Windows 10 (e posteriormente) configurações para proteger dispositivos que utilizam o Intune

Artigo
08/17/2021

Nota

Intune pode suportar mais configurações do que as configurações listadas neste artigo. Nem todas as definições estão documentadas e não serão documentadas. Para ver as definições pode configurar, crie um perfil de configuração do dispositivo e selecione Definições Catálogo. Para mais informações, consulte Definições catálogo.

Microsoft Intune inclui muitas configurações para ajudar a proteger os seus dispositivos. Este artigo descreve algumas das definições que pode ativar e configurar em Windows 10 e dispositivos mais recentes. Estas definições são criadas num perfil de configuração de proteção de ponto final no Intune para controlar a segurança, incluindo o BitLocker e o Microsoft Defender.

Para configurar Antivírus do Microsoft Defender, consulte Windows 10 restrições do dispositivo.

Antes de começar

Crie um perfil de configuração do dispositivo de proteção de ponto final.

Para obter mais informações sobre os prestadores de serviços de configuração (CSPs), consulte a referência do fornecedor de serviços de configuração.

Microsoft Defender Application Guard

Ao usar Microsoft Edge, Microsoft Defender Application Guard protege o seu ambiente de sites que não são de confiança da sua organização. Quando os utilizadores visitam sites que não estão listados no limite isolado da rede, os sites abrem numa sessão de navegação virtual Hyper-V. Os sites fidedignos são definidos por um limite de rede, que são configurados na Configuração do Dispositivo. Para obter mais informações, consulte Criar uma fronteira de rede em dispositivos Windows.

O Application Guard só está disponível para dispositivos com o Windows 10 (64 bits). Se utilizar este perfil, instalará um componente do Win32 para ativar o Application Guard.

Guarda de Aplicação
Padrão: Não configurado
Aplicação Guard CSP: Definições/AllowWindowsDefenderApplicationGuard
- Ativado para Edge - Liga esta funcionalidade, que abre sites não fided os falsos num recipiente de navegação virtualizado Hyper-V.
- Não configurado - Qualquer site (confiável e desconfiado) pode abrir no dispositivo.
Comportamento da prancheta
Padrão: Não configurado
Aplicação Guarda CSP: Definições/ClipboardSettings

Escolha quais as ações de cópia e pasta permitidas entre o PC local e o navegador virtual Da Guarda de Aplicações.
- Não configurado
- Permitir copiar e colar de PC para navegador apenas
- Permitir copiar e colar apenas do navegador para PC
- Permitir copiar e colar entre PC e browser
- Bloquear cópia e pasta entre PC e browser
Conteúdo da prancheta
Esta definição só está disponível quando o comportamento da Área de Transferência estiver definido para uma das definições de permitir.
Padrão: Não configurado
Aplicação Guard CSP: Definições/ClipboardFileType

