Lista das configurações na linha de base de segurança do MDM do Windows no Intune

Artigo
04/03/2024

Este artigo é uma referência para as configurações que estão disponíveis nas diferentes versões da linha de base de segurança do MDM (Windows Mobile Gerenciamento de Dispositivos) para dispositivos Windows 10 e Windows 11 que você gerencia com Microsoft Intune. Você pode usar as Guias fornecidas para selecionar e exibir as configurações na versão de linha de base atual e algumas versões mais antigas que ainda podem estar em uso.

Para cada configuração, você encontrará a configuração padrão das linhas de base, que também é a configuração recomendada para essa configuração fornecida pela equipe de segurança relevante. Como os produtos e o cenário de segurança evoluem, os padrões recomendados em uma versão de linha de base podem não corresponder aos padrões encontrados em versões posteriores da mesma linha de base. Diferentes tipos de linha de base, como a segurança MDM e as linhas de base do Defender para Ponto de Extremidade , também podem definir padrões diferentes.

Quando a interface do usuário Intune incluir um link do Learn more para uma configuração, você encontrará isso aqui também. Use esse link para exibir o CSP ( provedor de serviços de configuração de política de configuração ) ou conteúdo relevante que explica a operação de configurações.

Quando uma nova versão de uma linha de base fica disponível, ela substitui a versão anterior. Perfis de instâncias que você criou antes da disponibilidade de uma nova versão:

Torne-se somente leitura. Você pode continuar a usar esses perfis, mas não pode editá-los para alterar a configuração deles.
Pode ser atualizado para a versão mais recente. Depois de atualizar um perfil para a versão de linha de base atual, você pode editar o perfil para modificar as configurações.

Para saber mais sobre como usar linhas de base de segurança, consulte Usar linhas de base de segurança. Nesse artigo, você também encontrará informações sobre como alterar a versão da linha de base de um perfil para atualizar um perfil para usar a versão mais recente dessa linha de base.

Linha de base de segurança para Windows, versão 23H2

As configurações nesta linha de base são retiradas da versão 23H2 da linha de base de segurança Política de Grupo, conforme encontrado no Kit de Ferramentas e Linhas de Base de Conformidade de Segurança do Centro de Download da Microsoft, e incluem apenas as configurações que se aplicam aos dispositivos Windows gerenciados por meio de Intune. Quando disponível, o nome da configuração é vinculado ao CSP (Provedor de Serviço de Configuração de origem) e exibe essa configuração padrão na linha de base.

Linha de Base de Segurança para Windows, novembro de 2021

Linha de base de segurança para Windows, dezembro de 2020

Linha de base de segurança para Windows, agosto de 2020

Modelos administrativos

> personalização Painel de Controle

Impedir a habilitação da câmera de tela de bloqueio
Padrão de linha de base: habilitado
Saiba mais
Impedir a habilitação da exibição de slides de tela de bloqueio
Padrão de linha de base: habilitado
Saiba mais

Guia de Segurança ms

Aplicar restrições de UAC a contas locais em logons de rede
Padrão de linha de base: habilitado
Saiba mais
Configurar o driver de cliente SMB v1
Padrão de linha de base: habilitado
Saiba mais
- Configurar o driver MrxSmb10
  Padrão de linha de base: desabilitar driver (recomendado)
Configurar o servidor SMB v1
Padrão de linha de base: desabilitado
Saiba mais
Habilitar a proteção de substituição de exceção estruturada (SEHOP)
Padrão de linha de base: habilitado
Saiba mais
Autenticação WDigest (desabilitar pode exigir KB2871997)
Padrão de linha de base: desabilitado
Saiba mais

MSS (Herdado)

MSS: (DisableIPSourceRouting IPv6) nível de proteção de roteamento de origem IP (protege contra falsificação de pacotes)
Padrão de linha de base: habilitado
Saiba mais
- DisableIPSourceRouting IPv6 (dispositivo)
  Padrão de linha de base: a proteção mais alta, o roteamento de origem está completamente desabilitado
MSS: (DisableIPSourceRouting) nível de proteção de roteamento de origem IP (protege contra falsificação de pacotes)
Padrão de linha de base: habilitado
Saiba mais
- DisableIPSourceRouting (dispositivo)
  Padrão de linha de base: proteção mais alta habilitada, o roteamento de origem está completamente desabilitado
MSS: (EnableCMPRedirect) Permitir redirecionamentos do ICMP para substituir rotas geradas pelo OSPF
Padrão de linha de base: desabilitado
Saiba mais
MSS: (NoNameReleaseOnDemand) Permitir que o computador ignore as solicitações de versão do nome do NetBIOS, exceto dos servidores WINS
Padrão de linha de base: habilitado
Saiba mais

Cliente DNS de rede >

Desativar a resolução de nomes multicast
Padrão de linha de base: habilitado
Saiba mais

Rede > Connections

Proibir o uso do compartilhamento de conexão com a Internet em sua rede de domínio DNS
Padrão de linha de base: habilitado
Saiba mais

Provedor de > Rede

Caminhos UNC endurecidos
Padrão de linha de base: habilitado
Saiba mais
- Caminhos UNC endurecidos: (Dispositivo)
  Padrões de linha de base:
  
  Nome Valor
  
  \\*\SYSVOL RequireMutualAuthentication=1,RequireIntegrity=1
  
  \\*\NETLOGON RequireMutualAuthentication=1,RequireIntegrity=1

Nome	Valor
`\\*\SYSVOL`	RequireMutualAuthentication=1,RequireIntegrity=1
`\\*\NETLOGON`	RequireMutualAuthentication=1,RequireIntegrity=1

Rede > Windows Gerenciador de Conexões

Proibir a conexão com redes que não são de domínio quando conectadas à rede autenticada pelo domínio
Padrão de linha de base: habilitado
Saiba mais

Impressoras

Configurar o Repositório de Redirecionamento
Padrão de linha de base: habilitado
Saiba mais
- Opções do Repositório de Redirecionamento (Dispositivo)
  Padrão de linha de base: Rediretório Guard Habilitado
Configurar configurações de conexão RPC
Padrão de linha de base: habilitado
Saiba mais
- Usar a autenticação para conexões RPC de saída: (Dispositivo)
  Padrão da linha de base: padrão
- Protocolo para permitir conexões RPC de entrada: (Dispositivo)
  Padrão da linha de base: RPC sobre TCP
Configurar configurações do ouvinte RPC
Padrão de linha de base: habilitado
Saiba mais
- Protocolos para permitir conexões RPC de entrada: (Dispositivo)
  Padrão de linha de base: RCP em TCP
- Protocolo de autenticação a ser usado para conexões RPC de entrada: (Dispositivo)
  Padrão de linha de base: Negociar
Configurar o RPC pela porta TPC
Padrão de linha de base: habilitado
Saiba mais
- RPC por porta TCP (dispositivo)
  Padrão de linha de base: 0
Limita a instalação do driver de impressão aos Administradores
Padrão de linha de base: habilitado
Saiba mais
Gerenciar o processamento de arquivos específicos da fila
Padrão de linha de base: habilitado
Saiba mais
- Gerenciar o processamento de arquivos específicos da fila: (Dispositivo)
  Padrão da linha de base: limitar arquivos específicos da fila a perfis de cor

Desativar notificações de brinde na tela de bloqueio (Usuário)
Padrão de linha de base: habilitado
Saiba mais

Delegação de Credenciais do Sistema >

Criptografia Oracle Remediation
Padrão de linha de base: habilitado
Saiba mais
- Nível de proteção: (dispositivo)
  Padrão de linha de base: forçar clientes atualizados
O host remoto permite delegação de credenciais não exportáveis
Padrão de linha de base: habilitado
Saiba mais

Restrições de instalação do dispositivo de instalação > do dispositivo do sistema >

Impedir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo
Padrão de linha de base: habilitado
Saiba mais
- Aplique-se também aos dispositivos correspondentes que já estão instalados
  Padrão de linha de base: True
- Classes impedidas
  Padrão da linha de base: {d48179be-ec20-11d1-b6b8-00c04fa372a7}

Antimalware de inicialização antecipada do sistema >

Política de inicialização do driver de inicialização
Padrão de linha de base: habilitado
Saiba mais
- Escolha os drivers de inicialização que podem ser inicializados:
  Padrão da linha de base: bom, desconhecido e ruim, mas crítico

Sistema > Política de Grupo

Configurar o processamento de política de registro
Padrão de linha de base: habilitado
Saiba mais
- Não se aplique durante o processamento periódico em segundo plano (dispositivo)
  Padrão de linha de base: False
- Processe mesmo se os objetos Política de Grupo não tiverem sido alterados (Dispositivo)
  Padrão de linha de base: True

Configurações do System > Internet Communication Management > Internet Communication

Desativar o download de drivers de impressão
Padrão de linha de base: habilitado
Saiba mais
Desativar o download da Internet para assistentes de ordenação online e publicação na Web
Padrão de linha de base: habilitado
Saiba mais

Autoridade de Segurança Local do Sistema >

Permitir que SSPs e APs personalizados sejam carregados no LSASS
Padrão de linha de base: desabilitado
Saiba mais

Configurações de sono do Gerenciamento de > Energia do Sistema >

Permitir estados de espera (S1-S3) ao dormir (em bateria)
Padrão de linha de base: desabilitado
Saiba mais
Permitir estados de espera (S1-S3) ao dormir (conectado)
Padrão de linha de base: desabilitado
Saiba mais
Exigir uma senha quando um computador acorda (na bateria)
Padrão de linha de base: habilitado
Saiba mais
Exigir uma senha quando um computador acorda (conectado)
Padrão de linha de base: habilitado
Saiba mais

Assistência Remota do Sistema >

Configurar assistência remota solicitada
Padrão de linha de base: desabilitado
Saiba mais

Chamada de procedimento remoto do sistema >

Restringir clientes RPC não autenticados
Padrão de linha de base: habilitado
Saiba mais
- Restrição de cliente não autenticada do RPC Runtime a ser aplicada:
  Padrão de linha de base: autenticado

Tempo de execução do aplicativo de componentes > do Windows

Permitir que as contas da Microsoft sejam opcionais
Padrão de linha de base: habilitado
Saiba mais

Políticas de Reprodução Automática de Componentes > do Windows

Desautoriza a reprodução automática para dispositivos sem volume
Padrão de linha de base: habilitado
Saiba mais
Definir o comportamento padrão para AutoRun
Padrão de linha de base: habilitado
Saiba mais
- Comportamento de Execução Automática Padrão
  Padrão de linha de base: não execute nenhum comando autorun
Desativar a reprodução automática
Padrão de linha de base: habilitado
Saiba mais
- Desativar a reprodução automática:
  Padrão da linha de base: todas as unidades

Unidades de dados fixas de criptografia > de unidade bitlocker de componentes > do Windows

Negar acesso de gravação a unidades fixas não protegidas pelo BitLocker
Padrão de linha de base: desabilitado
Saiba mais

Unidades de dados removíveis de criptografia > de unidade do Windows Components > BitLocker

Negar acesso de gravação a unidades removíveis não protegidas pelo BitLocker
Padrão de linha de base: habilitado
Saiba mais
- Não permitir acesso de gravação a dispositivos configurados em outra organização
  Padrão de linha de base: False

Interface do usuário de credencial de componentes > do Windows

Enumerar contas de administrador na elevação
Padrão de linha de base: desabilitado
Saiba mais

Aplicativo do Serviço > de Log de Eventos dos Componentes > do Windows

Especifique o tamanho máximo do arquivo de log (KB)
Padrão de linha de base: habilitado
Saiba mais
- Tamanho máximo do log (KB)
  Padrão da linha de base: 32768

Segurança do Serviço > de Log de Eventos dos Componentes > do Windows

Especifique o tamanho máximo do arquivo de log (KB)
Padrão de linha de base: habilitado
Saiba mais
- Tamanho máximo do log (KB)
  Padrão da linha de base: 196608

Sistema de Serviço > de Log de Eventos dos Componentes > do Windows

Especifique o tamanho máximo do arquivo de log (KB)
Padrão de linha de base: habilitado
Saiba mais
- Tamanho máximo do log (KB)
  Padrão da linha de base: 32768

Componentes > do Windows Explorador de Arquivos

Configurar Windows Defender SmartScreen
Padrão de linha de base: habilitado
Saiba mais
- Escolha uma das seguintes configurações: (Dispositivo)
  Padrão da linha de base: avisar e impedir o bypass
Desativar a prevenção de execução de dados para Explorer
Padrão de linha de base: desabilitado
Saiba mais
Desativar o término do heap em corrupção
Padrão de linha de base: desabilitado
Saiba mais

