Configurações de política de redução de superfície de ataque para segurança de ponto de extremidade no Intune

  • Artigo

Exiba as configurações que você pode configurar em perfis para a política de redução de superfície de ataque no nó de segurança do ponto de extremidade do Intune como parte de uma política de segurança do Ponto de Extremidade.

Aplicável a:

  • Windows 11
  • Windows 10

Plataformas e perfis com suporte:

  • Windows 10 e posteriores – use essa plataforma para a política implantada em dispositivos gerenciados com o Intune.

    • Perfil: Isolamento do aplicativo e do navegador
    • Perfil: Controle de aplicativo
    • Perfil: Regras de redução de superfície de ataque
    • Perfil: Controle do dispositivo
    • Perfil: Explorar a proteção
    • Perfil: Proteção da Web (Versão Prévia do Microsoft Edge)

  • Windows 10 e posterior (ConfigMgr): use essa plataforma para a política implantada em dispositivos gerenciados por Configuration Manager.

    • Perfil: Exploit Protection(ConfigMgr)(preview)
    • Perfil: Proteção Da Web (ConfigMgr)(versão prévia)

  • Windows 10, Windows 11 e Windows Server: use essa plataforma para a política implantada em dispositivos gerenciados por meio do Gerenciamento de Segurança para Microsoft Defender para Ponto de Extremidade.

    • Perfil: Regras de redução de superfície de ataque

Redução de superfície de ataque (MDM)

Perfil de isolamento do aplicativo e do navegador

Observação

Esta seção detalha as configurações nos perfis de isolamento do aplicativo e do navegador criados antes de 18 de abril de 2023. Os perfis criados após essa data usam um novo formato de configurações conforme encontrado no Catálogo de Configurações. Com essa alteração, você não pode mais criar novas versões do perfil antigo e elas não estão mais sendo desenvolvidas. Embora você não possa mais criar novas instâncias do perfil mais antigo, você pode continuar editando e usando instâncias dele que você criou anteriormente.

Para perfis que usam o novo formato de configurações, o Intune não mantém mais uma lista de cada configuração por nome. Em vez disso, o nome de cada configuração, suas opções de configuração e seu texto explicativo que você vê no centro de administração Microsoft Intune são retirados diretamente do conteúdo autoritativo das configurações. Esse conteúdo pode fornecer mais informações sobre o uso da configuração em seu contexto apropriado. Ao exibir um texto de informações de configurações, você pode usar o link Saiba mais para abrir esse conteúdo.

Isolamento do aplicativo e do navegador

  • Ativar Application Guard
    CSP: AllowWindowsDefenderApplicationGuard

    • Não configurado (padrão) – Microsoft Defender Application Guard não está configurado para o Microsoft Edge ou ambientes isolados do Windows.
    • Habilitado para o Edge – Application Guard abre sites não aprovados em um contêiner de navegação virtualizado do Hyper-V.
    • Habilitado para ambientes isolados do Windows – Application Guard está ativada para todos os aplicativos habilitados para o App Guard no Windows.
    • Habilitado para ambientes windows isolados do Edge AND – Application Guard está configurado para ambos os cenários.

    Observação

    Se você estiver implantando Application Guard para o Microsoft Edge via Intune, a política de isolamento de rede do Windows deverá ser configurada como um pré-requisito. O isolamento de rede pode ser configurado por meio de vários perfis, incluindo o isolamento de aplicativo e broswer sob a configuração de isolamento de rede do Windows .

    Quando definido como Habilitado para o Edge ou Habilitado para ambientes isolados do Windows do Edge AND, as seguintes configurações estão disponíveis, que se aplicam ao Edge:

    • Comportamento da área de transferência
      CSP: ClipboardSettings

      Escolha quais ações de cópia e colagem são permitidas no computador local e em um navegador virtual Application Guard.

      • Não configurado (padrão)
      • Bloquear cópia e colar entre o computador e o navegador
      • Permitir copiar e colar somente do navegador para o computador
      • Permitir copiar e colar somente do computador para o navegador
      • Permitir copiar e colar entre o computador e o navegador

    • Bloquear conteúdo externo de sites não aprovados por empresas
      CSP: BlockNonEnterpriseContent

      • Não configurado (padrão)
      • Sim – bloquear o conteúdo de sites não aprovados do carregamento.

    • Coletar logs para eventos que ocorrem em uma sessão de navegação Application Guard
      CSP: AuditApplicationGuard

      • Não configurado (padrão)
      • Sim – Coletar logs para eventos que ocorrem em uma sessão de navegação virtual Application Guard.