Selecione o conteúdo da área de transferência permitida.
- Não configurado
- Texto
- Imagens
- Texto e imagens
Conteúdo externo em sites empresariais
Padrão: Não configurado
Aplicação Guarda CSP: Definições/BlockNonEnterpriseContent
- Bloco - Bloqueie o conteúdo de sites não aprovados a partir do carregamento.
- Não configurados - Sites não empresariais podem abrir no dispositivo.
Imprimir a partir do navegador virtual
Padrão: Não configurado
Aplicação Guarda CSP: Definições/ImpressãoSettings
- Permitir - Permite a impressão de conteúdo selecionado a partir do navegador virtual.
- Não configurado Desative todas as funcionalidades de impressão.
Quando permitir a impressão, pode configurar a seguinte definição:
- Tipo de impressão ou Selecione uma ou mais das seguintes opções:
  - PDF
  - XPS
  - Impressoras locais
  - Impressoras de rede
Recolher registos
Padrão: Não configurado
Guarda de Aplicações CSP: Auditoria/AuditoriaApplicationGuard
- Permitir - Recolher registos para eventos que ocorram dentro de uma sessão de navegação da Guarda de Aplicação.
- Não configurado - Não recolha registos dentro da sessão de navegação.
Reter dados de navegador gerados pelo utilizador
Padrão: Não configurado
Aplicação Guarda CSP: Definições/AllowPersistence
- Permitir Guarde os dados do utilizador (como palavras-passe, favoritos e cookies) que são criados durante uma sessão de navegação virtual da App Guard.
- Não configurado Elimine os ficheiros e dados descarregados pelo utilizador quando o dispositivo é reiniciado, ou quando um utilizador se inscreve.
Aceleração gráfica
Padrão: Não configurado
Guarda de Aplicações CSP: Definições/AllowVirtualGPU
- Ativar - Carregue mais rapidamente os websites e vídeos com grande intensidade gráfica, obtendo acesso a uma unidade de processamento de gráficos virtuais.
- Não configurado Utilize o CPU do dispositivo para gráficos; Não utilize a unidade de processamento de gráficos virtuais.
Descarregue ficheiros para hospedar o sistema de ficheiros
Padrão: Não configurado
Guarda de Aplicações CSP: Definições/SaveFilesToHost
- Ativar - Os utilizadores podem transferir ficheiros do navegador virtualizado para o sistema operativo anfitrião.
- Não configurado - Mantém os ficheiros locais no dispositivo e não descarrega ficheiros para o sistema de ficheiros anfitrião.

Microsoft Defender Firewall

Definições globais

Estas definições são aplicáveis a todos os tipos de rede.

Protocolo de Transferência de Ficheiros
Padrão: Não configurado
Firewall CSP: MdmStore/Global/DisableStatefulFtp
- Bloco - Desative o FTP imponente.
- Não configurada - A firewall faz a filtragem ftp imponente para permitir ligações secundárias.
Associação de segurança inativa tempo antes da eliminação
Padrão: Não configurado
Firewall CSP: Mdmstore/Global/SaIdleTime

Especifique um tempo de marcha lenta em segundos, após o qual as associações de segurança são eliminadas.
Codificação de chaves pré-partilhada
Padrão: Não configurado
Firewall CSP: MdmStore/Global/PresharedKeyEncoding
- Ativar - Codificar as teclas pré-ensaiadas utilizando o UTF-8.
- Não configurado - Codificar as chaves pré-ensaiadas utilizando o valor da loja local.
Isenções do IPsec
Predefinição: 0 selecionado
Firewall CSP: Mdmstore/Global/IPsecExempt

Selecione um ou mais dos seguintes tipos de tráfego a isentar do IPsec:
- Descoberta de vizinho de códigos do tipo IPv6 ICMP
- ICMP
- Descoberta de router de códigos do tipo IPv6 ICMP
- Tráfego de rede de IPv4 e IPv6 DHCP
Verificação da lista de revogação de certificados
Padrão: Não configurado
Firewall CSP: Mdmstore/Global/CRLcheck

Escolha como o dispositivo verifica a lista de revogação do certificado. As opções incluem:
- Desativar a verificação do CRL
- Falha na verificação do CRL apenas no certificado revogado
- Falha na verificação do CRL em qualquer erro encontrado.
Conjunto de autenticação oportunisticamente de correspondência por módulo de chavegem
Padrão: Não configurado
Firewall CSP: MdmStore/Global/OportunisticamenteMatchAuthSetPerKM
- Ativar Os módulos de teclagem devem ignorar apenas as suites de autenticação que não suportam.
- Não configurados, os módulos de chavegem devem ignorar todo o conjunto de autenticação se não suportarem todas as suites de autenticação especificadas no conjunto.
Fila de pacotes
Padrão: Não configurado
Firewall CSP: Mdmstore/Global/EnablePacketQueue

Especifique como a escala de software no lado de receber é ativada para o cartão encriptado receber e limpar o texto para a frente para o cenário de gateway do túnel IPsec. Esta definição confirma que a encomenda do pacote está preservada. As opções incluem:
- Não configurado
- Desativar todos os pacotes de fila
- Pacotes encriptados de entrada de fila apenas
- Pacotes de fila após desencriptação é realizado apenas para encaminhamento
- Configurar pacotes de entrada e saída

