Elenco delle impostazioni nella baseline di sicurezza Windows 365 Cloud PC in Intune

  • Articolo

Questo articolo è un riferimento per le impostazioni disponibili nella baseline di sicurezza Windows 365 Cloud PC che è possibile distribuire con Microsoft Intune.

Per ogni impostazione è disponibile la configurazione predefinita delle baseline, che è anche la configurazione consigliata per tale impostazione fornita dal team di sicurezza pertinente. Poiché i prodotti e il panorama della sicurezza si evolvono, le impostazioni predefinite consigliate in una versione di base potrebbero non corrispondere alle impostazioni predefinite disponibili nelle versioni successive della stessa baseline. Anche tipi di baseline diversi, ad esempio la sicurezza MDM e le baseline di Defender per endpoint , potrebbero impostare impostazioni predefinite diverse.

Quando l'interfaccia utente Intune include un collegamento Altre informazioni per un'impostazione, lo troverai anche qui. Usare questo collegamento per visualizzare il provider di servizi di configurazione dei criteri di impostazioni (CSP) o il contenuto pertinente che illustra l'operazione delle impostazioni.

Quando una nuova versione di una baseline diventa disponibile, sostituisce la versione precedente. Profila le istanze create prima della disponibilità di una nuova versione:

  • Diventa di sola lettura. È possibile continuare a usare tali profili, ma non modificarli per modificarne la configurazione.
  • Può essere aggiornato alla versione più recente. Dopo aver aggiornato un profilo alla versione di base corrente, è possibile modificare il profilo per modificare le impostazioni.

Per altre informazioni sull'uso delle baseline di sicurezza, vedere Usare le baseline di sicurezza. In questo articolo sono disponibili anche informazioni su come:

Windows 365 Cloud PC versione di base della sicurezza 2110:

Blocco precedente

  • Attivazione vocale delle app dalla schermata bloccata:
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Blocca la visualizzazione delle notifiche di tipo avviso popup:
    Impostazione predefinita prevista:
    Altre informazioni

Runtime dell'app

  • Account Microsoft facoltativi per le app di Microsoft Store:
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

Gestione delle applicazioni

  • Bloccare le installazioni di app con privilegi elevati:
    Impostazione predefinita prevista:
    Altre informazioni

  • Bloccare il controllo utente sulle installazioni:
    Impostazione predefinita prevista:
    Altre informazioni

  • Blocca DVR del gioco (solo desktop):
    Impostazione predefinita prevista:
    Altre informazioni

Regole di riduzione della superficie di attacco

Per informazioni generali, vedere Informazioni sulle regole di riduzione della superficie di attacco.

  • Impedire alle app di comunicazione di Office di creare processi figlio:
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Impedire ad Adobe Reader di creare processi figlio:
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Impedire alle applicazioni di Office di inserire codice in altri processi:
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Impedire alle applicazioni di Office di creare contenuto eseguibile:
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Impedisci a JavaScript o VBScript di avviare il contenuto eseguibile scaricato:
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Abilitare la protezione di rete:
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Bloccare i processi non attendibili e non firmati eseguiti da USB:
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe):Block credential stealing from the Windows local security authority subsystem (lsass.exe):Block credential stealing from the Windows local security authority subsystem (lsass.exe)
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Impedire a tutte le applicazioni di Office di creare processi figlio:
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Blocca l'esecuzione di script potenzialmente offuscati (js/vbs/ps):Block execution of potentially obfuscated scripts (js/vbs/ps):
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Bloccare le chiamate API Win32 dalla macro di Office:
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Bloccare il download di contenuto eseguibile dai client di posta elettronica e webmail:
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

Audit

Le impostazioni di controllo configurano gli eventi generati per le condizioni dell'impostazione.

