Microsoft Defender para definições de linha de base de Endpoint para Intune

  • Artigo
  • 42 minutos para ler

Consulte o Microsoft Defender para as definições de linha de base endpoint que são suportadas por Microsoft Intune. As predefinições do Microsoft Defender para endpoint representam a configuração recomendada para Defender para Endpoint e podem não corresponder às padrãos de base de base para outras linhas de base de segurança.

Microsoft Defender para linha de base Endpoint para dezembro de 2020 - versão 6

Microsoft Defender para linha de base Endpoint para setembro de 2020 - versão 5

Microsoft Defender para linha de base Endpoint para abril de 2020 - versão 4

Esta versão da linha de base de segurança substitui as versões anteriores. Os perfis criados antes da disponibilidade desta versão de linha de base:

  • São agora só de leitura. Poderá continuar a utilizar esses perfis, mas não os poderá editar para alterar a configuração.
  • Podem ser atualizados para a versão mais recente. Depois de atualizar para a versão atual da linha de base, pode editar o perfil para modificar as definições.

Para compreender o que mudou com esta versão da linha de base relativamente às versões anteriores, utilize a ação Comparar linhas de base disponível no painel Versões desta linha de base. Selecione a versão da linha de base que quer ver.

Para atualizar um perfil de linha de base de segurança para a versão mais recente dessa linha de base, veja Alterar a versão de linha de base de um perfil.

Microsoft Defender para linha de base Endpoint para março de 2020 - versão 3
Esta versão da linha de base de segurança substitui as versões anteriores. Os perfis criados antes da disponibilidade desta versão de linha de base:

  • São agora só de leitura. Poderá continuar a utilizar esses perfis, mas não os poderá editar para alterar a configuração.
  • Podem ser atualizados para a versão mais recente. Depois de atualizar a versão de linha de base atual, poderá editar o perfil para modificar as definições.

Para compreender o que mudou com esta versão da linha de base relativamente às versões anteriores, utilize a ação Comparar linhas de base disponível no painel Versões desta linha de base. Selecione a versão da linha de base que quer ver.

Para atualizar um perfil de linha de base de segurança para a versão mais recente dessa linha de base, veja Alterar a versão de linha de base de um perfil.

O Microsoft Defender para linha de base Endpoint está disponível quando o seu ambiente cumpre os requisitos para a utilização do Microsoft Defender para o Endpoint.

Esta linha de base é otimizada para dispositivos físicos e não é recomendada para utilização em máquinas virtuais (VMs) ou pontos finais VDI. Certas definições de base podem ter impacto em sessões interativas remotas em ambientes virtualizados. Para obter mais informações, consulte Aumentar a conformidade com o Microsoft Defender para a linha de base de segurança Endpoint na documentação Windows.

Regras de redução de superfície de ataque

Para saber mais, consulte as regras de redução de superfície de ataque na documentação do Microsoft Defender para Endpoint.

Fusão de comportamento para regras de redução de superfície de ataque em Intune:

As regras de redução de superfície de ataque suportam uma fusão de configurações de diferentes políticas, para criar um superconjunto de política para cada dispositivo. Apenas as configurações que não estão em conflito são fundidas, enquanto as que estão em conflito não são adicionadas ao superconjunto de regras. Anteriormente, se duas políticas incluíssem conflitos para um único cenário, ambas as políticas eram sinalizadas como estando em conflito, e não seriam implementadas definições de qualquer um dos perfis.

O comportamento de fusão da regra de redução de superfície de ataque é o seguinte:

  • As regras de redução da superfície de ataque a partir dos seguintes perfis são avaliadas para cada dispositivo que as regras se aplicam:
    • Dispositivos > Política de configuração > perfil de proteção de ponto final > Microsoft Defender Exploit Guard > redução de superfície de ataque
    • Segurança endpoint > Política de redução de superfície de ataque > regras de redução de superfície de ataque
    • Linhas de base de segurança > de segurança de ponto final > Microsoft Defender para regras de redução de superfície de > de ataque de endpoint.
  • Definições que não tenham conflitos são adicionados a um superconjunto de política para o dispositivo.
  • Quando duas ou mais políticas têm configurações conflituosas, as definições conflituosas não são adicionadas à política combinada, enquanto as configurações que não entram em conflito são adicionadas à política de superconjunto que se aplica a um dispositivo.
  • Apenas as configurações para configurações conflituosas são retidas.

Definições neste perfil:

  • Bloqueie Office aplicações de comunicação da criação de processos infantis
    Regra asr: 26190899-1602-49e8-8b27-eb1d0a1ce869

    • Ativar (predefinição) - Office aplicações de comunicação estão bloqueadas da criação de processos infantis.
    • Não configurado - Devolva a definição a Windows predefinido, que está desligado.
    • Utilizador definido
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

  • Bloquear o Adobe Reader de criar processos infantis
    Regra asr: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

    • Ativar (predefinido) - O Adobe Reader está bloqueado na criação de processos infantis.
    • Não configurado - Devolva a definição a Windows predefinido, que está desligado.
    • Utilizador definido
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

  • Bloquear aplicações Office de injetar código em outros processos
    Regra asr: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • Bloco (predefinido) - Office aplicações estão bloqueadas de injetar código noutros processos.
    • Não configurado - Devolva a definição a Windows predefinido, que está desligado.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

  • Bloquear Office aplicações de criação de conteúdo executável
    Regra asr: 3B576869-A4EC-4529-8536-B80A7769E899

    • Bloquear (predefinição) - Office aplicações não estão autorizadas a criar conteúdo executável.
    • Não configurado - Devolva a definição a Windows predefinido, que está desligado.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

  • Bloquear JavaScript ou VBScript de lançar conteúdo executável descarregado
    Regra da ASR: D3E037E1-3EB8-44C8-A917-57927947596D

    • Bloco (padrão)
    • Não configurado - Devolva a definição a Windows predefinido, que está desligado.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

  • Permitir a proteção da rede
    CSP: Defender/EnableNetworkProtection

    • Ativar (predefinição)
    • Não configurado - Devolva a definição a Windows predefinido, que está desligado.
    • Utilizador definido
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

  • Bloquear processos não assinados e não assinados que vão a partir de USB
    Regra asr: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • Bloco (predefinido) - Os processos não assinados/não assinados que executam a partir de uma unidade USB estão bloqueados.
    • Não configurado - Devolva a definição a Windows predefinido, que está desligado.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

  • Roubo de credenciais de bloco do subsistema da autoridade de segurança local Windows (lsass.exe)
    Regra asr: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • Ativar (predefinição) - As tentativas de roubar credenciais através de lsass.exe estão bloqueadas.
    • Não configurado - Devolva a definição a Windows predefinido, que está desligado.
    • Utilizador definido
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

  • Bloquear transferência de conteúdo executável de clientes de email e webmail
    Regra asr: BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550

