    Padrão: Não configurado
    CSP do LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

    • Habilitar – o cliente de rede da Microsoft não se comunica com o servidor de rede da Microsoft, a menos que o servidor concorde em executar a assinatura do pacote SMB.
    • Não configurado – a assinatura do pacote SMB é negociada entre o cliente e o servidor.

Microsoft Network Server

  • Assinar as comunicações digitalmente (se o cliente concordar)
    Padrão: Não configurado
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

    • Habilitar – o servidor da rede Microsoft negocia a assinatura de pacote SMB conforme solicitado pelo cliente. Ou seja, se a assinatura de pacote estiver habilitada no cliente, a assinatura de pacote será negociada.
    • Não configurado – o cliente SMB nunca negocia a assinatura do pacote SMB.
  • Assinar as comunicações digitalmente (sempre)
    Padrão: Não configurado
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

    • Habilitar – o servidor de rede da Microsoft não se comunica com um cliente de rede da Microsoft, a menos que o cliente concorde em executar a assinatura do pacote SMB.
    • Não configurado – a assinatura do pacote SMB é negociada entre o cliente e o servidor.

Serviços do Xbox

Próximas etapas

O perfil foi criado, mas não está fazendo nada ainda. Em seguida, atribua o perfil e monitore seu status.

Definir configurações de proteções de ponto de extremidade em dispositivos macOS.