Elenco delle impostazioni nella baseline di sicurezza MDM Windows 10/11 in Intune

Questo articolo è un riferimento per le impostazioni disponibili nelle diverse versioni della baseline di sicurezza MDM Windows 10/11 che è possibile distribuire con Microsoft Intune. È possibile usare le schede seguenti per selezionare e visualizzare le impostazioni nella versione di base corrente e alcune versioni precedenti che potrebbero essere ancora in uso.

Per ogni impostazione è disponibile la configurazione predefinita delle baseline, che è anche la configurazione consigliata per tale impostazione fornita dal team di sicurezza pertinente. Poiché i prodotti e il panorama della sicurezza si evolvono, le impostazioni predefinite consigliate in una versione di base potrebbero non corrispondere alle impostazioni predefinite disponibili nelle versioni successive della stessa baseline. Anche tipi di baseline diversi, ad esempio la sicurezza MDM e le baseline di Defender per endpoint , potrebbero impostare impostazioni predefinite diverse.

Quando l'interfaccia utente di Intune include un collegamento Altre informazioni per un'impostazione, lo troverai anche qui. Usare questo collegamento per visualizzare il provider di servizi di configurazione dei criteri di impostazioni (CSP) o il contenuto pertinente che illustra l'operazione delle impostazioni.

Quando una nuova versione di una baseline diventa disponibile, sostituisce la versione precedente. Profila le istanze create prima della disponibilità di una nuova versione:

• Diventa di sola lettura. È possibile continuare a usare tali profili, ma non modificarli per modificarne la configurazione.
• Può essere aggiornato alla versione più recente. Dopo aver aggiornato un profilo alla versione di base corrente, è possibile modificare il profilo per modificare le impostazioni.

Per altre informazioni sull'uso delle baseline di sicurezza, vedere Usare le baseline di sicurezza. In questo articolo sono disponibili anche informazioni su come:

• Modificare la versione di base di un profilo per aggiornare un profilo in modo da usare la versione più recente di tale baseline.

Baseline di sicurezza per Windows 10/11 per novembre 2021

Baseline di sicurezza per Windows 10/11 per dicembre 2020

Baseline di sicurezza per Windows 10 e versioni successive per agosto 2020

Blocco precedente

• Attivazione vocale delle app dalla schermata bloccata:
  Impostazione predefinita della linea di base: Disabilitata
  Ulteriori informazioni

• Blocca la visualizzazione delle notifiche di tipo avviso popup:
  Impostazione predefinita prevista: Sì
  Ulteriori informazioni

Runtime dell'app

• Account Microsoft facoltativi per le app di Microsoft Store:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

Gestione delle applicazioni

• Bloccare le installazioni di app con privilegi elevati:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Bloccare il controllo utente sulle installazioni:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Blocca DVR del gioco (solo desktop):
  Impostazione predefinita prevista: Sì
  Altre informazioni

Audit

Le impostazioni di controllo configurano gli eventi generati per le condizioni dell'impostazione.

• Convalida delle credenziali di controllo dell'accesso dell'account (dispositivo):Account Logon Audit Credential Validation (Device):
  Impostazione predefinita della linea di base: Esito positivo e negativo

• Account Logon Audit Kerberos Authentication Service (Device):
  Valore predefinito previsto: Nessuno

• Account Logon Logoff Audit Account Lockout (Device):Account Logon Logoff Audit Account Lockout (Device):
  Impostazione predefinita prevista: Errore

• Appartenenza al gruppo di controllo dell'accesso dell'account (dispositivo):Account Logon Logoff Audit Group Membership (Device):
  Impostazione predefinita della linea di base: Operazione riuscita

• Accesso dell'account Logoff Audit Logon (Dispositivo):Account Logon Audit Logon (Device):
  Impostazione predefinita della linea di base: Esito positivo e negativo

• Controllare altri eventi di disconnessione dell'accesso (dispositivo):Audit Other Logon Logoff Events (Device):
  Impostazione predefinita della linea di base: Esito positivo e negativo

• Controlla accesso speciale (dispositivo):Audit Special Logon (Device):
  Impostazione predefinita della linea di base: Operazione riuscita

• Controllare la gestione dei gruppi di sicurezza (dispositivo):Audit Security Group Management (Device):
  Impostazione predefinita della linea di base: Operazione riuscita

• Controllare la gestione degli account utente (dispositivo):Audit User Account Management (Device):
  Impostazione predefinita della linea di base: Esito positivo e negativo

• Attività PNP di controllo dettagliato (dispositivo):Detailed Tracking Audit PNP Activity (Device):
  Impostazione predefinita della linea di base: Operazione riuscita

• Creazione dettagliata del processo di controllo del rilevamento (dispositivo):Detailed Tracking Audit Process Creation (Device):
  Impostazione predefinita della linea di base: Operazione riuscita

