Lista das configurações na linha de base de segurança Microsoft Defender para Ponto de Extremidade no Intune
Este artigo é uma referência para as configurações que estão disponíveis nas diferentes versões da linha de base de segurança Microsoft Defender para Ponto de Extremidade que você pode implantar com Microsoft Intune. Use as guias para selecionar e exibir as configurações na versão de linha de base mais recente e algumas versões mais antigas que ainda podem estar em uso.
Para cada configuração, essa referência identifica a configuração padrão das linhas de base, que também é a configuração recomendada para essa configuração fornecida pela equipe de segurança relevante. Como os produtos e o cenário de segurança evoluem, os padrões recomendados em uma versão de linha de base podem não corresponder aos padrões encontrados em versões posteriores da mesma linha de base. Tipos de linha de base diferentes, como a segurança MDM e as linhas de base do Defender para Ponto de Extremidade , também podem definir padrões diferentes.
Quando a interface do usuário Intune incluir um link do Learn more para uma configuração, você encontrará isso aqui também. Use esse link para exibir o CSP ( provedor de serviços de configuração de política de configuração ) ou conteúdo relevante que explica a operação de configurações.
Quando uma nova versão de uma linha de base fica disponível, ela substitui a versão anterior. Perfis de instâncias que são criadas antes da disponibilidade de uma nova versão:
- Torne-se somente leitura. Você pode continuar a usar esses perfis, mas não pode editá-los para alterar a configuração deles.
- Pode ser atualizado para a versão mais recente. Depois de atualizar um perfil para a versão de linha de base atual, você pode editar o perfil para modificar as configurações.
Para saber mais sobre como usar linhas de base de segurança, consulte Usar linhas de base de segurança. Nesse artigo, você também encontrará informações sobre como:
- Altere a versão da linha de base de um perfil para atualizar um perfil para usar a versão mais recente dessa linha de base.
Microsoft Defender para Ponto de Extremidade versão de linha de base 24H1
Linha de base do Microsoft Defender para Ponto de Extremidade de dezembro de 2020 – versão 6
Microsoft Defender para Ponto de Extremidade linha de base para setembro de 2020 – versão 5
Linha de base do Microsoft Defender para Ponto de Extremidade de abril de 2020 – versão 4
Linha de base do Microsoft Defender para Ponto de Extremidade de março de 2020 – versão 3
A linha de base Microsoft Defender para Ponto de Extremidade está disponível quando o ambiente atende aos pré-requisitos para usar Microsoft Defender para Ponto de Extremidade.
Essa linha de base é otimizada para dispositivos físicos e não é recomendada para uso em VMs (máquinas virtuais) ou pontos de extremidade VDI. Determinadas configurações de linha de base podem afetar sessões interativas remotas em ambientes virtualizados. Para obter mais informações, confira Aumentar a conformidade com a linha de base de segurança do Microsoft Defender para Ponto de Extremidade na documentação do Windows.
Modelos administrativos
Restrições de instalação do dispositivo de instalação > do dispositivo do sistema >
Impedir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo
Padrão de linha de base: habilitado
Saiba MaisAplique-se também aos dispositivos correspondentes que já estão instalados.
Padrão de linha de base: FalseClasses impedidas
Padrão da linha de base: d48179be-ec20-11d1-b6b8-00c04fa372a7
Criptografia de unidade bitlocker de componentes > do Windows
Escolha o método de criptografia de unidade e a força da codificação (Windows 10 [Versão 1511] e posterior)
Padrão de linha de base: habilitado
Saiba MaisSelecione o método de criptografia para unidades de dados removíveis:
Padrão da linha de base: AES-CBC de 128 bits (padrão)Selecione o método de criptografia para unidades do sistema operacional:
Padrão da linha de base: XTS-AES de 128 bits (padrão)Selecione o método de criptografia para unidades de dados fixas:
Padrão da linha de base: XTS-AES de 128 bits (padrão)
Unidades de dados fixas de criptografia > de unidade bitlocker de componentes > do Windows
Escolha como as unidades fixas protegidas pelo BitLocker podem ser recuperadas
Padrão de linha de base: habilitado
Saiba MaisNão habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas
Padrão de linha de base: TruePermitir agente de recuperação de dados
Padrão de linha de base: TrueConfigurar o armazenamento das informações de recuperação do BitLocker para o AD DS:
Padrão da linha de base: senhas de recuperação de backup e pacotes-chaveValor: permitir a chave de recuperação de 256 bits
Salvar informações de recuperação do BitLocker no AD DS para unidades de dados fixas
Padrão de linha de base: TrueOmitir opções de recuperação do assistente de instalação do BitLocker
Padrão de linha de base: TrueConfigurar o armazenamento do usuário das informações de recuperação do BitLocker:
Padrão da linha de base: permitir a senha de recuperação de 48 dígitos
Negar acesso de gravação a unidades fixas não protegidas pelo BitLocker
Padrão de linha de base: habilitado
Saiba MaisImpor tipo de criptografia de unidade em unidades de dados fixas
Padrão de linha de base: habilitado
Saiba mais- Selecione o tipo de criptografia: (Dispositivo)
Padrão de linha de base: criptografia somente espaço usado
- Selecione o tipo de criptografia: (Dispositivo)
Unidades do sistema operacional BitLocker Drive Encryption > do Windows Components >
Permitir que dispositivos compatíveis com InstantGo ou HSTI optem por sair do PIN de pré-inicialização.
