Intune 中 適用於端點的 Microsoft Defender 安全性基準中的設定清單
本文是您可以使用 Microsoft Intune 部署的不同版本 適用於端點的 Microsoft Defender 安全性基準中可用設定的參考。 您可以使用下列索引標籤來選取和檢視目前基準版本中的設定,以及一些可能仍在使用的舊版。
針對每個設定,您會找到基準預設組態,這也是相關安全性小組所提供之該設定的建議組態。 由於產品和安全性環境不斷演進,因此一個基準版本中的建議預設值可能不符合您在相同基準的更新版本中找到的預設值。 不同的基準類型,例如 MDM 安全 性和 適用於端點的 Defender 基準,也可以設定不同的預設值。
當 Intune UI 包含設定的 [深入瞭解] 連結時,您也會在這裡找到。 使用該連結來檢視設定 原則設定服務提供者 (CSP) 或說明設定作業的相關內容。
當基準的新版本變成可用時,它會取代舊版。 設定文件實例,這些實例是您在新版本可用之前建立的實例:
- 變成唯讀。 您可以繼續使用這些配置檔,但無法編輯它們來變更其組態。
- 可以更新為最新版本。 將設定檔更新為目前的基準版本之後,您可以編輯配置檔來修改設定。
若要深入瞭解如何使用安全性基準,請 參閱使用安全性基準。 在該文章中,您也會找到如何:
- 變更配置檔的基準版本 ,以更新配置檔以使用該基準的最新版本。
適用於端點的 Microsoft Defender 2020 年 12 月 - 第 6 版的基準
適用於端點的 Microsoft Defender 2020 年 9 月 - 第 5 版的基準
適用於端點的 Microsoft Defender 2020 年 4 月 - 第 4 版的基準
適用於端點的 Microsoft Defender 2020 年 3 月 - 第 3 版的基準
當您的環境符合使用 適用於端點的 Microsoft Defender 的必要條件時,就會提供 適用於端點的 Microsoft Defender 基準。
此基準已針對實體裝置優化,不建議用於虛擬機 (VM) 或 VDI 端點。 某些基準設定可能會影響虛擬化環境中的遠端互動式會話。 如需詳細資訊,請參閱 Windows 檔中的提高 適用於端點的 Microsoft Defender 安全性基準的合規性。
受攻擊面縮小規則
受攻擊面縮小規則支持合併來自不同原則的設定,以建立每個裝置的原則超集。 只會合並未發生衝突的設定。 發生衝突的設定不會新增至規則的超集。 先前,如果兩個原則包含單一設定的衝突,這兩個原則都會標示為發生衝突,而且不會部署來自任一配置檔的設定。
受攻擊面縮小規則合併行為如下:
- 下列設定檔中的受攻擊面縮小規則會針對套用規則的每個裝置進行評估:
- 裝置>設定原則 > 端點保護配置檔 > Microsoft Defender 惡意探索防護>攻擊面縮小
- 端點安全 > 性受攻擊面縮小原則 >受攻擊面縮小規則
- 端點安全>性>基準 適用於端點的 Microsoft Defender 基準>受攻擊面縮小規則。
- 不會發生衝突的設定會新增至裝置的原則超集。
- 當兩個或多個原則的設定發生衝突時,衝突的設定不會新增至合併的原則,而不會衝突的設定則會新增至套用至裝置的超集原則。
- 只會保留衝突設定的組態。
若要深入瞭解,請參閱 適用於端點的 Microsoft Defender 檔中的受攻擊面縮小規則。
禁止 Office 通訊應用程式建立子處理程序
基準預設值: 啟用
深入了解封鎖 Adobe Reader 使其無法建立子程序
基準預設值: 啟用
深入了解封鎖 Office 應用程式使其無法將程式碼插入其他程序
基準預設值: 封鎖
深入了解封鎖 Office 應用程式使其無法建立可執行的內容
基準預設值: 封鎖
深入了解封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容
基準預設值: 封鎖
深入了解啟用網路保護
基準預設值: 啟用
深入了解封鎖從 USB 執行的未受信任與未簽署程序
基準預設值: 封鎖
深入了解封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證
基準預設值: 啟用
深入了解封鎖從電子郵件和 Webmail 用戶端下載的可執行文件內容
基準預設值: 封鎖
深入了解封鎖所有 Office 應用程式使其無法建立子程序
基準預設值: 封鎖
深入了解封鎖 js/vbs/ps (可能模糊化腳本的執行)
基準預設值: 封鎖
深入了解封鎖來自 Office 宏的 Win32 API 呼叫
基準預設值: 封鎖
深入了解
應用程式防護
如需詳細資訊,請參閱 Windows 檔中的 WindowsDefenderApplicationGuard CSP 。
當您使用 Microsoft Edge 時,Microsoft Defender 應用程式防護 保護您的環境不受貴組織信任的網站。 當使用者造訪未列在隔離網路界限中的網站時,這些網站會在 Hyper-V 虛擬瀏覽會話中開啟。 信任的網站是由網路界限所定義。
