Intune 中適用於端點的 Microsoft Defender 安全性基準中的設定清單

發行項
05/02/2024

本文是您可以使用 Microsoft Intune 部署的不同版本適用於端點的 Microsoft Defender 安全性基準中可用設定的參考。您可以使用下列索引標籤來選取和檢視目前基準版本中的設定，以及一些可能仍在使用的舊版。

針對每個設定，您會找到基準預設組態，這也是相關安全性小組所提供之該設定的建議組態。由於產品和安全性環境不斷演進，因此一個基準版本中的建議預設值可能不符合您在相同基準的更新版本中找到的預設值。不同的基準類型，例如 MDM 安全 性和 適用於端點的 Defender 基準，也可以設定不同的預設值。

當 Intune UI 包含設定的 [深入瞭解] 連結時，您也會在這裡找到。使用該連結來檢視設定 原則設定服務提供者 (CSP) 或說明設定作業的相關內容。

當基準的新版本變成可用時，它會取代舊版。設定文件實例，這些實例是您在新版本可用之前建立的實例：

變成唯讀。您可以繼續使用這些配置檔，但無法編輯它們來變更其組態。
可以更新為最新版本。將設定檔更新為目前的基準版本之後，您可以編輯配置檔來修改設定。

若要深入瞭解如何使用安全性基準，請參閱使用安全性基準。在該文章中，您也會找到如何：

變更配置檔的基準版本，以更新配置檔以使用該基準的最新版本。

適用於端點的 Microsoft Defender 2020 年 12 月 - 第 6 版的基準

適用於端點的 Microsoft Defender 2020 年 9 月 - 第 5 版的基準

適用於端點的 Microsoft Defender 2020 年 4 月 - 第 4 版的基準

適用於端點的 Microsoft Defender 2020 年 3 月 - 第 3 版的基準

當您的環境符合使用適用於端點的 Microsoft Defender 的必要條件時，就會提供適用於端點的 Microsoft Defender 基準。

此基準已針對實體裝置優化，不建議用於虛擬機 (VM) 或 VDI 端點。某些基準設定可能會影響虛擬化環境中的遠端互動式會話。如需詳細資訊，請參閱 Windows 檔中的提高適用於端點的 Microsoft Defender 安全性基準的合規性。

受攻擊面縮小規則

受攻擊面縮小規則支持合併來自不同原則的設定，以建立每個裝置的原則超集。只會合並未發生衝突的設定。發生衝突的設定不會新增至規則的超集。先前，如果兩個原則包含單一設定的衝突，這兩個原則都會標示為發生衝突，而且不會部署來自任一配置檔的設定。

受攻擊面縮小規則合併行為如下：

下列設定檔中的受攻擊面縮小規則會針對套用規則的每個裝置進行評估：
- 裝置>設定原則 > 端點保護配置檔 > Microsoft Defender 惡意探索防護>攻擊面縮小
- 端點安全 > 性受攻擊面縮小原則 >受攻擊面縮小規則
- 端點安全>性>基準適用於端點的 Microsoft Defender 基準>受攻擊面縮小規則。
不會發生衝突的設定會新增至裝置的原則超集。
當兩個或多個原則的設定發生衝突時，衝突的設定不會新增至合併的原則，而不會衝突的設定則會新增至套用至裝置的超集原則。
只會保留衝突設定的組態。

若要深入瞭解，請參閱適用於端點的 Microsoft Defender 檔中的受攻擊面縮小規則。

禁止 Office 通訊應用程式建立子處理程序
基準預設值：啟用
深入了解
封鎖 Adobe Reader 使其無法建立子程序
基準預設值：啟用
深入了解
封鎖 Office 應用程式使其無法將程式碼插入其他程序
基準預設值：封鎖
深入了解
封鎖 Office 應用程式使其無法建立可執行的內容
基準預設值：封鎖
深入了解
封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容
基準預設值：封鎖
深入了解
啟用網路保護
基準預設值：啟用
深入了解
封鎖從 USB 執行的未受信任與未簽署程序
基準預設值：封鎖
深入了解
封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證
基準預設值：啟用
深入了解
封鎖從電子郵件和 Webmail 用戶端下載的可執行文件內容
基準預設值：封鎖
深入了解
封鎖所有 Office 應用程式使其無法建立子程序
基準預設值：封鎖
深入了解
封鎖 js/vbs/ps (可能模糊化腳本的執行)
基準預設值：封鎖
深入了解
封鎖來自 Office 宏的 Win32 API 呼叫
基準預設值：封鎖
深入了解