    • Permitir que os dados do navegador gerados pelo usuário sejam salvos
      CSP: AllowPersistence

      • Não configurado (padrão)
      • Sim – permitir que os dados do usuário criados durante uma sessão de navegação virtual Application Guard sejam salvos. Exemplos de dados de usuário incluem senhas, favoritos e cookies.

    • Habilitar a aceleração de gráficos de hardware
      CSP: AllowVirtualGPU

      • Não configurado (padrão)
      • Sim – na sessão de navegação virtual Application Guard, use uma unidade de processamento de gráficos virtuais para carregar sites com uso intensivo de gráficos mais rapidamente.

    • Permitir que os usuários baixem arquivos no host
      CSP: SaveFilesToHost

      • Não configurado (padrão)
      • Sim – permitir que os usuários baixem arquivos do navegador virtualizado no sistema operacional host.

    • Application Guard permitir o acesso à câmera e ao microfone
      CSP: AllowCameraMicrophoneRedirection

      • Não configurado (padrão) – Aplicativos dentro Microsoft Defender Application Guard não podem acessar a câmera e o microfone no dispositivo do usuário.
      • Sim – aplicativos dentro Microsoft Defender Application Guard podem acessar a câmera e o microfone no dispositivo do usuário.
      • Não – Aplicativos dentro Microsoft Defender Application Guard não podem acessar a câmera e o microfone no dispositivo do usuário. Esse é o mesmo comportamento que Não configurado.

  • O protetor de aplicativo permite a impressão em impressoras locais

    • Não configurado (padrão)
    • Sim – permitir a impressão em impressoras locais.

  • O protetor de aplicativo permite imprimir em impressoras de rede

    • Não configurado (padrão)
    • Sim – permitir impressão de impressão em impressoras de rede.

  • O protetor de aplicativo permite a impressão no PDF

    • Não configurado (padrão)
    • Sim- Permitir impressão impressa em PDF.

  • O protetor de aplicativo permite a impressão no XPS

    • Não configurado (padrão)
    • Sim – – Permitir impressão de impressão no XPS.

  • Application Guard permitir o uso de Autoridades de Certificado Raiz do dispositivo do usuário
    CSP: CertificateThumbprints

    Configure impressões digitais de certificado para transferir automaticamente o certificado raiz correspondente para o contêiner Microsoft Defender Application Guard.

    Para adicionar impressões digitais uma de cada vez, selecione Adicionar. Você pode usar Importar para especificar um arquivo .CSV que contém várias entradas de impressão digital que são adicionadas ao perfil ao mesmo tempo. Quando você usa um arquivo .CSV, cada impressão digital deve ser separada por uma vírgula. Por exemplo: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

    Todas as entradas listadas no perfil estão ativas. Você não precisa selecionar uma caixa de seleção para uma entrada de impressão digital para torná-la ativa. Em vez disso, use as caixas de seleção para ajudá-lo a gerenciar as entradas que foram adicionadas ao perfil. Por exemplo, você pode selecionar a caixa de seleção de uma ou mais entradas de impressão digital de certificado e, em seguida, Excluir essas entradas do perfil com uma única ação.

  • Política de isolamento de rede do Windows

    • Não configurado (padrão)
    • Sim – configurar a política de isolamento de rede do Windows.

    Quando definido como Sim, você pode configurar as seguintes configurações:

    • Intervalos de IP
      Expanda a lista suspensa, selecione Adicionar e especifique um endereço inferior e, em seguida, um endereço superior.

    • Recursos de nuvem
      Expanda a lista suspensa, selecione Adicionar e especifique um endereço IP ou FQDN e um Proxy.

    • Domínios de rede
      Expanda a lista suspensa, selecione Adicionar e especifique domínios de rede.

    • Servidores proxy
      Expanda a lista suspensa, selecione Adicionar e especifique servidores Proxy.

    • Servidores proxy internos
      Expanda a lista suspensa, selecione Adicionar e especifique servidores proxy internos.

    • Recursos neutros
      Expanda a lista suspensa, selecione Adicionar e especifique Recursos neutros.

    • Desabilitar a detecção automática de outros servidores proxy corporativos

      • Não configurado (padrão)
      • Sim – Desabilitar a detecção automática de outros servidores proxy corporativos.

    • Desabilitar a detecção automática de outros intervalos de IP corporativos

      • Não configurado (padrão)
      • Sim – Desabilitar a detecção automática de outros intervalos de IP corporativos.

    Observação

    Depois que o perfil for criado, todos os dispositivos aos quais a política deve ser aplicada terão Microsoft Defender Application Guard habilitados. Os usuários podem ter que reiniciar seus dispositivos para que a proteção esteja em vigor.