    • Bloco (predefinido) - O conteúdo executável descarregado a partir de clientes de email e webmail está bloqueado.
    • Não configurado - Devolva a definição a Windows predefinido, que está desligado.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

  • Bloqueie todas as aplicações Office da criação de processos infantis
    Regra asr: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • Bloquear (predefinição) - Office aplicações estão impedidas de criar processos infantis. As aplicações bloqueadas incluem Word, Excel, PowerPoint, OneNote e Access.
    • Não configurado - Devolva a definição a Windows predefinido, que está desligado.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

  • Execução de blocos de scripts potencialmente obfuscados (js/vbs/ps)
    Regra asr: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • Bloco (predefinido) - O Defender bloqueia a execução de scripts obfuscados.
    • Não configurado - Devolva a definição a Windows predefinido, que está desligado.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

  • Bloqueie as chamadas da API do Bloco Win32 a partir de Office macro
    Regra asr: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDC7B

    • Bloquear (predefinição) - Office macro's estão bloqueados de utilizar chamadas API Win32.
    • Não configurado - Devolva a definição a Windows predefinido, que está desligado.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

Guarda de Aplicação

Para obter mais informações, consulte o WindowsDefenderApplicationGuard CSP na documentação Windows.

Ao usar Microsoft Edge, Microsoft Defender Application Guard protege o seu ambiente de sites que não são de confiança da sua organização. Quando os utilizadores visitam sites que não estão listados no limite isolado da rede, os sites abrem numa sessão de navegação virtual Hyper-V. Os sites fidedignos são definidos por um limite de rede.

  • Ligue a Guarda de Aplicações para Aresta (Opções)
    CSP: Definições/AllowWindowsDefenderApplicationGuard

    • Ativado para Edge (predefinido)- A App Guard abre sites não aprovados num recipiente de navegação virtualizado Hiper-V.
    • Não configurado - Qualquer site (confiável e desconfiado) abre no dispositivo e não num recipiente virtualizado.

    Quando definido para Ativar para o Edge, pode configurar conteúdo externo do Bloco a partir de sites não aprovados pela empresa e do comportamento da Pasta.

    • Bloquear conteúdo externo de sites aprovados não empresariais
      CSP: Definições/BlockNonEnterpriseContent

      • Sim (predefinição)- Bloqueie o conteúdo de sites não aprovados a partir do carregamento.
      • Não configurado - Sites não empresariais podem abrir no dispositivo

    • Comportamento da prancheta
      CSP: Definições/ClipboardSettings

      Escolha quais as ações de cópia e pasta permitidas entre o PC local e o navegador virtual Da Guarda de Aplicações. As opções incluem:

      • Não configurado
      • Bloquear cópia e pasta entre PC e browser (padrão)- Bloqueie ambos. Os dados não podem ser transferidos entre o PC e o navegador virtual.
      • Permitir copiar e colar apenas do navegador para PC - Os dados não podem ser transferidos do PC para o navegador virtual.
      • Permitir copiar e colar apenas de PC para navegador - Os dados não podem ser transferidos do navegador virtual para o PC anfitrião.
      • Permitir copiar e colar entre PC e browser - Não existe nenhum bloqueio para o conteúdo.

  • política de isolamento de rede Windows
    CSP: Política CSP - NetworkIsolation

    Especifique uma lista de domínios de Rede, que são recursos da Enterprise que estão hospedados na nuvem que a Application Guard trata como sites empresariais

    • Configure (padrão)
    • Não configurado

    Quando definido para Configurar, pode então definir domínios de rede.

    • Domínios de rede
      Selecione Adicionar e especificar domínios, intervalos de endereços IP e limites de rede. Por predefinição, securitycenter.windows.com está configurado.

BitLocker

Para obter mais informações, as definições de Política do Grupo BitLocker na documentação Windows.

  • Exigir cartões de armazenamento para ser encriptado (apenas para dispositivos móveis)
    CSP: RequertorageCardEncrycryption

    Esta definição aplica-se apenas aos dispositivos SKU Windows Mobile e Mobile Enterprise.

    • Sim (predefinição)- A encriptação nos cartões de armazenamento é necessária para dispositivos móveis.
    • Não configurado - A definição retorna ao padrão de SISTEMA, que é não requerer encriptação do cartão de armazenamento.

    Nota

    O apoio à Windows 10 Mobile e Windows Phone 8,1 terminou em agosto de 2020.

  • Standby afirma quando dorme enquanto está na bateria CSP: Power/StandbyTimeoutOnBattery

    Esta definição de política gere se Windows pode ou não usar estados de espera ao colocar o computador em estado de sono.

    • Desativado (padrão) - Estados de espera (S1-S3) não são permitidos.
    • Ativado - Windows usa estados de espera para colocar o computador em estado de sono.
    • Não configurado - O mesmo comportamento que ativado.

  • Estados de espera ao dormir enquanto ligado
    CSP: Power/StandbyTimeoutPluggedIn

    Esta definição de política gere se Windows pode usar estados de espera ao colocar o computador em estado de sono.

    • Desativado (padrão) - Estados de espera (S1-S3) não são permitidos.
    • Ativado - Windows usa estados de espera para colocar o computador em estado de sono.
    • Não configurado - O mesmo comportamento que ativado.

  • Ativar a encriptação completa do disco para os unidades de dados fixas e de soss ou de dados fixos
    CSP: RequeradeviceEncrição

    Se a unidade foi encriptada antes desta política aplicada, não são tomadas medidas adicionais. Se o método de encriptação e as opções corresponderem à desta política, a configuração deverá devolver o sucesso. Se uma opção de configuração BitLocker no local não corresponder a esta política, a configuração provavelmente retornará um erro.

    Para aplicar esta política a um disco já encriptado, desencriptar a unidade e reaplicar a política do MDM. Windows padrão é não exigir encriptação de unidade BitLocker, no entanto, no registo de Ad Join e Microsoft Account (MSA) pode aplicar-se a encriptação automática de 128 bits do BitLocker.

    • Sim (predefinição)- Imponha o uso do BitLocker.
    • Não configurado - Não há aplicação bitLocker.

  • Política de unidade do sistema BitLocker
    Definições de política de grupo BitLocker

    • Configure (padrão)
    • Não configurado

    Quando definido para Configurar, pode então configurar as seguintes definições:

  • Autenticação de arranque necessária
    CSP: SystemDrivesRequireStartupAuthentication

    • Sim (predefinido) - Pode configurar os requisitos de autenticação adicionais no arranque do sistema, incluindo a utilização dos requisitos de Plataforma Fidedigna (TPM) ou PIN de arranque:

    • Não configurado

      • PIN de arranque TPM compatível
        CSP: SystemDrivesRequireStartupAuthentication Esta definição está disponível quando a autenticação necessária para o Arranque está definida para Sim.

