Elenco delle impostazioni nella baseline di sicurezza Windows 365 Cloud PC in Intune
Questo articolo è un riferimento per le impostazioni disponibili nella baseline di sicurezza Windows 365 Cloud PC che è possibile distribuire con Microsoft Intune.
Per ogni impostazione è disponibile la configurazione predefinita delle baseline, che è anche la configurazione consigliata per tale impostazione fornita dal team di sicurezza pertinente. Poiché i prodotti e il panorama della sicurezza si evolvono, le impostazioni predefinite consigliate in una versione di base potrebbero non corrispondere alle impostazioni predefinite disponibili nelle versioni successive della stessa baseline. Anche tipi di baseline diversi, ad esempio la sicurezza MDM e le baseline di Defender per endpoint , potrebbero impostare impostazioni predefinite diverse.
Quando l'interfaccia utente Intune include un collegamento Altre informazioni per un'impostazione, lo troverai anche qui. Usare questo collegamento per visualizzare il provider di servizi di configurazione dei criteri di impostazioni (CSP) o il contenuto pertinente che illustra l'operazione delle impostazioni.
Quando una nuova versione di una baseline diventa disponibile, sostituisce la versione precedente. Profila le istanze create prima della disponibilità di una nuova versione:
- Diventa di sola lettura. È possibile continuare a usare tali profili, ma non modificarli per modificarne la configurazione.
- Può essere aggiornato alla versione più recente. Dopo aver aggiornato un profilo alla versione di base corrente, è possibile modificare il profilo per modificare le impostazioni.
Per altre informazioni sull'uso delle baseline di sicurezza, vedere Usare le baseline di sicurezza. In questo articolo sono disponibili anche informazioni su come:
- Modificare la versione di base di un profilo per aggiornare un profilo in modo da usare la versione più recente di tale baseline.
Windows 365 Cloud PC versione di base della sicurezza 2110:
Blocco precedente
Attivazione vocale delle app dalla schermata bloccata:
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniBlocca la visualizzazione delle notifiche di tipo avviso popup:
Impostazione predefinita prevista: Sì
Altre informazioni
Runtime dell'app
- Account Microsoft facoltativi per le app di Microsoft Store:
Impostazione predefinita della linea di base: abilitata
Altre informazioni
Gestione delle applicazioni
Bloccare le installazioni di app con privilegi elevati:
Impostazione predefinita prevista: Sì
Altre informazioniBloccare il controllo utente sulle installazioni:
Impostazione predefinita prevista: Sì
Altre informazioniBlocca DVR del gioco (solo desktop):
Impostazione predefinita prevista: Sì
Altre informazioni
Regole di riduzione della superficie di attacco
Per informazioni generali, vedere Informazioni sulle regole di riduzione della superficie di attacco.
Impedire alle app di comunicazione di Office di creare processi figlio:
Valore predefinito previsto: Abilita
Altre informazioniImpedire ad Adobe Reader di creare processi figlio:
Valore predefinito previsto: Abilita
Altre informazioniImpedire alle applicazioni di Office di inserire codice in altri processi:
Impostazione predefinita della baseline: Blocca
Altre informazioniImpedire alle applicazioni di Office di creare contenuto eseguibile:
Impostazione predefinita della baseline: Blocca
Altre informazioniImpedisci a JavaScript o VBScript di avviare il contenuto eseguibile scaricato:
Impostazione predefinita della baseline: Blocca
Altre informazioniAbilitare la protezione di rete:
Valore predefinito previsto: Abilita
Altre informazioniBloccare i processi non attendibili e non firmati eseguiti da USB:
Impostazione predefinita della baseline: Blocca
Altre informazioniBloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe):Block credential stealing from the Windows local security authority subsystem (lsass.exe):Block credential stealing from the Windows local security authority subsystem (lsass.exe)
Valore predefinito previsto: Abilita
Altre informazioniImpedire a tutte le applicazioni di Office di creare processi figlio:
Impostazione predefinita della baseline: Blocca
Altre informazioniBlocca l'esecuzione di script potenzialmente offuscati (js/vbs/ps):Block execution of potentially obfuscated scripts (js/vbs/ps):
Impostazione predefinita della baseline: Blocca
Altre informazioniBloccare le chiamate API Win32 dalla macro di Office:
Impostazione predefinita della baseline: Blocca
Altre informazioniBloccare il download di contenuto eseguibile dai client di posta elettronica e webmail:
Impostazione predefinita della baseline: Blocca
Altre informazioni
Audit
Le impostazioni di controllo configurano gli eventi generati per le condizioni dell'impostazione.