Padrão de linha de base: desabilitado
Saiba maisPermitir PINs aprimorados para inicialização
Padrão de linha de base: desabilitado
Saiba maisEscolha como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas
Padrão de linha de base: habilitado
Saiba MaisOmitir opções de recuperação do assistente de instalação do BitLocker
Padrão de linha de base: TrueValor: permitir a chave de recuperação de 256 bits
Salvar informações de recuperação do BitLocker no AD DS para unidades do sistema operacional
Padrão de linha de base: TrueNão habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional
Padrão de linha de base: TrueConfigurar o armazenamento do usuário das informações de recuperação do BitLocker:
Padrão da linha de base: permitir a senha de recuperação de 48 dígitosPermitir agente de recuperação de dados
Padrão de linha de base: TrueConfigurar o armazenamento das informações de recuperação do BitLocker para o AD DS:
Padrão da linha de base: armazenar senhas de recuperação e pacotes-chave
Habilitar o uso da autenticação BitLocker que exija entrada de teclado de pré-inicialização em lousas
Padrão de linha de base: habilitado
Saiba maisImpor o tipo de criptografia de unidade na unidade do sistema operacional
Padrão de linha de base: habilitado
Saiba Mais- Selecione o tipo de criptografia: (Dispositivo)
Padrão de linha de base: criptografia somente espaço usado
- Selecione o tipo de criptografia: (Dispositivo)
Exigir autenticação adicional na inicialização
Padrão de linha de base: habilitado
Saiba MaisConfigurar a chave de inicialização do TPM e o PIN:
Padrão de linha de base: não permitir chave de inicialização e PIN com TPMPermitir o BitLocker sem um TPM compatível (requer uma senha ou uma chave de inicialização em uma unidade flash USB)
Padrão de linha de base: FalseConfigurar a inicialização do TPM:
Padrão de linha de base: permitir TPMConfigurar o PIN de inicialização do TPM:
Padrão de linha de base: permitir PIN de inicialização com TPMConfigurar a chave de inicialização do TPM:
Padrão da linha de base: não permitir a chave de inicialização com o TPM
Unidades de dados removíveis de criptografia > de unidade do Windows Components > BitLocker
Controlar o uso do BitLocker em unidades removíveis
Padrão de linha de base: habilitado
Saiba MaisPermitir que os usuários apliquem a proteção BitLocker em unidades de dados removíveis (Dispositivo)
Padrão de linha de base: TrueImpor tipo de criptografia de unidade em unidades de dados removíveis
Padrão de linha de base: habilitado
Saiba Mais- Selecione o tipo de criptografia: (Dispositivo)
Padrão de linha de base: criptografia somente espaço usado
- Selecione o tipo de criptografia: (Dispositivo)
Permitir que os usuários suspendam e descriptografem a proteção do BitLocker em unidades de dados removíveis (Dispositivo)
Padrão de linha de base: False
Negar acesso de gravação a unidades removíveis não protegidas pelo BitLocker
Padrão de linha de base: habilitado
Saiba Mais- Não permitir acesso de gravação a dispositivos configurados em outra organização
Padrão de linha de base: False
- Não permitir acesso de gravação a dispositivos configurados em outra organização
Componentes > do Windows Explorador de Arquivos
Configurar Windows Defender SmartScreen
Padrão de linha de base: habilitado
Saiba mais- Escolha uma das seguintes configurações: (Dispositivo)
Padrão da linha de base: avisar e impedir o bypass
- Escolha uma das seguintes configurações: (Dispositivo)
Explorer de Internet de Componentes > do Windows
Evitar ignorar avisos do Filtro SmartScreen sobre arquivos que não são normalmente baixados da Internet
Padrão de linha de base: habilitado
Saiba MaisEvitar ignorar avisos do Filtro SmartScreen sobre arquivos que não são normalmente baixados da Internet (Usuário)
Padrão de linha de base: habilitado
Saiba MaisImpedir o gerenciamento do Filtro SmartScreen
Padrão de linha de base: habilitado
Saiba Mais- Selecione Modo filtro SmartScreen
Padrão de linha de base: Ativado
- Selecione Modo filtro SmartScreen
BitLocker
Permitir aviso para outra criptografia de disco
Padrão de linha de base: habilitado
Saiba MaisConfigurar a rotação de senha de recuperação
Padrão de linha de base: atualizar para dispositivos ingressados em Azure AD e híbridos
Saiba MaisExigir Criptografia do Dispositivo
Padrão de linha de base: habilitado
Saiba Mais
Defender
Permitir a verificação de arquivos
Padrão de linha de base: permitido. Verifica os arquivos de arquivo.
Saiba MaisPermitir monitoramento de comportamento
Padrão de linha de base: permitido. Ativa o monitoramento de comportamento em tempo real.
Saiba MaisPermitir Proteção na Nuvem
Padrão de linha de base: permitido. Ativa a Proteção na Nuvem.
Saiba MaisPermitir verificação de Email
Padrão de linha de base: permitido. Ativa a verificação de email.
Saiba MaisPermitir verificação completa da verificação de unidade removível
Padrão de linha de base: permitido. Verifica unidades removíveis.
Saiba MaisPermitir a Proteção de Acesso
Padrão de linha de base: permitido.
Saiba MaisPermitir monitoramento em tempo real
Padrão de linha de base: permitido. Ativa e executa o serviço de monitoramento em tempo real.
Saiba MaisPermitir a verificação de arquivos de rede
Padrão de linha de base: permitido. Verifica arquivos de rede.
Saiba MaisPermitir a verificação de todos os arquivos e anexos baixados
Padrão de linha de base: permitido.
Saiba MaisPermitir a verificação de script
Padrão de linha de base: permitido.
Saiba MaisPermitir acesso à interface do usuário
Padrão de linha de base: permitido. Permite que os usuários acessem a interface do usuário.
