Compartilhar via


Lista das configurações na linha de base de segurança Microsoft Defender para Ponto de Extremidade no Intune

Este artigo é uma referência para as configurações que estão disponíveis nas diferentes versões da linha de base de segurança Microsoft Defender para Ponto de Extremidade que você pode implantar com Microsoft Intune. Use as guias para selecionar e exibir as configurações na versão de linha de base mais recente e algumas versões mais antigas que ainda podem estar em uso.

Para cada configuração, essa referência identifica a configuração padrão das linhas de base, que também é a configuração recomendada para essa configuração fornecida pela equipe de segurança relevante. Como os produtos e o cenário de segurança evoluem, os padrões recomendados em uma versão de linha de base podem não corresponder aos padrões encontrados em versões posteriores da mesma linha de base. Tipos de linha de base diferentes, como a segurança MDM e as linhas de base do Defender para Ponto de Extremidade , também podem definir padrões diferentes.

Quando a interface do usuário Intune incluir um link do Learn more para uma configuração, você encontrará isso aqui também. Use esse link para exibir o CSP ( provedor de serviços de configuração de política de configuração ) ou conteúdo relevante que explica a operação de configurações.

Quando uma nova versão de uma linha de base fica disponível, ela substitui a versão anterior. Perfis de instâncias que são criadas antes da disponibilidade de uma nova versão:

  • Torne-se somente leitura. Você pode continuar a usar esses perfis, mas não pode editá-los para alterar a configuração deles.
  • Pode ser atualizado para a versão mais recente. Depois de atualizar um perfil para a versão de linha de base atual, você pode editar o perfil para modificar as configurações.

Para saber mais sobre como usar linhas de base de segurança, consulte Usar linhas de base de segurança. Nesse artigo, você também encontrará informações sobre como:

Microsoft Defender para Ponto de Extremidade versão de linha de base 24H1

Linha de base do Microsoft Defender para Ponto de Extremidade de dezembro de 2020 – versão 6

Microsoft Defender para Ponto de Extremidade linha de base para setembro de 2020 – versão 5

Linha de base do Microsoft Defender para Ponto de Extremidade de abril de 2020 – versão 4

Linha de base do Microsoft Defender para Ponto de Extremidade de março de 2020 – versão 3

A linha de base Microsoft Defender para Ponto de Extremidade está disponível quando o ambiente atende aos pré-requisitos para usar Microsoft Defender para Ponto de Extremidade.

Essa linha de base é otimizada para dispositivos físicos e não é recomendada para uso em VMs (máquinas virtuais) ou pontos de extremidade VDI. Determinadas configurações de linha de base podem afetar sessões interativas remotas em ambientes virtualizados. Para obter mais informações, confira Aumentar a conformidade com a linha de base de segurança do Microsoft Defender para Ponto de Extremidade na documentação do Windows.

Modelos administrativos

Restrições de instalação do dispositivo de instalação > do dispositivo do sistema >

  • Impedir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo
    Padrão de linha de base: habilitado
    Saiba Mais

    • Aplique-se também aos dispositivos correspondentes que já estão instalados.
      Padrão de linha de base: False

    • Classes impedidas
      Padrão da linha de base: d48179be-ec20-11d1-b6b8-00c04fa372a7

Criptografia de unidade bitlocker de componentes > do Windows

  • Escolha o método de criptografia de unidade e a força da codificação (Windows 10 [Versão 1511] e posterior)
    Padrão de linha de base: habilitado
    Saiba Mais

    • Selecione o método de criptografia para unidades de dados removíveis:
      Padrão da linha de base: AES-CBC de 128 bits (padrão)

    • Selecione o método de criptografia para unidades do sistema operacional:
      Padrão da linha de base: XTS-AES de 128 bits (padrão)

    • Selecione o método de criptografia para unidades de dados fixas:
      Padrão da linha de base: XTS-AES de 128 bits (padrão)

Unidades de dados fixas de criptografia > de unidade bitlocker de componentes > do Windows

  • Escolha como as unidades fixas protegidas pelo BitLocker podem ser recuperadas
    Padrão de linha de base: habilitado
    Saiba Mais

    • Não habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas
      Padrão de linha de base: True

    • Permitir agente de recuperação de dados
      Padrão de linha de base: True

    • Configurar o armazenamento das informações de recuperação do BitLocker para o AD DS:
      Padrão da linha de base: senhas de recuperação de backup e pacotes-chave

      Valor: permitir a chave de recuperação de 256 bits

    • Salvar informações de recuperação do BitLocker no AD DS para unidades de dados fixas
      Padrão de linha de base: True

    • Omitir opções de recuperação do assistente de instalação do BitLocker
      Padrão de linha de base: True

    • Configurar o armazenamento do usuário das informações de recuperação do BitLocker:
      Padrão da linha de base: permitir a senha de recuperação de 48 dígitos

  • Negar acesso de gravação a unidades fixas não protegidas pelo BitLocker
    Padrão de linha de base: habilitado
    Saiba Mais

  • Impor tipo de criptografia de unidade em unidades de dados fixas
    Padrão de linha de base: habilitado
    Saiba mais

    • Selecione o tipo de criptografia: (Dispositivo)
      Padrão de linha de base: criptografia somente espaço usado

Unidades do sistema operacional BitLocker Drive Encryption > do Windows Components >

  • Permitir que dispositivos compatíveis com InstantGo ou HSTI optem por sair do PIN de pré-inicialização.
    Padrão de linha de base: desabilitado
    Saiba mais

  • Permitir PINs aprimorados para inicialização
    Padrão de linha de base: desabilitado
    Saiba mais

  • Escolha como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas
    Padrão de linha de base: habilitado
    Saiba Mais

    • Omitir opções de recuperação do assistente de instalação do BitLocker
      Padrão de linha de base: True

      Valor: permitir a chave de recuperação de 256 bits

    • Salvar informações de recuperação do BitLocker no AD DS para unidades do sistema operacional
      Padrão de linha de base: True

    • Não habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional
      Padrão de linha de base: True