Perfil de controle de aplicativo

controle de aplicativo Microsoft Defender

  • Controle de aplicativo do armário de aplicativos de aplicativo de aplicativo
    CSP: AppLocker

    • Não configurado (padrão)
    • Impor componentes e armazenar aplicativos
    • Auditar componentes e aplicativos de armazenamento
    • Impor componentes, aplicativos de loja e Smartlocker
    • Auditar componentes, aplicativos de loja e Smartlocker

  • Impedir que os usuários ignorem avisos do SmartScreen
    CSP: SmartScreen/PreventOverrideForFilesInShell

    • Não configurado (padrão) – os usuários podem ignorar avisos smartscreen para arquivos e aplicativos mal-intencionados.
    • Sim – o SmartScreen está habilitado e os usuários não podem ignorar avisos para arquivos ou aplicativos mal-intencionados.

  • Ativar o Windows SmartScreen
    CSP: SmartScreen/EnableSmartScreenInShell

    • Não configurado (padrão) – retorne a configuração ao padrão do Windows, que é habilitar o SmartScreen, no entanto, os usuários podem alterar essa configuração. Para desabilitar o SmartScreen, use um URI personalizado.
    • Sim – impor o uso do SmartScreen para todos os usuários.

Perfil de regras de redução da superfície de ataque

Regras de redução de superfície de ataque

Para saber mais sobre regras de redução de superfície de ataque, consulte Referência de regras de redução de superfície de ataque na documentação do Microsoft 365.

Observação

Esta seção detalha as configurações nos perfis de Regras de Redução de Superfície de Ataque criados antes de 5 de abril de 2022. Os perfis criados após essa data usam um novo formato de configurações conforme encontrado no Catálogo de Configurações. Com essa alteração, você não pode mais criar novas versões do perfil antigo e elas não estão mais sendo desenvolvidas. Embora você não possa mais criar novas instâncias do perfil mais antigo, você pode continuar editando e usando instâncias dele que você criou anteriormente.

Para perfis que usam o novo formato de configurações, o Intune não mantém mais uma lista de cada configuração por nome. Em vez disso, o nome de cada configuração, suas opções de configuração e seu texto explicativo que você vê no centro de administração Microsoft Intune são retirados diretamente do conteúdo autoritativo das configurações. Esse conteúdo pode fornecer mais informações sobre o uso da configuração em seu contexto apropriado. Ao exibir um texto de informações de configurações, você pode usar o link Saiba mais para abrir esse conteúdo.

  • Bloquear a persistência por meio da assinatura de evento WMI
    Reduzir superfícies de ataque com regras de redução de superfície de ataque

    Essa regra de redução de superfície de ataque (ASR) é controlada por meio do seguinte GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

    Essa regra impede que o malware viole o WMI para obter persistência em um dispositivo. Ameaças sem arquivo empregam várias táticas para permanecer ocultas, evitar serem vistas no sistema de arquivos e obter controle de execução periódico. Algumas ameaças podem violar o repositório WMI e o modelo de evento para permanecerem ocultas.

    • Não configurada (padrão) – a configuração retorna ao padrão do Windows, que está desativado e a persistência não está bloqueada.
    • Bloquear – a persistência por meio do WMI é bloqueada.
    • Auditoria – avalia como essa regra afetará sua organização se ela estiver habilitada (definida como Bloquear).
    • Desabilitar – desative essa regra. A persistência não é bloqueada.

    Para saber mais sobre essa configuração, confira Bloquear persistência por meio da assinatura de evento WMI.

  • Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)
    Proteger dispositivos contra abusos

    Essa regra de redução de superfície de ataque (ASR) é controlada por meio do seguinte GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • Não configurada (padrão) – A configuração retorna ao padrão do Windows, que está desativado.
    • Usuário definido
    • Habilitar – as tentativas de roubar credenciais por meio de lsass.exe são bloqueadas.
    • Modo de auditoria – os usuários não são bloqueados de domínios perigosos e os eventos do Windows são gerados.
    • Avisar - Para Windows 10 versão 1809 ou posterior e Windows 11, o usuário do dispositivo recebe uma mensagem de que pode ignorar o Bloco da configuração. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Habilitar.

  • Impedir o Adobe Reader de criar processos filho
    Reduzir superfícies de ataque com regras de redução de superfície de ataque

    Essa regra ASR é controlada por meio do seguinte GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

    • Não configurado (padrão) – o padrão do Windows é restaurado, é não bloquear a criação de processos filho.
    • Usuário definido
    • Habilitar – o Adobe Reader está impedido de criar processos filho.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear processos filho.
    • Avisar - Para Windows 10 versão 1809 ou posterior e Windows 11, o usuário do dispositivo recebe uma mensagem de que pode ignorar o Bloco da configuração. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Habilitar.

