Compartilhar via


Definições do Windows que pode gerir através de um perfil do Intune Endpoint Protection

Observação

O Intune pode suportar mais definições do que as definições listadas neste artigo. Nem todas as definições estão documentadas e não serão documentadas. Para ver as definições que pode configurar, crie uma política de configuração de dispositivos e selecione Catálogo de Definições. Para obter mais informações, consulte Catálogo de Configurações.

O Microsoft Intune inclui muitas definições para ajudar a proteger os seus dispositivos. Este artigo descreve as definições no modelo de configuração do dispositivo endpoint protection . Para gerir a segurança do dispositivo, também pode utilizar políticas de segurança de ponto final, que se focam diretamente nos subconjunto de segurança do dispositivo. Para configurar o Antivírus do Microsoft Defender, consulte Restrições de dispositivos Windows ou utilize a política antivírus de segurança de pontos finais.

Antes de começar

Criar um perfil de configuração de dispositivos do Endpoint Protection.

Para obter mais informações sobre fornecedores de serviços de configuração (CSPs), veja Referência do fornecedor de serviços de configuração.

Microsoft Defender Application Guard

Para o Microsoft Edge, o Microsoft Defender Application Guard protege o seu ambiente de sites que não são considerados fidedignos pela sua organização. Com o Application Guard, os sites que não estão no limite de rede isolado são abertos numa sessão de navegação virtual do Hyper-V. Os sites fidedignos são definidos por um limite de rede, configurado na Configuração do Dispositivo. Para obter mais informações, consulte Criar um limite de rede em dispositivos Windows.

O Application Guard só está disponível para dispositivos Windows de 64 bits. A utilização deste perfil instala um componente Win32 para ativar o Application Guard.

  • Application Guard
    Predefinição: não configurado
    CSP do Application Guard: Definições/AllowWindowsDefenderApplicationGuard

    • Ativado para o Edge – ativa esta funcionalidade, que abre sites não fidedignos num contentor de navegação virtualizado hyper-V.
    • Não configurado – qualquer site (fidedigno e não fidedigno) pode ser aberto no dispositivo.
  • Comportamento da área de transferência
    Predefinição: não configurado
    CSP do Application Guard: Definições/Área de TransferênciaDefinições

    Escolha as ações de cópia e colagem permitidas entre o PC local e o browser virtual do Application Guard.

    • Não configurado
    • Permitir copiar e colar apenas do PC para o browser
    • Permitir copiar e colar apenas do browser para o PC
    • Permitir copiar e colar entre o PC e o browser
    • Bloquear a cópia e a colagem entre o PC e o browser
  • Conteúdo da área de transferência
    Esta definição só está disponível quando o comportamento da Área de Transferência está definido como uma das definições de permissão .
    Predefinição: não configurado
    CSP do Application Guard: Definições/Área de TransferênciaFileType

    Selecione o conteúdo permitido da área de transferência.

    • Não configurado
    • Text
    • Imagens
    • Texto e imagens
  • Conteúdo externo em sites empresariais
    Predefinição: não configurado
    CSP do Application Guard: Definições/BlockNonEnterpriseContent

    • Bloquear – bloquear o carregamento de conteúdos de sites não aprovados.
    • Não configurado – os sites não empresariais podem ser abertos no dispositivo.
  • Imprimir a partir do browser virtual
    Predefinição: não configurado
    CSP do Application Guard: Definições/ImpressãoDefinições

    • Permitir – permite a impressão de conteúdo selecionado a partir do browser virtual.
    • Não configurado Desative todas as funcionalidades de impressão.

    Ao Permitir a impressão, pode configurar a seguinte definição:

    • Tipos de impressão Selecione uma ou mais das seguintes opções:
      • PDF
      • XPS
      • Impressoras locais
      • Impressoras de rede
  • Recolher registos
    Predefinição: não configurado
    Application Guard CSP: Audit/AuditApplicationGuard

    • Permitir – recolha registos de eventos que ocorrem numa sessão de navegação do Application Guard.
    • Não configurado – não recolha quaisquer registos na sessão de navegação.
  • Reter dados do browser gerados pelo utilizador
    Predefinição: não configurado
    CSP do Application Guard: Definições/PermitirPersistência

    • Permitir Guarde dados de utilizador (como palavras-passe, favoritos e cookies) que são criados durante uma sessão de navegação virtual do Application Guard.
    • Não configurado Eliminar ficheiros e dados transferidos pelo utilizador quando o dispositivo é reiniciado ou quando um utilizador termina sessão.
  • Aceleração de gráficos
    Predefinição: não configurado
    CSP do Application Guard: Definições/AllowVirtualGPU

    • Ativar – carregue sites com utilização intensiva de gráficos e vídeo mais rapidamente ao obter acesso a uma unidade de processamento de gráficos virtuais.
    • Não configurado Utilizar a CPU do dispositivo para gráficos; Não utilize a unidade de processamento de gráficos virtuais.
  • Transferir ficheiros para o sistema de ficheiros anfitrião
    Predefinição: não configurado
    CSP do Application Guard: Definições/SaveFilesToHost

    • Ativar – os utilizadores podem transferir ficheiros do browser virtualizado para o sistema operativo anfitrião.
    • Não configurado – mantém os ficheiros locais no dispositivo e não transfere ficheiros para o sistema de ficheiros anfitrião.

Firewall do Windows

Configurações globais

Estas definições são aplicáveis a todos os tipos de rede.

  • Protocolo de Transferência de Ficheiros
    Predefinição: não configurado
    CSP da Firewall: MdmStore/Global/DisableStatefulFtp

    • Bloquear – desative o FTP com monitorização de estado.
    • Não configurado – a firewall faz a filtragem ftp com monitorização de estado para permitir ligações secundárias.
  • Tempo de inatividade da associação de segurança antes da eliminação
    Predefinição: não configurado
    CSP da Firewall: MdmStore/Global/SaIdleTime

    Especifique um tempo de inatividade em segundos, após o qual as associações de segurança são eliminadas.

  • Codificação de chave pré-partilhada
    Predefinição: não configurado
    CSP da Firewall: MdmStore/Global/PresharedKeyEncoding

    • Ativar – codificar as teclas pré-ouvidas com UTF-8.
    • Não configurado – codificar chaves pré-ouvidas com o valor de arquivo local.
  • Isenções de IPsec
    Predefinição: 0 selecionado
    CSP da Firewall: MdmStore/Global/IPsecExempt

    Selecione um ou mais dos seguintes tipos de tráfego a excluir do IPsec:

    • Vizinho detetar códigos de tipo IPv6 ICMP
    • ICMP
    • Códigos de tipo IPv6 ICMP de deteção de router
    • Tráfego de rede DHCP IPv4 e IPv6
  • Verificação da lista de revogação de certificados
    Predefinição: não configurado
    CSP da Firewall: MdmStore/Global/CRLcheck

    Escolha como o dispositivo verifica a lista de revogação de certificados. As opções são:

    • Desativar a verificação crl
    • Falhar a verificação de CRL apenas no certificado revogado
    • Falha na verificação da CRL em qualquer erro encontrado.
  • Corresponder oportunisticamente o conjunto de autenticação por módulo de keying
    Predefinição: não configurado
    CSP da Firewall: MdmStore/Global/OportunistaMatchAuthSetPerKM

    • Ativar Os módulos de keying têm de ignorar apenas os conjuntos de autenticação que não suportam.
    • Não configurado, os módulos de Keying têm de ignorar todo o conjunto de autenticação se não suportarem todos os conjuntos de autenticação especificados no conjunto.
  • Colocação de pacotes em fila
    Predefinição: não configurado
    CSP da Firewall: MdmStore/Global/EnablePacketQueue

    Especifique como o dimensionamento de software no lado da receção está ativado para a receção encriptada e o reencaminhamento de texto limpo para o cenário do gateway de túnel IPsec. Esta definição confirma que a ordem dos pacotes foi preservada. As opções são:

    • Não configurado
    • Desativar toda a colocação em fila de pacotes
    • Apenas pacotes encriptados de entrada da fila
    • Pacotes de filas após a desencriptação ser executada apenas para reencaminhamento
    • Configurar pacotes de entrada e de saída

Configurações de rede

As seguintes definições são listadas neste artigo uma única vez, mas todas se aplicam aos três tipos de rede específicos:

  • Rede de domínio (área de trabalho)
  • Rede privada (detetável)
  • Rede pública (não detetável)

Geral

  • Firewall do Windows
    Predefinição: não configurado
    CSP da Firewall: EnableFirewall

    • Ativar – ative a firewall e a segurança avançada.
    • Não configurado Permite todo o tráfego de rede, independentemente de quaisquer outras definições de política.
  • Modo furtivo
    Predefinição: não configurado
    CSP da Firewall: DisableStealthMode

    • Não configurado
    • Bloquear – a firewall está bloqueada para não funcionar no modo furtivo. Bloquear o modo furtivo permite-lhe também bloquear a isenção de pacotes protegidos por IPsec.
    • Permitir – a firewall funciona no modo furtivo, o que ajuda a impedir respostas a pedidos de pesquisa.
  • Isenção de pacotes protegidos por IPsec com o Modo Stealth
    Predefinição: não configurado
    CSP da Firewall: DisableStealthModeIpsecSecuredPacketExemption

    Esta opção é ignorada se o modo Furtivo estiver definido como Bloquear.