    • Configurar o armazenamento do usuário das informações de recuperação do BitLocker:
      Padrão da linha de base: permitir a senha de recuperação de 48 dígitos

    • Permitir agente de recuperação de dados
      Padrão de linha de base: True

    • Configurar o armazenamento das informações de recuperação do BitLocker para o AD DS:
      Padrão da linha de base: armazenar senhas de recuperação e pacotes-chave

  • Habilitar o uso da autenticação BitLocker que exija entrada de teclado de pré-inicialização em lousas
    Padrão de linha de base: habilitado
    Saiba mais

  • Impor o tipo de criptografia de unidade na unidade do sistema operacional
    Padrão de linha de base: habilitado
    Saiba Mais

    • Selecione o tipo de criptografia: (Dispositivo)
      Padrão de linha de base: criptografia somente espaço usado
  • Exigir autenticação adicional na inicialização
    Padrão de linha de base: habilitado
    Saiba Mais

    • Configurar a chave de inicialização do TPM e o PIN:
      Padrão de linha de base: não permitir chave de inicialização e PIN com TPM

    • Permitir o BitLocker sem um TPM compatível (requer uma senha ou uma chave de inicialização em uma unidade flash USB)
      Padrão de linha de base: False

    • Configurar a inicialização do TPM:
      Padrão de linha de base: permitir TPM

    • Configurar o PIN de inicialização do TPM:
      Padrão de linha de base: permitir PIN de inicialização com TPM

    • Configurar a chave de inicialização do TPM:
      Padrão da linha de base: não permitir a chave de inicialização com o TPM

Unidades de dados removíveis de criptografia > de unidade do Windows Components > BitLocker

  • Controlar o uso do BitLocker em unidades removíveis
    Padrão de linha de base: habilitado
    Saiba Mais

    • Permitir que os usuários apliquem a proteção BitLocker em unidades de dados removíveis (Dispositivo)
      Padrão de linha de base: True

      • Impor tipo de criptografia de unidade em unidades de dados removíveis
        Padrão de linha de base: habilitado
        Saiba Mais

        • Selecione o tipo de criptografia: (Dispositivo)
          Padrão de linha de base: criptografia somente espaço usado
    • Permitir que os usuários suspendam e descriptografem a proteção do BitLocker em unidades de dados removíveis (Dispositivo)
      Padrão de linha de base: False

  • Negar acesso de gravação a unidades removíveis não protegidas pelo BitLocker
    Padrão de linha de base: habilitado
    Saiba Mais

    • Não permitir acesso de gravação a dispositivos configurados em outra organização
      Padrão de linha de base: False

Componentes > do Windows Explorador de Arquivos

  • Configurar Windows Defender SmartScreen
    Padrão de linha de base: habilitado
    Saiba mais

    • Escolha uma das seguintes configurações: (Dispositivo)
      Padrão da linha de base: avisar e impedir o bypass

Explorer de Internet de Componentes > do Windows

  • Evitar ignorar avisos do Filtro SmartScreen sobre arquivos que não são normalmente baixados da Internet
    Padrão de linha de base: habilitado
    Saiba Mais

  • Evitar ignorar avisos do Filtro SmartScreen sobre arquivos que não são normalmente baixados da Internet (Usuário)
    Padrão de linha de base: habilitado
    Saiba Mais

  • Impedir o gerenciamento do Filtro SmartScreen
    Padrão de linha de base: habilitado
    Saiba Mais

    • Selecione Modo filtro SmartScreen
      Padrão de linha de base: Ativado

BitLocker

  • Permitir aviso para outra criptografia de disco
    Padrão de linha de base: habilitado
    Saiba Mais

  • Configurar a rotação de senha de recuperação
    Padrão de linha de base: atualizar para dispositivos ingressados em Azure AD e híbridos
    Saiba Mais

  • Exigir Criptografia do Dispositivo
    Padrão de linha de base: habilitado
    Saiba Mais

Defender

  • Permitir a verificação de arquivos
    Padrão de linha de base: permitido. Verifica os arquivos de arquivo.
    Saiba Mais

  • Permitir monitoramento de comportamento
    Padrão de linha de base: permitido. Ativa o monitoramento de comportamento em tempo real.
    Saiba Mais

  • Permitir Proteção na Nuvem
    Padrão de linha de base: permitido. Ativa a Proteção na Nuvem.
    Saiba Mais

  • Permitir verificação de Email
    Padrão de linha de base: permitido. Ativa a verificação de email.
    Saiba Mais

  • Permitir verificação completa da verificação de unidade removível
    Padrão de linha de base: permitido. Verifica unidades removíveis.
    Saiba Mais

  • Permitir a Proteção de Acesso
    Padrão de linha de base: permitido.
    Saiba Mais

  • Permitir monitoramento em tempo real
    Padrão de linha de base: permitido. Ativa e executa o serviço de monitoramento em tempo real.
    Saiba Mais

  • Permitir a verificação de arquivos de rede
    Padrão de linha de base: permitido. Verifica arquivos de rede.
    Saiba Mais

  • Permitir a verificação de todos os arquivos e anexos baixados
    Padrão de linha de base: permitido.
    Saiba Mais

  • Permitir a verificação de script
    Padrão de linha de base: permitido.
    Saiba Mais

  • Permitir acesso à interface do usuário
    Padrão de linha de base: permitido. Permite que os usuários acessem a interface do usuário.
    Saiba Mais

    • Bloquear a execução de scripts potencialmente ofuscados
      Padrão de linha de base: Desativado
      Saiba Mais

    • Bloquear chamadas de API win32 de macros do Office
      Padrão de linha de base: Desativado
      Saiba Mais

    • Bloquear a execução de arquivos executáveis, a menos que eles atendam a um critério de prevalência, idade ou lista confiável
      Padrão de linha de base: Desativado
      Saiba Mais

    • Bloquear o aplicativo de comunicação do Office de criar processos filho
      Padrão de linha de base: Desativado
      Saiba Mais

    • Bloquear todos os aplicativos do Office de criar processos filho
      Padrão de linha de base: Desativado
      Saiba Mais

