Lista das configurações na linha de base de segurança PC na nuvem do Windows 365 no Intune
Este artigo é uma referência para as configurações disponíveis na linha de base de segurança PC na nuvem do Windows 365 que você pode implantar com Microsoft Intune.
Para cada configuração, você encontrará a configuração padrão das linhas de base, que também é a configuração recomendada para essa configuração fornecida pela equipe de segurança relevante. Como os produtos e o cenário de segurança evoluem, os padrões recomendados em uma versão de linha de base podem não corresponder aos padrões encontrados em versões posteriores da mesma linha de base. Diferentes tipos de linha de base, como a segurança MDM e as linhas de base do Defender para Ponto de Extremidade , também podem definir padrões diferentes.
Quando a interface do usuário Intune incluir um link do Learn more para uma configuração, você encontrará isso aqui também. Use esse link para exibir o CSP ( provedor de serviços de configuração de política de configuração ) ou conteúdo relevante que explica a operação de configurações.
Quando uma nova versão de uma linha de base fica disponível, ela substitui a versão anterior. Perfis de instâncias que você criou antes da disponibilidade de uma nova versão:
- Torne-se somente leitura. Você pode continuar a usar esses perfis, mas não pode editá-los para alterar a configuração deles.
- Pode ser atualizado para a versão mais recente. Depois de atualizar um perfil para a versão de linha de base atual, você pode editar o perfil para modificar as configurações.
Para saber mais sobre como usar linhas de base de segurança, consulte Usar linhas de base de segurança. Nesse artigo, você também encontrará informações sobre como:
- Altere a versão da linha de base de um perfil para atualizar um perfil para usar a versão mais recente dessa linha de base.
PC na nuvem do Windows 365 linha de base de segurança versão 2110:
Bloqueio acima
Ativar aplicativos por voz na tela bloqueada:
Padrão de linha de base: desabilitado
Saiba maisBloquear a exibição de notificações de brinde:
Padrão de linha de base: Sim
Saiba mais
App Runtime
- Contas da Microsoft opcionais para aplicativos da Microsoft Store:
Padrão de linha de base: habilitado
Saiba mais
Gerenciamento de aplicativo
Bloquear instalações de aplicativo com privilégios elevados:
Padrão de linha de base: Sim
Saiba maisBloquear o controle do usuário sobre instalações:
Padrão de linha de base: Sim
Saiba maisBloquear DVR do jogo (somente área de trabalho):
Padrão de linha de base: Sim
Saiba mais
Regras de redução de superfície de ataque
Para obter informações gerais, consulte Saiba mais sobre regras de redução de superfície de ataque.
Impedir que aplicativos de comunicação do Office criem processos filho:
Padrão de linha de base: Habilitar
Saiba maisImpedir o Adobe Reader de criar processos filho:
Padrão de linha de base: Habilitar
Saiba maisBloquear aplicativos do Office de injetar código em outros processos:
Padrão da linha de base: Bloquear
Saiba maisBloquear aplicativos do Office de criar conteúdo executável:
Padrão da linha de base: Bloquear
Saiba maisBloqueie JavaScript ou VBScript de iniciar conteúdo executável baixado:
Padrão da linha de base: Bloquear
Saiba maisHabilitar a proteção de rede:
Padrão de linha de base: Habilitar
Saiba maisBloquear processos não confiáveis e não assinados que são executados a partir de USB:
Padrão da linha de base: Bloquear
Saiba maisBloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe):
Padrão de linha de base: Habilitar
Saiba maisBloqueie todos os aplicativos do Office de criar processos filho:
Padrão da linha de base: Bloquear
Saiba maisBloquear a execução de scripts potencialmente ofuscados (js/vbs/ps):
Padrão da linha de base: Bloquear
Saiba maisBloquear chamadas de API win32 da macro do Office:
Padrão da linha de base: Bloquear
Saiba maisBloquear o download de conteúdo executável de clientes de email e webmail:
Padrão da linha de base: Bloquear
Saiba mais
Auditoria
As configurações de auditoria configuram os eventos gerados para as condições da configuração.