• Controllo dell'accesso agli oggetti Condivisione file dettagliata (dispositivo):Object Access Audit Detailed File Share (Device):
  Impostazione predefinita prevista: Errore

• Controllare l'accesso alla condivisione file (dispositivo):Audit File Share Access (Device):
  Impostazione predefinita della linea di base: Esito positivo e negativo

• Controllo dell'accesso agli oggetti Altri eventi di accesso agli oggetti (dispositivo):Object Access Audit Other Object Access Events (Device):
  Impostazione predefinita della linea di base: Esito positivo e negativo

• Controllo dell'accesso agli oggetti Archiviazione rimovibile (dispositivo):Object Access Audit Removable Storage (Device):
  Impostazione predefinita della linea di base: Esito positivo e negativo

• Modifica dei criteri di autenticazione di controllo (dispositivo):Audit Authentication Policy Change (Device):
  Impostazione predefinita della linea di base: Operazione riuscita

• Modifica dei criteri Controllare la modifica dei criteri a livello di regola MPSSVC (dispositivo):Policy Change Audit MPSSVC Rule Level Change (Device):
  Impostazione predefinita della linea di base: Esito positivo e negativo

• Controllo delle modifiche dei criteri Altri eventi di modifica dei criteri (dispositivo):Policy Change Audit Other Policy Change Events (Device):
  Impostazione predefinita prevista: Errore

• Modifiche di controllo ai criteri di controllo (dispositivo):
  Impostazione predefinita della linea di base: Operazione riuscita

• Privilege Use Audit Sensitive Privilege Use (Device):
  Impostazione predefinita della linea di base: Esito positivo e negativo

• Controllo di sistema Altri eventi di sistema (dispositivo):System Audit Other System Events (Device):
  Impostazione predefinita della linea di base: Esito positivo e negativo

• Modifica dello stato di sicurezza del controllo di sistema (dispositivo):System Audit Security State Change (Device):
  Impostazione predefinita della linea di base: Operazione riuscita

• Controllare l'estensione del sistema di sicurezza (dispositivo):Audit Security System Extension (Device):
  Impostazione predefinita della linea di base: Operazione riuscita

• Integrità del sistema di controllo del sistema (dispositivo):System Audit System Integrity (Device):
  Impostazione predefinita della linea di base: Esito positivo e negativo

Riproduzione automatica

• Comportamento di esecuzione automatica predefinito della riproduzione automatica:
  Impostazione predefinita della baseline: non eseguire
  Altre informazioni

• Modalità di riproduzione automatica:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Blocca la riproduzione automatica per i dispositivi non con volume:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

BitLocker

• Criterio unità rimovibile BitLocker:
  Impostazione predefinita della linea di base: Configurare
  Altre informazioni

  • Bloccare l'accesso in scrittura alle unità dati rimovibili non protette da BitLocker:
    Impostazione predefinita prevista: Sì
    Altre informazioni

Browser

• Blocca Gestione password:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Richiedi SmartScreen per Versione legacy di Microsoft Edge:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Bloccare l'accesso a siti dannosi:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Blocca il download di file non verificato:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Impedire all'utente di ignorare gli errori del certificato:
  Impostazione predefinita prevista: Sì
  Altre informazioni

Connettività

• Configurare l'accesso sicuro ai percorsi UNC:
  Impostazione predefinita della linea di base: configurare Windows per consentire l'accesso ai percorsi UNC specificati solo dopo aver soddisfatto i requisiti di sicurezza aggiuntivi
  Altre informazioni

  • Elenco di percorsi UNC con protezione avanzata:
    Impostazione predefinita della baseline: non configurata per impostazione predefinita. Aggiungere manualmente uno o più percorsi UNC protetti.

• Blocca il download dei driver di stampa su HTTP:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Bloccare il download Internet per la pubblicazione Web e le procedure guidate per l'ordinamento online:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

Delega delle credenziali

• Delega host remoto di credenziali non esportabili:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

Interfaccia utente delle credenziali

• Enumerare gli amministratori:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

Protezione dati

• Bloccare l'accesso diretto alla memoria:
  Impostazione predefinita prevista: Sì
  Altre informazioni

Device Guard

• Sicurezza basata sulla virtualizzazione:
  Impostazione predefinita di base: Abilitare VBS con l'avvio protetto

• Abilitare la sicurezza basata sulla virtualizzazione:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Avviare la protezione del sistema:
  Impostazione predefinita della linea di base: abilitata

• Attivare la protezione delle credenziali:
  Impostazione predefinita prevista: Abilita con blocco UEFI
  Altre informazioni

Installazione del dispositivo

• Bloccare l'installazione del dispositivo hardware in base alle classi di configurazione:
  Impostazione predefinita prevista: Sì
  Altre informazioni

  • Rimuovere i dispositivi hardware corrispondenti:
    Impostazione predefinita prevista: Sì

  • Elenco di blocchi:
    Impostazione predefinita della baseline: non configurata per impostazione predefinita. Aggiungere manualmente uno o più identificatori.