    • Bloquear JavaScript ou VBScript de iniciar conteúdo executável baixado
      Padrão de linha de base: Desativado
      Saiba Mais

    • Bloquear a criação do Webshell para Servidores
      Padrão de linha de base: Desativado
      Saiba Mais

    • Bloquear processos não confiáveis e sem sinal que são executados no USB
      Padrão de linha de base: Desativado
      Saiba Mais

    • Impedir o Adobe Reader de criar processos filho
      Padrão de linha de base: Desativado
      Saiba Mais

    • Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows
      Padrão de linha de base: Desativado
      Saiba Mais

    • Bloquear o abuso de drivers conectados vulneráveis explorados (dispositivo)
      Padrão de linha de base: Desativado
      Saiba Mais

    • Bloquear a persistência por meio da assinatura de evento WMI
      Padrão de linha de base: Desativado
      Saiba Mais

    • [VERSÃO PRÉVIA] Bloquear o uso de ferramentas de sistema copiadas ou representadas
      Padrão de linha de base: Desativado
      Saiba mais

    • Bloquear criações de processo originadas de comandos PSExec e WMI
      Padrão de linha de base: Desativado
      Saiba Mais

    • Bloquear aplicativos do Office de criar conteúdo executável
      Padrão de linha de base: Desativado
      Saiba Mais

    • Bloquear aplicativos do Office de injetar código em outros processos
      Padrão de linha de base: Desativado
      Saiba Mais

    • [VERSÃO PRÉVIA] Bloquear o computador de reinicialização no Modo de Segurança
      Padrão de linha de base: Desativado
      Saiba Mais

    • Usar proteção avançada contra ransomware
      Padrão de linha de base: Desativado
      Saiba mais

    • Bloquear conteúdo executável do cliente de email e do webmail
      Padrão de linha de base: Desativado
      Saiba Mais

  • Verificar se há assinaturas antes de executar a verificação
    Padrão de linha de base: habilitado
    Saiba Mais

  • Nível de bloco de nuvem
    Padrão de linha de base: alto
    Saiba Mais

  • Tempo limite estendido na nuvem
    Padrão de linha de base: configurado
    Valor: 50
    Saiba Mais

  • Desabilitar mesclagem de Administração local
    Padrão de linha de base: habilitar a mesclagem de Administração local
    Saiba Mais

  • Habilitar a Proteção de Rede
    Padrão de linha de base: habilitado (modo de bloco)
    Saiba Mais

  • Ocultar exclusões de administradores locais
    Padrão de linha de base: se você habilitar essa configuração, os administradores locais não poderão mais ver a lista de exclusão no aplicativo Segurança do Windows ou por meio do PowerShell.
    Saiba Mais

  • Ocultar exclusões de usuários locais
    Padrão de linha de base: se você habilitar essa configuração, os usuários locais não poderão mais ver a lista de exclusão no aplicativo Segurança do Windows ou por meio do PowerShell.
    Saiba Mais

  • Habilitar o Oobe Rtp e a Atualização de Sig
    Padrão de linha de base: se você habilitar essa configuração, a proteção em tempo real e o Atualizações de Inteligência de Segurança serão habilitados durante o OOBE.
    Saiba mais

  • Proteção PUA
    Padrão de linha de base: PUA Protection ativado. Os itens detectados estão bloqueados. Eles aparecerão na história junto com outras ameaças.
    Saiba Mais

  • Direção de verificação em tempo real
    Padrão da linha de base: monitorar todos os arquivos (bidirecionais).
    Saiba mais

  • Parâmetro De verificação
    Padrão da linha de base: verificação rápida
    Saiba mais

  • Agendar tempo de verificação rápida
    Padrão de linha de base: configurado
    Valor: 120
    Saiba mais

  • Agendar Dia da Verificação
    Padrão da linha de base: todos os dias
    Saiba mais

  • Tempo de verificação de agendamento
    Padrão de linha de base: configurado
    Valor: 120
    Saiba mais

  • Intervalo de atualização de assinatura
    Padrão de linha de base: configurado
    Valor: 4
    Saiba Mais

  • Enviar consentimento de exemplos
    Padrão de linha de base: enviar todos os exemplos automaticamente.
    Saiba Mais

Device Guard

  • Credential Guard
    Padrão da linha de base: (Habilitado com bloqueio UEFI) Ativa o Credential Guard com bloqueio UEFI.
    Saiba Mais

Dma Guard

  • Política de Enumeração de Dispositivo
    Padrão da linha de base: bloquear tudo (mais restritivo)
    Saiba Mais

Firewall

  • Verificação da lista de revogação de certificado
    Padrão de linha de base: nenhum
    Saiba mais

  • Desabilitar ftp com estado
    Padrão de linha de base: True
    Saiba Mais

  • Habilitar o Firewall de Rede de Domínio
    Padrão de linha de base: True
    Saiba Mais

    • Desabilitar isenção de pacote protegido do modo furtivo Ipsec
      Padrão de linha de base: True
      Saiba Mais

    • Desabilitar o modo furtivo
      Padrão de linha de base: False
      Saiba Mais

    • Permitir mesclagem de política do Ipsec local
      Padrão de linha de base: True
      Saiba Mais

    • Desabilitar notificações de entrada
      Padrão de linha de base: True
      Saiba Mais

    • Portas globais permitem mesclagem de pref do usuário
      Padrão de linha de base: True
      Saiba Mais

    • Desabilitar respostas unicast à transmissão multicast
      Padrão de linha de base: False
      Saiba Mais

    • Permitir mesclagem de política local
      Padrão de linha de base: True
      Saiba Mais

  • Habilitar fila de pacotes
    Padrão de linha de base: configurado
    Saiba Mais

  • Habilitar o Firewall de Rede Privada
    Padrão de linha de base: True
    Saiba Mais

    • Ação de entrada padrão para perfil privado
      Padrão de linha de base: True
      Saiba Mais

    • Desabilitar respostas unicast à transmissão multicast
      Padrão de linha de base: False
      Saiba Mais

    • Desabilitar o modo furtivo
      Padrão de linha de base: False
      Saiba Mais