Validação de credencial de auditoria de logon da conta (dispositivo):
Padrão da linha de base: sucesso e falhaServiço de Autenticação kerberos de auditoria de logon da conta (dispositivo):
Padrão de linha de base: nenhumBloqueio da conta de auditoria de logoff de logon da conta (dispositivo):
Padrão da linha de base: falhaAssociação de grupo de auditoria de logoff de logon da conta (dispositivo):
Padrão da linha de base: êxitoLogon da conta Logoff Audit Logon (dispositivo):
Padrão da linha de base: sucesso e falhaAuditar outros eventos de logon de logon (dispositivo):
Padrão da linha de base: sucesso e falhaAuditar logon especial (dispositivo):
Padrão da linha de base: êxitoGerenciamento de grupo de segurança de auditoria (dispositivo):
Padrão da linha de base: êxitoAuditar o Gerenciamento de Conta de Usuário (Dispositivo):
Padrão da linha de base: sucesso e falhaAtividade PNP de auditoria de acompanhamento detalhada (dispositivo):
Padrão da linha de base: êxitoCriação detalhada do processo de auditoria de acompanhamento (dispositivo):
Padrão da linha de base: êxitoCompartilhamento detalhado de arquivos de auditoria de acesso ao objeto (dispositivo):
Padrão da linha de base: falhaAcesso ao compartilhamento de arquivos de auditoria (dispositivo):
Padrão da linha de base: sucesso e falhaAuditoria de acesso ao objeto Outros eventos de acesso a objetos (dispositivo):
Padrão da linha de base: sucesso e falhaArmazenamento Removível de Auditoria de Acesso ao Objeto (Dispositivo):
Padrão da linha de base: sucesso e falhaAlteração da política de autenticação de auditoria (dispositivo):
Padrão da linha de base: êxitoAlteração da política MPSSVC Rule Policy Change (Dispositivo):
Padrão da linha de base: sucesso e falhaAuditoria de alteração de política Outros eventos de alteração de política (dispositivo):
Padrão da linha de base: falhaAuditar alterações na política de auditoria (dispositivo):
Padrão da linha de base: êxitoUso de privilégio uso de privilégio confidencial de auditoria (dispositivo):
Padrão da linha de base: sucesso e falhaAuditoria do Sistema Outros Eventos do Sistema (Dispositivo):
Padrão da linha de base: sucesso e falhaAlteração de estado de segurança de auditoria do sistema (dispositivo):
Padrão da linha de base: êxitoExtensão do sistema de segurança de auditoria (dispositivo):
Padrão da linha de base: êxitoIntegridade do sistema de auditoria do sistema (dispositivo):
Padrão da linha de base: sucesso e falha
Reprodução automática
Comportamento de execução automática padrão de reprodução automática automática:
Padrão de linha de base: não executar
Saiba maisModo de reprodução automática:
Padrão de linha de base: desabilitado
Saiba maisBloquear a reprodução automática para dispositivos que não são de volume:
Padrão de linha de base: habilitado
Saiba mais
Navegador
Bloquear Gerenciador de Senhas:
Padrão de linha de base: Sim
Saiba maisExigir SmartScreen para Versão Prévia do Microsoft Edge:
Padrão de linha de base: Sim
Saiba maisBloquear site mal-intencionado:
Padrão de linha de base: Sim
Saiba maisBloquear o download de arquivo não verificado:
Padrão de linha de base: Sim
Saiba maisImpedir que o usuário substitua erros de certificado:
Padrão de linha de base: Sim
Saiba mais
Conectividade
Configurar o acesso seguro aos caminhos UNC:
Padrão de linha de base: configurar o Windows para permitir apenas o acesso aos caminhos UNC especificados depois de atender aos requisitos de segurança adicionais
Saiba mais- Lista de caminhos unc endurecidos:
Não configurado por padrão. Adicione manualmente um ou mais caminhos UNC endurecidos manualmente.
- Lista de caminhos unc endurecidos:
Bloquear o download de drivers de impressão em HTTP:
Padrão de linha de base: habilitado
Saiba maisBloquear o download da Internet para assistentes de ordenação online e publicação na Web:
Padrão de linha de base: habilitado
Saiba mais
Delegação de Credenciais
- Delegação de host remoto de credenciais não exportáveis:
Padrão de linha de base: habilitado
Saiba mais
Interface do usuário de credenciais
- Enumerar administradores:
Padrão de linha de base: desabilitado
Saiba mais
Device Guard
Segurança baseada em virtualização:
Padrão de linha de base: habilitar o VBS com inicialização seguraHabilitar a segurança baseada em virtualização:
Padrão de linha de base: Sim
Saiba maisIniciar o protetor do sistema:
Padrão de linha de base: habilitadoAtivar o Credential Guard:
Padrão da linha de base: habilitar com o bloqueio UEFI
Saiba mais
Instalação do dispositivo
Bloquear a instalação do dispositivo de hardware por classes de instalação
Padrão de linha de base: Sim
Saiba maisRemover dispositivos de hardware correspondentes
Padrão de linha de base: SimLista de blocos
Não configurado por padrão. Adicione manualmente um ou mais Identificadores.
