Lista das definições na linha de base de segurança do Microsoft Defender para Endpoint no Intune
Este artigo é uma referência para as definições que estão disponíveis nas diferentes versões da linha de base de segurança do Microsoft Defender para Endpoint que pode implementar com o Microsoft Intune. Utilize os separadores para selecionar e ver as definições na versão de linha de base mais recente e algumas versões mais antigas que ainda podem estar a ser utilizadas.
Para cada definição, esta referência identifica a configuração predefinida das linhas de base, que é também a configuração recomendada para essa definição fornecida pela equipa de segurança relevante. Uma vez que os produtos e o panorama de segurança evoluem, as predefinições recomendadas numa versão de linha de base podem não corresponder às predefinições que encontrar em versões posteriores da mesma linha de base. Diferentes tipos de linha de base, como a segurança mdm e as linhas de base do Defender para Endpoint , também podem definir predefinições diferentes.
Quando a IU do Intune incluir uma ligação Saiba mais para uma definição, também poderá encontrá-la aqui. Utilize essa ligação para ver o fornecedor de serviços de configuração da política de definições (CSP) ou conteúdo relevante que explica a operação de definições.
Quando uma nova versão de uma linha de base fica disponível, substitui a versão anterior. Instâncias de perfis que são criadas antes da disponibilidade de uma nova versão:
- Torne-se só de leitura. Pode continuar a utilizar esses perfis, mas não pode editá-los para alterar a configuração.
- Pode ser atualizado para a versão mais recente. Depois de atualizar um perfil para a versão de linha de base atual, pode editar o perfil para modificar as definições.
Para saber mais sobre como utilizar linhas de base de segurança, veja Utilizar linhas de base de segurança. Nesse artigo, também encontrará informações sobre como:
- Altere a versão de linha de base de um perfil para atualizar um perfil para utilizar a versão mais recente dessa linha de base.
Versão 24H1 da linha de base do Microsoft Defender para Endpoint
Linha de base do Microsoft Defender para Ponto de Extremidade de dezembro de 2020 – versão 6
Linha de base do Microsoft Defender para Endpoint para setembro de 2020 – versão 5
Linha de base do Microsoft Defender para Ponto de Extremidade de abril de 2020 – versão 4
Linha de base do Microsoft Defender para Ponto de Extremidade de março de 2020 – versão 3
A linha de base do Microsoft Defender para Endpoint está disponível quando o seu ambiente cumpre os pré-requisitos para utilizar o Microsoft Defender para Endpoint.
Esta linha de base está otimizada para dispositivos físicos e não é recomendada para utilização em máquinas virtuais (VMs) ou pontos finais de VDI. Determinadas definições de linha de base podem afetar sessões interativas remotas em ambientes virtualizados. Para obter mais informações, confira Aumentar a conformidade com a linha de base de segurança do Microsoft Defender para Ponto de Extremidade na documentação do Windows.
Modelos administrativos
Restrições de Instalação de Dispositivos de Instalação > de Dispositivos de Sistema >
Impedir a instalação de dispositivos através de controladores que correspondam a estas classes de configuração de dispositivos
Predefinição da linha de base: ativado
Saiba MaisAplique-se também a dispositivos correspondentes já instalados.
Predefinição da linha de base: FalsoClasses Impedidas
Predefinição da linha de base: d48179be-ec20-11d1-b6b8-00c04fa372a7
Encriptação de Unidade BitLocker de Componentes > do Windows
Escolher o método de encriptação de unidade e a força da cifra (Windows 10 [Versão 1511] e posterior)
Predefinição da linha de base: ativado
Saiba MaisSelecione o método de encriptação para unidades de dados amovíveis:
Predefinição da linha base: AES-CBC de 128 bits (predefinição)Selecione o método de encriptação para unidades do sistema operativo:
Predefinição da linha base: XTS-AES de 128 bits (predefinição)Selecione o método de encriptação para unidades de dados fixas:
Predefinição da linha base: XTS-AES de 128 bits (predefinição)
Unidades de Dados Fixas > de Encriptação > de Unidade BitLocker de Componentes do Windows
Escolher como as unidades fixas protegidas pelo BitLocker podem ser recuperadas
Predefinição da linha de base: ativado
Saiba MaisNão ative o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas
Predefinição da linha de base: VerdadeiroPermitir agente de recuperação de dados
Predefinição da linha de base: VerdadeiroConfigurar o armazenamento de informações de recuperação do BitLocker para o AD DS:
Predefinição da linha de base: Palavras-passe de recuperação de cópias de segurança e pacotes de chavesValor: permitir chave de recuperação de 256 bits
Guardar informações de recuperação do BitLocker no AD DS para unidades de dados fixas
Predefinição da linha de base: VerdadeiroOmitir opções de recuperação do assistente de configuração do BitLocker
Predefinição da linha de base: VerdadeiroConfigurar o armazenamento de utilizadores das informações de recuperação do BitLocker:
Predefinição da linha de base: Permitir palavra-passe de recuperação de 48 dígitos
Negar o acesso de escrita a unidades fixas não protegidas pelo BitLocker
Predefinição da linha de base: ativado
Saiba MaisImpor tipo de criptografia de unidade em unidades de dados fixas
Predefinição da linha de base: ativado
Saiba Mais- Selecione o tipo de encriptação: (Dispositivo)
Predefinição da linha de base: encriptação Apenas Espaço Utilizado
- Selecione o tipo de encriptação: (Dispositivo)
Componentes > do Windows Unidade BitLocker Unidade > Unidades de Sistema Operativo
Permitir que os dispositivos conformes com InstantGo ou HSTI optem por não utilizar o PIN de pré-arranque.