    • Portas globais permitem mesclagem de pref do usuário
      Padrão de linha de base: True
      Saiba Mais

    • Permitir mesclagem de política do Ipsec local
      Padrão de linha de base: True
      Saiba Mais

    • Desabilitar isenção de pacote protegido do modo furtivo Ipsec
      Padrão de linha de base: True
      Saiba Mais

    • Permitir mesclagem de política local
      Padrão de linha de base: True
      Saiba Mais

    • Ação de saída padrão
      Padrão de linha de base: permitir
      Saiba Mais

    • Aplicativos de auth permitem a mesclagem de pref do usuário
      Padrão de linha de base: True
      Saiba Mais

    • Desabilitar notificações de entrada
      Padrão de linha de base: True
      Saiba Mais

  • Habilitar o Firewall de Rede Pública
    Padrão de linha de base: True
    Saiba mais

    • Desabilitar o modo furtivo
      Padrão de linha de base: False
      Saiba mais

    • Ação de saída padrão
      Padrão de linha de base: permitir
      Saiba mais

    • Desabilitar notificações de entrada
      Padrão de linha de base: True
      Saiba mais

    • Desabilitar isenção de pacote protegido do modo furtivo Ipsec
      Padrão de linha de base: True
      Saiba mais

    • Ação de entrada padrão para perfil público
      Padrão da linha de base: Bloquear
      Saiba Mais

    • Portas globais permitem mesclagem de pref do usuário
      Padrão de linha de base: True
      Saiba Mais

    • Permitir mesclagem de política local
      Padrão de linha de base: True
      Saiba Mais

    • Permitir mesclagem de política do Ipsec local
      Padrão de linha de base: True
      Saiba Mais

    • Aplicativos de auth permitem a mesclagem de pref do usuário
      Padrão de linha de base: True
      Saiba Mais

    • Desabilitar respostas unicast à transmissão multicast
      Padrão de linha de base: False
      Saiba Mais

  • Codificação de chave pré-compartilhada
    Padrão de linha de base: UTF8
    Saiba Mais

  • Tempo ocioso da associação de segurança
    Padrão de linha de base: configurado
    Valor: 300
    Saiba mais

Microsoft Edge

  • Configurar Microsoft Defender SmartScreen
    Padrão de linha de base: habilitado

  • Configurar Microsoft Defender SmartScreen para bloquear aplicativos potencialmente indesejados
    Padrão de linha de base: habilitado

  • Habilitar Microsoft Defender solicitações de DNS smartscreen
    Padrão de linha de base: habilitado

  • Habilitar nova biblioteca SmartScreen
    Padrão de linha de base: habilitado

  • Forçar Microsoft Defender verificações do SmartScreen em downloads de fontes confiáveis
    Padrão de linha de base: habilitado

  • Evitar ignorar Microsoft Defender solicitações smartscreen para sites
    Padrão de linha de base: habilitado

  • Impedir o bypass de avisos Microsoft Defender SmartScreen sobre downloads
    Padrão de linha de base: habilitado

Regras de redução de superfície de ataque

As regras de redução de superfície de ataque dão suporte a uma fusão de configurações de políticas diferentes, para criar um superconjunto de política para cada dispositivo. Somente as configurações que não estão em conflito são mescladas. As configurações que estão em conflito não são adicionadas ao superconjunto de regras. Anteriormente, se duas políticas incluíssem conflitos para uma única configuração, ambas as políticas seriam sinalizadas como em conflito e nenhuma configuração de nenhum dos perfis seria implantada.

O comportamento de mesclagem da regra de redução de superfície de ataque é o seguinte:

  • As regras de redução de superfície de ataque dos seguintes perfis são avaliadas para cada dispositivo a que as regras se aplicam:
    • Perfil de proteção de ponto de extremidade da política > de configuração > de dispositivos > Microsoft Defender Explorar a Redução de Superfície de Ataque do Guard >
    • Segurança do ponto de extremidade > Política > de redução de superfície de ataque Regras de redução de superfície de ataque
    • Linhas de base de segurança de segurança > do ponto de extremidade Microsoft Defender para Ponto de Extremidade regras de redução de superfície de ataque de linha de base>.>
  • Configurações que não têm conflitos são adicionadas a um superconjunto de política para o dispositivo.
  • Quando duas ou mais políticas têm configurações conflitantes, as configurações conflitantes não são adicionadas à política combinada, enquanto configurações que não entram em conflito são adicionadas à política de superconjunto que se aplica a um dispositivo.
  • Somente as configurações para configurações conflitantes são retidas.

Para saber mais, consulte Regras de redução de superfície de ataque na documentação Microsoft Defender para Ponto de Extremidade.

  • Impedir que aplicativos de comunicação do Office criem processos filho
    Padrão de linha de base: Habilitar
    Saiba mais

  • Impedir o Adobe Reader de criar processos filho
    Padrão de linha de base: Habilitar
    Saiba Mais

  • Bloquear aplicativos do Office de injetar código em outros processos
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Bloquear aplicativos do Office de criar conteúdo executável
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Bloquear JavaScript ou VBScript de iniciar conteúdo executável baixado
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Habilitar a proteção de rede
    Padrão de linha de base: Habilitar
    Saiba Mais

  • Bloquear processos não confiáveis e sem sinal que são executados no USB
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)
    Padrão de linha de base: Habilitar
    Saiba Mais

  • Bloquear o download de conteúdo executável de clientes de email e webmail
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Bloquear todos os aplicativos do Office de criar processos filho
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Bloquear a execução de scripts potencialmente ofuscados (js/vbs/ps)
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Bloquear chamadas de API win32 da macro do Office
    Padrão da linha de base: Bloquear
    Saiba Mais

Application Guard

Para obter mais informações, consulte WindowsDefenderApplicationGuard CSP na documentação do Windows.

Quando você usa o Microsoft Edge, Microsoft Defender Application Guard protege seu ambiente contra sites que não são confiáveis pela sua organização. Quando os usuários visitam sites que não estão listados no limite de rede isolado, os sites abrem em uma sessão de navegação virtual do Hyper-V. Sites confiáveis são definidos por um limite de rede.