BitLocker
僅限行動裝置 (需要加密記憶體卡)
基準預設值: 是
深入了解注意事項
Windows 10 行動裝置版 和 Windows Phone 8.1 的支援已於 2020 年 8 月終止。
啟用 OS 和固定數據磁碟驅動器的完整磁碟加密
基準預設值: 是
深入了解BitLocker 系統磁碟驅動器原則
基準預設值: 設定
深入了解- 設定作業系統磁碟驅動器的加密方法
基準預設值: 未設定
深入了解
- 設定作業系統磁碟驅動器的加密方法
BitLocker 固定磁碟驅動器原則
基準預設值: 設定
深入了解BitLocker 卸除式磁碟驅動器原則
基準預設值: 設定
深入了解
依裝置標識碼安裝硬體裝置
基準預設值: 封鎖硬體裝置安裝
深入了解拿掉相符的硬體裝置 基準預設值: 是
已封鎖的硬體裝置標識碼
基準預設值: 預設不會設定。手動新增一或多個裝置標識碼。
依安裝類別安裝硬體裝置
基準預設值: 封鎖硬體裝置安裝
深入了解拿掉相符的硬體裝置 基準預設值: 未設定
已封鎖的硬體裝置標識碼 基準預設值: 預設不會設定。手動新增一或多個裝置標識碼。
依安裝類別封鎖硬體裝置安裝:
基準預設值: 是
深入了解拿掉相符的硬體裝置:
基準預設值: 是封鎖清單
基準預設值: 預設不會設定。手動新增一或多個安裝類別全域唯一標識碼。
DMA Guard
- 列舉與 Kernel DMA Protection 不相容的外部裝置
基準預設值: 全部封鎖
深入了解
- 列舉與 Kernel DMA Protection 不相容的外部裝置
基準預設值: 未設定
深入了解
防火牆
- 已封鎖隱形模式
基準預設值: 是
深入了解
- 已封鎖隱形模式
基準預設值: 是
深入了解
- 已封鎖隱形模式
基準預設值: 是
深入了解
Microsoft Defender
開啟即時保護
基準預設值: 是
深入了解擴充雲端保護逾時的額外時間 (0-50 秒)
基準預設值: 50
深入了解掃描所有下載的檔案和附件
基準預設值: 是
深入了解掃描類型
基準預設值: 快速掃描
深入了解Defender 排程掃描日:
基準預設值: 每天Defender 掃描開始時間:
基準預設值: 未設定Defender 範例提交同意
基準預設值: 自動傳送安全範例
深入了解雲端式保護層級
基準預設值: 高
深入了解在完整掃描期間掃描抽取式磁碟驅動器
基準預設值: 是
深入了解Defender 潛在的垃圾應用程式動作
基準預設值: 封鎖
深入了解開啟雲端提供的保護
基準預設值: 是
深入了解
在執行每日快速掃描
基準預設值: 上午 2 點
深入了解排定的掃描開始時間
基準預設值: 上午 2 點設定排程掃描的低 CPU 優先順序
基準預設值: 是
深入了解禁止 Office 通訊應用程式建立子處理程序
基準預設值: 啟用
深入了解封鎖 Adobe Reader 使其無法建立子程序
基準預設值: 啟用
深入了解掃描內送電子郵件訊息
基準預設值: 是
深入了解開啟即時保護
基準預設值: 是
深入了解隔離的惡意郵件的保留天數 (0-90)
基準預設值: 0
深入了解Defender 系統掃描排程
基準預設值: 用戶定義
深入了解擴充雲端保護逾時的額外時間 (0-50 秒)
基準預設值: 50
深入了解在完整掃描期間掃描對應的網路驅動器機
基準預設值: 是
深入了解開啟網路保護
基準預設值: 是
深入了解掃描所有下載的檔案和附件
基準預設值: 是
深入了解存取保護封鎖
基準預設值: 未設定
深入了解掃描瀏覽器文本
基準預設值: 是
深入了解封鎖使用者存取 Microsoft Defender 應用程式
基準預設值: 是
深入了解每個掃描允許的CPU使用量上限 (0-100%)
基準預設值: 50
深入了解掃描類型
基準預設值: 快速掃描
深入了解輸入 (0-24 小時) 檢查安全情報更新的頻率
基準預設值: 8
深入了解Defender 範例提交同意
基準預設值: 自動傳送安全範例
深入了解雲端式保護層級
基準預設值:*未設定
深入了解掃描封存盤案
基準預設值: 是
深入了解開啟行為監視
基準預設值: 是
深入了解在完整掃描期間掃描抽取式磁碟驅動器
基準預設值: 是
深入了解掃描網路檔案
基準預設值: 是
深入了解Defender 潛在的垃圾應用程式動作
基準預設值: 封鎖
深入了解開啟雲端提供的保護
基準預設值: 是
深入了解封鎖 Office 應用程式使其無法將程式碼插入其他程序
基準預設值: 封鎖
深入了解封鎖 Office 應用程式使其無法建立可執行的內容
基準預設值: 封鎖
深入了解封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容
基準預設值: 封鎖
深入了解啟用網路保護
基準預設值: 稽核模式
深入了解封鎖從 USB 執行的未受信任與未簽署程序
基準預設值: 封鎖
深入了解封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證