Predefinição da linha base: Desativado
Saiba maisPermitir PINs aprimorados para inicialização
Predefinição da linha base: Desativado
Saiba maisEscolher como as unidades do sistema operativo protegidas pelo BitLocker podem ser recuperadas
Predefinição da linha de base: ativado
Saiba MaisOmitir opções de recuperação do assistente de configuração do BitLocker
Predefinição da linha de base: VerdadeiroValor: permitir chave de recuperação de 256 bits
Guardar informações de recuperação do BitLocker no AD DS para unidades do sistema operativo
Predefinição da linha de base: VerdadeiroNão ative o BitLocker até que as informações de recuperação estejam armazenadas no AD DS para unidades do sistema operativo
Predefinição da linha de base: VerdadeiroConfigurar o armazenamento de utilizadores das informações de recuperação do BitLocker:
Predefinição da linha de base: Permitir palavra-passe de recuperação de 48 dígitosPermitir agente de recuperação de dados
Predefinição da linha de base: VerdadeiroConfigurar o armazenamento de informações de recuperação do BitLocker para o AD DS:
Predefinição da linha de base: armazenar palavras-passe de recuperação e pacotes de chaves
Habilitar o uso da autenticação BitLocker que exija entrada de teclado de pré-inicialização em lousas
Predefinição da linha de base: ativado
Saiba maisImpor o tipo de encriptação de unidade na unidade do sistema operativo
Predefinição da linha de base: ativado
Saiba Mais- Selecione o tipo de encriptação: (Dispositivo)
Predefinição da linha de base: encriptação Apenas Espaço Utilizado
- Selecione o tipo de encriptação: (Dispositivo)
Exigir autenticação adicional no arranque
Predefinição da linha de base: ativado
Saiba MaisConfigurar o PIN e a chave de arranque do TPM:
Predefinição da linha de base: não permitir a chave de arranque e o PIN com o TPMPermitir o BitLocker sem um TPM compatível (requer uma palavra-passe ou uma chave de arranque numa pen USB)
Predefinição da linha de base: FalsoConfigurar o arranque do TPM:
Predefinição da linha de base: Permitir TPMConfigurar o PIN de arranque do TPM:
Predefinição da linha de base: Permitir PIN de arranque com o TPMConfigurar a chave de arranque do TPM:
Predefinição da linha de base: não permitir a chave de arranque com o TPM
Componentes > do Windows Unidade BitLocker Unidade > Unidade Amovível Unidades de Dados Amovíveis
Controlar o uso do BitLocker em unidades removíveis
Predefinição da linha de base: ativado
Saiba MaisPermitir que os utilizadores apliquem a proteção BitLocker em unidades de dados amovíveis (Dispositivo)
Predefinição da linha de base: VerdadeiroImpor tipo de criptografia de unidade em unidades de dados removíveis
Predefinição da linha de base: ativado
Saiba Mais- Selecione o tipo de encriptação: (Dispositivo)
Predefinição da linha de base: encriptação Apenas Espaço Utilizado
- Selecione o tipo de encriptação: (Dispositivo)
Permitir que os utilizadores suspendam e desencriptem a proteção do BitLocker em unidades de dados amovíveis (Dispositivo)
Predefinição da linha de base: Falso
Negar o acesso de escrita a unidades amovíveis não protegidas pelo BitLocker
Predefinição da linha de base: ativado
Saiba Mais- Não permitir o acesso de escrita a dispositivos configurados noutra organização
Predefinição da linha de base: Falso
- Não permitir o acesso de escrita a dispositivos configurados noutra organização
Explorador de Ficheiros de Componentes > do Windows
Configurar Windows Defender SmartScreen
Predefinição da linha de base: ativado
Saiba Mais- Escolha uma das seguintes definições: (Dispositivo)
Predefinição da linha de base: Avisar e evitar o bypass
- Escolha uma das seguintes definições: (Dispositivo)
Internet Explorer de Componentes > do Windows
Evitar ignorar avisos de Filtro SmartScreen sobre ficheiros que normalmente não são transferidos a partir da Internet
Predefinição da linha de base: ativado
Saiba MaisEvitar ignorar avisos do Filtro SmartScreen sobre ficheiros que normalmente não são transferidos a partir da Internet (Utilizador)
Predefinição da linha de base: ativado
Saiba MaisImpedir a gestão do Filtro SmartScreen
Predefinição da linha de base: ativado
Saiba Mais- Selecionar Modo de Filtro SmartScreen
Predefinição da linha de base: Ativado
- Selecionar Modo de Filtro SmartScreen
BitLocker
Permitir aviso para outra encriptação de disco
Predefinição da linha de base: ativado
Saiba MaisConfigurar a Rotação de Palavras-passe de Recuperação
Predefinição da linha de base: atualize para dispositivos associados ao Azure AD e associados à implementação híbrida
Saiba MaisExigir Criptografia do Dispositivo
Predefinição da linha de base: ativado
Saiba Mais
Defender
Permitir Análise de Arquivo
Predefinição da linha de base: permitido. Analisa os ficheiros de arquivo.
Saiba MaisPermitir Monitorização de Comportamento
Predefinição da linha de base: permitido. Ativa a monitorização de comportamento em tempo real.
Saiba MaisPermitir Proteção da Cloud
Predefinição da linha de base: permitido. Ativa a Proteção da Cloud.
Saiba MaisPermitir Análise de E-mail
Predefinição da linha de base: permitido. Ativa a análise de e-mail.
Saiba MaisPermitir Análise Completa da Unidade Amovível
Predefinição da linha de base: permitido. Analisa unidades amovíveis.
Saiba maisPermitir Proteção de Acesso
Predefinição da linha de base: permitido.
Saiba maisPermitir Monitorização em Tempo Real
Predefinição da linha de base: permitido. Ativa e executa o serviço de monitorização em tempo real.
Saiba maisPermitir Análise de Ficheiros de Rede
Predefinição da linha de base: permitido. Analisa ficheiros de rede.
Saiba MaisPermitir a análise de todos os ficheiros e anexos transferidos
Predefinição da linha de base: permitido.
Saiba MaisPermitir Análise de Scripts
Predefinição da linha de base: permitido.
Saiba MaisPermitir Acesso à IU do Utilizador
Predefinição da linha de base: permitido. Permite que os utilizadores acedam à IU.