  • Convalida delle credenziali di controllo dell'accesso dell'account (dispositivo):Account Logon Audit Credential Validation (Device):
    Impostazione predefinita della linea di base: Esito positivo e negativo

  • Account Logon Audit Kerberos Authentication Service (Device):
    Valore predefinito previsto: Nessuno

  • Account Logon Logoff Audit Account Lockout (Device):Account Logon Logoff Audit Account Lockout (Device):
    Impostazione predefinita prevista: Errore

  • Appartenenza al gruppo di controllo dell'accesso dell'account (dispositivo):Account Logon Logoff Audit Group Membership (Device):
    Impostazione predefinita della linea di base: Operazione riuscita

  • Accesso all'account Logoff Audit Logon (Device):
    Impostazione predefinita della linea di base: Esito positivo e negativo

  • Controllare altri eventi di disconnessione dell'accesso (dispositivo):Audit Other Logon Logoff Events (Device):
    Impostazione predefinita della linea di base: Esito positivo e negativo

  • Controlla accesso speciale (dispositivo):Audit Special Logon (Device):
    Impostazione predefinita della linea di base: Operazione riuscita

  • Controllare la gestione dei gruppi di sicurezza (dispositivo):Audit Security Group Management (Device):
    Impostazione predefinita della linea di base: Operazione riuscita

  • Controllare la gestione degli account utente (dispositivo):Audit User Account Management (Device):
    Impostazione predefinita della linea di base: Esito positivo e negativo

  • Attività PNP di controllo dettagliato (dispositivo):Detailed Tracking Audit PNP Activity (Device):
    Impostazione predefinita della linea di base: Operazione riuscita

  • Creazione dettagliata del processo di controllo del rilevamento (dispositivo):Detailed Tracking Audit Process Creation (Device):
    Impostazione predefinita della linea di base: Operazione riuscita

  • Controllo dell'accesso agli oggetti Condivisione file dettagliata (dispositivo):Object Access Audit Detailed File Share (Device):
    Impostazione predefinita prevista: Errore

  • Controllare l'accesso alla condivisione file (dispositivo):Audit File Share Access (Device):
    Impostazione predefinita della linea di base: Esito positivo e negativo

  • Controllo dell'accesso agli oggetti Altri eventi di accesso agli oggetti (dispositivo):Object Access Audit Other Object Access Events (Device):
    Impostazione predefinita della linea di base: Esito positivo e negativo

  • Controllo dell'accesso agli oggetti Archiviazione rimovibile (dispositivo):Object Access Audit Removable Storage (Device):
    Impostazione predefinita della linea di base: Esito positivo e negativo

  • Modifica dei criteri di autenticazione di controllo (dispositivo):Audit Authentication Policy Change (Device):
    Impostazione predefinita della linea di base: Operazione riuscita

  • Modifica dei criteri Controllare la modifica dei criteri a livello di regola MPSSVC (dispositivo):Policy Change Audit MPSSVC Rule Level Change (Device):
    Impostazione predefinita della linea di base: Esito positivo e negativo

  • Controllo delle modifiche dei criteri Altri eventi di modifica dei criteri (dispositivo):Policy Change Audit Other Policy Change Events (Device):
    Impostazione predefinita prevista: Errore

  • Modifiche di controllo ai criteri di controllo (dispositivo):
    Impostazione predefinita della linea di base: Operazione riuscita

  • Privilege Use Audit Sensitive Privilege Use (Device):
    Impostazione predefinita della linea di base: Esito positivo e negativo

  • Controllo di sistema Altri eventi di sistema (dispositivo):System Audit Other System Events (Device):
    Impostazione predefinita della linea di base: Esito positivo e negativo

  • Modifica dello stato di sicurezza del controllo di sistema (dispositivo):System Audit Security State Change (Device):
    Impostazione predefinita della linea di base: Operazione riuscita

  • Controllare l'estensione del sistema di sicurezza (dispositivo):Audit Security System Extension (Device):
    Impostazione predefinita della linea di base: Operazione riuscita

  • Integrità del sistema di controllo del sistema (dispositivo):System Audit System Integrity (Device):
    Impostazione predefinita della linea di base: Esito positivo e negativo

Riproduzione automatica

  • Comportamento di esecuzione automatica predefinito della riproduzione automatica:
    Impostazione predefinita della baseline: non eseguire
    Altre informazioni

  • Modalità di riproduzione automatica:
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Blocca la riproduzione automatica per i dispositivi non con volume:
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