Guarda DMA
- Enumeração de dispositivos externos incompatíveis com o Kernel DMA Protection
Padrão da linha de base: bloquear tudo
Serviço de Log de Eventos
Tamanho máximo do arquivo do log de aplicativo no KB
Padrão da linha de base: 32768
Saiba maisTamanho máximo do arquivo de log do sistema no KB
Padrão da linha de base: 32768
Saiba maisTamanho máximo do arquivo de log de segurança no KB
Padrão da linha de base: 196608
Saiba mais
Experiência
- Bloquear o Windows Spotlight
Padrão de linha de base: Sim
Saiba mais
Explorador de Arquivos
Bloquear a prevenção de execução de dados
Padrão de linha de base: desabilitado
Saiba maisBloquear o término do heap sobre corrupção
Padrão de linha de base: desabilitado
Saiba mais
Firewall
Para obter mais informações, consulte 2.2.2 FW_PROFILE_TYPE na documentação protocolos do Windows.
Domínio do perfil do firewall:
Padrão de linha de base: configurar
Saiba maisConexões de entrada bloqueadas:
Padrão de linha de base: Sim
Saiba maisConexões de saída necessárias:
Padrão de linha de base: Sim
Saiba maisNotificações de entrada bloqueadas:
Padrão de linha de base: Sim
Saiba maisFirewall habilitado:
Padrão de linha de base: permitido
Saiba mais
Perfil de firewall privado:
Padrão de linha de base: configurar
Saiba maisConexões de entrada bloqueadas:
Padrão de linha de base: Sim
Saiba maisConexões de saída necessárias:
Padrão de linha de base: Sim
Saiba maisNotificações de entrada bloqueadas:
Padrão de linha de base: Sim
Saiba maisFirewall habilitado:
Padrão de linha de base: permitido
Saiba mais
Perfil de firewall público:
Padrão de linha de base: configurar
Saiba maisConexões de entrada bloqueadas:
Padrão de linha de base: Sim
Saiba maisConexões de saída necessárias:
Padrão de linha de base: Sim
Saiba maisNotificações de entrada bloqueadas:
Padrão de linha de base: Sim
Saiba maisFirewall habilitado:
Padrão de linha de base: permitido
Saiba maisRegras de segurança de conexão da política de grupo não mescladas:
Padrão de linha de base: Sim
Saiba maisRegras de política da política de grupo não mescladas:
Padrão de linha de base: Sim
Saiba mais
Internet Explorer
Exibir a lista completa de CSPs do Explorer da Internet.
Suporte à criptografia de Explorer internet
Padrões de linha de base: dois itens: TLS v1.1 e TLS v1.2Internet Explorer impedir o gerenciamento de filtro de tela inteligente
Padrão de linha de base: Habilitar
Saiba maisInternet Explorer script de zona restrita Controles Active X marcados como seguros para script
Padrão de linha de base: desabilitar
Saiba maisDownloads de arquivos de zona restrita Explorer Internet
Padrão de linha de base: desabilitar
Saiba maisAviso de incompatibilidade de endereço de certificado Explorer Internet
Padrão de linha de base: desabilitar
Saiba maisModo protegido aprimorado Explorer Internet
Padrão de linha de base: desabilitar
Saiba maisFallback Explorer internet para SSL3
Padrão de linha de base: nenhum site
Saiba maisSoftware de Explorer da Internet quando a assinatura é inválida
Padrão de linha de base: desabilitar
Saiba maisRevogação de certificado de servidor Explorer marcar Internet
Padrão de linha de base: Habilitar
Saiba maisAssinaturas de Explorer marcar da Internet em programas baixados
Padrão de linha de base: Habilitar
Saiba maisA Internet Explorer processa o tratamento consistente do MIME
Padrão de linha de base: Habilitar
Saiba maisAvisos de tela inteligente Explorer internet
Padrão de linha de base: desabilitar
Saiba maisInternet Explorer ignorar avisos de tela inteligente sobre arquivos incomuns
Padrão de linha de base: desabilitar
Saiba maisDetecção de falhas Explorer Internet
Padrão de linha de base: desabilitar
Saiba maisCompartimentos de download de Explorer internet
Padrão de linha de base: desabilitar
Saiba maisInternet Explorer ignorar erros de certificado
Padrão de linha de base: desabilitar
Saiba maisInternet Explorer desabilitar processos no modo protegido aprimorado
Padrão de linha de base: Habilitar