    • Não configurado
    • Bloco – os pacotes protegidos por IPSec não recebem isenções.
    • Permitir – ative as isenções. O modo furtivo da firewall NÃO PODE IMPEDIR que o computador anfitrião responda ao tráfego de rede não solicitado protegido pelo IPsec.
  • Blindada
    Predefinição: não configurado
    CSP da Firewall: Blindada

    • Não configurado
    • Bloquear – quando a Firewall do Windows está ativada e esta definição está definida como Bloquear, todo o tráfego de entrada é bloqueado, independentemente de outras definições de política.
    • Permitir – quando definida como Permitir, esta definição é desativada e o tráfego de entrada é permitido com base noutras definições de política.
  • Respostas Unicast a difusões multicast
    Predefinição: não configurado
    CSP da Firewall: DisableUnicastResponsesToMulticastBroadcast

    Normalmente, não quer receber respostas unicast para mensagens multicast ou de difusão. Estas respostas podem indicar um ataque denial of service (DOS) ou um atacante a tentar sondar um computador em direto conhecido.

    • Não configurado
    • Bloquear – desative as respostas unicast para difusões multicast.
    • Permitir – permita respostas unicast a difusões multicast.
  • Notificações de entrada
    Predefinição: não configurado
    CSP da Firewall: DisableInboundNotifications

    • Não configurado
    • Bloquear – oculte as notificações a utilizar quando uma aplicação é impedida de escutar numa porta.
    • Permitir – ativa esta definição e pode mostrar uma notificação aos utilizadores quando uma aplicação é impedida de escutar numa porta.
  • Ação predefinida para ligações de saída
    Predefinição: não configurado
    CSP da Firewall: DefaultOutboundAction

    Configure a firewall de ação predefinida executada nas ligações de saída. Esta definição será aplicada à versão 1809 e superior do Windows.

    • Não configurado
    • Bloquear – a ação de firewall predefinida não é executada no tráfego de saída, a menos que seja explicitamente especificado para não bloquear.
    • Permitir – as ações de firewall predefinidas são executadas em ligações de saída.
  • Ação predefinida para ligações de entrada
    Predefinição: não configurado
    CSP da Firewall: DefaultInboundAction

    • Não configurado
    • Bloquear – a ação de firewall predefinida não é executada em ligações de entrada.
    • Permitir – as ações de firewall predefinidas são executadas em ligações de entrada.

Intercalação de regras

  • Regras de Firewall do Windows de aplicações autorizadas a partir do arquivo local
    Predefinição: não configurado
    CSP da Firewall: AuthAppsAllowUserPrefMerge

    • Não configurado
    • Bloquear – as regras de firewall de aplicações autorizadas no arquivo local são ignoradas e não são impostas.
    • Permitirselecione Ativar Aplica regras de firewall no arquivo local para que sejam reconhecidas e impostas.
  • Regras globais da Firewall do Windows da porta do arquivo local
    Predefinição: não configurado
    CSP da Firewall: GlobalPortsAllowUserPrefMerge

    • Não configurado
    • Bloquear – as regras globais da firewall de portas no arquivo local são ignoradas e não são impostas.
    • Permitir – aplique regras globais de firewall de portas no arquivo local para serem reconhecidas e impostas.
  • Regras da Firewall do Windows a partir do arquivo local
    Predefinição: não configurado
    CSP da Firewall: AllowLocalPolicyMerge

    • Não configurado
    • Bloquear – as regras da firewall do arquivo local são ignoradas e não são impostas.
    • Permitir – aplique regras de firewall no arquivo local para serem reconhecidas e impostas.
  • Regras IPsec do arquivo local
    Predefinição: não configurado
    CSP da Firewall: AllowLocalIpsecPolicyMerge

    • Não configurado
    • Bloquear – as regras de segurança de ligação do arquivo local são ignoradas e não são impostas, independentemente da versão do esquema e da versão da regra de segurança de ligação.
    • Permitir – aplique regras de segurança de ligação a partir do arquivo local, independentemente do esquema ou das versões das regras de segurança de ligação.

Regras de firewall

Pode Adicionar uma ou mais regras de Firewall personalizadas. Para obter mais informações, veja Adicionar regras de firewall personalizadas para dispositivos Windows.

As regras de Firewall Personalizadas suportam as seguintes opções:

Configurações gerais

  • Nome
    Predefinição: sem nome

    Especifique um nome amigável para a regra. Este nome será apresentado na lista de regras para o ajudar a identificá-lo.

  • Descrição
    Predefinição: sem descrição

    Forneça uma descrição da regra.

  • Direção
    Predefinição: não configurado
    CSP da Firewall: FirewallRules/FirewallRuleName/Direction

    Especifique se esta regra se aplica ao tráfego de Entrada ou de Saída . Quando definida como Não configurada, a regra aplica-se automaticamente ao Tráfego de saída.

  • Action
    Predefinição: não configurado
    CSP da Firewall: FirewallRules/FirewallRuleName/Action e FirewallRules/FirewallRuleName/Action/Type

    Selecione a partir de Permitir ou Bloquear. Quando definida como Não configurada, a regra é predefinida para permitir o tráfego.

  • Tipo de rede
    Predefinição: 0 selecionado
    CSP da Firewall: FirewallRules/FirewallRuleName/Profiles

    Selecione até três tipos de rede aos quais esta regra pertence. As opções incluem Domínio, Privado e Público. Se não forem selecionados tipos de rede, a regra aplica-se aos três tipos de rede.

Configurações de aplicativo

  • Aplicações
    Predefinição: Tudo

    Controlar ligações para uma aplicação ou programa. As aplicações e os programas podem ser especificados através do caminho do ficheiro, do nome da família do pacote ou do nome do serviço:

    • Nome da família do pacote – especifique um nome de família de pacote. Para localizar o nome da família do pacote, utilize o comando do PowerShell Get-AppxPackage.
      CSP da Firewall: FirewallRules/FirewallRuleName/App/PackageFamilyName

    • Caminho do ficheiro – tem de especificar um caminho de ficheiro para uma aplicação no dispositivo cliente, que pode ser um caminho absoluto ou um caminho relativo. Por exemplo: C:\Windows\System\Notepad.exe ou %WINDIR%\Notepad.exe.
      CSP da Firewall: FirewallRules/FirewallRuleName/App/FilePath

    • Serviço Windows – especifique o nome abreviado do serviço Windows se for um serviço e não uma aplicação que envie ou receba tráfego. Para localizar o nome abreviado do serviço, utilize o comando Get-Service do PowerShell.
      CSP da Firewall: FirewallRules/FirewallRuleName/App/ServiceName

    • Tudonão são necessárias configurações

Definições de endereço IP

Especifique os endereços locais e remotos aos quais esta regra se aplica.

  • Endereços locais
    Predefinição: qualquer endereço
    CSP da Firewall: FirewallRules/FirewallRuleName/LocalPortRanges

    Selecione Qualquer endereço ou Endereço especificado.

    Quando utiliza o Endereço especificado, adiciona um ou mais endereços como uma lista separada por vírgulas de endereços locais abrangidos pela regra. Os tokens válidos incluem:

    • Utilize um asterisco * para qualquer endereço local. Se utilizar um asterisco, este tem de ser o único token que utiliza.
    • Especifique uma sub-rede através da máscara de sub-rede ou da notação de prefixo de rede. Se não for especificada uma máscara de sub-rede ou um prefixo de rede, a máscara de sub-rede é predefinida como 255.255.255.255.
    • Um endereço IPv6 válido.
    • Um intervalo de endereços IPv4 no formato "endereço inicial - endereço final" sem espaços incluídos.
    • Um intervalo de endereços IPv6 no formato "endereço inicial - endereço final" sem espaços incluídos.
  • Endereços remotos
    Predefinição: qualquer endereço
    CSP da Firewall: FirewallRules/FirewallRuleName/RemoteAddressRanges

    Selecione Qualquer endereço ou Endereço especificado.

