Seznam nastavení ve standardních hodnotách zabezpečení Microsoft Defenderu for Endpoint v Intune
Tento článek je referenční dokumentace k nastavení, která jsou k dispozici v různých verzích standardních hodnot zabezpečení Microsoft Defenderu for Endpoint, které můžete nasadit pomocí Microsoft Intune. Pomocí karet vyberte a zobrazte nastavení v nejnovější základní verzi a v několika starších verzích, které se můžou stále používat.
Pro každé nastavení tento odkaz identifikuje výchozí konfiguraci standardních hodnot, což je také doporučená konfigurace pro toto nastavení poskytnutá příslušným týmem zabezpečení. Vzhledem k tomu, že se produkty a prostředí zabezpečení vyvíjejí, doporučené výchozí hodnoty v jedné základní verzi nemusí odpovídat výchozím hodnotám, které najdete v novějších verzích stejného směrného plánu. Různé typy standardních hodnot, jako je zabezpečení MDM a standardní hodnoty defenderu pro koncové body , můžou také nastavit různé výchozí hodnoty.
Pokud uživatelské rozhraní Intune obsahuje odkaz Další informace o nastavení, najdete ho tady také. Tento odkaz slouží k zobrazení poskytovatele konfigurační služby (CSP) zásad nastavení nebo relevantního obsahu, který vysvětluje operaci nastavení.
Jakmile bude k dispozici nová verze směrného plánu, nahradí předchozí verzi. Instance profilů, které se vytvořily před dostupností nové verze:
- Staňte se jen pro čtení. Tyto profily můžete dál používat, ale nemůžete je upravit a změnit jejich konfiguraci.
- Lze aktualizovat na nejnovější verzi. Po aktualizaci profilu na aktuální základní verzi můžete upravit nastavení úpravou profilu.
Další informace o používání standardních hodnot zabezpečení najdete v tématu Použití standardních hodnot zabezpečení. V tomto článku najdete také informace o tom, jak:
- Změňte základní verzi profilu tak, aby profil aktualizoval tak, aby používal nejnovější verzi tohoto směrného plánu.
Microsoft Defender for Endpoint – standardní verze 24H1
Standardní hodnoty pro Microsoft Defender for Endpoint pro prosinec 2020 – verze 6
Standardní hodnoty pro Microsoft Defender for Endpoint pro září 2020 – verze 5
Standardní hodnoty pro Microsoft Defender for Endpoint pro duben 2020 – verze 4
Standardní hodnoty programu Microsoft Defender for Endpoint pro březen 2020 – verze 3
Standardní hodnoty Microsoft Defenderu for Endpoint jsou k dispozici, pokud vaše prostředí splňuje požadavky na používání Microsoft Defenderu for Endpoint.
Tento směrný plán je optimalizovaný pro fyzická zařízení a nedoporučuje se používat na virtuálních počítačích nebo koncových bodech VDI. Některá základní nastavení můžou mít vliv na vzdálené interaktivní relace ve virtualizovaných prostředích. Další informace najdete v tématu Zvýšení dodržování předpisů standardních hodnot zabezpečení microsoft defenderu for Endpoint v dokumentaci k Windows.
Šablony pro správu
Omezení instalace zařízení pro instalaci > systémového > zařízení
Zabránit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení
Výchozí směrný plán: Povoleno
Další informacePlatí také pro odpovídající zařízení, která jsou už nainstalovaná.
Výchozí směrný plán: FalseTřídy, kterým bylo zabráněno
Výchozí hodnota standardního plánu: d48179be-ec20-11d1-b6b8-00c04fa372a7
Součásti windows > – Nástroj BitLocker Drive Encryption
Volba metody šifrování jednotky a síly šifry (Windows 10 [verze 1511] a novější)
Výchozí směrný plán: Povoleno
Další informaceVyberte metodu šifrování vyměnitelných datových jednotek:
Výchozí směrný plán: AES-CBC 128 bitů (výchozí)Vyberte metodu šifrování pro jednotky operačního systému:
Výchozí hodnota standardního plánu: XTS-AES 128 bitů (výchozí)Vyberte metodu šifrování pevných datových jednotek:
Výchozí hodnota standardního plánu: XTS-AES 128 bitů (výchozí)
Součásti > windows – Pevné datové jednotky nástroje BitLocker Drive Encryption >
Volba způsobu obnovení pevných jednotek chráněných bitlockerem
Výchozí směrný plán: Povoleno
Další informaceNepovolujte nástroj BitLocker, dokud se informace o obnovení neuloží do služby AD DS pro pevné datové jednotky.
Výchozí směrný plán: TruePovolit agenta obnovení dat
Výchozí směrný plán: TrueKonfigurace úložiště informací bitlockeru pro obnovení do služby AD DS:
Výchozí nastavení podle směrného plánu: Hesla a balíčky klíčů pro obnovení zálohHodnota: Povolit 256bitový obnovovací klíč
Uložení informací o obnovení nástroje BitLocker do služby AD DS pro pevné datové jednotky
Výchozí směrný plán: TrueVynechání možností obnovení v průvodci nastavením nástroje BitLocker
Výchozí směrný plán: TrueNakonfigurujte uživatelské úložiště informací bitlockeru pro obnovení:
Výchozí směrný plán: Povolit 48místné heslo pro obnovení
Odepření přístupu k zápisu k pevným jednotkám, které nejsou chráněné nástrojem BitLocker
Výchozí směrný plán: Povoleno
Další informaceVynucení typu šifrování jednotky na pevných datových jednotkách
Výchozí směrný plán: Povoleno
Další informace-
Vyberte typ šifrování: (Zařízení)
Výchozí směrný plán: Šifrování pouze využité místo
-
Vyberte typ šifrování: (Zařízení)
Součásti > systému Windows BitLocker Drive Encryption > – jednotky operačního systému
Umožněte zařízením kompatibilním s InstantGo nebo HSTI, aby se odhlásila z pin kódu před spuštěním.