Saiba MaisBloquear a execução de scripts potencialmente ocultados
Predefinição da linha de base: Bloquear
Saiba MaisBloquear chamadas à API Win32 a partir de macros do Office
Predefinição da linha de base: Bloquear
Saiba MaisBloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna
Predefinição da linha de base: Bloquear
Saiba MaisBloquear a criação de processos subordinados na aplicação de comunicação do Office
Predefinição da linha de base: Bloquear
Saiba MaisBloquear a criação de processos subordinados em todas as aplicações do Office
Predefinição da linha de base: Bloquear
Saiba MaisBloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido
Predefinição da linha de base: Bloquear
Saiba MaisBloquear a criação de Webshell para Servidores
Predefinição da linha de base: Bloquear
Saiba MaisBloquear processos não fidedignos e não assinados executados a partir de USB
Predefinição da linha de base: Bloquear
Saiba MaisImpedir o Adobe Reader de criar processos subordinados
Predefinição da linha de base: Bloquear
Saiba MaisBloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows
Predefinição da linha de base: Bloquear
Saiba MaisBloquear o abuso de controladores assinados vulneráveis explorados (Dispositivo)
Predefinição da linha de base: Bloquear
Saiba MaisBloquear a persistência através da subscrição de eventos WMI
Predefinição da linha de base: Bloquear
Saiba Mais[PRÉ-VISUALIZAÇÃO] Bloquear a utilização de ferramentas de sistema copiadas ou representadas
Predefinição da linha de base: Bloquear
Saiba MaisBloquear criações de processos com origem nos comandos PSExec e WMI
Predefinição da linha de base: Bloquear
Saiba MaisImpedir que as aplicações do Office criem conteúdos executáveis
Predefinição da linha de base: Bloquear
Saiba MaisBloquear a injeção de código nas aplicações do Office noutros processos
Predefinição da linha de base: Bloquear
Saiba Mais[PRÉ-VISUALIZAÇÃO] Bloquear o reinício da máquina no Modo de Segurança
Predefinição da linha de base: Bloquear
Saiba MaisUtilizar proteção avançada contra ransomware
Predefinição da linha de base: Bloquear
Saiba maisBloquear conteúdo executável do cliente de e-mail e do webmail
Predefinição da linha de base: Bloquear
Saiba Mais
Verificar a existência de assinaturas antes de executar a análise
Predefinição da linha de base: ativado
Saiba MaisNível de bloco de nuvem
Predefinição da linha de base: Alta
Saiba maisTempo Limite Alargado da Cloud
Predefinição da linha de base: Configurado
Valor: 50
Saiba MaisDesativar Intercalação de Administrador Local
Predefinição da linha de base: Ativar a Intercalação de Administrador Local
Saiba MaisAtivar a Proteção de Rede
Predefinição da linha de base: ativado (modo de bloco)
Saiba MaisOcultar Exclusões de Administradores Locais
Predefinição da linha de base: se ativar esta definição, os administradores locais deixarão de poder ver a lista de exclusão na Aplicação de Segurança do Windows ou através do PowerShell.
Saiba MaisOcultar Exclusões de Utilizadores Locais
Predefinição da linha de base: se ativar esta definição, os utilizadores locais deixarão de poder ver a lista de exclusão na Aplicação de Segurança do Windows ou através do PowerShell.
Saiba MaisOobe Ativar Atualização rtp e Sig
Predefinição da linha de base: se ativar esta definição, a proteção em tempo real e as Atualizações de Informações de Segurança são ativadas durante o OOBE.
Saiba MaisProteção contra PUA
Predefinição da linha de base: Proteção contra PUA ativada. Os itens detetados estão bloqueados. Aparecerão na história juntamente com outras ameaças.
Saiba MaisDireção da Análise em Tempo Real
Predefinição da linha de base: monitorizar todos os ficheiros (bidirecional).
Saiba MaisParâmetro de Análise
Predefinição da linha de base: Análise rápida
Saiba MaisAgendar Tempo de Análise Rápida
Predefinição da linha de base: Configurado
Valor: 120
Saiba MaisAgendar Dia da Análise
Predefinição da linha base: todos os dias
Saiba MaisAgendar Tempo de Análise
Predefinição da linha de base: Configurado
Valor: 120
Saiba MaisIntervalo de Atualização da Assinatura
Predefinição da linha de base: Configurado
Valor: 4
Saiba MaisSubmeter Consentimento de Exemplos
Predefinição da linha base: envie todos os exemplos automaticamente.
Saiba Mais
Device Guard
- Credential Guard
Predefinição da linha de base: (Ativado com bloqueio UEFI) Ativa o Credential Guard com o bloqueio UEFI.
