Elenco delle impostazioni nella baseline di sicurezza Microsoft Defender per endpoint in Intune
Questo articolo è un riferimento per le impostazioni disponibili nelle diverse versioni della baseline di sicurezza Microsoft Defender per endpoint che è possibile distribuire con Microsoft Intune. È possibile usare le schede seguenti per selezionare e visualizzare le impostazioni nella versione di base corrente e alcune versioni precedenti che potrebbero essere ancora in uso.
Per ogni impostazione è disponibile la configurazione predefinita delle baseline, che è anche la configurazione consigliata per tale impostazione fornita dal team di sicurezza pertinente. Poiché i prodotti e il panorama della sicurezza si evolvono, le impostazioni predefinite consigliate in una versione di base potrebbero non corrispondere alle impostazioni predefinite disponibili nelle versioni successive della stessa baseline. Anche tipi di baseline diversi, ad esempio la sicurezza MDM e le baseline di Defender per endpoint , potrebbero impostare impostazioni predefinite diverse.
Quando l'interfaccia utente di Intune include un collegamento Altre informazioni per un'impostazione, lo troverai anche qui. Usare questo collegamento per visualizzare il provider di servizi di configurazione dei criteri di impostazioni (CSP) o il contenuto pertinente che illustra l'operazione delle impostazioni.
Quando una nuova versione di una baseline diventa disponibile, sostituisce la versione precedente. Profila le istanze create prima della disponibilità di una nuova versione:
- Diventa di sola lettura. È possibile continuare a usare tali profili, ma non modificarli per modificarne la configurazione.
- Può essere aggiornato alla versione più recente. Dopo aver aggiornato un profilo alla versione di base corrente, è possibile modificare il profilo per modificare le impostazioni.
Per altre informazioni sull'uso delle baseline di sicurezza, vedere Usare le baseline di sicurezza. In questo articolo sono disponibili anche informazioni su come:
- Modificare la versione di base di un profilo per aggiornare un profilo in modo da usare la versione più recente di tale baseline.
Microsoft Defender per endpoint base per dicembre 2020 - versione 6
Microsoft Defender per endpoint base per settembre 2020 - versione 5
Microsoft Defender per endpoint baseline per aprile 2020 - versione 4
Microsoft Defender per endpoint baseline per marzo 2020 - versione 3
La baseline Microsoft Defender per endpoint è disponibile quando l'ambiente soddisfa i prerequisiti per l'uso di Microsoft Defender per endpoint.
Questa baseline è ottimizzata per i dispositivi fisici e non è consigliata per l'uso in macchine virtuali (VM) o endpoint VDI. Alcune impostazioni di base possono influire sulle sessioni interattive remote in ambienti virtualizzati. Per altre informazioni, vedere Aumentare la conformità alla baseline di sicurezza Microsoft Defender per endpoint nella documentazione di Windows.
Regole di riduzione della superficie di attacco
Le regole di riduzione della superficie di attacco supportano una fusione di impostazioni da criteri diversi per creare un superset di criteri per ogni dispositivo. Vengono unite solo le impostazioni che non sono in conflitto. Le impostazioni in conflitto non vengono aggiunte al superset di regole. In precedenza, se due criteri includevano conflitti per una singola impostazione, entrambi i criteri venivano contrassegnati come in conflitto e non venivano distribuite impostazioni da entrambi i profili.
Il comportamento di unione delle regole di riduzione della superficie di attacco è il seguente:
- Le regole di riduzione della superficie di attacco dei profili seguenti vengono valutate per ogni dispositivo a cui si applicano le regole:
- Criteri di > configurazione dispositivi > Profilo > endpoint di protezione Microsoft Defender riduzione della superficie di attacco di Exploit Guard >
- > Sicurezza degli endpoint Criteri > di riduzione della superficie di attacco Regole di riduzione della superficie di attacco
- Baseline di sicurezza > degli > endpoint Microsoft Defender per endpoint regole di riduzione della superficie di attacco di base>.