• Installazione del dispositivo hardware in base agli identificatori di dispositivo:
  Impostazione predefinita della linea di base: Blocca l'installazione del dispositivo hardware
  Altre informazioni

  • Rimuovere i dispositivi hardware corrispondenti:
    Impostazione predefinita prevista: Sì

  • Identificatori di dispositivo hardware bloccati:
    Impostazione predefinita prevista: Sì

• Installazione del dispositivo hardware in base alle classi di configurazione:
  Impostazione predefinita della linea di base: Blocca l'installazione del dispositivo hardware
  Altre informazioni

  • Rimuovere i dispositivi hardware corrispondenti:
    Impostazione predefinita della linea di base: nessuna configurazione predefinita

  • Identificatori di dispositivo hardware bloccati:
    Impostazione predefinita della linea di base: nessuna configurazione predefinita

Blocco dispositivo

• Richiedi password:
  Impostazione predefinita prevista: Sì
  Altre informazioni

  • Password necessaria:
    Valore predefinito della linea di base: alfanumerico
    Altre informazioni

  • Scadenza password (giorni):
    Valore predefinito previsto: 60
    Altre informazioni

  • Numero minimo di set di caratteri della password:
    Valore predefinito previsto: 3
    Altre informazioni

  • Impedire il riutilizzo delle password precedenti:
    Valore predefinito previsto: 24
    Altre informazioni

  • Lunghezza minima password:
    Valore predefinito previsto: 8
    Altre informazioni

  • Numero di errori di accesso prima della cancellazione del dispositivo:
    Valore predefinito previsto: 10
    Altre informazioni

  • Bloccare le password semplici:
    Impostazione predefinita prevista: Sì
    Altre informazioni

• Età minima password in giorni:
  Valore predefinito previsto: 1
  Altre informazioni

• Impedire l'uso della fotocamera:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Impedisci presentazione:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

DMA Guard

• Enumerazione di dispositivi esterni incompatibili con Kernel DMA Protection:
  Impostazione predefinita della linea di base: Blocca tutto

Servizio registro eventi

• Dimensioni massime file del log applicazioni in KB:
  Valore predefinito previsto: 32768
  Altre informazioni

• Dimensioni massime file del log di sistema in KB:
  Valore predefinito previsto: 32768
  Altre informazioni

• Dimensioni massime file del log di sicurezza in KB:
  Impostazione predefinita prevista: 196608
  Altre informazioni

Funzionalità

• Blocca contenuti in evidenza di Windows:
  Impostazione predefinita prevista: Sì
  Altre informazioni

  • Bloccare i suggerimenti di terze parti in Windows Spotlight:
    Impostazione predefinita della linea di base: non configurata
    Altre informazioni

  • Blocca le funzionalità specifiche del consumer:
    Impostazione predefinita della linea di base: non configurata
    Altre informazioni

Exploit Guard

• Caricare XML:
  Impostazione predefinita della linea di base: viene fornito xml di esempio
  Altre informazioni

Esplora file

• Bloccare la prevenzione dell'esecuzione dei dati:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Blocca la terminazione dell'heap in caso di danneggiamento:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

Firewall

Per altre informazioni, vedere 2.2.2 FW_PROFILE_TYPE nella documentazione dei protocolli di Windows.

• Dominio del profilo del firewall:
  Impostazione predefinita della linea di base: Configurare
  Altre informazioni

  • Connessioni in ingresso bloccate:
    Impostazione predefinita prevista: Sì
    Altre informazioni

  • Connessioni in uscita necessarie:
    Impostazione predefinita prevista: Sì
    Altre informazioni

  • Notifiche in ingresso bloccate:
    Impostazione predefinita prevista: Sì
    Altre informazioni

  • Firewall abilitato:
    Valore predefinito previsto: Consentito
    Altre informazioni

• Profilo del firewall privato:
  Impostazione predefinita della linea di base: Configurare
  Altre informazioni

  • Connessioni in ingresso bloccate:
    Impostazione predefinita prevista: Sì
    Altre informazioni

  • Connessioni in uscita necessarie:
    Impostazione predefinita prevista: Sì
    Altre informazioni

  • Notifiche in ingresso bloccate:
    Impostazione predefinita prevista: Sì
    Altre informazioni

  • Firewall abilitato:
    Valore predefinito previsto: Consentito
    Altre informazioni

• Profilo del firewall pubblico:
  Impostazione predefinita della linea di base: Configurare
  Altre informazioni