應用程式防護

如需詳細資訊，請參閱 Windows 檔中的 WindowsDefenderApplicationGuard CSP 。

當您使用 Microsoft Edge 時，Microsoft Defender 應用程式防護保護您的環境不受貴組織信任的網站。當使用者造訪未列在隔離網路界限中的網站時，這些網站會在 Hyper-V 虛擬瀏覽會話中開啟。信任的網站是由網路界限所定義。

開啟 Edge (Options) 的應用程式防護
基準預設值： 已針對Edge啟用
深入了解
- 封鎖來自非企業核准網站的外部內容
  基準預設值：是
  深入了解
- 剪貼簿行為
  基準預設值： 封鎖計算機與瀏覽器之間的複製和貼上
  深入了解
Windows 網路隔離原則
基準預設值：設定
深入了解
- 網路網域
  基準預設值： securitycenter.windows.com

BitLocker

僅限行動裝置 (需要加密記憶體卡)
基準預設值：是
深入了解

注意事項

Windows 10 行動裝置版和 Windows Phone 8.1 的支援已於 2020 年 8 月終止。
啟用 OS 和固定數據磁碟驅動器的完整磁碟加密
基準預設值：是
深入了解
BitLocker 系統磁碟驅動器原則
基準預設值：設定
深入了解
- 設定作業系統磁碟驅動器的加密方法
  基準預設值： 未設定
  深入了解
BitLocker 固定磁碟驅動器原則
基準預設值：設定
深入了解
- 封鎖未受 BitLocker 保護之固定數據磁碟驅動器的寫入存取
  基準預設值：是
  深入了解
  當 BitLocker 固定磁碟驅動器原則 設定為 [設定] 時，即可使用此設定。
- 設定固定數據磁碟驅動器的加密方法
  基準預設值： AES 128 位 XTS
  深入了解
BitLocker 卸除式磁碟驅動器原則
基準預設值：設定
深入了解
- 設定抽取式數據磁碟驅動器的加密方法
  基準預設值： AES 128 位 CBC
  深入了解
- 封鎖對不受 BitLocker 保護之抽取式數據磁碟驅動器的寫入存取
  基準預設值： 未設定
  深入了解

使用電池睡眠時的待命狀態 基準預設值： 已停用
深入了解
插入電源時睡眠時的待命狀態
基準預設值： 已停用
深入了解
啟用 OS 和固定數據磁碟驅動器的完整磁碟加密
基準預設值：是
深入了解
BitLocker 系統磁碟驅動器原則
基準預設值：設定
深入了解
- 需要啟動驗證
  基準預設值：是
  深入了解
- 相容的 TPM 啟動 PIN
  基準預設值：允許
  深入了解
- 相容的 TPM 啟動金鑰
  基準預設值：必要
  深入了解
- 在 TPM 不相容的裝置上停用 BitLocker
  基準預設值：是
  深入了解
- 設定作業系統磁碟驅動器的加密方法
  基準預設值： 未設定
  深入了解
BitLocker 固定磁碟驅動器原則
基準預設值：設定
深入了解
- 封鎖未受 BitLocker 保護之固定數據磁碟驅動器的寫入存取
  基準預設值：是
  深入了解
  當 BitLocker 固定磁碟驅動器原則 設定為 [設定] 時，即可使用此設定。
- 設定固定數據磁碟驅動器的加密方法
  基準預設值： AES 128 位 XTS
  深入了解
BitLocker 卸除式磁碟驅動器原則
基準預設值：設定
深入了解
- 設定抽取式數據磁碟驅動器的加密方法
  基準預設值： AES 128 位 CBC
  深入了解
- 封鎖對不受 BitLocker 保護之抽取式數據磁碟驅動器的寫入存取
  基準預設值： 未設定
  深入了解