Página Avançada Painel de Controle Da Internet Explorer > Internet > dos Componentes > do Windows

Permitir que o software seja executado ou instalado mesmo que a assinatura seja inválida
Padrão de linha de base: desabilitado
Saiba mais
Verificar se há revogação do certificado do servidor
Padrão de linha de base: habilitado
Saiba mais
Verifique se há assinaturas em programas baixados
Padrão de linha de base: habilitado
Saiba mais
Não permita que os controles ActiveX sejam executados no Modo Protegido quando o Modo Protegido Avançado estiver habilitado
Padrão de linha de base: habilitado
Saiba mais
Desativar o suporte à criptografia
Padrão de linha de base: habilitado
Saiba mais
- Combinações de protocolo seguro
  Padrão de linha de base: usar TLS 1.1 e TLS 1.2
Ativar processos de guia de 64 bits ao executar no Modo Protegido Avançado em versões de 64 bits do Windows
Padrão de linha de base: habilitado
Saiba mais
Ativar o modo protegido aprimorado
Padrão de linha de base: habilitado
Saiba mais

Internet Explorer Internet dos > Componentes > do Windows Painel de Controle

Evitar ignorar erros de certificado
Padrão de linha de base: habilitado
Saiba mais

> Internet Explorer Internet Explorer > Internet Painel de Controle > Internet Page > Internet Zone

Acessar fontes de dados entre domínios
Padrão de linha de base: habilitado
Saiba mais
- Acessar fontes de dados entre domínios
  Padrão de linha de base: desabilitar
Permitir operações de corte, cópia ou colar da área de transferência por meio do script
Padrão de linha de base: habilitado
Saiba mais
- Permitir operações de colar por meio de script
  Padrão de linha de base: desabilitar
Permitir arrastar e soltar ou copiar e colar arquivos
Padrão de linha de base: habilitado
Saiba mais
- Permitir arrastar e soltar ou copiar e colar arquivos
  Padrão de linha de base: desabilitar
Permitir o carregamento de arquivos XAML
Padrão de linha de base: habilitado
Saiba mais
- Arquivos XAML
  Padrão de linha de base: desabilitar
Permitir que apenas domínios aprovados usem controles ActiveX sem prompt
Padrão de linha de base: habilitado
Saiba mais
- Permitir apenas que domínios aprovados usem controles ActiveX sem prompt
  Padrão de linha de base: Habilitar
Permitir apenas domínios aprovados para usar o controle TDC ActiveX
Padrão de linha de base: habilitado
Saiba mais
- Permitir apenas domínios aprovados para usar o controle TDC ActiveX
  Padrão de linha de base: Habilitar
Permitir janelas iniciadas por script sem restrições de tamanho ou posição
Padrão de linha de base: habilitado
Saiba mais
- Permitir janelas iniciadas por script sem restrições de tamanho ou posição
  Padrão de linha de base: desabilitar
Permitir scripts de controles WebBrowser Explorer Internet
Padrão de linha de base: habilitado
Saiba mais
- Controle de navegador da Web Explorer Internet
  Padrão de linha de base: desabilitar
Permitir scriptlets
Padrão de linha de base: habilitado
Saiba mais
- Scriptlets
  Padrão de linha de base: desabilitar
Permitir que as atualizações status barra por meio do script
Padrão de linha de base: habilitado
Saiba mais
- Atualizações da barra de status por meio do script
  Padrão de linha de base: desabilitar
Permitir que o VBScript seja executado na Internet Explorer
Padrão de linha de base: habilitado
Saiba mais
- Permitir que o VBScript seja executado na Internet Explorer
  Padrão de linha de base: desabilitar
Solicitação automática para downloads de arquivos
Padrão de linha de base: habilitado
Saiba mais
- Solicitação automática para downloads de arquivos
  Padrão de linha de base: desabilitar
Não execute programas antimalware em controles ActiveX
Padrão de linha de base: habilitado
Saiba mais
- Não execute programas antimalware em controles ActiveX
  Padrão de linha de base: desabilitar
Baixar controles ActiveX assinados
Padrão de linha de base: habilitado
Saiba mais
- Baixar controles ActiveX assinados
  Padrão de linha de base: desabilitar
Baixar controles ActiveX não assinados
Padrão de linha de base: habilitado
Saiba mais
- Baixar controles ActiveX não assinados
  Padrão de linha de base: desabilitar
Habilitar o arrasto de conteúdo de diferentes domínios entre janelas
Padrão de linha de base: habilitado
Saiba mais
- Habilitar o arrasto de conteúdo de diferentes domínios entre janelas
  Padrão de linha de base: desabilitar
Habilitar o arrasto de conteúdo de diferentes domínios dentro de uma janela
Padrão de linha de base: habilitado
Saiba mais
- Habilitar o arrasto de conteúdo de diferentes domínios dentro de uma janela
  Padrão de linha de base: desabilitar
Incluir o caminho local quando o usuário estiver carregando arquivos em um servidor
Padrão de linha de base: habilitado
Saiba mais
- Incluir o caminho local quando o usuário estiver carregando arquivos em um servidor
  Padrão de linha de base: desabilitar
Inicializar e script controles ActiveX não marcados como seguros
Padrão de linha de base: habilitado
Saiba mais
- Inicializar e script controles ActiveX não marcados como seguros
  Padrão de linha de base: desabilitar
Permissões java
Padrão de linha de base: habilitado
Saiba mais
- Permissões java
  Padrão de linha de base: Desabilitar Java
Iniciar aplicativos e arquivos em um IFRAME
Padrão de linha de base: habilitado
Saiba mais
- Iniciar aplicativos e arquivos em um IFRAME
  Padrão de linha de base: desabilitar
Opções de logon
Padrão de linha de base: habilitado
Saiba mais
- Opções de logon
  Padrão da linha de base: solicitar nome de usuário e senha
Navegar por janelas e quadros em diferentes domínios
Padrão de linha de base: habilitado
Saiba mais
- Navegar por janelas e quadros em diferentes domínios
  Padrão de linha de base: desabilitar
Executar componentes dependentes de .NET Framework não assinados com Authenticode
Padrão de linha de base: habilitado
Saiba mais
- Executar componentes dependentes de .NET Framework não assinados com Authenticode
  Padrão de linha de base: desabilitar
Executar componentes dependentes de .NET Framework assinados com Authenticode
Padrão de linha de base: habilitado
Saiba mais
- Executar componentes dependentes de .NET Framework assinados com Authenticode
  Padrão de linha de base: desabilitar
Mostrar aviso de segurança para arquivos potencialmente inseguros
Padrão de linha de base: habilitado
Saiba mais
- Iniciar programas e arquivos não seguros
  Padrão de linha de base: Prompt
Ativar filtro de script entre sites
Padrão de linha de base: habilitado
Saiba mais
- Ativar o filtro XSS (script entre sites)
  Padrão de linha de base: Habilitar
Ativar o Modo Protegido
Padrão de linha de base: habilitado
Saiba mais
- Modo protegido
  Padrão de linha de base: Habilitar
Ativar a verificação de filtro smartscreen
Padrão de linha de base: habilitado
Saiba mais
- Usar o filtro SmartScreen
  Padrão de linha de base: Habilitar
Persistência userdata
Padrão de linha de base: habilitado
Saiba mais
- Persistência userdata
  Padrão de linha de base: desabilitar
Sites em zonas de conteúdo da Web menos privilegiadas podem navegar até essa zona
Padrão de linha de base: habilitado
Saiba mais
- Sites em zonas de conteúdo da Web menos privilegiadas podem navegar até essa zona
  Padrão de linha de base: desabilitar

Página de segurança de Painel de Controle > da Internet Explorer > Internet dos Componentes > do Windows

Sites de Intranet: incluir todos os caminhos de rede (UNCs)
Padrão de linha de base: desabilitado
Saiba mais
Ativar o aviso de incompatibilidade de endereço de certificado
Padrão de linha de base: habilitado
Saiba mais

> Internet Explorer Internet Explorer > Internet Painel de Controle > Zona intranet da página > de segurança

Não execute programas antimalware em controles ActiveX
Padrão de linha de base: habilitado
Saiba mais
- Não execute programas antimalware em controles ActiveX
  Padrão de linha de base: desabilitar
Inicializar e script controles ActiveX não marcados como seguros
Padrão de linha de base: habilitado
Saiba mais
- Inicializar e script controles ActiveX não marcados como seguros
  Padrão de linha de base: desabilitar
Permissões java
Padrão de linha de base: habilitado
Saiba mais
- Permissões java
  Padrão de linha de base: alta segurança

Windows Components > Internet Explorer > Internet Painel de Controle > Security Page > Local Machine Zone

Não execute programas antimalware em controles ActiveX
Padrão de linha de base: habilitado
Saiba mais
- Não execute programas antimalware em controles ActiveX
  Padrão de linha de base: desabilitar
Permissões java
Padrão de linha de base: habilitado
Saiba mais
- Permissões java
  Padrão de linha de base: Desabilitar Java

Internet Explorer Internet dos Componentes > do Windows Painel de Controle > Zona > da > Internet bloqueada

Ativar a verificação de filtro smartscreen
Padrão de linha de base: habilitado
Saiba mais
- Usar o filtro SmartScreen
  Padrão de linha de base: Habilitar

Internet dos Componentes > do Windows Explorer > Internet Painel de Controle > Zona > de Intranet bloqueada

Permissões java
Padrão de linha de base: habilitado
Saiba mais
- Permissões java
  Padrão de linha de base: Desabilitar Java

Internet dos Componentes > do Windows Explorer > Internet Painel de Controle > Página > de Segurança Bloqueada Zona do Computador Local

Permissões java
Padrão de linha de base: habilitado
Saiba mais
- Permissões java
  Padrão de linha de base: Desabilitar Java

Internet Explorer Internet dos Componentes > do Windows Painel de Controle > Zona > de Sites Restritos Bloqueada >

Permissões java
Padrão de linha de base: habilitado
Saiba mais
- Permissões java
  Padrão de linha de base: Desabilitar Java
Ativar a verificação de filtro smartscreen
Padrão de linha de base: habilitado
Saiba mais
- Usar o filtro SmartScreen
  Padrão de linha de base: Habilitar

Internet Explorer Internet dos Componentes > do Windows Painel de Controle > Zona > de Sites Confiáveis Bloqueada >

Permissões java
Padrão de linha de base: habilitado
Saiba mais
- Permissões java
  Padrão de linha de base: Desabilitar Java

Internet Explorer Internet dos Componentes > do Windows Painel de Controle > Zona de Sites Restritos da Página >> de Segurança