Saiba maisConfigurações de segurança de Explorer internet marcar
Padrão de linha de base: habilitado
Saiba maisControles Active X Explorer Internet no modo protegido
Padrão de linha de base: desabilitado
Saiba maisUsuários da Internet Explorer adicionando sites
Padrão de linha de base: desabilitado
Saiba maisUsuários de internet Explorer alterando políticas
Padrão de linha de base: desabilitado
Saiba maisControles Active X desatualizados do bloco de Explorer Internet
Padrão de linha de base: habilitado
Saiba maisOs Explorer da Internet incluem todos os caminhos de rede
Padrão de linha de base: desabilitado
Saiba maisInternet Explorer acesso à zona da Internet a fontes de dados
Padrão de linha de base: desabilitar
Saiba maisPrompt automático da zona da Internet Explorer Internet para downloads de arquivos
Padrão de linha de base: desabilitado
Saiba maisInternet Explorer cópia e colar por meio de script
Padrão de linha de base: desabilitar
Saiba maisInternet Explorer internet zone arrastar e soltar ou copiar e colar arquivos
Padrão de linha de base: desabilitar
Saiba maisInternet Explorer sites menos privilegiados da zona da Internet
Padrão de linha de base: desabilitar
Saiba maisInternet Explorer carregamento de zona da Internet de arquivos XAML
Padrão de linha de base: desabilitar
Saiba maisInternet Explorer internet .NET Framework componentes dependentes
Padrão de linha de base: desabilitar
Saiba maisA internet Explorer internet permite que apenas domínios aprovados usem controles ActiveX
Padrão de linha de base: habilitado
Saiba maisA internet Explorer internet permite que apenas domínios aprovados usem controles ActiveX tdc
Padrão de linha de base: habilitado
Saiba maisInternet Explorer script de zona da Internet de controles do navegador da Web
Padrão de linha de base: desabilitado
Saiba maisJanelas iniciadas por script de zona da Internet Explorer Internet
Padrão de linha de base: desabilitado
Saiba maisScripts de zona da Internet Explorer Internet
Padrão de linha de base: desabilitar
Saiba maisInternet Explorer tela inteligente da zona da Internet
Padrão de linha de base: habilitado
Saiba maisAtualizações da zona da Internet Explorer internet para status barra por script
Padrão de linha de base: desabilitado
Saiba maisPersistência de dados do usuário da zona de Internet Explorer Internet
Padrão de linha de base: desabilitado
Saiba maisA internet Explorer internet permite que o VBscript seja executado
Padrão de linha de base: desabilitar
Saiba maisInternet Explorer internet zone não executar antimalware em controles ActiveX
Padrão de linha de base: desabilitado
Saiba maisControles ActiveX assinados por download de zona de Internet Explorer Internet
Padrão de linha de base: desabilitar
Saiba maisControles ActiveX não assinados de download de zona de Internet Explorer Internet
Padrão de linha de base: desabilitar
Saiba maisFiltro de script entre sites da internet Explorer internet
Padrão de linha de base: habilitado
Saiba maisInternet Explorer internet zone arrastar conteúdo de diferentes domínios entre janelas
Padrão de linha de base: desabilitado
Saiba maisInternet Explorer internet zone arrastar conteúdo de diferentes domínios dentro das janelas
Padrão de linha de base: desabilitado
Saiba maisModo protegido de zona de Internet Explorer Internet
Padrão de linha de base: Habilitar
Saiba maisInternet Explorer zona da Internet incluem o caminho local ao carregar arquivos no servidor
Padrão de linha de base: desabilitado
Saiba maisInternet Explorer internet zone initialize e script controles Active X não marcados como seguros
Padrão de linha de base: desabilitar
Saiba maisPermissões java da zona da Internet Explorer Internet
Padrão da linha de base: desabilitar java
Saiba maisInternet Explorer internet zone inicializar aplicativos e arquivos em um iframe
Padrão de linha de base: desabilitar
Saiba maisOpções de logon de zona da Internet Explorer Internet
Padrão de linha de base: Prompt
Saiba maisInternet Explorer internet zone navegar por janelas e quadros em diferentes domínios