  • Ativar Application Guard for Edge (Opções)
    Padrão da linha de base: habilitado para o Edge
    Saiba Mais

    • Bloquear conteúdo externo de sites não aprovados por empresas
      Padrão de linha de base: Sim
      Saiba Mais

    • Comportamento da área de transferência
      Padrão da linha de base: bloquear cópia e colar entre o computador e o navegador
      Saiba Mais

  • Política de isolamento de rede do Windows
    Padrão de linha de base: configurar
    Saiba Mais

    • Domínios de rede
      Padrão da linha de base: securitycenter.windows.com

BitLocker

  • Exigir que os cartões de armazenamento sejam criptografados (somente móveis)
    Padrão de linha de base: Sim
    Saiba mais

    Observação

    O suporte para Windows 10 Mobile e Windows Phone 8.1 terminou em agosto de 2020.

  • Habilitar a criptografia de disco completa para sistema operacional e unidades de dados fixas
    Padrão de linha de base: Sim
    Saiba Mais

  • Política da unidade de sistema do BitLocker
    Padrão de linha de base: configurar
    Saiba Mais

    • Configurar o método de criptografia para unidades do Sistema Operacional
      Padrão de linha de base: não configurado
      Saiba Mais
  • Política da unidade fixa do BitLocker
    Padrão de linha de base: configurar
    Saiba Mais

    • Bloquear o acesso de gravação a unidades de dados fixas não protegidas pelo BitLocker
      Padrão de linha de base: Sim
      Saiba Mais
      Essa configuração está disponível quando a política de unidade fixa do BitLocker é definida como Configurar.

    • Configurar o método de criptografia para unidades de dados fixas
      Padrão de linha de base: AES 128bit XTS
      Saiba Mais

  • Política da unidade removível do BitLocker
    Padrão de linha de base: configurar
    Saiba Mais

    • Configurar o método de criptografia para unidades de dados removíveis
      Padrão de linha de base: CBC de 128bits do AES
      Saiba Mais

    • Bloquear o acesso de gravação a unidades de dados removíveis não protegidas pelo BitLocker
      Padrão de linha de base: não configurado
      Saiba Mais

  • Estados de espera ao dormir durante a bateria Padrão de linha de base: desabilitado
    Saiba Mais

  • Estado de espera ao dormir enquanto está conectado
    Padrão de linha de base: desabilitado
    Saiba Mais

  • Habilitar a criptografia de disco completa para sistema operacional e unidades de dados fixas
    Padrão de linha de base: Sim
    Saiba Mais

  • Política da unidade de sistema do BitLocker
    Padrão de linha de base: configurar
    Saiba Mais

    • Autenticação de inicialização necessária
      Padrão de linha de base: Sim
      Saiba Mais

    • PIN de inicialização TPM compatível
      Padrão de linha de base: permitido
      Saiba Mais

    • Chave de inicialização TPM compatível
      Padrão da linha de base: obrigatório
      Saiba Mais

    • Desabilitar o BitLocker em dispositivos em que o TPM é incompatível
      Padrão de linha de base: Sim
      Saiba Mais

    • Configurar o método de criptografia para unidades do Sistema Operacional
      Padrão de linha de base: não configurado
      Saiba mais

  • Política da unidade fixa do BitLocker
    Padrão de linha de base: configurar
    Saiba Mais

    • Bloquear o acesso de gravação a unidades de dados fixas não protegidas pelo BitLocker
      Padrão de linha de base: Sim
      Saiba mais
      Essa configuração está disponível quando a política de unidade fixa do BitLocker é definida como Configurar.

    • Configurar o método de criptografia para unidades de dados fixas
      Padrão de linha de base: AES 128bit XTS
      Saiba mais

  • Política da unidade removível do BitLocker
    Padrão de linha de base: configurar
    Saiba mais

    • Configurar o método de criptografia para unidades de dados removíveis
      Padrão de linha de base: CBC de 128bits do AES
      Saiba Mais

    • Bloquear o acesso de gravação a unidades de dados removíveis não protegidas pelo BitLocker
      Padrão de linha de base: não configurado
      Saiba mais

  • Política da unidade de sistema do BitLocker
    Padrão de linha de base: configurar
    Saiba Mais

    • Autenticação de inicialização necessária
      Padrão de linha de base: Sim
      Saiba Mais

    • PIN de inicialização TPM compatível
      Padrão de linha de base: permitido
      Saiba Mais

    • Chave de inicialização TPM compatível
      Padrão da linha de base: obrigatório
      Saiba Mais

    • Desabilitar o BitLocker em dispositivos em que o TPM é incompatível
      Padrão de linha de base: Sim
      Saiba mais

    • Configurar o método de criptografia para unidades do Sistema Operacional
      Padrão de linha de base: não configurado
      Saiba Mais

  • Estados de espera ao dormir durante a bateria Padrão de linha de base: desabilitado
    Saiba Mais

  • Estado de espera ao dormir enquanto está conectado
    Padrão de linha de base: desabilitado
    Saiba Mais

  • Habilitar a criptografia de disco completa para sistema operacional e unidades de dados fixas
    Padrão de linha de base: Sim
    Saiba Mais

  • Política da unidade fixa do BitLocker
    Padrão de linha de base: configurar
    Saiba Mais

    • Bloquear o acesso de gravação a unidades de dados fixas não protegidas pelo BitLocker
      Padrão de linha de base: Sim
      Saiba Mais
      Essa configuração está disponível quando a política de unidade fixa do BitLocker é definida como Configurar.