  • Connessioni in ingresso bloccate:
    Impostazione predefinita prevista: Sì
    Altre informazioni

  • Connessioni in uscita necessarie:
    Impostazione predefinita prevista: Sì
    Altre informazioni

  • Notifiche in ingresso bloccate:
    Impostazione predefinita prevista: Sì
    Altre informazioni

  • Firewall abilitato:
    Valore predefinito previsto: Consentito
    Altre informazioni

  • Regole di sicurezza della connessione da Criteri di gruppo non unite:
    Impostazione predefinita prevista: Sì
    Altre informazioni

  • Regole dei criteri da Criteri di gruppo non unite:
    Impostazione predefinita prevista: Sì
    Altre informazioni

Internet Explorer

• Supporto della crittografia di Internet Explorer:
  Impostazione predefinita della baseline: due elementi: TLS v1.1 e TLS v1.2
  Altre informazioni

• Internet Explorer impedisce la gestione del filtro smart screen:
  Valore predefinito previsto: Abilita
  Altre informazioni

• Internet Explorer con restrizioni zona script Controlli Active X contrassegnati come sicuri per lo scripting:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Download di file della zona con restrizioni di Internet Explorer:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Avviso di mancata corrispondenza dell'indirizzo del certificato di Internet Explorer:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Modalità protetta avanzata di Internet Explorer:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Fallback di Internet Explorer a SSL3:
  Impostazione predefinita della baseline: nessun sito
  Altre informazioni

• Software Internet Explorer quando la firma non è valida:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Internet Explorer controlla la revoca del certificato del server:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Internet Explorer controlla le firme nei programmi scaricati:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Internet Explorer elabora una gestione MIME coerente:
  Valore predefinito previsto: Abilita
  Altre informazioni

• Internet Explorer ignora gli avvisi dello smart screen:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Internet Explorer ignora gli avvisi dello smart screen relativi ai file non comuni:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Rilevamento degli arresti anomali di Internet Explorer:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Enclosure di download di Internet Explorer:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Internet Explorer ignora gli errori del certificato:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Internet Explorer disabilita i processi in modalità protetta avanzata:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Controllo delle impostazioni di sicurezza di Internet Explorer:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Controlli Active X di Internet Explorer in modalità protetta:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Utenti di Internet Explorer che aggiungono siti:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Utenti di Internet Explorer che modificano i criteri:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Internet Explorer blocca i controlli Active X obsoleti:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Internet Explorer include tutti i percorsi di rete:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Internet Explorer - Area Internet - Accesso alle origini dati:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Richiesta automatica di download di file nell'area Internet di Internet Explorer:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Internet Explorer internet zone copiare e incollare tramite script:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Internet Explorer - Area Internet - Trascinare o copiare e incollare file:
  Impostazione predefinita della linea di base: disabilitata.
  Altre informazioni

• Siti con privilegi inferiori all'area Internet di Internet Explorer:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Internet Explorer - Area Internet - Caricamento di file XAML:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Componenti basati su .NET Framework nell'area Internet di Internet Explorer:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• L'area Internet di Internet Explorer consente solo ai domini approvati di usare i controlli ActiveX:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• L'area Internet di Internet Explorer consente solo ai domini approvati di usare i controlli ActiveX tdc:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Creazione di script dell'area Internet di Internet Explorer per i controlli web browser:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Finestre avviate da script dell'area Internet di Internet Explorer:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Scriptlet della zona Internet di Internet Explorer:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Smart screen dell'area Internet di Internet Explorer:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Internet Explorer internet zone updates to status bar via script:Internet Explorer internet zone updates to status bar via script:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Persistenza dei dati utente dell'area Internet di Internet Explorer:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• L'area Internet di Internet Explorer consente l'esecuzione di VBscript:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• L'area Internet di Internet Explorer non esegue antimalware nei controlli ActiveX:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Internet Explorer internet area scaricare controlli ActiveX firmati:
  Impostazione predefinita della baseline: Disabilitaimpostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Internet Explorer internet zone download unsigned ActiveX controls:Internet Explorer internet zone download unsigned ActiveX controls:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Filtro di scripting tra siti nell'area Internet di Internet Explorer:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• L'area Internet di Internet Explorer trascina il contenuto da domini diversi tra le finestre:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• L'area Internet di Internet Explorer trascina il contenuto da domini diversi all'interno delle finestre:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Modalità protetta della zona Internet di Internet Explorer:
  Valore predefinito previsto: Abilita
  Altre informazioni

• L'area Internet di Internet Explorer include il percorso locale durante il caricamento dei file nel server:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Internet Explorer internet zone initialize and script Active X controls not marked as safe:Internet Explorer internet zone initialize and script Active X controls not marked as safe:Internet Explorer internet zone initialize and script Active X controls not marked as safe:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Autorizzazioni java dell'area Internet di Internet Explorer:
  Impostazione predefinita della linea di base: Disabilita java
  Altre informazioni