Saiba MaisBloquear a execução de scripts potencialmente ofuscados
Padrão de linha de base: Desativado
Saiba MaisBloquear chamadas de API win32 de macros do Office
Padrão de linha de base: Desativado
Saiba MaisBloquear a execução de arquivos executáveis, a menos que eles atendam a um critério de prevalência, idade ou lista confiável
Padrão de linha de base: Desativado
Saiba MaisBloquear o aplicativo de comunicação do Office de criar processos filho
Padrão de linha de base: Desativado
Saiba MaisBloquear todos os aplicativos do Office de criar processos filho
Padrão de linha de base: Desativado
Saiba MaisBloquear JavaScript ou VBScript de iniciar conteúdo executável baixado
Padrão de linha de base: Desativado
Saiba MaisBloquear a criação do Webshell para Servidores
Padrão de linha de base: Desativado
Saiba MaisBloquear processos não confiáveis e sem sinal que são executados no USB
Padrão de linha de base: Desativado
Saiba MaisImpedir o Adobe Reader de criar processos filho
Padrão de linha de base: Desativado
Saiba MaisBloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows
Padrão de linha de base: Desativado
Saiba MaisBloquear o abuso de drivers conectados vulneráveis explorados (dispositivo)
Padrão de linha de base: Desativado
Saiba MaisBloquear a persistência por meio da assinatura de evento WMI
Padrão de linha de base: Desativado
Saiba Mais[VERSÃO PRÉVIA] Bloquear o uso de ferramentas de sistema copiadas ou representadas
Padrão de linha de base: Desativado
Saiba maisBloquear criações de processo originadas de comandos PSExec e WMI
Padrão de linha de base: Desativado
Saiba MaisBloquear aplicativos do Office de criar conteúdo executável
Padrão de linha de base: Desativado
Saiba MaisBloquear aplicativos do Office de injetar código em outros processos
Padrão de linha de base: Desativado
Saiba Mais[VERSÃO PRÉVIA] Bloquear o computador de reinicialização no Modo de Segurança
Padrão de linha de base: Desativado
Saiba MaisUsar proteção avançada contra ransomware
Padrão de linha de base: Desativado
Saiba maisBloquear conteúdo executável do cliente de email e do webmail
Padrão de linha de base: Desativado
Saiba Mais
Verificar se há assinaturas antes de executar a verificação
Padrão de linha de base: habilitado
Saiba MaisNível de bloco de nuvem
Padrão de linha de base: alto
Saiba MaisTempo limite estendido na nuvem
Padrão de linha de base: configurado
Valor: 50
Saiba MaisDesabilitar mesclagem de Administração local
Padrão de linha de base: habilitar a mesclagem de Administração local
Saiba MaisHabilitar a Proteção de Rede
Padrão de linha de base: habilitado (modo de bloco)
Saiba MaisOcultar exclusões de administradores locais
Padrão de linha de base: se você habilitar essa configuração, os administradores locais não poderão mais ver a lista de exclusão no aplicativo Segurança do Windows ou por meio do PowerShell.
Saiba MaisOcultar exclusões de usuários locais
Padrão de linha de base: se você habilitar essa configuração, os usuários locais não poderão mais ver a lista de exclusão no aplicativo Segurança do Windows ou por meio do PowerShell.
Saiba MaisHabilitar o Oobe Rtp e a Atualização de Sig
Padrão de linha de base: se você habilitar essa configuração, a proteção em tempo real e o Atualizações de Inteligência de Segurança serão habilitados durante o OOBE.
Saiba maisProteção PUA
Padrão de linha de base: PUA Protection ativado. Os itens detectados estão bloqueados. Eles aparecerão na história junto com outras ameaças.
Saiba MaisDireção de verificação em tempo real
Padrão da linha de base: monitorar todos os arquivos (bidirecionais).
Saiba maisParâmetro De verificação
Padrão da linha de base: verificação rápida
Saiba maisAgendar tempo de verificação rápida
Padrão de linha de base: configurado
Valor: 120
Saiba maisAgendar Dia da Verificação
Padrão da linha de base: todos os dias
Saiba maisTempo de verificação de agendamento
Padrão de linha de base: configurado
Valor: 120
Saiba maisIntervalo de atualização de assinatura
Padrão de linha de base: configurado
Valor: 4
Saiba MaisEnviar consentimento de exemplos
Padrão de linha de base: enviar todos os exemplos automaticamente.
Saiba Mais
Device Guard
- Credential Guard
Padrão da linha de base: (Habilitado com bloqueio UEFI) Ativa o Credential Guard com bloqueio UEFI.