    Quando utiliza o Endereço especificado, adiciona um ou mais endereços como uma lista separada por vírgulas de endereços remotos abrangidos pela regra. Os tokens não são sensíveis a maiúsculas e minúsculas. Os tokens válidos incluem:

    • Utilize um asterisco "*" para qualquer endereço remoto. Se utilizar um asterisco, este tem de ser o único token que utiliza.
    • Defaultgateway
    • DHCP
    • DNS
    • WINS
    • Intranet (suportado nas versões 1809 e posteriores do Windows)
    • RmtIntranet (suportado nas versões 1809 e posteriores do Windows)
    • Internet (suportado nas versões 1809 e posteriores do Windows)
    • Ply2Renders (suportado nas versões 1809 e posteriores do Windows)
    • LocalSubnet indica qualquer endereço local na sub-rede local.
    • Especifique uma sub-rede através da máscara de sub-rede ou da notação de prefixo de rede. Se não for especificada uma máscara de sub-rede ou um prefixo de rede, a máscara de sub-rede é predefinida como 255.255.255.255.
    • Um endereço IPv6 válido.
    • Um intervalo de endereços IPv4 no formato "endereço inicial - endereço final" sem espaços incluídos.
    • Um intervalo de endereços IPv6 no formato "endereço inicial - endereço final" sem espaços incluídos.

Definições de porta e protocolo

Especifique as portas locais e remotas às quais esta regra se aplica.

Configuração avançada

  • Tipos de interface
    Predefinição: 0 selecionado
    CSP da Firewall: FirewallRules/FirewallRuleName/InterfaceTypes

    Selecione uma das seguintes opções:

    • Acesso remoto
    • Sem fio
    • Rede de área local
  • Permitir apenas ligações destes utilizadores
    Predefinição: todos os utilizadores (predefinições para todas as utilizações quando não é especificada nenhuma lista)
    CSP da Firewall: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    Especifique uma lista de utilizadores locais autorizados para esta regra. Não é possível especificar uma lista de utilizadores autorizados se esta regra se aplicar a um serviço Windows.

Definições do Microsoft Defender SmartScreen

O Microsoft Edge tem de estar instalado no dispositivo.

  • SmartScreen para aplicações e ficheiros
    Predefinição: não configurado
    SmartScreen CSP: SmartScreen/EnableSmartScreenInShell

    • Não configurado – desativa a utilização do SmartScreen.
    • Ativar – ative o Windows SmartScreen para execução de ficheiros e aplicações em execução. O SmartScreen é um componente anti-phishing e antimalware baseado na cloud.
  • Execução de ficheiros não verificados
    Predefinição: não configurado
    SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell

    • Não configurado – desativa esta funcionalidade e permite que os utilizadores finais executem ficheiros que não foram verificados.
    • Bloquear – impeça que os utilizadores finais executem ficheiros que não tenham sido verificados pelo Windows SmartScreen.

Criptografia do Windows

Definições do Windows

  • Criptografar dispositivos
    Predefinição: não configurado
    CSP do BitLocker: RequireDeviceEncryption

    • Exigir – pedir aos utilizadores que ativem a encriptação de dispositivos. Dependendo da edição do Windows e da configuração do sistema, os utilizadores podem ser questionados:
      • Para confirmar que a encriptação de outro fornecedor não está ativada.
      • Tenha de desativar a Encriptação de Unidade BitLocker e, em seguida, voltar a ativar o BitLocker.
    • Não configurado

    Se a encriptação do Windows estiver ativada enquanto outro método de encriptação estiver ativo, o dispositivo poderá tornar-se instável.

Definições de base do BitLocker

As definições base são definições do BitLocker universais para todos os tipos de unidades de dados. Estas definições gerem as opções de configuração ou tarefas de encriptação de unidade que o utilizador final pode modificar em todos os tipos de unidades de dados.

  • Aviso para outra encriptação de disco
    Predefinição: não configurado
    CSP do BitLocker: AllowWarningForOtherDiskEncryption

    • Bloquear – desative o pedido de aviso se outro serviço de encriptação de disco estiver no dispositivo.
    • Não configurado – permita que seja apresentado o aviso para que seja apresentada outra encriptação de disco.

    Dica

    Para instalar o BitLocker de forma automática e silenciosa num dispositivo que esteja associado ao Microsoft Entra e que execute o Windows 1809 ou posterior, esta definição tem de ser definida como Bloquear. Para obter mais informações, consulte Ativar automaticamente o BitLocker em dispositivos.

    Quando definido como Bloquear, pode configurar a seguinte definição:

    • Permitir que os utilizadores padrão ativem a encriptação durante a associação ao Microsoft Entra
      Esta definição aplica-se apenas a dispositivos associados ao Microsoft Entra (Azure ADJ) e depende da definição anterior, Warning for other disk encryption.
      Predefinição: não configurado
      BitLocker CSP: AllowStandardUserEncryption

      • Permitir – os utilizadores padrão (não administradores) podem ativar a encriptação BitLocker quando têm sessão iniciada.
      • Não configurado apenas os Administradores podem ativar a encriptação BitLocker no dispositivo.

    Dica

    Para instalar o BitLocker de forma automática e silenciosa num dispositivo que esteja associado ao Microsoft Entra e que execute o Windows 1809 ou posterior, esta definição tem de ser definida como Permitir. Para obter mais informações, consulte Ativar automaticamente o BitLocker em dispositivos.

  • Configurar métodos de encriptação
    Predefinição: não configurado
    BitLocker CSP: EncryptionMethodByDriveType

    • Ativar – configure algoritmos de encriptação para sistemas operativos, dados e unidades amovíveis.
    • Não configurado – o BitLocker utiliza XTS-AES de 128 bits como método de encriptação predefinido ou utiliza o método de encriptação especificado por qualquer script de configuração.

    Quando definido como Ativar, pode configurar as seguintes definições:

    • Encriptação para unidades do sistema operativo
      Predefinição: XTS-AES de 128 bits

      Escolha o método de encriptação para unidades do sistema operativo. Recomendamos que utilize o algoritmo XTS-AES.

      • AES-CBC de 128 bits
      • AES-CBC de 256 bits
      • XTS-AES de 128 bits
      • XTS-AES de 256 bits
    • Encriptação para unidades de dados fixas
      Predefinição: AES-CBC de 128 bits

      Escolha o método de encriptação para unidades de dados fixas (incorporadas). Recomendamos que utilize o algoritmo XTS-AES.

      • AES-CBC de 128 bits
      • AES-CBC de 256 bits
      • XTS-AES de 128 bits
      • XTS-AES de 256 bits
    • Encriptação para unidades de dados amovíveis
      Predefinição: AES-CBC de 128 bits

      Escolha o método de encriptação para unidades de dados amovíveis. Se a unidade amovível for utilizada com dispositivos que não estejam a executar o Windows 10/11, recomendamos que utilize o algoritmo AES-CBC.

      • AES-CBC de 128 bits
      • AES-CBC de 256 bits
      • XTS-AES de 128 bits
      • XTS-AES de 256 bits

Definições da unidade do SO BitLocker

Estas definições aplicam-se especificamente às unidades de dados do sistema operativo.

  • Autenticação adicional no arranque
    Predefinição: não configurado
    BitLocker CSP: SystemDrivesRequireStartupAuthentication

    • Exigir – configure os requisitos de autenticação para o arranque do computador, incluindo a utilização do Trusted Platform Module (TPM).
    • Não configurado – configure apenas opções básicas em dispositivos com um TPM.

    Quando definido como Exigir, pode configurar as seguintes definições:

    • BitLocker com chip TPM não compatível
      Predefinição: não configurado

      • Bloquear – desative a utilização do BitLocker quando um dispositivo não tiver um chip TPM compatível.
      • Não configurado – os utilizadores podem utilizar o BitLocker sem um chip TPM compatível. O BitLocker pode exigir uma palavra-passe ou uma chave de arranque.
    • Arranque compatível do TPM
      Predefinição: Permitir TPM

      Configure se o TPM é permitido, necessário ou não permitido.

      • Permitir TPM
      • Não permitir TPM
      • Exigir TPM
    • PIN de arranque do TPM compatível
      Predefinição: Permitir PIN de arranque com o TPM

      Opte por permitir, não permitir ou exigir a utilização de um PIN de arranque com o chip TPM. Ativar um PIN de arranque requer interação do utilizador final.

      • Permitir PIN de arranque com o TPM
      • Não permitir o PIN de arranque com o TPM
      • Exigir PIN de arranque com o TPM

      Dica

      Para instalar o BitLocker de forma automática e silenciosa num dispositivo que esteja associado ao Microsoft Entra e que execute o Windows 1809 ou posterior, esta definição não pode ser definida como Exigir PIN de arranque com o TPM. Para obter mais informações, consulte Ativar automaticamente o BitLocker em dispositivos.

    • Chave de arranque do TPM compatível
      Predefinição: Permitir a chave de arranque com o TPM

      Opte por permitir, não permitir ou exigir a utilização de uma chave de arranque com o chip TPM. Ativar uma chave de arranque requer interação do utilizador final.