- Le impostazioni che non presentano conflitti vengono aggiunte a un superset di criteri per il dispositivo.
- Quando due o più criteri hanno impostazioni in conflitto, le impostazioni in conflitto non vengono aggiunte ai criteri combinati, mentre le impostazioni che non sono in conflitto vengono aggiunte ai criteri superset che si applicano a un dispositivo.
- Vengono trattenute solo le configurazioni per le impostazioni in conflitto.
Per altre informazioni, vedere Regole di riduzione della superficie di attacco nella documentazione Microsoft Defender per endpoint.
Impedire alle app di comunicazione di Office di creare processi figlio
Valore predefinito previsto: Abilita
Altre informazioniImpedire ad Adobe Reader di creare processi figlio
Valore predefinito previsto: Abilita
Altre informazioniImpedire alle applicazioni di Office di inserire codice in altri processi
Impostazione predefinita della baseline: Blocca
Altre informazioniImpedire alle applicazioni di Office di creare contenuto eseguibile
Impostazione predefinita della baseline: Blocca
Altre informazioniImpedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato
Impostazione predefinita della baseline: Blocca
Altre informazioniAbilitare la protezione di rete
Valore predefinito previsto: Abilita
Altre informazioniBloccare i processi non attendibili e non firmati eseguiti da USB
Impostazione predefinita della baseline: Blocca
Altre informazioniBloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe)
Valore predefinito previsto: Abilita
Altre informazioniBloccare il download di contenuto eseguibile dai client di posta elettronica e webmail
Impostazione predefinita della baseline: Blocca
Altre informazioniImpedire a tutte le applicazioni di Office di creare processi figlio
Impostazione predefinita della baseline: Blocca
Altre informazioniBlocca l'esecuzione di script potenzialmente offuscati (js/vbs/ps)
Impostazione predefinita della baseline: Blocca
Altre informazioniBloccare le chiamate API Win32 dalla macro di Office
Impostazione predefinita della baseline: Blocca
Altre informazioni
Application Guard
Per altre informazioni, vedere CSP WindowsDefenderApplicationGuard nella documentazione di Windows.
Quando si usa Microsoft Edge, Microsoft Defender Application Guard protegge l'ambiente da siti non considerati attendibili dall'organizzazione. Quando gli utenti visitano siti non elencati nel limite di rete isolato, i siti vengono aperti in una sessione di esplorazione virtuale Hyper-V. I siti attendibili sono definiti da un limite di rete.
Attivare Application Guard per Edge (opzioni)
Impostazione predefinita della linea di base: abilitata per Edge
Altre informazioniBloccare il contenuto esterno da siti non approvati dall'organizzazione
Impostazione predefinita prevista: Sì
Altre informazioniComportamento degli Appunti
Impostazione predefinita della linea di base: Blocca copia e incolla tra PC e browser
Altre informazioni
Criteri di isolamento della rete Windows
Impostazione predefinita della linea di base: Configurare
Altre informazioni- Domini di rete
Impostazione predefinita della linea di base: securitycenter.windows.com
- Domini di rete
BitLocker
Richiedere la crittografia delle schede di archiviazione (solo per dispositivi mobili)
Impostazione predefinita prevista: Sì
Altre informazioniNota
Il supporto per Windows 10 Mobile e Windows Phone 8.1 è terminato ad agosto 2020.
