Intune 中Microsoft Defender for Endpoint安全基线中的设置列表

项目
03/26/2024

本文参考了可使用 Microsoft Intune 部署的不同版本的 Microsoft Defender for Endpoint 安全基线中可用的设置。可以使用下面的选项卡来选择和查看当前基线版本和一些可能仍在使用的旧版本中的设置。

对于每个设置，你将找到基线默认配置，这也是相关安全团队提供的该设置的建议配置。由于产品和安全环境不断演变，因此一个基线版本中的建议默认值可能与在同一基线的更高版本中发现的默认值不匹配。不同的基线类型（如 MDM 安全性和Defender for Endpoint 基线）也可以设置不同的默认值。

当 Intune UI 包含设置的 “了解详细信息” 链接时，你也会在此处找到该链接。使用该链接可以查看设置 策略配置服务提供商 (CSP) 或说明设置操作的相关内容。

当新版本的基线可用时，它将替换以前的版本。在新版本可用之前创建的配置文件实例：

变为只读。可以继续使用这些配置文件，但无法编辑它们以更改其配置。
可以更新到最新版本。将配置文件更新到当前基线版本后，可以编辑配置文件以修改设置。

若要详细了解如何使用安全基线，请参阅使用安全基线。在本文中，你还将找到有关如何执行以下操作的信息：

更改配置文件的基线版本，以更新配置文件以使用该基线的最新版本。

2020 年 12 月 Microsoft Defender for Endpoint 基线 - 版本 6

2020 年 9 月的Microsoft Defender for Endpoint基线 - 版本 5

2020 年 4 月 Microsoft Defender for Endpoint 基线 - 版本 4

2020 年 3 月 Microsoft Defender for Endpoint 基线 - 版本 3

当环境满足使用Microsoft Defender for Endpoint的先决条件时，可以使用Microsoft Defender for Endpoint基线。

此基线针对物理设备进行了优化，不建议在虚拟机 (VM) 或 VDI 终结点上使用。某些基线设置可能会影响虚拟化环境中的远程交互式会话。有关详细信息，请参阅 Windows 文档中的提高 Microsoft Defender for Endpoint 安全基线的符合性。

攻击面减少规则

攻击面减少规则支持合并不同策略中的设置，以便为每个设备创建策略的超集。仅合并不冲突的设置。冲突的设置不会添加到规则的超集。以前，如果两个策略包含单个设置的冲突，则这两个策略被标记为冲突，并且不会部署任何配置文件中的设置。

攻击面减少规则合并行为如下所示：

针对应用规则的每个设备评估以下配置文件中的攻击面减少规则：
- 设备>配置策略>终结点保护配置文件>Microsoft Defender攻击防护>攻击面减少
- 终结点安全性 > 攻击面减少策略 >攻击面减少规则
- 终结点安全>安全基线>Microsoft Defender for Endpoint基线>攻击面减少规则。
没有冲突的设置将添加到设备的超集策略中。
当两个或更多策略具有冲突设置时，冲突的设置不会添加到组合策略，而不冲突的设置将添加到适用于设备的超集策略中。
仅会保留用于冲突设置的配置。

若要了解详细信息，请参阅Microsoft Defender for Endpoint文档中的攻击面减少规则。

阻止 Office 通信应用创建子进程
基线默认值：启用
了解更多
阻止 Adobe Reader 创建子进程
基线默认值：启用
了解更多
阻止 Office 应用程序将代码注入其他进程
基线默认值：阻止
了解更多
阻止 Office 应用程序创建可执行内容
基线默认值：阻止
了解更多
阻止 JavaScript 或 VBScript 启动下载的可执行内容
基线默认值：阻止
了解更多
启用网络保护
基线默认值：启用
了解更多
阻止从 USB 运行的不受信任和未签名的进程
基线默认值：阻止
了解更多
阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)
基线默认值：启用
了解更多
阻止从电子邮件和 Webmail 客户端下载可执行内容
基线默认值：阻止
了解更多
阻止所有 Office 应用程序创建子进程
基线默认值：阻止
了解更多
阻止执行可能混淆的脚本 (js/vbs/ps)
基线默认值：阻止
了解更多
阻止来自 Office 宏的 Win32 API 调用
基线默认值：阻止
了解更多