Definições de rede

As seguintes definições são listadas neste artigo uma única vez, mas todas se aplicam aos três tipos de rede específicos:

Rede de domínio (local de trabalho)
Rede privada (detetável)
Rede pública (não detetável)

Definições gerais

Microsoft Defender Firewall
Padrão: Não configurado
Firewall CSP: EnableFirewall
- Ativar - Ligue a firewall e a segurança avançada.
- Não configurado Permite todo o tráfego de rede, independentemente de quaisquer outras definições de política.
Modo furtivo
Padrão: Não configurado
Firewall CSP: DisableStealthMode
- Não configurado
- Bloco - A firewall está bloqueada de funcionar em modo de stealth. Esta definição também lhe permite bloquear a Exceção de pacotes seguros com IPsec.
- Permitir - A firewall funciona em modo de stealth, o que ajuda a evitar respostas a pedidos de sondagem.
IPsec garantiu isenção de pacote com modo Stealth
Padrão: Não configurado
Firewall CSP: DisableStealthModeIpsecSecuredPacketExemption

Esta opção é ignorada se o modo Stealth estiver definido para Bloquear.
- Não configurado
- Bloco - Pacotes garantidos IPSec não recebem isenções.
- Permitir - Permitir isenções. O modo de stealth da firewall NÃO DEVE impedir que o computador anfitrião responda ao tráfego de rede não solicitado que é protegido pelo IPsec.
Protegido
Padrão: Não configurado
Firewall CSP: Blindado
- Não configurado
- Bloquear - Quando o Microsoft Defender Firewall estiver ligado e esta definição estiver definida para Bloco, todo o tráfego de entrada está bloqueado, independentemente de outras definições de política.
- Permitir - Quando definido para Permitir, esta definição é desligada - e o tráfego de entrada é permitido com base em outras definições de política.
Respostas unicast a emissões multicast
Padrão: Não configurado
Firewall CSP: DisableUnicastResponsesToMulticastBroadcast

Normalmente, não quer receber respostas unicast para mensagens multicast ou de difusão. Estas respostas podem indicar um ataque de negação de serviço (DOS) ou um intruso a tentar sondar um computador vivo conhecido.
- Não configurado
- Bloco - Desative as respostas unicast para transmissões multicast.
- Permitir - Permitir respostas unicast a transmissões multicast.
Notificações de entrada
Padrão: Não configurado
Firewall CSP: Incapacitação de Desativação
- Não configurado
- Bloquear - Ocultar notificações para utilização quando uma aplicação é bloqueada de ouvir numa porta.
- Permitir - Ativa esta definição e pode mostrar uma notificação aos utilizadores quando uma aplicação é bloqueada de ouvir numa porta.
Ação padrão para ligações de saída
Padrão: Não configurado
Firewall CSP: Predefinição de saída

Configure a firewall de ação predefinida nas ligações de saída. Esta definição será aplicada à versão Windows 1809 ou acima.
- Não configurado
- Bloco - A ação de firewall padrão não é executada no tráfego de saída a menos que seja explicitamente especificado para não bloquear.
- Permitir - As ações de firewall predefinidos são executadas em ligações de saída.
Ação padrão para ligações de entrada
Padrão: Não configurado
Firewall CSP: DefaultInboundAction
- Não configurado
- Bloco - A ação de firewall padrão não é executada em ligações de entrada.
- Permitir - As ações de firewall predefinidos são executadas em ligações de entrada.