Saiba Mais
Dma Guard
- Política de Enumeração de Dispositivo
Padrão da linha de base: bloquear tudo (mais restritivo)
Saiba Mais
Firewall
Verificação da lista de revogação de certificado
Padrão de linha de base: nenhum
Saiba maisDesabilitar ftp com estado
Padrão de linha de base: True
Saiba MaisHabilitar o Firewall de Rede de Domínio
Padrão de linha de base: True
Saiba MaisDesabilitar isenção de pacote protegido do modo furtivo Ipsec
Padrão de linha de base: True
Saiba MaisDesabilitar o modo furtivo
Padrão de linha de base: False
Saiba MaisPermitir mesclagem de política do Ipsec local
Padrão de linha de base: True
Saiba MaisDesabilitar notificações de entrada
Padrão de linha de base: True
Saiba MaisPortas globais permitem mesclagem de pref do usuário
Padrão de linha de base: True
Saiba MaisDesabilitar respostas unicast à transmissão multicast
Padrão de linha de base: False
Saiba MaisPermitir mesclagem de política local
Padrão de linha de base: True
Saiba Mais
Habilitar fila de pacotes
Padrão de linha de base: configurado
Saiba MaisHabilitar o Firewall de Rede Privada
Padrão de linha de base: True
Saiba MaisAção de entrada padrão para perfil privado
Padrão de linha de base: True
Saiba MaisDesabilitar respostas unicast à transmissão multicast
Padrão de linha de base: False
Saiba MaisDesabilitar o modo furtivo
Padrão de linha de base: False
Saiba MaisPortas globais permitem mesclagem de pref do usuário
Padrão de linha de base: True
Saiba MaisPermitir mesclagem de política do Ipsec local
Padrão de linha de base: True
Saiba MaisDesabilitar isenção de pacote protegido do modo furtivo Ipsec
Padrão de linha de base: True
Saiba MaisPermitir mesclagem de política local
Padrão de linha de base: True
Saiba MaisAção de saída padrão
Padrão de linha de base: permitir
Saiba MaisAplicativos de auth permitem a mesclagem de pref do usuário
Padrão de linha de base: True
Saiba MaisDesabilitar notificações de entrada
Padrão de linha de base: True
Saiba Mais
Habilitar o Firewall de Rede Pública
Padrão de linha de base: True
Saiba maisDesabilitar o modo furtivo
Padrão de linha de base: False
Saiba maisAção de saída padrão
Padrão de linha de base: permitir
Saiba maisDesabilitar notificações de entrada
Padrão de linha de base: True
Saiba maisDesabilitar isenção de pacote protegido do modo furtivo Ipsec
Padrão de linha de base: True
Saiba maisAção de entrada padrão para perfil público
Padrão da linha de base: Bloquear
Saiba MaisPortas globais permitem mesclagem de pref do usuário
Padrão de linha de base: True
Saiba MaisPermitir mesclagem de política local
Padrão de linha de base: True
Saiba MaisPermitir mesclagem de política do Ipsec local
Padrão de linha de base: True
Saiba MaisAplicativos de auth permitem a mesclagem de pref do usuário
Padrão de linha de base: True
Saiba MaisDesabilitar respostas unicast à transmissão multicast
Padrão de linha de base: False
Saiba Mais
Codificação de chave pré-compartilhada
Padrão de linha de base: UTF8
Saiba MaisTempo ocioso da associação de segurança
Padrão de linha de base: configurado
Valor: 300
Saiba mais
Microsoft Edge
Configurar Microsoft Defender SmartScreen
Padrão de linha de base: habilitadoConfigurar Microsoft Defender SmartScreen para bloquear aplicativos potencialmente indesejados
Padrão de linha de base: habilitadoHabilitar Microsoft Defender solicitações de DNS smartscreen
Padrão de linha de base: habilitadoHabilitar nova biblioteca SmartScreen
Padrão de linha de base: habilitadoForçar Microsoft Defender verificações do SmartScreen em downloads de fontes confiáveis
Padrão de linha de base: habilitadoEvitar ignorar Microsoft Defender solicitações smartscreen para sites
Padrão de linha de base: habilitadoImpedir o bypass de avisos Microsoft Defender SmartScreen sobre downloads
Padrão de linha de base: habilitado
Regras de redução de superfície de ataque
As regras de redução de superfície de ataque dão suporte a uma fusão de configurações de políticas diferentes, para criar um superconjunto de política para cada dispositivo. Somente as configurações que não estão em conflito são mescladas. As configurações que estão em conflito não são adicionadas ao superconjunto de regras. Anteriormente, se duas políticas incluíssem conflitos para uma única configuração, ambas as políticas seriam sinalizadas como em conflito e nenhuma configuração de nenhum dos perfis seria implantada.
O comportamento de mesclagem da regra de redução de superfície de ataque é o seguinte:
- As regras de redução de superfície de ataque dos seguintes perfis são avaliadas para cada dispositivo a que as regras se aplicam:
- Perfil de proteção de ponto de extremidade da política > de configuração > de dispositivos > Microsoft Defender Explorar a Redução de Superfície de Ataque do Guard >
- Segurança do ponto de extremidade > Política > de redução de superfície de ataque Regras de redução de superfície de ataque
- Linhas de base de segurança de segurança > do ponto de extremidade Microsoft Defender para Ponto de Extremidade regras de redução de superfície de ataque de linha de base>.>
- Configurações que não têm conflitos são adicionadas a um superconjunto de política para o dispositivo.
- Quando duas ou mais políticas têm configurações conflitantes, as configurações conflitantes não são adicionadas à política combinada, enquanto configurações que não entram em conflito são adicionadas à política de superconjunto que se aplica a um dispositivo.
- Somente as configurações para configurações conflitantes são retidas.
Para saber mais, consulte Regras de redução de superfície de ataque na documentação Microsoft Defender para Ponto de Extremidade.
Impedir que aplicativos de comunicação do Office criem processos filho
Padrão de linha de base: Habilitar
Saiba maisImpedir o Adobe Reader de criar processos filho
Padrão de linha de base: Habilitar
Saiba MaisBloquear aplicativos do Office de injetar código em outros processos
Padrão da linha de base: Bloquear
Saiba MaisBloquear aplicativos do Office de criar conteúdo executável
Padrão da linha de base: Bloquear
Saiba MaisBloquear JavaScript ou VBScript de iniciar conteúdo executável baixado
Padrão da linha de base: Bloquear
Saiba MaisHabilitar a proteção de rede
Padrão de linha de base: Habilitar
Saiba MaisBloquear processos não confiáveis e sem sinal que são executados no USB
Padrão da linha de base: Bloquear
Saiba MaisBloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)
Padrão de linha de base: Habilitar
Saiba MaisBloquear o download de conteúdo executável de clientes de email e webmail
Padrão da linha de base: Bloquear
Saiba MaisBloquear todos os aplicativos do Office de criar processos filho
Padrão da linha de base: Bloquear
Saiba MaisBloquear a execução de scripts potencialmente ofuscados (js/vbs/ps)
Padrão da linha de base: Bloquear
Saiba MaisBloquear chamadas de API win32 da macro do Office
Padrão da linha de base: Bloquear
Saiba Mais
Application Guard
Para obter mais informações, consulte WindowsDefenderApplicationGuard CSP na documentação do Windows.