应用程序防护

有关详细信息，请参阅 Windows 文档中的 WindowsDefenderApplicationGuard CSP 。

使用 Microsoft Edge 时，Microsoft Defender 应用程序防护保护环境免受组织不信任的站点的防护。当用户访问未在隔离网络边界中列出的站点时，站点将在 Hyper-V 虚拟浏览会话中打开。受信任的站点由网络边界定义。

启用 Edge (选项) 应用程序防护
基线默认值： 为 Edge 启用
了解更多
- 阻止来自非企业批准的站点的外部内容
  基线默认值：是
  了解更多
- 剪贴板行为
  基线默认值： 阻止在电脑和浏览器之间复制和粘贴
  了解更多
Windows 网络隔离策略
基线默认值：配置
了解更多
- 网络域
  基线默认值： securitycenter.windows.com

BitLocker

要求将存储卡加密 (仅限移动设备)
基线默认值：是
了解更多

注意

对 Windows 10 移动版和 Windows Phone 8.1 的支持已于 2020 年 8 月结束。
为 OS 和固定数据驱动器启用完整磁盘加密
基线默认值：是
了解更多
BitLocker 系统驱动器策略
基线默认值：配置
了解更多
- 为操作系统驱动器配置加密方法
  基线默认值： 未配置
  了解更多
BitLocker 固定驱动器策略
基线默认值：配置
了解更多
- 阻止对不受 BitLocker 保护的固定数据驱动器的写入访问
  基线默认值：是
  了解更多
  当 BitLocker 固定驱动器策略 设置为 “配置”时，此设置可用。
- 为固定数据驱动器配置加密方法
  基线默认值： AES 128 位 XTS
  了解更多
BitLocker 可移动驱动器策略
基线默认值：配置
了解更多
- 为可移动数据驱动器配置加密方法
  基线默认值： AES 128 位 CBC
  了解更多
- 阻止对不受 BitLocker 保护的可移动数据驱动器的写入访问
  基线默认值： 未配置
  了解更多

电池供电时处于睡眠状态 基线默认值：禁用
了解更多
接通电源时处于睡眠状态
基线默认值：禁用
了解更多
为 OS 和固定数据驱动器启用完整磁盘加密
基线默认值：是
了解更多
BitLocker 系统驱动器策略
基线默认值：配置
了解更多
- 需要启动身份验证
  基线默认值：是
  了解更多
- 兼容的 TPM 启动 PIN
  基线默认值：允许
  了解更多
- 兼容的 TPM 启动密钥
  基线默认值：必需
  了解更多
- 在 TPM 不兼容的设备上禁用 BitLocker
  基线默认值：是
  了解更多
- 为操作系统驱动器配置加密方法
  基线默认值： 未配置
  了解更多
BitLocker 固定驱动器策略
基线默认值：配置
了解更多
- 阻止对不受 BitLocker 保护的固定数据驱动器的写入访问
  基线默认值：是
  了解更多
  当 BitLocker 固定驱动器策略 设置为 “配置”时，此设置可用。
- 为固定数据驱动器配置加密方法
  基线默认值： AES 128 位 XTS
  了解更多
BitLocker 可移动驱动器策略
基线默认值：配置
了解更多
- 为可移动数据驱动器配置加密方法
  基线默认值： AES 128 位 CBC
  了解更多
- 阻止对不受 BitLocker 保护的可移动数据驱动器的写入访问
  基线默认值： 未配置
  了解更多

BitLocker 系统驱动器策略
基线默认值：配置
了解更多
- 需要启动身份验证
  基线默认值：是
  了解更多
- 兼容的 TPM 启动 PIN
  基线默认值：允许
  了解更多
- 兼容的 TPM 启动密钥
  基线默认值：必需
  了解更多
- 在 TPM 不兼容的设备上禁用 BitLocker
  基线默认值：是
  了解更多
- 为操作系统驱动器配置加密方法
  基线默认值： 未配置
  了解更多
电池供电时处于睡眠状态 基线默认值：禁用
了解更多
接通电源时处于睡眠状态
基线默认值：禁用
了解更多
为 OS 和固定数据驱动器启用完整磁盘加密
基线默认值：是
了解更多
BitLocker 固定驱动器策略
基线默认值：配置
了解更多
- 阻止对不受 BitLocker 保护的固定数据驱动器的写入访问
  基线默认值：是
  了解更多
  当 BitLocker 固定驱动器策略 设置为 “配置”时，此设置可用。
- 为固定数据驱动器配置加密方法
  基线默认值： AES 128 位 XTS
  了解更多
BitLocker 可移动驱动器策略
基线默认值：配置
了解更多
- 为可移动数据驱动器配置加密方法
  基线默认值： AES 128 位 CBC
  了解更多
- 阻止对不受 BitLocker 保护的可移动数据驱动器的写入访问
  基线默认值： 未配置
  了解更多