Convalida delle credenziali di controllo dell'accesso dell'account (dispositivo):Account Logon Audit Credential Validation (Device):
Impostazione predefinita della linea di base: Esito positivo e negativoAccount Logon Audit Kerberos Authentication Service (Device):
Valore predefinito previsto: NessunoAccount Logon Logoff Audit Account Lockout (Device):Account Logon Logoff Audit Account Lockout (Device):
Impostazione predefinita prevista: ErroreAppartenenza al gruppo di controllo dell'accesso dell'account (dispositivo):Account Logon Logoff Audit Group Membership (Device):
Impostazione predefinita della linea di base: Operazione riuscitaAccesso all'account Logoff Audit Logon (Device):
Impostazione predefinita della linea di base: Esito positivo e negativoControllare altri eventi di disconnessione dell'accesso (dispositivo):Audit Other Logon Logoff Events (Device):
Impostazione predefinita della linea di base: Esito positivo e negativoControlla accesso speciale (dispositivo):Audit Special Logon (Device):
Impostazione predefinita della linea di base: Operazione riuscitaControllare la gestione dei gruppi di sicurezza (dispositivo):Audit Security Group Management (Device):
Impostazione predefinita della linea di base: Operazione riuscitaControllare la gestione degli account utente (dispositivo):Audit User Account Management (Device):
Impostazione predefinita della linea di base: Esito positivo e negativoAttività PNP di controllo dettagliato (dispositivo):Detailed Tracking Audit PNP Activity (Device):
Impostazione predefinita della linea di base: Operazione riuscitaCreazione dettagliata del processo di controllo del rilevamento (dispositivo):Detailed Tracking Audit Process Creation (Device):
Impostazione predefinita della linea di base: Operazione riuscitaControllo dell'accesso agli oggetti Condivisione file dettagliata (dispositivo):Object Access Audit Detailed File Share (Device):
Impostazione predefinita prevista: ErroreControllare l'accesso alla condivisione file (dispositivo):Audit File Share Access (Device):
Impostazione predefinita della linea di base: Esito positivo e negativoControllo dell'accesso agli oggetti Altri eventi di accesso agli oggetti (dispositivo):Object Access Audit Other Object Access Events (Device):
Impostazione predefinita della linea di base: Esito positivo e negativoControllo dell'accesso agli oggetti Archiviazione rimovibile (dispositivo):Object Access Audit Removable Storage (Device):
Impostazione predefinita della linea di base: Esito positivo e negativoModifica dei criteri di autenticazione di controllo (dispositivo):Audit Authentication Policy Change (Device):
Impostazione predefinita della linea di base: Operazione riuscitaModifica dei criteri Controllare la modifica dei criteri a livello di regola MPSSVC (dispositivo):Policy Change Audit MPSSVC Rule Level Change (Device):
Impostazione predefinita della linea di base: Esito positivo e negativoControllo delle modifiche dei criteri Altri eventi di modifica dei criteri (dispositivo):Policy Change Audit Other Policy Change Events (Device):
Impostazione predefinita prevista: ErroreModifiche di controllo ai criteri di controllo (dispositivo):
Impostazione predefinita della linea di base: Operazione riuscitaPrivilege Use Audit Sensitive Privilege Use (Device):
Impostazione predefinita della linea di base: Esito positivo e negativoControllo di sistema Altri eventi di sistema (dispositivo):System Audit Other System Events (Device):
Impostazione predefinita della linea di base: Esito positivo e negativoModifica dello stato di sicurezza del controllo di sistema (dispositivo):System Audit Security State Change (Device):
Impostazione predefinita della linea di base: Operazione riuscitaControllare l'estensione del sistema di sicurezza (dispositivo):Audit Security System Extension (Device):
Impostazione predefinita della linea di base: Operazione riuscitaIntegrità del sistema di controllo del sistema (dispositivo):System Audit System Integrity (Device):
Impostazione predefinita della linea di base: Esito positivo e negativo
Riproduzione automatica
Comportamento di esecuzione automatica predefinito della riproduzione automatica:
Impostazione predefinita della baseline: non eseguire
Altre informazioniModalità di riproduzione automatica:
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniBlocca la riproduzione automatica per i dispositivi non con volume:
Impostazione predefinita della linea di base: abilitata
Altre informazioni
Browser
Blocca Gestione password:
Impostazione predefinita prevista: Sì
Altre informazioniRichiedi SmartScreen per Versione legacy di Microsoft Edge:
Impostazione predefinita prevista: Sì
Altre informazioniBlocca sito dannoso:
Impostazione predefinita prevista: Sì
Altre informazioniBlocca il download di file non verificato:
Impostazione predefinita prevista: Sì
Altre informazioniImpedire all'utente di eseguire l'override degli errori del certificato:
Impostazione predefinita prevista: Sì
Altre informazioni
Connettività
Configurare l'accesso sicuro ai percorsi UNC:
Impostazione predefinita della linea di base: configurare Windows per consentire l'accesso ai percorsi UNC specificati solo dopo aver soddisfatto i requisiti di sicurezza aggiuntivi
Altre informazioni- Elenco di percorsi UNC con protezione avanzata:
Non configurato per impostazione predefinita. Aggiungere manualmente uno o più percorsi UNC protetti.