Výchozí směrný plán: Zakázáno
Další informacePovolit rozšířené PIN kódy pro spuštění
Výchozí směrný plán: Zakázáno
Další informaceVolba způsobu obnovení jednotek operačního systému chráněných bitlockerem
Výchozí směrný plán: Povoleno
Další informaceVynechání možností obnovení v průvodci nastavením nástroje BitLocker
Výchozí směrný plán: TrueHodnota: Povolit 256bitový obnovovací klíč
Uložení informací o obnovení nástroje BitLocker do služby AD DS pro jednotky operačního systému
Výchozí směrný plán: TrueNepovolujte nástroj BitLocker, dokud se informace o obnovení neuloží do služby AD DS pro jednotky operačního systému.
Výchozí směrný plán: TrueNakonfigurujte uživatelské úložiště informací bitlockeru pro obnovení:
Výchozí směrný plán: Povolit 48místné heslo pro obnoveníPovolit agenta obnovení dat
Výchozí směrný plán: TrueKonfigurace úložiště informací bitlockeru pro obnovení do služby AD DS:
Výchozí směrný plán: Ukládání hesel pro obnovení a balíčků klíčů
Povolení ověřování nástrojem BitLocker, které vyžaduje vstup z klávesnice před spuštěním na tabulích
Výchozí směrný plán: Povoleno
Další informaceVynucení typu šifrování jednotky na jednotce operačního systému
Výchozí směrný plán: Povoleno
Další informace-
Vyberte typ šifrování: (Zařízení)
Výchozí směrný plán: Šifrování pouze využité místo
-
Vyberte typ šifrování: (Zařízení)
Vyžadovat další ověřování při spuštění
Výchozí směrný plán: Povoleno
Další informaceKonfigurace spouštěcího klíče a PIN kódu TPM:
Výchozí směrný plán: Nepovolit spouštěcí klíč a PIN kód s čipem TPMPovolit BitLocker bez kompatibilního čipu TPM (vyžaduje heslo nebo spouštěcí klíč na USB flash disku)
Výchozí směrný plán: FalseKonfigurace spuštění čipu TPM:
Výchozí směrný plán: Povolit čip TPMKonfigurace spouštěcího PIN kódu TPM:
Výchozí směrný plán: Povolení spouštěcího PIN kódu s čipem TPMKonfigurace spouštěcího klíče TPM:
Výchozí směrný plán: Nepovolit spouštěcí klíč s čipem TPM
Vyměnitelné datové jednotky pro součásti > windows Nástroje BitLocker Drive Encryption >
Řízení používání nástroje BitLocker na vyměnitelných jednotkách
Výchozí směrný plán: Povoleno
Další informacePovolit uživatelům použít ochranu nástrojem BitLocker na vyměnitelné datové jednotky (zařízení)
Výchozí směrný plán: TrueVynucení typu šifrování jednotky na vyměnitelných datových jednotkách
Výchozí směrný plán: Povoleno
Další informace-
Vyberte typ šifrování: (Zařízení)
Výchozí směrný plán: Šifrování pouze využité místo
-
Vyberte typ šifrování: (Zařízení)
Povolit uživatelům pozastavit a dešifrovat ochranu nástrojem BitLocker na vyměnitelných datových jednotkách (zařízení)
Výchozí směrný plán: False
Odepřít přístup k zápisu k vyměnitelným jednotkám, které nejsou chráněné nástrojem BitLocker
Výchozí směrný plán: Povoleno
Další informace-
Nepovolit přístup k zápisu do zařízení nakonfigurovaných v jiné organizaci
Výchozí směrný plán: False
-
Nepovolit přístup k zápisu do zařízení nakonfigurovaných v jiné organizaci
Průzkumník souborů součástí > Systému Windows
Konfigurace filtru SmartScreen v programu Windows Defender
Výchozí směrný plán: Povoleno
Další informace-
Vyberte jedno z následujících nastavení: (Zařízení)
Výchozí nastavení směrného plánu: Upozornění a zabránění obejití
-
Vyberte jedno z následujících nastavení: (Zařízení)
Součásti systému > Windows Internet Explorer
Zabránění obejití upozornění filtru SmartScreen u souborů, které se běžně nestahují z internetu
Výchozí směrný plán: Povoleno
Další informaceZabránit obejití upozornění filtru SmartScreen u souborů, které se běžně nestahují z internetu (uživatel)
Výchozí směrný plán: Povoleno
Další informaceZabránit správě filtru SmartScreen
Výchozí směrný plán: Povoleno
Další informace-
Výběr režimu filtru SmartScreen
Výchozí směrný plán: Zapnuto
-
Výběr režimu filtru SmartScreen
BitLocker
Povolit upozornění pro jiné šifrování disku
Výchozí směrný plán: Povoleno
Další informaceKonfigurace obměně hesel pro obnovení
Výchozí nastavení podle směrného plánu: Aktualizace je zapnutá pro zařízení připojená k Azure AD i zařízení připojená k hybridnímu připojení
Další informaceVyžadovat šifrování zařízení
Výchozí směrný plán: Povoleno
Další informace
Defender
Povolit prohledávání archivu
Výchozí směrný plán: Povoleno. Zkontroluje archivní soubory.
Další informacePovolit monitorování chování
Výchozí směrný plán: Povoleno. Zapne monitorování chování v reálném čase.
Další informacePovolit cloudovou ochranu
Výchozí směrný plán: Povoleno. Zapne Cloud Protection.
Další informacePovolit kontrolu e-mailů
Výchozí směrný plán: Povoleno. Zapne kontrolu e-mailů.
Další informacePovolit úplnou kontrolu vyměnitelné jednotky
Výchozí směrný plán: Povoleno. Prohledá vyměnitelné jednotky.
Další informacePovolit při ochraně přístupu
Výchozí směrný plán: Povoleno.
Další informacePovolit monitorování v reálném čase
Výchozí směrný plán: Povoleno. Zapne a spustí monitorovací službu v reálném čase.
Další informacePovolit prohledávání síťových souborů
Výchozí směrný plán: Povoleno. Kontroluje síťové soubory.
Další informacePovolit kontrolu všech stažených souborů a příloh
Výchozí směrný plán: Povoleno.
Další informacePovolit kontrolu skriptů
Výchozí směrný plán: Povoleno.