Acessar fontes de dados entre domínios
Padrão de linha de base: habilitado
Saiba mais
- Acessar fontes de dados entre domínios
  Padrão de linha de base: desabilitar
Permitir script ativo
Padrão de linha de base: habilitado
Saiba mais
- Permitir script ativo
  Padrão de linha de base: desabilitar
Permitir comportamentos binários e de script
Padrão de linha de base: habilitado
Saiba mais
- Permitir comportamentos binários e de script
  Padrão de linha de base: desabilitar
Permitir operações de corte, cópia ou colar da área de transferência por meio do script
Padrão de linha de base: habilitado
Saiba mais
- Permitir operações de colar por meio de script
  Padrão de linha de base: desabilitar
Permitir arrastar e soltar ou copiar e colar arquivos
Padrão de linha de base: habilitado
Saiba mais
- Permitir arrastar e soltar ou copiar e colar arquivos
  Padrão de linha de base: desabilitar
Permitir downloads de arquivos
Padrão de linha de base: habilitado
Saiba mais
- Permitir downloads de arquivos
  Padrão de linha de base: desabilitar
Permitir o carregamento de arquivos XAML
Padrão de linha de base: habilitado
Saiba mais
- Arquivos XAML
  Padrão de linha de base: desabilitar
Permitir META REFRESH
Padrão de linha de base: habilitado
Saiba mais
- Permitir META REFRESH
  Padrão de linha de base: desabilitar
Permitir que apenas domínios aprovados usem controles ActiveX sem prompt
Padrão de linha de base: habilitado
Saiba mais
- Permitir apenas que domínios aprovados usem controles ActiveX sem prompt
  Padrão de linha de base: Habilitar
Permitir apenas domínios aprovados para usar o controle TDC ActiveX
Padrão de linha de base: habilitado
Saiba mais
- Permitir apenas domínios aprovados para usar o controle TDC ActiveX
  Padrão de linha de base: Habilitar
Permitir janelas iniciadas por script sem restrições de tamanho ou posição
Padrão de linha de base: habilitado
Saiba mais
- Permitir janelas iniciadas por script sem restrições de tamanho ou posição
  Padrão de linha de base: desabilitar
Permitir scripts de controles WebBrowser Explorer Internet
Padrão de linha de base: habilitado
Saiba mais
- Controle de navegador da Web Explorer Internet
  Padrão de linha de base: desabilitar
Permitir scriptlets
Padrão de linha de base: habilitado
Saiba mais
- Scriptlets
  Padrão de linha de base: desabilitar
Permitir que as atualizações status barra por meio do script
Padrão de linha de base: habilitado
Saiba mais
- Atualizações da barra de status por meio do script
  Padrão de linha de base: desabilitar
Permitir que o VBScript seja executado na Internet Explorer
Padrão de linha de base: habilitado
Saiba mais
- Permitir que o VBScript seja executado na Internet Explorer
  Padrão de linha de base: desabilitar
Solicitação automática para downloads de arquivos
Padrão de linha de base: habilitado
Saiba mais
- Solicitação automática para downloads de arquivos
  Padrão de linha de base: desabilitar
Não execute programas antimalware em controles ActiveX
Padrão de linha de base: habilitado
Saiba mais
- Não execute programas antimalware em controles ActiveX
  Padrão de linha de base: desabilitar
Baixar controles ActiveX assinados
Padrão de linha de base: habilitado
Saiba mais
- Baixar controles ActiveX assinados
  Padrão de linha de base: desabilitar
Baixar controles ActiveX não assinados
Padrão de linha de base: habilitado
Saiba mais
- Baixar controles ActiveX não assinados
  Padrão de linha de base: desabilitar
Habilitar o arrasto de conteúdo de diferentes domínios entre janelas
Padrão de linha de base: habilitado
Saiba mais
- Habilitar o arrasto de conteúdo de diferentes domínios entre janelas
  Padrão de linha de base: desabilitar
Habilitar o arrasto de conteúdo de diferentes domínios dentro de uma janela
Padrão de linha de base: habilitado
Saiba mais
- Habilitar o arrasto de conteúdo de diferentes domínios dentro de uma janela
  Padrão de linha de base: desabilitar
Incluir o caminho local quando o usuário estiver carregando arquivos em um servidor
Padrão de linha de base: habilitado
Saiba mais
- Incluir o caminho do diretório local ao carregar arquivos em um servidor
  Padrão de linha de base: desabilitar
Inicializar e script controles ActiveX não marcados como seguros
Padrão de linha de base: habilitado
Saiba mais
- Inicializar e script controles ActiveX não marcados como seguros
  Padrão de linha de base: desabilitar
Permissões java
Padrão de linha de base: habilitado
Saiba mais
- Permissões java
  Padrão de linha de base: Desabilitar Java
Iniciar aplicativos e arquivos em um IFRAME
Padrão de linha de base: habilitado
Saiba mais
- Iniciar aplicativos e arquivos em um IFRAME
  Padrão de linha de base: desabilitar
Opções de logon
Padrão de linha de base: habilitado
Saiba mais
- Opções de logon
  Padrão de linha de base: logon anônimo
Navegar por janelas e quadros em diferentes domínios
Padrão de linha de base: habilitado
Saiba mais
- Navegar por janelas e quadros em diferentes domínios
  Padrão de linha de base: desabilitar
Executar componentes dependentes de .NET Framework não assinados com Authenticode
Padrão de linha de base: habilitado
Saiba mais
- Executar componentes dependentes de .NET Framework não assinados com Authenticode
  Padrão de linha de base: desabilitar
Executar componentes dependentes de .NET Framework assinados com Authenticode
Padrão de linha de base: habilitado
Saiba mais
- Executar componentes dependentes de .NET Framework assinados com Authenticode
  Padrão de linha de base: desabilitar
Executar controles e plug-ins do ActiveX
Padrão de linha de base: habilitado
Saiba mais
- Executar controles e plug-ins do ActiveX
  Padrão de linha de base: desabilitar
Controles ActiveX de script marcados como seguros para script
Padrão de linha de base: habilitado
Saiba mais
- Controles ActiveX de script marcados como seguros para script
  Padrão de linha de base: desabilitar
Script de applets java
Padrão de linha de base: habilitado
Saiba mais
- Script de applets java
  Padrão de linha de base: desabilitar
Mostrar aviso de segurança para arquivos potencialmente inseguros
Padrão de linha de base: habilitado
Saiba mais
- Iniciar programas e arquivos não seguros
  Padrão de linha de base: desabilitar
Ativar filtro de script entre sites
Padrão de linha de base: habilitado
Saiba mais
- Ativar o filtro XSS (script entre sites)
  Padrão de linha de base: habilitado
Ativar o Modo Protegido
Padrão de linha de base: habilitado
Saiba mais
- Modo protegido
  Padrão de linha de base: habilitado
Ativar a verificação de filtro smartscreen
Padrão de linha de base: habilitado
Saiba mais
- Usar o filtro SmartScreen
  Padrão de linha de base: habilitado
Usar o Bloqueador Pop-up
Padrão de linha de base: habilitado
Saiba mais
- Usar o Bloqueador Pop-up
  Padrão de linha de base: habilitado
Persistência userdata
Padrão de linha de base: habilitado
Saiba mais
- Persistência userdata
  Padrão de linha de base: desabilitar
Sites em zonas de conteúdo da Web menos privilegiadas podem navegar até essa zona
Padrão de linha de base: habilitado
Saiba mais
- Sites em zonas de conteúdo da Web menos privilegiadas podem navegar até essa zona
  Padrão de linha de base: desabilitar

Internet Explorer Internet Painel de Controle >> Zona de Sites Confiáveis da Página > de Segurança dos Componentes > do Windows

Não execute programas antimalware em controles ActiveX
Padrão de linha de base: habilitado
Saiba mais
- Não execute programas antimalware em controles ActiveX
  Padrão de linha de base: desabilitar
Inicializar e script controles ActiveX não marcados como seguros
Padrão de linha de base: habilitado
Saiba mais
- Inicializar e script controles ActiveX não marcados como seguros
  Padrão de linha de base: desabilitar
Permissões java
Padrão de linha de base: habilitado
Saiba mais
- Permissões java
  Padrão de linha de base: alta segurança

Explorer de Internet de Componentes > do Windows

Evitar ignorar avisos do Filtro SmartScreen
Padrão de linha de base: habilitado
Saiba mais
Evitar ignorar avisos do Filtro SmartScreen sobre arquivos que não são normalmente baixados da Internet
Padrão de linha de base: habilitado
Saiba mais
Impedir o gerenciamento do Filtro SmartScreen
Padrão de linha de base: habilitado
Saiba mais
- Selecione Modo filtro SmartScreen
  Padrão de linha de base: Ativado
Impedir a instalação por usuário de controles ActiveX
Padrão de linha de base: habilitado
Saiba mais
Zonas de Segurança: não permitir que os usuários adicionem/excluam sites
Padrão de linha de base: habilitado
Saiba mais
Zonas de Segurança: não permitir que os usuários alterem as políticas
Padrão de linha de base: habilitado
Saiba mais
Zonas de Segurança: usar apenas configurações do computador
Padrão de linha de base: habilitado
Saiba mais
Especificar o uso do ActiveX Installer Service para instalação de controles ActiveX
Padrão de linha de base: habilitado
Saiba mais
Desativar a detecção de falhas
Padrão de linha de base: habilitado
Saiba mais
Desativar o recurso De verificação de configurações de segurança
Padrão de linha de base: desabilitado
Saiba mais
Ativar o recurso de preenchimento automático para nomes de usuário e senhas em formulários (Usuário)
Padrão de linha de base: desabilitado
Saiba mais

Gerenciamento de suplementos de recursos > de segurança Explorer > Internet dos Componentes > do Windows

Remover o botão "Executar desta vez" para controles ActiveX desatualizados na Internet Explorer
Padrão de linha de base: habilitado
Saiba mais
Desativar o bloqueio de controles ActiveX desatualizados para a Internet Explorer
Padrão de linha de base: desabilitado
Saiba mais

Recursos de segurança de Explorer > da Internet dos Componentes > do Windows

Permitir fallback ao SSL 3.0 (Explorer da Internet)
Padrão de linha de base: habilitado
Saiba mais
- Permitir fallback inseguro para:
  Padrão de linha de base: Sem Sites

Componentes > do Windows Internet Explorer > recursos de > segurança consistentes de tratamento de mime

Processos de Explorer da Internet
Padrão de linha de base: habilitado
Saiba mais

Recursos > de segurança de Explorer > da Internet dos Componentes > do Windows Mime

Processos de Explorer da Internet
Padrão de linha de base: habilitado
Saiba mais

Restrição de segurança de protocolo MK dos recursos > de segurança de Explorer > internet dos componentes > do Windows

Processos de Explorer da Internet
Padrão de linha de base: habilitado
Saiba mais

Barra de notificação de recursos > de segurança Explorer > Internet dos Componentes > do Windows

Processos de Explorer da Internet
Padrão de linha de base: habilitado
Saiba mais

Componentes > do Windows Internet Explorer > recursos > de segurança proteção contra elevação de zona

Processos de Explorer da Internet
Padrão de linha de base: habilitado
Saiba mais

Recursos > de segurança de Explorer > da Internet dos componentes > do Windows restringem a instalação do ActiveX

Processos de Explorer da Internet
Padrão de linha de base: habilitado
Saiba mais

Componentes > do Windows Internet Explorer > Recursos > de segurança restringem o download de arquivos

Processos de Explorer da Internet
Padrão de linha de base: habilitado
Saiba mais

Restrições > de segurança com script de recursos > de segurança de Explorer > internet dos componentes do Windows

Processos de Explorer da Internet
Padrão de linha de base: habilitado
Saiba mais

Componentes do Windows Microsoft Defender Mapas > antivírus >

Configurar o recurso 'Bloquear à Primeira Vista'
Padrão de linha de base: habilitado
Saiba mais

Componentes > do Windows Microsoft Defender Proteção antivírus > em tempo real

Ativar a verificação do processo sempre que a proteção em tempo real estiver habilitada
Padrão de linha de base: habilitado
Saiba mais

Verificação de antivírus > Microsoft Defender componentes > do Windows

Verificar executáveis empacotados
Padrão de linha de base: habilitado
Saiba mais

Componentes > do Windows Microsoft Defender Antivírus

Desativar a correção de rotina
Padrão de linha de base: desabilitado
Saiba mais

Cliente de conexão de área de trabalho remota dos Serviços > de Área de Trabalho Remota dos Componentes > do Windows

Não permitir que senhas sejam salvas
Padrão de linha de base: habilitado
Saiba mais

Dispositivo e redirecionamento de recursos do Windows Components > Remote Desktop Services > Remote Desktop >

Não permitir redirecionamento de unidades
Padrão de linha de base: habilitado
Saiba mais

Segurança do Host > de Sessão da Área de Trabalho Remota dos Serviços > de Área de Trabalho Remota dos Componentes > do Windows

Sempre solicitar senha após a conexão
Padrão de linha de base: habilitado
Saiba mais
Exigir comunicação RPC segura
Padrão de linha de base: habilitado
Saiba mais
Definir o nível de criptografia de conexão do cliente
Padrão de linha de base: habilitado
Saiba mais
- Nível de criptografia
  Padrão de linha de base: alto nível

Feeds RSS de componentes > do Windows

Impedir o download de compartimentos
Padrão de linha de base: habilitado
Saiba mais

Opções de logon do Windows Components > Windows

Habilitar notificações MPR para o sistema
Padrão de linha de base: desabilitado
Saiba mais
Entrar e bloquear o último usuário interativo automaticamente após uma reinicialização
Padrão de linha de base: desabilitado
Saiba mais

Componentes > do Windows Windows PowerShell

Ativar o registro em log de blocos de script do PowerShell
Padrão de linha de base: habilitado
Saiba mais
- Iniciar/parar eventos de invocação do bloco de script de log:
  Padrão de linha de base: False

Cliente WinRM (Gerenciamento Remoto) > do Windows Components >

Permitir autenticação básica
Padrão de linha de base: desabilitado
Saiba mais
Permitir tráfego não criptografado
Padrão de linha de base: desabilitado
Saiba mais
Não permitir a autenticação digesta
Padrão de linha de base: habilitado
Saiba mais