      • Permitir a chave de arranque com o TPM
      • Não permitir a chave de arranque com o TPM
      • Exigir chave de arranque com o TPM

      Dica

      Para instalar o BitLocker de forma automática e silenciosa num dispositivo que esteja associado ao Microsoft Entra e que execute o Windows 1809 ou posterior, esta definição não pode ser definida como Exigir chave de arranque com o TPM. Para obter mais informações, consulte Ativar automaticamente o BitLocker em dispositivos.

    • Chave de arranque e PIN do TPM compatíveis
      Predefinição: Permitir chave de arranque e PIN com TPM

      Opte por permitir, não permitir ou exigir a utilização de uma chave de arranque e pin com o chip TPM. Ativar a chave de arranque e o PIN requer interação do utilizador final.

      • Permitir a chave de arranque e o PIN com o TPM
      • Não permitir a chave de arranque e o PIN com o TPM
      • Exigir a chave de arranque e o PIN com o TPM

      Dica

      Para instalar o BitLocker de forma automática e silenciosa num dispositivo que esteja associado ao Microsoft Entra e que execute o Windows 1809 ou posterior, esta definição não pode ser definida como Exigir chave de arranque e PIN com TPM. Para obter mais informações, consulte Ativar automaticamente o BitLocker em dispositivos.

  • Comprimento Mínimo do PIN
    Predefinição: não configurado
    BitLocker CSP: SystemDrivesMinimumPINLength

    • Ativar Configure um comprimento mínimo para o PIN de arranque do TPM.
    • Não configurado – os utilizadores podem configurar um PIN de arranque de qualquer comprimento entre 6 e 20 dígitos.

    Quando definido como Ativar, pode configurar a seguinte definição:

    • Carateres mínimos
      Predefinição: CSP do BitLocker não configurado : SystemDrivesMinimumPINLength

      Introduza o número de carateres necessários para o PIN de arranque de 4-20.

  • Recuperação da unidade do SO
    Predefinição: não configurado
    CSP do BitLocker: SystemDrivesRecoveryOptions

    • Ativar – controle a forma como as unidades de sistema operativo protegidas pelo BitLocker recuperam quando as informações de arranque necessárias não estão disponíveis.
    • Não configurado – as opções de recuperação predefinidas são suportadas, incluindo DRA. O utilizador final pode especificar opções de recuperação. Não é efetuada uma cópia de segurança das informações de recuperação para o AD DS.

    Quando definido como Ativar, pode configurar as seguintes definições:

    • Agente de recuperação de dados baseado em certificados
      Predefinição: não configurado

      • Bloquear – impeça a utilização do agente de recuperação de dados com unidades de SO protegidas pelo BitLocker.
      • Não configurado – permita que os agentes de recuperação de dados sejam utilizados com unidades de sistema operativo protegidas pelo BitLocker.
    • Criação de palavra-passe de recuperação por parte do utilizador
      Predefinição: Permitir palavra-passe de recuperação de 48 dígitos

      Escolha se os utilizadores são permitidos, necessários ou não autorizados a gerar uma palavra-passe de recuperação de 48 dígitos.

      • Permitir palavra-passe de recuperação de 48 dígitos
      • Não permitir palavra-passe de recuperação de 48 dígitos
      • Exigir palavra-passe de recuperação de 48 dígitos
    • Criação de chave de recuperação pelo utilizador
      Predefinição: Permitir chave de recuperação de 256 bits

      Escolha se os utilizadores são permitidos, necessários ou não autorizados a gerar uma chave de recuperação de 256 bits.

      • Permitir chave de recuperação de 256 bits
      • Não permitir chave de recuperação de 256 bits
      • Exigir chave de recuperação de 256 bits
    • Opções de recuperação no assistente de configuração do BitLocker
      Predefinição: não configurado

      • Bloquear – os utilizadores não podem ver e alterar as opções de recuperação. Quando definido como
      • Não configurado – os utilizadores podem ver e alterar as opções de recuperação quando ativam o BitLocker.
    • Guardar informações de recuperação do BitLocker no ID do Microsoft Entra
      Predefinição: não configurado

      • Ativar – armazene as informações de recuperação do BitLocker no ID do Microsoft Entra.
      • Não configurado – as informações de recuperação do BitLocker não são armazenadas no Microsoft Entra ID.
    • Informações de recuperação do BitLocker armazenadas no ID do Microsoft Entra
      Predefinição: Cópia de segurança de palavras-passe de recuperação e pacotes de chaves

      Configure que partes das informações de recuperação do BitLocker são armazenadas no ID do Microsoft Entra. Escolha entre:

      • Cópia de segurança de palavras-passe de recuperação e pacotes de chaves
      • Apenas palavras-passe de recuperação de cópias de segurança
    • Rotação de palavras-passe de recuperação orientada pelo cliente
      Predefinição: não configurado
      BitLocker CSP: ConfigureRecoveryPasswordRotation

      Esta definição inicia uma rotação de palavras-passe de recuperação orientada pelo cliente após uma recuperação da unidade do SO (utilizando bootmgr ou WinRE).

      • Não configurado
      • Rotação de chaves desativada
      • Rotação de chaves ativada para deices associados ao Microsoft Entra
      • Rotação de chaves ativada para o ID do Microsoft Entra e dispositivos associados híbridos
    • Armazenar informações de recuperação no Microsoft Entra ID antes de ativar o BitLocker
      Predefinição: não configurado

      Impeça os utilizadores de ativarem o BitLocker, a menos que o computador faça uma cópia de segurança das informações de recuperação do BitLocker para o Microsoft Entra ID.

      • Exigir – impeça os utilizadores de ativarem o BitLocker, a menos que as informações de recuperação do BitLocker sejam armazenadas com êxito no Microsoft Entra ID.
      • Não configurado – os utilizadores podem ativar o BitLocker, mesmo que as informações de recuperação não sejam armazenadas com êxito no ID do Microsoft Entra.
  • Mensagem de recuperação e URL de pré-arranque
    Predefinição: não configurado
    BitLocker CSP: SystemDrivesRecoveryMessage

    • Ativar – configure a mensagem e o URL que são apresentados no ecrã de recuperação da chave de pré-arranque.
    • Não configurado – desative esta funcionalidade.

    Quando definido como Ativar, pode configurar a seguinte definição:

    • Mensagem de recuperação de pré-arranque
      Predefinição: Utilizar a mensagem de recuperação predefinida e o URL

      Configure a forma como a mensagem de recuperação de pré-arranque é apresentada aos utilizadores. Escolha entre:

      • Utilizar a mensagem de recuperação predefinida e o URL
      • Utilizar a mensagem de recuperação vazia e o URL
      • Utilizar mensagem de recuperação personalizada
      • Utilizar o URL de recuperação personalizado

Definições de unidades de dados fixas do BitLocker

Estas definições aplicam-se especificamente a unidades de dados fixas.

  • Acesso de escrita a unidades de dados fixas não protegidas pelo BitLocker
    Predefinição: não configurado
    CSP do BitLocker: FixedDrivesRequireEncryption

    • Bloquear – dê acesso só de leitura a unidades de dados que não estão protegidas pelo BitLocker.
    • Não configurado – por predefinição, acesso de leitura e escrita a unidades de dados que não estão encriptadas.
  • Correção da recuperação da unidade
    Predefinição: não configurado
    CSP do BitLocker: FixedDrivesRecoveryOptions

    • Ativar – controle a forma como as unidades fixas protegidas pelo BitLocker recuperam quando as informações de arranque necessárias não estão disponíveis.
    • Não configurado – desative esta funcionalidade.

    Quando definido como Ativar, pode configurar as seguintes definições:

    • Agente de recuperação de dados
      Predefinição: não configurado

      • Bloquear – impeça a utilização do agente de recuperação de dados com o Editor de Políticas de unidades fixas protegidas pelo BitLocker.
      • Não configurado – permite a utilização de agentes de recuperação de dados com unidades fixas protegidas pelo BitLocker.
    • Criação de palavra-passe de recuperação por parte do utilizador
      Predefinição: Permitir palavra-passe de recuperação de 48 dígitos

      Escolha se os utilizadores são permitidos, necessários ou não autorizados a gerar uma palavra-passe de recuperação de 48 dígitos.

      • Permitir palavra-passe de recuperação de 48 dígitos
      • Não permitir palavra-passe de recuperação de 48 dígitos
      • Exigir palavra-passe de recuperação de 48 dígitos
    • Criação de chave de recuperação pelo utilizador
      Predefinição: Permitir chave de recuperação de 256 bits

      Escolha se os utilizadores são permitidos, necessários ou não autorizados a gerar uma chave de recuperação de 256 bits.

