Intune 中Microsoft Defender for Endpoint安全基线中的设置列表
本文参考了可使用 Microsoft Intune 部署的不同版本的 Microsoft Defender for Endpoint 安全基线中可用的设置。 可以使用下面的选项卡来选择和查看当前基线版本和一些可能仍在使用的旧版本中的设置。
对于每个设置,你将找到基线默认配置,这也是相关安全团队提供的该设置的建议配置。 由于产品和安全环境不断演变,因此一个基线版本中的建议默认值可能与在同一基线的更高版本中发现的默认值不匹配。 不同的基线类型(如 MDM 安全性和Defender for Endpoint 基线)也可以设置不同的默认值。
当 Intune UI 包含设置的 “了解详细信息” 链接时,你也会在此处找到该链接。 使用该链接可以查看设置 策略配置服务提供商 (CSP) 或说明设置操作的相关内容。
当新版本的基线可用时,它将替换以前的版本。 在新版本可用之前创建的配置文件实例:
- 变为只读。 可以继续使用这些配置文件,但无法编辑它们以更改其配置。
- 可以更新到最新版本。 将配置文件更新到当前基线版本后,可以编辑配置文件以修改设置。
若要详细了解如何使用安全基线,请参阅 使用安全基线。 在本文中,你还将找到有关如何执行以下操作的信息:
- 更改配置文件的基线版本 ,以更新配置文件以使用该基线的最新版本。
2020 年 12 月 Microsoft Defender for Endpoint 基线 - 版本 6
2020 年 9 月的Microsoft Defender for Endpoint基线 - 版本 5
2020 年 4 月 Microsoft Defender for Endpoint 基线 - 版本 4
2020 年 3 月 Microsoft Defender for Endpoint 基线 - 版本 3
当环境满足使用Microsoft Defender for Endpoint的先决条件时,可以使用Microsoft Defender for Endpoint基线。
此基线针对物理设备进行了优化,不建议在虚拟机 (VM) 或 VDI 终结点上使用。 某些基线设置可能会影响虚拟化环境中的远程交互式会话。 有关详细信息,请参阅 Windows 文档中的提高 Microsoft Defender for Endpoint 安全基线的符合性。
攻击面减少规则
攻击面减少规则支持合并不同策略中的设置,以便为每个设备创建策略的超集。 仅合并不冲突的设置。 冲突的设置不会添加到规则的超集。 以前,如果两个策略包含单个设置的冲突,则这两个策略被标记为冲突,并且不会部署任何配置文件中的设置。
攻击面减少规则合并行为如下所示:
- 针对应用规则的每个设备评估以下配置文件中的攻击面减少规则:
- 设备>配置策略>终结点保护配置文件>Microsoft Defender攻击防护>攻击面减少
- 终结点安全性 > 攻击面减少策略 >攻击面减少规则
- 终结点安全>安全基线>Microsoft Defender for Endpoint基线>攻击面减少规则。
- 没有冲突的设置将添加到设备的超集策略中。
- 当两个或更多策略具有冲突设置时,冲突的设置不会添加到组合策略,而不冲突的设置将添加到适用于设备的超集策略中。
- 仅会保留用于冲突设置的配置。
若要了解详细信息,请参阅Microsoft Defender for Endpoint文档中的攻击面减少规则。
阻止 Office 通信应用创建子进程
基线默认值: 启用
了解更多阻止 Adobe Reader 创建子进程
基线默认值: 启用
了解更多阻止 Office 应用程序将代码注入其他进程
基线默认值: 阻止
了解更多阻止 Office 应用程序创建可执行内容
基线默认值: 阻止
了解更多阻止 JavaScript 或 VBScript 启动下载的可执行内容
基线默认值: 阻止
了解更多启用网络保护
基线默认值: 启用
了解更多阻止从 USB 运行的不受信任和未签名的进程
基线默认值: 阻止
了解更多阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)
基线默认值: 启用
了解更多阻止从电子邮件和 Webmail 客户端下载可执行内容
基线默认值: 阻止
了解更多阻止所有 Office 应用程序创建子进程
基线默认值: 阻止
了解更多阻止执行可能混淆的脚本 (js/vbs/ps)
基线默认值: 阻止
了解更多阻止来自 Office 宏的 Win32 API 调用
基线默认值: 阻止
了解更多
应用程序防护
有关详细信息,请参阅 Windows 文档中的 WindowsDefenderApplicationGuard CSP 。