Browser

  • Blocca Gestione password:
    Impostazione predefinita prevista:
    Altre informazioni

  • Richiedi SmartScreen per Versione legacy di Microsoft Edge:
    Impostazione predefinita prevista:
    Altre informazioni

  • Blocca sito dannoso:
    Impostazione predefinita prevista:
    Altre informazioni

  • Blocca il download di file non verificato:
    Impostazione predefinita prevista:
    Altre informazioni

  • Impedire all'utente di eseguire l'override degli errori del certificato:
    Impostazione predefinita prevista:
    Altre informazioni

Connettività

  • Configurare l'accesso sicuro ai percorsi UNC:
    Impostazione predefinita della linea di base: configurare Windows per consentire l'accesso ai percorsi UNC specificati solo dopo aver soddisfatto i requisiti di sicurezza aggiuntivi
    Altre informazioni

    • Elenco di percorsi UNC con protezione avanzata:
      Non configurato per impostazione predefinita. Aggiungere manualmente uno o più percorsi UNC protetti.

  • Blocca il download dei driver di stampa su HTTP:
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Bloccare il download Internet per la pubblicazione Web e le procedure guidate per l'ordinamento online:
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

Delega delle credenziali

  • Delega host remoto di credenziali non esportabili:
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

Interfaccia utente delle credenziali

  • Enumerare gli amministratori:
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

Device Guard

  • Sicurezza basata sulla virtualizzazione:
    Impostazione predefinita di base: Abilitare VBS con l'avvio protetto

  • Abilitare la sicurezza basata sulla virtualizzazione:
    Impostazione predefinita prevista:
    Altre informazioni

  • Avviare la protezione del sistema:
    Impostazione predefinita della linea di base: abilitata

  • Attivare Credential Guard:
    Impostazione predefinita prevista: Abilita con blocco UEFI
    Altre informazioni

Installazione del dispositivo

  • Bloccare l'installazione del dispositivo hardware in base alle classi di configurazione
    Impostazione predefinita prevista:
    Altre informazioni

    • Rimuovere i dispositivi hardware corrispondenti
      Impostazione predefinita prevista:

    • Elenco di blocchi
      Non configurato per impostazione predefinita. Aggiungere manualmente uno o più identificatori.

DMA Guard

  • Enumerazione di dispositivi esterni incompatibili con la protezione DMA del kernel
    Impostazione predefinita della linea di base: Blocca tutto

Servizio registro eventi

  • Dimensioni massime file del log applicazioni in KB
    Valore predefinito previsto: 32768
    Altre informazioni

  • Dimensioni massime file del log di sistema in KB
    Valore predefinito previsto: 32768
    Altre informazioni

  • Dimensioni massime file del log di sicurezza in KB
    Impostazione predefinita prevista: 196608
    Altre informazioni

Funzionalità

  • Blocca i contenuti in evidenza di Windows
    Impostazione predefinita prevista:
    Altre informazioni

Esplora file

  • Bloccare la prevenzione dell'esecuzione dei dati
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Bloccare la terminazione dell'heap in caso di danneggiamento
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

Firewall

Per altre informazioni, vedere 2.2.2 FW_PROFILE_TYPE nella documentazione dei protocolli di Windows.

  • Dominio del profilo del firewall:
    Impostazione predefinita della linea di base: Configurare
    Altre informazioni

  • Profilo del firewall privato:
    Impostazione predefinita della linea di base: Configurare
    Altre informazioni

  • Profilo del firewall pubblico:
    Impostazione predefinita della linea di base: Configurare
    Altre informazioni

    • Connessioni in ingresso bloccate:
      Impostazione predefinita prevista:
      Altre informazioni

    • Connessioni in uscita necessarie:
      Impostazione predefinita prevista:
      Altre informazioni

    • Notifiche in ingresso bloccate:
      Impostazione predefinita prevista:
      Altre informazioni

    • Firewall abilitato:
      Valore predefinito previsto: Consentito
      Altre informazioni

    • Regole di sicurezza della connessione da Criteri di gruppo non unite:
      Impostazione predefinita prevista:
      Altre informazioni

    • Regole dei criteri da Criteri di gruppo non unite:
      Impostazione predefinita prevista:
      Altre informazioni

Internet Explorer

Visualizzare l'elenco completo dei CSP di Internet Explorer.