Serviço WinRM (Gerenciamento Remoto) > do Windows Components >

Permitir autenticação básica
Padrão de linha de base: desabilitado
Saiba mais
Permitir tráfego não criptografado
Padrão de linha de base: desabilitado
Saiba mais
Não permitir que o WinRM armazene credenciais runas
Padrão de linha de base: habilitado
Saiba mais

Auditoria

Validação de credencial de auditoria de logon da conta
Padrão da linha de base: Falha de sucesso+
Saiba mais
Bloqueio da conta de auditoria de logoff de logon da conta
Padrão da linha de base: falha
Saiba mais
Associação do grupo de auditoria logoff de logon da conta
Padrão da linha de base: êxito
Saiba mais
Logon da conta Logoff Audit Logoff Logon
Padrão da linha de base: Falha de sucesso+
Saiba mais
Alteração da política de autenticação de auditoria
Padrão da linha de base: êxito
Saiba mais
Auditar alterações na política de auditoria
Padrão da linha de base: êxito
Saiba mais
Auditar o Acesso ao Compartilhamento de Arquivos
Padrão da linha de base: Falha de sucesso+
Saiba mais
Auditar outros eventos de logon de logon
Padrão da linha de base: Falha de sucesso+
Saiba mais
Gerenciamento de Grupo de Segurança de Auditoria
Padrão da linha de base: êxito
Saiba mais
Extensão do Sistema de Segurança de Auditoria
Padrão da linha de base: êxito
Saiba mais
Auditar logon especial
Padrão da linha de base: êxito
Saiba mais
Auditar o Gerenciamento de Conta de Usuário
Padrão da linha de base: Falha de sucesso+
Saiba mais
Atividade PNP de auditoria de acompanhamento detalhada
Padrão da linha de base: êxito
Saiba mais
Criação detalhada do processo de auditoria de acompanhamento
Padrão da linha de base: êxito
Saiba mais
Compartilhamento detalhado de arquivos da Auditoria de Acesso ao Objeto
Padrão da linha de base: falha
Saiba mais
Auditoria de Acesso ao Objeto Outros Eventos de Acesso a Objetos
Padrão da linha de base: Falha de sucesso+
Saiba mais
Armazenamento Removível da Auditoria de Acesso ao Objeto
Padrão da linha de base: Falha de sucesso+
Saiba mais
Alteração de política A alteração da política de nível de regra do MPSSVC
Padrão da linha de base: Falha de sucesso+
Saiba mais
Auditoria de alteração de política Outros eventos de alteração de política
Padrão da linha de base: falha
Saiba mais
Uso de privilégios de uso de privilégio confidencial de auditoria
Padrão da linha de base: êxito
Saiba mais
Auditoria do Sistema Outros Eventos do Sistema
Padrão da linha de base: Falha de sucesso+
Saiba mais
Alteração do estado de segurança de auditoria do sistema
Padrão da linha de base: êxito
Saiba mais
Integridade do sistema de auditoria do sistema
Padrão da linha de base: Falha de sucesso+
Saiba mais

Navegador

Permitir Gerenciador de Senhas
Padrão da linha de base: Bloquear
Saiba mais
Permitir Tela Inteligente
Padrão de linha de base: permitir
Saiba mais
Impedir substituições de erro do Cert
Padrão de linha de base: habilitado
Saiba mais
Impedir substituição de prompt de tela inteligente
Padrão de linha de base: habilitado
Saiba mais
Impedir substituição de prompt de tela inteligente para arquivos
Padrão de linha de base: habilitado
Saiba mais

Proteção de Dados

Permitir acesso direto à memória
Padrão da linha de base: Bloquear
Saiba mais

Defender

Permitir a verificação de arquivos
Padrão de linha de base: permitido. Verifica os arquivos de arquivo.
Saiba mais
Permitir monitoramento de comportamento
Padrão de linha de base: permitido. Ativa o monitoramento de comportamento em tempo real.
Saiba mais
Permitir Proteção na Nuvem
Padrão de linha de base: permitido. Ativa a Proteção na Nuvem.
Saiba mais
Permitir verificação completa da verificação de unidade removível
Padrão de linha de base: permitido. Verifica unidades removíveis.
Saiba mais
Permitir a Proteção de Acesso
Padrão de linha de base: permitido.
Saiba mais
Permitir monitoramento em tempo real
Padrão de linha de base: permitido. Ativa e executa o serviço de monitoramento em tempo real.
Saiba mais
Permitir a verificação de todos os arquivos e anexos baixados
Padrão de linha de base: permitido.
Saiba mais
Permitir a verificação de script
Padrão de linha de base: permitido.
Saiba mais
- Bloquear a execução de scripts potencialmente ofuscados
  Padrão de linha de base: não configurado
  Saiba mais
- Bloquear chamadas de API win32 de macros do Office
  Padrão de linha de base: não configurado
  Saiba mais
- Bloquear o aplicativo de comunicação do Office de criar processos filho
  Padrão de linha de base: não configurado
  Saiba mais
- Bloquear todos os aplicativos do Office de criar processos filho
  Padrão de linha de base: não configurado
  Saiba mais
- Bloquear JavaScript ou VBScript de iniciar conteúdo executável baixado
  Padrão de linha de base: não configurado
  Saiba mais
- Bloquear processos não confiáveis e sem sinal que são executados no USB
  Padrão de linha de base: não configurado
  Saiba mais
- Impedir o Adobe Reader de criar processos filho
  Padrão de linha de base: não configurado
  Saiba mais
- Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows
  Padrão de linha de base: não configurado
  Saiba mais
- Bloquear aplicativos do Office de criar conteúdo executável
  Padrão de linha de base: não configurado
  Saiba mais
- Bloquear aplicativos do Office de injetar código em outros processos
  Padrão de linha de base: não configurado
  Saiba mais
- Bloquear conteúdo executável do cliente de email e do webmail
  Padrão de linha de base: não configurado
  Saiba mais
Nível de bloco de nuvem
Padrão de linha de base: alto
Saiba mais
Tempo limite estendido na nuvem
Padrão de linha de base: configurado
Valor: 50
Saiba mais
Desabilitar mesclagem de Administração local
Padrão de linha de base: desabilitar a mesclagem de Administração local
Saiba mais
Habilitar computação de hash de arquivo
Padrão de linha de base: habilitarsaiba mais
Habilitar a Proteção de Rede
Padrão de linha de base: habilitado (modo de bloco)
Saiba mais
Ocultar exclusões de administradores locais
Padrão de linha de base: se você habilitar essa configuração, os administradores locais não poderão mais ver a lista de exclusão no aplicativo Segurança do Windows ou por meio do PowerShell.
Saiba mais
Proteção PUA
Padrão de linha de base: PUA Protection ativado. Os itens detectados estão bloqueados. Eles aparecerão na história junto com outras ameaças.
Saiba mais
Direção de verificação em tempo real
Padrão da linha de base: monitorar todos os arquivos (bidirecionais).
Saiba mais
Enviar consentimento de exemplos
Padrão de linha de base: enviar todos os exemplos automaticamente.
Saiba mais

Device Guard

Configurar System Guard Inicialização
Padrão de linha de base: não gerenciado habilita o lançamento seguro se for compatível com hardware
Saiba mais
Credential Guard
Padrão da linha de base: (Habilitado com bloqueio UEFI) Ativa o Credential Guard com bloqueio UEFI.
Saiba mais
Habilitar segurança baseada em virtualização
Padrão de linha de base: habilitar a segurança baseada em virtualização.
Saiba mais
Exigir recursos de segurança da plataforma
Padrão de linha de base: ativa o VBS com Inicialização Segura.
Saiba mais

Bloqueio de Dispositivo

Senha do dispositivo habilitada
Padrão de linha de base: habilitado
Saiba mais
- Histórico de senhas do dispositivo
  Padrão de linha de base: configurado
  Valor: 24
  Saiba mais
- Comprimento da senha do dispositivo min
  Padrão de linha de base: configurado
  Valor: 14
  Saiba mais

Dma Guard

Política de Enumeração de Dispositivo
Padrão da linha de base: bloquear tudo (mais restritivo)
Saiba mais

Experiência

Permitir o Windows Spotlight (usuário)
Padrão de linha de base: permitir
Saiba mais
- Permitir recursos de consumidor do Windows
  Padrão da linha de base: Bloquear
  Saiba mais
- Permitir sugestões de terceiros no Windows Spotlight (usuário)
  Padrão da linha de base: Bloquear
  Saiba mais

Firewall

Habilitar o Firewall de Rede de Domínio
Padrão de linha de base: True
Saiba mais
- Habilitar o log success Connections
  Padrão de linha de base: habilitar o registro em log de Connections bem-sucedido
  Saiba mais
- Ação de saída padrão
  Padrão de linha de base: permitir
  Saiba mais
- Habilitar pacotes descartados de log
  Padrão de linha de base: habilitar o registro em log de pacotes descartados
  Saiba mais
- Desabilitar notificações de entrada
  Padrão de linha de base: True
  Saiba mais
- Tamanho máximo do arquivo do Log
  Padrão da linha de base: 16384
  Saiba mais
- Ação de entrada padrão para o perfil de domínio
  Padrão da linha de base: Bloquear
  Saiba mais
Habilitar o Firewall de Rede Privada
Padrão de linha de base: True
Saiba mais
- Tamanho máximo do arquivo do Log
  Padrão da linha de base: 16384
  Saiba mais
- Ação de entrada padrão para perfil privado
  Padrão da linha de base: Bloquear
  Saiba mais
- Habilitar o log success Connections
  Padrão de linha de base: habilitar o registro em log de Connections bem-sucedido
  Saiba mais
- Habilitar pacotes descartados de log
  Padrão de linha de base: habilitar o registro em log de pacotes descartados
  Saiba mais
- Ação de saída padrão
  Padrão de linha de base: permitir
  Saiba mais
- Desabilitar notificações de entrada
  Padrão de linha de base: True
  Saiba mais
Habilitar o Firewall de Rede Pública
Padrão de linha de base: True
Saiba mais
- Habilitar pacotes descartados de log
  Padrão de linha de base: habilitar o registro em log de pacotes descartados
  Saiba mais
- Tamanho máximo do arquivo do Log
  Padrão da linha de base: 16384
  Saiba mais
- Ação de saída padrão
  Padrão de linha de base: permitir
  Saiba mais
- Desabilitar notificações de entrada
  Padrão de linha de base: True
  Saiba mais
- Ação de entrada padrão para perfil público
  Padrão da linha de base: Bloquear
  Saiba mais
- Permitir mesclagem de política local
  Padrão de linha de base: False
  Saiba mais
- Habilitar o log success Connections
  Padrão de linha de base: habilitar o registro em log de Connections bem-sucedido
  Saiba mais
- Permitir mesclagem de política do Ipsec local
  Padrão de linha de base: False
  Saiba mais

Estação de Trabalho Lanman

Habilitar logons de convidado inseguros
Padrão de linha de base: desabilitado
Saiba mais