    • Configurar o método de criptografia para unidades de dados fixas
      Padrão de linha de base: AES 128bit XTS
      Saiba Mais

  • Política da unidade removível do BitLocker
    Padrão de linha de base: configurar
    Saiba Mais

    • Configurar o método de criptografia para unidades de dados removíveis
      Padrão de linha de base: CBC de 128bits do AES
      Saiba Mais

    • Bloquear o acesso de gravação a unidades de dados removíveis não protegidas pelo BitLocker
      Padrão de linha de base: não configurado
      Saiba Mais

Navegador

  • Exigir SmartScreen para Microsoft Edge
    Padrão de linha de base: Sim
    Saiba Mais

  • Bloquear o acesso mal-intencionado ao site
    Padrão de linha de base: Sim
    Saiba mais

  • Bloquear o download de arquivo não verificado
    Padrão de linha de base: Sim
    Saiba Mais

Proteção de Dados

  • Bloquear o acesso direto à memória
    Padrão de linha de base: Sim
    Saiba mais

Device Guard

  • Ativar o guarda de credencial
    Padrão da linha de base: habilitar com o bloqueio UEFI
    Saiba mais

Instalação do dispositivo

  • Instalação do dispositivo de hardware por identificadores de dispositivo
    Padrão da linha de base: bloquear a instalação do dispositivo de hardware
    Saiba mais

    • Remover dispositivos de hardware correspondentes Padrão de linha de base: Sim

    • Identificadores de dispositivo de hardware bloqueados
      Padrão de linha de base: não configurado por padrão. Adicione manualmente um ou mais identificadores de dispositivo.

  • Instalação do dispositivo de hardware por classes de instalação
    Padrão da linha de base: bloquear a instalação do dispositivo de hardware
    Saiba Mais

    • Remover dispositivos de hardware correspondentes Padrão de linha de base: não configurado

    • Identificadores de dispositivo de hardware bloqueados Padrão de linha de base: não configurado por padrão. Adicione manualmente um ou mais identificadores de dispositivo.

  • Bloquear a instalação do dispositivo de hardware por classes de instalação:
    Padrão de linha de base: Sim
    Saiba Mais

    • Remover dispositivos de hardware correspondentes:
      Padrão de linha de base: Sim

    • Lista de blocos
      Padrão de linha de base: não configurado por padrão. Adicione manualmente uma ou mais identificadores exclusivos de classe de configuração globalmente.

Guarda DMA

  • Enumeração de dispositivos externos incompatíveis com o Kernel DMA Protection
    Padrão da linha de base: bloquear tudo
    Saiba Mais
  • Enumeração de dispositivos externos incompatíveis com o Kernel DMA Protection
    Padrão de linha de base: não configurado
    Saiba Mais

EDR

  • Compartilhamento de exemplo para todos os arquivos
    Padrão de linha de base: Sim
    Saiba mais

  • Agilizar a frequência de relatórios de telemetria
    Padrão de linha de base: Sim
    Saiba mais

Firewall

  • Protocolo de transferência de arquivo com estado (FTP)
    Padrão de linha de base: desabilitado
    Saiba mais

  • Número de segundos em que uma associação de segurança pode ficar ociosa antes de ser excluída
    Padrão da linha de base: 300
    Saiba Mais

  • Codificação de chave pré-compartilhada
    Padrão de linha de base: UTF8
    Saiba Mais

  • Verificação de CRL (lista de revogação de certificado)
    Padrão de linha de base: não configurado
    Saiba Mais

  • Enfileiramento de pacotes
    Padrão de linha de base: não configurado
    Saiba Mais

  • Perfil de firewall privado
    Padrão de linha de base: configurar
    Saiba Mais

    • Conexões de entrada bloqueadas
      Padrão de linha de base: Sim
      Saiba Mais

    • Respostas unicast a transmissões multicast necessárias
      Padrão de linha de base: Sim
      Saiba Mais

    • Conexões de saída necessárias
      Padrão de linha de base: Sim
      Saiba Mais

    • Notificações de entrada bloqueadas
      Padrão de linha de base: Sim
      Saiba Mais

    • Regras de porta globais da política de grupo mescladas
      Padrão de linha de base: Sim
      Saiba Mais

    • Firewall habilitado
      Padrão de linha de base: permitido
      Saiba Mais

    • Regras de aplicativo autorizadas da política de grupo não mescladas
      Padrão de linha de base: Sim
      Saiba Mais

    • Regras de segurança de conexão da política de grupo não mescladas
      Padrão de linha de base: Sim
      Saiba Mais

    • Tráfego de entrada necessário
      Padrão de linha de base: Sim
      Saiba Mais

    • Regras de política da política de grupo não mescladas
      Padrão de linha de base: Sim
      Saiba Mais

  • Modo furtivo bloqueado
    Padrão de linha de base: Sim
    Saiba Mais
  • Público do perfil de firewall
    Padrão de linha de base: configurar
    Saiba Mais

    • Conexões de entrada bloqueadas
      Padrão de linha de base: Sim
      Saiba Mais

    • Respostas unicast a transmissões multicast necessárias
      Padrão de linha de base: Sim
      Saiba Mais

    • Conexões de saída necessárias
      Padrão de linha de base: Sim
      Saiba Mais

    • Regras de aplicativo autorizadas da política de grupo não mescladas
      Padrão de linha de base: Sim**
      Saiba Mais

    • Notificações de entrada bloqueadas
      Padrão de linha de base: Sim
      Saiba Mais

    • Regras de porta globais da política de grupo mescladas
      Padrão de linha de base: Sim
      Saiba Mais

    • Firewall habilitado
      Padrão de linha de base: permitido
      Saiba Mais

    • Regras de segurança de conexão da política de grupo não mescladas
      Padrão de linha de base: Sim
      Saiba Mais

    • Tráfego de entrada necessário
      Padrão de linha de base: Sim
      Saiba Mais

    • Regras de política da política de grupo não mescladas
      Padrão de linha de base: Sim
      Saiba Mais

  • Modo furtivo bloqueado
    Padrão de linha de base: Sim
    Saiba Mais
  • Domínio do perfil do firewall
    Padrão de linha de base: configurar
    Saiba Mais

    • Respostas unicast a transmissões multicast necessárias
      Padrão de linha de base: Sim
      Saiba Mais

    • Regras de aplicativo autorizadas da política de grupo não mescladas
      Padrão de linha de base: Sim
      Saiba Mais

    • Notificações de entrada bloqueadas
      Padrão de linha de base: Sim
      Saiba Mais

    • Regras de porta globais da política de grupo mescladas
      Padrão de linha de base: Sim
      Saiba mais