  • Supporto della crittografia di Internet Explorer
    Valori predefiniti della linea di base: due elementi: TLS v1.1 e TLS v1.2

    Altre informazioni

  • Internet Explorer impedisci la gestione del filtro smart screen
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Internet Explorer con restrizioni zona script Controlli Active X contrassegnati come sicuri per lo scripting
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Download di file della zona con restrizioni di Internet Explorer
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Avviso di mancata corrispondenza dell'indirizzo del certificato di Internet Explorer
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Modalità protetta avanzata di Internet Explorer
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Fallback di Internet Explorer a SSL3
    Impostazione predefinita della baseline: nessun sito
    Altre informazioni

  • Software internet explorer quando la firma non è valida
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Internet Explorer controlla la revoca dei certificati del server
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Internet Explorer controlla le firme nei programmi scaricati
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Internet Explorer elabora una gestione MIME coerente
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Internet Explorer ignora gli avvisi dello smart screen
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Internet Explorer ignora gli avvisi dello smart screen sui file non comuni
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Rilevamento arresto anomalo di Internet Explorer
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Enclosure di download di Internet Explorer
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Internet Explorer ignora gli errori del certificato
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Internet Explorer disabilita i processi in modalità protetta avanzata
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Controllo delle impostazioni di sicurezza di Internet Explorer
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Controlli Active X di Internet Explorer in modalità protetta
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Aggiunta di siti da parte degli utenti di Internet Explorer
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Utenti di Internet Explorer che modificano i criteri
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Internet Explorer blocca i controlli Active X obsoleti
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Internet Explorer include tutti i percorsi di rete
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Internet Explorer - Area Internet - Accesso alle origini dati
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Richiesta automatica di download di file nell'area Internet di Internet Explorer
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Copiare e incollare tramite script l'area Internet di Internet Explorer
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Internet Explorer - Area Internet - Trascinare o copiare e incollare file
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Siti con privilegi inferiori all'area Internet di Internet Explorer
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Caricamento di file XAML nell'area Internet di Internet Explorer
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Componenti basati su .NET Framework nell'area Internet di Internet Explorer
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • L'area Internet di Internet Explorer consente solo ai domini approvati di usare i controlli ActiveX
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • L'area Internet di Internet Explorer consente solo ai domini approvati di usare i controlli ActiveX tdc
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Creazione di script dell'area Internet di Internet Explorer per i controlli web browser
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Finestre avviate da script dell'area Internet di Internet Explorer
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Scriptlet dell'area Internet di Internet Explorer
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Smart screen dell'area Internet di Internet Explorer
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Aggiornamenti dell'area Internet di Internet Explorer alla barra di stato tramite script
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Persistenza dei dati utente dell'area Internet di Internet Explorer
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • L'area Internet di Internet Explorer consente l'esecuzione di VBscript
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • L'area Internet di Internet Explorer non esegue antimalware nei controlli ActiveX
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Internet Explorer - Area Internet - Scarica controlli ActiveX firmati
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Internet Explorer internet zone download unsigned ActiveX controls
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Filtro di scripting tra siti nell'area Internet di Internet Explorer
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Internet Explorer - Area Internet - Trascinare il contenuto da domini diversi tra le finestre
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Internet Explorer - Area Internet - Trascinare il contenuto da domini diversi all'interno delle finestre
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Modalità protetta della zona Internet di Internet Explorer
    Valore predefinito previsto: Abilita
    Altre informazioni

  • L'area Internet di Internet Explorer include il percorso locale durante il caricamento di file nel server
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Inizializzazione dell'area Internet di Internet Explorer e script dei controlli Active X non contrassegnati come sicuri
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Autorizzazioni Java per l'area Internet di Internet Explorer
    Impostazione predefinita della linea di base: Disabilita java
    Altre informazioni

  • Internet Explorer - Area Internet - Avviare applicazioni e file in un iframe
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Opzioni di accesso all'area Internet di Internet Explorer
    Impostazione predefinita prevista: Prompt
    Altre informazioni