        • Bloqueado - Bloqueie a utilização de um PIN.
        • Obrigatório - Exija que o BitLocker tenha um PIN e TPM presentes para devolver o sucesso. Para cenários de ativação silenciosa (incluindo Autopilot) esta definição não pode ser bem sucedida, uma vez que é necessária uma interação do utilizador. Recomenda-se que o PIN seja desativado onde é necessária uma ativação silenciosa do BitLocker.
        • Permitido (predefinido) - Ative o BitLocker utilizando o TPM se estiver presente e permita que um PIN de arranque seja configurado pelo utilizador.
        • Não configurado

      • Chave de arranque TPM compatível
        CSP: SystemDrivesRequireStartupAuthentication Esta definição está disponível quando a autenticação necessária para o Arranque está definida para Sim.

        • Bloqueado - Bloqueie o uso de chaves de arranque.
        • Obrigatório (predefinido) - Exija que o BitLocker tenha uma chave de arranque e TPM presente para ativar o BitLocker. Para cenários de ativação silenciosa (incluindo Autopilot) esta definição não pode ser bem sucedida, uma vez que é necessária uma interação do utilizador. Recomenda-se que as teclas de arranque sejam desativadas onde é necessária uma ativação silenciosa do BitLocker.
        • Permitido - Ativar o BitLocker utilizando o TPM se estiver presente e permitir que uma chave de arranque (como uma unidade USB) esteja presente para desbloquear as unidades.
        • Não configurado (padrão)

      • Desative o BitLocker em dispositivos onde o TPM é incompatível
        CSP: SystemDrivesRequireStartupAuthentication Esta definição está disponível quando a autenticação necessária para o Arranque está definida para Sim.

        • Sim (predefinido) - Desative o BitLocker de ser configurado sem um chip TPM compatível. Esta definição pode ser útil para testes, mas não é sugerido para ativar BitLocker sem um TPM. Se não houver TPM presente, o BitLocker necessitará de uma palavra-passe ou unidade USB para arranque. Esta definição só se aplica quando ativar primeiro o BitLocker. Se o BitLocker já estiver ativado antes de aplicar esta definição, não terá qualquer efeito.
        • Não configurado

  • Configure o método de encriptação para unidades do Sistema Operativo
    CSP: EncriptaçãoMethodByDriveType
    Esta definição está disponível quando a política de unidade do sistema BitLocker estiver definida para configurar.

    Configure o método de encriptação e a força de cifra para as unidades do sistema. XTS- AES 128-bit é o método de encriptação padrão Windows e o valor recomendado.

    • Não configurado (padrão)
    • AES 128bit CBC
    • AES 256bit CBC
    • AES 128bit XTS
    • AES 256bit XTS

  • Política de unidade fixa BitLocker
    Definições de política de grupo BitLocker

    • Configure (padrão)
    • Não configurado

    Quando definido para Configurar, pode então configurar o bloqueio escrever o acesso a unidades de dados fixas não protegidas pelo método de encriptação BitLocker e Configure para unidades de dados fixas.

    • Bloquear escrever acesso a unidades de dados fixas não protegidas pelo BitLocker
      CSP: FixedDrivesRequireEncryption
      Esta definição está disponível quando a política de unidade fixa bitLocker estiver definida para configurar.

      • Não configurados - Os dados podem ser escritos para unidades fixas não encriptadas.
      • Sim (padrão)- Windows não permitirá que quaisquer dados sejam escritos para unidades fixas que não estejam protegidas pelo BitLocker. Se uma unidade fixa não estiver encriptada, o utilizador terá de completar o assistente de configuração BitLocker para a unidade antes de ser concedido o acesso à escrita.

    • Configure o método de encriptação para unidades de dados fixas
      CSP: EncriptaçãoMethodByDriveType
      Esta definição está disponível quando a política de unidade fixa bitLocker estiver definida para configurar.

      Configure o método de encriptação e a força de cifra para discos de unidades de dados fixos. XTS- AES 128-bit é o método de encriptação padrão Windows e o valor recomendado.

      • Não configurado
      • AES 128bit CBC
      • AES 256bit CBC
      • AES 128bit XTS (padrão)
      • AES 256bit XTS

  • Política de unidade amovível BitLocker
    Definições de política de grupo BitLocker

    • Configure (padrão)
    • Não configurado

    Quando definido para Configurar, pode então configurar o método de encriptação Configure para unidades de dados amovíveis e bloquear o acesso a unidades de dados amovíveis não protegidas pelo BitLocker.

    • Configure o método de encriptação para unidades de dados amovíveis
      CSP: EncriptaçãoMethodByDriveType
      Esta definição está disponível quando a política de unidade amovível bitLocker estiver definida para configurar.

      Configure o método de encriptação e a força de cifra para discos de unidades de dados amovíveis. XTS- AES 128-bit é o método de encriptação padrão Windows e o valor recomendado.

      • Não configurado
      • AES 128bit CBC (padrão)
      • AES 256bit CBC
      • AES 128bit XTS
      • AES 256bit XTS

    • Bloquear escrever acesso a unidades de dados amovíveis não protegidas pelo BitLocker
      CSP: RemovableDrivesRequireEncryption
      Esta definição está disponível quando a política de unidade amovível bitLocker estiver definida para configurar.

      • Não configurados (predefinido)- Os dados podem ser escritos para unidades amovíveis não encriptadas.
      • Sim - Windows não permitirá que quaisquer dados sejam escritos para unidades amovíveis que não estejam protegidas pelo BitLocker. Se uma unidade amovível não estiver encriptada, o utilizador deve completar o assistente de configuração BitLocker para a unidade antes de ser concedido o acesso à escrita.

Browser

  • Requerer SmartScreen para Microsoft Edge
    CSP: Browser/AllowSmartScreen

    • Sim (padrão)- Utilize o SmartScreen para proteger os utilizadores de potenciais esquemas de phishing e software malicioso.
    • Não configurado

  • Bloquear acesso ao site malicioso
    CSP: Browser/PreventSmartScreenPromptOverride

    • Sim (predefinição)- Bloqueie os utilizadores de ignorar os avisos Microsoft Defender SmartScreen Filter e bloqueie-os de ir ao local.
    • Não configurado

  • Bloquear transferência de ficheiros não verificados
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • Sim (predefinição)- Bloqueie os utilizadores de ignorar os avisos Microsoft Defender SmartScreen Filter e bloqueie-os de descarregar ficheiros não verificados.
    • Não configurado

Proteção de Dados

  • Bloquear o acesso à memória direta
    CSP: DataProtection/AllowDirectMemoryAccess

    Esta definição de política só é aplicada quando a encriptação bitLocker ou dispositivo estiver ativada.