BitLocker 系統磁碟驅動器原則
基準預設值：設定
深入了解
- 需要啟動驗證
  基準預設值：是
  深入了解
- 相容的 TPM 啟動 PIN
  基準預設值：允許
  深入了解
- 相容的 TPM 啟動金鑰
  基準預設值：必要
  深入了解
- 在 TPM 不相容的裝置上停用 BitLocker
  基準預設值：是
  深入了解
- 設定作業系統磁碟驅動器的加密方法
  基準預設值： 未設定
  深入了解
使用電池睡眠時的待命狀態 基準預設值： 已停用
深入了解
插入電源時睡眠時的待命狀態
基準預設值： 已停用
深入了解
啟用 OS 和固定數據磁碟驅動器的完整磁碟加密
基準預設值：是
深入了解
BitLocker 固定磁碟驅動器原則
基準預設值：設定
深入了解
- 封鎖未受 BitLocker 保護之固定數據磁碟驅動器的寫入存取
  基準預設值：是
  深入了解
  當 BitLocker 固定磁碟驅動器原則 設定為 [設定] 時，即可使用此設定。
- 設定固定數據磁碟驅動器的加密方法
  基準預設值： AES 128 位 XTS
  深入了解
BitLocker 卸除式磁碟驅動器原則
基準預設值：設定
深入了解
- 設定抽取式數據磁碟驅動器的加密方法
  基準預設值： AES 128 位 CBC
  深入了解
- 封鎖對不受 BitLocker 保護之抽取式數據磁碟驅動器的寫入存取
  基準預設值： 未設定
  深入了解

瀏覽器

需要適用於 Microsoft Edge 的 SmartScreen
基準預設值：是
深入了解
封鎖惡意網站存取
基準預設值：是
深入了解
封鎖未經驗證的檔案下載
基準預設值：是
深入了解

資料保護

封鎖直接記憶體存取
基準預設值：是
深入了解

Device Guard

開啟 credential guard
基準預設值： 使用 UEFI 鎖定啟用
深入了解

裝置安裝

依裝置標識碼安裝硬體裝置
基準預設值： 封鎖硬體裝置安裝
深入了解
- 拿掉相符的硬體裝置 基準預設值：是
- 已封鎖的硬體裝置標識碼
  基準預設值： 預設不會設定。手動新增一或多個裝置標識碼。

依安裝類別安裝硬體裝置
基準預設值： 封鎖硬體裝置安裝
深入了解
- 拿掉相符的硬體裝置 基準預設值： 未設定
- 已封鎖的硬體裝置標識碼 基準預設值： 預設不會設定。手動新增一或多個裝置標識碼。

依安裝類別封鎖硬體裝置安裝：
基準預設值：是
深入了解
- 拿掉相符的硬體裝置：
  基準預設值：是
- 封鎖清單
  基準預設值： 預設不會設定。手動新增一或多個安裝類別全域唯一標識碼。