Quando você usa o Microsoft Edge, Microsoft Defender Application Guard protege seu ambiente contra sites que não são confiáveis pela sua organização. Quando os usuários visitam sites que não estão listados no limite de rede isolado, os sites abrem em uma sessão de navegação virtual do Hyper-V. Sites confiáveis são definidos por um limite de rede.
Ativar Application Guard for Edge (Opções)
Padrão da linha de base: habilitado para o Edge
Saiba MaisBloquear conteúdo externo de sites não aprovados por empresas
Padrão de linha de base: Sim
Saiba MaisComportamento da área de transferência
Padrão da linha de base: bloquear cópia e colar entre o computador e o navegador
Saiba Mais
Política de isolamento de rede do Windows
Padrão de linha de base: configurar
Saiba Mais- Domínios de rede
Padrão da linha de base: securitycenter.windows.com
- Domínios de rede
BitLocker
Exigir que os cartões de armazenamento sejam criptografados (somente móveis)
Padrão de linha de base: Sim
Saiba maisObservação
O suporte para Windows 10 Mobile e Windows Phone 8.1 terminou em agosto de 2020.
Habilitar a criptografia de disco completa para sistema operacional e unidades de dados fixas
Padrão de linha de base: Sim
Saiba MaisPolítica da unidade de sistema do BitLocker
Padrão de linha de base: configurar
Saiba Mais- Configurar o método de criptografia para unidades do Sistema Operacional
Padrão de linha de base: não configurado
Saiba Mais
- Configurar o método de criptografia para unidades do Sistema Operacional
Política da unidade fixa do BitLocker
Padrão de linha de base: configurar
Saiba MaisBloquear o acesso de gravação a unidades de dados fixas não protegidas pelo BitLocker
Padrão de linha de base: Sim
Saiba Mais
Essa configuração está disponível quando a política de unidade fixa do BitLocker é definida como Configurar.Configurar o método de criptografia para unidades de dados fixas
Padrão de linha de base: AES 128bit XTS
Saiba Mais
Política da unidade removível do BitLocker
Padrão de linha de base: configurar
Saiba MaisConfigurar o método de criptografia para unidades de dados removíveis
Padrão de linha de base: CBC de 128bits do AES
Saiba MaisBloquear o acesso de gravação a unidades de dados removíveis não protegidas pelo BitLocker
Padrão de linha de base: não configurado
Saiba Mais
Estados de espera ao dormir durante a bateria Padrão de linha de base: desabilitado
Saiba MaisEstado de espera ao dormir enquanto está conectado
Padrão de linha de base: desabilitado
Saiba MaisHabilitar a criptografia de disco completa para sistema operacional e unidades de dados fixas
Padrão de linha de base: Sim
Saiba MaisPolítica da unidade de sistema do BitLocker
Padrão de linha de base: configurar
Saiba MaisAutenticação de inicialização necessária
Padrão de linha de base: Sim
Saiba MaisPIN de inicialização TPM compatível
Padrão de linha de base: permitido
Saiba MaisChave de inicialização TPM compatível
Padrão da linha de base: obrigatório
Saiba MaisDesabilitar o BitLocker em dispositivos em que o TPM é incompatível
Padrão de linha de base: Sim
Saiba MaisConfigurar o método de criptografia para unidades do Sistema Operacional
Padrão de linha de base: não configurado
Saiba mais
Política da unidade fixa do BitLocker
Padrão de linha de base: configurar
Saiba MaisBloquear o acesso de gravação a unidades de dados fixas não protegidas pelo BitLocker
Padrão de linha de base: Sim
Saiba mais
Essa configuração está disponível quando a política de unidade fixa do BitLocker é definida como Configurar.Configurar o método de criptografia para unidades de dados fixas
Padrão de linha de base: AES 128bit XTS
Saiba mais
Política da unidade removível do BitLocker
Padrão de linha de base: configurar
Saiba maisConfigurar o método de criptografia para unidades de dados removíveis
Padrão de linha de base: CBC de 128bits do AES
Saiba MaisBloquear o acesso de gravação a unidades de dados removíveis não protegidas pelo BitLocker
Padrão de linha de base: não configurado
Saiba mais
Política da unidade de sistema do BitLocker
Padrão de linha de base: configurar
Saiba MaisAutenticação de inicialização necessária
Padrão de linha de base: Sim
Saiba MaisPIN de inicialização TPM compatível
Padrão de linha de base: permitido
Saiba MaisChave de inicialização TPM compatível
Padrão da linha de base: obrigatório
Saiba MaisDesabilitar o BitLocker em dispositivos em que o TPM é incompatível
Padrão de linha de base: Sim
Saiba maisConfigurar o método de criptografia para unidades do Sistema Operacional
Padrão de linha de base: não configurado
Saiba Mais
Estados de espera ao dormir durante a bateria Padrão de linha de base: desabilitado
Saiba MaisEstado de espera ao dormir enquanto está conectado
Padrão de linha de base: desabilitado
Saiba MaisHabilitar a criptografia de disco completa para sistema operacional e unidades de dados fixas
Padrão de linha de base: Sim
Saiba MaisPolítica da unidade fixa do BitLocker
Padrão de linha de base: configurar
Saiba MaisBloquear o acesso de gravação a unidades de dados fixas não protegidas pelo BitLocker
Padrão de linha de base: Sim
Saiba Mais
Essa configuração está disponível quando a política de unidade fixa do BitLocker é definida como Configurar.Configurar o método de criptografia para unidades de dados fixas
Padrão de linha de base: AES 128bit XTS
Saiba Mais
Política da unidade removível do BitLocker
Padrão de linha de base: configurar
Saiba MaisConfigurar o método de criptografia para unidades de dados removíveis
Padrão de linha de base: CBC de 128bits do AES
Saiba MaisBloquear o acesso de gravação a unidades de dados removíveis não protegidas pelo BitLocker
Padrão de linha de base: não configurado
Saiba Mais
Navegador
Exigir SmartScreen para Microsoft Edge
Padrão de linha de base: Sim
Saiba MaisBloquear o acesso mal-intencionado ao site
Padrão de linha de base: Sim
Saiba maisBloquear o download de arquivo não verificado
Padrão de linha de base: Sim
Saiba Mais
Proteção de Dados
- Bloquear o acesso direto à memória
Padrão de linha de base: Sim
Saiba mais
Device Guard
- Ativar o guarda de credencial
Padrão da linha de base: habilitar com o bloqueio UEFI
Saiba mais
Instalação do dispositivo
Instalação do dispositivo de hardware por identificadores de dispositivo
Padrão da linha de base: bloquear a instalação do dispositivo de hardware
Saiba maisRemover dispositivos de hardware correspondentes Padrão de linha de base: Sim
Identificadores de dispositivo de hardware bloqueados
Padrão de linha de base: não configurado por padrão. Adicione manualmente um ou mais identificadores de dispositivo.