• L'area Internet di Internet Explorer avvia applicazioni e file in un iframe:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Opzioni di accesso all'area Internet di Internet Explorer:
  Impostazione predefinita prevista: Prompt
  Altre informazioni

• Internet Explorer internet zone navigate windows and frames across different domains:Internet Explorer internet zone navigate windows and frames across different domains:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• L'area Internet di Internet Explorer esegue componenti basati su .NET Framework firmati con Authenticode:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Avviso di sicurezza dell'area Internet di Internet Explorer per i file potenzialmente non sicuri:
  Impostazione predefinita prevista: Prompt
  Altre informazioni

• Blocco popup della zona Internet di Internet Explorer:
  Valore predefinito previsto: Abilita
  Altre informazioni

• L'area Intranet di Internet Explorer non esegue antimalware nei controlli Active X:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• L'area Intranet di Internet Explorer inizializza ed esegue lo script di controlli Active X non contrassegnati come sicuri:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Autorizzazioni Java per l'area Intranet di Internet Explorer:
  Impostazione predefinita della linea di base: sicurezza elevata
  Altre informazioni

• L'area del computer locale di Internet Explorer non esegue antimalware nei controlli Active X:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Autorizzazioni Java per la zona del computer locale di Internet Explorer:
  Impostazione predefinita di TBaseline: Disabilita java
  Altre informazioni

• Internet Explorer ha bloccato lo smart screen dell'area Internet:
  Impostazione predefinita della linea di base: abilitata.
  Altre informazioni

• Internet Explorer ha bloccato le autorizzazioni java dell'area Intranet:
  Impostazione predefinita della linea di base: Disabilita java
  Altre informazioni

• Internet Explorer ha bloccato le autorizzazioni Java per la zona del computer locale:
  Impostazione predefinita della linea di base: Disabilita java
  Altre informazioni

• Internet Explorer ha bloccato lo smart screen della zona con restrizioni:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Internet Explorer ha bloccato le autorizzazioni Java per la zona con restrizioni:
  Impostazione predefinita della linea di base: Disabilita Java
  Altre informazioni

• Internet Explorer ha bloccato le autorizzazioni java della zona attendibile:
  Impostazione predefinita della linea di base: Disabilita java
  Altre informazioni

• Internet Explorer elabora la funzionalità di sicurezza dell'analisi MIME:
  Valore predefinito previsto: Abilita
  Altre informazioni

• Internet Explorer elabora la restrizione di sicurezza del protocollo MK:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Internet Explorer elabora la barra di notifica:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Internet Explorer impedisce l'installazione per utente dei controlli Active X:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Internet Explorer elabora la protezione dall'elevazione della zona:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Internet Explorer rimuovi il pulsante Esegui questa volta per i controlli Active X obsoleti:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• I processi di Internet Explorer limitano l'installazione di Active X:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Internet Explorer - Area con restrizioni - Accesso alle origini dati:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Internet Explorer - Area con restrizioni - Scripting attivo:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Richiesta automatica della zona con restrizioni di Internet Explorer per i download di file:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Comportamenti binari e script della zona con restrizioni di Internet Explorer:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Internet Explorer - Area con restrizioni - Copiare e incollare tramite script:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Internet Explorer - Area con restrizioni - Trascinare o copiare e incollare file:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Internet Explorer - Area con restrizioni - Siti con privilegi inferiori:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Caricamento della zona con restrizioni di Internet Explorer dei file XAML:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Aggiornamento meta-area con restrizioni di Internet Explorer:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Componenti basati su .NET Framework nella zona con restrizioni di Internet Explorer:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• L'area con restrizioni di Internet Explorer consente solo ai domini approvati di usare i controlli Active X:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• La zona con restrizioni di Internet Explorer consente solo ai domini approvati di usare i controlli Active X tdc:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Internet Explorer - Area con restrizioni - Scripting dei controlli web browser:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Finestre avviate da script della zona con restrizioni di Internet Explorer:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Scriptlet della zona con restrizioni di Internet Explorer:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Smart screen della zona con restrizioni di Internet Explorer:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Aggiornamenti della zona con restrizioni di Internet Explorer alla barra di stato tramite script:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Persistenza dei dati utente della zona con restrizioni di Internet Explorer:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• La zona con restrizioni di Internet Explorer consente l'esecuzione di vbscript:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• La zona con restrizioni di Internet Explorer non esegue antimalware nei controlli Active X:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Internet Explorer - Area con restrizioni - Scarica controlli Active X firmati:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Internet Explorer - Area con restrizioni - Scarica controlli Active X senza segno:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Internet Explorer - Area con restrizioni - Filtro di scripting tra siti:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• La zona con restrizioni di Internet Explorer trascina il contenuto da domini diversi tra le finestre:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• La zona con restrizioni di Internet Explorer trascina il contenuto da domini diversi all'interno delle finestre:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• La zona con restrizioni di Internet Explorer include il percorso locale durante il caricamento di file nel server:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Inizializzazione della zona con restrizioni di Internet Explorer e script dei controlli Active X non contrassegnati come sicuri:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Autorizzazioni Java per la zona con restrizioni di Internet Explorer:
  Impostazione predefinita della linea di base: Disabilita java
  Altre informazioni