Opções de segurança de políticas locais

Contas limitam o uso da conta local de senhas em branco somente para o logon do console
Padrão de linha de base: habilitado
Saiba mais
Limite de inatividade do computador de logon interativo
Padrão de linha de base: configurado
Valor: 900
Saiba mais
Comportamento interativo de remoção de cartão inteligente de logon
Padrão de linha de base: Bloquear estação de trabalho
Saiba mais
Microsoft Network Client Digitally Sign Communications Always
Padrão de linha de base: Habilitar
Saiba mais
Cliente da Rede Microsoft enviar senha não criptografada para servidores SMB de terceiros
Padrão de linha de base: desabilitar
Saiba mais
Microsoft Network Server Digitally Sign Communications Always
Padrão de linha de base: Habilitar
Saiba mais
Acesso à rede não permite enumeração anônima de contas SAM
Padrão de linha de base: habilitado
Saiba mais
Acesso à rede não permite a enumeração anônima de contas e compartilhamentos sam
Padrão de linha de base: habilitado
Saiba mais
Acesso à rede restringe o acesso anônimo a pipes e compartilhamentos nomeados Padrão de linha de base HabilitarSaiba mais
Acesso à rede restringir clientes autorizados a fazer chamadas remotas para SAM
Padrão de linha de base: configurado
Valor: O:BAG:BAD:(A;; RC;;; BA)
Saiba mais
Segurança de rede Não armazenar valor de hash do LAN Manager na próxima alteração de senha
Padrão de linha de base: Habilitar
Saiba mais
Nível de autenticação do gerenciador de segurança de rede
Padrão de linha de base: enviar somente respostas LM e NTLMv2. Recusar LM e NTLM
Saiba mais
Segurança de rede segurança mínima de sessão para clientes baseados em NTLMSSP
Padrão de linha de base: exigir criptografia de NTLM e 128 bits
Saiba mais
Segurança mínima da sessão de segurança de rede para servidores baseados em NTLMSSP
Padrão de linha de base: exigir criptografia de NTLM e 128 bits
Saiba mais
Comportamento de controle da conta de usuário do prompt de elevação para administradores
Padrão da linha de base: solicitar consentimento na área de trabalho segura
Saiba mais
Comportamento de controle da conta de usuário do prompt de elevação para usuários padrão
Padrão de linha de base: negar automaticamente solicitações de elevação
Saiba mais
Controle da conta de usuário detectar instalações de aplicativo e solicitar elevação Padrão de linha de base: habilitarsaiba mais
Controle da conta de usuário Apenas elevar aplicativos de acesso à interface do usuário instalados em locais seguros Padrão de linha de base : habilitado: o aplicativo é executado com integridade UIAccess somente se ele residir em local seguro.Saiba Mais
Controle da conta de usuário executar todos os administradores no modo de aprovação Administração
Padrão de linha de base: habilitado
Saiba mais
Modo de aprovação Administração do controle da conta de usuário
Padrão de linha de base: Habilitar
Saiba mais
Controle da conta de usuário Virtualize falhas de gravação de arquivo e registro para por localidades de usuário
Padrão de linha de base: habilitado
Saiba mais

Autoridade de segurança local

Configurar o processo Lsa Protected
Padrão de linha de base: habilitado com bloqueio UEFI. A LSA será executada como um processo protegido e essa configuração está bloqueada pela UEFI.
Saiba Mais

Microsoft App Store

Permitir DVR do Jogo
Padrão da linha de base: Bloquear
Saiba mais
MSI permitir o controle do usuário sobre a instalação
Padrão de linha de base: desabilitado
Saiba mais
MSI Always Install With Elevated Privileges
Padrão de linha de base: desabilitado
Saiba mais

Microsoft Edge

Configurações do SmartScreen

Configurar Microsoft Defender SmartScreen
Padrão de linha de base: habilitado
Evitar ignorar Microsoft Defender solicitações smartscreen para sites
Padrão de linha de base: habilitado

Privacidade

Permitir que os aplicativos sejam ativados com a voz acima do bloqueio
Padrão da linha de base: forçar negar. Os aplicativos Windows não podem ser ativados por voz enquanto a tela está bloqueada e os usuários não podem alterá-la.
Saiba mais

Pesquisar

Permitir indexação de lojas criptografadas ou itens
Padrão da linha de base: Bloquear
Saiba mais

Tela Inteligente

Habilitar tela inteligente no Shell
Padrão de linha de base: habilitado
Saiba mais
Impedir substituição de arquivos no Shell
Padrão de linha de base: habilitado
Saiba mais

Proteção de phishing aprimorada

Notificar Mal-intencionado
Padrão de linha de base: habilitado
Notificar a reutilização de senha
Padrão de linha de base: habilitado
Notificar aplicativo inseguro
Padrão de linha de base: habilitado
Serviço Habilitado
Padrão de linha de base: habilitado

Serviços do Sistema

Configurar o Modo de Inicialização do Serviço de Gerenciamento de Acessórios do Xbox
Padrão de linha de base: desabilitado
Saiba mais
Configurar o Modo de Inicialização de Serviço do Xbox Live Auth Manager
Padrão de linha de base: desabilitado
Saiba mais
Configurar o modo de inicialização de serviço de salvamento de jogos ao vivo do Xbox
Padrão de linha de base: desabilitado
Saiba mais
Configurar o Modo de Inicialização do Serviço de Rede Ao Vivo do Xbox
Padrão de linha de base: desabilitado
Saiba mais

Agendador de tarefas

Habilitar a Tarefa de Salvamento de Jogos do Xbox
Padrão de linha de base: desabilitado
Saiba mais

Direitos do usuário

Acesso por rede
Padrão de linha de base: configurado
Valores: Administradores, Usuários da Área de Trabalho Remota
Saiba mais
Permitir logon local
Padrão de linha de base: configurado
Valores: administradores, usuários
Saiba mais
Arquivos e diretórios de backup
Padrão de linha de base: configurado
Valor: Administradores
Saiba mais
Criar objetos globais
Padrão de linha de base: configurado
Valores: Administradores, SERVIÇO LOCAL, SERVIÇO DE REDE, SERVIÇO
Saiba mais
Criar arquivo de página
Padrão de linha de base: configurado
Valor: Administradores
Saiba mais
Programas de depuração
Padrão de linha de base: configurado
Valor: Administradores
Saiba mais
Negar acesso da rede
Padrão de linha de base: configurado
Valor: NT AUTHORITY\Conta Local
Saiba mais
Negar logon dos Serviços de Área de Trabalho Remota
Padrão de linha de base: configurado
Valor: NT AUTHORITY\Conta Local
Saiba mais
Representar cliente
Padrão de linha de base: configurado
Valores: Administradores, SERVIÇO, Serviço Local, Serviço de Rede
Saiba mais
Drivers de dispositivo de descarregamento de carga
Padrão de linha de base: configurado
Valor: Administradores
Saiba mais
Gerenciar log de auditoria e segurança
Padrão de linha de base: configurado
Valor: Administradores
Saiba mais
Gerenciar volume
Padrão de linha de base: configurado
Valor: Administradores
Saiba mais
Modificar o Ambiente do Firmware
Padrão de linha de base: configurado
Valor: Administradores
Saiba mais
Processo Único de Perfil
Padrão de linha de base: configurado
Valor: Administradores
Saiba mais
Desligamento remoto
Padrão de linha de base: configurado
Valor: Administradores
Saiba mais
Restaurar arquivos e diretórios
Padrão de linha de base: configurado
Valor: Administradores
Saiba mais
Assumir Propriedade
Padrão de linha de base: configurado
Valor: Administradores
Saiba mais

Tecnologia baseada em virtualização

Integridade de código imposta pelo hipervisor
Padrão da linha de base: (Habilitado com bloqueio UEFI) Ativa Hypervisor-Protected Integridade do Código com bloqueio UEFI.
Saiba mais

Configurações de Wi-Fi

Permitir conexão automática com hotspots de sentido wi-fi
Padrão da linha de base: Bloquear
Saiba mais
Permitir Compartilhamento da Internet
Padrão da linha de base: Bloquear
Saiba mais

Windows Hello For Business

Recursos faciais usam anti-falsificação aprimorada
Padrão de linha de base: true
Saiba mais

Espaço de Trabalho do Windows Ink

Permitir Espaço de Trabalho do Windows Ink
Padrão da linha de base: o workspace de tinta está habilitado (o recurso está ativado), mas o usuário não pode acessá-lo acima da tela de bloqueio.
Saiba mais

VOLTAS

Diretório de backup
Padrão da linha de base: fazer backup da senha apenas para Azure AD
Saiba mais

Bloqueio acima

Ativar aplicativos por voz na tela bloqueada:
Padrão de linha de base: desabilitado
Saiba Mais
Bloquear a exibição de notificações de brinde:
Padrão de linha de base: Sim
Saiba Mais

App Runtime

Contas da Microsoft opcionais para aplicativos da Microsoft Store:
Padrão de linha de base: habilitado
Saiba mais

Gerenciamento de aplicativos

Bloquear instalações de aplicativo com privilégios elevados:
Padrão de linha de base: Sim
Saiba mais
Bloquear o controle do usuário sobre instalações:
Padrão de linha de base: Sim
Saiba mais
Bloquear DVR do jogo (somente área de trabalho):
Padrão de linha de base: Sim
Saiba mais

Auditoria

As configurações de auditoria configuram os eventos gerados para as condições da configuração.

Validação de credencial de auditoria de logon da conta (dispositivo):
Padrão da linha de base: sucesso e falha
Serviço de Autenticação kerberos de auditoria de logon da conta (dispositivo):
Padrão de linha de base: nenhum
Bloqueio da conta de auditoria de logoff de logon da conta (dispositivo):
Padrão da linha de base: falha
Associação de grupo de auditoria de logoff de logon da conta (dispositivo):
Padrão da linha de base: êxito
Logon da conta Logoff Audit Logon (dispositivo):
Padrão da linha de base: sucesso e falha
Auditar outros eventos de logon de logon (dispositivo):
Padrão da linha de base: sucesso e falha
Auditar logon especial (dispositivo):
Padrão da linha de base: êxito
Gerenciamento de grupo de segurança de auditoria (dispositivo):
Padrão da linha de base: êxito
Auditar o Gerenciamento de Conta de Usuário (Dispositivo):
Padrão da linha de base: sucesso e falha
Atividade PNP de auditoria de acompanhamento detalhada (dispositivo):
Padrão da linha de base: êxito
Criação detalhada do processo de auditoria de acompanhamento (dispositivo):
Padrão da linha de base: êxito
Compartilhamento detalhado de arquivos de auditoria de acesso ao objeto (dispositivo):
Padrão da linha de base: falha
Acesso ao compartilhamento de arquivos de auditoria (dispositivo):
Padrão da linha de base: sucesso e falha
Auditoria de acesso ao objeto Outros eventos de acesso a objetos (dispositivo):
Padrão da linha de base: sucesso e falha
Armazenamento Removível de Auditoria de Acesso ao Objeto (Dispositivo):
Padrão da linha de base: sucesso e falha
Alteração da política de autenticação de auditoria (dispositivo):
Padrão da linha de base: êxito
Alteração da política MPSSVC Rule Policy Change (Dispositivo):
Padrão da linha de base: sucesso e falha
Auditoria de alteração de política Outros eventos de alteração de política (dispositivo):
Padrão da linha de base: falha
Auditar alterações na política de auditoria (dispositivo):
Padrão da linha de base: êxito
Uso de privilégio uso de privilégio confidencial de auditoria (dispositivo):
Padrão da linha de base: sucesso e falha
Auditoria do Sistema Outros Eventos do Sistema (Dispositivo):
Padrão da linha de base: sucesso e falha
Alteração de estado de segurança de auditoria do sistema (dispositivo):
Padrão da linha de base: êxito
Extensão do sistema de segurança de auditoria (dispositivo):
Padrão da linha de base: êxito
Integridade do sistema de auditoria do sistema (dispositivo):
Padrão da linha de base: sucesso e falha

Reprodução automática

Comportamento de execução automática padrão de reprodução automática automática:
Padrão de linha de base: não executar
Saiba mais
Modo de reprodução automática:
Padrão de linha de base: desabilitado
Saiba mais
Bloquear a reprodução automática para dispositivos que não são de volume:
Padrão de linha de base: habilitado
Saiba mais

BitLocker

Política de unidade removível do BitLocker:
Padrão de linha de base: configurar
Saiba mais
- Bloquear o acesso de gravação a unidades de dados removíveis não protegidas pelo BitLocker:
  Padrão de linha de base: Sim
  Saiba mais

Navegador

Bloquear Gerenciador de Senhas:
Padrão de linha de base: Sim
Saiba mais
Exigir SmartScreen para Versão Prévia do Microsoft Edge:
Padrão de linha de base: Sim
Saiba mais
Bloquear o acesso mal-intencionado ao site:
Padrão de linha de base: Sim
Saiba mais
Bloquear o download de arquivo não verificado:
Padrão de linha de base: Sim
Saiba mais
Impedir que o usuário substitua erros de certificado:
Padrão de linha de base: Sim
Saiba mais

Conectividade

Configurar o acesso seguro aos caminhos UNC:
Padrão de linha de base: configurar o Windows para permitir apenas o acesso aos caminhos UNC especificados depois de atender aos requisitos de segurança adicionais
Saiba mais
- Lista de caminhos unc endurecidos:
  Padrão de linha de base: não configurado por padrão. Adicione manualmente um ou mais caminhos UNC endurecidos manualmente.
Bloquear o download de drivers de impressão em HTTP:
Padrão de linha de base: habilitado
Saiba mais
Bloquear o download da Internet para assistentes de ordenação online e publicação na Web:
Padrão de linha de base: habilitado
Saiba mais

Delegação de Credenciais

Delegação de host remoto de credenciais não exportáveis:
Padrão de linha de base: habilitado
Saiba mais

Interface do usuário de credenciais

Enumerar administradores:
Padrão de linha de base: desabilitado
Saiba mais

Proteção de Dados

Bloquear o acesso direto à memória:
Padrão de linha de base: Sim
Saiba mais

Device Guard

Segurança baseada em virtualização:
Padrão de linha de base: habilitar o VBS com inicialização segura
Habilitar a segurança baseada em virtualização:
Padrão de linha de base: Sim
Saiba mais
Iniciar o protetor do sistema:
Padrão de linha de base: habilitado
Ative o guarda de credencial:
Padrão da linha de base: habilitar com o bloqueio UEFI
Saiba mais

Instalação do dispositivo

Bloquear a instalação do dispositivo de hardware por classes de instalação:
Padrão de linha de base: Sim
Saiba mais
- Remover dispositivos de hardware correspondentes:
  Padrão de linha de base: Sim
- Lista de blocos:
  Padrão de linha de base: não configurado por padrão. Adicione manualmente um ou mais Identificadores.