  • Internet Explorer internet zone navigate windows and frames across different domains
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Internet Explorer internet zone run .NET Framework reliant components signed with Authenticode
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Avviso di sicurezza dell'area Internet di Internet Explorer per i file potenzialmente non sicuri
    Impostazione predefinita prevista: Prompt
    Altre informazioni

  • Blocco popup della zona Internet di Internet Explorer
    Valore predefinito previsto: Abilita
    Altre informazioni

  • L'area Intranet di Internet Explorer non esegue antimalware nei controlli Active X
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Inizializzazione dell'area Intranet di Internet Explorer e script dei controlli Active X non contrassegnati come sicuri
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Autorizzazioni Java per l'area Intranet di Internet Explorer
    Impostazione predefinita della linea di base: sicurezza elevata
    Altre informazioni

  • L'area del computer locale di Internet Explorer non esegue antimalware nei controlli Active X
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Autorizzazioni Java per l'area del computer locale di Internet Explorer
    Impostazione predefinita della linea di base: Disabilita java
    Altre informazioni

  • Internet Explorer ha bloccato lo smart screen dell'area Internet
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Internet Explorer ha bloccato le autorizzazioni Java per l'area Intranet
    Impostazione predefinita della linea di base: Disabilita java
    Altre informazioni

  • Internet Explorer ha bloccato le autorizzazioni Java per l'area del computer locale
    Impostazione predefinita della linea di base: Disabilita java
    Altre informazioni

  • Internet Explorer bloccato zona con restrizioni smart screen
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Internet Explorer ha bloccato le autorizzazioni Java per la zona con restrizioni
    Impostazione predefinita della linea di base: Disabilita java
    Altre informazioni

  • Internet Explorer ha bloccato le autorizzazioni java della zona attendibile
    Impostazione predefinita della linea di base: Disabilita java
    Altre informazioni

  • Internet Explorer elabora la funzionalità di sicurezza dell'analisi MIME
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Internet Explorer elabora la restrizione di sicurezza del protocollo MK
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Internet Explorer elabora la barra di notifica
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Internet Explorer impedisce l'installazione per utente dei controlli Active X
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Internet Explorer elabora la protezione dall'elevazione della zona
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Internet Explorer rimuovi il pulsante Esegui questa volta per i controlli Active X obsoleti
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • I processi di Internet Explorer limitano l'installazione di Active X
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Internet Explorer - Area con restrizioni - Accesso alle origini dati
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Internet Explorer - Area con restrizioni - Scripting attivo
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Richiesta automatica di download di file nella zona con restrizioni di Internet Explorer
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Comportamenti binari e script della zona con restrizioni di Internet Explorer
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Internet Explorer - Area con restrizioni - Copiare e incollare tramite script
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Internet Explorer - Area con restrizioni - Trascinare e rilasciare o copiare e incollare file
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Internet Explorer - Zona con restrizioni - Siti con privilegi inferiori
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Internet Explorer - Zona con restrizioni - Caricamento di file XAML
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Aggiornamento meta-aggiornamento della zona con restrizioni di Internet Explorer
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Componenti basati su .NET Framework nella zona con restrizioni di Internet Explorer
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • L'area con restrizioni di Internet Explorer consente solo ai domini approvati di usare i controlli Active X
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • L'area con restrizioni di Internet Explorer consente solo ai domini approvati di usare i controlli Active X tdc
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Creazione di script con zona con restrizioni di Internet Explorer per i controlli del Web browser
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Finestre avviate da script della zona con restrizioni di Internet Explorer
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Scriptlet della zona con restrizioni di Internet Explorer
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Smart screen della zona con restrizioni di Internet Explorer
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Aggiornamenti della zona con restrizioni di Internet Explorer alla barra di stato tramite script
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Persistenza dei dati utente della zona con restrizioni di Internet Explorer
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • L'area con restrizioni di Internet Explorer consente l'esecuzione di vbscript
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • La zona con restrizioni di Internet Explorer non esegue antimalware nei controlli Active X
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Internet Explorer - Area con restrizioni - Scarica controlli Active X firmati
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Internet Explorer - Area con restrizioni - Scarica controlli Active X senza segno
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Filtro di scripting tra siti con zona con restrizioni di Internet Explorer
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Area con restrizioni di Internet Explorer trascinare il contenuto da domini diversi tra le finestre
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Area con restrizioni di Internet Explorer trascinare il contenuto da domini diversi all'interno delle finestre
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • La zona con restrizioni di Internet Explorer include il percorso locale durante il caricamento di file nel server
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Inizializzazione della zona con restrizioni di Internet Explorer e script dei controlli Active X non contrassegnati come sicuri
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Autorizzazioni Java per la zona con restrizioni di Internet Explorer
    Impostazione predefinita della linea di base: Disabilita java
    Altre informazioni