Abilitare la crittografia completa del disco per il sistema operativo e le unità dati fisse
Impostazione predefinita prevista: Sì
Altre informazioniCriteri unità di sistema BitLocker
Impostazione predefinita della linea di base: Configurare
Altre informazioni- Configurare il metodo di crittografia per le unità del sistema operativo
Impostazione predefinita della linea di base: non configurata
Altre informazioni
- Configurare il metodo di crittografia per le unità del sistema operativo
Criteri di unità fissa BitLocker
Impostazione predefinita della linea di base: Configurare
Altre informazioniBloccare l'accesso in scrittura a unità dati fisse non protette da BitLocker
Impostazione predefinita prevista: Sì
Altre informazioni
Questa impostazione è disponibile quando i criteri di unità fissa BitLocker sono impostati su Configura.Configurare il metodo di crittografia per le unità dati fisse
Impostazione predefinita della linea di base: AES XTS a 128 bit
Altre informazioni
Criteri unità rimovibili BitLocker
Impostazione predefinita della linea di base: Configurare
Altre informazioniConfigurare il metodo di crittografia per le unità dati rimovibili
Valore predefinito di base: AES AES a 128 bit CBC
Altre informazioniBloccare l'accesso in scrittura a unità dati rimovibili non protette da BitLocker
Impostazione predefinita della linea di base: non configurata
Altre informazioni
Stati di standby durante la sospensione mentre si è a batteria Impostazione predefinita della linea di base: Disabilitata
Altre informazioniStati di standby durante la sospensione mentre è collegato
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniAbilitare la crittografia completa del disco per il sistema operativo e le unità dati fisse
Impostazione predefinita prevista: Sì
Altre informazioniCriteri unità di sistema BitLocker
Impostazione predefinita della linea di base: Configurare
Altre informazioniAutenticazione di avvio necessaria
Impostazione predefinita prevista: Sì
Altre informazioniPIN di avvio TPM compatibile
Valore predefinito previsto: Consentito
Altre informazioniChiave di avvio TPM compatibile
Valore predefinito previsto: Obbligatorio
Altre informazioniDisabilitare BitLocker nei dispositivi in cui TPM non è compatibile
Impostazione predefinita prevista: Sì
Altre informazioniConfigurare il metodo di crittografia per le unità del sistema operativo
Impostazione predefinita della linea di base: non configurata
Altre informazioni
Criteri di unità fissa BitLocker
Impostazione predefinita della linea di base: Configurare
Altre informazioniBloccare l'accesso in scrittura a unità dati fisse non protette da BitLocker
Impostazione predefinita prevista: Sì
Altre informazioni
Questa impostazione è disponibile quando i criteri di unità fissa BitLocker sono impostati su Configura.Configurare il metodo di crittografia per le unità dati fisse
Impostazione predefinita della linea di base: AES XTS a 128 bit
Altre informazioni
Criteri unità rimovibili BitLocker
Impostazione predefinita della linea di base: Configurare
Altre informazioniConfigurare il metodo di crittografia per le unità dati rimovibili
Valore predefinito di base: AES AES a 128 bit CBC
Altre informazioniBloccare l'accesso in scrittura a unità dati rimovibili non protette da BitLocker
Impostazione predefinita della linea di base: non configurata
Altre informazioni
Criteri unità di sistema BitLocker
Impostazione predefinita della linea di base: Configurare
Altre informazioniAutenticazione di avvio necessaria
Impostazione predefinita prevista: Sì
Altre informazioniPIN di avvio TPM compatibile
Valore predefinito previsto: Consentito
Altre informazioniChiave di avvio TPM compatibile
Valore predefinito previsto: Obbligatorio
Altre informazioniDisabilitare BitLocker nei dispositivi in cui TPM non è compatibile
Impostazione predefinita prevista: Sì
Altre informazioniConfigurare il metodo di crittografia per le unità del sistema operativo
Impostazione predefinita della linea di base: non configurata
Altre informazioni