    • Sim (predefinido)- Bloqueie o acesso direto à memória (DMA) para todas as portas PCI a jusante pluggáveis quentes até que um utilizador faça login em Windows. Após o início de sessão do utilizador, Windows enumera os dispositivos PCI ligados às portas PCI da ficha hospedeira. Sempre que o utilizador bloqueia a máquina, o DMA fica bloqueado nas portas PCI de ficha quente sem dispositivos infantis até que o utilizador volte a entrar. Os dispositivos que já estavam enumerados quando a máquina foi desbloqueada continuarão a funcionar até serem desligados.
    • Não configurado

Guarda do Dispositivo

  • Ligue a guarda credencial
    CSP: DeviceGuard/ConfigureSystemGuardLaunch

    A Credencial Guard utiliza Windows Hypervisor para fornecer proteções, o que requer proteções Secure Boot e DMA para funcionar, o que requer que os requisitos de hardware sejam cumpridos.

    • Não configurado
    • Ativar com o bloqueio UEFI (predefinido)- Ativar a Proteção Credencial e não permitir que seja desativada remotamente, uma vez que a configuração persistiu UEFI deve ser limpa manualmente.
    • Ative sem o bloqueio UEFI - Ative a Proteção Credencial e deixe-a ser desligada sem acesso físico à máquina.
    • Desativar - Desativar a utilização da Proteção Credencial, que é o Windows padrão.

Instalação do dispositivo

  • Instalação de dispositivos de hardware por identificadores de dispositivos
    Instalação de dispositivos/Instalação preventivaOfMatchingDeviceIDs

    Esta definição de política permite especificar uma lista de IDs de hardware Plug and Play e iDs compatíveis para dispositivos que Windows está impedido de instalar. Esta definição de política tem precedência sobre qualquer outra definição de política que permita a instalação de um dispositivo Windows. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta a reorientação dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.

    • Não configurado
    • Permitir a instalação de dispositivos de hardware - Os dispositivos podem ser instalados e atualizados conforme permitido ou impedido por outras definições de política.
    • Bloquear a instalação do dispositivo de hardware (predefinido)- Windows está impedido de instalar um dispositivo cujo ID de hardware ou ID compatível apareça numa lista que define.

    Quando definido para bloquear a instalação do dispositivo de hardware, pode configurar remover os dispositivos de hardware correspondentes e os identificadores de dispositivos de hardware que estão bloqueados.

    • Remover dispositivos de hardware correspondentes

      Esta definição só está disponível quando a instalação de dispositivos de hardware por identificadores de dispositivos estiver definida para bloquear a instalação do dispositivo de hardware.

      • Sim (padrão)
      • Não configurado

    • Identificadores de dispositivos de hardware que estão bloqueados

      Esta definição só está disponível quando a instalação de dispositivos de hardware por identificadores de dispositivos estiver definida para bloquear a instalação do dispositivo de hardware.

      Selecione Adicionar e, em seguida, especifique o identificador de dispositivos de hardware que pretende bloquear.

  • Instalação de dispositivos de hardware por classes de configuração
    CSP: Instalação de dispositivos/Instalação de AdmissãoOfMatchingDeviceSetupClasses

    Esta definição de política permite especificar uma lista de identificadores de configuração de dispositivos globalmente exclusivos (GUIDs) para controladores de dispositivos que Windows está impedido de instalar. Esta definição de política tem precedência sobre qualquer outra definição de política que permita a instalação de um dispositivo Windows. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta a reorientação dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.

    • Não configurado
    • Permitir a instalação de dispositivos de hardware - Windows podem instalar e atualizar dispositivos conforme permitido ou impedido por outras definições de política.
    • Bloquear a instalação do dispositivo de hardware (predefinido)- Windows está impedido de instalar um dispositivo cuja classe de configuração GUIDs apareça numa lista que define.

    Quando definido para bloquear a instalação do dispositivo de hardware, pode configurar remover os dispositivos de hardware correspondentes e os identificadores de dispositivos de hardware que estão bloqueados.

    • Remover dispositivos de hardware correspondentes

      Esta definição só está disponível quando a instalação de dispositivos de hardware por identificadores de dispositivos estiver definida para bloquear a instalação do dispositivo de hardware.

      • Sim
      • Não configurado (padrão)

    • Identificadores de dispositivos de hardware que estão bloqueados

      Esta definição só está disponível quando a instalação de dispositivos de hardware por identificadores de dispositivos estiver definida para bloquear a instalação do dispositivo de hardware.

      Selecione Adicionar e, em seguida, especifique o identificador de dispositivos de hardware que pretende bloquear.

  • Bloquear a instalação do dispositivo de hardware por classes de configuração:
    Esta definição de política permite especificar uma lista de identificadores de configuração de dispositivos globalmente exclusivos (GUIDs) para controladores de dispositivos que Windows está impedido de instalar. Esta definição de política tem precedência sobre qualquer outra definição de política que permita a instalação de um dispositivo Windows. Se bloquear a instalação, Windows está impedida de instalar ou atualizar os controladores do dispositivo cujas GUIDs da classe de configuração do dispositivo aparecem na lista que cria. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta a reorientação dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto. Se permitir a instalação, Windows podem instalar e atualizar dispositivos conforme permitido ou impedido por outras definições de política.
    Saiba mais

    Padrão: Sim

    Quando sim é selecionado, as seguintes definições estão disponíveis.

    • Remova os dispositivos de hardware correspondentes:
      Esta definição só está disponível quando a instalação do dispositivo de hardware do Bloco por classes de configuração estiver definida como Sim.

      Padrão: Sim

    • Lista de blocos Gerencie uma lista de identificadores globalmente exclusivos para dispositivos que para os condutores de dispositivos que Windows está impedido de instalar.

Guarda DMA

  • Enumeração de dispositivos externos incompatíveis com a Proteção DMA kernel
    CSP: DmaGuard/DeviceEnumerationPolicy

    Esta política pode fornecer segurança adicional contra dispositivos externos capazes de DMA. Permite um maior controlo sobre a enumeração de dispositivos capazes de DMA externos incompatíveis com o isolamento de memória de remapping/dispositivo de DMA e caixa de areia.

    Esta política só entra em vigor quando a Kernel DMA Protection é suportada e ativada pelo firmware do sistema. Kernel DMA Protection é uma funcionalidade de plataforma que deve ser suportada pelo sistema no momento do fabrico. Para verificar se o sistema suporta a Proteção DMA kernel, consulte o campo de proteção do Kernel DMA na página Sumária de MSINFO32.exe.

  • Não configurado
  • Bloquear tudo (defulat)
  • Permitir tudo
  • Não configurado -(padrão)
  • Bloquear tudo
  • Permitir tudo

Deteção e resposta de ponto final

Para obter mais informações sobre as seguintes definições, consulte o WindowsAdvancedThreatProtection CSP na documentação Windows.

  • Partilha de amostras para todos os ficheiros
    CSP: Configuração/partilha de amostras

    Devolve ou define o Microsoft Defender para o parâmetro de configuração de partilha de amostras de ponto final.

    • Sim (padrão)
    • Não configurado

  • Frequência de reporte de telemetria expedita
    CSP: Configuração/TelemetriaReportingFrequência

    Acelere o Microsoft Defender para a frequência de reporte de telemetria Endpoint.