  • Internet Explorer - Area con restrizioni - Avviare applicazioni e file in un iFrame
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Opzioni di accesso alla zona con restrizioni di Internet Explorer
    Valore predefinito della baseline: Anonimo
    Altre informazioni

  • Area con restrizioni di Internet Explorer consente di esplorare finestre e frame tra domini diversi
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • La zona con restrizioni di Internet Explorer esegue controlli e plug-in Active X
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • La zona con restrizioni di Internet Explorer esegue componenti basati su .NET Framework firmati con Authenticode
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Script di internet explorer con zona con restrizioni di applet Java
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Avviso di sicurezza dell'area con restrizioni di Internet Explorer per i file potenzialmente non sicuri
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Modalità protetta della zona con restrizioni di Internet Explorer
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Blocco popup della zona con restrizioni di Internet Explorer
    Valore predefinito previsto: Abilita
    Altre informazioni

  • I processi di Internet Explorer limitano il download di file
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Internet Explorer elabora le restrizioni di sicurezza delle finestre con script
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Le zone di sicurezza di Internet Explorer usano solo le impostazioni del computer
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Internet Explorer usa il servizio di installazione Active X
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • La zona attendibile di Internet Explorer non esegue antimalware nei controlli Active X
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Inizializzazione della zona attendibile di Internet Explorer e script dei controlli Active X non contrassegnati come sicuri
    Impostazione predefinita della linea di base: Disabilita
    Altre informazioni

  • Autorizzazioni java della zona attendibile di Internet Explorer
    Impostazione predefinita della linea di base: sicurezza elevata
    Altre informazioni

  • Completamento automatico di Internet Explorer
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

Opzioni di sicurezza dei criteri locali

  • Bloccare l'accesso remoto con password vuota
    Impostazione predefinita prevista:
    Altre informazioni

  • Minuti di inattività della schermata di blocco fino all'attivazione dello screen saver
    Valore predefinito previsto: 15
    Altre informazioni

  • Comportamento di rimozione delle smart card
    Impostazione predefinita della linea di base: Bloccare la workstation
    Altre informazioni

  • Richiedere al client di firmare sempre le comunicazioni digitalmente
    Impostazione predefinita prevista:
    Altre informazioni

  • Impedire ai client di inviare password non crittografate a server SMB di terze parti
    Impostazione predefinita prevista:
    Altre informazioni

  • Richiedi comunicazioni di firma digitale del server sempre
    Impostazione predefinita prevista:
    Altre informazioni

  • Impedire l'enumerazione anonima degli account SAM
    Impostazione predefinita prevista:
    Altre informazioni

  • Bloccare l'enumerazione anonima di condivisioni e account SAM
    Impostazione predefinita prevista:
    Altre informazioni

  • Limitare l'accesso anonimo a named pipe e condivisioni
    Impostazione predefinita prevista:
    Altre informazioni

  • Consenti chiamate remote al gestore degli account di sicurezza
    Valore predefinito previsto: O:BAG:BAD:(A;; RC;;; BA)
    Altre informazioni

  • Impedisci l'archiviazione del valore hash di GESTIONE LAN alla successiva modifica della password
    Impostazione predefinita prevista:
    Altre informazioni

  • Livello di autenticazione
    Valore predefinito previsto: invia solo risposta NTLMv2. Rifiutare LM e NTLM
    Altre informazioni