Saiba Mais
Proteção Dma
- Política de Enumeração de Dispositivos
Predefinição da linha base: Bloquear tudo (Mais restritivo)
Saiba Mais
Firewall
Verificação da lista de revogação de certificados
Predefinição da linha base: Nenhum
Saiba MaisDesativar Ftp com Monitorização de Estado
Predefinição da linha de base: Verdadeiro
Saiba MaisAtivar Firewall de Rede de Domínio
Predefinição da linha de base: Verdadeiro
Saiba MaisDesativar Isenção de Pacotes Protegidos ipsec em modo furtivo
Predefinição da linha de base: Verdadeiro
Saiba MaisDesativar Modo Furtivo
Predefinição da linha de base: Falso
Saiba MaisPermitir Intercalação da Política ipsec local
Predefinição da linha de base: Verdadeiro
Saiba MaisDesativar Notificações de Entrada
Predefinição da linha de base: Verdadeiro
Saiba MaisPortas Globais Permitem Intercalação Prévia do Utilizador
Predefinição da linha de base: Verdadeiro
Saiba MaisDesativar Respostas Unicast à Difusão Multicast
Predefinição da linha de base: Falso
Saiba MaisPermitir Intercalação de Políticas Locais
Predefinição da linha de base: Verdadeiro
Saiba Mais
Ativar Fila de Pacotes
Predefinição da linha de base: Configurado
Saiba MaisAtivar a Firewall de Rede Privada
Predefinição da linha de base: Verdadeiro
Saiba MaisAção de Entrada Predefinida para Perfil Privado
Predefinição da linha de base: Verdadeiro
Saiba MaisDesativar Respostas Unicast à Difusão Multicast
Predefinição da linha de base: Falso
Saiba MaisDesativar Modo Furtivo
Predefinição da linha de base: Falso
Saiba MaisPortas Globais Permitem Intercalação Prévia do Utilizador
Predefinição da linha de base: Verdadeiro
Saiba MaisPermitir Intercalação da Política ipsec local
Predefinição da linha de base: Verdadeiro
Saiba MaisDesativar Isenção de Pacotes Protegidos ipsec em modo furtivo
Predefinição da linha de base: Verdadeiro
Saiba MaisPermitir Intercalação de Políticas Locais
Predefinição da linha de base: Verdadeiro
Saiba MaisAção de Saída Predefinida
Predefinição da linha base: Permitir
Saiba MaisAuth Apps Allow User Pref Merge
Predefinição da linha de base: Verdadeiro
Saiba MaisDesativar Notificações de Entrada
Predefinição da linha de base: Verdadeiro
Saiba Mais
Ativar a Firewall da Rede Pública
Predefinição da linha de base: Verdadeiro
Saiba MaisDesativar Modo Furtivo
Predefinição da linha de base: Falso
Saiba MaisAção de Saída Predefinida
Predefinição da linha base: Permitir
Saiba MaisDesativar Notificações de Entrada
Predefinição da linha de base: Verdadeiro
Saiba MaisDesativar Isenção de Pacotes Protegidos ipsec em modo furtivo
Predefinição da linha de base: Verdadeiro
Saiba MaisAção de Entrada Predefinida para Perfil Público
Predefinição da linha de base: Bloquear
Saiba MaisPortas Globais Permitem Intercalação Prévia do Utilizador
Predefinição da linha de base: Verdadeiro
Saiba MaisPermitir Intercalação de Políticas Locais
Predefinição da linha de base: Verdadeiro
Saiba MaisPermitir Intercalação da Política ipsec local
Predefinição da linha de base: Verdadeiro
Saiba MaisAuth Apps Allow User Pref Merge
Predefinição da linha de base: Verdadeiro
Saiba MaisDesativar Respostas Unicast à Difusão Multicast
Predefinição da linha de base: Falso
Saiba Mais
Codificação de Chaves Pré-partilhada
Predefinição da linha de base: UTF8
Saiba MaisTempo de inatividade da associação de segurança
Predefinição da linha de base: Configurado
Valor: 300
Saiba mais
Microsoft Edge
Configurar o Microsoft Defender SmartScreen
Predefinição da linha de base: ativadoConfigurar o Microsoft Defender SmartScreen para bloquear aplicações potencialmente indesejadas
Predefinição da linha de base: ativadoAtivar pedidos DNS do Microsoft Defender SmartScreen
Predefinição da linha de base: ativadoAtivar nova biblioteca SmartScreen
Predefinição da linha de base: ativadoForçar verificações do Microsoft Defender SmartScreen em transferências de origens fidedignas
Predefinição da linha de base: ativadoEvitar ignorar pedidos do Microsoft Defender SmartScreen para sites
Predefinição da linha de base: ativadoEvitar ignorar avisos do Microsoft Defender SmartScreen sobre transferências
Predefinição da linha de base: ativado
Regras de Redução da Superfície de Ataque
As regras de redução da superfície de ataque suportam uma fusão de definições de diferentes políticas, para criar um superconjunto de políticas para cada dispositivo. Apenas as definições que não estão em conflito são intercaladas. As definições em conflito não são adicionadas ao superconjunto de regras. Anteriormente, se duas políticas incluíssem conflitos para uma única definição, ambas as políticas eram sinalizadas como estando em conflito e não seriam implementadas definições de qualquer perfil.
O comportamento de intercalação da regra de redução da superfície de ataque é o seguinte:
- As regras de redução da superfície de ataque dos seguintes perfis são avaliadas para cada dispositivo a que as regras se aplicam:
- Política de configuração > de dispositivos > Perfil > de proteção de ponto final Microsoft Defender Exploit Guard >– Redução da Superfície de Ataque
- Segurança > de ponto final Política de redução da superfície de ataque Regras > de redução da superfície de ataque
- Linhas de base de segurança > de ponto final Linhas > de base do Microsoft Defender para Endpoint Baseline >Regras de Redução da Superfície de Ataque.
- As definições que não têm conflitos são adicionadas a um superconjunto de políticas para o dispositivo.
- Quando duas ou mais políticas têm definições em conflito, as definições em conflito não são adicionadas à política combinada, enquanto as definições que não entram em conflito são adicionadas à política de superconjunto que se aplica a um dispositivo.
- Apenas as configurações para definições em conflito são retidas.
Para saber mais, veja Regras de redução da superfície de ataque na documentação do Microsoft Defender para Endpoint.
Impedir que as aplicações de comunicação do Office criem processos subordinados
Predefinição da linha de base: Ativar
Saiba MaisImpedir o Adobe Reader de criar processos subordinados
Predefinição da linha de base: Ativar
Saiba MaisBloquear a injeção de código nas aplicações do Office noutros processos
Predefinição da linha de base: Bloquear
Saiba MaisImpedir que as aplicações do Office criem conteúdos executáveis
Predefinição da linha de base: Bloquear
Saiba MaisBloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido
Predefinição da linha de base: Bloquear
Saiba MaisAtivar a proteção de rede
Predefinição da linha de base: Ativar
Saiba MaisBloquear processos não fidedignos e não assinados executados a partir de USB
Predefinição da linha de base: Bloquear
Saiba MaisBloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)
Predefinição da linha de base: Ativar
Saiba MaisBloquear a transferência de conteúdo executável a partir de clientes de e-mail e webmail
Predefinição da linha de base: Bloquear
Saiba maisBloquear a criação de processos subordinados em todas as aplicações do Office
Predefinição da linha de base: Bloquear
Saiba MaisBloquear a execução de scripts potencialmente ocultados (js/vbs/ps)
Predefinição da linha de base: Bloquear
Saiba MaisBloquear chamadas à API Win32 a partir da macro do Office
Predefinição da linha de base: Bloquear
Saiba Mais
Application Guard
Para obter mais informações, consulte WindowsDefenderApplicationGuard CSP na documentação do Windows.