Stati di standby durante la sospensione mentre si è a batteria Impostazione predefinita della linea di base: Disabilitata
Altre informazioniStati di standby durante la sospensione mentre è collegato
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniAbilitare la crittografia completa del disco per il sistema operativo e le unità dati fisse
Impostazione predefinita prevista: Sì
Altre informazioniCriteri di unità fissa BitLocker
Impostazione predefinita della linea di base: Configurare
Altre informazioniBloccare l'accesso in scrittura a unità dati fisse non protette da BitLocker
Impostazione predefinita prevista: Sì
Altre informazioni
Questa impostazione è disponibile quando i criteri di unità fissa BitLocker sono impostati su Configura.Configurare il metodo di crittografia per le unità dati fisse
Impostazione predefinita della linea di base: AES XTS a 128 bit
Altre informazioni
Criteri unità rimovibili BitLocker
Impostazione predefinita della linea di base: Configurare
Altre informazioniConfigurare il metodo di crittografia per le unità dati rimovibili
Valore predefinito di base: AES AES a 128 bit CBC
Altre informazioniBloccare l'accesso in scrittura a unità dati rimovibili non protette da BitLocker
Impostazione predefinita della linea di base: non configurata
Altre informazioni
Browser
Richiedi SmartScreen per Microsoft Edge
Impostazione predefinita prevista: Sì
Altre informazioniBloccare l'accesso a siti dannosi
Impostazione predefinita prevista: Sì
Altre informazioniBlocca il download di file non verificato
Impostazione predefinita prevista: Sì
Altre informazioni
Protezione dati
- Bloccare l'accesso diretto alla memoria
Impostazione predefinita prevista: Sì
Altre informazioni
Device Guard
- Attivare la protezione delle credenziali
Impostazione predefinita prevista: Abilita con blocco UEFI
Altre informazioni
Installazione del dispositivo
Installazione del dispositivo hardware in base agli identificatori di dispositivo
Impostazione predefinita della linea di base: Blocca l'installazione del dispositivo hardware
Altre informazioniRimuovere i dispositivi hardware corrispondenti Impostazione predefinita prevista: Sì
Identificatori di dispositivo hardware bloccati
Impostazione predefinita della baseline: non configurata per impostazione predefinita. Aggiungere manualmente uno o più identificatori di dispositivo.
Installazione del dispositivo hardware in base alle classi di configurazione
Impostazione predefinita della linea di base: Blocca l'installazione del dispositivo hardware
Altre informazioniRimuovere i dispositivi hardware corrispondenti Impostazione predefinita della linea di base: non configurata
Identificatori di dispositivo hardware bloccati Impostazione predefinita della baseline: non configurata per impostazione predefinita. Aggiungere manualmente uno o più identificatori di dispositivo.
Bloccare l'installazione del dispositivo hardware in base alle classi di configurazione:
Impostazione predefinita prevista: Sì
Altre informazioniRimuovere i dispositivi hardware corrispondenti:
Impostazione predefinita prevista: SìElenco di blocchi
Impostazione predefinita della baseline: non configurata per impostazione predefinita. Aggiungere manualmente uno o più identificatori univoci globali della classe di installazione.
DMA Guard
- Enumerazione di dispositivi esterni incompatibili con la protezione DMA del kernel
Impostazione predefinita della linea di base: Blocca tutto
Altre informazioni
- Enumerazione di dispositivi esterni incompatibili con la protezione DMA del kernel
Impostazione predefinita della linea di base: non configurata
Altre informazioni
Rilevamento e risposta di endpoint
Condivisione di esempio per tutti i file
Impostazione predefinita prevista: Sì
Altre informazioniVelocizzare la frequenza dei report di telemetria
Impostazione predefinita prevista: Sì
Altre informazioni
Firewall
FTP (Stateful File Transfer Protocol)
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniNumero di secondi in cui un'associazione di sicurezza può essere inattiva prima dell'eliminazione
Valore predefinito previsto: 300
Altre informazioniCodifica della chiave precondivisa