- Elenco di percorsi UNC con protezione avanzata:
Blocca il download dei driver di stampa su HTTP:
Impostazione predefinita della linea di base: abilitata
Altre informazioniBloccare il download Internet per la pubblicazione Web e le procedure guidate per l'ordinamento online:
Impostazione predefinita della linea di base: abilitata
Altre informazioni
Delega delle credenziali
- Delega host remoto di credenziali non esportabili:
Impostazione predefinita della linea di base: abilitata
Altre informazioni
Interfaccia utente delle credenziali
- Enumerare gli amministratori:
Impostazione predefinita della linea di base: Disabilitata
Altre informazioni
Device Guard
Sicurezza basata sulla virtualizzazione:
Impostazione predefinita di base: Abilitare VBS con l'avvio protettoAbilitare la sicurezza basata sulla virtualizzazione:
Impostazione predefinita prevista: Sì
Altre informazioniAvviare la protezione del sistema:
Impostazione predefinita della linea di base: abilitataAttivare Credential Guard:
Impostazione predefinita prevista: Abilita con blocco UEFI
Altre informazioni
Installazione del dispositivo
Bloccare l'installazione del dispositivo hardware in base alle classi di configurazione
Impostazione predefinita prevista: Sì
Altre informazioniRimuovere i dispositivi hardware corrispondenti
Impostazione predefinita prevista: SìElenco di blocchi
Non configurato per impostazione predefinita. Aggiungere manualmente uno o più identificatori.
DMA Guard
- Enumerazione di dispositivi esterni incompatibili con la protezione DMA del kernel
Impostazione predefinita della linea di base: Blocca tutto
Servizio registro eventi
Dimensioni massime file del log applicazioni in KB
Valore predefinito previsto: 32768
Altre informazioniDimensioni massime file del log di sistema in KB
Valore predefinito previsto: 32768
Altre informazioniDimensioni massime file del log di sicurezza in KB
Impostazione predefinita prevista: 196608
Altre informazioni
Funzionalità
- Blocca i contenuti in evidenza di Windows
Impostazione predefinita prevista: Sì
Altre informazioni
Esplora file
Bloccare la prevenzione dell'esecuzione dei dati
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniBloccare la terminazione dell'heap in caso di danneggiamento
Impostazione predefinita della linea di base: Disabilitata
Altre informazioni
Firewall
Per altre informazioni, vedere 2.2.2 FW_PROFILE_TYPE nella documentazione dei protocolli di Windows.
Dominio del profilo del firewall:
Impostazione predefinita della linea di base: Configurare
Altre informazioniConnessioni in ingresso bloccate:
Impostazione predefinita prevista: Sì
Altre informazioniConnessioni in uscita necessarie:
Impostazione predefinita prevista: Sì
Altre informazioniNotifiche in ingresso bloccate:
Impostazione predefinita prevista: Sì
Altre informazioniFirewall abilitato:
Valore predefinito previsto: Consentito
Altre informazioni
Profilo del firewall privato:
Impostazione predefinita della linea di base: Configurare
Altre informazioniConnessioni in ingresso bloccate:
Impostazione predefinita prevista: Sì
Altre informazioniConnessioni in uscita necessarie:
Impostazione predefinita prevista: Sì
Altre informazioniNotifiche in ingresso bloccate:
Impostazione predefinita prevista: Sì
Altre informazioniFirewall abilitato:
Valore predefinito previsto: Consentito
Altre informazioni
Profilo del firewall pubblico:
Impostazione predefinita della linea di base: Configurare
Altre informazioniConnessioni in ingresso bloccate:
Impostazione predefinita prevista: Sì
Altre informazioniConnessioni in uscita necessarie:
Impostazione predefinita prevista: Sì
Altre informazioniNotifiche in ingresso bloccate:
Impostazione predefinita prevista: Sì
Altre informazioniFirewall abilitato:
Valore predefinito previsto: Consentito
Altre informazioniRegole di sicurezza della connessione da Criteri di gruppo non unite:
Impostazione predefinita prevista: Sì
Altre informazioniRegole dei criteri da Criteri di gruppo non unite:
Impostazione predefinita prevista: Sì
Altre informazioni
Internet Explorer
Visualizzare l'elenco completo dei CSP di Internet Explorer.