Quando utiliza o Microsoft Edge, o Microsoft Defender Application Guard protege o seu ambiente de sites que não são considerados fidedignos pela sua organização. Quando os utilizadores visitam sites que não estão listados no limite de rede isolado, os sites são abertos numa sessão de navegação virtual do Hyper-V. Os sites fidedignos são definidos por um limite de rede.
Ativar o Application Guard para Edge (Opções)
Predefinição da linha de base: Ativado para o Edge
Saiba MaisBloquear conteúdo externo de sites aprovados não empresariais
Predefinição da linha base: Sim
Saiba MaisComportamento da área de transferência
Predefinição da linha de base: bloquear a cópia e a colagem entre o PC e o browser
Saiba Mais
Política de isolamento de rede do Windows
Predefinição da linha de base: Configurar
Saiba Mais- Domínios de rede
Predefinição da linha de base: securitycenter.windows.com
- Domínios de rede
BitLocker
Exigir que os cartões de armazenamento sejam encriptados (apenas para dispositivos móveis)
Predefinição da linha base: Sim
Saiba maisObservação
O suporte para o Windows 10 Mobile e Windows Phone 8.1 terminou em agosto de 2020.
Ativar a encriptação de disco completa para o SO e unidades de dados fixas
Predefinição da linha base: Sim
Saiba MaisPolítica da unidade de sistema do BitLocker
Predefinição da linha de base: Configurar
Saiba Mais- Configurar o método de encriptação para unidades do Sistema Operativo
Predefinição da linha de base: não configurado
Saiba Mais
- Configurar o método de encriptação para unidades do Sistema Operativo
Política da unidade fixa do BitLocker
Predefinição da linha de base: Configurar
Saiba MaisBloquear o acesso de escrita a unidades de dados fixas não protegidas pelo BitLocker
Predefinição da linha base: Sim
Saiba Mais
Esta definição está disponível quando a política de unidade fixa bitLocker está definida como Configurar.Configurar o método de encriptação para unidades de dados fixas
Predefinição da linha base: AES XTS de 128 bits
Saiba Mais
Política da unidade removível do BitLocker
Predefinição da linha de base: Configurar
Saiba MaisConfigurar o método de encriptação para unidades de dados amovíveis
Predefinição da linha base: AES 128 bits CBC
Saiba MaisBloquear o acesso de escrita a unidades de dados amovíveis não protegidas pelo BitLocker
Predefinição da linha de base: não configurado
Saiba Mais
Estados de espera quando estiver a dormir enquanto está a bateria Predefinição da linha base: Desativado
Saiba MaisEstados de espera ao dormir enquanto está ligado à corrente
Predefinição da linha base: Desativado
Saiba MaisAtivar a encriptação de disco completa para o SO e unidades de dados fixas
Predefinição da linha base: Sim
Saiba MaisPolítica da unidade de sistema do BitLocker
Predefinição da linha de base: Configurar
Saiba MaisAutenticação de arranque necessária
Predefinição da linha base: Sim
Saiba MaisPIN de arranque do TPM compatível
Predefinição da linha de base: Permitido
Saiba MaisChave de arranque do TPM compatível
Predefinição da linha de base: Necessário
Saiba MaisDesativar o BitLocker em dispositivos em que o TPM seja incompatível
Predefinição da linha base: Sim
Saiba MaisConfigurar o método de encriptação para unidades do Sistema Operativo
Predefinição da linha de base: não configurado
Saiba Mais
Política da unidade fixa do BitLocker
Predefinição da linha de base: Configurar
Saiba MaisBloquear o acesso de escrita a unidades de dados fixas não protegidas pelo BitLocker
Predefinição da linha base: Sim
Saiba Mais
Esta definição está disponível quando a política de unidade fixa bitLocker está definida como Configurar.Configurar o método de encriptação para unidades de dados fixas
Predefinição da linha base: AES XTS de 128 bits
Saiba Mais
Política da unidade removível do BitLocker
Predefinição da linha de base: Configurar
Saiba MaisConfigurar o método de encriptação para unidades de dados amovíveis
Predefinição da linha base: AES 128 bits CBC
Saiba MaisBloquear o acesso de escrita a unidades de dados amovíveis não protegidas pelo BitLocker
Predefinição da linha de base: não configurado
Saiba Mais
Política da unidade de sistema do BitLocker
Predefinição da linha de base: Configurar
Saiba MaisAutenticação de arranque necessária
Predefinição da linha base: Sim
Saiba MaisPIN de arranque do TPM compatível
Predefinição da linha de base: Permitido
Saiba MaisChave de arranque do TPM compatível
Predefinição da linha de base: Necessário
Saiba MaisDesativar o BitLocker em dispositivos em que o TPM seja incompatível
Predefinição da linha base: Sim
Saiba MaisConfigurar o método de encriptação para unidades do Sistema Operativo
Predefinição da linha de base: não configurado
Saiba Mais
Estados de espera quando estiver a dormir enquanto está a bateria Predefinição da linha base: Desativado
Saiba MaisEstados de espera ao dormir enquanto está ligado à corrente
Predefinição da linha base: Desativado
Saiba MaisAtivar a encriptação de disco completa para o SO e unidades de dados fixas
Predefinição da linha base: Sim
Saiba MaisPolítica da unidade fixa do BitLocker
Predefinição da linha de base: Configurar
Saiba MaisBloquear o acesso de escrita a unidades de dados fixas não protegidas pelo BitLocker
Predefinição da linha base: Sim
Saiba Mais
Esta definição está disponível quando a política de unidade fixa bitLocker está definida como Configurar.Configurar o método de encriptação para unidades de dados fixas
Predefinição da linha base: AES XTS de 128 bits
Saiba Mais
Política da unidade removível do BitLocker
Predefinição da linha de base: Configurar
Saiba MaisConfigurar o método de encriptação para unidades de dados amovíveis
Predefinição da linha base: AES 128 bits CBC
Saiba MaisBloquear o acesso de escrita a unidades de dados amovíveis não protegidas pelo BitLocker
Predefinição da linha de base: não configurado
Saiba Mais
Navegador
Exigir SmartScreen para o Microsoft Edge
Predefinição da linha base: Sim
Saiba MaisBloquear o acesso a sites maliciosos
Predefinição da linha base: Sim
Saiba MaisBloquear a transferência de ficheiros não verificados
Predefinição da linha base: Sim
Saiba Mais
Proteção de Dados
- Bloquear o acesso direto à memória
Predefinição da linha base: Sim
Saiba mais
Device Guard
- Ativar a proteção de credenciais
Predefinição da linha de base: Ativar com o bloqueio UEFI
Saiba Mais
Instalação do dispositivo
Instalação de dispositivos de hardware por identificadores de dispositivos
Predefinição da linha de base: bloquear a instalação de dispositivos de hardware
Saiba MaisRemover dispositivos de hardware correspondentes Predefinição da linha base: Sim
Identificadores de dispositivos de hardware bloqueados
Predefinição da linha de base: não configurado por predefinição. Adicione manualmente um ou mais identificadores de dispositivo.