Valore predefinito previsto: UTF8
Altre informazioniVerifica dell'elenco di revoche di certificati (CRL)
Impostazione predefinita della linea di base: non configurata
Altre informazioniAccodamento pacchetti
Impostazione predefinita della linea di base: non configurata
Altre informazioniProfilo del firewall privato
Impostazione predefinita della linea di base: Configurare
Altre informazioniConnessioni in ingresso bloccate
Impostazione predefinita prevista: Sì
Altre informazioniRisposte unicast alle trasmissioni multicast necessarie
Impostazione predefinita prevista: Sì
Altre informazioniConnessioni in uscita necessarie
Impostazione predefinita prevista: Sì
Altre informazioniNotifiche in ingresso bloccate
Impostazione predefinita prevista: Sì
Altre informazioniRegole di porta globali da criteri di gruppo uniti
Impostazione predefinita prevista: Sì
Altre informazioniFirewall abilitato
Valore predefinito previsto: Consentito
Altre informazioniRegole dell'applicazione autorizzate da Criteri di gruppo non unite
Impostazione predefinita prevista: Sì
Altre informazioniRegole di sicurezza della connessione da Criteri di gruppo non unite
Impostazione predefinita prevista: Sì
Altre informazioniTraffico in ingresso necessario
Impostazione predefinita prevista: Sì
Altre informazioniRegole dei criteri da Criteri di gruppo non unite
Impostazione predefinita prevista: Sì
Altre informazioni
- Modalità stealth bloccata
Impostazione predefinita prevista: Sì
Altre informazioni
Profilo del firewall pubblico
Impostazione predefinita della linea di base: Configurare
Altre informazioniConnessioni in ingresso bloccate
Impostazione predefinita prevista: Sì
Altre informazioniRisposte unicast alle trasmissioni multicast necessarie
Impostazione predefinita prevista: Sì
Altre informazioniConnessioni in uscita necessarie
Impostazione predefinita prevista: Sì
Altre informazioniRegole dell'applicazione autorizzate da Criteri di gruppo non unite
Impostazione predefinita della linea di base: Sì**
Altre informazioniNotifiche in ingresso bloccate
Impostazione predefinita prevista: Sì
Altre informazioniRegole di porta globali da criteri di gruppo uniti
Impostazione predefinita prevista: Sì
Altre informazioniFirewall abilitato
Valore predefinito previsto: Consentito
Altre informazioniRegole di sicurezza della connessione da Criteri di gruppo non unite
Impostazione predefinita prevista: Sì
Altre informazioniTraffico in ingresso necessario
Impostazione predefinita prevista: Sì
Altre informazioniRegole dei criteri da Criteri di gruppo non unite
Impostazione predefinita prevista: Sì
Altre informazioni
- Modalità stealth bloccata
Impostazione predefinita prevista: Sì
Altre informazioni
Dominio del profilo del firewall
Impostazione predefinita della linea di base: Configurare
Altre informazioniRisposte unicast alle trasmissioni multicast necessarie
Impostazione predefinita prevista: Sì
Altre informazioniRegole dell'applicazione autorizzate da Criteri di gruppo non unite
Impostazione predefinita prevista: Sì
Altre informazioniNotifiche in ingresso bloccate
Impostazione predefinita prevista: Sì
Altre informazioniRegole di porta globali da criteri di gruppo uniti
Impostazione predefinita prevista: Sì
Altre informazioniFirewall abilitato
Valore predefinito previsto: Consentito
Altre informazioniRegole di sicurezza della connessione da Criteri di gruppo non unite
Impostazione predefinita prevista: Sì
Altre informazioniRegole dei criteri da Criteri di gruppo non unite
Impostazione predefinita prevista: Sì
Altre informazioni
- Modalità stealth bloccata
Impostazione predefinita prevista: Sì
Altre informazioni
Microsoft Defender
Attivare la protezione in tempo reale
Impostazione predefinita prevista: Sì
Altre informazioniQuantità aggiuntiva di tempo (0-50 secondi) per estendere il timeout di protezione cloud
Valore predefinito previsto: 50
Altre informazioniAnalizzare tutti i file e gli allegati scaricati
Impostazione predefinita prevista: Sì
Altre informazioniTipo di analisi
Impostazione predefinita della linea di base: analisi rapida