DMA Guard

列舉與 Kernel DMA Protection 不相容的外部裝置
基準預設值： 全部封鎖
深入了解

列舉與 Kernel DMA Protection 不相容的外部裝置
基準預設值： 未設定
深入了解

端點偵測及回應

所有檔案的範例共用
基準預設值：是
深入了解
加速遙測報告頻率
基準預設值：是
深入了解

防火牆

具狀態檔傳輸通訊協定 (FTP)
基準預設值： 已停用
深入了解
安全性關聯在刪除前可以閑置的秒數
基準預設值： 300
深入了解
預先共用的金鑰編碼
基準預設值： UTF8
深入了解
CRL) 驗證 (證書吊銷清單
基準預設值： 未設定
深入了解
封包佇列
基準預設值： 未設定
深入了解
私人防火牆配置檔
基準預設值：設定
深入了解
- 已封鎖輸入連線
  基準預設值：是
  深入了解
- 需要多播廣播的單播回應
  基準預設值：是
  深入了解
- 需要輸出連線
  基準預設值：是
  深入了解
- 已封鎖輸入通知
  基準預設值：是
  深入了解
- 已合併組策略的全域埠規則
  基準預設值：是
  深入了解
- 已啟用防火牆
  基準預設值：允許
  深入了解
- 來自組策略的授權應用程式規則未合併
  基準預設值：是
  深入了解
- 來自組策略的連線安全性規則未合併
  基準預設值：是
  深入了解
- 需要連入流量
  基準預設值：是
  深入了解
- 來自組策略的原則規則未合併
  基準預設值：是
  深入了解

已封鎖隱形模式
基準預設值：是
深入了解

防火牆配置檔公用
基準預設值：設定
深入了解
- 已封鎖輸入連線
  基準預設值：是
  深入了解
- 需要多播廣播的單播回應
  基準預設值：是
  深入了解
- 需要輸出連線
  基準預設值：是
  深入了解
- 來自組策略的授權應用程式規則未合併
  基準預設值：是**
  深入了解
- 已封鎖輸入通知
  基準預設值：是
  深入了解
- 已合併組策略的全域埠規則
  基準預設值：是
  深入了解
- 已啟用防火牆
  基準預設值：允許
  深入了解
- 來自組策略的連線安全性規則未合併
  基準預設值：是
  深入了解
- 需要連入流量
  基準預設值：是
  深入了解
- 來自組策略的原則規則未合併
  基準預設值：是
  深入了解

已封鎖隱形模式
基準預設值：是
深入了解

防火牆配置檔網域
基準預設值：設定
深入了解
- 需要多播廣播的單播回應
  基準預設值：是
  深入了解
- 來自組策略的授權應用程式規則未合併
  基準預設值：是
  深入了解
- 已封鎖輸入通知
  基準預設值：是
  深入了解
- 已合併組策略的全域埠規則
  基準預設值：是
  深入了解
- 已啟用防火牆
  基準預設值：允許
  深入了解
- 來自組策略的連線安全性規則未合併
  基準預設值：是
  深入了解
- 來自組策略的原則規則未合併
  基準預設值：是
  深入了解

已封鎖隱形模式
基準預設值：是
深入了解

Microsoft Defender

開啟即時保護
基準預設值：是
深入了解
擴充雲端保護逾時的額外時間 (0-50 秒)
基準預設值： 50
深入了解
掃描所有下載的檔案和附件
基準預設值：是
深入了解
掃描類型
基準預設值： 快速掃描
深入了解
Defender 排程掃描日：
基準預設值：每天
Defender 掃描開始時間：
基準預設值： 未設定
Defender 範例提交同意
基準預設值： 自動傳送安全範例
深入了解
雲端式保護層級
基準預設值：高
深入了解
在完整掃描期間掃描抽取式磁碟驅動器
基準預設值：是
深入了解
Defender 潛在的垃圾應用程式動作
基準預設值：封鎖
深入了解
開啟雲端提供的保護
基準預設值：是
深入了解

開啟即時保護
基準預設值：是
深入了解
擴充雲端保護逾時的額外時間 (0-50 秒)
基準預設值： 50
深入了解
掃描所有下載的檔案和附件
基準預設值：是
深入了解
掃描類型
基準預設值： 快速掃描
深入了解
Defender 範例提交同意
基準預設值： 自動傳送安全範例
深入了解
雲端式保護層級
基準預設值：高
深入了解
在完整掃描期間掃描抽取式磁碟驅動器
基準預設值：是
深入了解
Defender 潛在的垃圾應用程式動作
基準預設值：封鎖
深入了解
開啟雲端提供的保護
基準預設值：是
深入了解