  • Sicurezza minima della sessione per i client basati su provider di servizi condivisi NTLM
    Impostazione predefinita di base: Richiedere la crittografia NTLM V2 e a 128 bit
    Altre informazioni

  • Sicurezza minima della sessione per i server basati su provider di servizi condivisi NTLM
    Impostazione predefinita di base: Richiedere la crittografia NTLM V2 e a 128 bit
    Altre informazioni

  • Comportamento della richiesta di elevazione dei privilegi di amministratore
    Impostazione predefinita della linea di base: richiedere il consenso sul desktop protetto
    Altre informazioni

  • Comportamento della richiesta di elevazione degli utenti standard
    Impostazione predefinita della baseline: nega automaticamente le richieste di elevazione dei privilegi
    Altre informazioni

  • Rilevare le installazioni delle applicazioni e richiedere l'elevazione
    Impostazione predefinita prevista:
    Altre informazioni

  • Consenti solo applicazioni di accesso all'interfaccia utente per posizioni sicure
    Impostazione predefinita prevista:
    Altre informazioni

  • Richiedere la modalità di approvazione dell'amministratore per gli amministratori
    Impostazione predefinita prevista:
    Altre informazioni

  • Usare la modalità di approvazione dell'amministratore
    Impostazione predefinita prevista:
    Altre informazioni

  • Virtualizzare gli errori di scrittura dei file e del Registro di sistema in posizioni per utente
    Impostazione predefinita prevista:
    Altre informazioni

Microsoft Defender

  • Attivare la protezione in tempo reale
    Impostazione predefinita prevista:
    Altre informazioni

  • Analizzare gli script usati nei browser Microsoft
    Impostazione predefinita prevista:
    Altre informazioni

  • Quantità aggiuntiva di tempo (0-50 secondi) per estendere il timeout di protezione cloud
    Valore predefinito previsto: 50
    Altre informazioni

  • Analizzare tutti i file e gli allegati scaricati
    Impostazione predefinita prevista:
    Altre informazioni

  • Tipo di analisi
    Impostazione predefinita della linea di base: analisi rapida
    Altre informazioni

  • Giorno di analisi della pianificazione di Defender
    Impostazione predefinita della baseline: Tutti i giorni

  • Ora di inizio dell'analisi pianificata
    Impostazione predefinita della linea di base: non configurata

  • Consenso per l'invio dell'esempio Defender
    Impostazione predefinita della linea di base: inviare automaticamente esempi sicuri
    Altre informazioni

  • Livello di protezione fornito dal cloud
    Valore predefinito della baseline: Alto
    Altre informazioni

  • Analizzare le unità rimovibili durante l'analisi completa
    Impostazione predefinita prevista:
    Altre informazioni

  • Azione dell'app defender potenzialmente indesiderata
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Attivare la protezione fornita dal cloud
    Impostazione predefinita prevista:
    Altre informazioni

esclusioni antivirus Microsoft Defender

  • Processi di Defender da escludere
    Impostazioni predefinite di base: non configurate per impostazione predefinita. Aggiungere manualmente una o più voci.

  • Estensioni di file da escludere dalle analisi e dalla protezione in tempo reale
    Impostazioni predefinite di base: non configurate per impostazione predefinita. Aggiungere manualmente una o più voci.

  • File e cartelle di Defender da escludere
    Impostazione predefinita della baseline: non configurata per impostazione predefinita. Aggiungere manualmente una o più voci.

Microsoft Edge

  • Controllare quali estensioni non possono essere installate
    Impostazione predefinita della linea di base: abilitata

    • ID di estensione a cui l'utente deve essere impedito di installare (o * per tutti)
      Impostazione predefinita della baseline: non configurata per impostazione predefinita. Aggiungere manualmente uno o più ID

  • Consenti host di messaggistica nativi a livello di utente (installati senza autorizzazioni di amministratore)
    Impostazione predefinita della linea di base: Disabilitata

  • Versione SSL minima abilitata
    Impostazione predefinita della linea di base: abilitata

    • Versione SSL minima abilitata
      Impostazione predefinita della linea di base: TLS 1.2