Instalação do dispositivo de hardware por identificadores de dispositivo:
Padrão da linha de base: bloquear a instalação do dispositivo de hardware
Saiba mais
- Remover dispositivos de hardware correspondentes:
  Padrão de linha de base: Sim
- Identificadores de dispositivo de hardware bloqueados:
  Padrão de linha de base: Sim
Instalação do dispositivo de hardware por classes de instalação:
Padrão da linha de base: bloquear a instalação do dispositivo de hardware
Saiba mais
- Remover dispositivos de hardware correspondentes:
  Padrão de linha de base: nenhuma configuração padrão
- Identificadores de dispositivo de hardware bloqueados:
  Padrão de linha de base: nenhuma configuração padrão

Bloqueio de Dispositivo

Exigir senha:
Padrão de linha de base: Sim
Saiba mais
- Senha necessária:
  Padrão da linha de base: Alfanumérico
  Saiba mais
- Expiração de senha (dias):
  Padrão da linha de base: 60
  Saiba mais
- Contagem de conjuntos de caracteres mínimos de senha:
  Padrão da linha de base: 3
  Saiba mais
- Impedir a reutilização de senhas anteriores:
  Padrão da linha de base: 24
  Saiba mais
- Comprimento mínimo da senha:
  Padrão da linha de base: 8
  Saiba mais
- Número de falhas de entrada antes de limpar o dispositivo:
  Padrão da linha de base: 10
  Saiba mais
- Bloquear senhas simples:
  Padrão de linha de base: Sim
  Saiba mais
Idade mínima da senha em dias:
Padrão da linha de base: 1
Saiba mais
Impedir o uso da câmera:
Padrão de linha de base: habilitado
Saiba mais
Impedir apresentação de slides:
Padrão de linha de base: habilitado
Saiba mais

Guarda DMA

Enumeração de dispositivos externos incompatíveis com a Proteção DMA do Kernel:
Padrão da linha de base: bloquear tudo

Serviço de Log de Eventos

Tamanho máximo do arquivo de log de aplicativo no KB:
Padrão da linha de base: 32768
Saiba mais
Tamanho máximo do arquivo de log do sistema no KB:
Padrão da linha de base: 32768
Saiba mais
Tamanho máximo do arquivo de log de segurança no KB:
Padrão da linha de base: 196608
Saiba mais

Experiência

Bloquear o Windows Spotlight:
Padrão de linha de base: Sim
Saiba mais
- Bloquear sugestões de terceiros no Windows Spotlight:
  Padrão de linha de base: não configurado
  Saiba mais
- Bloquear recursos específicos do consumidor:
  Padrão de linha de base: não configurado
  Saiba mais

Explore Guard

Carregar XML:
Padrão da linha de base: o xml de exemplo é fornecido
Saiba mais

Explorador de Arquivos

Bloquear a prevenção de execução de dados:
Padrão de linha de base: desabilitado
Saiba mais
Bloquear o término do heap sobre corrupção:
Padrão de linha de base: desabilitado
Saiba mais

Firewall

Para obter mais informações, consulte 2.2.2 FW_PROFILE_TYPE na documentação protocolos do Windows.

Domínio do perfil do firewall:
Padrão de linha de base: configurar
Saiba mais
- Conexões de entrada bloqueadas:
  Padrão de linha de base: Sim
  Saiba mais
- Conexões de saída necessárias:
  Padrão de linha de base: Sim
  Saiba mais
- Notificações de entrada bloqueadas:
  Padrão de linha de base: Sim
  Saiba mais
- Firewall habilitado:
  Padrão de linha de base: permitido
  Saiba mais
Perfil de firewall privado:
Padrão de linha de base: configurar
Saiba mais
- Conexões de entrada bloqueadas:
  Padrão de linha de base: Sim
  Saiba mais
- Conexões de saída necessárias:
  Padrão de linha de base: Sim
  Saiba mais
- Notificações de entrada bloqueadas:
  Padrão de linha de base: Sim
  Saiba mais
- Firewall habilitado:
  Padrão de linha de base: permitido
  Saiba mais
Perfil de firewall público:
Padrão de linha de base: configurar
Saiba mais
- Conexões de entrada bloqueadas:
  Padrão de linha de base: Sim
  Saiba mais
- Conexões de saída necessárias:
  Padrão de linha de base: Sim
  Saiba mais
- Notificações de entrada bloqueadas:
  Padrão de linha de base: Sim
  Saiba mais
- Firewall habilitado:
  Padrão de linha de base: permitido
  Saiba mais
- Regras de segurança de conexão da política de grupo não mescladas:
  Padrão de linha de base: Sim
  Saiba mais
- Regras de política da política de grupo não mescladas:
  Padrão de linha de base: Sim
  Saiba mais