Instalação de dispositivos de hardware por classes de configuração
Predefinição da linha de base: bloquear a instalação de dispositivos de hardware
Saiba maisRemover dispositivos de hardware correspondentes Predefinição da linha de base: não configurado
Identificadores de dispositivos de hardware bloqueados Predefinição da linha de base: não configurado por predefinição. Adicione manualmente um ou mais identificadores de dispositivo.
Bloquear a instalação de dispositivos de hardware por classes de configuração:
Predefinição da linha base: Sim
Saiba maisRemover dispositivos de hardware correspondentes:
Predefinição da linha base: SimLista de blocos
Predefinição da linha de base: não configurado por predefinição. Adicione manualmente um ou mais identificadores exclusivos da classe de configuração global.
DMA Guard
- Enumeração de dispositivos externos incompatíveis com a Proteção DMA do Kernel
Predefinição da linha de base: Bloquear tudo
Saiba Mais
- Enumeração de dispositivos externos incompatíveis com a Proteção DMA do Kernel
Predefinição da linha de base: não configurado
Saiba Mais
EDR
Partilha de exemplo para todos os ficheiros
Predefinição da linha base: Sim
Saiba maisAgilizar a frequência de relatórios de telemetria
Predefinição da linha base: Sim
Saiba mais
Firewall
Protocolo FTP (File Transfer Protocol) com Monitorização de Estado
Predefinição da linha base: Desativado
Saiba MaisNúmero de segundos em que uma associação de segurança pode estar inativa antes de ser eliminada
Predefinição da linha base: 300
Saiba MaisCodificação de chaves pré-partilhada
Predefinição da linha de base: UTF8
Saiba MaisVerificação da lista de revogação de certificados (CRL)
Predefinição da linha de base: não configurado
Saiba MaisColocação de pacotes em fila
Predefinição da linha de base: não configurado
Saiba MaisPerfil de firewall privado
Predefinição da linha de base: Configurar
Saiba MaisLigações de entrada bloqueadas
Predefinição da linha base: Sim
Saiba MaisRespostas Unicast a difusões multicast necessárias
Predefinição da linha base: Sim
Saiba MaisLigações de saída necessárias
Predefinição da linha base: Sim
Saiba MaisNotificações de entrada bloqueadas
Predefinição da linha base: Sim
Saiba MaisRegras de portas globais da política de grupo intercaladas
Predefinição da linha base: Sim
Saiba MaisFirewall ativada
Predefinição da linha de base: Permitido
Saiba MaisRegras de aplicação autorizadas da política de grupo não intercaladas
Predefinição da linha base: Sim
Saiba MaisRegras de segurança de ligação da política de grupo não intercaladas
Predefinição da linha base: Sim
Saiba MaisTráfego de entrada necessário
Predefinição da linha base: Sim
Saiba MaisRegras de política da política de grupo não intercaladas
Predefinição da linha base: Sim
Saiba Mais
- Modo furtivo bloqueado
Predefinição da linha base: Sim
Saiba Mais
Perfil de firewall público
Predefinição da linha de base: Configurar
Saiba MaisLigações de entrada bloqueadas
Predefinição da linha base: Sim
Saiba MaisRespostas Unicast a difusões multicast necessárias
Predefinição da linha base: Sim
Saiba MaisLigações de saída necessárias
Predefinição da linha base: Sim
Saiba MaisRegras de aplicação autorizadas da política de grupo não intercaladas
Predefinição da linha base: Sim**
Saiba MaisNotificações de entrada bloqueadas
Predefinição da linha base: Sim
Saiba MaisRegras de portas globais da política de grupo intercaladas
Predefinição da linha base: Sim
Saiba MaisFirewall ativada
Predefinição da linha de base: Permitido
Saiba MaisRegras de segurança de ligação da política de grupo não intercaladas
Predefinição da linha base: Sim
Saiba MaisTráfego de entrada necessário
Predefinição da linha base: Sim
Saiba MaisRegras de política da política de grupo não intercaladas
Predefinição da linha base: Sim
Saiba Mais
- Modo furtivo bloqueado
Predefinição da linha base: Sim
Saiba Mais
Domínio do perfil de firewall
Predefinição da linha de base: Configurar
Saiba MaisRespostas Unicast a difusões multicast necessárias
Predefinição da linha base: Sim
Saiba MaisRegras de aplicação autorizadas da política de grupo não intercaladas
Predefinição da linha base: Sim
Saiba MaisNotificações de entrada bloqueadas
Predefinição da linha base: Sim
Saiba MaisRegras de portas globais da política de grupo intercaladas
Predefinição da linha base: Sim
Saiba MaisFirewall ativada
Predefinição da linha de base: Permitido
Saiba MaisRegras de segurança de ligação da política de grupo não intercaladas
Predefinição da linha base: Sim
Saiba MaisRegras de política da política de grupo não intercaladas
Predefinição da linha base: Sim
Saiba Mais
- Modo furtivo bloqueado
Predefinição da linha base: Sim
Saiba Mais
Microsoft Defender
Ativar a proteção em tempo real
Predefinição da linha base: Sim
Saiba maisPeríodo de tempo adicional (0-50 segundos) para prolongar o tempo limite da proteção da cloud
Predefinição da linha de base: 50
Saiba MaisAnalisar todos os ficheiros e anexos transferidos
Predefinição da linha base: Sim
Saiba MaisTipo de análise
Predefinição da linha de base: Análise rápida
Saiba MaisDia de análise da agenda do Defender:
Predefinição da linha base: todos os diasHora de início da análise do Defender:
Predefinição da linha de base: não configuradoConsentimento de submissão de exemplo do Defender
Predefinição da linha de base: Enviar amostras seguras automaticamente
Saiba MaisNível de proteção fornecido pela cloud
Predefinição da linha de base: Alta
Saiba MaisAnalisar unidades amovíveis durante a análise completa
Predefinição da linha base: Sim
Saiba MaisAção de aplicativo potencialmente indesejada do Defender
Predefinição da linha de base: Bloquear
Saiba MaisAtivar a proteção fornecida pela nuvem
Predefinição da linha base: Sim
Saiba mais
Ativar a proteção em tempo real
Predefinição da linha base: Sim
Saiba maisPeríodo de tempo adicional (0-50 segundos) para prolongar o tempo limite da proteção da cloud
Predefinição da linha de base: 50
Saiba MaisAnalisar todos os ficheiros e anexos transferidos
Predefinição da linha base: Sim
Saiba MaisTipo de análise
Predefinição da linha de base: Análise rápida
Saiba MaisConsentimento de submissão de exemplo do Defender
Predefinição da linha de base: Enviar amostras seguras automaticamente
Saiba MaisNível de proteção fornecido pela cloud
Predefinição da linha de base: Alta
Saiba MaisAnalisar unidades amovíveis durante a análise completa
Predefinição da linha base: Sim
Saiba MaisAção de aplicativo potencialmente indesejada do Defender
Predefinição da linha de base: Bloquear
Saiba MaisAtivar a proteção fornecida pela nuvem
Predefinição da linha base: Sim
Saiba mais
Executar análise rápida diária em
Predefinição da linha base: 2:00
Saiba MaisHora de início da análise agendada
Predefinição da linha base: 2:00Configurar a baixa prioridade da CPU para análises agendadas
Predefinição da linha base: Sim
Saiba MaisImpedir que as aplicações de comunicação do Office criem processos subordinados
Predefinição da linha de base: Ativar
Saiba MaisImpedir o Adobe Reader de criar processos subordinados
Predefinição da linha de base: Ativar
Saiba MaisAnalisar mensagens de e-mail recebidas
Predefinição da linha base: Sim
Saiba MaisAtivar a proteção em tempo real
Predefinição da linha base: Sim
Saiba maisNúmero de dias (0-90) para manter o software maligno em quarentena
Predefinição da linha base: 0
Saiba MaisAgenda de análise do sistema do Defender
Predefinição da linha de base: definido pelo utilizador
Saiba MaisPeríodo de tempo adicional (0-50 segundos) para prolongar o tempo limite da proteção da cloud
Predefinição da linha de base: 50
Saiba MaisAnalisar unidades de rede mapeadas durante uma análise completa
Predefinição da linha base: Sim
Saiba MaisAtivar a proteção de rede
Predefinição da linha base: Sim
Saiba maisAnalisar todos os ficheiros e anexos transferidos
Predefinição da linha base: Sim
Saiba MaisBloquear a proteção de acesso
Predefinição da linha de base: não configurado
Saiba MaisAnalisar scripts do browser
Predefinição da linha base: Sim
Saiba MaisBloquear o acesso do utilizador à aplicação Microsoft Defender
Predefinição da linha base: Sim
Saiba MaisUtilização máxima permitida da CPU (0-100 por cento) por análise
Predefinição da linha de base: 50
Saiba MaisTipo de análise
Predefinição da linha de base: Análise rápida
Saiba MaisIntroduza a frequência (0-24 horas) para verificar a existência de atualizações de informações de segurança
Predefinição da linha base: 8
Saiba MaisConsentimento de submissão de exemplo do Defender
Predefinição da linha de base: Enviar amostras seguras automaticamente
Saiba MaisNível de proteção fornecido pela cloud
Predefinição da linha de base: *Não configurado
Saiba MaisAnalisar ficheiros de arquivo
Predefinição da linha base: Sim
Saiba MaisAtivar a monitorização de comportamento
Predefinição da linha base: Sim
Saiba MaisAnalisar unidades amovíveis durante a análise completa
Predefinição da linha base: Sim
Saiba MaisAnalisar ficheiros de rede
Predefinição da linha base: Sim
Saiba MaisAção de aplicativo potencialmente indesejada do Defender
Predefinição da linha de base: Bloquear
Saiba MaisAtivar a proteção fornecida pela nuvem
Predefinição da linha base: Sim
Saiba MaisBloquear a injeção de código nas aplicações do Office noutros processos
Predefinição da linha de base: Bloquear
Saiba MaisImpedir que as aplicações do Office criem conteúdos executáveis
Predefinição da linha de base: Bloquear
Saiba MaisBloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido
Predefinição da linha de base: Bloquear
Saiba MaisAtivar a proteção de rede
Predefinição da linha de base: modo de auditoria
Saiba MaisBloquear processos não fidedignos e não assinados executados a partir de USB
Predefinição da linha de base: Bloquear
Saiba MaisBloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)
Predefinição da linha de base: Ativar
Saiba MaisBloquear a transferência de conteúdo executável a partir de clientes de e-mail e webmail
Predefinição da linha de base: Bloquear
Saiba MaisBloquear a criação de processos subordinados em todas as aplicações do Office
Predefinição da linha de base: Bloquear
Saiba MaisBloquear a execução de scripts potencialmente ocultados (js/vbs/ps)
Predefinição da linha de base: Bloquear
Saiba MaisBloquear chamadas à API Win32 a partir da macro do Office
Predefinição da linha de base: Bloquear
Saiba Mais
Executar análise rápida diária em
Predefinição da linha base: 2:00
Saiba MaisHora de início da análise agendada