      • Permitir chave de recuperação de 256 bits
      • Não permitir chave de recuperação de 256 bits
      • Exigir chave de recuperação de 256 bits
    • Opções de recuperação no assistente de configuração do BitLocker
      Predefinição: não configurado

      • Bloquear – os utilizadores não podem ver e alterar as opções de recuperação. Quando definido como
      • Não configurado – os utilizadores podem ver e alterar as opções de recuperação quando ativam o BitLocker.
    • Guardar informações de recuperação do BitLocker no ID do Microsoft Entra
      Predefinição: não configurado

      • Ativar – armazene as informações de recuperação do BitLocker no ID do Microsoft Entra.
      • Não configurado – as informações de recuperação do BitLocker não são armazenadas no Microsoft Entra ID.
    • Informações de recuperação do BitLocker armazenadas no ID do Microsoft Entra
      Predefinição: Cópia de segurança de palavras-passe de recuperação e pacotes de chaves

      Configure que partes das informações de recuperação do BitLocker são armazenadas no ID do Microsoft Entra. Escolha entre:

      • Cópia de segurança de palavras-passe de recuperação e pacotes de chaves
      • Apenas palavras-passe de recuperação de cópias de segurança
    • Armazenar informações de recuperação no Microsoft Entra ID antes de ativar o BitLocker
      Predefinição: não configurado

      Impeça os utilizadores de ativarem o BitLocker, a menos que o computador faça uma cópia de segurança das informações de recuperação do BitLocker para o Microsoft Entra ID.

      • Exigir – impeça os utilizadores de ativarem o BitLocker, a menos que as informações de recuperação do BitLocker sejam armazenadas com êxito no Microsoft Entra ID.
      • Não configurado – os utilizadores podem ativar o BitLocker, mesmo que as informações de recuperação não sejam armazenadas com êxito no ID do Microsoft Entra.

Definições de unidades de dados amovíveis do BitLocker

Estas definições aplicam-se especificamente a unidades de dados amovíveis.

  • Acesso de escrita a unidades de dados amovíveis não protegidas pelo BitLocker
    Predefinição: não configurado
    BitLocker CSP: RemovableDrivesRequireEncryption

    • Bloquear – dê acesso só de leitura a unidades de dados que não estão protegidas pelo BitLocker.
    • Não configurado – por predefinição, acesso de leitura e escrita a unidades de dados que não estão encriptadas.

    Quando definido como Ativar, pode configurar a seguinte definição:

    • Acesso de escrita a dispositivos configurados noutra organização
      Predefinição: não configurado

      • Bloquear – bloquear o acesso de escrita a dispositivos configurados noutra organização.
      • Não configurado – Negar acesso de escrita.

Microsoft Defender Exploit Guard

Utilize a proteção contra exploits para gerir e reduzir a superfície de ataque das aplicações utilizadas pelos seus funcionários.

Redução da Superfície de Ataque

As regras de redução da superfície de ataque ajudam a prevenir comportamentos que o software maligno utiliza frequentemente para infetar computadores com código malicioso.

Regras de Redução da Superfície de Ataque

Para saber mais, veja Regras de redução da superfície de ataque na documentação do Microsoft Defender para Endpoint.

Comportamento de intercalação para regras de redução da superfície de ataque no Intune:

As regras de redução da superfície de ataque suportam uma fusão de definições de diferentes políticas, para criar um superconjunto de políticas para cada dispositivo. Apenas as definições que não estão em conflito são intercaladas, enquanto as definições em conflito não são adicionadas ao superconjunto de regras. Anteriormente, se duas políticas incluíssem conflitos para uma única definição, ambas as políticas eram sinalizadas como estando em conflito e não seriam implementadas definições de qualquer perfil.

O comportamento de intercalação da regra de redução da superfície de ataque é o seguinte:

  • As regras de redução da superfície de ataque dos seguintes perfis são avaliadas para cada dispositivo a que as regras se aplicam:
    • Política de configuração > de dispositivos > Perfil > de proteção de ponto final Microsoft Defender Exploit Guard >– Redução da Superfície de Ataque
    • Segurança > de ponto final Política de redução da superfície de ataque Regras > de redução da superfície de ataque
    • Linhas de base de segurança > de ponto final Linhas > de base do Microsoft Defender para Endpoint Baseline >Regras de Redução da Superfície de Ataque.
  • As definições que não têm conflitos são adicionadas a um superconjunto de políticas para o dispositivo.
  • Quando duas ou mais políticas têm definições em conflito, as definições em conflito não são adicionadas à política combinada. As definições que não entram em conflito são adicionadas à política de superconjunto que se aplica a um dispositivo.
  • Apenas as configurações para definições em conflito são retidas.

Definições neste perfil:

  • Sinalizar roubo de credenciais do subsistema da autoridade de segurança local do Windows
    Predefinição: não configurado
    Regra: bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)

    Ajude a impedir ações e aplicações que são normalmente utilizadas por software maligno que procura exploits para infetar máquinas.

    • Não configurado
    • Ativar – sinalizar o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe).
    • Somente Auditoria
  • Criação de processos a partir do Adobe Reader (beta)
    Predefinição: não configurado
    Regra: impedir o Adobe Reader de criar processos subordinados

    • Não configurado
    • Ativar – bloqueie os processos subordinados criados a partir do Adobe Reader.
    • Somente Auditoria

Regras para impedir ameaças de macros do Office

Impeça que as aplicações do Office efetuem as seguintes ações:

Regras para impedir ameaças de script

Bloqueie o seguinte para ajudar a evitar ameaças de script:

Regras para impedir ameaças de e-mail

Bloqueie o seguinte para ajudar a evitar ameaças de e-mail:

  • A execução de conteúdo executável (exe, dll, ps, js, vbs, etc.) foi removida do e-mail (cliente de e-mail/web) (sem exceções)
    Predefinição: não configurado
    Regra: bloquear conteúdo executável do cliente de e-mail e do webmail

    • Não configurado
    • Bloco – bloquear a execução de conteúdos executáveis (exe, dll, ps, js, vbs, etc.) removidos do e-mail (webmail/mail-client).
    • Somente Auditoria

Regras para proteger contra ransomware

Exceções de Redução da Superfície de Ataque

  • Ficheiros e pastas a excluir das regras de redução da superfície de ataque
    Defender CSP: AttackSurfaceReductionOnlyExclusions

    • Importe um ficheiro de .csv que contenha ficheiros e pastas para excluir das regras de redução da superfície de ataque.
    • Adicione ficheiros ou pastas locais manualmente.

Importante

Para permitir a instalação e execução adequadas de aplicações LOB Win32, as definições antimalware devem excluir os seguintes diretórios de análise:
Em computadores cliente X64:
C:\Programas (x86)\Extensão de Gestão do Microsoft Intune\Conteúdo
C:\windows\IMECache

Em máquinas cliente X86:
C:\Programas\Extensão de Gestão do Microsoft Intune\Conteúdo
C:\windows\IMECache

Para obter mais informações, veja Recomendações de análise de vírus para computadores Empresariais com versões suportadas atualmente do Windows.

Acesso a pastas controladas

Ajude a proteger dados valiosos de aplicações e ameaças maliciosas, como ransomware.

  • Proteção de pastas
    Predefinição: não configurado
    Defender CSP: EnableControlledFolderAccess

    Proteja ficheiros e pastas contra alterações não autorizadas por aplicações pouco amigáveis.

    • Não configurado
    • Enable
    • Somente Auditoria
    • Bloquear modificação do disco
    • Auditar a modificação do disco

    Quando seleciona uma configuração diferente de Não configurada, pode configurar:

    • Lista de aplicações que têm acesso a pastas protegidas
      Defender CSP: ControlledFolderAccessAllowedApplications

      • Importe um ficheiro .csv que contenha uma lista de aplicações.
      • Adicionar aplicações a esta lista manualmente.
    • Lista de pastas adicionais que precisam de ser protegidas
      Defender CSP: ControlledFolderAccessProtectedFolders

      • Importe um ficheiro .csv que contenha uma lista de pastas.
      • Adicionar pastas a esta lista manualmente.

Filtragem de rede

Bloquear ligações de saída de qualquer aplicação para endereços IP ou domínios com baixa reputação. A filtragem de rede é suportada no modo Auditoria e Bloquear.

  • Proteção de rede
    Predefinição: não configurado
    Defender CSP: EnableNetworkProtection

    A intenção desta definição é proteger os utilizadores finais de aplicações com acesso a esquemas de phishing, sites de exploração e conteúdo malicioso na Internet. Também impede que browsers de terceiros se liguem a sites perigosos.

    • Não configurado – desative esta funcionalidade. Os utilizadores e as aplicações não estão impedidos de ligar a domínios perigosos. Os administradores não podem ver esta atividade no Centro de Segurança do Microsoft Defender.
    • Ativar – ative a proteção de rede e bloqueie a ligação de utilizadores e aplicações a domínios perigosos. Os administradores podem ver esta atividade no Centro de Segurança do Microsoft Defender.
    • Apenas auditoria: - Os utilizadores e as aplicações não estão impedidos de ligar a domínios perigosos. Os administradores podem ver esta atividade no Centro de Segurança do Microsoft Defender.