Padrão de linha de base: desabilitar
Saiba maisInternet Explorer internet zone run .NET Framework componentes dependentes assinados com Authenticode
Padrão de linha de base: desabilitar
Saiba maisAviso de segurança de zona da Internet Explorer Internet para arquivos potencialmente inseguros
Padrão de linha de base: Prompt
Saiba maisBloqueador pop-up de zona da Internet Explorer Internet
Padrão de linha de base: Habilitar
Saiba maisA zona de intranet Explorer internet não executa antimalware em controles Active X
Padrão de linha de base: desabilitado
Saiba maisInternet Explorer zona de intranet inicializar e script controles Active X não marcados como seguros
Padrão de linha de base: desabilitar
Saiba maisPermissões java da zona de intranet Explorer Internet
Padrão de linha de base: alta segurança
Saiba maisInternet Explorer zona de máquina local não executar antimalware em controles Active X
Padrão de linha de base: desabilitado
Saiba maisPermissões java da zona de máquina local Explorer Internet
Padrão da linha de base: desabilitar java
Saiba maisInternet Explorer tela inteligente da zona da Internet bloqueada
Padrão de linha de base: habilitado
Saiba maisInternet Explorer bloqueado permissões java da zona de intranet
Padrão da linha de base: desabilitar java
Saiba maisInternet Explorer bloqueado permissões java da zona de máquina local
Padrão da linha de base: desabilitar java
Saiba maisInternet Explorer tela inteligente de zona restrita bloqueada
Padrão de linha de base: habilitado
Saiba maisPermissões de java de zona restrita bloqueadas Explorer de Internet
Padrão da linha de base: desabilitar java
Saiba maisInternet Explorer bloqueado permissões java de zona confiável
Padrão da linha de base: desabilitar java
Saiba maisO Explorer da Internet processa o recurso de segurança de detecção do MIME
Padrão de linha de base: habilitado
Saiba maisInternet Explorer processa restrição de segurança de protocolo MK
Padrão de linha de base: habilitado
Saiba maisBarra de notificação de processos de internet Explorer
Padrão de linha de base: habilitado
Saiba maisInternet Explorer impedir a instalação por usuário de controles Active X
Padrão de linha de base: habilitado
Saiba maisInternet Explorer processa a proteção contra a elevação da zona
Padrão de linha de base: habilitado
Saiba maisBotão remover Explorer internet desta vez para controles Active X desatualizados
Padrão de linha de base: habilitado
Saiba maisProcessos de Explorer da Internet restringem a instalação do Active X
Padrão de linha de base: habilitado
Saiba maisAcesso de zona restrita Explorer Internet a fontes de dados
Padrão de linha de base: desabilitar
Saiba maisScript ativo de zona restrita Explorer Internet
Padrão de linha de base: desabilitar
Saiba maisInternet Explorer prompt automático de zona restrita para downloads de arquivos
Padrão de linha de base: desabilitado
Saiba maisComportamentos binários e scripts de zona restrita Explorer Internet
Padrão de linha de base: desabilitar
Saiba maisInternet Explorer cópia de zona restrita e colar por meio de script
Padrão de linha de base: desabilitar
Saiba maisInternet Explorer arquivos de arrastar e soltar ou copiar e colar arquivos de zona restrita
Padrão de linha de base: desabilitar
Saiba maisInternet Explorer sites com zona restrita menos privilegiados
Padrão de linha de base: desabilitar
Saiba maisCarregamento de zona restrita Explorer internet de arquivos XAML
Padrão de linha de base: desabilitar
Saiba maisAtualização de meta de zona restrita Explorer Internet
Padrão de linha de base: desabilitado
Saiba maisComponentes dependentes .NET Framework de zona restrita Explorer internet
Padrão de linha de base: desabilitar
Saiba maisA zona restrita Explorer internet permite que apenas domínios aprovados usem controles Active X
Padrão de linha de base: habilitado
Saiba maisA zona restrita do Explorer internet permite que apenas domínios aprovados usem controles do Active X tdc