  • Consenti agli utenti di continuare dalla pagina di avviso SSL
    Impostazione predefinita della linea di base: Disabilitata

  • Configurare Microsoft Defender SmartScreen
    Impostazione predefinita della linea di base: abilitata

  • Impedisci di ignorare Microsoft Defender richieste SmartScreen per i siti
    Impostazione predefinita della linea di base: abilitata

  • Evitare di ignorare Microsoft Defender avvisi SmartScreen sui download
    Impostazione predefinita della linea di base: abilitata

  • Configurare Microsoft Defender SmartScreen per bloccare le app potenzialmente indesiderate
    Impostazione predefinita della linea di base: abilitata

  • Impostazione predefinita di Adobe Flash
    Impostazione predefinita della linea di base: abilitata

    • Impostazione predefinita di Adobe Flash
      Impostazione predefinita della linea di base: blocca il plug-in Adobe Flash

  • Abilitare il salvataggio delle password nella gestione password
    Impostazione predefinita della linea di base: Disabilitata

  • Abilitare l'isolamento del sito per ogni sito
    Impostazione predefinita della linea di base: abilitata

  • Metodi di autenticazione supportati
    Impostazione predefinita della linea di base: abilitata

    • Metodi di autenticazione supportati
      Valori predefiniti della baseline: due elementi: NTLM e Negotiate

Guida alla sicurezza di MS

  • Configurazione di avvio del driver client SMB v1
    Impostazione predefinita della linea di base: Disabilita driver
    Altre informazioni

  • Applicare restrizioni di Controllo dell'account utente agli account locali all'accesso alla rete
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Protezione sovrascrittura della gestione delle eccezioni strutturata
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Server SMB v1
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Autenticazione del digest
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

MSS Legacy

  • Livello di protezione del routing di origine IPv6 di rete
    Impostazione predefinita della linea di base: protezione massima
    Altre informazioni

  • Livello di protezione del routing dell'origine IP di rete
    Impostazione predefinita della linea di base: protezione massima
    Altre informazioni

  • La rete ignora le richieste di rilascio dei nomi NetBIOS ad eccezione dei server WINS
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • I reindirizzamenti ICMP di rete sostituiscono le route generate da OSPF
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

Assistenza remota

  • Assistenza remota richiesta Impostazione predefinita prevista: Disabilitare l'assistenza remota
    Altre informazioni

Servizi Desktop remoto

  • Livello di crittografia della connessione client di Servizi Desktop remoto
    Valore predefinito della baseline: Alto
    Altre informazioni

  • Blocca reindirizzamento unità
    Impostazione predefinita della linea di base: abilitata

  • Bloccare il salvataggio delle password
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Richiedi password al momento della connessione
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Proteggere la comunicazione RPC
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

Gestione remota

  • Bloccare l'autenticazione del digest client
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Blocca l'archiviazione esegui come credenziali
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Autenticazione di base del client
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Autenticazione di base
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Traffico client non crittografato
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Traffico non crittografato
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

Chiamata di procedura remota

  • Opzioni client RPC non autenticate
    Valore predefinito della linea di base: Autenticato
    Altre informazioni
  • Disabilitare l'indicizzazione degli elementi crittografati
    Impostazione predefinita prevista:
    Altre informazioni

Smart Screen

  • Attivare Windows SmartScreen
    Impostazione predefinita prevista:
    Altre informazioni

  • Impedire agli utenti di ignorare gli avvisi smartscreen
    Impostazione predefinita prevista:
    Altre informazioni

Sistema

  • Inizializzazione del driver di avvio dell'avvio del sistema
    Impostazione predefinita della linea di base: buona sconosciuta e critica non valida
    Altre informazioni

Windows Gestione connessioni

  • Bloccare la connessione a reti non di dominio
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

Area Windows Ink

  • Area di lavoro input penna
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

Windows PowerShell

  • Registrazione del blocco di script di PowerShell
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

Sicurezza di Windows

  • Abilitare la protezione da manomissioni per impedire la disabilitazione di Microsoft Defender
    Valore predefinito previsto: Abilita
    Altre informazioni