Instalação do dispositivo de hardware por classes de instalação
Padrão da linha de base: bloquear a instalação do dispositivo de hardware
Saiba MaisRemover dispositivos de hardware correspondentes Padrão de linha de base: não configurado
Identificadores de dispositivo de hardware bloqueados Padrão de linha de base: não configurado por padrão. Adicione manualmente um ou mais identificadores de dispositivo.
Bloquear a instalação do dispositivo de hardware por classes de instalação:
Padrão de linha de base: Sim
Saiba MaisRemover dispositivos de hardware correspondentes:
Padrão de linha de base: SimLista de blocos
Padrão de linha de base: não configurado por padrão. Adicione manualmente uma ou mais identificadores exclusivos de classe de configuração globalmente.
Guarda DMA
- Enumeração de dispositivos externos incompatíveis com o Kernel DMA Protection
Padrão da linha de base: bloquear tudo
Saiba Mais
- Enumeração de dispositivos externos incompatíveis com o Kernel DMA Protection
Padrão de linha de base: não configurado
Saiba Mais
EDR
Compartilhamento de exemplo para todos os arquivos
Padrão de linha de base: Sim
Saiba maisAgilizar a frequência de relatórios de telemetria
Padrão de linha de base: Sim
Saiba mais
Firewall
Protocolo de transferência de arquivo com estado (FTP)
Padrão de linha de base: desabilitado
Saiba maisNúmero de segundos em que uma associação de segurança pode ficar ociosa antes de ser excluída
Padrão da linha de base: 300
Saiba MaisCodificação de chave pré-compartilhada
Padrão de linha de base: UTF8
Saiba MaisVerificação de CRL (lista de revogação de certificado)
Padrão de linha de base: não configurado
Saiba MaisEnfileiramento de pacotes
Padrão de linha de base: não configurado
Saiba MaisPerfil de firewall privado
Padrão de linha de base: configurar
Saiba MaisConexões de entrada bloqueadas
Padrão de linha de base: Sim
Saiba MaisRespostas unicast a transmissões multicast necessárias
Padrão de linha de base: Sim
Saiba MaisConexões de saída necessárias
Padrão de linha de base: Sim
Saiba MaisNotificações de entrada bloqueadas
Padrão de linha de base: Sim
Saiba MaisRegras de porta globais da política de grupo mescladas
Padrão de linha de base: Sim
Saiba MaisFirewall habilitado
Padrão de linha de base: permitido
Saiba MaisRegras de aplicativo autorizadas da política de grupo não mescladas
Padrão de linha de base: Sim
Saiba MaisRegras de segurança de conexão da política de grupo não mescladas
Padrão de linha de base: Sim
Saiba MaisTráfego de entrada necessário
Padrão de linha de base: Sim
Saiba MaisRegras de política da política de grupo não mescladas
Padrão de linha de base: Sim
Saiba Mais
- Modo furtivo bloqueado
Padrão de linha de base: Sim
Saiba Mais
Público do perfil de firewall
Padrão de linha de base: configurar
Saiba MaisConexões de entrada bloqueadas
Padrão de linha de base: Sim
Saiba MaisRespostas unicast a transmissões multicast necessárias
Padrão de linha de base: Sim
Saiba MaisConexões de saída necessárias
Padrão de linha de base: Sim
Saiba MaisRegras de aplicativo autorizadas da política de grupo não mescladas
Padrão de linha de base: Sim**
Saiba MaisNotificações de entrada bloqueadas
Padrão de linha de base: Sim
Saiba MaisRegras de porta globais da política de grupo mescladas
Padrão de linha de base: Sim
Saiba MaisFirewall habilitado
Padrão de linha de base: permitido
Saiba MaisRegras de segurança de conexão da política de grupo não mescladas
Padrão de linha de base: Sim
Saiba MaisTráfego de entrada necessário
Padrão de linha de base: Sim
Saiba MaisRegras de política da política de grupo não mescladas
Padrão de linha de base: Sim
Saiba Mais
- Modo furtivo bloqueado
Padrão de linha de base: Sim
Saiba Mais
Domínio do perfil do firewall
Padrão de linha de base: configurar
Saiba MaisRespostas unicast a transmissões multicast necessárias
Padrão de linha de base: Sim
Saiba MaisRegras de aplicativo autorizadas da política de grupo não mescladas
Padrão de linha de base: Sim
Saiba MaisNotificações de entrada bloqueadas
Padrão de linha de base: Sim
Saiba MaisRegras de porta globais da política de grupo mescladas
Padrão de linha de base: Sim
Saiba maisFirewall habilitado
Padrão de linha de base: permitido
Saiba maisRegras de segurança de conexão da política de grupo não mescladas
Padrão de linha de base: Sim
Saiba maisRegras de política da política de grupo não mescladas
Padrão de linha de base: Sim
Saiba Mais
- Modo furtivo bloqueado
Padrão de linha de base: Sim
Saiba Mais
Microsoft Defender
Ativar a proteção em tempo real
Padrão de linha de base: Sim
Saiba maisTempo adicional (0 a 50 segundos) para estender o tempo limite de proteção na nuvem
Padrão da linha de base: 50
Saiba MaisExaminar todos os arquivos e anexos baixados
Padrão de linha de base: Sim
Saiba MaisTipo de verificação
Padrão da linha de base: verificação rápida
Saiba MaisDia de verificação de agendamento do Defender:
Padrão da linha de base: todos os diasHora de início da verificação do Defender:
Padrão de linha de base: não configuradoConsentimento de envio de exemplo do Defender
Padrão de linha de base: enviar amostras seguras automaticamente
Saiba MaisNível de proteção entregue pela nuvem
Padrão de linha de base: alto
Saiba MaisVerificar unidades removíveis durante a verificação completa
Padrão de linha de base: Sim
Saiba MaisAção de aplicativo potencialmente indesejada do Defender
Padrão da linha de base: Bloquear
Saiba MaisAtivar a proteção fornecida pela nuvem
Padrão de linha de base: Sim
Saiba mais
Ativar a proteção em tempo real
Padrão de linha de base: Sim
Saiba maisTempo adicional (0 a 50 segundos) para estender o tempo limite de proteção na nuvem
Padrão da linha de base: 50
Saiba MaisExaminar todos os arquivos e anexos baixados
Padrão de linha de base: Sim
Saiba MaisTipo de verificação
Padrão da linha de base: verificação rápida
Saiba MaisConsentimento de envio de exemplo do Defender
Padrão de linha de base: enviar amostras seguras automaticamente
Saiba MaisNível de proteção entregue pela nuvem
Padrão de linha de base: alto
Saiba MaisVerificar unidades removíveis durante a verificação completa
Padrão de linha de base: Sim
Saiba MaisAção de aplicativo potencialmente indesejada do Defender
Padrão da linha de base: Bloquear
Saiba MaisAtivar a proteção fornecida pela nuvem
Padrão de linha de base: Sim
Saiba Mais
Executar uma verificação rápida diária em
Padrão da linha de base: 2 AM
Saiba MaisHora de início da verificação agendada
Padrão da linha de base: 2 AMConfigurar a baixa prioridade da CPU para verificações agendadas
Padrão de linha de base: Sim
Saiba MaisImpedir que aplicativos de comunicação do Office criem processos filho
Padrão de linha de base: Habilitar
Saiba MaisImpedir o Adobe Reader de criar processos filho
Padrão de linha de base: Habilitar
Saiba MaisVerificar mensagens de email de entrada
Padrão de linha de base: Sim
Saiba MaisAtivar a proteção em tempo real
Padrão de linha de base: Sim
Saiba MaisNúmero de dias (0-90) para manter o malware em quarentena
Padrão de linha de base: 0
Saiba MaisAgenda de verificação do sistema defender
Padrão de linha de base: definido pelo usuário
Saiba MaisTempo adicional (0 a 50 segundos) para estender o tempo limite de proteção na nuvem
Padrão da linha de base: 50
Saiba maisExaminar unidades de rede mapeadas durante uma verificação completa
Padrão de linha de base: Sim
Saiba MaisAtivar a proteção de rede
Padrão de linha de base: Sim
Saiba maisExaminar todos os arquivos e anexos baixados
Padrão de linha de base: Sim
Saiba MaisBloquear a proteção de acesso
Padrão de linha de base: não configurado
Saiba MaisExaminar scripts do navegador
Padrão de linha de base: Sim
Saiba MaisBloquear o acesso do usuário ao aplicativo Microsoft Defender
Padrão de linha de base: Sim
Saiba maisUso máximo de CPU permitido (0-100 por cento) por verificação
Padrão da linha de base: 50
Saiba MaisTipo de verificação
Padrão da linha de base: verificação rápida
Saiba MaisInsira com que frequência (de 0 a 24 horas) para marcar para atualizações de inteligência de segurança
Padrão da linha de base: 8
Saiba MaisConsentimento de envio de exemplo do Defender
Padrão de linha de base: enviar amostras seguras automaticamente
Saiba MaisNível de proteção entregue pela nuvem
Padrão de linha de base: *Não configurado
Saiba MaisExaminar arquivos de arquivo
Padrão de linha de base: Sim
Saiba MaisAtivar o monitoramento de comportamento
Padrão de linha de base: Sim
Saiba MaisVerificar unidades removíveis durante a verificação completa
Padrão de linha de base: Sim
Saiba MaisExaminar arquivos de rede
Padrão de linha de base: Sim
Saiba MaisAção de aplicativo potencialmente indesejada do Defender
Padrão da linha de base: Bloquear
Saiba MaisAtivar a proteção fornecida pela nuvem
Padrão de linha de base: Sim
Saiba MaisBloquear aplicativos do Office de injetar código em outros processos
Padrão da linha de base: Bloquear
Saiba maisBloquear aplicativos do Office de criar conteúdo executável
Padrão da linha de base: Bloquear
Saiba MaisBloquear JavaScript ou VBScript de iniciar conteúdo executável baixado
Padrão da linha de base: Bloquear
Saiba MaisHabilitar a proteção de rede
Padrão da linha de base: modo de auditoria
Saiba MaisBloquear processos não confiáveis e sem sinal que são executados no USB
Padrão da linha de base: Bloquear
Saiba MaisBloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)
Padrão de linha de base: Habilitar
Saiba MaisBloquear o download de conteúdo executável de clientes de email e webmail
Padrão da linha de base: Bloquear
Saiba MaisBloquear todos os aplicativos do Office de criar processos filho
Padrão da linha de base: Bloquear
Saiba MaisBloquear a execução de scripts potencialmente ofuscados (js/vbs/ps)
Padrão da linha de base: Bloquear
Saiba MaisBloquear chamadas de API win32 da macro do Office
Padrão da linha de base: Bloquear
Saiba Mais
Executar uma verificação rápida diária em
Padrão da linha de base: 2 AM
Saiba MaisHora de início da verificação agendada