浏览器

Microsoft Edge 需要 SmartScreen
基线默认值：是
了解更多
阻止恶意站点访问
基线默认值：是
了解更多
阻止未经验证的文件下载
基线默认值：是
了解更多

数据保护

阻止直接内存访问
基线默认值：是
了解更多

Device Guard

打开凭据防护
基线默认值： 使用 UEFI 锁定启用
了解更多

设备安装

按设备标识符安装硬件设备
基线默认值： 阻止硬件设备安装
了解更多
- 删除匹配的硬件设备 基线默认值：是
- 阻止的硬件设备标识符
  基线默认值： 默认情况下未配置。手动添加一个或多个设备标识符。

按安装程序类安装硬件设备
基线默认值： 阻止硬件设备安装
了解更多
- 删除匹配的硬件设备 基线默认值： 未配置
- 阻止的硬件设备标识符 基线默认值： 默认情况下未配置。手动添加一个或多个设备标识符。

按安装程序类阻止硬件设备安装：
基线默认值：是
了解更多
- 删除匹配的硬件设备：
  基线默认值：是
- 阻止列表
  基线默认值： 默认情况下未配置。手动添加一个或多个安装程序类全局唯一标识符。

DMA 防护

枚举与内核 DMA 保护不兼容的外部设备
基线默认值： 全部阻止
了解更多

枚举与内核 DMA 保护不兼容的外部设备
基线默认值： 未配置
了解更多

终结点检测和响应

所有文件的示例共享
基线默认值：是
了解更多
加快遥测报告频率
基线默认值：是
了解更多

防火墙

有状态文件传输协议 (FTP)
基线默认值：禁用
了解更多
安全关联在删除之前可以处于空闲状态的秒数
基线默认值： 300
了解更多
预共享密钥编码
基线默认值： UTF8
了解更多
证书吊销列表 (CRL) 验证
基线默认值： 未配置
了解更多
数据包队列
基线默认值： 未配置
了解更多
防火墙配置文件专用
基线默认值：配置
了解更多
- 入站连接已阻止
  基线默认值：是
  了解更多
- 需要对多播广播的单播响应
  基线默认值：是
  了解更多
- 需要出站连接
  基线默认值：是
  了解更多
- 入站通知已阻止
  基线默认值：是
  了解更多
- 组策略的全局端口规则已合并
  基线默认值：是
  了解更多
- 已启用防火墙
  基线默认值：允许
  了解更多
- 组策略的授权应用程序规则未合并
  基线默认值：是
  了解更多
- 未合并组策略的连接安全规则
  基线默认值：是
  了解更多
- 需要传入流量
  基线默认值：是
  了解更多
- 未合并组策略的策略规则
  基线默认值：是
  了解更多

隐藏模式已阻止
基线默认值：是
了解更多

防火墙配置文件公共
基线默认值：配置
了解更多
- 入站连接已阻止
  基线默认值：是
  了解更多
- 需要对多播广播的单播响应
  基线默认值：是
  了解更多
- 需要出站连接
  基线默认值：是
  了解更多
- 组策略的授权应用程序规则未合并
  基线默认值：是**
  了解更多
- 入站通知已阻止
  基线默认值：是
  了解更多
- 组策略的全局端口规则已合并
  基线默认值：是
  了解更多
- 已启用防火墙
  基线默认值：允许
  了解更多
- 未合并组策略的连接安全规则
  基线默认值：是
  了解更多
- 需要传入流量
  基线默认值：是
  了解更多
- 未合并组策略的策略规则
  基线默认值：是
  了解更多