在執行每日快速掃描
基準預設值： 上午 2 點
深入了解
排定的掃描開始時間
基準預設值： 上午 2 點
設定排程掃描的低 CPU 優先順序
基準預設值：是
深入了解
禁止 Office 通訊應用程式建立子處理程序
基準預設值：啟用
深入了解
封鎖 Adobe Reader 使其無法建立子程序
基準預設值：啟用
深入了解
掃描內送電子郵件訊息
基準預設值：是
深入了解
開啟即時保護
基準預設值：是
深入了解
隔離的惡意郵件的保留天數 (0-90)
基準預設值： 0
深入了解
Defender 系統掃描排程
基準預設值： 用戶定義
深入了解
擴充雲端保護逾時的額外時間 (0-50 秒)
基準預設值： 50
深入了解
在完整掃描期間掃描對應的網路驅動器機
基準預設值：是
深入了解
開啟網路保護
基準預設值：是
深入了解
掃描所有下載的檔案和附件
基準預設值：是
深入了解
存取保護封鎖
基準預設值： 未設定
深入了解
掃描瀏覽器文本
基準預設值：是
深入了解
封鎖使用者存取 Microsoft Defender 應用程式
基準預設值：是
深入了解
每個掃描允許的CPU使用量上限 (0-100%)
基準預設值： 50
深入了解
掃描類型
基準預設值： 快速掃描
深入了解
輸入 (0-24 小時) 檢查安全情報更新的頻率
基準預設值： 8
深入了解
Defender 範例提交同意
基準預設值： 自動傳送安全範例
深入了解
雲端式保護層級
基準預設值：*未設定
深入了解
掃描封存盤案
基準預設值：是
深入了解
開啟行為監視
基準預設值：是
深入了解
在完整掃描期間掃描抽取式磁碟驅動器
基準預設值：是
深入了解
掃描網路檔案
基準預設值：是
深入了解
Defender 潛在的垃圾應用程式動作
基準預設值：封鎖
深入了解
開啟雲端提供的保護
基準預設值：是
深入了解
封鎖 Office 應用程式使其無法將程式碼插入其他程序
基準預設值：封鎖
深入了解
封鎖 Office 應用程式使其無法建立可執行的內容
基準預設值：封鎖
深入了解
封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容
基準預設值：封鎖
深入了解
啟用網路保護
基準預設值： 稽核模式
深入了解
封鎖從 USB 執行的未受信任與未簽署程序
基準預設值：封鎖
深入了解
封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證
基準預設值：啟用
深入了解
封鎖從電子郵件和 Webmail 用戶端下載的可執行文件內容
基準預設值：封鎖
深入了解
封鎖所有 Office 應用程式使其無法建立子程序
基準預設值：封鎖
深入了解
封鎖 js/vbs/ps (可能模糊化腳本的執行)
基準預設值：封鎖
深入了解
封鎖來自 Office 宏的 Win32 API 呼叫
基準預設值：封鎖
深入了解