Další informacePovolit přístup k uživatelskému rozhraní
Výchozí směrný plán: Povoleno. Umožňuje uživatelům přístup k uživatelskému rozhraní.
Další informaceBlokování spouštění potenciálně obfuskovaných skriptů
Výchozí směrný plán: Blokovat
Další informaceBlokování volání rozhraní API Win32 z maker Office
Výchozí směrný plán: Blokovat
Další informaceBlokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu
Výchozí směrný plán: Blokovat
Další informaceBlokovat komunikační aplikaci Office ve vytváření podřízených procesů
Výchozí směrný plán: Blokovat
Další informaceBlokovat vytváření podřízených procesů všem aplikacím Office
Výchozí směrný plán: Blokovat
Další informaceBlokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu
Výchozí směrný plán: Blokovat
Další informaceBlokování vytváření webového prostředí pro servery
Výchozí směrný plán: Blokovat
Další informaceBlokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB
Výchozí směrný plán: Blokovat
Další informaceBlokovat Adobe Readeru vytváření podřízených procesů
Výchozí směrný plán: Blokovat
Další informaceBlokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows
Výchozí směrný plán: Blokovat
Další informaceBlokování zneužití zneužít ohrožených podepsaných ovladačů (zařízení)
Výchozí směrný plán: Blokovat
Další informaceBlokování trvalosti prostřednictvím odběru událostí WMI
Výchozí směrný plán: Blokovat
Další informace[PREVIEW] Blokování použití zkopírovaných nebo zosobněných systémových nástrojů
Výchozí směrný plán: Blokovat
Další informaceBlokování vytváření procesů pocházejících z příkazů PSExec a WMI
Výchozí směrný plán: Blokovat
Další informaceBlokování aplikací Office ve vytváření spustitelného obsahu
Výchozí směrný plán: Blokovat
Další informaceBlokování vkládání kódu do jiných procesů aplikací Office
Výchozí směrný plán: Blokovat
Další informace[PREVIEW] Blokovat restartování počítače v nouzovém režimu
Výchozí směrný plán: Blokovat
Další informacePoužití pokročilé ochrany proti ransomwaru
Výchozí směrný plán: Blokovat
Další informaceBlokování spustitelného obsahu z e-mailového klienta a webové pošty
Výchozí směrný plán: Blokovat
Další informace
Kontrola podpisů před spuštěním kontroly
Výchozí směrný plán: Povoleno
Další informaceÚroveň bloku cloudu
Výchozí hodnota směrného plánu: Vysoká
Další informaceProdloužený časový limit cloudu
Výchozí směrný plán: Nakonfigurováno
Hodnota: 50
Další informaceZakázat sloučení místních správců
Výchozí směrný plán: Povolení sloučení místních správců
Další informacePovolení ochrany sítě
Výchozí směrný plán: Povoleno (režim blokování)
Další informaceSkrýt vyloučení od místních správců
Výchozí směrný plán: Pokud toto nastavení povolíte, místní správci už nebudou moct seznam vyloučení zobrazovat v aplikaci Zabezpečení Windows nebo prostřednictvím PowerShellu.
Další informaceSkrýt vyloučení od místních uživatelů
Výchozí výchozí nastavení podle směrného plánu: Pokud toto nastavení povolíte, místní uživatelé už nebudou moct seznam vyloučení zobrazit v aplikaci Zabezpečení Windows nebo prostřednictvím PowerShellu.
Další informaceOobe – Povolení aktualizace RTP a Sig
Výchozí směrný plán: Pokud toto nastavení povolíte, během počátečního nastavení počítače se povolí ochrana v reálném čase a aktualizace bezpečnostních informací.
Další informaceOchrana proti PUA
Výchozí směrný plán: PuA Protection zapnuto. Zjištěné položky jsou blokované. Zobrazí se v historii spolu s dalšími hrozbami.
Další informaceSměr kontroly v reálném čase
Výchozí směrný plán: Monitorujte všechny soubory (obousměrné).
Další informaceParametr kontroly
Výchozí směrný plán: Rychlá kontrola
Další informaceNaplánovat čas rychlé kontroly
Výchozí směrný plán: Nakonfigurováno
Hodnota: 120
Další informaceNaplánovat den kontroly
Výchozí hodnota směrného plánu: Každý den
Další informaceNaplánovat čas kontroly
Výchozí směrný plán: Nakonfigurováno
Hodnota: 120
Další informaceInterval aktualizace podpisu
Výchozí směrný plán: Nakonfigurováno
Hodnota: 4
Další informaceOdeslání souhlasu s ukázkami
Výchozí směrný plán: Automaticky odešlete všechny ukázky.
Další informace
Device Guard
-
Credential Guard
Výchozí směrný plán: (Povoleno s zámkem UEFI) Zapne ochranu Credential Guard se zámkem UEFI.