Altre informazioniGiorno di analisi della pianificazione di Defender:
Impostazione predefinita della baseline: Tutti i giorniOra di inizio dell'analisi di Defender:
Impostazione predefinita della linea di base: non configurataConsenso per l'invio dell'esempio Defender
Impostazione predefinita della linea di base: inviare automaticamente esempi sicuri
Altre informazioniLivello di protezione fornito dal cloud
Valore predefinito della baseline: Alto
Altre informazioniAnalizzare le unità rimovibili durante l'analisi completa
Impostazione predefinita prevista: Sì
Altre informazioniAzione dell'app defender potenzialmente indesiderata
Impostazione predefinita della baseline: Blocca
Altre informazioniAttivare la protezione fornita dal cloud
Impostazione predefinita prevista: Sì
Altre informazioni
Attivare la protezione in tempo reale
Impostazione predefinita prevista: Sì
Altre informazioniQuantità aggiuntiva di tempo (0-50 secondi) per estendere il timeout di protezione cloud
Valore predefinito previsto: 50
Altre informazioniAnalizzare tutti i file e gli allegati scaricati
Impostazione predefinita prevista: Sì
Altre informazioniTipo di analisi
Impostazione predefinita della linea di base: analisi rapida
Altre informazioniConsenso per l'invio dell'esempio Defender
Impostazione predefinita della linea di base: inviare automaticamente esempi sicuri
Altre informazioniLivello di protezione fornito dal cloud
Valore predefinito della baseline: Alto
Altre informazioniAnalizzare le unità rimovibili durante l'analisi completa
Impostazione predefinita prevista: Sì
Altre informazioniAzione dell'app defender potenzialmente indesiderata
Impostazione predefinita della baseline: Blocca
Altre informazioniAttivare la protezione fornita dal cloud
Impostazione predefinita prevista: Sì
Altre informazioni
Eseguire l'analisi rapida giornaliera all'indirizzo
Valore predefinito previsto: 2:00
Altre informazioniOra di inizio dell'analisi pianificata
Valore predefinito previsto: 2:00Configurare una priorità bassa della CPU per le analisi pianificate
Impostazione predefinita prevista: Sì
Altre informazioniImpedire alle app di comunicazione di Office di creare processi figlio
Valore predefinito previsto: Abilita
Altre informazioniImpedire ad Adobe Reader di creare processi figlio
Valore predefinito previsto: Abilita
Altre informazioniAnalizzare i messaggi di posta elettronica in ingresso
Impostazione predefinita prevista: Sì
Altre informazioniAttivare la protezione in tempo reale
Impostazione predefinita prevista: Sì
Altre informazioniNumero di giorni (da 0 a 90) per mantenere il malware in quarantena
Valore predefinito previsto: 0
Altre informazioniPianificazione dell'analisi del sistema defender
Impostazione predefinita della linea di base: definita dall'utente
Altre informazioniQuantità aggiuntiva di tempo (0-50 secondi) per estendere il timeout di protezione cloud
Valore predefinito previsto: 50
Altre informazioniAnalizzare le unità di rete mappate durante un'analisi completa
Impostazione predefinita prevista: Sì
Altre informazioniAttivare la protezione di rete
Impostazione predefinita prevista: Sì
Altre informazioniAnalizzare tutti i file e gli allegati scaricati
Impostazione predefinita prevista: Sì
Altre informazioniBlocca la protezione dall'accesso
Impostazione predefinita della linea di base: non configurata
Altre informazioniAnalizzare gli script del browser
Impostazione predefinita prevista: Sì
Altre informazioniBloccare l'accesso utente all'app Microsoft Defender
Impostazione predefinita prevista: Sì
Altre informazioniUtilizzo massimo consentito della CPU (0-100%) per analisi
Valore predefinito previsto: 50
Altre informazioniTipo di analisi
Impostazione predefinita della linea di base: analisi rapida
Altre informazioniImmettere la frequenza (da 0 a 24 ore) per verificare la disponibilità di aggiornamenti delle informazioni di sicurezza
Valore predefinito previsto: 8
Altre informazioniConsenso per l'invio dell'esempio Defender
Impostazione predefinita della linea di base: inviare automaticamente esempi sicuri