在執行每日快速掃描
基準預設值： 上午 2 點
深入了解
排定的掃描開始時間
基準預設值： 上午 2 點
設定排程掃描的低 CPU 優先順序
基準預設值：是
深入了解
禁止 Office 通訊應用程式建立子處理程序
基準預設值：啟用
深入了解
封鎖 Adobe Reader 使其無法建立子程序
基準預設值：啟用
深入了解
掃描內送電子郵件訊息
基準預設值：是
深入了解
開啟即時保護
基準預設值：是
深入了解
隔離的惡意郵件的保留天數 (0-90)
基準預設值： 0
深入了解
Defender 系統掃描排程
基準預設值： 用戶定義
深入了解
擴充雲端保護逾時的額外時間 (0-50 秒)
基準預設值： 50
深入了解
在完整掃描期間掃描對應的網路驅動器機
基準預設值：是
深入了解
開啟網路保護
基準預設值：是
深入了解
掃描所有下載的檔案和附件
基準預設值：是
深入了解
存取保護封鎖
基準預設值： 未設定
深入了解
掃描瀏覽器文本
基準預設值：是
深入了解
封鎖使用者存取 Microsoft Defender 應用程式
基準預設值：是
深入了解
每個掃描允許的CPU使用量上限 (0-100%)
基準預設值： 50
深入了解
掃描類型
基準預設值： 快速掃描
深入了解
輸入 (0-24 小時) 檢查安全情報更新的頻率
基準預設值： 8
深入了解
Defender 範例提交同意
基準預設值： 自動傳送安全範例
深入了解
雲端式保護層級
基準預設值：*未設定
深入了解
掃描封存盤案
基準預設值：是
深入了解
開啟行為監視
基準預設值：是
深入了解
在完整掃描期間掃描抽取式磁碟驅動器
基準預設值：是
深入了解
掃描網路檔案
基準預設值：是
深入了解
Defender 潛在的垃圾應用程式動作
基準預設值：封鎖
深入了解
開啟雲端提供的保護
基準預設值：是
深入了解
封鎖 Office 應用程式使其無法將程式碼插入其他程序
基準預設值：封鎖
深入了解
封鎖 Office 應用程式使其無法建立可執行的內容
基準預設值：封鎖
深入了解
封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容
基準預設值：封鎖
深入了解
啟用網路保護
基準預設值： 稽核模式
深入了解
封鎖從 USB 執行的未受信任與未簽署程序
基準預設值：封鎖
深入了解
封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證
基準預設值：啟用
深入了解
封鎖從電子郵件和 Webmail 用戶端下載的可執行文件內容
基準預設值：封鎖
深入了解
封鎖所有 Office 應用程式使其無法建立子程序
基準預設值：封鎖
深入了解
封鎖 js/vbs/ps (可能模糊化腳本的執行)
基準預設值：封鎖
深入了解
封鎖來自 Office 宏的 Win32 API 呼叫
基準預設值：封鎖
深入了解

Microsoft Defender 資訊安全中心

封鎖使用者編輯惡意探索防護保護介面
基準預設值：是
深入了解

智能螢幕

禁止使用者忽略SmartScreen警告
基準預設值：是
深入了解
開啟 Windows SmartScreen
基準預設值：是
深入了解
需要適用於 Microsoft Edge 的 SmartScreen
基準預設值：是
深入了解
封鎖惡意網站存取
基準預設值：是
深入了解
封鎖未經驗證的檔案下載
基準預設值：是
深入了解
設定 Microsoft Defender SmartScreen
基準預設值： 已啟用
防止略過 Microsoft Defender 網站的 SmartScreen 提示
基準預設值： 已啟用
防止略過 Microsoft Defender 下載的 SmartScreen 警告
基準預設值： 已啟用
設定 Microsoft Defender SmartScreen 來封鎖潛在的垃圾應用程式
基準預設值： 已啟用

僅需要來自市集的應用程式
基準預設值：是
開啟 Windows SmartScreen
基準預設值：是
深入了解

Windows Hello 企業版

如需詳細資訊，請參閱 Windows 檔中的 PassportForWork CSP 。

封鎖 Windows Hello 企業版
基準預設值： 已停用
- PIN 中小寫字母 基準預設值：允許
- PIN 中的特殊字元 基準預設值：允許
- PIN 中的大寫字母 基準預設值：允許

Intune 中適用於端點的 Microsoft Defender 安全性基準中的設定清單

受攻擊面縮小規則

應用程式防護

BitLocker

瀏覽器

資料保護

Device Guard

裝置安裝

DMA Guard

端點偵測及回應

防火牆

Microsoft Defender

Microsoft Defender 資訊安全中心

智能螢幕

Windows Hello 企業版

後續步驟

意見反應

意見反應

其他資源

Intune 中 適用於端點的 Microsoft Defender 安全性基準中的設定清單

受攻擊面縮小規則

應用程式防護

BitLocker

瀏覽器

資料保護

Device Guard

裝置安裝

DMA Guard

端點偵測及回應

防火牆

Microsoft Defender

Microsoft Defender 資訊安全中心

智能螢幕

Windows Hello 企業版

後續步驟

意見反應

意見反應

其他資源

Intune 中適用於端點的 Microsoft Defender 安全性基準中的設定清單