    • Sim (padrão)
    • Não configurado

Firewall

Para obter mais informações, consulte firewall CSP na documentação Windows.

  • Protocolo de transferência de ficheiros stateful (FTP)
    CSP: MdmStore/Global/DisableStatefulFtp

    • Desativado (padrão)- O FTP é desativado.
    • Permitir - A firewall executa a filtragem do Protocolo de Transferência de Ficheiros (FTP) para permitir ligações secundárias. Desativado
    • Não configurado

  • Número de segundos que uma associação de segurança pode ficar inativa antes de ser eliminada
    CSP: Mdmstore/Global/SaIdleTime

    Especifique quanto tempo as associações de segurança são mantidas após o tráfego da rede deixar de ser visto. Quando não está configurado, o sistema elimina uma associação de segurança depois de ter estado inativo durante 300 segundos (o padrão).

    O número deve ser de 300 a 3600 segundos.

  • Codificação de chaves pré-partilhada
    CSP: MdmStore/Global/PresharedKeyEncoding

    Se não necessitar de UTF-8, as chaves pré-partilhadas serão inicialmente codificadas utilizando UTF-8. Depois disso, os utilizadores do dispositivo podem escolher outro método de codificação.

    • Não configurado
    • Nenhuma
    • UTF8 (padrão)

  • Verificação da lista de revogação de certificados (CRL)
    CSP: Mdmstore/Global/CRLcheck

    Especifique como é aplicada a verificação da lista de revogação de certificados (CRL).

    • Não configurado (predefinição)- A verificação crl é desativada.
    • Nenhuma
    • Tentativa
    • Requerer

  • Fila de pacotes
    CSP: Mdmstore/Global/EnablePacketQueue

    Especifique como a escala para o software no lado de receção é ativada para a receção encriptada e texto claro para a frente para o cenário de gateway do túnel IPsec. Esta definição garante a conservação da encomenda do pacote.

    • Não configurado (padrão)- A fila de pacotes retorna ao padrão do cliente, que está desativado.
    • Desativado
    • Entrada de fila
    • Saída de fila
    • Fila Ambos

  • Perfil de firewall privado
    2.2.2 FW_PROFILE_TYPE

    • Configure (padrão)
    • Não configurado

    Quando definido para Configurar, pode configurar as seguintes definições adicionais.

Microsoft Defender

  • Ligue a proteção em tempo real
    CSP: Defender/Permitir a Monitorização de Tempos

    • Sim (predefinição)- A monitorização em tempo real é aplicada e o utilizador não pode desativá-la.
    • Não configurado - A definição é devolvida ao padrão do cliente, que está ligado, mas o utilizador pode alterá-la. Para desativar a monitorização em tempo real, utilize um URI personalizado.

  • Quantidade adicional de tempo (0-50 segundos) para prolongar o tempo limite de proteção da nuvem
    CSP: Defender/CloudExtendedTimeout

    O Defender Antivírus bloqueia automaticamente ficheiros suspeitos durante 10 segundos para que possa digitalizar os ficheiros na nuvem para se certificar de que estão seguros. Com esta definição, pode adicionar até 50 segundos adicionais a este intervalo de tempo. Por predefinição, o tempo limite é definido para zero (0).

  • Digitalize todos os ficheiros e anexos descarregados
    CSP: Defender/AllowIOAVProtecção

    • Sim (predefinição)- Todos os ficheiros e anexos descarregados são digitalizados. A definição é devolvida ao padrão do cliente, que está ligado, mas o utilizador pode alterá-lo. Para desativar esta definição, utilize um URI personalizado.
    • Não configurado - A definição é devolvida ao padrão do cliente, que está ligado, mas o utilizador pode alterá-la. Para desativar esta definição, utilize um URI personalizado.

  • Tipo de digitalização
    CSP: Defender/ScanParameter

    • Utilizador definido
    • Desativado
    • Digitalização rápida (padrão)
    • Análise completa

  • Dia de verificação do horário do defender:
    Dia de verificação do horário do defensor.

    Padrão: Todos os dias

  • Hora de início do exame do defender:
    Hora do agendamento do defensor.

    Padrão: Não configurado

  • Consentimento de submissão da amostra do Defender
    CSP: Defender/SubmeterSamplesConsent

    Verifica o nível de consentimento do utilizador no Microsoft Defender para enviar dados. Se o consentimento necessário já tiver sido concedido, o Microsoft Defender submete-os. Caso contrário (e se o utilizador tiver especificado nunca pedir), o UI lança-se para pedir o consentimento do utilizador (quando a proteção entregue na Cloud está definida para Sim) antes de enviar dados.

    • Enviar amostras seguras automaticamente (padrão)
    • Sempre solicitado
    • Nunca enviar
    • Envie todas as amostras automaticamente

  • Nível de proteção entregue em nuvem
    CSP: CloudBlockLevel

    Configure como o Defensor Antivírus é agressivo em bloquear e digitalizar ficheiros suspeitos.

    • Não configurado - Nível de bloqueio do Defender predefinido.
    • Alto (padrão) - Bloqueia agressivamente desconhecidos ao mesmo tempo que otimiza o desempenho do cliente, o que inclui uma maior probabilidade de falsos positivos.
    • High plus - Bloqueie agressivamente desconhecidos e aplique medidas de proteção adicionais que possam ter impacto no desempenho do cliente.
    • Tolerância zero - Bloqueie todos os ficheiros execuíveis desconhecidos.

  • Scaneie unidades amovíveis durante a varredura completa
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • Sim (predefinido)- Durante uma varredura completa, as unidades amovíveis (como as unidades USB flash) são digitalizadas.
    • Não configurado - A definição retorna ao padrão do cliente, que digitaliza unidades amovíveis, no entanto o utilizador pode desativar esta digitalização.

  • Defender ação de aplicação potencialmente indesejada
    CSP: Defender/PUAProteção

    Especificar o nível de deteção para aplicações potencialmente indesejadas (APS). O Defender alerta os utilizadores quando o software potencialmente indesejado está a ser descarregado ou tenta instalar-se num dispositivo.

    • Predefinição do dispositivo
    • Bloco (padrão)- Os itens detetados estão bloqueados e mostram-se na história juntamente com outras ameaças.
    • Auditoria - O Defender deteta aplicações potencialmente indesejadas, mas não toma medidas. Pode rever informações sobre as aplicações contra as que o Defender teria tomado medidas, procurando eventos criados pelo Defender no Espectador de Eventos.

  • Ligue a proteção entregue na nuvem
    CSP: Permitir a Proteção da Nuvem

    Por predefinição, o Defender em Windows 10 dispositivos de ambiente de trabalho envia informações à Microsoft sobre quaisquer problemas que encontre. A Microsoft analisa essa informação para saber mais sobre problemas que o afetam a si e a outros clientes, para oferecer soluções melhoradas.