Proteção de exploração

  • Carregar XML
    Predefinição: não configurado

    Para utilizar a Proteção contra exploits para proteger os dispositivos contra exploits, crie um ficheiro XML que inclua as definições de mitigação do sistema e da aplicação que pretende. Existem dois métodos para criar o ficheiro XML:

    • PowerShell – utilize um ou mais dos cmdlets Get-ProcessMitigation, Set-ProcessMitigation e ConvertTo-ProcessMitigationPolicy do PowerShell. Os cmdlets configuram as definições de mitigação e exportam uma representação XML das mesmas.

    • IU do Centro de Segurança do Microsoft Defender – no Centro de Segurança do Microsoft Defender, selecione Aplicação & controlo do browser e, em seguida, desloque-se para a parte inferior do ecrã resultante para encontrar o Exploit Protection. Primeiro, utilize os separadores Definições do sistema e Definições do programa para configurar as definições de mitigação. Em seguida, localize a ligação Exportar definições na parte inferior do ecrã para exportar uma representação XML das mesmas.

  • Edição do utilizador da interface do Exploit Protection
    Predefinição: não configurado
    ExploitGuard CSP: ExploitProtectionSettings

    • Bloquear – carregue um ficheiro XML que lhe permita configurar restrições de memória, fluxo de controlo e políticas. As definições no ficheiro XML podem ser utilizadas para bloquear exploits de uma aplicação.
    • Não configurado – não é utilizada nenhuma configuração personalizada.

Controlo de Aplicações do Microsoft Defender

Selecione as aplicações a auditar ou que sejam consideradas fidedignas para serem executadas pelo Controlo de Aplicações do Microsoft Defender. Os componentes do Windows e todas as aplicações da Loja Windows são automaticamente considerados fidedignos para serem executados.

  • Políticas de integridade do código de controlo de aplicações
    Predefinição: não configurado
    CSP: AppLocker CSP

    • Impor – escolha as políticas de integridade do código de controlo da aplicação para os dispositivos dos seus utilizadores.

      Depois de ativado num dispositivo, o Controlo de Aplicações só pode ser desativado ao alterar o modo de Impor para Apenas auditoria. Alterar o modo de Impor para Não Configurado resulta na imposição do Controlo de Aplicações nos dispositivos atribuídos.

    • Não Configurado – o Controlo de Aplicações não é adicionado aos dispositivos. No entanto, as definições que foram adicionadas anteriormente continuam a ser impostas nos dispositivos atribuídos.

    • Apenas auditoria – as aplicações não são bloqueadas. Todos os eventos são registados nos registos do cliente local.

      Observação

      Se utilizar esta definição, o comportamento do CSP do AppLocker pede atualmente ao utilizador final que reinicie o computador quando uma política é implementada.

Microsoft Defender Credential Guard

O Microsoft Defender Credential Guard protege contra ataques de roubo de credenciais. Isola segredos para que apenas o software de sistema privilegiado possa aceder aos mesmos.

  • Credential Guard
    Predefinição: Desativar
    DeviceGuard CSP

    • Desativar – desative o Credential Guard remotamente, se tiver sido ativado anteriormente com a opção Ativado sem bloqueio UEFI .

    • Ativar com bloqueio UEFI – o Credential Guard não pode ser desativado remotamente utilizando uma chave de registo ou política de grupo.

      Observação

      Se utilizar esta definição e, mais tarde, quiser desativar o Credential Guard, tem de definir a Política de Grupo como Desativada. Além disso, limpe fisicamente as informações de configuração do UEFI de cada computador. Enquanto a configuração do UEFI persistir, o Credential Guard está ativado.

    • Ativar sem bloqueio UEFI – permite que o Credential Guard seja desativado remotamente com a Política de Grupo. Os dispositivos que utilizam esta definição têm de ter o Windows 10, versão 1511 e posterior, ou o Windows 11.

    Quando ativa o Credential Guard, as seguintes funcionalidades necessárias também estão ativadas:

    • Segurança baseada em Virtualização (VBS)
      Ativa durante o próximo reinício. A segurança baseada em virtualização utiliza o Hipervisor do Windows para fornecer suporte para serviços de segurança.
    • Arranque Seguro com Acesso à Memória do Diretório
      Ativa o VBS com proteções de Arranque Seguro e acesso direto à memória (DMA). As proteções do DMA requerem suporte de hardware e só estão ativadas em dispositivos configurados corretamente.

Central de Segurança do Microsoft Defender.

O Centro de Segurança do Microsoft Defender funciona como uma aplicação ou processo separado de cada uma das funcionalidades individuais. Apresenta notificações através do Centro de Ação. Funciona como um recoletor ou um único local para ver o estado e executar alguma configuração para cada uma das funcionalidades. Saiba mais nos documentos do Microsoft Defender .

Aplicações e notificações do Centro de Segurança do Microsoft Defender

Bloquear o acesso do utilizador final às várias áreas da aplicação Centro de Segurança do Microsoft Defender. Ocultar uma secção também bloqueia notificações relacionadas.

  • Proteção contra vírus e ameaças
    Predefinição: não configurado
    WindowsDefenderSecurityCenter CSP: DisableVirusUI

    Configure se os utilizadores finais podem ver a área Proteção contra vírus e ameaças no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com Proteção contra vírus e ameaças.

    • Não configurado
    • Ocultar
  • Proteção contra ransomware
    Predefinição: não configurado
    WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

    Configure se os utilizadores finais podem ver a área Proteção contra ransomware no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com a proteção contra Ransomware.

    • Não configurado
    • Ocultar
  • Proteção de contas
    Predefinição: não configurado
    WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI

    Configure se os utilizadores finais podem ver a área Proteção de contas no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com a Proteção de contas.

    • Não configurado
    • Ocultar
  • Firewall e proteção de rede
    Predefinição: não configurado
    WindowsDefenderSecurityCenter CSP: DisableNetworkUI

    Configure se os utilizadores finais podem ver a área Firewall e proteção de rede no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com a Proteção da firewall e da rede.

    • Não configurado
    • Ocultar
  • Controlo de Aplicações e browsers
    Predefinição: não configurado
    WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

    Configure se os utilizadores finais podem ver a área de controlo de Aplicações e browsers no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com o controlo de Aplicações e browsers.

    • Não configurado
    • Ocultar
  • Proteção de hardware
    Predefinição: não configurado
    WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

    Configure se os utilizadores finais podem ver a área Proteção de hardware no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com a Proteção de hardware.

    • Não configurado
    • Ocultar
  • Desempenho e estado de funcionamento do dispositivo
    Predefinição: não configurado
    WindowsDefenderSecurityCenter CSP: DisableHealthUI

    Configure se os utilizadores finais podem ver a área Desempenho e estado de funcionamento do dispositivo no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com o desempenho e o estado de funcionamento do dispositivo.

    • Não configurado
    • Ocultar
  • Opções de família
    Predefinição: não configurado
    WindowsDefenderSecurityCenter CSP: DisableFamilyUI

    Configure se os utilizadores finais podem ver a área opções de Família no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com as opções de Família.

    • Não configurado
    • Ocultar
  • Notificações das áreas apresentadas da aplicação
    Predefinição: não configurado
    WindowsDefenderSecurityCenter CSP: DisableNotifications

    Escolha as notificações a apresentar aos utilizadores finais. As notificações não críticas incluem resumos da atividade do Antivírus do Microsoft Defender, incluindo notificações quando as análises estiverem concluídas. Todas as outras notificações são consideradas críticas.

    • Não configurado
    • Bloquear notificações não críticas
    • Bloquear todas as notificações
  • Ícone do Centro de Segurança do Windows no tabuleiro do sistema
    Predefinição: WindowsDefenderSecurityCenter CSP não configurado: HideWindowsSecurityNotificationAreaControl

    Configure a apresentação do controlo da área de notificação. O utilizador tem de terminar sessão e iniciar sessão ou reiniciar o computador para que esta definição entre em vigor.

    • Não configurado
    • Ocultar
  • Botão Limpar TPM
    Predefinição: WindowsDefenderSecurityCenter CSP não configurado: DisableClearTpmButton

    Configure a apresentação do botão Limpar TPM.

    • Não configurado
    • Disable
  • Aviso de atualização de firmware do TPM
    Predefinição: WindowsDefenderSecurityCenter CSP não configurado: DisableTpmFirmwareUpdateWarning

    Configure a apresentação do Firmware do TPM de atualização quando for detetado um firmware vulnerável.