Další informace
Dma Guard
-
Zásady výčtu zařízení
Výchozí nastavení směrného plánu: Blokovat vše (nejvíce omezující)
Další informace
Brána firewall
Ověření seznamu odvolaných certifikátů
Výchozí směrný plán: Žádné
Další informaceZakázání stavové ftp
Výchozí směrný plán: True
Další informacePovolení brány firewall sítě domény
Výchozí směrný plán: True
Další informaceZákaz výjimky zabezpečeného paketu Ipsec v neviditelném režimu
Výchozí směrný plán: True
Další informaceZakázat neviditelný režim
Výchozí směrný plán: False
Další informacePovolit sloučení místních zásad IPsec
Výchozí směrný plán: True
Další informaceZakázání příchozích oznámení
Výchozí směrný plán: True
Další informaceGlobální porty umožňují předběžné sloučení uživatelů
Výchozí směrný plán: True
Další informaceZakázání odpovědí jednosměrového vysílání na vícesměrové vysílání
Výchozí směrný plán: False
Další informacePovolit sloučení místních zásad
Výchozí směrný plán: True
Další informace
Povolit frontu paketů
Výchozí směrný plán: Nakonfigurováno
Další informacePovolit bránu firewall privátní sítě
Výchozí směrný plán: True
Další informaceVýchozí příchozí akce pro privátní profil
Výchozí směrný plán: True
Další informaceZakázání odpovědí jednosměrového vysílání na vícesměrové vysílání
Výchozí směrný plán: False
Další informaceZakázat neviditelný režim
Výchozí směrný plán: False
Další informaceGlobální porty umožňují předběžné sloučení uživatelů
Výchozí směrný plán: True
Další informacePovolit sloučení místních zásad IPsec
Výchozí směrný plán: True
Další informaceZákaz výjimky zabezpečeného paketu Ipsec v neviditelném režimu
Výchozí směrný plán: True
Další informacePovolit sloučení místních zásad
Výchozí směrný plán: True
Další informaceVýchozí odchozí akce
Výchozí směrný plán: Povolit
Další informaceAplikace pro ověřování umožňují předběžné sloučení uživatelů
Výchozí směrný plán: True
Další informaceZakázání příchozích oznámení
Výchozí směrný plán: True
Další informace
Povolit bránu firewall veřejné sítě
Výchozí směrný plán: True
Další informaceZakázat neviditelný režim
Výchozí směrný plán: False
Další informaceVýchozí odchozí akce
Výchozí směrný plán: Povolit
Další informaceZakázání příchozích oznámení
Výchozí směrný plán: True
Další informaceZákaz výjimky zabezpečeného paketu Ipsec v neviditelném režimu
Výchozí směrný plán: True
Další informaceVýchozí příchozí akce pro veřejný profil
Výchozí směrný plán: Blokovat
Další informaceGlobální porty umožňují předběžné sloučení uživatelů
Výchozí směrný plán: True
Další informacePovolit sloučení místních zásad
Výchozí směrný plán: True
Další informacePovolit sloučení místních zásad IPsec
Výchozí směrný plán: True
Další informaceAplikace pro ověřování umožňují předběžné sloučení uživatelů
Výchozí směrný plán: True
Další informaceZakázání odpovědí jednosměrového vysílání na vícesměrové vysílání
Výchozí směrný plán: False
Další informace
Kódování předsdíleného klíče
Výchozí směrný plán: UTF8
Další informaceDoba nečinnosti přidružení zabezpečení
Výchozí směrný plán: Nakonfigurováno
Hodnota: 300
Další informace
Microsoft Edge
Konfigurace filtru SmartScreen v programu Microsoft Defender
Výchozí směrný plán: PovolenoKonfigurace filtru SmartScreen v programu Microsoft Defender pro blokování potenciálně nežádoucích aplikací
Výchozí směrný plán: PovolenoPovolení požadavků DNS SmartScreen v programu Microsoft Defender
Výchozí směrný plán: PovolenoPovolení nové knihovny SmartScreen
Výchozí směrný plán: PovolenoVynucení kontrol filtru SmartScreen v programu Microsoft Defender při stahování z důvěryhodných zdrojů
Výchozí směrný plán: PovolenoZabránění obejití výzev filtru SmartScreen v programu Microsoft Defender pro weby
Výchozí směrný plán: PovolenoZabránění obejití upozornění filtru SmartScreen v programu Microsoft Defender při stahování
Výchozí směrný plán: Povoleno
Pravidla pro omezení potenciální oblasti útoku
Pravidla omezení potenciální oblasti útoku podporují sloučení nastavení z různých zásad a vytvářejí nadmnožinu zásad pro každé zařízení. Sloučí se jenom nastavení, která nejsou v konfliktu. Konfliktní nastavení se nepřidají do nadmnožině pravidel. Pokud dříve dvě zásady zahrnovaly konflikty pro jedno nastavení, obě zásady se označovaly jako konfliktní a nenasadila by se žádná nastavení z žádného profilu.
Chování při slučování pravidla omezení potenciální oblasti útoku je následující:
- Pro každé zařízení, na které se pravidla vztahují, se vyhodnocují pravidla omezení potenciální oblasti útoku z následujících profilů:
- Zásady > konfigurace zařízení > Profil ochrany koncového bodu > Microsoft Defender Exploit Guard >– Zmenšení potenciální plochy útoku
- Zásady > omezení potenciální oblasti útoku zabezpečení > koncového bodu Pravidla omezení potenciální oblasti útoku
- Standardní hodnoty zabezpečení > koncového > bodu : Pravidla omezení potenciální potenciální oblasti útoku v programu Microsoft Defender for Endpoint baseline >
- Nastavení, která neobsahují konflikty, se přidají do nadmnožiny zásad pro zařízení.
- Pokud mají dvě nebo více zásad konfliktní nastavení, konfliktní nastavení se do kombinované zásady nepřidají, zatímco nastavení, která nejsou v konfliktu, se přidají do zásady nadmnožina, která platí pro zařízení.
- Zadržou se pouze konfigurace pro konfliktní nastavení.
Další informace najdete v tématu Pravidla omezení potenciální oblasti útoku v dokumentaci k Microsoft Defenderu for Endpoint.
Blokování komunikačních aplikací Office ve vytváření podřízených procesů
Výchozí směrný plán: Povolit
Další informaceBlokovat Adobe Readeru vytváření podřízených procesů
Výchozí směrný plán: Povolit
Další informaceBlokování vkládání kódu do jiných procesů aplikací Office
Výchozí směrný plán: Blokovat
Další informaceBlokování aplikací Office ve vytváření spustitelného obsahu
Výchozí směrný plán: Blokovat
Další informaceBlokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu
Výchozí směrný plán: Blokovat
Další informacePovolení ochrany sítě
Výchozí směrný plán: Povolit
Další informaceBlokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB
Výchozí směrný plán: Blokovat
Další informaceBlokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe)
Výchozí směrný plán: Povolit
Další informaceBlokování stahování spustitelného obsahu z e-mailových a webových e-mailových klientů
Výchozí směrný plán: Blokovat
Další informaceBlokovat vytváření podřízených procesů všem aplikacím Office
Výchozí směrný plán: Blokovat
Další informaceBlokování spouštění potenciálně obfuskovaných skriptů (js/vbs/ps)
Výchozí směrný plán: Blokovat
Další informaceBlokování volání rozhraní API Win32 z makra Office
Výchozí směrný plán: Blokovat
Další informace
Application Guard
Další informace najdete v tématu WindowsDefenderApplicationGuard CSP v dokumentaci k Windows.