Intercalação de regras

Aplicação autorizada Microsoft Defender Firewall regras da loja local
Padrão: Não configurado
Firewall CSP: AuthAppsAllowUserPrefMerge
- Não configurado
- Bloco - As regras autorizadas de firewall de aplicação na loja local são ignoradas e não aplicadas.
- Permitir - Escolha Enable Aplica regras de firewall na loja local para que sejam reconhecidas e aplicadas.
Regras globais do Microsoft Defender Firewall da loja local
Padrão: Não configurado
Firewall CSP: GlobalPortsAllowUserPrefMerge
- Não configurado
- Bloco - As regras globais de firewall portuária na loja local são ignoradas e não aplicadas.
- Permitir - Aplicar as regras globais de firewall de porta na loja local para ser reconhecido e aplicado.
Regras do Microsoft Defender Firewall da loja local
Padrão: Não configurado
Firewall CSP: AllowLocalPolicyMerge
- Não configurado
- Bloco - As regras de firewall da loja local são ignoradas e não aplicadas.
- Permitir - Aplicar regras de firewall na loja local para ser reconhecido e aplicado.
Regras do IPsec da loja local
Padrão: Não configurado
Firewall CSP: AllowLocalIpsecPolicyMerge
- Não configurado
- Bloco - As regras de segurança de ligação da loja local são ignoradas e não aplicadas, independentemente da versão de esquema e da regra de segurança de ligação.
- Permitir - Aplicar regras de segurança de ligação da loja local, independentemente das versões de esquema ou regras de segurança de ligação.

Regras da firewall

Pode adicionar uma ou mais regras de Firewall personalizadas. Para obter mais informações, consulte as regras de firewall personalizadas para Windows 10 dispositivos.

As regras de Firewall personalizadas suportam as seguintes opções:

Definições gerais:

Nome
Padrão: Sem nome

Especifique um nome amigável para a sua regra. Este nome aparecerá na lista de regras para ajudá-lo a identificá-lo.
Descrição
Padrão: Sem descrição

Forneça uma descrição da regra.
Direção
Padrão: Não configurado
Firewall CSP: FirewallRules/FirewallRuleName/Direction

Especificar se esta regra se aplica ao tráfego de entrada ou saída. Quando definido como Não configurado, a regra aplica-se automaticamente ao tráfego de saída.
Ação
Padrão: Não configurado
Firewall CSP: FirewallRules/FirewallRuleName/Action, e FirewallRules/FirewallRuleName/Action/Type

Selecione a partir de Permitir ou Bloquear. Quando definido como Não configurado, a regra é padrão para permitir o tráfego.
Tipo de rede
Predefinição: 0 selecionado
Firewall CSP: FirewallRules/FirewallRuleName/Profiles

Selecione até três tipos de tipos de rede aos quais esta regra pertence. As opções incluem Domínio, Privado e Público. Se não forem selecionados tipos de rede, a regra aplica-se aos três tipos de rede.

Definições da aplicação

Aplicações(s)
Padrão: Todos

Controlar ligações para uma aplicação ou programa. Selecione uma das seguintes opções e, em seguida, complete a configuração adicional:
- Nome da família do pacote - Especifique um nome de família pacote. Para encontrar o nome da família do pacote, utilize o comando PowerShell Get-AppxPackage.
  Firewall CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName
- Caminho do arquivo – Tem de especificar um caminho de ficheiro para uma aplicação no dispositivo cliente, que pode ser um caminho absoluto, ou um caminho relativo. Por exemplo: C:\Windows\System\Notepad.exe ou %WINDIR%\Notepad.exe.
  Firewall CSP: FirewallRules/FirewallRuleName/App/FilePath
- Windows serviço – Especifique o nome curto do serviço Windows se for um serviço e não uma aplicação que envie ou receba tráfego. Para encontrar o nome curto do serviço, utilize o comando PowerShell Get-Service.
  Firewall CSP: FirewallRules/FirewallRuleName/App/ServiceName
- Tudo– Não existe nenhuma configuração adicional.

Definições de endereços IP

Especifique os endereços locais e remotos aos quais esta regra se aplica.

Endereços locais
Predefinição: Qualquer endereço
Firewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges

Selecione Qualquer endereço ou endereço especificado.