Predefinição da linha base: 2:00Configurar a baixa prioridade da CPU para análises agendadas
Predefinição da linha base: Sim
Saiba MaisImpedir que as aplicações de comunicação do Office criem processos subordinados
Predefinição da linha de base: Ativar
Saiba MaisImpedir o Adobe Reader de criar processos subordinados
Predefinição da linha de base: Ativar
Saiba MaisAnalisar mensagens de e-mail recebidas
Predefinição da linha base: Sim
Saiba MaisAtivar a proteção em tempo real
Predefinição da linha base: Sim
Saiba maisNúmero de dias (0-90) para manter o software maligno em quarentena
Predefinição da linha base: 0
Saiba MaisAgenda de análise do sistema do Defender
Predefinição da linha de base: definido pelo utilizador
Saiba MaisPeríodo de tempo adicional (0-50 segundos) para prolongar o tempo limite da proteção da cloud
Predefinição da linha de base: 50
Saiba MaisAnalisar unidades de rede mapeadas durante uma análise completa
Predefinição da linha base: Sim
Saiba MaisAtivar a proteção de rede
Predefinição da linha base: Sim
Saiba maisAnalisar todos os ficheiros e anexos transferidos
Predefinição da linha base: Sim
Saiba MaisBloquear a proteção de acesso
Predefinição da linha de base: não configurado
Saiba MaisAnalisar scripts do browser
Predefinição da linha base: Sim
Saiba MaisBloquear o acesso do utilizador à aplicação Microsoft Defender
Predefinição da linha base: Sim
Saiba MaisUtilização máxima permitida da CPU (0-100 por cento) por análise
Predefinição da linha de base: 50
Saiba MaisTipo de análise
Predefinição da linha de base: Análise rápida
Saiba MaisIntroduza a frequência (0-24 horas) para verificar a existência de atualizações de informações de segurança
Predefinição da linha base: 8
Saiba MaisConsentimento de submissão de exemplo do Defender
Predefinição da linha de base: Enviar amostras seguras automaticamente
Saiba MaisNível de proteção fornecido pela cloud
Predefinição da linha de base: *Não configurado
Saiba MaisAnalisar ficheiros de arquivo
Predefinição da linha base: Sim
Saiba MaisAtivar a monitorização de comportamento
Predefinição da linha base: Sim
Saiba MaisAnalisar unidades amovíveis durante a análise completa
Predefinição da linha base: Sim
Saiba MaisAnalisar ficheiros de rede
Predefinição da linha base: Sim
Saiba MaisAção de aplicativo potencialmente indesejada do Defender
Predefinição da linha de base: Bloquear
Saiba MaisAtivar a proteção fornecida pela nuvem
Predefinição da linha base: Sim
Saiba MaisBloquear a injeção de código nas aplicações do Office noutros processos
Predefinição da linha de base: Bloquear
Saiba MaisImpedir que as aplicações do Office criem conteúdos executáveis
Predefinição da linha de base: Bloquear
Saiba MaisBloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido
Predefinição da linha de base: Bloquear
Saiba MaisAtivar a proteção de rede
Predefinição da linha de base: modo de auditoria
Saiba MaisBloquear processos não fidedignos e não assinados executados a partir de USB
Predefinição da linha de base: Bloquear
Saiba MaisBloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)
Predefinição da linha de base: Ativar
Saiba MaisBloquear a transferência de conteúdo executável a partir de clientes de e-mail e webmail
Predefinição da linha de base: Bloquear
Saiba MaisBloquear a criação de processos subordinados em todas as aplicações do Office
Predefinição da linha de base: Bloquear
Saiba MaisBloquear a execução de scripts potencialmente ocultados (js/vbs/ps)
Predefinição da linha de base: Bloquear
Saiba MaisBloquear chamadas à API Win32 a partir da macro do Office
Predefinição da linha de base: Bloquear
Saiba Mais
Central de Segurança do Microsoft Defender.
- Impedir que os utilizadores editem a interface de proteção do Exploit Guard
Predefinição da linha base: Sim
Saiba Mais
Ecrã Inteligente
Impedir que os utilizadores ignorem os avisos do SmartScreen
Predefinição da linha base: Sim
Saiba MaisAtivar o Windows SmartScreen
Predefinição da linha base: Sim
Saiba MaisExigir SmartScreen para o Microsoft Edge
Predefinição da linha base: Sim
Saiba MaisBloquear o acesso a sites maliciosos
Predefinição da linha base: Sim
Saiba MaisBloquear a transferência de ficheiros não verificados
Predefinição da linha base: Sim
Saiba MaisConfigurar o Microsoft Defender SmartScreen
Predefinição da linha de base: ativadoEvitar ignorar pedidos do Microsoft Defender SmartScreen para sites
Predefinição da linha de base: ativadoEvitar ignorar avisos do Microsoft Defender SmartScreen sobre transferências
Predefinição da linha de base: ativadoConfigurar o Microsoft Defender SmartScreen para bloquear aplicações potencialmente indesejadas
Predefinição da linha de base: ativado
Exigir aplicações apenas da loja
Predefinição da linha base: SimAtivar o Windows SmartScreen
Predefinição da linha base: Sim
Saiba Mais
Windows Hello para Empresas
Para obter mais informações, consulte PassportForWork CSP na documentação do Windows.
Bloquear o Windows Hello para Empresas
Predefinição da linha base: DesativadoLetras minúsculas no PIN Predefinição da linha de base: Permitido
Carateres especiais no PIN Predefinição da linha de base: Permitido
Letras maiúsculas no PIN Predefinição da linha de base: Permitido
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de