Když používáte Microsoft Edge, ochrana Application Guard v programu Microsoft Defender chrání vaše prostředí před weby, kterým vaše organizace nedůvěřuje. Když uživatelé navštíví weby, které nejsou uvedené v izolované síti, weby se otevřou ve virtuální relaci procházení Hyper-V. Důvěryhodné weby jsou definovány hranicí sítě.
Zapnutí ochrany Application Guard pro Edge (možnosti)
Výchozí směrný plán: Povoleno pro Edge
Další informaceBlokování externího obsahu z webů neschválených podnikem
Výchozí směrný plán: Ano
Další informaceChování schránky
Výchozí směrný plán: Blokování kopírování a vkládání mezi počítačem a prohlížečem
Další informace
Zásady izolace sítě ve Windows
Výchozí směrný plán: Konfigurace
Další informace-
Síťové domény
Výchozí směrný plán: securitycenter.windows.com
-
Síťové domény
BitLocker
Vyžadovat šifrování paměťových karet (jenom mobilní zařízení)
Výchozí směrný plán: Ano
Další informacePoznámka
Podpora pro Windows 10 Mobile a Windows Phone 8.1 skončila v srpnu 2020.
Povolení šifrování celého disku pro operační systém a pevné datové jednotky
Výchozí směrný plán: Ano
Další informaceZásady systémové jednotky nástroje BitLocker
Výchozí směrný plán: Konfigurace
Další informace-
Konfigurace metody šifrování pro jednotky s operačním systémem
Výchozí směrný plán: Nenakonfigurováno
Další informace
-
Konfigurace metody šifrování pro jednotky s operačním systémem
Zásady pevných jednotek nástroje BitLocker
Výchozí směrný plán: Konfigurace
Další informaceBlokování přístupu k zápisu na pevné datové jednotky, které nejsou chráněné nástrojem BitLocker
Výchozí směrný plán: Ano
Další informace
Toto nastavení je dostupné, když je zásada pevných jednotek nástroje BitLocker nastavená na Konfigurovat.Konfigurace metody šifrování pro pevné datové jednotky
Výchozí směrný plán: AES 128bitová verze XTS
Další informace
Zásady vyměnitelné jednotky nástroje BitLocker
Výchozí směrný plán: Konfigurace
Další informaceKonfigurace metody šifrování pro vyměnitelné datové jednotky
Výchozí směrný plán: AES 128bitová CBC
Další informaceBlokování přístupu k zápisu k vyměnitelným datovým jednotkám, které nejsou chráněné nástrojem BitLocker
Výchozí směrný plán: Nenakonfigurováno
Další informace
Pohotovostní stavy při režimu spánku při napájení z baterie Výchozí směrný plán: Zakázáno
Další informacePohotovostní stavy při režimu spánku při napájení ze sítě
Výchozí směrný plán: Zakázáno
Další informacePovolení šifrování celého disku pro operační systém a pevné datové jednotky
Výchozí směrný plán: Ano
Další informaceZásady systémové jednotky nástroje BitLocker
Výchozí směrný plán: Konfigurace
Další informaceVyžaduje se ověřování při spuštění.
Výchozí směrný plán: Ano
Další informaceKompatibilní spouštěcí PIN kód TPM
Výchozí směrný plán: Povoleno
Další informaceKompatibilní spouštěcí klíč TPM
Výchozí směrný plán: Povinné
Další informaceZakázání nástroje BitLocker na zařízeních s nekompatibilním čipem TPM
Výchozí směrný plán: Ano
Další informaceKonfigurace metody šifrování pro jednotky s operačním systémem
Výchozí směrný plán: Nenakonfigurováno
Další informace
Zásady pevných jednotek nástroje BitLocker
Výchozí směrný plán: Konfigurace
Další informaceBlokování přístupu k zápisu na pevné datové jednotky, které nejsou chráněné nástrojem BitLocker
Výchozí směrný plán: Ano
Další informace
Toto nastavení je dostupné, když je zásada pevných jednotek nástroje BitLocker nastavená na Konfigurovat.Konfigurace metody šifrování pro pevné datové jednotky
Výchozí směrný plán: AES 128bitová verze XTS
Další informace
Zásady vyměnitelné jednotky nástroje BitLocker
Výchozí směrný plán: Konfigurace
Další informaceKonfigurace metody šifrování pro vyměnitelné datové jednotky
Výchozí směrný plán: AES 128bitová CBC
Další informaceBlokování přístupu k zápisu k vyměnitelným datovým jednotkám, které nejsou chráněné nástrojem BitLocker
Výchozí směrný plán: Nenakonfigurováno
Další informace
Zásady systémové jednotky nástroje BitLocker
Výchozí směrný plán: Konfigurace
Další informaceVyžaduje se ověřování při spuštění.