Supporto della crittografia di Internet Explorer
Valori predefiniti della linea di base: due elementi: TLS v1.1 e TLS v1.2Internet Explorer impedisci la gestione del filtro smart screen
Valore predefinito previsto: Abilita
Altre informazioniInternet Explorer con restrizioni zona script Controlli Active X contrassegnati come sicuri per lo scripting
Impostazione predefinita della linea di base: Disabilita
Altre informazioniDownload di file della zona con restrizioni di Internet Explorer
Impostazione predefinita della linea di base: Disabilita
Altre informazioniAvviso di mancata corrispondenza dell'indirizzo del certificato di Internet Explorer
Impostazione predefinita della linea di base: Disabilita
Altre informazioniModalità protetta avanzata di Internet Explorer
Impostazione predefinita della linea di base: Disabilita
Altre informazioniFallback di Internet Explorer a SSL3
Impostazione predefinita della baseline: nessun sito
Altre informazioniSoftware internet explorer quando la firma non è valida
Impostazione predefinita della linea di base: Disabilita
Altre informazioniInternet Explorer controlla la revoca dei certificati del server
Valore predefinito previsto: Abilita
Altre informazioniInternet Explorer controlla le firme nei programmi scaricati
Valore predefinito previsto: Abilita
Altre informazioniInternet Explorer elabora una gestione MIME coerente
Valore predefinito previsto: Abilita
Altre informazioniInternet Explorer ignora gli avvisi dello smart screen
Impostazione predefinita della linea di base: Disabilita
Altre informazioniInternet Explorer ignora gli avvisi dello smart screen sui file non comuni
Impostazione predefinita della linea di base: Disabilita
Altre informazioniRilevamento arresto anomalo di Internet Explorer
Impostazione predefinita della linea di base: Disabilita
Altre informazioniEnclosure di download di Internet Explorer
Impostazione predefinita della linea di base: Disabilita
Altre informazioniInternet Explorer ignora gli errori del certificato
Impostazione predefinita della linea di base: Disabilita
Altre informazioniInternet Explorer disabilita i processi in modalità protetta avanzata
Valore predefinito previsto: Abilita
Altre informazioniControllo delle impostazioni di sicurezza di Internet Explorer
Impostazione predefinita della linea di base: abilitata
Altre informazioniControlli Active X di Internet Explorer in modalità protetta
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniAggiunta di siti da parte degli utenti di Internet Explorer
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniUtenti di Internet Explorer che modificano i criteri
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniInternet Explorer blocca i controlli Active X obsoleti
Impostazione predefinita della linea di base: abilitata
Altre informazioniInternet Explorer include tutti i percorsi di rete
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniInternet Explorer - Area Internet - Accesso alle origini dati
Impostazione predefinita della linea di base: Disabilita
Altre informazioniRichiesta automatica di download di file nell'area Internet di Internet Explorer
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniCopiare e incollare tramite script l'area Internet di Internet Explorer
Impostazione predefinita della linea di base: Disabilita
Altre informazioniInternet Explorer - Area Internet - Trascinare o copiare e incollare file
Impostazione predefinita della linea di base: Disabilita
Altre informazioniSiti con privilegi inferiori all'area Internet di Internet Explorer
Impostazione predefinita della linea di base: Disabilita
Altre informazioniCaricamento di file XAML nell'area Internet di Internet Explorer
Impostazione predefinita della linea di base: Disabilita
Altre informazioniComponenti basati su .NET Framework nell'area Internet di Internet Explorer
Impostazione predefinita della linea di base: Disabilita
Altre informazioniL'area Internet di Internet Explorer consente solo ai domini approvati di usare i controlli ActiveX
Impostazione predefinita della linea di base: abilitata
Altre informazioniL'area Internet di Internet Explorer consente solo ai domini approvati di usare i controlli ActiveX tdc
Impostazione predefinita della linea di base: abilitata
Altre informazioniCreazione di script dell'area Internet di Internet Explorer per i controlli web browser
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniFinestre avviate da script dell'area Internet di Internet Explorer
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniScriptlet dell'area Internet di Internet Explorer
Impostazione predefinita della linea di base: Disabilita
Altre informazioniSmart screen dell'area Internet di Internet Explorer
Impostazione predefinita della linea di base: abilitata
Altre informazioniAggiornamenti dell'area Internet di Internet Explorer alla barra di stato tramite script
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniPersistenza dei dati utente dell'area Internet di Internet Explorer
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniL'area Internet di Internet Explorer consente l'esecuzione di VBscript
Impostazione predefinita della linea di base: Disabilita
Altre informazioniL'area Internet di Internet Explorer non esegue antimalware nei controlli ActiveX
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniInternet Explorer - Area Internet - Scarica controlli ActiveX firmati
Impostazione predefinita della linea di base: Disabilita