• La zona con restrizioni di Internet Explorer avvia applicazioni e file in un iFrame:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Opzioni di accesso alla zona con restrizioni di Internet Explorer:
  Valore predefinito della baseline: Anonimo
  Altre informazioni

• La zona con restrizioni di Internet Explorer consente di esplorare finestre e frame tra domini diversi:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• La zona con restrizioni di Internet Explorer esegue controlli e plug-in Active X:
  Impostazione predefinita della linea di base: Disabilita.
  Altre informazioni

• La zona con restrizioni di Internet Explorer esegue componenti basati su .NET Framework firmati con Authenticode:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Script di internet explorer con zona con restrizioni di applet Java:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Avviso di sicurezza dell'area con restrizioni di Internet Explorer per i file potenzialmente non sicuri:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Modalità protetta della zona con restrizioni di Internet Explorer:
  Valore predefinito previsto: Abilita
  Altre informazioni

• Blocco popup della zona con restrizioni di Internet Explorer:
  Valore predefinito previsto: Abilita
  Altre informazioni

• I processi di Internet Explorer limitano il download dei file:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Internet Explorer elabora le restrizioni di sicurezza delle finestre con script:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Le zone di sicurezza di Internet Explorer usano solo le impostazioni del computer:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Internet Explorer usa il servizio di installazione Active X:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• La zona attendibile di Internet Explorer non esegue antimalware nei controlli Active X:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Inizializzazione della zona attendibile di Internet Explorer e script dei controlli Active X non contrassegnati come sicuri:
  Impostazione predefinita della linea di base: Disabilita
  Altre informazioni

• Autorizzazioni java della zona attendibile di Internet Explorer:
  Impostazione predefinita della linea di base: sicurezza elevata
  Altre informazioni

• Completamento automatico di Internet Explorer:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

Opzioni di sicurezza dei criteri locali

• Bloccare l'accesso remoto con password vuota:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Minuti di inattività della schermata di blocco fino all'attivazione dello screen saver:
  Valore predefinito previsto: 15
  Altre informazioni

• Comportamento di rimozione delle smart card:
  Impostazione predefinita della linea di base: Bloccare la workstation
  Altre informazioni

• Richiedi al client di firmare sempre digitalmente le comunicazioni:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Impedire ai client di inviare password non crittografate a server SMB di terze parti:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Richiedi sempre la firma digitale del server per le comunicazioni:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Impedire l'enumerazione anonima degli account SAM:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Bloccare l'enumerazione anonima di condivisioni e account SAM:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Limitare l'accesso anonimo a named pipe e condivisioni:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Consenti chiamate remote al gestore degli account di sicurezza:
  Valore predefinito previsto: O:BAG:BAD:(A;; RC;;; BA)
  Altre informazioni

• Impedisci l'archiviazione del valore hash di GESTIONE LAN alla successiva modifica della password:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Livello di autenticazione:
  Valore predefinito previsto: invia solo risposta NTLMv2. Rifiutare LM e NTLM
  Altre informazioni

• Sicurezza minima della sessione per i client basati su provider di servizi condivisi NTLM:
  Impostazione predefinita di base: Richiedere la crittografia NTLM V2 128
  Altre informazioni

• Sicurezza minima della sessione per i server basati su provider di servizi condivisi NTLM:
  Impostazione predefinita di base: Richiedere la crittografia NTLM V2 e a 128 bit
  Altre informazioni

• Comportamento della richiesta di elevazione dei privilegi di amministratore:
  Impostazione predefinita della linea di base: richiedere il consenso sul desktop protetto
  Altre informazioni

• Comportamento della richiesta di elevazione degli utenti standard:
  Impostazione predefinita della baseline: nega automaticamente le richieste di elevazione dei privilegi
  Altre informazioni

• Rilevare le installazioni delle applicazioni e richiedere l'elevazione:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Consenti solo le applicazioni di accesso all'interfaccia utente per posizioni sicure:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Richiedi la modalità di approvazione dell'amministratore per gli amministratori:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Usare la modalità di approvazione dell'amministratore:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Virtualizzare gli errori di scrittura di file e registro in posizioni per utente:
  Impostazione predefinita prevista: Sì
  Altre informazioni