  • Bloquear aplicativos do Office de injetar código em outros processos
    Proteger dispositivos contra abusos

    Essa regra ASR é controlada por meio do seguinte GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • Não configurada (padrão) – A configuração retorna ao padrão do Windows, que está desativado.
    • Bloquear – os aplicativos do Office são impedidos de injetar código em outros processos.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Avisar - Para Windows 10 versão 1809 ou posterior e Windows 11, o usuário do dispositivo recebe uma mensagem de que pode ignorar o Bloco da configuração. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Habilitar.
    • Desabilitar – essa configuração está desativada.

  • Bloquear aplicativos do Office de criar conteúdo executável
    Proteger dispositivos contra abusos

    Essa regra ASR é controlada por meio do seguinte GUID: 3B576869-A4EC-4529-8536-B80A7769E899

    • Não configurada (padrão) – A configuração retorna ao padrão do Windows, que está desativado.
    • Bloquear – os aplicativos do Office são impedidos de criar conteúdo executável.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Avisar - Para Windows 10 versão 1809 ou posterior e Windows 11, o usuário do dispositivo recebe uma mensagem de que pode ignorar o Bloco da configuração. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Habilitar.
    • Desabilitar – essa configuração está desativada.

  • Bloquear todos os aplicativos do Office de criar processos filho
    Proteger dispositivos contra abusos

    Essa regra ASR é controlada por meio do seguinte GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • Não configurada (padrão) – A configuração retorna ao padrão do Windows, que está desativado.
    • Bloquear – os aplicativos do Office são impedidos de criar processos filho.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Avisar - Para Windows 10 versão 1809 ou posterior e Windows 11, o usuário do dispositivo recebe uma mensagem de que pode ignorar o Bloco da configuração. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Habilitar.
    • Desabilitar – essa configuração está desativada.

  • Bloquear chamadas de API win32 da macro do Office
    Proteger dispositivos contra abusos

    Essa regra ASR é controlada por meio do seguinte GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

    • Não configurada (padrão) – A configuração retorna ao padrão do Windows, que está desativado.
    • Bloquear – as macros do Office são impedidas de usar chamadas de API do Win32.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Avisar - Para Windows 10 versão 1809 ou posterior e Windows 11, o usuário do dispositivo recebe uma mensagem de que pode ignorar o Bloco da configuração. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Habilitar.
    • Desabilitar – essa configuração está desativada.

  • Impedir que aplicativos de comunicação do Office criem processos filho
    Proteger dispositivos contra abusos

    Essa regra ASR é controlada por meio do seguinte GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869.

    • Não configurado (padrão) – o padrão do Windows é restaurado, que é não bloquear a criação de processos filho.
    • Usuário definido
    • Habilitar – os aplicativos de comunicação do Office são impedidos de criar processos filho.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear processos filho.
    • Avisar - Para Windows 10 versão 1809 ou posterior e Windows 11, o usuário do dispositivo recebe uma mensagem de que pode ignorar o Bloco da configuração. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Habilitar.

  • Bloquear a execução de scripts potencialmente ofuscados (js/vbs/ps)
    Proteger dispositivos contra abusos

    Essa regra ASR é controlada por meio do seguinte GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • Não configurada (padrão) – A configuração retorna ao padrão do Windows, que está desativado.
    • Bloco – o Defender bloqueia a execução de scripts ofuscados.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Avisar - Para Windows 10 versão 1809 ou posterior e Windows 11, o usuário do dispositivo recebe uma mensagem de que pode ignorar o Bloco da configuração. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Habilitar.
    • Desabilitar – essa configuração está desativada.

  • Bloquear JavaScript ou VBScript de iniciar conteúdo executável baixado
    Proteger dispositivos contra abusos

    Essa regra ASR é controlada por meio do seguinte GUID: D3E037E1-3EB8-44C8-A917-57927947596D

    • Não configurada (padrão) – A configuração retorna ao padrão do Windows, que está desativado.
    • Bloquear – o Defender bloqueia que arquivos JavaScript ou VBScript que foram baixados da Internet sejam executados.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Desabilitar – essa configuração está desativada.

  • Bloquear criações de processo originadas de comandos PSExec e WMI
    Proteger dispositivos contra abusos

    Essa regra ASR é controlada por meio do seguinte GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

    • Não configurada (padrão) – A configuração retorna ao padrão do Windows, que está desativado.
    • Bloquear – A criação de processos por comandos PSExec ou WMI está bloqueada.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Avisar - Para Windows 10 versão 1809 ou posterior e Windows 11, o usuário do dispositivo recebe uma mensagem de que pode ignorar o Bloco da configuração. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Habilitar.
    • Desabilitar – essa configuração está desativada.