隐藏模式已阻止
基线默认值：是
了解更多

防火墙配置文件域
基线默认值：配置
了解更多
- 需要对多播广播的单播响应
  基线默认值：是
  了解更多
- 组策略的授权应用程序规则未合并
  基线默认值：是
  了解更多
- 入站通知已阻止
  基线默认值：是
  了解更多
- 组策略的全局端口规则已合并
  基线默认值：是
  了解更多
- 已启用防火墙
  基线默认值：允许
  了解更多
- 未合并组策略的连接安全规则
  基线默认值：是
  了解更多
- 未合并组策略的策略规则
  基线默认值：是
  了解更多

隐藏模式已阻止
基线默认值：是
了解更多

Microsoft Defender

启用实时保护
基线默认值：是
了解更多
延长云保护超时时间 (0-50 秒)
基线默认值： 50
了解更多
扫描所有下载的文件和附件
基线默认值：是
了解更多
扫描类型
基线默认值： 快速扫描
了解更多
Defender 计划扫描日：
基线默认值：每日
Defender 扫描开始时间：
基线默认值： 未配置
Defender 示例提交同意
基线默认值： 自动发送安全示例
了解更多
云提供的保护级别
基线默认值：高
了解更多
在完全扫描期间扫描可移动驱动器
基线默认值：是
了解更多
Defender 可能不需要的应用操作
基线默认值：阻止
了解更多
打开云传递保护
基线默认值：是
了解更多

启用实时保护
基线默认值：是
了解更多
延长云保护超时时间 (0-50 秒)
基线默认值： 50
了解更多
扫描所有下载的文件和附件
基线默认值：是
了解更多
扫描类型
基线默认值： 快速扫描
了解更多
Defender 示例提交同意
基线默认值： 自动发送安全示例
了解更多
云提供的保护级别
基线默认值：高
了解更多
在完全扫描期间扫描可移动驱动器
基线默认值：是
了解更多
Defender 可能不需要的应用操作
基线默认值：阻止
了解更多
打开云传递保护
基线默认值：是
了解更多

运行每日快速扫描
基线默认值： 凌晨 2 点
了解更多
计划的扫描开始时间
基线默认值： 凌晨 2 点
为计划扫描配置低 CPU 优先级
基线默认值：是
了解更多
阻止 Office 通信应用创建子进程
基线默认值：启用
了解更多
阻止 Adobe Reader 创建子进程
基线默认值：启用
了解更多
扫描传入电子邮件
基线默认值：是
了解更多
启用实时保护
基线默认值：是
了解更多
保留隔离恶意软件的天数 (0-90)
基线默认值： 0
了解更多
Defender 系统扫描计划
基线默认值： 用户定义
了解更多
延长云保护超时时间 (0-50 秒)
基线默认值： 50
了解更多
在完全扫描期间扫描映射的网络驱动器
基线默认值：是
了解更多
启用网络保护功能
基线默认值：是
了解更多
扫描所有下载的文件和附件
基线默认值：是
了解更多
阻止访问保护
基线默认值： 未配置
了解更多
扫描浏览器脚本
基线默认值：是
了解更多
阻止用户访问Microsoft Defender应用
基线默认值：是
了解更多
每次扫描允许的最大 CPU 使用率 (0-100%)
基线默认值： 50
了解更多
扫描类型
基线默认值： 快速扫描
了解更多
输入) 0-24 小时 (检查安全智能更新的频率
基线默认值： 8
了解更多
Defender 示例提交同意
基线默认值： 自动发送安全示例
了解更多
云提供的保护级别
基线默认值：*未配置
了解更多
扫描存档文件
基线默认值：是
了解更多
启用行为监视
基线默认值：是
了解更多
在完全扫描期间扫描可移动驱动器
基线默认值：是
了解更多
扫描网络文件
基线默认值：是
了解更多
Defender 可能不需要的应用操作
基线默认值：阻止
了解更多
打开云传递保护
基线默认值：是
了解更多
阻止 Office 应用程序将代码注入其他进程
基线默认值：阻止
了解更多
阻止 Office 应用程序创建可执行内容
基线默认值：阻止
了解更多
阻止 JavaScript 或 VBScript 启动下载的可执行内容
基线默认值：阻止
了解更多
启用网络保护
基线默认值： 审核模式
了解更多
阻止从 USB 运行的不受信任和未签名的进程
基线默认值：阻止
了解更多
阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)
基线默认值：启用
了解更多
阻止从电子邮件和 Webmail 客户端下载可执行内容
基线默认值：阻止
了解更多
阻止所有 Office 应用程序创建子进程
基线默认值：阻止
了解更多
阻止执行可能混淆的脚本 (js/vbs/ps)
基线默认值：阻止
了解更多
阻止来自 Office 宏的 Win32 API 调用
基线默认值：阻止
了解更多