使用 Microsoft Edge 时,Microsoft Defender 应用程序防护保护环境免受组织不信任的站点的防护。 当用户访问未在隔离网络边界中列出的站点时,站点将在 Hyper-V 虚拟浏览会话中打开。 受信任的站点由网络边界定义。
BitLocker
要求将存储卡加密 (仅限移动设备)
基线默认值: 是
了解更多注意
对 Windows 10 移动版 和 Windows Phone 8.1 的支持已于 2020 年 8 月结束。
为 OS 和固定数据驱动器启用完整磁盘加密
基线默认值: 是
了解更多BitLocker 系统驱动器策略
基线默认值: 配置
了解更多- 为操作系统驱动器配置加密方法
基线默认值: 未配置
了解更多
- 为操作系统驱动器配置加密方法
BitLocker 固定驱动器策略
基线默认值: 配置
了解更多BitLocker 可移动驱动器策略
基线默认值: 配置
了解更多
按设备标识符安装硬件设备
基线默认值: 阻止硬件设备安装
了解更多删除匹配的硬件设备 基线默认值: 是
阻止的硬件设备标识符
基线默认值: 默认情况下未配置。手动添加一个或多个设备标识符。
按安装程序类安装硬件设备
基线默认值: 阻止硬件设备安装
了解更多删除匹配的硬件设备 基线默认值: 未配置
阻止的硬件设备标识符 基线默认值: 默认情况下未配置。手动添加一个或多个设备标识符。
按安装程序类阻止硬件设备安装:
基线默认值: 是
了解更多删除匹配的硬件设备:
基线默认值: 是阻止列表
基线默认值: 默认情况下未配置。手动添加一个或多个安装程序类全局唯一标识符。
DMA 防护
- 枚举与内核 DMA 保护不兼容的外部设备
基线默认值: 全部阻止
了解更多
- 枚举与内核 DMA 保护不兼容的外部设备
基线默认值: 未配置
了解更多
防火墙
- 隐藏模式已阻止
基线默认值: 是
了解更多
- 隐藏模式已阻止
基线默认值: 是
了解更多
- 隐藏模式已阻止
基线默认值: 是
了解更多
Microsoft Defender
启用实时保护
基线默认值: 是
了解更多延长云保护超时时间 (0-50 秒)
基线默认值: 50
了解更多扫描所有下载的文件和附件
基线默认值: 是
了解更多扫描类型
基线默认值: 快速扫描
了解更多Defender 计划扫描日:
基线默认值: 每日Defender 扫描开始时间:
基线默认值: 未配置Defender 示例提交同意
基线默认值: 自动发送安全示例
了解更多云提供的保护级别
基线默认值: 高
了解更多在完全扫描期间扫描可移动驱动器
基线默认值: 是
了解更多Defender 可能不需要的应用操作
基线默认值: 阻止
了解更多打开云传递保护
基线默认值: 是
了解更多
运行每日快速扫描
基线默认值: 凌晨 2 点
了解更多计划的扫描开始时间
基线默认值: 凌晨 2 点为计划扫描配置低 CPU 优先级
基线默认值: 是
了解更多阻止 Office 通信应用创建子进程
基线默认值: 启用
了解更多阻止 Adobe Reader 创建子进程
基线默认值: 启用
了解更多扫描传入电子邮件
基线默认值: 是
了解更多启用实时保护
基线默认值: 是
了解更多保留隔离恶意软件的天数 (0-90)
基线默认值: 0
了解更多Defender 系统扫描计划
基线默认值: 用户定义
了解更多延长云保护超时时间 (0-50 秒)
基线默认值: 50
了解更多在完全扫描期间扫描映射的网络驱动器
基线默认值: 是
了解更多启用网络保护功能
基线默认值: 是
了解更多扫描所有下载的文件和附件
基线默认值: 是
了解更多阻止访问保护
基线默认值: 未配置
了解更多扫描浏览器脚本
基线默认值: 是
了解更多阻止用户访问Microsoft Defender应用
基线默认值: 是
了解更多每次扫描允许的最大 CPU 使用率 (0-100%)
基线默认值: 50
了解更多扫描类型
基线默认值: 快速扫描
了解更多输入) 0-24 小时 (检查安全智能更新的频率
基线默认值: 8
了解更多Defender 示例提交同意
基线默认值: 自动发送安全示例
了解更多云提供的保护级别
基线默认值:*未配置
了解更多扫描存档文件
基线默认值: 是
了解更多启用行为监视
基线默认值: 是
了解更多在完全扫描期间扫描可移动驱动器
基线默认值: 是
了解更多扫描网络文件
基线默认值: 是
了解更多Defender 可能不需要的应用操作
基线默认值: 阻止
了解更多打开云传递保护
基线默认值: 是
了解更多阻止 Office 应用程序将代码注入其他进程
基线默认值: 阻止
了解更多阻止 Office 应用程序创建可执行内容
基线默认值: 阻止
了解更多阻止 JavaScript 或 VBScript 启动下载的可执行内容
基线默认值: 阻止
了解更多启用网络保护
基线默认值: 审核模式
了解更多阻止从 USB 运行的不受信任和未签名的进程
基线默认值: 阻止