  • Bloquear processos não confiáveis e sem sinal que são executados no USB
    Proteger dispositivos contra abusos

    Essa regra ASR é controlada por meio do seguinte GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • Não configurada (padrão) – A configuração retorna ao padrão do Windows, que está desativado.
    • Bloquear – processos não confiáveis e sem sinal que são executados de uma unidade USB são bloqueados.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Avisar - Para Windows 10 versão 1809 ou posterior e Windows 11, o usuário do dispositivo recebe uma mensagem de que pode ignorar o Bloco da configuração. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Habilitar.
    • Desabilitar – essa configuração está desativada.

  • Bloquear a execução de arquivos executáveis, a menos que eles atendam a uma prevalência, idade ou critérios de lista confiáveis
    Proteger dispositivos contra abusos

    Essa regra ASR é controlada por meio do seguinte GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25e

    • Não configurada (padrão) – A configuração retorna ao padrão do Windows, que está desativado.
    • Bloquear
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Avisar - Para Windows 10 versão 1809 ou posterior e Windows 11, o usuário do dispositivo recebe uma mensagem de que pode ignorar o Bloco da configuração. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Habilitar.
    • Desabilitar – essa configuração está desativada.

  • Bloquear o download de conteúdo executável de clientes de email e webmail
    Proteger dispositivos contra abusos

    • Não configurada (padrão) – A configuração retorna ao padrão do Windows, que está desativado.
    • Bloquear – O conteúdo executável baixado de clientes de email e webmail está bloqueado.
    • Modo de auditoria – os eventos do Windows são gerados em vez de bloquear.
    • Avisar - Para Windows 10 versão 1809 ou posterior e Windows 11, o usuário do dispositivo recebe uma mensagem de que pode ignorar o Bloco da configuração. Em dispositivos que executam versões anteriores de Windows 10, a regra impõe o comportamento Habilitar.
    • Desabilitar – essa configuração está desativada.

  • Usar proteção avançada contra ransomware
    Proteger dispositivos contra abusos

    Essa regra ASR é controlada por meio do seguinte GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

    • Não configurada (padrão) – A configuração retorna ao padrão do Windows, que está desativado.
    • Usuário definido
    • Enable
    • Modo de auditoria – – os eventos do Windows são gerados em vez de bloquear.

  • Habilitar a proteção de pastas
    CSP: EnableControlledFolderAccess

    • Não configurado (padrão) – Essa configuração retorna ao seu padrão, que não é leitura ou gravações são bloqueadas.
    • Habilitar – Para aplicativos não confiáveis, o Defender bloqueia tentativas de modificar ou excluir arquivos em pastas protegidas ou gravar em setores de disco. O Defender determina automaticamente quais aplicativos podem ser confiáveis. Como alternativa, você pode definir sua própria lista de aplicativos confiáveis.
    • Modo de auditoria – os eventos do Windows são gerados quando aplicativos não confiáveis acessam pastas controladas, mas nenhum bloco é imposto.
    • Bloquear modificação de disco – somente as tentativas de gravação em setores de disco são bloqueadas.
    • Modificação de disco de auditoria – os eventos do Windows são gerados em vez de bloquear tentativas de gravação em setores de disco.

  • Lista de pastas adicionais que precisam ser protegidas
    CSP: ControlledFolderAccessProtectedFolders

    Defina uma lista de locais de disco que serão protegidos contra aplicativos não confiáveis.

  • Lista de aplicativos que têm acesso a pastas protegidas
    CSP: ControlledFolderAccessAllowedApplications

    Defina uma lista de aplicativos que têm acesso à leitura/gravação a locais controlados.

  • Excluir arquivos e caminhos das regras de redução da superfície de ataque
    CSP: AttackSurfaceReductionOnlyExclusions

    Expanda a lista suspensa e selecione Adicionar para definir um Caminho para um arquivo ou pasta a ser excluído das regras de redução da superfície de ataque.

Perfil de controle de dispositivo

Controle do Dispositivo

Observação

Esta seção detalha as configurações encontradas nos perfis de controle de dispositivo criados antes de 23 de maio de 2022. Os perfis criados após essa data usam um novo formato de configurações conforme encontrado no Catálogo de Configurações. Embora você não possa mais criar novas instâncias do perfil original, você pode continuar editando e usando seus perfis existentes.

Para perfis que usam o novo formato de configurações, o Intune não mantém mais uma lista de cada configuração por nome. Em vez disso, o nome de cada configuração, suas opções de configuração e seu texto explicativo que você vê no centro de administração Microsoft Intune são retirados diretamente do conteúdo autoritativo das configurações. Esse conteúdo pode fornecer mais informações sobre o uso da configuração em seu contexto apropriado. Ao exibir um texto de informações de configurações, você pode usar o link Saiba mais para abrir esse conteúdo.