Microsoft Defender

• Impedire ad Adobe Reader di creare processi figlio:
  Valore predefinito previsto: Abilita
  Altre informazioni

• Bloccare l'avvio delle app di comunicazione di Office in un processo figlio:
  Valore predefinito previsto: Abilita
  Altre informazioni

• Immettere la frequenza (da 0 a 24 ore) per verificare la disponibilità di aggiornamenti delle informazioni di sicurezza
  Valore predefinito previsto: 4
  Altre informazioni

• Tipo di analisi
  Impostazione predefinita della linea di base: analisi rapida
  Altre informazioni

• Giorno di analisi della pianificazione di Defender:
  Impostazione predefinita della baseline: Tutti i giorni

• Ora di inizio dell'analisi di Defender:
  Impostazione predefinita della linea di base: non configurata

• Livello di protezione fornito dal cloud:
  Impostazione predefinita della linea di base: non configurata
  Altre informazioni

• Analizzare i file di rete:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Attivare la protezione in tempo reale
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Analizzare gli script usati nei browser Microsoft
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Analizzare i file di archivio:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Attivare il monitoraggio del comportamento:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Attivare la protezione fornita dal cloud:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Analizzare i messaggi di posta in arrivo:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Analizzare le unità rimovibili durante un'analisi completa:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Impedire alle applicazioni di Office di inserire codice in altri processi:
  Impostazione predefinita della baseline: Blocca
  Altre informazioni

• Impedire alle applicazioni di Office di creare contenuto eseguibile
  Impostazione predefinita della baseline: Blocca
  Altre informazioni

• Impedire a tutte le applicazioni di Office di creare processi figlio
  Impostazione predefinita della baseline: Blocca
  Altre informazioni

• Bloccare le chiamate API Win32 dalla macro di Office:
  Impostazione predefinita della baseline: Blocca
  Altre informazioni

• Blocca l'esecuzione di script potenzialmente offuscati (js/vbs/ps):Block execution of potentially obfuscated scripts (js/vbs/ps):
  Impostazione predefinita della baseline: Blocca
  Altre informazioni

• Impedisci a JavaScript o VBScript di avviare il contenuto eseguibile scaricato:
  Impostazione predefinita della baseline: Blocca
  Altre informazioni

• Bloccare il download di contenuto eseguibile dai client di posta elettronica e webmail:
  Impostazione predefinita della baseline: Blocca
  Altre informazioni

• Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe):Block credential stealing from the Windows local security authority subsystem (lsass.exe):Block credential stealing from the Windows local security authority subsystem (lsass.exe)
  Valore predefinito previsto: Abilita
  Altre informazioni

• Azione dell'app defender potenzialmente indesiderata:
  Impostazione predefinita della baseline: Blocca
  Altre informazioni

• Bloccare i processi non attendibili e non firmati eseguiti da USB:
  Impostazione predefinita della baseline: Blocca
  Altre informazioni

• Abilitare la protezione di rete:
  Valore predefinito previsto: Abilita
  Altre informazioni

• Tipo di consenso per l'invio dell'esempio Defender:
  Impostazione predefinita della linea di base: inviare automaticamente esempi sicuri
  Altre informazioni

• Impedire ad Adobe Reader di creare processi figlio:
  Valore predefinito previsto: Abilita
  Altre informazioni

• Bloccare l'avvio delle app di comunicazione di Office in un processo figlio:
  Valore predefinito previsto: Abilita
  Altre informazioni

• Immettere la frequenza (da 0 a 24 ore) per verificare la disponibilità di aggiornamenti delle informazioni di sicurezza
  Valore predefinito previsto: 4
  Altre informazioni

• Tipo di analisi
  Impostazione predefinita della linea di base: analisi rapida
  Altre informazioni

• Giorno di analisi della pianificazione di Defender:
  Impostazione predefinita della baseline: Tutti i giorni

• Livello di protezione fornito dal cloud:
  Impostazione predefinita della linea di base: non configurata
  Altre informazioni

• Analizzare i file di rete:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Attivare la protezione in tempo reale
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Analizzare gli script usati nei browser Microsoft
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Analizzare i file di archivio:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Attivare il monitoraggio del comportamento:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Attivare la protezione fornita dal cloud:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Analizzare i messaggi di posta in arrivo:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Analizzare le unità rimovibili durante un'analisi completa:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Impedire alle applicazioni di Office di inserire codice in altri processi:
  Impostazione predefinita della baseline: Blocca
  Altre informazioni

• Impedire alle applicazioni di Office di creare contenuto eseguibile
  Impostazione predefinita della baseline: Blocca
  Altre informazioni

• Impedire a tutte le applicazioni di Office di creare processi figlio
  Impostazione predefinita della baseline: Blocca
  Altre informazioni