    • Sim (predefinição)- A proteção transmitida pela nuvem é ligada. Os utilizadores do dispositivo não podem alterar esta definição.
    • Não configurado - A definição é restaurada ao sistema por defeito.

  • Executar diariamente digitalizar rápido em
    CSP: Defender/AgendaQuickscanTime

    Configure quando a varredura rápida diária for executada. Por predefinição, a execução de digitalização está marcada para as 2 da manhã.

  • Hora de início da digitalização programada

    Por predefinição, a hora de início está marcada para as 2 da manhã.

  • Configurar baixa prioridade da CPU para as análises programadas
    CSP: Defender/EnableLowCPUPriority

    -Sim (padrão)

    • Não configurado

  • Bloqueie Office aplicações de comunicação da criação de processos infantis
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869.

    • Não configurado - O Windows padrão é restaurado, que é não bloquear a criação de processos infantis.
    • Utilizador definido
    • Ativar (predefinição)- Office aplicações de comunicação estão bloqueadas da criação de processos infantis.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear processos infantis.

  • Bloquear o Adobe Reader de criar processos infantis
    Reduzir superfícies de ataque com regras de redução de superfície de ataque

    • Não configurado - O Windows padrão é restaurado, é não bloquear a criação de processos infantis.
    • Utilizador definido
    • Ativar (predefinição)- O Adobe Reader está bloqueado na criação de processos infantis.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear processos infantis.

  • Digitalize mensagens de e-mail recebidas
    CSP: Defender/AllowemailScanning

    • Sim (predefinição)- A caixa de correio eletrónico e os ficheiros de correio eletrónico como PST, DBX, MNX, MIME e BINHEX são digitalizados.
    • Não configurado - A definição retorna ao padrão do cliente de ficheiros de e-mail não digitalizados.

  • Ligue a proteção em tempo real
    CSP: Defender/Permitir a Monitorização de Tempos

    • Sim (predefinição)- A monitorização em tempo real é aplicada e o utilizador não pode desativá-la.
    • Não configurado - A definição é devolvida ao padrão do cliente, que está ligado, mas o utilizador pode alterá-la. Para desativar a monitorização em tempo real, utilize um URI personalizado.

  • Número de dias (0-90) para manter malware em quarentena
    CSP: Defender/DaysToRetainCleanMalware

    Configure o número de dias que os itens devem ser guardados na pasta de quarentena antes de serem removidos. O predefinido é zero (0), o que resulta em ficheiros em quarentena que nunca serão removidos.

  • Programação de verificação do sistema do defender
    CSP: Defender/Agendasssaday

    Agendar em que dia o Defender digitaliza os dispositivos. Por predefinição, a digitalização é definida como utilizador, mas pode ser definida para Todos os dias, qualquer dia da semana, ou para não ter uma verificação programada.

  • Quantidade adicional de tempo (0-50 segundos) para prolongar o tempo limite de proteção da nuvem
    CSP: Defender/CloudExtendedTimeout

    O Defender Antivírus bloqueia automaticamente ficheiros suspeitos durante 10 segundos para que possa digitalizar os ficheiros na nuvem para se certificar de que estão seguros. Com esta definição, pode adicionar até 50 segundos adicionais a este intervalo de tempo. Por predefinição, o tempo limite é definido para zero (0).

  • Digitalizar unidades de rede mapeadas durante uma varredura completa
    CSP: Defender/AllowFullScanOnMappedNetworkDrives

    • Sim (predefinição)- Durante uma varredura completa, estão incluídas unidades de rede mapeadas.
    • Não configurado - O cliente regressa ao seu padrão, o que desativa a digitalização em unidades de rede mapeadas.

  • Ligue a proteção da rede
    CSP: Defender/EnableNetworkProtection

    • Sim (predefinição)- Bloquear tráfego malicioso detetado por assinaturas no Sistema de Inspeção de Rede (NIS).
    • Não configurado

  • Digitalize todos os ficheiros e anexos descarregados
    CSP: Defender/AllowIOAVProtecção

    • Sim (predefinição)- Todos os ficheiros e anexos descarregados são digitalizados. A definição é devolvida ao padrão do cliente, que está ligado, mas o utilizador pode alterá-lo. Para desativar esta definição, utilize um URI personalizado.
    • Não configurado - A definição é devolvida ao padrão do cliente, que está ligado, mas o utilizador pode alterá-la. Para desativar esta definição, utilize um URI personalizado.

  • Digitalize scripts de navegador
    CSP: Defender/PermitirScriptScanning

    • Sim (predefinição)- A funcionalidade de digitalização do script do Microsoft Defender é aplicada e o utilizador não pode desligá-los.
    • Não configurado - A definição é devolvida ao padrão do cliente, que é para ativar a digitalização do script, no entanto o utilizador pode desligá-lo.

  • Bloqueie o acesso do utilizador à aplicação Microsoft Defender
    CSP: Defender/AllowUserUIAccess

    • Sim (padrão)- A Interface de Utilizador do Microsoft Defender (UI) está inacessível e as notificações são surpreendidas
    • Não configurado Quando definido para Sim, a interface de utilizador Windows Defender (UI) será inacessível e as notificações serão surpreendidas. Quando definido para Não configurado, a definição voltará ao padrão do cliente no qual ui e notificações serão permitidas

  • Utilização máxima permitida da CPU (0-100 por cento) por varredura
    CSP: Defender/AvgCPULoadFactor

    Especifique em percentagem a quantidade máxima de CPU a utilizar para uma varredura. O padrão é 50.

  • Tipo de digitalização
    CSP: Defender/ScanParameter

    • Utilizador definido
    • Desativado
    • Digitalização rápida (padrão)
    • Análise completa

  • Insira com frequência (0-24 horas) para verificar se há atualizações de inteligência de segurança
    CSP: Defender/SignatureUpdateInterval

    Especificar com que frequência se verifica as assinaturas atualizadas, em horas. Por exemplo, um valor de 1 verificará a cada hora. Um valor de 2 verificará a cada duas horas, e assim por diante.

    Se não for definido qualquer valor, os dispositivos utilizam o padrão do cliente de 8 horas.

  • Consentimento de submissão da amostra do Defender
    CSP: Defender/SubmeterSamplesConsent

    Verifica o nível de consentimento do utilizador no Microsoft Defender para enviar dados. Se o consentimento necessário já tiver sido concedido, o Microsoft Defender submete-os. Caso contrário (e se o utilizador tiver especificado nunca pedir), o UI lança-se para pedir o consentimento do utilizador (quando a proteção entregue na Cloud está definida para Sim) antes de enviar dados.

    • Enviar amostras seguras automaticamente (padrão)
    • Sempre solicitado
    • Nunca enviar
    • Envie todas as amostras automaticamente

  • Nível de proteção entregue em nuvem
    CSP: CloudBlockLevel

    Configure como o Defensor Antivírus é agressivo em bloquear e digitalizar ficheiros suspeitos.