Quando utilizar o endereço Especificado, adicione um ou mais endereços como uma lista separada por vírgula de endereços locais abrangidos pela regra. Os tokens válidos incluem:
- Use um asterisco "*" para qualquer endereço local. Se usar um asterisco, deve ser o único sinal que usa.
- Para especificar uma sub-rede, utilize a máscara de sub-rede ou a notação de prefixo de rede. Se não for especificada uma máscara de sub-rede nem um prefixo de rede, a máscara da sub-rede fica em padrão para 255.255.255.255.
- Um endereço IPv6 válido.
- Uma gama de endereços IPv4 no formato de "endereço inicial - endereço final" sem espaços incluídos.
- Uma gama de endereços IPv6 no formato de "endereço inicial - endereço final" sem espaços incluídos.
Endereços remotos
Predefinição: Qualquer endereço
Firewall CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

Selecione Qualquer endereço ou endereço especificado.

Quando utilizar o endereço especificado, adicione um ou mais endereços como uma lista separada por vírgula de endereços remotos que estão abrangidos pela regra. As fichas não são sensíveis a casos. Os tokens válidos incluem:
- Utilize um asterisco "*" para qualquer endereço remoto. Se usar um asterisco, deve ser o único sinal que usa.
- "Via Predefinido"
- "DHCP"
- "DNS"
- "WINS"
- "Intranet" (suportado nas versões Windows 1809 e posteriormente)
- "RmtIntranet" (suportado nas versões Windows 1809 e posteriormente)
- "Internet" (suportado nas versões Windows 1809 e posteriormente)
- "Ply2Renders" (suportado nas versões Windows 1809 e posteriormente)
- "LocalSubnet" indica qualquer endereço local na sub-rede local.
- Para especificar uma sub-rede, utilize a máscara de sub-rede ou a notação de prefixo de rede. Se não for especificada uma máscara de sub-rede nem um prefixo de rede, a máscara da sub-rede fica em padrão para 255.255.255.255.
- Um endereço IPv6 válido.
- Uma gama de endereços IPv4 no formato de "endereço inicial - endereço final" sem espaços incluídos.
- Uma gama de endereços IPv6 no formato de "endereço inicial - endereço final" sem espaços incluídos.

Definições de porta e protocolo

Especificar as portas locais e remotas às quais esta regra se aplica.

Protocolo
Padrão: Qualquer
Firewall CSP: FirewallRules/FirewallRuleName/Protocol
Selecione a partir do seguinte e preencha as configurações necessárias:
- Tudo – Não existe nenhuma configuração adicional.
- TCP – Configurar portas locais e remotas. Ambas as opções suportam todas as portas ou portas especificadas. Introduza portas especificadas utilizando uma lista separada por vírgulas.
  - Portas locais - Firewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges
  - Portas remotas - Firewall CSP: FirewallRules/FirewallRuleName/RemotePortRanges
- UDP – Configurar portas locais e remotas. Ambas as opções suportam todas as portas ou portas especificadas. Introduza portas especificadas utilizando uma lista separada por vírgulas.
  - Portas locais - Firewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges
  - Portas remotas - Firewall CSP: FirewallRules/FirewallRuleName/RemotePortRanges
- Personalizado – Especifique um número de protocolo personalizado de 0 a 255.

Configuração avançada

Tipos de interface
Predefinição: 0 selecionado
Firewall CSP: FirewallRules/FirewallRuleName/InterfaceTypes

Selecione entre as seguintes opções:
- Acesso remoto
- Sem fios
- Rede local de área
Apenas permitir ligações destes utilizadores
Predefinição: Todos os utilizadores (Predefinições a todas as utilizações quando não é especificada nenhuma lista)
Firewall CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

Especifique uma lista de utilizadores locais autorizados para esta regra. Uma lista de utilizadores autorizados não pode ser especificada se esta regra se aplica a um serviço de Windows.

Microsoft Defender SmartScreen configurações

Microsoft Edge deve ser instalado no aparelho.