Padrão da linha de base: 2 AMConfigurar a baixa prioridade da CPU para verificações agendadas
Padrão de linha de base: Sim
Saiba MaisImpedir que aplicativos de comunicação do Office criem processos filho
Padrão de linha de base: Habilitar
Saiba MaisImpedir o Adobe Reader de criar processos filho
Padrão de linha de base: Habilitar
Saiba MaisVerificar mensagens de email de entrada
Padrão de linha de base: Sim
Saiba maisAtivar a proteção em tempo real
Padrão de linha de base: Sim
Saiba maisNúmero de dias (0-90) para manter o malware em quarentena
Padrão de linha de base: 0
Saiba maisAgenda de verificação do sistema defender
Padrão de linha de base: definido pelo usuário
Saiba maisTempo adicional (0 a 50 segundos) para estender o tempo limite de proteção na nuvem
Padrão da linha de base: 50
Saiba maisExaminar unidades de rede mapeadas durante uma verificação completa
Padrão de linha de base: Sim
Saiba maisAtivar a proteção de rede
Padrão de linha de base: Sim
Saiba maisExaminar todos os arquivos e anexos baixados
Padrão de linha de base: Sim
Saiba MaisBloquear a proteção de acesso
Padrão de linha de base: não configurado
Saiba MaisExaminar scripts do navegador
Padrão de linha de base: Sim
Saiba MaisBloquear o acesso do usuário ao aplicativo Microsoft Defender
Padrão de linha de base: Sim
Saiba MaisUso máximo de CPU permitido (0-100 por cento) por verificação
Padrão da linha de base: 50
Saiba MaisTipo de verificação
Padrão da linha de base: verificação rápida
Saiba MaisInsira com que frequência (de 0 a 24 horas) para marcar para atualizações de inteligência de segurança
Padrão da linha de base: 8
Saiba MaisConsentimento de envio de exemplo do Defender
Padrão de linha de base: enviar amostras seguras automaticamente
Saiba MaisNível de proteção entregue pela nuvem
Padrão de linha de base: *Não configurado
Saiba MaisExaminar arquivos de arquivo
Padrão de linha de base: Sim
Saiba MaisAtivar o monitoramento de comportamento
Padrão de linha de base: Sim
Saiba MaisVerificar unidades removíveis durante a verificação completa
Padrão de linha de base: Sim
Saiba maisExaminar arquivos de rede
Padrão de linha de base: Sim
Saiba MaisAção de aplicativo potencialmente indesejada do Defender
Padrão da linha de base: Bloquear
Saiba MaisAtivar a proteção fornecida pela nuvem
Padrão de linha de base: Sim
Saiba maisBloquear aplicativos do Office de injetar código em outros processos
Padrão da linha de base: Bloquear
Saiba MaisBloquear aplicativos do Office de criar conteúdo executável
Padrão da linha de base: Bloquear
Saiba MaisBloquear JavaScript ou VBScript de iniciar conteúdo executável baixado
Padrão da linha de base: Bloquear
Saiba MaisHabilitar a proteção de rede
Padrão da linha de base: modo de auditoria
Saiba MaisBloquear processos não confiáveis e sem sinal que são executados no USB
Padrão da linha de base: Bloquear
Saiba MaisBloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)
Padrão de linha de base: Habilitar
Saiba MaisBloquear o download de conteúdo executável de clientes de email e webmail
Padrão da linha de base: Bloquear
Saiba MaisBloquear todos os aplicativos do Office de criar processos filho
Padrão da linha de base: Bloquear
Saiba MaisBloquear a execução de scripts potencialmente ofuscados (js/vbs/ps)
Padrão da linha de base: Bloquear
Saiba MaisBloquear chamadas de API win32 da macro do Office
Padrão da linha de base: Bloquear
Saiba Mais
Central de Segurança do Microsoft Defender.
- Impedir que os usuários editem a interface de proteção do Exploit Guard
Padrão de linha de base: Sim
Saiba Mais
Tela Inteligente
Impedir que os usuários ignorem avisos do SmartScreen
Padrão de linha de base: Sim
Saiba MaisAtivar o Windows SmartScreen
Padrão de linha de base: Sim
Saiba MaisExigir SmartScreen para Microsoft Edge
Padrão de linha de base: Sim
Saiba MaisBloquear o acesso mal-intencionado ao site
Padrão de linha de base: Sim
Saiba MaisBloquear o download de arquivo não verificado
Padrão de linha de base: Sim
Saiba MaisConfigurar Microsoft Defender SmartScreen
Padrão de linha de base: habilitadoEvitar ignorar Microsoft Defender solicitações smartscreen para sites
Padrão de linha de base: habilitadoImpedir o bypass de avisos Microsoft Defender SmartScreen sobre downloads
Padrão de linha de base: habilitadoConfigurar Microsoft Defender SmartScreen para bloquear aplicativos potencialmente indesejados
Padrão de linha de base: habilitado
Exigir somente aplicativos da loja
Padrão de linha de base: SimAtivar o Windows SmartScreen
Padrão de linha de base: Sim
Saiba Mais
Windows Hello para Empresas
Para obter mais informações, consulte PassportForWork CSP na documentação do Windows.
Bloquear Windows Hello para Empresas
Padrão de linha de base: desabilitadoLetras minúsculas no PIN Padrão de linha de base: permitido
Caracteres especiais no PIN Padrão de linha de base: permitido
Letras maiúsculas no PIN Padrão de linha de base: permitido
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de