• Bloccare le chiamate API Win32 dalla macro di Office:
  Impostazione predefinita della baseline: Blocca
  Altre informazioni

• Blocca l'esecuzione di script potenzialmente offuscati (js/vbs/ps):Block execution of potentially obfuscated scripts (js/vbs/ps):
  Impostazione predefinita della baseline: Blocca
  Altre informazioni

• Impedisci a JavaScript o VBScript di avviare il contenuto eseguibile scaricato:
  Impostazione predefinita della baseline: Blocca
  Altre informazioni

• Bloccare il download di contenuto eseguibile dai client di posta elettronica e webmail:
  Impostazione predefinita della baseline: Blocca
  Altre informazioni

• Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe):Block credential stealing from the Windows local security authority subsystem (lsass.exe):Block credential stealing from the Windows local security authority subsystem (lsass.exe)
  Valore predefinito previsto: Abilita
  Altre informazioni

• Azione dell'app defender potenzialmente indesiderata:
  Impostazione predefinita della baseline: Blocca
  Altre informazioni

• Bloccare i processi non attendibili e non firmati eseguiti da USB:
  Impostazione predefinita della baseline: Blocca
  Altre informazioni

• Abilitare la protezione di rete:
  Valore predefinito previsto: Abilita
  Altre informazioni

• Tipo di consenso per l'invio dell'esempio Defender:
  Impostazione predefinita della linea di base: inviare automaticamente esempi sicuri
  Altre informazioni

Guida alla sicurezza di MS

• Configurazione di avvio del driver client SMB v1:
  Impostazione predefinita della linea di base: driver disabilitato
  Altre informazioni

• Applicare restrizioni di Controllo dell'account utente agli account locali all'accesso alla rete:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• La gestione strutturata delle eccezioni sovrascrive la protezione:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Server SMB v1:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Autenticazione del digest:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

MSS Legacy

• Livello di protezione del routing di origine IPv6 di rete:
  Impostazione predefinita della linea di base: protezione massima
  Altre informazioni

• Livello di protezione del routing dell'origine IP di rete:
  Impostazione predefinita della linea di base: protezione massima
  Altre informazioni

• La rete ignora le richieste di rilascio dei nomi NetBIOS ad eccezione dei server WINS:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• I reindirizzamenti ICMP di rete sostituiscono le route generate da OSPF:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

Alimentazione

• Richiedere la password durante la riattivazione a batteria:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Richiedere la password durante la riattivazione mentre è collegato:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Stati di standby durante la sospensione a batteria:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Stati di standby durante la sospensione mentre è collegato:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

Assistenza remota

• Assistenza remota richiesta:
  Impostazione predefinita prevista: Disabilitare l'assistenza remota
  Altre informazioni

Servizi Desktop remoto

• Livello di crittografia della connessione client di Servizi Desktop remoto:
  Valore predefinito della baseline: Alto
  Altre informazioni

• Blocca reindirizzamento unità:
  Impostazione predefinita della linea di base: abilitata

• Blocca il salvataggio delle password:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Richiedi password al momento della connessione:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Proteggere la comunicazione RPC:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

Gestione remota

• Blocca l'autenticazione del digest client:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Blocca l'archiviazione eseguire come credenziali:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

• Autenticazione di base del client:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Autenticazione di base:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Traffico client non crittografato:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

• Traffico non crittografato:
  Impostazione predefinita della linea di base: Disabilitata
  Altre informazioni

Chiamata di procedura remota

• Opzioni client RPC non autenticate:
  Valore predefinito della linea di base: Autenticato
  Altre informazioni

Ricerca

• Disabilitare l'indicizzazione degli elementi crittografati:
  Impostazione predefinita prevista: Sì
  Altre informazioni

Smart Screen

• Attivare Windows SmartScreen
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Impedire agli utenti di ignorare gli avvisi smartscreen
  Impostazione predefinita prevista: Sì
  Altre informazioni

Sistema

• Inizializzazione del driver di avvio dell'avvio del sistema:
  Impostazione predefinita della linea di base: buona sconosciuta e critica non valida
  Altre informazioni

Wi-Fi

• Blocca la connessione automatica agli hotspot Wi-Fi:
  Impostazione predefinita prevista: Sì
  Altre informazioni

• Blocca condivisione Internet:
  Impostazione predefinita prevista: Sì
  Altre informazioni

Windows Gestione connessioni

• Bloccare la connessione a reti non di dominio:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

Area Windows Ink

• Area di lavoro input penna:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

Windows PowerShell

• Registrazione del blocco di script di PowerShell:
  Impostazione predefinita della linea di base: abilitata
  Altre informazioni

Passaggi successivi

• Informazioni sulle baseline di sicurezza
• Evitare conflitti
• Risolvere i problemi relativi a criteri e profili in Intune