Altre informazioniLivello di protezione fornito dal cloud
Valore predefinito previsto: *Non configurato
Altre informazioniAnalizzare i file di archivio
Impostazione predefinita prevista: Sì
Altre informazioniAttivare il monitoraggio del comportamento
Impostazione predefinita prevista: Sì
Altre informazioniAnalizzare le unità rimovibili durante l'analisi completa
Impostazione predefinita prevista: Sì
Altre informazioniAnalizzare i file di rete
Impostazione predefinita prevista: Sì
Altre informazioniAzione dell'app defender potenzialmente indesiderata
Impostazione predefinita della baseline: Blocca
Altre informazioniAttivare la protezione fornita dal cloud
Impostazione predefinita prevista: Sì
Altre informazioniImpedire alle applicazioni di Office di inserire codice in altri processi
Impostazione predefinita della baseline: Blocca
Altre informazioniImpedire alle applicazioni di Office di creare contenuto eseguibile
Impostazione predefinita della baseline: Blocca
Altre informazioniImpedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato
Impostazione predefinita della baseline: Blocca
Altre informazioniAbilitare la protezione di rete
Impostazione predefinita della linea di base: modalità di controllo
Altre informazioniBloccare i processi non attendibili e non firmati eseguiti da USB
Impostazione predefinita della baseline: Blocca
Altre informazioniBloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe)
Valore predefinito previsto: Abilita
Altre informazioniBloccare il download di contenuto eseguibile dai client di posta elettronica e webmail
Impostazione predefinita della baseline: Blocca
Altre informazioniImpedire a tutte le applicazioni di Office di creare processi figlio
Impostazione predefinita della baseline: Blocca
Altre informazioniBlocca l'esecuzione di script potenzialmente offuscati (js/vbs/ps)
Impostazione predefinita della baseline: Blocca
Altre informazioniBloccare le chiamate API Win32 dalla macro di Office
Impostazione predefinita della baseline: Blocca
Altre informazioni
Eseguire l'analisi rapida giornaliera all'indirizzo
Valore predefinito previsto: 2:00
Altre informazioniOra di inizio dell'analisi pianificata
Valore predefinito previsto: 2:00Configurare una priorità bassa della CPU per le analisi pianificate
Impostazione predefinita prevista: Sì
Altre informazioniImpedire alle app di comunicazione di Office di creare processi figlio
Valore predefinito previsto: Abilita
Altre informazioniImpedire ad Adobe Reader di creare processi figlio
Valore predefinito previsto: Abilita
Altre informazioniAnalizzare i messaggi di posta elettronica in ingresso
Impostazione predefinita prevista: Sì
Altre informazioniAttivare la protezione in tempo reale
Impostazione predefinita prevista: Sì
Altre informazioniNumero di giorni (da 0 a 90) per mantenere il malware in quarantena
Valore predefinito previsto: 0
Altre informazioniPianificazione dell'analisi del sistema defender
Impostazione predefinita della linea di base: definita dall'utente
Altre informazioniQuantità aggiuntiva di tempo (0-50 secondi) per estendere il timeout di protezione cloud
Valore predefinito previsto: 50
Altre informazioniAnalizzare le unità di rete mappate durante un'analisi completa
Impostazione predefinita prevista: Sì
Altre informazioniAttivare la protezione di rete
Impostazione predefinita prevista: Sì
Altre informazioniAnalizzare tutti i file e gli allegati scaricati
Impostazione predefinita prevista: Sì
Altre informazioniBlocca la protezione dall'accesso
Impostazione predefinita della linea di base: non configurata
Altre informazioniAnalizzare gli script del browser
Impostazione predefinita prevista: Sì
Altre informazioniBloccare l'accesso utente all'app Microsoft Defender
Impostazione predefinita prevista: Sì
Altre informazioniUtilizzo massimo consentito della CPU (0-100%) per analisi
Valore predefinito previsto: 50
Altre informazioniTipo di analisi
Impostazione predefinita della linea di base: analisi rapida
Altre informazioniImmettere la frequenza (da 0 a 24 ore) per verificare la disponibilità di aggiornamenti delle informazioni di sicurezza