    • Não configurado
    • Ocultar
  • Proteção contra Adulteração
    Predefinição: não configurado

    Ative ou desative a Proteção contra Adulteração nos dispositivos. Para utilizar a Proteção contra Adulteração, tem de integrar o Microsoft Defender para Endpoint no Intune e ter Licenças enterprise Mobility + Security E5.

    • Não configurado – não é efetuada qualquer alteração às definições do dispositivo.
    • Ativado – a Proteção contra Adulteração está ativada e as restrições são impostas nos dispositivos.
    • Desativado – a Proteção contra Adulteração está desativada e as restrições não são impostas.

Informações de contacto de TI

Forneça as informações de contacto de TI para aparecerem na aplicação Centro de Segurança do Microsoft Defender e nas notificações da aplicação.

Pode optar por Apresentar na aplicação e nas notificações, Apresentar apenas na aplicação, Apresentar apenas em notificações ou Não apresentar. Introduza o nome da organização de TI e, pelo menos, uma das seguintes opções de contacto:

  • Informações de contacto de TI
    Predefinição: Não apresentar
    WindowsDefenderSecurityCenter CSP: EnableCustomizedToasts

    Configure onde apresentar informações de contacto de TI aos utilizadores finais.

    • Apresentar na aplicação e nas notificações
    • Apresentar apenas na aplicação
    • Apresentar apenas nas notificações
    • Não apresentar

    Quando configurado para apresentar, pode configurar as seguintes definições:

    • Nome da organização de TI
      Predefinição: não configurado
      WindowsDefenderSecurityCenter CSP: CompanyName

    • Número de telefone ou ID do Skype do departamento de TI
      Predefinição: não configurado
      WindowsDefenderSecurityCenter CSP: Telemóvel

    • Endereço de e-mail do departamento de TI
      Predefinição: não configurado
      WindowsDefenderSecurityCenter CSP: e-mail

    • URL do site de suporte de TI
      Predefinição: não configurado
      WindowsDefenderSecurityCenter CSP: URL

Opções de segurança do dispositivo local

Utilize estas opções para configurar as definições de segurança local em dispositivos Windows 10/11.

Contas

  • Adicionar novas contas Microsoft
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: Accounts_BlockMicrosoftAccounts

    • Bloquear Impedir que os utilizadores adicionem novas contas Microsoft ao dispositivo.
    • Não configurado – os utilizadores podem utilizar contas Microsoft no dispositivo.
  • Início de sessão remoto sem palavra-passe
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Bloquear – permita que apenas contas locais com palavras-passe em branco iniciem sessão com o teclado do dispositivo.
    • Não configurado – permita que contas locais com palavras-passe em branco iniciem sessão a partir de localizações que não o dispositivo físico.

Administrador

  • Conta de administrador local
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Bloquear Impedir a utilização de uma conta de administrador local.
    • Não configurado
  • Mudar o nome da conta de administrador
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: Accounts_RenameAdministratorAccount

    Defina um nome de conta diferente a ser associado ao identificador de segurança (SID) para a conta "Administrador".

Guest

  • Conta de convidado
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions

    • Bloquear – impeça a utilização de uma conta de Convidado.
    • Não configurado
  • Mudar o nome da conta de convidado
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

    Defina um nome de conta diferente a ser associado ao identificador de segurança (SID) para a conta "Convidado".

Dispositivos

  • Desancorar dispositivo sem início de sessão
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: Devices_AllowUndockWithoutHavingToLogon

    • Bloquear – um utilizador tem de iniciar sessão no dispositivo e receber permissão para desancorar o dispositivo.
    • Não configurado – os utilizadores podem premir o botão de ejeção física de um dispositivo portátil ancorado para desancorar o dispositivo em segurança.
  • Instalar controladores de impressora para impressoras partilhadas
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

    • Ativado – qualquer utilizador pode instalar um controlador de impressora como parte da ligação a uma impressora partilhada.
    • Não configurado – apenas os Administradores podem instalar um controlador de impressora como parte da ligação a uma impressora partilhada.
  • Restringir o acesso de CD-ROM ao utilizador ativo local
    Predefinição: não configurado
    CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

    • Ativado – apenas o utilizador com sessão iniciada interativamente pode utilizar o suporte de dados CD-ROM. Se esta política estiver ativada e ninguém tiver sessão iniciada interativamente, o CD-ROM é acedido através da rede.
    • Não configurado – qualquer pessoa tem acesso ao CD-ROM.
  • Formatar e ejetar suportes de dados amovíveis
    Predefinição: Administradores
    CSP: Devices_AllowedToFormatAndEjectRemovableMedia

    Defina quem tem permissão para formatar e ejetar suportes de dados NTFS amovíveis:

    • Não configurado
    • Administradores
    • Administradores e Utilizadores Ativos
    • Administradores e Utilizadores Interativos

Início de Sessão Interativo

  • Minutos de inatividade do ecrã de bloqueio até que a proteção de ecrã seja ativada
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MachineInactivityLimit

    Introduza os minutos máximos de inatividade até o ecrã ser ativado. (0 - 99999)

  • Exigir ctrl+ALT+DEL para iniciar sessão
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotRequireCTRLALTDEL

    • Ativar – exigir que os utilizadores primam Ctrl+Alt+DEL antes de iniciar sessão no Windows.
    • Não configurado – não é necessário premir Ctrl+Alt+DEL para que os utilizadores iniciem sessão.
  • Comportamento de remoção de smart card
    Predefinição: Nenhuma Ação LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

    Determina o que acontece quando o smart card de um utilizador com sessão iniciada é removido do leitor de smart card. Suas opções:

    • Bloquear Estação de Trabalho – a estação de trabalho é bloqueada quando o smart card é removido. Esta opção permite que os utilizadores saiam da área, levem o smart card consigo e continuem a manter uma sessão protegida.
    • Nenhuma ação
    • Forçar Início de Sessão – o utilizador tem sessão iniciada automaticamente quando o smart card é removido.
    • Desligar se uma sessão dos Serviços de Ambiente de Trabalho Remoto – a remoção do smart card desliga a sessão sem terminar sessão do utilizador. Esta opção permite que o utilizador insira o smart card e retome a sessão mais tarde ou noutro computador equipado com leitores de smart card, sem ter de iniciar sessão novamente. Se a sessão for local, esta política funciona de forma idêntica a Bloquear Estação de Trabalho.

Exibir

  • Informações do utilizador no ecrã de bloqueio
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

    Configure as informações de utilizador que são apresentadas quando a sessão está bloqueada. Se não estiver configurado, são apresentados o nome a apresentar, o domínio e o nome de utilizador do utilizador.

    • Não configurado
    • Nome a apresentar do utilizador, domínio e nome de utilizador
    • Apenas o nome a apresentar do utilizador
    • Não apresentar informações do utilizador
  • Ocultar o último utilizador com sessão iniciada
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayLastSignedIn

    • Ativar – oculte o nome de utilizador.
    • Não configurado – mostrar o último nome de utilizador.
  • Ocultar o nome de utilizador no início de sessão Predefinido: Não Configurado
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn

    • Ativar – oculte o nome de utilizador.
    • Não configurado – mostrar o último nome de utilizador.
  • Título da mensagem de início de sessão
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

    Defina o título da mensagem para os utilizadores que iniciam sessão.

  • Texto da mensagem de início de sessão
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

    Defina o texto da mensagem para os utilizadores que iniciam sessão.

Acesso e segurança de rede

  • Acesso anónimo a Pipes Nomeados e Partilhas
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

    • Não configurado – restrinja o acesso anónimo às definições de partilha e Pipe Nomeado. Aplica-se às definições que podem ser acedidas anonimamente.
    • Bloquear – desative esta política, disponibilizando acesso anónimo.
  • Enumeração anónima de contas SAM
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

    • Não configurado – os utilizadores anónimos podem enumerar contas SAM.
    • Bloquear – impedir a enumeração anónima de contas SAM.
  • Enumeração anónima de contas e partilhas SAM
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

    • Não configurado – os utilizadores anónimos podem enumerar os nomes das contas de domínio e das partilhas de rede.
    • Bloquear – impedir a enumeração anónima de contas e partilhas SAM.
  • Valor hash do Gestor de LAN armazenado na alteração da palavra-passe
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

    Determine se o valor hash das palavras-passe é armazenado da próxima vez que a palavra-passe for alterada.

    • Não configurado – o valor hash não está armazenado
    • Bloquear – o Gestor de LAN (LM) armazena o valor hash da nova palavra-passe.
  • Pedidos de autenticação PKU2U
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests

    • Não configurado – permitir pedidos PU2U.
    • Bloquear – bloquear pedidos de autenticação PKU2U para o dispositivo.
  • Restringir ligações RPC remotas ao SAM
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

    • Não configurado – utilize o descritor de segurança predefinido, que pode permitir que utilizadores e grupos façam chamadas RPC remotas para o SAM.