  • Permitir a instalação do dispositivo de hardware por identificadores de dispositivo

    • Não configurado(padrão)
    • Sim – o Windows pode instalar ou atualizar qualquer dispositivo cujo Plug and Play ID de hardware ou ID compatível aparece na lista que você cria, a menos que outra configuração de política impeça especificamente essa instalação. Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.
    • Não

    Quando definido como Sim , você pode configurar as seguintes opções:

    • Permitir lista – Use Adicionar, Importar e Exportar para gerenciar uma lista de identificadores de dispositivo.

  • Bloquear a instalação do dispositivo de hardware por identificadores de dispositivo
    CSP: AllowInstallationOfMatchingDeviceIDs

    • Não configurado(padrão)
    • Sim – especifique uma lista de Plug and Play IDs de hardware e IDs compatíveis para dispositivos que o Windows está impedido de instalar. Essa política tem precedência sobre qualquer outra configuração de política que permita ao Windows instalar um dispositivo. Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.
    • Não

    Quando definido como Sim , você pode configurar as seguintes opções:

    • Remover dispositivos de hardware correspondentes

      • Sim
      • Não configurado(padrão)

    • Lista de blocos – Use Adicionar, Importar e Exportar para gerenciar uma lista de identificadores de dispositivo.

  • Permitir a instalação do dispositivo de hardware por classe de instalação

    • Não configurado(padrão)
    • Sim – o Windows pode instalar ou atualizar drivers de dispositivo cujos GUIDs de classe de instalação de dispositivo aparecem na lista que você cria, a menos que outra configuração de política impeça especificamente essa instalação. Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.
    • Não

    Quando definido como Sim , você pode configurar as seguintes opções:

    • Permitir lista – Use Adicionar, Importar e Exportar para gerenciar uma lista de identificadores de dispositivo.

  • Bloquear a instalação do dispositivo de hardware por classes de instalação
    CSP: AllowInstallationOfMatchingDeviceSetupClasses

    • Não configurado(padrão)
    • Sim – especifique uma lista de GUIDs (identificadores globalmente exclusivos) da classe de instalação do dispositivo para drivers de dispositivo que o Windows está impedido de instalar. Essa configuração de política tem precedência sobre qualquer outra configuração de política que permita ao Windows instalar um dispositivo. Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.
    • Não

    Quando definido como Sim , você pode configurar as seguintes opções:

    • Remover dispositivos de hardware correspondentes

      • Sim
      • Não configurado(padrão)

    • Lista de blocos – Use Adicionar, Importar e Exportar para gerenciar uma lista de identificadores de dispositivo.

  • Permitir a instalação do dispositivo de hardware por identificadores de instância de dispositivo

    • Não configurado(padrão)
    • Sim – o Windows tem permissão para instalar ou atualizar qualquer dispositivo cuja ID da instância do dispositivo Plug and Play aparece na lista que você cria, a menos que outra configuração de política impeça especificamente essa instalação. Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.
    • Não

    Quando definido como Sim , você pode configurar as seguintes opções:

    • Permitir lista – Use Adicionar, Importar e Exportar para gerenciar uma lista de identificadores de dispositivo.

  • Bloquear a instalação do dispositivo de hardware por identificadores de instância de dispositivo
    Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

    • Não configurado(padrão)
    • Sim – especifique uma lista de Plug and Play IDs de hardware e IDs compatíveis para dispositivos que o Windows está impedido de instalar. Essa política tem precedência sobre qualquer outra configuração de política que permita ao Windows instalar um dispositivo. Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.
    • Não

    Quando definido como Sim , você pode configurar as seguintes opções:

    • Remover dispositivos de hardware correspondentes

      • Sim
      • Não configurado(padrão)

    • Lista de blocos – Use Adicionar, Importar e Exportar para gerenciar uma lista de identificadores de dispositivo.

  • Bloquear o acesso de gravação ao armazenamento removível
    CSP: RemovableDiskDenyWriteAccess

    • Não configurado(padrão)
    • Sim – o acesso de gravação é negado ao armazenamento removível.
    • Não – o acesso de gravação é permitido.

  • Verificar unidades removíveis durante a verificação completa
    CSP: Defender/PermitirFullScanRemovableDriveScanning

    • Não configurada (padrão) – A configuração retorna ao padrão do cliente, que verifica unidades removíveis, no entanto, o usuário pode desabilitar essa verificação.
    • Sim – durante uma verificação completa, unidades removíveis (como unidades flash USB) são examinadas.