Altre informazioniInternet Explorer internet zone download unsigned ActiveX controls
Impostazione predefinita della linea di base: Disabilita
Altre informazioniFiltro di scripting tra siti nell'area Internet di Internet Explorer
Impostazione predefinita della linea di base: abilitata
Altre informazioniInternet Explorer - Area Internet - Trascinare il contenuto da domini diversi tra le finestre
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniInternet Explorer - Area Internet - Trascinare il contenuto da domini diversi all'interno delle finestre
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniModalità protetta della zona Internet di Internet Explorer
Valore predefinito previsto: Abilita
Altre informazioniL'area Internet di Internet Explorer include il percorso locale durante il caricamento di file nel server
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniInizializzazione dell'area Internet di Internet Explorer e script dei controlli Active X non contrassegnati come sicuri
Impostazione predefinita della linea di base: Disabilita
Altre informazioniAutorizzazioni Java per l'area Internet di Internet Explorer
Impostazione predefinita della linea di base: Disabilita java
Altre informazioniInternet Explorer - Area Internet - Avviare applicazioni e file in un iframe
Impostazione predefinita della linea di base: Disabilita
Altre informazioniOpzioni di accesso all'area Internet di Internet Explorer
Impostazione predefinita prevista: Prompt
Altre informazioniInternet Explorer internet zone navigate windows and frames across different domains
Impostazione predefinita della linea di base: Disabilita
Altre informazioniInternet Explorer internet zone run .NET Framework reliant components signed with Authenticode
Impostazione predefinita della linea di base: Disabilita
Altre informazioniAvviso di sicurezza dell'area Internet di Internet Explorer per i file potenzialmente non sicuri
Impostazione predefinita prevista: Prompt
Altre informazioniBlocco popup della zona Internet di Internet Explorer
Valore predefinito previsto: Abilita
Altre informazioniL'area Intranet di Internet Explorer non esegue antimalware nei controlli Active X
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniInizializzazione dell'area Intranet di Internet Explorer e script dei controlli Active X non contrassegnati come sicuri
Impostazione predefinita della linea di base: Disabilita
Altre informazioniAutorizzazioni Java per l'area Intranet di Internet Explorer
Impostazione predefinita della linea di base: sicurezza elevata
Altre informazioniL'area del computer locale di Internet Explorer non esegue antimalware nei controlli Active X
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniAutorizzazioni Java per l'area del computer locale di Internet Explorer
Impostazione predefinita della linea di base: Disabilita java
Altre informazioniInternet Explorer ha bloccato lo smart screen dell'area Internet
Impostazione predefinita della linea di base: abilitata
Altre informazioniInternet Explorer ha bloccato le autorizzazioni Java per l'area Intranet
Impostazione predefinita della linea di base: Disabilita java
Altre informazioniInternet Explorer ha bloccato le autorizzazioni Java per l'area del computer locale
Impostazione predefinita della linea di base: Disabilita java
Altre informazioniInternet Explorer bloccato zona con restrizioni smart screen
Impostazione predefinita della linea di base: abilitata
Altre informazioniInternet Explorer ha bloccato le autorizzazioni Java per la zona con restrizioni
Impostazione predefinita della linea di base: Disabilita java
Altre informazioniInternet Explorer ha bloccato le autorizzazioni java della zona attendibile
Impostazione predefinita della linea di base: Disabilita java
Altre informazioniInternet Explorer elabora la funzionalità di sicurezza dell'analisi MIME
Impostazione predefinita della linea di base: abilitata
Altre informazioniInternet Explorer elabora la restrizione di sicurezza del protocollo MK
Impostazione predefinita della linea di base: abilitata
Altre informazioniInternet Explorer elabora la barra di notifica
Impostazione predefinita della linea di base: abilitata
Altre informazioniInternet Explorer impedisce l'installazione per utente dei controlli Active X
Impostazione predefinita della linea di base: abilitata
Altre informazioniInternet Explorer elabora la protezione dall'elevazione della zona
Impostazione predefinita della linea di base: abilitata
Altre informazioniInternet Explorer rimuovi il pulsante Esegui questa volta per i controlli Active X obsoleti
Impostazione predefinita della linea di base: abilitata
Altre informazioniI processi di Internet Explorer limitano l'installazione di Active X
Impostazione predefinita della linea di base: abilitata
Altre informazioniInternet Explorer - Area con restrizioni - Accesso alle origini dati
Impostazione predefinita della linea di base: Disabilita
Altre informazioniInternet Explorer - Area con restrizioni - Scripting attivo
Impostazione predefinita della linea di base: Disabilita
Altre informazioniRichiesta automatica di download di file nella zona con restrizioni di Internet Explorer
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniComportamenti binari e script della zona con restrizioni di Internet Explorer
Impostazione predefinita della linea di base: Disabilita
Altre informazioniInternet Explorer - Area con restrizioni - Copiare e incollare tramite script
Impostazione predefinita della linea di base: Disabilita