Valore predefinito previsto: 8
Altre informazioniConsenso per l'invio dell'esempio Defender
Impostazione predefinita della linea di base: inviare automaticamente esempi sicuri
Altre informazioniLivello di protezione fornito dal cloud
Valore predefinito previsto: *Non configurato
Altre informazioniAnalizzare i file di archivio
Impostazione predefinita prevista: Sì
Altre informazioniAttivare il monitoraggio del comportamento
Impostazione predefinita prevista: Sì
Altre informazioniAnalizzare le unità rimovibili durante l'analisi completa
Impostazione predefinita prevista: Sì
Altre informazioniAnalizzare i file di rete
Impostazione predefinita prevista: Sì
Altre informazioniAzione dell'app defender potenzialmente indesiderata
Impostazione predefinita della baseline: Blocca
Altre informazioniAttivare la protezione fornita dal cloud
Impostazione predefinita prevista: Sì
Altre informazioniImpedire alle applicazioni di Office di inserire codice in altri processi
Impostazione predefinita della baseline: Blocca
Altre informazioniImpedire alle applicazioni di Office di creare contenuto eseguibile
Impostazione predefinita della baseline: Blocca
Altre informazioniImpedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato
Impostazione predefinita della baseline: Blocca
Altre informazioniAbilitare la protezione di rete
Impostazione predefinita della linea di base: modalità di controllo
Altre informazioniBloccare i processi non attendibili e non firmati eseguiti da USB
Impostazione predefinita della baseline: Blocca
Altre informazioniBloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe)
Valore predefinito previsto: Abilita
Altre informazioniBloccare il download di contenuto eseguibile dai client di posta elettronica e webmail
Impostazione predefinita della baseline: Blocca
Altre informazioniImpedire a tutte le applicazioni di Office di creare processi figlio
Impostazione predefinita della baseline: Blocca
Altre informazioniBlocca l'esecuzione di script potenzialmente offuscati (js/vbs/ps)
Impostazione predefinita della baseline: Blocca
Altre informazioniBloccare le chiamate API Win32 dalla macro di Office
Impostazione predefinita della baseline: Blocca
Altre informazioni
Microsoft Defender Security Center
- Impedire agli utenti di modificare l'interfaccia di protezione di Exploit Guard
Impostazione predefinita prevista: Sì
Altre informazioni
Smart Screen
Impedire agli utenti di ignorare gli avvisi smartscreen
Impostazione predefinita prevista: Sì
Altre informazioniAttivare Windows SmartScreen
Impostazione predefinita prevista: Sì
Altre informazioniRichiedi SmartScreen per Microsoft Edge
Impostazione predefinita prevista: Sì
Altre informazioniBloccare l'accesso a siti dannosi
Impostazione predefinita prevista: Sì
Altre informazioniBlocca il download di file non verificato
Impostazione predefinita prevista: Sì
Altre informazioniConfigurare Microsoft Defender SmartScreen
Impostazione predefinita della linea di base: abilitataImpedisci di ignorare Microsoft Defender richieste SmartScreen per i siti
Impostazione predefinita della linea di base: abilitataEvitare di ignorare Microsoft Defender avvisi SmartScreen sui download
Impostazione predefinita della linea di base: abilitataConfigurare Microsoft Defender SmartScreen per bloccare le app potenzialmente indesiderate
Impostazione predefinita della linea di base: abilitata
Richiedi app solo dallo Store
Impostazione predefinita prevista: SìAttivare Windows SmartScreen
Impostazione predefinita prevista: Sì
Altre informazioni
Windows Hello for Business
Per altre informazioni, vedere PassportForWork CSP nella documentazione di Windows.
Blocca Windows Hello for Business
Impostazione predefinita della linea di base: DisabilitataLettere minuscole nel PIN Valore predefinito previsto: Consentito
Caratteri speciali nel PIN Valore predefinito previsto: Consentito
Lettere maiuscole nel PIN Valore predefinito previsto: Consentito
Passaggi successivi
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere:Invia e visualizza il feedback per