运行每日快速扫描
基线默认值： 凌晨 2 点
了解更多
计划的扫描开始时间
基线默认值： 凌晨 2 点
为计划扫描配置低 CPU 优先级
基线默认值：是
了解更多
阻止 Office 通信应用创建子进程
基线默认值：启用
了解更多
阻止 Adobe Reader 创建子进程
基线默认值：启用
了解更多
扫描传入电子邮件
基线默认值：是
了解更多
启用实时保护
基线默认值：是
了解更多
保留隔离恶意软件的天数 (0-90)
基线默认值： 0
了解更多
Defender 系统扫描计划
基线默认值： 用户定义
了解更多
延长云保护超时时间 (0-50 秒)
基线默认值： 50
了解更多
在完全扫描期间扫描映射的网络驱动器
基线默认值：是
了解更多
启用网络保护功能
基线默认值：是
了解更多
扫描所有下载的文件和附件
基线默认值：是
了解更多
阻止访问保护
基线默认值： 未配置
了解更多
扫描浏览器脚本
基线默认值：是
了解更多
阻止用户访问Microsoft Defender应用
基线默认值：是
了解更多
每次扫描允许的最大 CPU 使用率 (0-100%)
基线默认值： 50
了解更多
扫描类型
基线默认值： 快速扫描
了解更多
输入) 0-24 小时 (检查安全智能更新的频率
基线默认值： 8
了解更多
Defender 示例提交同意
基线默认值： 自动发送安全示例
了解更多
云提供的保护级别
基线默认值：*未配置
了解更多
扫描存档文件
基线默认值：是
了解更多
启用行为监视
基线默认值：是
了解更多
在完全扫描期间扫描可移动驱动器
基线默认值：是
了解更多
扫描网络文件
基线默认值：是
了解更多
Defender 可能不需要的应用操作
基线默认值：阻止
了解更多
打开云传递保护
基线默认值：是
了解更多
阻止 Office 应用程序将代码注入其他进程
基线默认值：阻止
了解更多
阻止 Office 应用程序创建可执行内容
基线默认值：阻止
了解更多
阻止 JavaScript 或 VBScript 启动下载的可执行内容
基线默认值：阻止
了解更多
启用网络保护
基线默认值： 审核模式
了解更多
阻止从 USB 运行的不受信任和未签名的进程
基线默认值：阻止
了解更多
阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)
基线默认值：启用
了解更多
阻止从电子邮件和 Webmail 客户端下载可执行内容
基线默认值：阻止
了解更多
阻止所有 Office 应用程序创建子进程
基线默认值：阻止
了解更多
阻止执行可能混淆的脚本 (js/vbs/ps)
基线默认值：阻止
了解更多
阻止来自 Office 宏的 Win32 API 调用
基线默认值：阻止
了解更多

Microsoft Defender 安全中心

阻止用户编辑 Exploit Guard 保护界面
基线默认值：是
了解更多

智能屏幕

阻止用户忽略 SmartScreen 警告
基线默认值：是
了解更多
打开 Windows SmartScreen
基线默认值：是
了解更多
Microsoft Edge 需要 SmartScreen
基线默认值：是
了解更多
阻止恶意站点访问
基线默认值：是
了解更多
阻止未经验证的文件下载
基线默认值：是
了解更多
配置 Microsoft Defender SmartScreen
基线默认值： 已启用
防止绕过站点Microsoft Defender SmartScreen 提示
基线默认值： 已启用
防止绕过有关下载Microsoft Defender SmartScreen 警告
基线默认值： 已启用
配置 Microsoft Defender SmartScreen 以阻止可能不需要的应用
基线默认值： 已启用

仅需要来自应用商店的应用
基线默认值：是
打开 Windows SmartScreen
基线默认值：是
了解更多

Windows Hello 企业版

有关详细信息，请参阅 Windows 文档中的 PassportForWork CSP 。

阻止Windows Hello 企业版
基线默认值：禁用
- PIN 中的小写字母 基线默认值：允许
- PIN 中的特殊字符 基线默认值：允许
- PIN 中的大写字母 基线默认值：允许