Internet Explorer

Suporte à criptografia de Explorer internet:
Padrão da linha de base: dois itens: TLS v1.1 e TLS v1.2
Saiba mais
A Internet Explorer impedir o gerenciamento do filtro de tela inteligente:
Padrão de linha de base: Habilitar
Saiba mais
Internet Explorer script de zona restrita Controles Active X marcados como seguros para script:
Padrão de linha de base: desabilitar
Saiba mais
Downloads de arquivos de zona restrita Explorer Internet:
Padrão de linha de base: desabilitar
Saiba mais
Aviso de incompatibilidade de endereço de certificado Explorer Internet:
Padrão de linha de base: habilitado
Saiba mais
Modo protegido aprimorado Explorer Internet:
Padrão de linha de base: habilitado
Saiba mais
A Internet Explorer fallback para o SSL3:
Padrão de linha de base: nenhum site
Saiba mais
Software de Explorer da Internet quando a assinatura é inválida:
Padrão de linha de base: desabilitado
Saiba mais
Revogação do certificado do servidor Explorer marcar Internet:
Padrão de linha de base: habilitado
Saiba mais
Assinaturas de Explorer marcar da Internet em programas baixados:
Padrão de linha de base: habilitado
Saiba mais
A Internet Explorer processa o tratamento consistente do MIME:
Padrão de linha de base: Habilitar
Saiba mais
Internet Explorer ignorar avisos de tela inteligente:
Padrão de linha de base: desabilitado
Saiba mais
Internet Explorer ignorar avisos de tela inteligente sobre arquivos incomuns:
Padrão de linha de base: desabilitar
Saiba mais
Detecção de falhas de Explorer internet:
Padrão de linha de base: desabilitado
Saiba mais
Compartimentos de download Explorer internet:
Padrão de linha de base: desabilitado
Saiba mais
Os Explorer da Internet ignoram erros de certificado:
Padrão de linha de base: desabilitado
Saiba mais
Internet Explorer desabilitar processos no modo protegido aprimorado:
Padrão de linha de base: habilitado
Saiba mais
Configurações de segurança Explorer Internet marcar:
Padrão de linha de base: habilitado
Saiba mais
Controles Active X Explorer Internet no modo protegido:
Padrão de linha de base: desabilitado
Saiba mais
Usuários da Internet Explorer adicionando sites:
Padrão de linha de base: desabilitado
Saiba mais
Usuários da Internet Explorer alterando as políticas:
Padrão de linha de base: desabilitado
Saiba mais
Controles Active X desatualizados do bloco de Explorer Internet:
Padrão de linha de base: habilitado
Saiba mais
Os Explorer da Internet incluem todos os caminhos de rede:
Padrão de linha de base: desabilitado
Saiba mais
Internet Explorer acesso à zona da Internet a fontes de dados:
Padrão de linha de base: desabilitado
Saiba mais
Internet Explorer prompt automático da zona da Internet para downloads de arquivos:
Padrão de linha de base: desabilitado
Saiba mais
Internet Explorer a internet copiar e colar por meio do script:
Padrão de linha de base: desabilitar
Saiba mais
Internet Explorer internet zone arrastar e soltar ou copiar e colar arquivos:
Padrão de linha de base: desabilitado.
Saiba mais
Internet Explorer sites menos privilegiados da zona da Internet:
Padrão de linha de base: desabilitar
Saiba mais
Internet Explorer carregamento de zona da Internet de arquivos XAML:
Padrão de linha de base: desabilitar
Saiba mais
Internet Explorer internet .NET Framework componentes dependentes:
Padrão de linha de base: desabilitado
Saiba mais
A internet Explorer internet permite que apenas domínios aprovados usem controles ActiveX:
Padrão de linha de base: habilitado
Saiba mais
A internet Explorer internet permite que apenas domínios aprovados usem controles do ActiveX tdc:
Padrão de linha de base: habilitado
Saiba mais
Internet Explorer script de zona da Internet de controles do navegador da Web:
Padrão de linha de base: desabilitado
Saiba mais
Janelas iniciadas por script de zona da Internet Explorer Internet:
Padrão de linha de base: desabilitado
Saiba mais
Scripts de zona da Internet Explorer Internet:
Padrão de linha de base: desabilitar
Saiba mais
Internet Explorer tela inteligente da zona da Internet:
Padrão de linha de base: habilitado
Saiba mais
Atualizações da zona da Internet Explorer internet para status barra por meio do script:
Padrão de linha de base: desabilitado
Saiba mais
Persistência de dados do usuário da zona de Internet Explorer Internet:
Padrão de linha de base: desabilitado
Saiba mais
A internet Explorer internet permite que o VBscript seja executado:
Padrão de linha de base: desabilitar
Saiba mais
A internet Explorer zona da Internet não executa antimalware em controles ActiveX:
Padrão de linha de base: desabilitado
Saiba mais
Controles ActiveX assinados pela Internet Explorer zona da Internet:
Padrão da linha de base: desabilitarpadrão de linha de base: desabilitar
Saiba mais
Controles ActiveX não assinados de download de zona da Internet Explorer Internet:
Padrão de linha de base: desabilitar
Saiba mais
Filtro de script entre sites da internet Explorer internet:
Padrão de linha de base: habilitado
Saiba mais
Internet Explorer internet zone arrastar conteúdo de diferentes domínios entre janelas:
Padrão de linha de base: desabilitado
Saiba mais
Internet Explorer internet zone arrastar conteúdo de diferentes domínios dentro das janelas:
Padrão de linha de base: desabilitado
Saiba mais
Modo protegido por zona de Internet Explorer Internet:
Padrão de linha de base: Habilitar
Saiba mais
A zona da Internet Explorer Internet inclui o caminho local ao carregar arquivos no servidor:
Padrão de linha de base: desabilitado
Saiba mais
Internet Explorer internet zone initialize e script controles Active X não marcados como seguros:
Padrão de linha de base: desabilitar
Saiba mais
Permissões java da zona da Internet Explorer Internet:
Padrão da linha de base: desabilitar java
Saiba mais
Internet Explorer aplicativos e arquivos de inicialização da zona da Internet em um iframe:
Padrão de linha de base: desabilitar
Saiba mais
Opções de logon de zona da Internet Explorer Internet:
Padrão de linha de base: Prompt
Saiba mais
A internet Explorer internet navegar por janelas e quadros em diferentes domínios:
Padrão de linha de base: desabilitar
Saiba mais
Internet Explorer internet zone run .NET Framework componentes dependentes assinados com Authenticode:
Padrão de linha de base: desabilitar
Saiba mais
Aviso de segurança de zona da Internet Explorer Internet para arquivos potencialmente inseguros:
Padrão de linha de base: Prompt
Saiba mais
Bloqueador pop-up da zona da Internet Explorer Internet:
Padrão de linha de base: Habilitar
Saiba mais
A zona de intranet Explorer internet não executa antimalware em controles Active X:
Padrão de linha de base: desabilitado
Saiba mais
Internet Explorer zona de intranet inicializar e script controles Active X não marcados como seguros:
Padrão de linha de base: desabilitar
Saiba mais
Permissões java da zona de intranet Explorer Internet:
Padrão de linha de base: alta segurança
Saiba mais
A internet Explorer zona de máquina local não executar antimalware em controles Active X:
Padrão de linha de base: desabilitado
Saiba mais
Permissões java da zona de máquina local Explorer Internet:
Padrão da linha de base: desabilitar java
Saiba mais
A internet Explorer bloqueado a tela inteligente da zona da Internet:
Padrão de linha de base: habilitado.
Saiba mais
Os Explorer de Internet bloquearam as permissões java da zona de intranet:
Padrão da linha de base: desabilitar java
Saiba mais
Os Explorer de Internet bloquearam as permissões java da zona de máquina local:
Padrão da linha de base: desabilitar java
Saiba mais
A internet Explorer bloqueado a tela inteligente de zona restrita:
Padrão de linha de base: habilitado
Saiba mais
As Explorer de Internet bloquearam permissões de java de zona restrita:
Padrão de linha de base: Desabilitar Java
Saiba mais
A Internet Explorer bloqueado permissões java de zona confiável:
Padrão da linha de base: desabilitar java
Saiba mais
O Explorer da Internet processa o recurso de segurança de detecção do MIME:
Padrão de linha de base: Habilitar
Saiba mais
A Internet Explorer processa a restrição de segurança do protocolo MK:
Padrão de linha de base: habilitado
Saiba mais
Barra de notificação de processos de Explorer internet:
Padrão de linha de base: habilitado
Saiba mais
Os Explorer de Internet impedem a instalação por usuário de controles Active X:
Padrão de linha de base: habilitado
Saiba mais
A Internet Explorer processa a proteção contra a elevação da zona:
Padrão de linha de base: habilitado
Saiba mais
O botão remover Explorer Internet desta vez para controles Active X desatualizados:
Padrão de linha de base: habilitado
Saiba mais
Os processos de Explorer da Internet restringem a instalação do Active X:
Padrão de linha de base: habilitado
Saiba mais
Acesso de zona restrita Explorer Internet a fontes de dados:
Padrão de linha de base: desabilitar
Saiba mais
Script ativo de zona restrita Explorer Internet:
Padrão de linha de base: desabilitar
Saiba mais
Internet Explorer prompt automático de zona restrita para downloads de arquivos:
Padrão de linha de base: desabilitado
Saiba mais
Comportamentos binários e scripts de zona restrita Explorer Internet:
Padrão de linha de base: desabilitar
Saiba mais
Internet Explorer cópia de zona restrita e colar por meio de script:
Padrão de linha de base: desabilitar
Saiba mais
Internet Explorer arquivos de arrastar e soltar ou copiar e colar de zona restrita da Internet:
Padrão de linha de base: desabilitar
Saiba mais
Internet Explorer sites de zona restrita menos privilegiados:
Padrão de linha de base: desabilitado
Saiba mais
Internet Explorer carregamento de zona restrita de arquivos XAML:
Padrão de linha de base: desabilitar
Saiba mais
Atualização de meta de zona restrita Explorer Internet:
Padrão de linha de base: desabilitado
Saiba mais
A zona restrita Explorer Internet .NET Framework componentes dependentes:
Padrão de linha de base: desabilitado
Saiba mais
A internet Explorer zona restrita permite que apenas domínios aprovados usem controles Active X:
Padrão de linha de base: habilitado
Saiba mais
A internet Explorer zona restrita permite que apenas domínios aprovados usem controles do Active X tdc:
Padrão de linha de base: habilitado
Saiba mais
Internet Explorer script de zona restrita de controles do navegador da Web:
Padrão de linha de base: desabilitado
Saiba mais
Janelas iniciadas por script de zona restrita Explorer Internet:
Padrão de linha de base: desabilitado
Saiba mais
Scripts de zona restrita Explorer Internet:
Padrão de linha de base: desabilitado
Saiba mais
Internet Explorer tela inteligente de zona restrita:
Padrão de linha de base: habilitado
Saiba mais
Atualizações de zona restrita Explorer Internet para status barra por meio de script:
Padrão de linha de base: desabilitado
Saiba mais
Persistência de dados do usuário da zona restrita Explorer Internet:
Padrão de linha de base: desabilitado
Saiba mais
A zona restrita do Explorer internet permite que o vbscript seja executado:
Padrão de linha de base: desabilitar
Saiba mais
A zona restrita Explorer internet não executa antimalware em controles Active X:
Padrão de linha de base: desabilitado
Saiba mais
Controles Active X assinados por download de zona restrita Explorer Internet:
Padrão de linha de base: desabilitar
Saiba mais
Controles Active X não assinados de download de zona restrita Explorer Internet:
Padrão de linha de base: desabilitar
Saiba mais
Filtro de script entre sites de zona restrita Explorer Internet:
Padrão de linha de base: habilitado
Saiba mais
Internet Explorer zona restrita arrastam conteúdo de diferentes domínios entre janelas:
Padrão de linha de base: desabilitado
Saiba mais
Internet Explorer zona restrita arrastam conteúdo de diferentes domínios dentro das janelas:
Padrão de linha de base: desabilitado
Saiba mais
A zona restrita Explorer internet inclui o caminho local ao carregar arquivos no servidor:
Padrão de linha de base: desabilitado
Saiba mais
Internet Explorer inicialização de zona restrita e script controles Active X não marcados como seguros:
Padrão de linha de base: desabilitar
Saiba mais
Permissões java de zona restrita Explorer Internet:
Padrão da linha de base: desabilitar java
Saiba mais
Internet Explorer aplicativos e arquivos de inicialização de zona restrita em um iFrame:
Padrão de linha de base: desabilitar
Saiba mais
Opções de logon de zona restrita Explorer Internet:
Padrão de linha de base: Anônimo
Saiba mais
A zona restrita Explorer Internet navega por janelas e quadros em diferentes domínios:
Padrão de linha de base: desabilitar
Saiba mais
A internet Explorer zona restrita executar controles e plug-ins do Active X:
Padrão de linha de base: desabilitar.
Saiba mais
Internet Explorer execução de zona restrita .NET Framework componentes dependentes assinados com Authenticode:
Padrão de linha de base: desabilitar
Saiba mais
Internet Explorer script de zona restrita de applets java:
Padrão de linha de base: desabilitar
Saiba mais
Aviso de segurança de zona restrita Explorer Internet para arquivos potencialmente inseguros:
Padrão de linha de base: desabilitar
Saiba mais
Modo protegido por zona restrita Explorer Internet:
Padrão de linha de base: Habilitar
Saiba mais
Bloqueador pop-up de zona restrita Explorer Internet:
Padrão de linha de base: Habilitar
Saiba mais
Os processos de Explorer da Internet restringem o download de arquivos:
Padrão de linha de base: habilitado
Saiba mais
A Internet Explorer processa restrições de segurança de janela com script:
Padrão de linha de base: habilitado
Saiba mais
As zonas de segurança de Explorer internet usam apenas configurações de máquina:
Padrão de linha de base: habilitado
Saiba mais
Os Explorer da Internet usam o serviço de instalador Active X:
Padrão de linha de base: habilitado
Saiba mais
A internet Explorer zona confiável não executa antimalware em controles Active X:
Padrão de linha de base: desabilitado
Saiba mais
Internet Explorer inicialização de zona confiável e script controles Active X não marcados como seguros:
Padrão de linha de base: desabilitar
Saiba mais
Permissões java de zona confiável Explorer Internet:
Padrão de linha de base: alta segurança
Saiba mais
Internet Explorer preenchimento automático:
Padrão de linha de base: desabilitado
Saiba mais

Opções de segurança de políticas locais

Bloquear logon remoto com senha em branco:
Padrão de linha de base: Sim
Saiba mais
Minutos de inatividade da tela de bloqueio até que o protetor de tela seja ativado:
Padrão da linha de base: 15
Saiba mais
Comportamento de remoção de cartão inteligente:
Padrão de linha de base: bloquear estação de trabalho
Saiba mais
Exigir que o cliente sempre assine comunicações digitalmente:
Padrão de linha de base: Sim
Saiba mais
Impedir que os clientes enviem senhas não criptografadas para servidores SMB de terceiros:
Padrão de linha de base: Sim
Saiba mais
Exigir comunicações de assinatura digital do servidor sempre:
Padrão de linha de base: Sim
Saiba mais
Impedir a enumeração anônima de contas SAM:
Padrão de linha de base: Sim
Saiba mais
Bloquear a enumeração anônima de contas e compartilhamentos sam:
Padrão de linha de base: Sim
Saiba mais
Restringir o acesso anônimo a pipes e compartilhamentos nomeados:
Padrão de linha de base: Sim
Saiba mais
Permitir chamadas remotas para o gerenciador de contas de segurança:
Padrão da linha de base: O:BAG:BAD:(A;; RC;;; BA)
Saiba mais
Impedir o armazenamento do valor de hash do gerenciador de LAN na próxima alteração de senha:
Padrão de linha de base: Sim
Saiba mais
Nível de autenticação:
Padrão de linha de base: enviar somente resposta NTLMv2. Recusar LM e NTLM
Saiba mais
Segurança mínima da sessão para clientes baseados em SSP NTLM:
Padrão de linha de base: exigir criptografia NTLM V2 128
Saiba mais
Segurança mínima da sessão para servidores baseados em SSP NTLM:
Padrão de linha de base: exigir criptografia de NTLM V2 e 128 bits
Saiba mais
Comportamento do prompt de elevação do administrador:
Padrão da linha de base: solicitar consentimento na área de trabalho segura
Saiba mais
Comportamento de prompt de elevação de usuário padrão:
Padrão de linha de base: negar automaticamente solicitações de elevação
Saiba mais
Detectar instalações de aplicativo e prompt para elevação:
Padrão de linha de base: Sim
Saiba mais
Permitir somente aplicativos de acesso à interface do usuário para locais seguros:
Padrão de linha de base: Sim
Saiba mais
Exigir o modo de aprovação de administrador para administradores:
Padrão de linha de base: Sim
Saiba mais
Use o modo de aprovação do administrador:
Padrão de linha de base: Sim
Saiba mais
Virtualizar falhas de gravação de arquivo e registro em por localidades de usuário:
Padrão de linha de base: Sim
Saiba mais

Microsoft Defender

Impedir o Adobe Reader de criar processos filho:
Padrão de linha de base: Habilitar
Saiba mais
Bloquear a inicialização de aplicativos de comunicação do Office em um processo filho:
Padrão de linha de base: Habilitar
Saiba mais
Insira com que frequência (de 0 a 24 horas) para marcar para atualizações de inteligência de segurança
Padrão da linha de base: 4
Saiba mais
Tipo de verificação
Padrão da linha de base: verificação rápida
Saiba mais
Dia de verificação de agendamento do Defender:
Padrão da linha de base: todos os dias
Hora de início da verificação do Defender:
Padrão de linha de base: não configurado
Nível de proteção entregue pela nuvem:
Padrão de linha de base: não configurado
Saiba mais
Verificar arquivos de rede:
Padrão de linha de base: Sim
Saiba mais
Ativar a proteção em tempo real
Padrão de linha de base: Sim
Saiba mais
Examinar scripts usados em navegadores da Microsoft
Padrão de linha de base: Sim
Saiba mais
Verificar arquivos de arquivo:
Padrão de linha de base: Sim
Saiba mais
Ativar o monitoramento de comportamento:
Padrão de linha de base: Sim
Saiba mais
Ativar a proteção fornecida pela nuvem:
Padrão de linha de base: Sim
Saiba mais
Verificar mensagens de email de entrada:
Padrão de linha de base: Sim
Saiba mais
Examine as unidades removíveis durante uma verificação completa:
Padrão de linha de base: Sim
Saiba mais
Bloquear aplicativos do Office de injetar código em outros processos:
Padrão da linha de base: Bloquear
Saiba mais
Bloquear aplicativos do Office de criar conteúdo executável
Padrão da linha de base: Bloquear
Saiba mais
Bloquear todos os aplicativos do Office de criar processos filho
Padrão da linha de base: Bloquear
Saiba mais
Bloquear chamadas de API win32 da macro do Office:
Padrão da linha de base: Bloquear
Saiba mais
Bloquear a execução de scripts potencialmente ofuscados (js/vbs/ps):
Padrão da linha de base: Bloquear
Saiba mais
Bloqueie JavaScript ou VBScript de iniciar conteúdo executável baixado:
Padrão da linha de base: Bloquear
Saiba mais
Bloquear o download de conteúdo executável de clientes de email e webmail:
Padrão da linha de base: Bloquear
Saiba mais
Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe):
Padrão de linha de base: Habilitar
Saiba mais
Ação de aplicativo potencialmente indesejada do Defender:
Padrão da linha de base: Bloquear
Saiba mais
Bloquear processos não confiáveis e não assinados que são executados a partir de USB:
Padrão da linha de base: Bloquear
Saiba mais
Habilitar a proteção de rede:
Padrão de linha de base: Habilitar
Saiba mais
Tipo de consentimento de envio de exemplo do Defender:
Padrão de linha de base: enviar amostras seguras automaticamente
Saiba mais