  • Bloquear o acesso direto à memória
    CSP: DataProtection/AllowDirectMemoryAccess

    Essa configuração de política só é imposta quando BitLocker ou criptografia de dispositivo está habilitada.

    • Não configurado (padrão)
    • Sim – bloquear o DMA (acesso direto à memória) para todas as portas downstream de PCI plugáveis a quente até que um usuário faça logon no Windows. Depois que um usuário faz logon, o Windows enumera os dispositivos PCI conectados às portas PCI do plug-host. Sempre que o usuário bloqueia o computador, o DMA é bloqueado em portas PCI de plug-quente sem dispositivos filhos até que o usuário faça logon novamente. Os dispositivos que já foram enumerados quando o computador foi desbloqueado continuarão funcionando até que seja desconectado.

  • Enumeração de dispositivos externos incompatíveis com o Kernel DMA Protection
    CSP: DmaGuard/DeviceEnumerationPolicy

    Essa política pode fornecer segurança adicional contra dispositivos capazes de DMA externos. Ele permite mais controle sobre a enumeração de dispositivos com capacidade de DMA externos incompatíveis com o isolamento de memória do dispositivo e o isolamento de memória do dispositivo DMA.

    Essa política só entra em vigor quando o Kernel DMA Protection tem suporte e é habilitado pelo firmware do sistema. O Kernel DMA Protection é um recurso de plataforma que deve ser suportado pelo sistema no momento da fabricação. Para marcar se o sistema dá suporte à Proteção de DMA do Kernel, marcar o campo Proteção DMA do Kernel na página Resumo do MSINFO32.exe.

    • Não configurado – (padrão)
    • Bloquear tudo
    • Permitir tudo

  • Bloquear conexões bluetooth
    CSP: Bluetooth/AllowDiscoverableMode

    • Não configurado (padrão)
    • Sim – bloquear conexões bluetooth de e para o dispositivo.

  • Bloquear a descoberta bluetooth
    CSP: Bluetooth/AllowDiscoverableMode

    • Não configurado (padrão)
    • Sim – impede que o dispositivo seja detectável por outros dispositivos habilitados para Bluetooth.

  • Bloquear o pré-emparelhamento bluetooth
    CSP: Bluetooth/AllowPrepairing

    • Não configurado (padrão)
    • Sim – impede que dispositivos Bluetooth específicos emparelhem automaticamente com o dispositivo host.

  • Bloquear publicidade bluetooth
    CSP: Bluetooth/AllowAdvertising

    • Não configurado (padrão)
    • Sim – impede que o dispositivo envie anúncios Bluetooth.

  • Bloquear conexões proximal bluetooth
    CSP: Bluetooth/AllowPromptedProximalConnections bloqueiam os usuários de usar o Swift Pair e outros cenários baseados em proximidade

    • Não configurado (padrão)
    • Sim – impede que um usuário de dispositivo use o Swift Pair e outros cenários baseados em proximidade.

    Bluetooth/AllowPromptedProximalConnections CSP

  • Serviços permitidos por Bluetooth
    CSP: Bluetooth/ServicesAllowedList.
    Para obter mais informações sobre a lista de serviços, consulte Guia de uso do ServicesAllowedList

    • Adicionar – especifique serviços e perfis Bluetooth permitidos como cadeias de caracteres hex, como {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}.
    • Importar - Importar um arquivo .csv que contém uma lista de serviços e perfis bluetooth, como cadeias de caracteres hex, como {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}

  • Repositório removível
    CSP: Storage/RemovableDiskDenyWriteAccess

    • Bloquear (padrão) – impedir que os usuários usem dispositivos de armazenamento externos, como cartões SD com o dispositivo.
    • Não configurado

  • Conexões USB (somente HoloLens)
    CSP: Conectividade/AllowUSBConnection

    • Bloquear – impedir o uso de uma conexão USB entre o dispositivo e um computador para sincronizar arquivos ou usar ferramentas de desenvolvedor para implantar ou depurar aplicativos. O carregamento USB não foi afetado.
    • Não configurado (padrão)

Explorar o perfil de proteção

Proteção de exploração

Observação

Esta seção detalha as configurações que você pode encontrar em Explorar perfis de proteção criados antes de 5 de abril de 2022. Os perfis criados após essa data usam um novo formato de configurações conforme encontrado no Catálogo de Configurações. Com essa alteração, você não pode mais criar novas versões do perfil antigo e elas não estão mais sendo desenvolvidas. Embora você não possa mais criar novas instâncias do perfil mais antigo, você pode continuar editando e usando instâncias dele que você criou anteriormente.