Altre informazioniInternet Explorer - Area con restrizioni - Trascinare e rilasciare o copiare e incollare file
Impostazione predefinita della linea di base: Disabilita
Altre informazioniInternet Explorer - Zona con restrizioni - Siti con privilegi inferiori
Impostazione predefinita della linea di base: Disabilita
Altre informazioniInternet Explorer - Zona con restrizioni - Caricamento di file XAML
Impostazione predefinita della linea di base: Disabilita
Altre informazioniAggiornamento meta-aggiornamento della zona con restrizioni di Internet Explorer
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniComponenti basati su .NET Framework nella zona con restrizioni di Internet Explorer
Impostazione predefinita della linea di base: Disabilita
Altre informazioniL'area con restrizioni di Internet Explorer consente solo ai domini approvati di usare i controlli Active X
Impostazione predefinita della linea di base: abilitata
Altre informazioniL'area con restrizioni di Internet Explorer consente solo ai domini approvati di usare i controlli Active X tdc
Impostazione predefinita della linea di base: abilitata
Altre informazioniCreazione di script con zona con restrizioni di Internet Explorer per i controlli del Web browser
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniFinestre avviate da script della zona con restrizioni di Internet Explorer
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniScriptlet della zona con restrizioni di Internet Explorer
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniSmart screen della zona con restrizioni di Internet Explorer
Impostazione predefinita della linea di base: abilitata
Altre informazioniAggiornamenti della zona con restrizioni di Internet Explorer alla barra di stato tramite script
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniPersistenza dei dati utente della zona con restrizioni di Internet Explorer
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniL'area con restrizioni di Internet Explorer consente l'esecuzione di vbscript
Impostazione predefinita della linea di base: Disabilita
Altre informazioniLa zona con restrizioni di Internet Explorer non esegue antimalware nei controlli Active X
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniInternet Explorer - Area con restrizioni - Scarica controlli Active X firmati
Impostazione predefinita della linea di base: Disabilita
Altre informazioniInternet Explorer - Area con restrizioni - Scarica controlli Active X senza segno
Impostazione predefinita della linea di base: Disabilita
Altre informazioniFiltro di scripting tra siti con zona con restrizioni di Internet Explorer
Impostazione predefinita della linea di base: abilitata
Altre informazioniArea con restrizioni di Internet Explorer trascinare il contenuto da domini diversi tra le finestre
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniArea con restrizioni di Internet Explorer trascinare il contenuto da domini diversi all'interno delle finestre
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniLa zona con restrizioni di Internet Explorer include il percorso locale durante il caricamento di file nel server
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniInizializzazione della zona con restrizioni di Internet Explorer e script dei controlli Active X non contrassegnati come sicuri
Impostazione predefinita della linea di base: Disabilita
Altre informazioniAutorizzazioni Java per la zona con restrizioni di Internet Explorer
Impostazione predefinita della linea di base: Disabilita java
Altre informazioniInternet Explorer - Area con restrizioni - Avviare applicazioni e file in un iFrame
Impostazione predefinita della linea di base: Disabilita
Altre informazioniOpzioni di accesso alla zona con restrizioni di Internet Explorer
Valore predefinito della baseline: Anonimo
Altre informazioniArea con restrizioni di Internet Explorer consente di esplorare finestre e frame tra domini diversi
Impostazione predefinita della linea di base: Disabilita
Altre informazioniLa zona con restrizioni di Internet Explorer esegue controlli e plug-in Active X
Impostazione predefinita della linea di base: Disabilita
Altre informazioniLa zona con restrizioni di Internet Explorer esegue componenti basati su .NET Framework firmati con Authenticode
Impostazione predefinita della linea di base: Disabilita
Altre informazioniScript di internet explorer con zona con restrizioni di applet Java
Impostazione predefinita della linea di base: Disabilita
Altre informazioniAvviso di sicurezza dell'area con restrizioni di Internet Explorer per i file potenzialmente non sicuri
Impostazione predefinita della linea di base: Disabilita
Altre informazioniModalità protetta della zona con restrizioni di Internet Explorer
Valore predefinito previsto: Abilita
Altre informazioniBlocco popup della zona con restrizioni di Internet Explorer
Valore predefinito previsto: Abilita
Altre informazioniI processi di Internet Explorer limitano il download di file
Impostazione predefinita della linea di base: abilitata
Altre informazioniInternet Explorer elabora le restrizioni di sicurezza delle finestre con script
Impostazione predefinita della linea di base: abilitata
Altre informazioniLe zone di sicurezza di Internet Explorer usano solo le impostazioni del computer
Impostazione predefinita della linea di base: abilitata
Altre informazioniInternet Explorer usa il servizio di installazione Active X
Impostazione predefinita della linea di base: abilitata