    • Firewall habilitado
      Padrão de linha de base: permitido
      Saiba mais

    • Regras de segurança de conexão da política de grupo não mescladas
      Padrão de linha de base: Sim
      Saiba mais

    • Regras de política da política de grupo não mescladas
      Padrão de linha de base: Sim
      Saiba Mais

  • Modo furtivo bloqueado
    Padrão de linha de base: Sim
    Saiba Mais

Microsoft Defender

  • Ativar a proteção em tempo real
    Padrão de linha de base: Sim
    Saiba mais

  • Tempo adicional (0 a 50 segundos) para estender o tempo limite de proteção na nuvem
    Padrão da linha de base: 50
    Saiba Mais

  • Examinar todos os arquivos e anexos baixados
    Padrão de linha de base: Sim
    Saiba Mais

  • Tipo de verificação
    Padrão da linha de base: verificação rápida
    Saiba Mais

  • Dia de verificação de agendamento do Defender:
    Padrão da linha de base: todos os dias

  • Hora de início da verificação do Defender:
    Padrão de linha de base: não configurado

  • Consentimento de envio de exemplo do Defender
    Padrão de linha de base: enviar amostras seguras automaticamente
    Saiba Mais

  • Nível de proteção entregue pela nuvem
    Padrão de linha de base: alto
    Saiba Mais

  • Verificar unidades removíveis durante a verificação completa
    Padrão de linha de base: Sim
    Saiba Mais

  • Ação de aplicativo potencialmente indesejada do Defender
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Ativar a proteção fornecida pela nuvem
    Padrão de linha de base: Sim
    Saiba mais

  • Ativar a proteção em tempo real
    Padrão de linha de base: Sim
    Saiba mais

  • Tempo adicional (0 a 50 segundos) para estender o tempo limite de proteção na nuvem
    Padrão da linha de base: 50
    Saiba Mais

  • Examinar todos os arquivos e anexos baixados
    Padrão de linha de base: Sim
    Saiba Mais

  • Tipo de verificação
    Padrão da linha de base: verificação rápida
    Saiba Mais

  • Consentimento de envio de exemplo do Defender
    Padrão de linha de base: enviar amostras seguras automaticamente
    Saiba Mais

  • Nível de proteção entregue pela nuvem
    Padrão de linha de base: alto
    Saiba Mais

  • Verificar unidades removíveis durante a verificação completa
    Padrão de linha de base: Sim
    Saiba Mais

  • Ação de aplicativo potencialmente indesejada do Defender
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Ativar a proteção fornecida pela nuvem
    Padrão de linha de base: Sim
    Saiba Mais

  • Executar uma verificação rápida diária em
    Padrão da linha de base: 2 AM
    Saiba Mais

  • Hora de início da verificação agendada
    Padrão da linha de base: 2 AM

  • Configurar a baixa prioridade da CPU para verificações agendadas
    Padrão de linha de base: Sim
    Saiba Mais

  • Impedir que aplicativos de comunicação do Office criem processos filho
    Padrão de linha de base: Habilitar
    Saiba Mais

  • Impedir o Adobe Reader de criar processos filho
    Padrão de linha de base: Habilitar
    Saiba Mais

  • Verificar mensagens de email de entrada
    Padrão de linha de base: Sim
    Saiba Mais

  • Ativar a proteção em tempo real
    Padrão de linha de base: Sim
    Saiba Mais

  • Número de dias (0-90) para manter o malware em quarentena
    Padrão de linha de base: 0
    Saiba Mais

  • Agenda de verificação do sistema defender
    Padrão de linha de base: definido pelo usuário
    Saiba Mais

  • Tempo adicional (0 a 50 segundos) para estender o tempo limite de proteção na nuvem
    Padrão da linha de base: 50
    Saiba mais

  • Examinar unidades de rede mapeadas durante uma verificação completa
    Padrão de linha de base: Sim
    Saiba Mais

  • Ativar a proteção de rede
    Padrão de linha de base: Sim
    Saiba mais

  • Examinar todos os arquivos e anexos baixados
    Padrão de linha de base: Sim
    Saiba Mais

  • Bloquear a proteção de acesso
    Padrão de linha de base: não configurado
    Saiba Mais

  • Examinar scripts do navegador
    Padrão de linha de base: Sim
    Saiba Mais

  • Bloquear o acesso do usuário ao aplicativo Microsoft Defender
    Padrão de linha de base: Sim
    Saiba mais

  • Uso máximo de CPU permitido (0-100 por cento) por verificação
    Padrão da linha de base: 50
    Saiba Mais

  • Tipo de verificação
    Padrão da linha de base: verificação rápida
    Saiba Mais

  • Insira com que frequência (de 0 a 24 horas) para marcar para atualizações de inteligência de segurança
    Padrão da linha de base: 8
    Saiba Mais

  • Consentimento de envio de exemplo do Defender
    Padrão de linha de base: enviar amostras seguras automaticamente
    Saiba Mais

  • Nível de proteção entregue pela nuvem
    Padrão de linha de base: *Não configurado
    Saiba Mais

  • Examinar arquivos de arquivo
    Padrão de linha de base: Sim
    Saiba Mais

  • Ativar o monitoramento de comportamento
    Padrão de linha de base: Sim
    Saiba Mais

  • Verificar unidades removíveis durante a verificação completa
    Padrão de linha de base: Sim
    Saiba Mais

  • Examinar arquivos de rede
    Padrão de linha de base: Sim
    Saiba Mais

  • Ação de aplicativo potencialmente indesejada do Defender
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Ativar a proteção fornecida pela nuvem
    Padrão de linha de base: Sim
    Saiba Mais

  • Bloquear aplicativos do Office de injetar código em outros processos
    Padrão da linha de base: Bloquear
    Saiba mais

  • Bloquear aplicativos do Office de criar conteúdo executável
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Bloquear JavaScript ou VBScript de iniciar conteúdo executável baixado
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Habilitar a proteção de rede
    Padrão da linha de base: modo de auditoria
    Saiba Mais

  • Bloquear processos não confiáveis e sem sinal que são executados no USB
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)
    Padrão de linha de base: Habilitar
    Saiba Mais