Para perfis que usam o novo formato de configurações, o Intune não mantém mais uma lista de cada configuração por nome. Em vez disso, o nome de cada configuração, suas opções de configuração e seu texto explicativo que você vê no centro de administração Microsoft Intune são retirados diretamente do conteúdo autoritativo das configurações. Esse conteúdo pode fornecer mais informações sobre o uso da configuração em seu contexto apropriado. Ao exibir um texto de informações de configurações, você pode usar o link Saiba mais para abrir esse conteúdo.

  • Carregar XML
    CSP: ExploreProtectionSettings

    Permite que o administrador de TI envie um push para fora de uma configuração que representa as opções de mitigação de sistema e aplicativo desejadas para todos os dispositivos da organização. A configuração é representada por um arquivo XML. A proteção de exploração pode ajudar a proteger dispositivos contra malware que usam explorações para espalhar e infectar. Usar o aplicativo de Segurança do Windows ou o PowerShell para criar um conjunto de mitigações (conhecido como configuração). Em seguida, você pode exportar essa configuração como um arquivo XML e compartilhá-la com vários computadores em sua rede para que todos eles tenham o mesmo conjunto de configurações de mitigação. Você também pode converter e importar um arquivo XML de configuração emET existente em uma configuração de proteção de exploração XML.

    Escolha Selecionar Arquivo XML, especifique o upload do arquivo XML e clique em Selecionar.

    • Não configurado (padrão)
    • Sim

  • Impedir que os usuários editem a interface de proteção do Exploit Guard
    CSP: DisallowExploitProtectionOverride

    • Não configurado (padrão) – os usuários locais podem fazer alterações na área de configurações de proteção de exploração.
    • Sim – impedir que os usuários façam alterações na área de configurações de proteção de exploração no Central de Segurança do Microsoft Defender.

Perfil de proteção da Web (Versão Prévia do Microsoft Edge)

Proteção Web (Versão Prévia do Microsoft Edge)

  • Habilitar a proteção de rede
    CSP: EnableNetworkProtection

    • Não configurada (padrão) – a configuração retorna ao padrão do Windows, que está desabilitado.
    • Usuário definido
    • Habilitar – a proteção de rede está habilitada para todos os usuários no sistema.
    • Modo de auditoria – os usuários não são bloqueados de domínios perigosos e os eventos do Windows são gerados.

  • Exigir SmartScreen para Microsoft Edge
    CSP: Navegador/AllowSmartScreen

    • Sim – Use o SmartScreen para proteger os usuários contra possíveis golpes de phishing e software mal-intencionado.
    • Não configurado (padrão)

  • Bloquear o acesso mal-intencionado ao site
    CSP: Navegador/PreventSmartScreenPromptOverride

    • Sim – impedir que os usuários ignorem os avisos do filtro smartscreen Microsoft Defender e os impeçam de ir ao site.
    • Não configurado (padrão)

  • Bloquear o download de arquivo não verificado
    CSP: Navegador/PreventSmartScreenPromptOverrideForFiles

    • Sim – impedir que os usuários ignorem os avisos do Filtro smartscreen Microsoft Defender e os impeçam de baixar arquivos não verificados.
    • Não configurado (padrão)

Redução da superfície de ataque (ConfigMgr)

Perfil Explore Protection (ConfigMgr)(Versão prévia)

Explorar Proteção

  • Carregar XML
    CSP: ExploreProtectionSettings

    Permite que o administrador de TI envie um push para fora de uma configuração que representa as opções de mitigação de sistema e aplicativo desejadas para todos os dispositivos da organização. A configuração é representada por um arquivo XML. A proteção de exploração pode ajudar a proteger dispositivos contra malware que usam explorações para espalhar e infectar. Usar o aplicativo de Segurança do Windows ou o PowerShell para criar um conjunto de mitigações (conhecido como configuração). Em seguida, você pode exportar essa configuração como um arquivo XML e compartilhá-la com vários computadores em sua rede para que todos eles tenham o mesmo conjunto de configurações de mitigação. Você também pode converter e importar um arquivo XML de configuração emET existente em uma configuração de proteção de exploração XML.

    Escolha Selecionar Arquivo XML, especifique o upload do arquivo XML e clique em Selecionar.

  • Não permitir a substituição da Proteção de Exploração
    CSP: DisallowExploitProtectionOverride

    • Não configurado (padrão)
    • (Desabilitar) Os usuários locais podem fazer alterações na área de configurações de proteção de exploração.
    • (Habilitar) Os usuários locais não podem fazer alterações na área de configurações de proteção de exploração

Perfil da Proteção Web (ConfigMgr)(Versão Prévia)

Proteção Web

Próximas etapas

Política de segurança do ponto de extremidade para ASR