Výchozí směrný plán: Ano
Další informaceKompatibilní spouštěcí PIN kód TPM
Výchozí směrný plán: Povoleno
Další informaceKompatibilní spouštěcí klíč TPM
Výchozí směrný plán: Povinné
Další informaceZakázání nástroje BitLocker na zařízeních s nekompatibilním čipem TPM
Výchozí směrný plán: Ano
Další informaceKonfigurace metody šifrování pro jednotky s operačním systémem
Výchozí směrný plán: Nenakonfigurováno
Další informace
Pohotovostní stavy při režimu spánku při napájení z baterie Výchozí směrný plán: Zakázáno
Další informacePohotovostní stavy při režimu spánku při napájení ze sítě
Výchozí směrný plán: Zakázáno
Další informacePovolení šifrování celého disku pro operační systém a pevné datové jednotky
Výchozí směrný plán: Ano
Další informaceZásady pevných jednotek nástroje BitLocker
Výchozí směrný plán: Konfigurace
Další informaceBlokování přístupu k zápisu na pevné datové jednotky, které nejsou chráněné nástrojem BitLocker
Výchozí směrný plán: Ano
Další informace
Toto nastavení je dostupné, když je zásada pevných jednotek nástroje BitLocker nastavená na Konfigurovat.Konfigurace metody šifrování pro pevné datové jednotky
Výchozí směrný plán: AES 128bitová verze XTS
Další informace
Zásady vyměnitelné jednotky nástroje BitLocker
Výchozí směrný plán: Konfigurace
Další informaceKonfigurace metody šifrování pro vyměnitelné datové jednotky
Výchozí směrný plán: AES 128bitová CBC
Další informaceBlokování přístupu k zápisu k vyměnitelným datovým jednotkám, které nejsou chráněné nástrojem BitLocker
Výchozí směrný plán: Nenakonfigurováno
Další informace
Prohlížeč
Vyžadovat filtr SmartScreen pro Microsoft Edge
Výchozí směrný plán: Ano
Další informaceBlokování škodlivého přístupu k webu
Výchozí směrný plán: Ano
Další informaceBlokovat stahování neověřených souborů
Výchozí směrný plán: Ano
Další informace
Ochrana dat
-
Blokovat přímý přístup k paměti
Výchozí směrný plán: Ano
Další informace
Device Guard
-
Zapnutí ochrany přihlašovacích údajů
Výchozí nastavení standardních hodnot: Povolení s zámkem UEFI
Další informace
Instalace zařízení
Instalace hardwarového zařízení podle identifikátorů zařízení
Výchozí nastavení podle směrného plánu: Blokovat instalaci hardwarového zařízení
Další informaceOdebrání odpovídajících hardwarových zařízení Výchozí směrný plán: Ano
Zablokované identifikátory hardwarových zařízení
Výchozí směrný plán: Ve výchozím nastavení není nakonfigurované. Ručně přidejte jeden nebo více identifikátorů zařízení.
Instalace hardwarového zařízení podle tříd nastavení
Výchozí nastavení podle směrného plánu: Blokovat instalaci hardwarového zařízení
Další informaceOdebrání odpovídajících hardwarových zařízení Výchozí směrný plán: Nenakonfigurováno
Zablokované identifikátory hardwarových zařízení Výchozí směrný plán: Ve výchozím nastavení není nakonfigurované. Ručně přidejte jeden nebo více identifikátorů zařízení.
Blokovat instalaci hardwarového zařízení podle instalačních tříd:
Výchozí směrný plán: Ano
Další informaceOdeberte odpovídající hardwarová zařízení:
Výchozí směrný plán: AnoSeznam blokovaných položek
Výchozí směrný plán: Ve výchozím nastavení není nakonfigurované. Ručně přidejte jeden nebo více globálně jedinečných identifikátorů třídy nastavení.
DMA Guard
-
Výčet externích zařízení nekompatibilních s ochranou jádra DMA
Výchozí směrný plán: Blokovat vše
Další informace
-
Výčet externích zařízení nekompatibilních s ochranou jádra DMA
Výchozí směrný plán: Nenakonfigurováno
Další informace
Detekce koncových bodů a reakce na ně
Ukázkové sdílení pro všechny soubory
Výchozí směrný plán: Ano
Další informaceZrychlit frekvenci generování sestav telemetrie
Výchozí směrný plán: Ano
Další informace
Brána firewall
Protokol FTP (Stateful File Transfer Protocol)
Výchozí směrný plán: Zakázáno
Další informacePočet sekund, po které může být přidružení zabezpečení nečinné, než se odstraní
Výchozí směrný plán: 300
Další informaceKódování předsdíleného klíče
Výchozí směrný plán: UTF8
Další informaceOvěření seznamu odvolaných certifikátů (CRL)
Výchozí směrný plán: Nenakonfigurováno
Další informaceŘazení paketů do fronty
Výchozí směrný plán: Nenakonfigurováno
Další informacePrivátní profil brány firewall
Výchozí směrný plán: Konfigurace
Další informaceZablokovaná příchozí připojení
Výchozí směrný plán: Ano
Další informaceVyžadují se jednosměrové odpovědi na vícesměrová vysílání.
Výchozí směrný plán: Ano
Další informacePožadovaná odchozí připojení
Výchozí směrný plán: Ano
Další informaceZablokovaná příchozí oznámení
Výchozí směrný plán: Ano
Další informaceGlobální pravidla portů ze zásad skupiny se sloučila
Výchozí směrný plán: Ano
Další informaceBrána firewall povolená
Výchozí směrný plán: Povoleno
Další informacePravidla autorizovaných aplikací ze zásad skupiny se neslučují
Výchozí směrný plán: Ano
Další informacePravidla zabezpečení připojení ze zásad skupiny se neslučují
Výchozí směrný plán: Ano
Další informaceVyžaduje se příchozí provoz.
Výchozí směrný plán: Ano
Další informacePravidla zásad ze zásad skupiny se neslučují
Výchozí směrný plán: Ano
Další informace
-
Zablokovaný neviditelný režim
Výchozí směrný plán: Ano
Další informace
Veřejný profil brány firewall
Výchozí směrný plán: Konfigurace
Další informaceZablokovaná příchozí připojení
Výchozí směrný plán: Ano
Další informaceVyžadují se jednosměrové odpovědi na vícesměrová vysílání.
Výchozí směrný plán: Ano
Další informacePožadovaná odchozí připojení
Výchozí směrný plán: Ano
Další informacePravidla autorizovaných aplikací ze zásad skupiny se neslučují
Výchozí směrný plán: Ano**
Další informaceZablokovaná příchozí oznámení
Výchozí směrný plán: Ano
Další informaceGlobální pravidla portů ze zásad skupiny se sloučila
Výchozí směrný plán: Ano
Další informaceBrána firewall povolená
Výchozí směrný plán: Povoleno
Další informacePravidla zabezpečení připojení ze zásad skupiny se neslučují
Výchozí směrný plán: Ano
Další informaceVyžaduje se příchozí provoz.
Výchozí směrný plán: Ano
Další informacePravidla zásad ze zásad skupiny se neslučují
Výchozí směrný plán: Ano
Další informace
-
Zablokovaný neviditelný režim
Výchozí směrný plán: Ano
Další informace
Doména profilu brány firewall
Výchozí směrný plán: Konfigurace
Další informaceVyžadují se jednosměrové odpovědi na vícesměrová vysílání.