了解更多阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)
基线默认值: 启用
了解更多阻止从电子邮件和 Webmail 客户端下载可执行内容
基线默认值: 阻止
了解更多阻止所有 Office 应用程序创建子进程
基线默认值: 阻止
了解更多阻止执行可能混淆的脚本 (js/vbs/ps)
基线默认值: 阻止
了解更多阻止来自 Office 宏的 Win32 API 调用
基线默认值: 阻止
了解更多
运行每日快速扫描
基线默认值: 凌晨 2 点
了解更多计划的扫描开始时间
基线默认值: 凌晨 2 点为计划扫描配置低 CPU 优先级
基线默认值: 是
了解更多阻止 Office 通信应用创建子进程
基线默认值: 启用
了解更多阻止 Adobe Reader 创建子进程
基线默认值: 启用
了解更多扫描传入电子邮件
基线默认值: 是
了解更多启用实时保护
基线默认值: 是
了解更多保留隔离恶意软件的天数 (0-90)
基线默认值: 0
了解更多Defender 系统扫描计划
基线默认值: 用户定义
了解更多延长云保护超时时间 (0-50 秒)
基线默认值: 50
了解更多在完全扫描期间扫描映射的网络驱动器
基线默认值: 是
了解更多启用网络保护功能
基线默认值: 是
了解更多扫描所有下载的文件和附件
基线默认值: 是
了解更多阻止访问保护
基线默认值: 未配置
了解更多扫描浏览器脚本
基线默认值: 是
了解更多阻止用户访问Microsoft Defender应用
基线默认值: 是
了解更多每次扫描允许的最大 CPU 使用率 (0-100%)
基线默认值: 50
了解更多扫描类型
基线默认值: 快速扫描
了解更多输入) 0-24 小时 (检查安全智能更新的频率
基线默认值: 8
了解更多Defender 示例提交同意
基线默认值: 自动发送安全示例
了解更多云提供的保护级别
基线默认值:*未配置
了解更多扫描存档文件
基线默认值: 是
了解更多启用行为监视
基线默认值: 是
了解更多在完全扫描期间扫描可移动驱动器
基线默认值: 是
了解更多扫描网络文件
基线默认值: 是
了解更多Defender 可能不需要的应用操作
基线默认值: 阻止
了解更多打开云传递保护
基线默认值: 是
了解更多阻止 Office 应用程序将代码注入其他进程
基线默认值: 阻止
了解更多阻止 Office 应用程序创建可执行内容
基线默认值: 阻止
了解更多阻止 JavaScript 或 VBScript 启动下载的可执行内容
基线默认值: 阻止
了解更多启用网络保护
基线默认值: 审核模式
了解更多阻止从 USB 运行的不受信任和未签名的进程
基线默认值: 阻止
了解更多阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)
基线默认值: 启用
了解更多阻止从电子邮件和 Webmail 客户端下载可执行内容
基线默认值: 阻止
了解更多阻止所有 Office 应用程序创建子进程
基线默认值: 阻止
了解更多阻止执行可能混淆的脚本 (js/vbs/ps)
基线默认值: 阻止
了解更多阻止来自 Office 宏的 Win32 API 调用
基线默认值: 阻止
了解更多
Microsoft Defender 安全中心
- 阻止用户编辑 Exploit Guard 保护界面
基线默认值: 是
了解更多
智能屏幕
阻止用户忽略 SmartScreen 警告
基线默认值: 是
了解更多打开 Windows SmartScreen
基线默认值: 是
了解更多Microsoft Edge 需要 SmartScreen
基线默认值: 是
了解更多阻止恶意站点访问
基线默认值: 是
了解更多阻止未经验证的文件下载
基线默认值: 是
了解更多配置 Microsoft Defender SmartScreen
基线默认值: 已启用防止绕过站点Microsoft Defender SmartScreen 提示
基线默认值: 已启用防止绕过有关下载Microsoft Defender SmartScreen 警告
基线默认值: 已启用配置 Microsoft Defender SmartScreen 以阻止可能不需要的应用
基线默认值: 已启用
仅需要来自应用商店的应用
基线默认值: 是打开 Windows SmartScreen
基线默认值: 是
了解更多
Windows Hello 企业版
有关详细信息,请参阅 Windows 文档中的 PassportForWork CSP 。
阻止Windows Hello 企业版
基线默认值: 禁用PIN 中的小写字母 基线默认值: 允许
PIN 中的特殊字符 基线默认值: 允许
PIN 中的大写字母 基线默认值: 允许
后续步骤
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