Padrão de linha de base: habilitado
Saiba maisInternet Explorer script de zona restrita de controles do navegador da Web
Padrão de linha de base: desabilitado
Saiba maisJanelas iniciadas por script de zona restrita Explorer Internet
Padrão de linha de base: desabilitado
Saiba maisScripts de zona restrita Explorer Internet
Padrão de linha de base: desabilitado
Saiba maisInternet Explorer tela inteligente de zona restrita
Padrão de linha de base: habilitado
Saiba maisAtualizações de zona restrita Explorer Internet para status barra por script
Padrão de linha de base: desabilitado
Saiba maisPersistência de dados do usuário da zona restrita Explorer Internet
Padrão de linha de base: desabilitado
Saiba maisA zona restrita Explorer internet permite que o vbscript seja executado
Padrão de linha de base: desabilitar
Saiba maisA zona restrita Explorer internet não executa antimalware em controles Active X
Padrão de linha de base: desabilitado
Saiba maisControles Active X assinados por download de zona restrita Explorer Internet
Padrão de linha de base: desabilitar
Saiba maisControles Active X não assinados de download de zona restrita Explorer Internet
Padrão de linha de base: desabilitar
Saiba maisFiltro de script entre sites de zona restrita Explorer internet
Padrão de linha de base: habilitado
Saiba maisInternet Explorer zona restrita arrastam conteúdo de diferentes domínios entre janelas
Padrão de linha de base: desabilitado
Saiba maisInternet Explorer zona restrita arrastam conteúdo de diferentes domínios dentro das janelas
Padrão de linha de base: desabilitado
Saiba maisInternet Explorer zona restrita incluem o caminho local ao carregar arquivos no servidor
Padrão de linha de base: desabilitado
Saiba maisInternet Explorer inicialização de zona restrita e script controles Active X não marcados como seguros
Padrão de linha de base: desabilitar
Saiba maisPermissões java de zona restrita Explorer Internet
Padrão da linha de base: desabilitar java
Saiba maisInternet Explorer aplicativos e arquivos de inicialização de zona restrita em um iFrame
Padrão de linha de base: desabilitar
Saiba maisOpções de logon de zona restrita Explorer Internet
Padrão de linha de base: Anônimo
Saiba maisInternet Explorer zona restrita navega por janelas e quadros em diferentes domínios
Padrão de linha de base: desabilitar
Saiba maisInternet Explorer zona restrita executar controles e plug-ins do Active X
Padrão de linha de base: desabilitar
Saiba maisInternet Explorer execução de zona restrita .NET Framework componentes dependentes assinados com Authenticode
Padrão de linha de base: desabilitar
Saiba maisInternet Explorer script de zona restrita de applets java
Padrão de linha de base: desabilitar
Saiba maisAviso de segurança de zona restrita Explorer Internet para arquivos potencialmente inseguros
Padrão de linha de base: desabilitar
Saiba maisModo protegido por zona restrita Explorer Internet
Padrão de linha de base: Habilitar
Saiba maisBloqueador pop-up de zona restrita Explorer Internet
Padrão de linha de base: Habilitar
Saiba maisProcessos de Explorer da Internet restringem o download de arquivos
Padrão de linha de base: habilitado
Saiba maisInternet Explorer processa restrições de segurança de janela com script
Padrão de linha de base: habilitado
Saiba maisAs zonas de segurança de Explorer internet usam apenas configurações de máquina
Padrão de linha de base: habilitado
Saiba maisInternet Explorer usar o serviço instalador Active X
Padrão de linha de base: habilitado
Saiba maisInternet Explorer zona confiável não executam antimalware em controles Active X
Padrão de linha de base: desabilitado
Saiba maisInternet Explorer inicialização de zona confiável e script controles Active X não marcados como seguros
Padrão de linha de base: desabilitar
Saiba maisPermissões java de zona confiável Explorer Internet
Padrão de linha de base: alta segurança
Saiba maisInternet Explorer preenchimento automático
Padrão de linha de base: desabilitado
Saiba mais
Opções de segurança de políticas locais