  • Bloquear o download de conteúdo executável de clientes de email e webmail
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Bloquear todos os aplicativos do Office de criar processos filho
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Bloquear a execução de scripts potencialmente ofuscados (js/vbs/ps)
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Bloquear chamadas de API win32 da macro do Office
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Executar uma verificação rápida diária em
    Padrão da linha de base: 2 AM
    Saiba Mais

  • Hora de início da verificação agendada
    Padrão da linha de base: 2 AM

  • Configurar a baixa prioridade da CPU para verificações agendadas
    Padrão de linha de base: Sim
    Saiba Mais

  • Impedir que aplicativos de comunicação do Office criem processos filho
    Padrão de linha de base: Habilitar
    Saiba Mais

  • Impedir o Adobe Reader de criar processos filho
    Padrão de linha de base: Habilitar
    Saiba Mais

  • Verificar mensagens de email de entrada
    Padrão de linha de base: Sim
    Saiba mais

  • Ativar a proteção em tempo real
    Padrão de linha de base: Sim
    Saiba mais

  • Número de dias (0-90) para manter o malware em quarentena
    Padrão de linha de base: 0
    Saiba mais

  • Agenda de verificação do sistema defender
    Padrão de linha de base: definido pelo usuário
    Saiba mais

  • Tempo adicional (0 a 50 segundos) para estender o tempo limite de proteção na nuvem
    Padrão da linha de base: 50
    Saiba mais

  • Examinar unidades de rede mapeadas durante uma verificação completa
    Padrão de linha de base: Sim
    Saiba mais

  • Ativar a proteção de rede
    Padrão de linha de base: Sim
    Saiba mais

  • Examinar todos os arquivos e anexos baixados
    Padrão de linha de base: Sim
    Saiba Mais

  • Bloquear a proteção de acesso
    Padrão de linha de base: não configurado
    Saiba Mais

  • Examinar scripts do navegador
    Padrão de linha de base: Sim
    Saiba Mais

  • Bloquear o acesso do usuário ao aplicativo Microsoft Defender
    Padrão de linha de base: Sim
    Saiba Mais

  • Uso máximo de CPU permitido (0-100 por cento) por verificação
    Padrão da linha de base: 50
    Saiba Mais

  • Tipo de verificação
    Padrão da linha de base: verificação rápida
    Saiba Mais

  • Insira com que frequência (de 0 a 24 horas) para marcar para atualizações de inteligência de segurança
    Padrão da linha de base: 8
    Saiba Mais

  • Consentimento de envio de exemplo do Defender
    Padrão de linha de base: enviar amostras seguras automaticamente
    Saiba Mais

  • Nível de proteção entregue pela nuvem
    Padrão de linha de base: *Não configurado
    Saiba Mais

  • Examinar arquivos de arquivo
    Padrão de linha de base: Sim
    Saiba Mais

  • Ativar o monitoramento de comportamento
    Padrão de linha de base: Sim
    Saiba Mais

  • Verificar unidades removíveis durante a verificação completa
    Padrão de linha de base: Sim
    Saiba mais

  • Examinar arquivos de rede
    Padrão de linha de base: Sim
    Saiba Mais

  • Ação de aplicativo potencialmente indesejada do Defender
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Ativar a proteção fornecida pela nuvem
    Padrão de linha de base: Sim
    Saiba mais

  • Bloquear aplicativos do Office de injetar código em outros processos
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Bloquear aplicativos do Office de criar conteúdo executável
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Bloquear JavaScript ou VBScript de iniciar conteúdo executável baixado
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Habilitar a proteção de rede
    Padrão da linha de base: modo de auditoria
    Saiba Mais

  • Bloquear processos não confiáveis e sem sinal que são executados no USB
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)
    Padrão de linha de base: Habilitar
    Saiba Mais

  • Bloquear o download de conteúdo executável de clientes de email e webmail
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Bloquear todos os aplicativos do Office de criar processos filho
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Bloquear a execução de scripts potencialmente ofuscados (js/vbs/ps)
    Padrão da linha de base: Bloquear
    Saiba Mais

  • Bloquear chamadas de API win32 da macro do Office
    Padrão da linha de base: Bloquear
    Saiba Mais

Central de Segurança do Microsoft Defender.

  • Impedir que os usuários editem a interface de proteção do Exploit Guard
    Padrão de linha de base: Sim
    Saiba Mais

Tela Inteligente

  • Impedir que os usuários ignorem avisos do SmartScreen
    Padrão de linha de base: Sim
    Saiba Mais

  • Ativar o Windows SmartScreen
    Padrão de linha de base: Sim
    Saiba Mais

  • Exigir SmartScreen para Microsoft Edge
    Padrão de linha de base: Sim
    Saiba Mais

  • Bloquear o acesso mal-intencionado ao site
    Padrão de linha de base: Sim
    Saiba Mais

  • Bloquear o download de arquivo não verificado
    Padrão de linha de base: Sim
    Saiba Mais

  • Configurar Microsoft Defender SmartScreen
    Padrão de linha de base: habilitado

  • Evitar ignorar Microsoft Defender solicitações smartscreen para sites
    Padrão de linha de base: habilitado

  • Impedir o bypass de avisos Microsoft Defender SmartScreen sobre downloads
    Padrão de linha de base: habilitado

  • Configurar Microsoft Defender SmartScreen para bloquear aplicativos potencialmente indesejados
    Padrão de linha de base: habilitado

  • Exigir somente aplicativos da loja
    Padrão de linha de base: Sim

  • Ativar o Windows SmartScreen
    Padrão de linha de base: Sim
    Saiba Mais

Windows Hello para Empresas

Para obter mais informações, consulte PassportForWork CSP na documentação do Windows.

  • Bloquear Windows Hello para Empresas
    Padrão de linha de base: desabilitado

    • Letras minúsculas no PIN Padrão de linha de base: permitido

    • Caracteres especiais no PIN Padrão de linha de base: permitido

    • Letras maiúsculas no PIN Padrão de linha de base: permitido

Próximas etapas