    • Não configurado (predefinido)- Nível de bloqueio do Defender predefinido.
    • Alta - Bloqueia agressivamente desconhecidos ao mesmo tempo que otimiza o desempenho do cliente, o que inclui uma maior probabilidade de falsos positivos.
    • High plus - Bloqueie agressivamente desconhecidos e aplique medidas de proteção adicionais que possam ter impacto no desempenho do cliente.
    • Tolerância zero - Bloqueie todos os ficheiros execuíveis desconhecidos.

  • Analisar ficheiros de arquivo
    CSP: Defender/AllowArchiveScanning

    • Sim (predefinição)- A verificação de ficheiros de arquivos como ficheiros ZIP ou CAB é aplicada.
    • Não configurada - A definição será devolvida ao padrão do cliente, que é para digitalizar ficheiros arquivados, no entanto o utilizador pode desativar a digitalização.

  • Ligue a monitorização do comportamento
    CSP: Defender/AllowBehaviorMonitoring

    • Sim (predefinição)- A monitorização do comportamento é aplicada e o utilizador não pode desativá-lo.
    • Não configurado - A definição é devolvida ao padrão do cliente, que está ligado, mas o utilizador pode alterá-la. Para desativar a monitorização em tempo real, utilize um URI personalizado.

  • Scaneie unidades amovíveis durante a varredura completa
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • Sim (predefinido)- Durante uma varredura completa, as unidades amovíveis (como as unidades USB flash) são digitalizadas.
    • Não configurado - A definição retorna ao padrão do cliente, que digitaliza unidades amovíveis, no entanto o utilizador pode desativar esta digitalização.

  • Digitalizar ficheiros de rede
    CSP: Defender/Permite a rede de trabalho

    • Sim (predefinido)- O Microsoft Defender verifica ficheiros de rede.
    • Não configurado - O cliente retorna ao seu padrão, o que desativa a digitalização de ficheiros de rede.

  • Defender ação de aplicação potencialmente indesejada
    CSP: Defender/PUAProteção

    Especificar o nível de deteção para aplicações potencialmente indesejadas (APS). O Defender alerta os utilizadores quando o software potencialmente indesejado está a ser descarregado ou tenta instalar-se num dispositivo.

    • Predefinição do dispositivo
    • Bloco (padrão)- Os itens detetados estão bloqueados e mostram-se na história juntamente com outras ameaças.
    • Auditoria - O Defender deteta aplicações potencialmente indesejadas, mas não toma medidas. Pode rever informações sobre as aplicações contra as que o Defender teria tomado medidas, procurando eventos criados pelo Defender no Espectador de Eventos.

  • Ligue a proteção entregue na nuvem
    CSP: Permitir a Proteção da Nuvem

    Por predefinição, o Defender em Windows 10 dispositivos de ambiente de trabalho envia informações à Microsoft sobre quaisquer problemas que encontre. A Microsoft analisa essa informação para saber mais sobre problemas que o afetam a si e a outros clientes, para oferecer soluções melhoradas.

    • Sim (predefinição)- A proteção transmitida pela nuvem é ligada. Os utilizadores do dispositivo não podem alterar esta definição.
    • Não configurado - A definição é restaurada ao sistema por defeito.

  • Bloquear aplicações Office de injetar código em outros processos
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • Não configurado - A definição volta ao Windows padrão, que está desligado.
    • Bloco (predefinição)- Office aplicações estão bloqueadas de injetar código noutros processos.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

  • Bloquear Office aplicações de criação de conteúdo executável
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: 3B576869-A4EC-4529-8536-B80A7769E899

    • Não configurado - A definição volta ao Windows padrão, que está desligado.
    • Bloco (predefinição)- Office aplicações estão bloqueadas de criar conteúdo executável.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

  • Bloquear JavaScript ou VBScript de lançar conteúdo executável descarregado
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: D3E037E1-3EB8-44C8-A917-57927947596D

    • Não configurado - A definição volta ao Windows padrão, que está desligado.
    • Bloco (predefinido)- O Defender bloqueia ficheiros JavaScript ou VBScript que foram descarregados da Internet para serem executados.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

  • Permitir a proteção da rede
    CSP: Defender/EnableNetworkProtection

    • Não configurado - A definição volta ao Windows padrão, que está desativado.
    • Utilizador definido
    • Ativar - A proteção da rede está ativada para todos os utilizadores do sistema.
    • Modo de auditoria (padrão)- Os utilizadores não estão bloqueados de domínios perigosos e Windows eventos são aumentados.

  • Bloquear processos não assinados e não assinados que vão a partir de USB
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • Não configurado - A definição volta ao Windows padrão, que está desligado.
    • Bloco (predefinido)- Os processos não assinados e não assinados que funcionam a partir de uma unidade USB estão bloqueados.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

  • Roubo de credenciais de bloco do subsistema da autoridade de segurança local Windows (lsass.exe)
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • Não configurado - A definição volta ao Windows padrão, que está desligado.
    • Utilizador definido
    • Ativar (predefinição)- As tentativas de roubar credenciais através de lsass.exe estão bloqueadas.
    • Modo de auditoria - Os utilizadores não estão bloqueados de domínios perigosos e Windows eventos são aumentados.

  • Bloquear transferência de conteúdo executável de clientes de email e webmail
    Proteger dispositivos de explorações

    • Não configurado - A definição volta ao Windows padrão, que está desligado.
    • Bloco (padrão)- O conteúdo executável descarregado a partir de clientes de email e webmail está bloqueado.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

  • Bloqueie todas as aplicações Office da criação de processos infantis
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • Não configurado - A definição volta ao Windows padrão, que está desligado.
    • Bloco (padrão)
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

  • Execução de blocos de scripts potencialmente obfuscados (js/vbs/ps)
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • Não configurado - A definição volta ao Windows padrão, que está desligado.
    • Bloco (predefinição)- O Defender bloqueará a execução de scripts obfuscados.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

  • Bloqueie as chamadas da API do Bloco Win32 a partir de Office macro
    Proteger dispositivos de explorações

    Esta regra ASR é controlada através do seguinte GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDC7B

    • Não configurado - A definição volta ao Windows padrão, que está desligado.
    • Bloquear (predefinição)- Office macro's serão bloqueados de utilizar chamadas API Win32.
    • Modo de auditoria - Windows eventos são levantados em vez de bloquear.

Centro de Segurança do Microsoft Defender

  • Bloqueie os utilizadores da edição da interface de proteção da Proteção da Guarda De exploração
    CSP: WindowsDefenderSecurityCenter/DisallowExploitProtectionOverride

    • Sim (predefinição)- Evite que os utilizadores esemodem alterações na área das definições de proteção de exploração no Centro de Segurança do Microsoft Defender.
    • Não configurado - Os utilizadores locais podem efetivar alterações na área de definições de proteção de exploração.

Tela inteligente

  • Bloqueie os utilizadores de ignorar avisos do SmartScreen
    CSP: SmartScreen/PreventOverrideForFilesInshell

    Esta definição requer que a definição "Ligue Windows SmartScreen" seja definida como "Sim".