Bloquear logon remoto com senha em branco
Padrão de linha de base: Sim
Saiba maisMinutos de inatividade da tela de bloqueio até que o protetor de tela seja ativado
Padrão da linha de base: 15
Saiba maisComportamento de remoção de cartão inteligente
Padrão de linha de base: bloquear estação de trabalho
Saiba maisExigir que o cliente sempre assine comunicações digitalmente
Padrão de linha de base: Sim
Saiba maisImpedir que os clientes enviem senhas não criptografadas para servidores SMB de terceiros
Padrão de linha de base: Sim
Saiba maisExigir comunicações de assinatura digital do servidor sempre
Padrão de linha de base: Sim
Saiba maisImpedir a enumeração anônima de contas SAM
Padrão de linha de base: Sim
Saiba maisBloquear a enumeração anônima de contas e compartilhamentos sam
Padrão de linha de base: Sim
Saiba maisRestringir o acesso anônimo a pipes e compartilhamentos nomeados
Padrão de linha de base: Sim
Saiba maisPermitir chamadas remotas para o gerenciador de contas de segurança
Padrão da linha de base: O:BAG:BAD:(A;; RC;;; BA)
Saiba maisImpedir o armazenamento do valor de hash do gerenciador de LAN na próxima alteração de senha
Padrão de linha de base: Sim
Saiba maisNível de autenticação
Padrão de linha de base: enviar somente resposta NTLMv2. Recusar LM e NTLM
Saiba maisSegurança mínima da sessão para clientes baseados em SSP NTLM
Padrão de linha de base: exigir criptografia de NTLM V2 e 128 bits
Saiba maisSegurança mínima da sessão para servidores baseados em SSP NTLM
Padrão de linha de base: exigir criptografia de NTLM V2 e 128 bits
Saiba maisComportamento de prompt de elevação do administrador
Padrão da linha de base: solicitar consentimento na área de trabalho segura
Saiba maisComportamento de prompt de elevação de usuário padrão
Padrão de linha de base: negar automaticamente solicitações de elevação
Saiba maisDetectar instalações de aplicativo e prompt para elevação
Padrão de linha de base: Sim
Saiba maisPermitir somente aplicativos de acesso à interface do usuário para locais seguros
Padrão de linha de base: Sim
Saiba maisExigir o modo de aprovação de administrador para administradores
Padrão de linha de base: Sim
Saiba maisUsar o modo de aprovação de administrador
Padrão de linha de base: Sim
Saiba maisVirtualizar falhas de gravação de arquivo e registro para por localidades de usuário
Padrão de linha de base: Sim
Saiba mais
Microsoft Defender
Ativar a proteção em tempo real
Padrão de linha de base: Sim
Saiba maisExaminar scripts usados em navegadores da Microsoft
Padrão de linha de base: Sim
Saiba maisTempo adicional (0 a 50 segundos) para estender o tempo limite de proteção na nuvem
Padrão da linha de base: 50
Saiba maisExaminar todos os arquivos e anexos baixados
Padrão de linha de base: Sim
Saiba maisTipo de verificação
Padrão da linha de base: verificação rápida
Saiba maisDia de verificação do cronograma do Defender
Padrão da linha de base: todos os diasHora de início da verificação agendada
Padrão de linha de base: não configuradoConsentimento de envio de exemplo do Defender
Padrão de linha de base: enviar amostras seguras automaticamente
Saiba maisNível de proteção entregue pela nuvem
Padrão de linha de base: alto
Saiba maisVerificar unidades removíveis durante a verificação completa
Padrão de linha de base: Sim
Saiba maisAção de aplicativo potencialmente indesejada do Defender
Padrão da linha de base: Bloquear
Saiba maisAtivar a proteção fornecida pela nuvem
Padrão de linha de base: Sim
Saiba mais
exclusões antivírus Microsoft Defender
Processos do Defender a serem excluídos
Padrões de linha de base: não configurado por padrão. Adicione manualmente uma ou mais entradas.Extensões de arquivo a serem excluídas de verificações e proteção em tempo real
Padrões de linha de base: não configurado por padrão. Adicione manualmente uma ou mais entradas.Arquivos e pastas do Defender a serem excluídos
Padrão de linha de base: não configurado por padrão. Adicione manualmente uma ou mais entradas.