Výchozí směrný plán: Ano
Další informacePravidla autorizovaných aplikací ze zásad skupiny se neslučují
Výchozí směrný plán: Ano
Další informaceZablokovaná příchozí oznámení
Výchozí směrný plán: Ano
Další informaceGlobální pravidla portů ze zásad skupiny se sloučila
Výchozí směrný plán: Ano
Další informaceBrána firewall povolená
Výchozí směrný plán: Povoleno
Další informacePravidla zabezpečení připojení ze zásad skupiny se neslučují
Výchozí směrný plán: Ano
Další informacePravidla zásad ze zásad skupiny se neslučují
Výchozí směrný plán: Ano
Další informace
-
Zablokovaný neviditelný režim
Výchozí směrný plán: Ano
Další informace
Microsoft Defender
Zapnutí ochrany v reálném čase
Výchozí směrný plán: Ano
Další informaceDalší doba (0–50 sekund) k prodloužení časového limitu cloudové ochrany
Výchozí směrný plán: 50
Další informaceKontrola všech stažených souborů a příloh
Výchozí směrný plán: Ano
Další informaceTyp kontroly
Výchozí směrný plán: Rychlá kontrola
Další informaceDen kontroly plánu defenderu:
Výchozí směrný plán: Každý denČas spuštění kontroly defenderu:
Výchozí směrný plán: NenakonfigurovánoSouhlas s odesláním ukázky defenderu
Výchozí směrný plán: Automatické odesílání bezpečných vzorků
Další informaceÚroveň ochrany poskytované cloudem
Výchozí hodnota směrného plánu: Vysoká
Další informaceKontrola vyměnitelných jednotek během úplné kontroly
Výchozí směrný plán: Ano
Další informaceAkce potenciálně nežádoucí aplikace Defenderu
Výchozí směrný plán: Blokovat
Další informaceZapnutí cloudové ochrany
Výchozí směrný plán: Ano
Další informace
Zapnutí ochrany v reálném čase
Výchozí směrný plán: Ano
Další informaceDalší doba (0–50 sekund) k prodloužení časového limitu cloudové ochrany
Výchozí směrný plán: 50
Další informaceKontrola všech stažených souborů a příloh
Výchozí směrný plán: Ano
Další informaceTyp kontroly
Výchozí směrný plán: Rychlá kontrola
Další informaceSouhlas s odesláním ukázky defenderu
Výchozí směrný plán: Automatické odesílání bezpečných vzorků
Další informaceÚroveň ochrany poskytované cloudem
Výchozí hodnota směrného plánu: Vysoká
Další informaceKontrola vyměnitelných jednotek během úplné kontroly
Výchozí směrný plán: Ano
Další informaceAkce potenciálně nežádoucí aplikace Defenderu
Výchozí směrný plán: Blokovat
Další informaceZapnutí cloudové ochrany
Výchozí směrný plán: Ano
Další informace
Spustit denní rychlou kontrolu na adrese
Výchozí směrný plán: 2:00
Další informaceNaplánovaný čas spuštění kontroly
Výchozí směrný plán: 2:00Konfigurace nízké priority procesoru pro plánované kontroly
Výchozí směrný plán: Ano
Další informaceBlokování komunikačních aplikací Office ve vytváření podřízených procesů
Výchozí směrný plán: Povolit
Další informaceBlokovat Adobe Readeru vytváření podřízených procesů
Výchozí směrný plán: Povolit
Další informaceKontrola příchozích e-mailových zpráv
Výchozí směrný plán: Ano
Další informaceZapnutí ochrany v reálném čase
Výchozí směrný plán: Ano
Další informacePočet dnů (0 až 90) pro uchování malwaru v karanténě
Výchozí směrný plán: 0
Další informacePlán kontroly systému Defender
Výchozí směrný plán: Definované uživatelem
Další informaceDalší doba (0–50 sekund) k prodloužení časového limitu cloudové ochrany
Výchozí směrný plán: 50
Další informaceKontrola mapovaných síťových jednotek během úplné kontroly
Výchozí směrný plán: Ano
Další informaceZapnutí ochrany sítě
Výchozí směrný plán: Ano
Další informaceKontrola všech stažených souborů a příloh
Výchozí směrný plán: Ano
Další informaceBlokovat ochranu přístupu
Výchozí směrný plán: Nenakonfigurováno
Další informaceSkenování skriptů prohlížeče
Výchozí směrný plán: Ano
Další informaceBlokování přístupu uživatelů k aplikaci Microsoft Defender
Výchozí směrný plán: Ano
Další informaceMaximální povolené využití procesoru (0–100 procent) na kontrolu
Výchozí směrný plán: 50
Další informaceTyp kontroly
Výchozí směrný plán: Rychlá kontrola
Další informaceZadejte, jak často (0–24 hodin) se má kontrolovat aktualizace bezpečnostních funkcí.