基準預設值: 啟用
深入了解封鎖從電子郵件和 Webmail 用戶端下載的可執行文件內容
基準預設值: 封鎖
深入了解封鎖所有 Office 應用程式使其無法建立子程序
基準預設值: 封鎖
深入了解封鎖 js/vbs/ps (可能模糊化腳本的執行)
基準預設值: 封鎖
深入了解封鎖來自 Office 宏的 Win32 API 呼叫
基準預設值: 封鎖
深入了解
在執行每日快速掃描
基準預設值: 上午 2 點
深入了解排定的掃描開始時間
基準預設值: 上午 2 點設定排程掃描的低 CPU 優先順序
基準預設值: 是
深入了解禁止 Office 通訊應用程式建立子處理程序
基準預設值: 啟用
深入了解封鎖 Adobe Reader 使其無法建立子程序
基準預設值: 啟用
深入了解掃描內送電子郵件訊息
基準預設值: 是
深入了解開啟即時保護
基準預設值: 是
深入了解隔離的惡意郵件的保留天數 (0-90)
基準預設值: 0
深入了解Defender 系統掃描排程
基準預設值: 用戶定義
深入了解擴充雲端保護逾時的額外時間 (0-50 秒)
基準預設值: 50
深入了解在完整掃描期間掃描對應的網路驅動器機
基準預設值: 是
深入了解開啟網路保護
基準預設值: 是
深入了解掃描所有下載的檔案和附件
基準預設值: 是
深入了解存取保護封鎖
基準預設值: 未設定
深入了解掃描瀏覽器文本
基準預設值: 是
深入了解封鎖使用者存取 Microsoft Defender 應用程式
基準預設值: 是
深入了解每個掃描允許的CPU使用量上限 (0-100%)
基準預設值: 50
深入了解掃描類型
基準預設值: 快速掃描
深入了解輸入 (0-24 小時) 檢查安全情報更新的頻率
基準預設值: 8
深入了解Defender 範例提交同意
基準預設值: 自動傳送安全範例
深入了解雲端式保護層級
基準預設值:*未設定
深入了解掃描封存盤案
基準預設值: 是
深入了解開啟行為監視
基準預設值: 是
深入了解在完整掃描期間掃描抽取式磁碟驅動器
基準預設值: 是
深入了解掃描網路檔案
基準預設值: 是
深入了解Defender 潛在的垃圾應用程式動作
基準預設值: 封鎖
深入了解開啟雲端提供的保護
基準預設值: 是
深入了解封鎖 Office 應用程式使其無法將程式碼插入其他程序
基準預設值: 封鎖
深入了解封鎖 Office 應用程式使其無法建立可執行的內容
基準預設值: 封鎖
深入了解封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容
基準預設值: 封鎖
深入了解啟用網路保護
基準預設值: 稽核模式
深入了解封鎖從 USB 執行的未受信任與未簽署程序
基準預設值: 封鎖
深入了解封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證
基準預設值: 啟用
深入了解封鎖從電子郵件和 Webmail 用戶端下載的可執行文件內容
基準預設值: 封鎖
深入了解封鎖所有 Office 應用程式使其無法建立子程序
基準預設值: 封鎖
深入了解封鎖 js/vbs/ps (可能模糊化腳本的執行)
基準預設值: 封鎖
深入了解封鎖來自 Office 宏的 Win32 API 呼叫
基準預設值: 封鎖
深入了解
Microsoft Defender 資訊安全中心
- 封鎖使用者編輯惡意探索防護保護介面
基準預設值: 是
深入了解
智能螢幕
禁止使用者忽略SmartScreen警告
基準預設值: 是
深入了解開啟 Windows SmartScreen
基準預設值: 是
深入了解需要適用於 Microsoft Edge 的 SmartScreen
基準預設值: 是
深入了解封鎖惡意網站存取
基準預設值: 是
深入了解封鎖未經驗證的檔案下載
基準預設值: 是
深入了解設定 Microsoft Defender SmartScreen
基準預設值: 已啟用防止略過 Microsoft Defender 網站的 SmartScreen 提示
基準預設值: 已啟用防止略過 Microsoft Defender 下載的 SmartScreen 警告
基準預設值: 已啟用設定 Microsoft Defender SmartScreen 來封鎖潛在的垃圾應用程式
基準預設值: 已啟用
僅需要來自市集的應用程式
基準預設值: 是開啟 Windows SmartScreen
基準預設值: 是
深入了解
Windows Hello 企業版
如需詳細資訊,請參閱 Windows 檔中的 PassportForWork CSP 。
封鎖 Windows Hello 企業版
基準預設值: 已停用PIN 中小寫字母 基準預設值: 允許
PIN 中的特殊字元 基準預設值: 允許
PIN 中的大寫字母 基準預設值: 允許
後續步驟
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應