    • Sim (padrão)- O SmartScreen está ativado e os utilizadores não podem contornar avisos para ficheiros ou aplicações maliciosas.
    • Não configurados - Os utilizadores podem ignorar os avisos do SmartScreen para ficheiros e aplicações maliciosas.

  • Ligue Windows SmartScreen
    CSP: SmartScreen/EnableSmartScreenInShell

    • Sim (predefinição)- Imponha a utilização do SmartScreen para todos os utilizadores.
    • Não configurado - Devolva a definição ao padrão Windows, que é para ativar o SmartScreen, no entanto os utilizadores podem alterar esta definição. Para desativar o SmartScreen, utilize um URI personalizado.

  • Requerer SmartScreen para Microsoft Edge
    CSP: Browser/AllowSmartScreen

    • Sim (predefinição)- Ative Microsoft Edge SmartScreen para aceder a transferências de sites e ficheiros.
    • Não configurado

  • Bloquear acesso ao site malicioso
    CSP: Browser/PreventSmartScreenPromptOverride

    • Sim (predefinição)- Bloqueie os utilizadores de ignorar os avisos Microsoft Defender SmartScreen Filter e bloqueie-os de ir ao local.
    • Não configurado

  • Bloquear transferência de ficheiros não verificados
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • Sim (predefinição)- Bloqueie os utilizadores de ignorar os avisos Microsoft Defender SmartScreen Filter e bloqueie-os de descarregar ficheiros não verificados.
    • Não configurado

  • Configurar o Microsoft Defender SmartScreen
    Esta política está disponível apenas em Windows casos que se juntam a um domínio do Microsoft Ative Diretor; ou em Windows 10 Pro ou casos da Enterprise que estão inscritos para gestão de dispositivos.

    O Microsoft Defender SmartScreen apresenta mensagens de aviso para ajudar a proteger os utilizadores contra potenciais esquemas de phishing e software malicioso. Por predefinição, o Microsoft Defender SmartScreen está ativado.

    • Ativado (predefinido) - Microsoft Defender SmartScreen é ligado e os utilizadores não podem desligá-lo.
    • Desativado – o Microsoft Defender SmartScreen está desativado e os utilizadores não o poderão ativar.
    • Não configurado - Os utilizadores podem escolher se devem ou não utilizar Microsoft Defender SmartScreen.

  • Impedir que os avisos do Microsoft Defender SmartScreen sejam ignorados para os sites
    Esta definição de política permite-lhe decidir se os utilizadores podem ignorar os avisos do Microsoft Defender SmartScreen sobre sites potencialmente maliciosos.

    • Ativado (predefinido) - Se ativar esta definição, os utilizadores não podem ignorar Microsoft Defender SmartScreen avisos e estão impedidos de continuar no site.
    • Desativado – os utilizadores podem ignorar os avisos do Microsoft Defender SmartScreen e aceder ao site.
    • Não configurado - O mesmo comportamento que o Deficiente.

  • Impedir que os avisos do Microsoft Defender SmartScreen sejam ignorados para transferências
    Esta política permite-lhe determinar se os utilizadores podem ignorar os avisos do Microsoft Defender SmartScreen sobre transferências não verificadas.

    • Ativado (padrão) - Os utilizadores da sua organização não podem ignorar Microsoft Defender SmartScreen avisos, e estão impedidos de completar os downloads não verificados.
    • Desativado – os utilizadores podem ignorar os avisos do Microsoft Defender SmartScreen e concluir as transferências não verificadas.
    • Não configurado - O mesmo comportamento que o Deficiente.

  • Configurar o Microsoft Defender SmartScreen para bloquear aplicações potencialmente indesejadas
    Esta política está disponível apenas em Windows casos que se unam a um domínio do Microsoft Ative Directory; ou em Windows 10 Pro ou casos da Enterprise que estão inscritos para gestão de dispositivos.

    Esta definição de política permite-lhe configurar se deve ligar o bloqueio para aplicações potencialmente indesejadas em Microsoft Defender SmartScreen. O bloqueio de aplicações potencialmente indesejados em Microsoft Defender SmartScreen fornece mensagens de aviso para ajudar a proteger os utilizadores de adware, mineradores de moedas, bundleware e outras aplicações de baixa reputação que são hospedadas por websites. O bloqueio de aplicações potencialmente indesejadas no Microsoft Defender SmartScreen está desativado por predefinição.

    • Ativado (padrão) - O bloqueio de aplicações potencialmente indesejados em Microsoft Defender SmartScreen é ativado.
    • Desativado - O bloqueio de aplicações potencialmente indesejados em Microsoft Defender SmartScreen é desligado.
    • Não configurado - Se não configurar esta definição, os utilizadores podem escolher se usam o bloqueio de aplicações potencialmente indesejados em Microsoft Defender SmartScreen.

  • Bloqueie os utilizadores de ignorar avisos do SmartScreen
    CSP: SmartScreen/PreventOverrideForFilesInshell

    Esta definição requer que a definição "Ligue Windows SmartScreen" seja definida como "Sim".

    • Sim (padrão)- O SmartScreen está ativado e os utilizadores não podem contornar avisos para ficheiros ou aplicações maliciosas.
    • Não configurados - Os utilizadores podem ignorar os avisos do SmartScreen para ficheiros e aplicações maliciosas.

  • Requerer apenas aplicativos da loja

    • Sim (padrão)
    • Não configurado

  • Ligue Windows SmartScreen
    CSP: SmartScreen/EnableSmartScreenInShell

    • Sim (predefinição)- Imponha a utilização do SmartScreen para todos os utilizadores.
    • Não configurado - Devolva a definição ao padrão Windows, que é para ativar o SmartScreen, no entanto os utilizadores podem alterar esta definição. Para desativar o SmartScreen, utilize um URI personalizado.

Windows Hello para empresas

Para mais informações, consulte PassportForWork CSP na documentação Windows.

  • Windows Hello de bloqueio para negócios

    Windows Hello for Business é um método alternativo para iniciar sessão de Windows substituindo senhas, Cartões Inteligentes e Cartões Inteligentes Virtuais.

    • Não configurado - A oferta de dispositivos de dispositivos Windows Hello para o Negócio, que é o Windows padrão.
    • Desativado (padrão)- Disposição de dispositivos Windows Hello para Negócios.
    • Ativado - Os dispositivos não prevêem Windows Hello para o Negócio para qualquer utilizador.

    Quando definido para Desativar, pode configurar as seguintes definições:

    • Letras em minúsculas no PIN

      • Não permitido
      • Obrigatório
      • Permitido (padrão)

    • Carateres especiais no PIN

      • Não permitido
      • Obrigatório
      • Permitido (padrão)

    • Letras em maiúsculas no PIN

      • Não permitido
      • Obrigatório
      • Permitido (padrão)

Passos seguintes