Výchozí směrný plán: 8
Další informaceSouhlas s odesláním ukázky defenderu
Výchozí směrný plán: Automatické odesílání bezpečných vzorků
Další informaceÚroveň ochrany poskytované cloudem
Výchozí směrný plán: *Nenakonfigurováno
Další informaceProhledat archivní soubory
Výchozí směrný plán: Ano
Další informaceZapnutí monitorování chování
Výchozí směrný plán: Ano
Další informaceKontrola vyměnitelných jednotek během úplné kontroly
Výchozí směrný plán: Ano
Další informaceKontrola síťových souborů
Výchozí směrný plán: Ano
Další informaceAkce potenciálně nežádoucí aplikace Defenderu
Výchozí směrný plán: Blokovat
Další informaceZapnutí cloudové ochrany
Výchozí směrný plán: Ano
Další informaceBlokování vkládání kódu do jiných procesů aplikací Office
Výchozí směrný plán: Blokovat
Další informaceBlokování aplikací Office ve vytváření spustitelného obsahu
Výchozí směrný plán: Blokovat
Další informaceBlokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu
Výchozí směrný plán: Blokovat
Další informacePovolení ochrany sítě
Výchozí směrný plán: Režim auditování
Další informaceBlokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB
Výchozí směrný plán: Blokovat
Další informaceBlokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe)
Výchozí směrný plán: Povolit
Další informaceBlokování stahování spustitelného obsahu z e-mailových a webových e-mailových klientů
Výchozí směrný plán: Blokovat
Další informaceBlokovat vytváření podřízených procesů všem aplikacím Office
Výchozí směrný plán: Blokovat
Další informaceBlokování spouštění potenciálně obfuskovaných skriptů (js/vbs/ps)
Výchozí směrný plán: Blokovat
Další informaceBlokování volání rozhraní API Win32 z makra Office
Výchozí směrný plán: Blokovat
Další informace
Spustit denní rychlou kontrolu na adrese
Výchozí směrný plán: 2:00
Další informaceNaplánovaný čas spuštění kontroly
Výchozí směrný plán: 2:00Konfigurace nízké priority procesoru pro plánované kontroly
Výchozí směrný plán: Ano
Další informaceBlokování komunikačních aplikací Office ve vytváření podřízených procesů
Výchozí směrný plán: Povolit
Další informaceBlokovat Adobe Readeru vytváření podřízených procesů
Výchozí směrný plán: Povolit
Další informaceKontrola příchozích e-mailových zpráv
Výchozí směrný plán: Ano
Další informaceZapnutí ochrany v reálném čase
Výchozí směrný plán: Ano
Další informacePočet dnů (0 až 90) pro uchování malwaru v karanténě
Výchozí směrný plán: 0
Další informacePlán kontroly systému Defender
Výchozí směrný plán: Definované uživatelem
Další informaceDalší doba (0–50 sekund) k prodloužení časového limitu cloudové ochrany
Výchozí směrný plán: 50
Další informaceKontrola mapovaných síťových jednotek během úplné kontroly
Výchozí směrný plán: Ano
Další informaceZapnutí ochrany sítě
Výchozí směrný plán: Ano
Další informaceKontrola všech stažených souborů a příloh
Výchozí směrný plán: Ano
Další informaceBlokovat ochranu přístupu
Výchozí směrný plán: Nenakonfigurováno
Další informaceSkenování skriptů prohlížeče
Výchozí směrný plán: Ano
Další informaceBlokování přístupu uživatelů k aplikaci Microsoft Defender
Výchozí směrný plán: Ano
Další informaceMaximální povolené využití procesoru (0–100 procent) na kontrolu
Výchozí směrný plán: 50
Další informaceTyp kontroly
Výchozí směrný plán: Rychlá kontrola
Další informaceZadejte, jak často (0–24 hodin) se má kontrolovat aktualizace bezpečnostních funkcí.
Výchozí směrný plán: 8
Další informaceSouhlas s odesláním ukázky defenderu
Výchozí směrný plán: Automatické odesílání bezpečných vzorků
Další informaceÚroveň ochrany poskytované cloudem
Výchozí směrný plán: *Nenakonfigurováno
Další informaceProhledat archivní soubory
Výchozí směrný plán: Ano
Další informaceZapnutí monitorování chování
Výchozí směrný plán: Ano
Další informaceKontrola vyměnitelných jednotek během úplné kontroly
Výchozí směrný plán: Ano
Další informaceKontrola síťových souborů
Výchozí směrný plán: Ano
Další informaceAkce potenciálně nežádoucí aplikace Defenderu
Výchozí směrný plán: Blokovat
Další informaceZapnutí cloudové ochrany
Výchozí směrný plán: Ano
Další informaceBlokování vkládání kódu do jiných procesů aplikací Office
Výchozí směrný plán: Blokovat
Další informaceBlokování aplikací Office ve vytváření spustitelného obsahu
Výchozí směrný plán: Blokovat
Další informaceBlokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu
Výchozí směrný plán: Blokovat
Další informacePovolení ochrany sítě
Výchozí směrný plán: Režim auditování
Další informaceBlokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB
Výchozí směrný plán: Blokovat
Další informaceBlokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe)
Výchozí směrný plán: Povolit
Další informaceBlokování stahování spustitelného obsahu z e-mailových a webových e-mailových klientů
Výchozí směrný plán: Blokovat
Další informaceBlokovat vytváření podřízených procesů všem aplikacím Office
Výchozí směrný plán: Blokovat
Další informaceBlokování spouštění potenciálně obfuskovaných skriptů (js/vbs/ps)
Výchozí směrný plán: Blokovat
Další informaceBlokování volání rozhraní API Win32 z makra Office
Výchozí směrný plán: Blokovat
Další informace
Centrum zabezpečení v programu Microsoft Defender
-
Blokovat uživatelům úpravy rozhraní ochrany Exploit Guard
Výchozí směrný plán: Ano
Další informace
Inteligentní obrazovka
Blokovat uživatelům ignorování upozornění filtru SmartScreen
Výchozí směrný plán: Ano
Další informaceZapnutí filtru Windows SmartScreen
Výchozí směrný plán: Ano
Další informaceVyžadovat filtr SmartScreen pro Microsoft Edge
Výchozí směrný plán: Ano
Další informaceBlokování škodlivého přístupu k webu
Výchozí směrný plán: Ano
Další informaceBlokovat stahování neověřených souborů
Výchozí směrný plán: Ano
Další informaceKonfigurace filtru SmartScreen v programu Microsoft Defender
Výchozí směrný plán: PovolenoZabránění obejití výzev filtru SmartScreen v programu Microsoft Defender pro weby
Výchozí směrný plán: PovolenoZabránění obejití upozornění filtru SmartScreen v programu Microsoft Defender při stahování
Výchozí směrný plán: PovolenoKonfigurace filtru SmartScreen v programu Microsoft Defender pro blokování potenciálně nežádoucích aplikací
Výchozí směrný plán: Povoleno
Vyžadovat jenom aplikace ze Storu
Výchozí směrný plán: AnoZapnutí filtru Windows SmartScreen
Výchozí směrný plán: Ano
Další informace
Windows Hello pro firmy
Další informace najdete v tématu PassportForWork CSP v dokumentaci k Windows.
Blokování Windows Hello pro firmy
Výchozí směrný plán: ZakázánoMalá písmena v PIN kódu Výchozí směrný plán: Povoleno
Speciální znaky v PIN kódu Výchozí směrný plán: Povoleno
Velká písmena v PIN kódu Výchozí směrný plán: Povoleno