Impedir o Adobe Reader de criar processos filho:
Padrão de linha de base: Habilitar
Saiba mais
Bloquear a inicialização de aplicativos de comunicação do Office em um processo filho:
Padrão de linha de base: Habilitar
Saiba mais
Insira com que frequência (de 0 a 24 horas) para marcar para atualizações de inteligência de segurança
Padrão da linha de base: 4
Saiba mais
Tipo de verificação
Padrão da linha de base: verificação rápida
Saiba mais
Dia de verificação de agendamento do Defender:
Padrão da linha de base: todos os dias
Nível de proteção entregue pela nuvem:
Padrão de linha de base: não configurado
Saiba mais
Verificar arquivos de rede:
Padrão de linha de base: Sim
Saiba mais
Ativar a proteção em tempo real
Padrão de linha de base: Sim
Saiba mais
Examinar scripts usados em navegadores da Microsoft
Padrão de linha de base: Sim
Saiba mais
Verificar arquivos de arquivo:
Padrão de linha de base: Sim
Saiba mais
Ativar o monitoramento de comportamento:
Padrão de linha de base: Sim
Saiba mais
Ativar a proteção fornecida pela nuvem:
Padrão de linha de base: Sim
Saiba mais
Verificar mensagens de email de entrada:
Padrão de linha de base: Sim
Saiba mais
Examine as unidades removíveis durante uma verificação completa:
Padrão de linha de base: Sim
Saiba mais
Bloquear aplicativos do Office de injetar código em outros processos:
Padrão da linha de base: Bloquear
Saiba mais
Bloquear aplicativos do Office de criar conteúdo executável
Padrão da linha de base: Bloquear
Saiba mais
Bloquear todos os aplicativos do Office de criar processos filho
Padrão da linha de base: Bloquear
Saiba mais
Bloquear chamadas de API win32 da macro do Office:
Padrão da linha de base: Bloquear
Saiba mais
Bloquear a execução de scripts potencialmente ofuscados (js/vbs/ps):
Padrão da linha de base: Bloquear
Saiba mais
Bloqueie JavaScript ou VBScript de iniciar conteúdo executável baixado:
Padrão da linha de base: Bloquear
Saiba mais
Bloquear o download de conteúdo executável de clientes de email e webmail:
Padrão da linha de base: Bloquear
Saiba mais
Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe):
Padrão de linha de base: Habilitar
Saiba mais
Ação de aplicativo potencialmente indesejada do Defender:
Padrão da linha de base: Bloquear
Saiba mais
Bloquear processos não confiáveis e não assinados que são executados a partir de USB:
Padrão da linha de base: Bloquear
Saiba mais
Habilitar a proteção de rede:
Padrão de linha de base: Habilitar
Saiba mais
Tipo de consentimento de envio de exemplo do Defender:
Padrão de linha de base: enviar amostras seguras automaticamente
Saiba mais

Guia de Segurança ms

Configuração de início do driver de cliente do SMB v1:
Padrão de linha de base: driver desabilitado
Saiba mais
Aplicar restrições de UAC a contas locais no logon de rede:
Padrão de linha de base: habilitado
Saiba mais
Proteção de substituição de exceção estruturada:
Padrão de linha de base: habilitado
Saiba mais
Servidor SMB v1:
Padrão de linha de base: desabilitado
Saiba mais
Autenticação de digestão:
Padrão de linha de base: desabilitado
Saiba mais

MSS Legacy

Nível de proteção de roteamento de origem IPv6 de rede:
Padrão de linha de base: proteção mais alta
Saiba mais
Nível de proteção de roteamento de origem ip de rede:
Padrão de linha de base: proteção mais alta
Saiba mais
A rede ignora as solicitações de versão de nome do NetBIOS, exceto dos servidores WINS:
Padrão de linha de base: habilitado
Saiba mais
Redirecionamentos de ICMP de rede substituem rotas geradas pelo OSPF:
Padrão de linha de base: desabilitado
Saiba mais

Power

Exigir senha na ativação durante a bateria:
Padrão de linha de base: habilitado
Saiba mais
Exigir senha no wake enquanto estiver conectado:
Padrão de linha de base: habilitado
Saiba mais
Estado de espera ao dormir durante a bateria:
Padrão de linha de base: desabilitado
Saiba mais
Estado de espera ao dormir enquanto está conectado:
Padrão de linha de base: desabilitado
Saiba mais

Assistência Remota

Assistência Remota solicitada:
Padrão de linha de base: desabilitar assistência remota
Saiba mais

Serviços de Área de Trabalho Remota

Nível de criptografia de conexão do cliente dos serviços de área de trabalho remota:
Padrão de linha de base: alto
Saiba mais
Redirecionamento da unidade de bloco:
Padrão de linha de base: habilitado
Bloquear a economia de senha:
Padrão de linha de base: habilitado
Saiba mais
Solicitar senha após a conexão:
Padrão de linha de base: habilitado
Saiba mais
Comunicação RPC segura:
Padrão de linha de base: habilitado
Saiba mais

Gerenciamento Remoto

Bloquear a autenticação de digestão do cliente:
Padrão de linha de base: habilitado
Saiba mais
Bloquear a execução de armazenamento como credenciais:
Padrão de linha de base: habilitado
Saiba mais
Autenticação básica do cliente:
Padrão de linha de base: desabilitado
Saiba mais
Autenticação básica:
Padrão de linha de base: desabilitado
Saiba mais
Tráfego não criptografado do cliente:
Padrão de linha de base: desabilitado
Saiba mais
Tráfego não criptografado:
Padrão de linha de base: desabilitado
Saiba mais

Chamada de Procedimento Remoto

Opções de cliente não autenticadas do RPC:
Padrão de linha de base: autenticado
Saiba mais

Pesquisar

Desabilitar a indexação de itens criptografados:
Padrão de linha de base: Sim
Saiba mais

Tela Inteligente

Ativar o Windows SmartScreen
Padrão de linha de base: Sim
Saiba mais
Impedir que os usuários ignorem avisos do SmartScreen
Padrão de linha de base: Sim
Saiba mais

Sistema

Inicialização do driver de inicialização do sistema:
Padrão de linha de base: bom desconhecido e crítico ruim
Saiba mais

Wi-Fi

Bloquear a conexão automática com Wi-Fi hotspots:
Padrão de linha de base: Sim
Saiba mais
Bloquear o compartilhamento da Internet:
Padrão de linha de base: Sim
Saiba mais

Windows Gerenciador de Conexões

Bloquear a conexão com redes que não são de domínio:
Padrão de linha de base: habilitado
Saiba mais

Espaço de Trabalho do Windows Ink

Espaço de Trabalho de Tinta:
Padrão de linha de base: habilitado
Saiba mais

Windows PowerShell

Log de blocos de script do PowerShell:
Padrão de linha de base: habilitado
Saiba mais

Lista das configurações na linha de base de segurança do MDM do Windows no Intune

Modelos administrativos

> personalização Painel de Controle

Guia de Segurança ms

MSS (Herdado)

Cliente DNS de rede >

Rede > Connections

Provedor de > Rede

Rede > Windows Gerenciador de Conexões

Impressoras

Iniciar notificações de menu e barra > de tarefas

Delegação de Credenciais do Sistema >

Restrições de instalação do dispositivo de instalação > do dispositivo do sistema >

Antimalware de inicialização antecipada do sistema >

Sistema > Política de Grupo

Configurações do System > Internet Communication Management > Internet Communication

Autoridade de Segurança Local do Sistema >

Configurações de sono do Gerenciamento de > Energia do Sistema >

Assistência Remota do Sistema >

Chamada de procedimento remoto do sistema >

Tempo de execução do aplicativo de componentes > do Windows

Políticas de Reprodução Automática de Componentes > do Windows

Unidades de dados fixas de criptografia > de unidade bitlocker de componentes > do Windows

Unidades de dados removíveis de criptografia > de unidade do Windows Components > BitLocker

Interface do usuário de credencial de componentes > do Windows

Aplicativo do Serviço > de Log de Eventos dos Componentes > do Windows

Segurança do Serviço > de Log de Eventos dos Componentes > do Windows

Sistema de Serviço > de Log de Eventos dos Componentes > do Windows

Componentes > do Windows Explorador de Arquivos

Página Avançada Painel de Controle Da Internet Explorer > Internet > dos Componentes > do Windows

Internet Explorer Internet dos > Componentes > do Windows Painel de Controle

> Internet Explorer Internet Explorer > Internet Painel de Controle > Internet Page > Internet Zone

Página de segurança de Painel de Controle > da Internet Explorer > Internet dos Componentes > do Windows

> Internet Explorer Internet Explorer > Internet Painel de Controle > Zona intranet da página > de segurança

Windows Components > Internet Explorer > Internet Painel de Controle > Security Page > Local Machine Zone

Internet Explorer Internet dos Componentes > do Windows Painel de Controle > Zona > da > Internet bloqueada

Internet dos Componentes > do Windows Explorer > Internet Painel de Controle > Zona > de Intranet bloqueada

Internet dos Componentes > do Windows Explorer > Internet Painel de Controle > Página > de Segurança Bloqueada Zona do Computador Local

Internet Explorer Internet dos Componentes > do Windows Painel de Controle > Zona > de Sites Restritos Bloqueada >

Internet Explorer Internet dos Componentes > do Windows Painel de Controle > Zona > de Sites Confiáveis Bloqueada >

Internet Explorer Internet dos Componentes > do Windows Painel de Controle > Zona de Sites Restritos da Página >> de Segurança

Internet Explorer Internet Painel de Controle >> Zona de Sites Confiáveis da Página > de Segurança dos Componentes > do Windows

Explorer de Internet de Componentes > do Windows

Gerenciamento de suplementos de recursos > de segurança Explorer > Internet dos Componentes > do Windows

Recursos de segurança de Explorer > da Internet dos Componentes > do Windows

Componentes > do Windows Internet Explorer > recursos de > segurança consistentes de tratamento de mime

Recursos > de segurança de Explorer > da Internet dos Componentes > do Windows Mime

Restrição de segurança de protocolo MK dos recursos > de segurança de Explorer > internet dos componentes > do Windows

Barra de notificação de recursos > de segurança Explorer > Internet dos Componentes > do Windows

Componentes > do Windows Internet Explorer > recursos > de segurança proteção contra elevação de zona

Recursos > de segurança de Explorer > da Internet dos componentes > do Windows restringem a instalação do ActiveX

Componentes > do Windows Internet Explorer > Recursos > de segurança restringem o download de arquivos

Restrições > de segurança com script de recursos > de segurança de Explorer > internet dos componentes do Windows

Componentes do Windows Microsoft Defender Mapas > antivírus >

Componentes > do Windows Microsoft Defender Proteção antivírus > em tempo real

Verificação de antivírus > Microsoft Defender componentes > do Windows

Componentes > do Windows Microsoft Defender Antivírus

Cliente de conexão de área de trabalho remota dos Serviços > de Área de Trabalho Remota dos Componentes > do Windows

Dispositivo e redirecionamento de recursos do Windows Components > Remote Desktop Services > Remote Desktop >

Segurança do Host > de Sessão da Área de Trabalho Remota dos Serviços > de Área de Trabalho Remota dos Componentes > do Windows

Feeds RSS de componentes > do Windows

Opções de logon do Windows Components > Windows

Componentes > do Windows Windows PowerShell

Cliente WinRM (Gerenciamento Remoto) > do Windows Components >

Serviço WinRM (Gerenciamento Remoto) > do Windows Components >

Auditoria

Navegador

Proteção de Dados

Defender

Device Guard

Bloqueio de Dispositivo

Dma Guard

Experiência

Firewall

Estação de Trabalho Lanman

Opções de segurança de políticas locais

Autoridade de segurança local

Microsoft App Store

Microsoft Edge

Configurações do SmartScreen