    • Permitir – negar que utilizadores e grupos façam chamadas RPC remotas para o Gestor de Contas de Segurança (SAM), que armazena contas de utilizador e palavras-passe. Permitir também permite alterar a cadeia SDDL (Security Descriptor Definition Language) predefinida para permitir ou negar explicitamente utilizadores e grupos para efetuar estas chamadas remotas.

      • Descritor de segurança
        Predefinição: não configurado
  • Segurança De Sessão Mínima para Clientes Baseados em SSP NTLM
    Predefinição: Nenhum
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

    Esta definição de segurança permite que um servidor exija a negociação da segurança de sessão NTLMv2 e/ou encriptação de 128 bits.

    • Nenhum
    • Exigir segurança de sessão NTLMv2
    • Exigir encriptação de 128 bits
    • Encriptação NTLMv2 e de 128 bits
  • Segurança mínima da sessão para o servidor baseado em SSP NTLM
    Predefinição: Nenhum
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

    Esta definição de segurança determina que protocolo de autenticação de resposta/desafio é utilizado para inícios de sessão de rede.

    • Nenhum
    • Exigir segurança de sessão NTLMv2
    • Exigir encriptação de 128 bits
    • Encriptação NTLMv2 e de 128 bits
  • Nível de Autenticação do Gestor de LAN
    Predefinição: LM e NTLM
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_LANManagerAuthenticationLevel

    • LM e NTLM
    • LM, NTLM e NTLMv2
    • NTLM
    • NTLMv2
    • NTLMv2 e não LM
    • NTLMv2 e não LM ou NTLM
  • Inícios de Sessão de Convidado Inseguros
    Predefinição: não configurado
    LanmanWorkstation CSP: LanmanWorkstation

    Se ativar esta definição, o cliente SMB rejeitará inícios de sessão de convidado inseguros.

    • Não configurado
    • Bloquear – o cliente SMB rejeita inícios de sessão de convidado inseguros.

Consola de recuperação e encerramento

  • Limpar o pagefile da memória virtual ao encerrar
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: Shutdown_ClearVirtualMemoryPageFile

    • Ativar – limpe o pagefile de memória virtual quando o dispositivo é desligado.
    • Não configurado – não limpa a memória virtual.
  • Encerrar sem iniciar sessão
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

    • Bloquear – oculte a opção de encerramento no ecrã de início de sessão do Windows. Os utilizadores têm de iniciar sessão no dispositivo e, em seguida, encerrar.
    • Não configurado – permita que os utilizadores encerrem o dispositivo a partir do ecrã de início de sessão do Windows.

Controlo de conta de utilizador

  • Integridade do UIA sem localização segura
    Predefinição: Não Configurado
    LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Bloquear – as aplicações que estão numa localização segura no sistema de ficheiros só serão executadas com integridade UIAccess.
    • Não configurado – permite que as aplicações sejam executadas com a integridade do UIAccess, mesmo que as aplicações não estejam numa localização segura no sistema de ficheiros.
  • Virtualizar falhas de escrita de ficheiros e registos em localizações por utilizador
    Predefinição: Não Configurado
    LocalPoliciesSecurityOptions CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

    • Ativado – as aplicações que escrevem dados em localizações protegidas falham.
    • Não configurado – as falhas de escrita da aplicação são redirecionadas no tempo de execução para localizações de utilizador definidas para o sistema de ficheiros e o registo.
  • Elevar apenas os ficheiros executáveis assinados e validados
    Predefinição: Não Configurado
    LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Ativado – imponha a validação do caminho de certificação PKI para um ficheiro executável antes de poder ser executado.
    • Não configurado – não imponha a validação do caminho de certificação PKI antes de um ficheiro executável poder ser executado.

Comportamento do pedido de elevação do UIA

  • Pedido de elevação para administradores
    Predefinição: pedir consentimento para binários não Windows
    LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

    Defina o comportamento do pedido de elevação para administradores no Modo de Aprovação de Administrador.

    • Não configurado
    • Elevar sem pedir
    • Pedir credenciais no ambiente de trabalho seguro
    • Pedir credenciais
    • Pedir consentimento
    • Pedir consentimento para binários não Windows
  • Pedido de elevação para utilizadores padrão
    Predefinição: pedir credenciais
    LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

    Defina o comportamento do pedido de elevação para utilizadores padrão.

    • Não configurado
    • Negar automaticamente pedidos de elevação
    • Pedir credenciais no ambiente de trabalho seguro
    • Pedir credenciais
  • Pedidos de elevação de rotas para o ambiente de trabalho interativo do utilizador
    Predefinição: Não Configurado
    LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

    • Ativado – todos os pedidos de elevação para aceder ao ambiente de trabalho do utilizador interativo em vez do ambiente de trabalho seguro. São utilizadas quaisquer definições de política de comportamento de pedidos para administradores e utilizadores padrão.
    • Não configurado – force todos os pedidos de elevação a ir para o ambiente de trabalho seguro, independentemente das definições de política de comportamento de pedidos para administradores e utilizadores padrão.
  • Pedido elevado para instalações de aplicações
    Predefinição: Não Configurado
    LocalPoliciesSecurityOptions CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

    • Ativado – os pacotes de instalação da aplicação não são detetados nem pedidos de elevação.
    • Não configurado – é pedido aos utilizadores um nome de utilizador administrativo e uma palavra-passe quando um pacote de instalação de aplicações requer privilégios elevados.
  • Pedido de elevação UIA sem ambiente de trabalho seguro
    Predefinição: Não Configurado
    LocalPoliciesSecurityOptions CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

  • Ativar – permita que as aplicações UIAccess pedem elevação, sem utilizar o ambiente de trabalho seguro.

  • Não configurado – os pedidos de elevação utilizam um ambiente de trabalho seguro.

Modo de Aprovação de Administrador

  • Modo de Aprovação de Administrador para Administrador Incorporado
    Predefinição: Não Configurado
    LocalPoliciesSecurityOptions CSP: UserAccountControl_UseAdminApprovalMode

    • Ativado – permita que a conta de Administrador incorporada utilize o Modo de Aprovação de Administrador. Qualquer operação que necessite de elevação de privilégios pede ao utilizador para aprovar a operação.
    • Não configurado – executa todas as aplicações com privilégios de administrador completos.
  • Executar todos os administradores no Modo de Aprovação de Administrador
    Predefinição: Não Configurado
    LocalPoliciesSecurityOptions CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

    • Enabled - Ativar o Modo de Aprovação de Administrador.
    • Não configurado – desative o Modo de Aprovação de Administrador e todas as definições de política UAC relacionadas.

Microsoft Network Client

  • Assinar digitalmente comunicações (se o servidor concordar)
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

    Determina se o cliente SMB negoceia a assinatura de pacotes SMB.

    • Bloquear – o cliente SMB nunca negoceia a assinatura de pacotes SMB.
    • Não configurado – o cliente de rede da Microsoft pede ao servidor para executar a assinatura de pacotes SMB após a configuração da sessão. Se a assinatura de pacotes estiver ativada no servidor, a assinatura de pacotes é negociada.
  • Enviar palavra-passe não encriptada para servidores SMB de terceiros
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

    • Bloquear – o redirecionador SMB (Server Message Block) pode enviar palavras-passe de texto simples para servidores SMB que não sejam da Microsoft que não suportam a encriptação de palavras-passe durante a autenticação.
    • Não configurado – bloqueie o envio de palavras-passe de texto simples. As palavras-passe são encriptadas.
  • Assinar digitalmente comunicações (sempre)
    Predefinição: não configurado
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

    • Ativar – o cliente de rede da Microsoft não comunica com um servidor de rede da Microsoft, a menos que esse servidor concorde com a assinatura de pacotes SMB.
    • Não configurado – a assinatura de pacotes SMB é negociada entre o cliente e o servidor.

Microsoft Network Server

  • Assinar digitalmente comunicações (se o cliente concordar)
    Predefinição: não configurado
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

    • Ativar – o servidor de rede da Microsoft negoceia a assinatura de pacotes SMB conforme pedido pelo cliente. Ou seja, se a assinatura de pacotes estiver ativada no cliente, a assinatura de pacotes é negociada.
    • Não configurado – o cliente SMB nunca negoceia a assinatura de pacotes SMB.
  • Assinar digitalmente comunicações (sempre)
    Predefinição: não configurado
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

    • Ativar – o servidor de rede da Microsoft não comunica com um cliente de rede da Microsoft, a menos que esse cliente concorde com a assinatura de pacotes SMB.
    • Não configurado – a assinatura de pacotes SMB é negociada entre o cliente e o servidor.

Serviços Xbox

Próximas etapas

O perfil é criado, mas ainda não está a fazer nada. Em seguida, atribua o perfil e monitorize o respetivo estado.

Configurar definições de proteções de pontos finais em dispositivos macOS .