Altre informazioniLa zona attendibile di Internet Explorer non esegue antimalware nei controlli Active X
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniInizializzazione della zona attendibile di Internet Explorer e script dei controlli Active X non contrassegnati come sicuri
Impostazione predefinita della linea di base: Disabilita
Altre informazioniAutorizzazioni java della zona attendibile di Internet Explorer
Impostazione predefinita della linea di base: sicurezza elevata
Altre informazioniCompletamento automatico di Internet Explorer
Impostazione predefinita della linea di base: Disabilitata
Altre informazioni
Opzioni di sicurezza dei criteri locali
Bloccare l'accesso remoto con password vuota
Impostazione predefinita prevista: Sì
Altre informazioniMinuti di inattività della schermata di blocco fino all'attivazione dello screen saver
Valore predefinito previsto: 15
Altre informazioniComportamento di rimozione delle smart card
Impostazione predefinita della linea di base: Bloccare la workstation
Altre informazioniRichiedere al client di firmare sempre le comunicazioni digitalmente
Impostazione predefinita prevista: Sì
Altre informazioniImpedire ai client di inviare password non crittografate a server SMB di terze parti
Impostazione predefinita prevista: Sì
Altre informazioniRichiedi comunicazioni di firma digitale del server sempre
Impostazione predefinita prevista: Sì
Altre informazioniImpedire l'enumerazione anonima degli account SAM
Impostazione predefinita prevista: Sì
Altre informazioniBloccare l'enumerazione anonima di condivisioni e account SAM
Impostazione predefinita prevista: Sì
Altre informazioniLimitare l'accesso anonimo a named pipe e condivisioni
Impostazione predefinita prevista: Sì
Altre informazioniConsenti chiamate remote al gestore degli account di sicurezza
Valore predefinito previsto: O:BAG:BAD:(A;; RC;;; BA)
Altre informazioniImpedisci l'archiviazione del valore hash di GESTIONE LAN alla successiva modifica della password
Impostazione predefinita prevista: Sì
Altre informazioniLivello di autenticazione
Valore predefinito previsto: invia solo risposta NTLMv2. Rifiutare LM e NTLM
Altre informazioniSicurezza minima della sessione per i client basati su provider di servizi condivisi NTLM
Impostazione predefinita di base: Richiedere la crittografia NTLM V2 e a 128 bit
Altre informazioniSicurezza minima della sessione per i server basati su provider di servizi condivisi NTLM
Impostazione predefinita di base: Richiedere la crittografia NTLM V2 e a 128 bit
Altre informazioniComportamento della richiesta di elevazione dei privilegi di amministratore
Impostazione predefinita della linea di base: richiedere il consenso sul desktop protetto
Altre informazioniComportamento della richiesta di elevazione degli utenti standard
Impostazione predefinita della baseline: nega automaticamente le richieste di elevazione dei privilegi
Altre informazioniRilevare le installazioni delle applicazioni e richiedere l'elevazione
Impostazione predefinita prevista: Sì
Altre informazioniConsenti solo applicazioni di accesso all'interfaccia utente per posizioni sicure
Impostazione predefinita prevista: Sì
Altre informazioniRichiedere la modalità di approvazione dell'amministratore per gli amministratori
Impostazione predefinita prevista: Sì
Altre informazioniUsare la modalità di approvazione dell'amministratore
Impostazione predefinita prevista: Sì
Altre informazioniVirtualizzare gli errori di scrittura dei file e del Registro di sistema in posizioni per utente
Impostazione predefinita prevista: Sì
Altre informazioni
Microsoft Defender
Attivare la protezione in tempo reale
Impostazione predefinita prevista: Sì
Altre informazioniAnalizzare gli script usati nei browser Microsoft
Impostazione predefinita prevista: Sì
Altre informazioniQuantità aggiuntiva di tempo (0-50 secondi) per estendere il timeout di protezione cloud
Valore predefinito previsto: 50
Altre informazioniAnalizzare tutti i file e gli allegati scaricati
Impostazione predefinita prevista: Sì
Altre informazioniTipo di analisi
Impostazione predefinita della linea di base: analisi rapida
Altre informazioniGiorno di analisi della pianificazione di Defender
Impostazione predefinita della baseline: Tutti i giorniOra di inizio dell'analisi pianificata
Impostazione predefinita della linea di base: non configurataConsenso per l'invio dell'esempio Defender
Impostazione predefinita della linea di base: inviare automaticamente esempi sicuri
Altre informazioniLivello di protezione fornito dal cloud
Valore predefinito della baseline: Alto
Altre informazioniAnalizzare le unità rimovibili durante l'analisi completa
Impostazione predefinita prevista: Sì
Altre informazioniAzione dell'app defender potenzialmente indesiderata
Impostazione predefinita della baseline: Blocca
Altre informazioniAttivare la protezione fornita dal cloud
Impostazione predefinita prevista: Sì
Altre informazioni
esclusioni antivirus Microsoft Defender
Processi di Defender da escludere
Impostazioni predefinite di base: non configurate per impostazione predefinita. Aggiungere manualmente una o più voci.Estensioni di file da escludere dalle analisi e dalla protezione in tempo reale
Impostazioni predefinite di base: non configurate per impostazione predefinita. Aggiungere manualmente una o più voci.File e cartelle di Defender da escludere
Impostazione predefinita della baseline: non configurata per impostazione predefinita. Aggiungere manualmente una o più voci.