Microsoft Edge
Controlar quais extensões não podem ser instaladas
Padrão de linha de base: habilitado- IDs de extensão que o usuário deve ser impedido de instalar (ou * para todos)
Padrão de linha de base: não configurado por padrão. Adicionar manualmente uma ou mais IDs
- IDs de extensão que o usuário deve ser impedido de instalar (ou * para todos)
Permitir hosts de mensagens nativas em nível de usuário (instalado sem permissões de administrador)
Padrão de linha de base: desabilitadoVersão SSL mínima habilitada
Padrão de linha de base: habilitado- Versão SSL mínima habilitada
Padrão de linha de base: TLS 1.2
- Versão SSL mínima habilitada
Permitir que os usuários prossigam da página de aviso SSL
Padrão de linha de base: desabilitadoConfigurar Microsoft Defender SmartScreen
Padrão de linha de base: habilitadoEvitar ignorar Microsoft Defender solicitações smartscreen para sites
Padrão de linha de base: habilitadoImpedir o bypass de avisos Microsoft Defender SmartScreen sobre downloads
Padrão de linha de base: habilitadoConfigurar Microsoft Defender SmartScreen para bloquear aplicativos potencialmente indesejados
Padrão de linha de base: habilitadoConfiguração padrão do Adobe Flash
Padrão de linha de base: habilitado- Configuração padrão do Adobe Flash
Padrão de linha de base: bloquear o plug-in do Adobe Flash
- Configuração padrão do Adobe Flash
Habilitar o salvamento de senhas no gerenciador de senhas
Padrão de linha de base: desabilitadoHabilitar o isolamento de sites para todos os sites
Padrão de linha de base: habilitadoEsquemas de autenticação com suporte
Padrão de linha de base: habilitado- Esquemas de autenticação com suporte
Padrões de linha de base: dois itens: NTLM e Negociar
- Esquemas de autenticação com suporte
Guia de Segurança ms
Configuração de início do driver de cliente do SMB v1
Padrão da linha de base: desabilitar driver
Saiba maisAplicar restrições de UAC a contas locais no logon de rede
Padrão de linha de base: habilitado
Saiba maisProteção de substituição de exceção estruturada
Padrão de linha de base: habilitado
Saiba maisServidor SMB v1
Padrão de linha de base: desabilitado
Saiba maisAutenticação de digestão
Padrão de linha de base: desabilitado
Saiba mais
MSS Legacy
Nível de proteção de roteamento de origem IPv6 de rede
Padrão de linha de base: proteção mais alta
Saiba maisNível de proteção de roteamento de origem ip de rede
Padrão de linha de base: proteção mais alta
Saiba maisIgnorar solicitações de versão de nome do NetBIOS, exceto de servidores WINS
Padrão de linha de base: habilitado
Saiba maisRedirecionamentos de ICMP de rede substituem rotas geradas pelo OSPF
Padrão de linha de base: desabilitado
Saiba mais
Assistência Remota
- Assistência Remota solicitada Padrão de linha de base: desabilitar assistência remota
Saiba mais
Serviços de Área de Trabalho Remota
Nível de criptografia de conexão do cliente dos serviços de área de trabalho remota
Padrão de linha de base: alto
Saiba maisBloquear redirecionamento de unidade
Padrão de linha de base: habilitadoBloquear a economia de senha
Padrão de linha de base: habilitado
Saiba maisSolicitar senha após a conexão
Padrão de linha de base: habilitado
Saiba maisComunicação RPC segura
Padrão de linha de base: habilitado
Saiba mais
Gerenciamento Remoto
Bloquear autenticação de digestão do cliente
Padrão de linha de base: habilitado
Saiba maisBloquear a execução de armazenamento como credenciais
Padrão de linha de base: habilitado
Saiba maisAutenticação básica do cliente
Padrão de linha de base: desabilitado
Saiba maisAutenticação básica
Padrão de linha de base: desabilitado
Saiba maisTráfego não criptografado do cliente
Padrão de linha de base: desabilitado
Saiba maisTráfego não criptografado
Padrão de linha de base: desabilitado
Saiba mais
Chamada de Procedimento Remoto
- Opções de cliente não autenticadas do RPC
Padrão de linha de base: autenticado
Saiba mais
Pesquisar
- Desabilitar a indexação de itens criptografados
Padrão de linha de base: Sim
Saiba mais
Tela Inteligente
Ativar o Windows SmartScreen
Padrão de linha de base: Sim
Saiba maisImpedir que os usuários ignorem avisos do SmartScreen
Padrão de linha de base: Sim
Saiba mais
Sistema
- Inicialização do driver de inicialização do sistema
Padrão de linha de base: bom desconhecido e crítico ruim
Saiba mais
Windows Gerenciador de Conexões
- Bloquear a conexão com redes que não são de domínio
Padrão de linha de base: habilitado
Saiba mais
Espaço de Trabalho do Windows Ink
- Espaço de Trabalho de Tinta
Padrão de linha de base: habilitado
Saiba mais
Windows PowerShell
- Log de blocos de script do PowerShell
Padrão de linha de base: habilitado
Saiba mais
Segurança do Windows
- Habilitar a proteção contra adulteração para evitar que Microsoft Defender sejam desabilitados
Padrão de linha de base: Habilitar
Saiba mais
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de