Microsoft Edge
Controllare quali estensioni non possono essere installate
Impostazione predefinita della linea di base: abilitata- ID di estensione a cui l'utente deve essere impedito di installare (o * per tutti)
Impostazione predefinita della baseline: non configurata per impostazione predefinita. Aggiungere manualmente uno o più ID
- ID di estensione a cui l'utente deve essere impedito di installare (o * per tutti)
Consenti host di messaggistica nativi a livello di utente (installati senza autorizzazioni di amministratore)
Impostazione predefinita della linea di base: DisabilitataVersione SSL minima abilitata
Impostazione predefinita della linea di base: abilitata- Versione SSL minima abilitata
Impostazione predefinita della linea di base: TLS 1.2
- Versione SSL minima abilitata
Consenti agli utenti di continuare dalla pagina di avviso SSL
Impostazione predefinita della linea di base: DisabilitataConfigurare Microsoft Defender SmartScreen
Impostazione predefinita della linea di base: abilitataImpedisci di ignorare Microsoft Defender richieste SmartScreen per i siti
Impostazione predefinita della linea di base: abilitataEvitare di ignorare Microsoft Defender avvisi SmartScreen sui download
Impostazione predefinita della linea di base: abilitataConfigurare Microsoft Defender SmartScreen per bloccare le app potenzialmente indesiderate
Impostazione predefinita della linea di base: abilitataImpostazione predefinita di Adobe Flash
Impostazione predefinita della linea di base: abilitata- Impostazione predefinita di Adobe Flash
Impostazione predefinita della linea di base: blocca il plug-in Adobe Flash
- Impostazione predefinita di Adobe Flash
Abilitare il salvataggio delle password nella gestione password
Impostazione predefinita della linea di base: DisabilitataAbilitare l'isolamento del sito per ogni sito
Impostazione predefinita della linea di base: abilitataMetodi di autenticazione supportati
Impostazione predefinita della linea di base: abilitata- Metodi di autenticazione supportati
Valori predefiniti della baseline: due elementi: NTLM e Negotiate
- Metodi di autenticazione supportati
Guida alla sicurezza di MS
Configurazione di avvio del driver client SMB v1
Impostazione predefinita della linea di base: Disabilita driver
Altre informazioniApplicare restrizioni di Controllo dell'account utente agli account locali all'accesso alla rete
Impostazione predefinita della linea di base: abilitata
Altre informazioniProtezione sovrascrittura della gestione delle eccezioni strutturata
Impostazione predefinita della linea di base: abilitata
Altre informazioniServer SMB v1
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniAutenticazione del digest
Impostazione predefinita della linea di base: Disabilitata
Altre informazioni
MSS Legacy
Livello di protezione del routing di origine IPv6 di rete
Impostazione predefinita della linea di base: protezione massima
Altre informazioniLivello di protezione del routing dell'origine IP di rete
Impostazione predefinita della linea di base: protezione massima
Altre informazioniLa rete ignora le richieste di rilascio dei nomi NetBIOS ad eccezione dei server WINS
Impostazione predefinita della linea di base: abilitata
Altre informazioniI reindirizzamenti ICMP di rete sostituiscono le route generate da OSPF
Impostazione predefinita della linea di base: Disabilitata
Altre informazioni
Assistenza remota
- Assistenza remota richiesta Impostazione predefinita prevista: Disabilitare l'assistenza remota
Altre informazioni
Servizi Desktop remoto
Livello di crittografia della connessione client di Servizi Desktop remoto
Valore predefinito della baseline: Alto
Altre informazioniBlocca reindirizzamento unità
Impostazione predefinita della linea di base: abilitataBloccare il salvataggio delle password
Impostazione predefinita della linea di base: abilitata
Altre informazioniRichiedi password al momento della connessione
Impostazione predefinita della linea di base: abilitata
Altre informazioniProteggere la comunicazione RPC
Impostazione predefinita della linea di base: abilitata
Altre informazioni
Gestione remota
Bloccare l'autenticazione del digest client
Impostazione predefinita della linea di base: abilitata
Altre informazioniBlocca l'archiviazione esegui come credenziali
Impostazione predefinita della linea di base: abilitata
Altre informazioniAutenticazione di base del client
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniAutenticazione di base
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniTraffico client non crittografato
Impostazione predefinita della linea di base: Disabilitata
Altre informazioniTraffico non crittografato
Impostazione predefinita della linea di base: Disabilitata
Altre informazioni
Chiamata di procedura remota
- Opzioni client RPC non autenticate
Valore predefinito della linea di base: Autenticato
Altre informazioni
Ricerca
- Disabilitare l'indicizzazione degli elementi crittografati
Impostazione predefinita prevista: Sì
Altre informazioni
Smart Screen
Attivare Windows SmartScreen
Impostazione predefinita prevista: Sì
Altre informazioniImpedire agli utenti di ignorare gli avvisi smartscreen
Impostazione predefinita prevista: Sì
Altre informazioni
Sistema
- Inizializzazione del driver di avvio dell'avvio del sistema
Impostazione predefinita della linea di base: buona sconosciuta e critica non valida
Altre informazioni
Windows Gestione connessioni
- Bloccare la connessione a reti non di dominio
Impostazione predefinita della linea di base: abilitata
Altre informazioni
Area Windows Ink
- Area di lavoro input penna
Impostazione predefinita della linea di base: abilitata
Altre informazioni
Windows PowerShell
- Registrazione del blocco di script di PowerShell
Impostazione predefinita della linea di base: abilitata
Altre informazioni
Sicurezza di Windows
- Abilitare la protezione da manomissioni per impedire la disabilitazione di Microsoft Defender
Valore predefinito previsto: Abilita
Altre informazioni
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per