SmartScreen para apps e ficheiros
Padrão: Não configurado
SmartScreen CSP: SmartScreen/EnableSmartScreenInShell
- Não configurado - Desativa a utilização do SmartScreen.
- Ativar - Ative Windows SmartScreen para a execução de ficheiros e executar aplicações. O SmartScreen é um componente anti-phishing e anti-malware baseado na cloud.
Execução de ficheiros não verificados
Padrão: Não configurado
SmartScreen CSP: SmartScreen/PreventOverrideForFilesInshell
- Não configurado - Desativa esta funcionalidade e permite que os utilizadores finais executem ficheiros que não tenham sido verificados.
- Bloquear - Impedir que os utilizadores finais executem ficheiros que não tenham sido verificados por Windows SmartScreen.

Encriptação do Windows

Definições do Windows

Encriptar dispositivos
Padrão: Não configurado
BitLocker CSP: RequerdeviceEncryption
- Exigir - Instrua os utilizadores a ativar a encriptação do dispositivo. Consoante a edição do Windows e configuração do sistema, poderá ser pedido aos utilizadores:
  - Para confirmar que a encriptação de outro fornecedor não está ativada.
  - Seja necessário desligar a Encriptação bitLocker Drive e, em seguida, voltar a ligar o BitLocker.
- Não configurado
Se a encriptação do Windows for ativada enquanto outro método de encriptação estiver ativo, o dispositivo pode tornar-se instável.

Definições base do BitLocker

As definições base são definições de BitLocker universais para todos os tipos de unidades de dados. Estas definições gerem as tarefas de encriptação ou opções de configuração de unidades que o utilizador final pode modificar para todos os tipos de unidades de dados.

Aviso para outra encriptação de disco
Padrão: Não configurado
BitLocker CSP: AllowWarningForOtherDiskEncryption
- Bloquear - Desativar a indicação de aviso se estiver no dispositivo outro serviço de encriptação de disco.
- Não configurado - Deixe o aviso para que outra encriptação do disco seja mostrada.
Dica

Para instalar o BitLocker de forma automática e silenciosa num dispositivo que é Azure AD ligado e executado Windows 1809 ou mais tarde, esta definição deve ser definida para Bloco. Para obter mais informações, consulte Silently Ativar o BitLocker nos dispositivos.

Quando definido para bloquear, pode então configurar a seguinte definição:
- Permitir que os utilizadores padrão permitam a encriptação durante a Azure AD Join
  Esta definição aplica-se apenas aos dispositivos Azure Ative Directory Unidos (Azure ADJ) e depende da configuração anterior, Warning for other disk encryption .
  Padrão: Não configurado
  BitLocker CSP: Permitir a encriptação DoStandardUser
  - Permitir - Os utilizadores standard (não administradores) podem ativar a encriptação bitLocker quando assinados.
  - Não configurados apenas os administradores podem ativar a encriptação bitLocker no dispositivo.
Dica

Para instalar o BitLocker de forma automática e silenciosa num dispositivo que é Azure AD ligado e executado Windows 1809 ou mais tarde, esta definição deve ser definida para Permitir. Para obter mais informações, consulte Silently Ativar o BitLocker nos dispositivos.
Configurar métodos de encriptação
Padrão: Não configurado
BitLocker CSP: EncryptionMethodByDriveType
- Ativar - Configurar algoritmos de encriptação para sistema operativo, dados e unidades amovíveis.
- Não configurado - O BitLocker utiliza o bit XTS-AES 128 como método de encriptação padrão, ou utiliza o método de encriptação especificado por qualquer script de configuração.
Quando definido para ativar, pode configurar as seguintes definições:
- Encriptação para unidades do sistema operativo
  Padrão: XTS-AES 128-bit
  
  Escolha o método de encriptação para acionamentos do sistema operativo. Recomendamos que utilize o algoritmo XTS-AES.
  - AES-CBC 128-bit
  - AES-CBC 256-bit
  - XTS-AES 128-bit
  - XTS-AES 256-bit
- Encriptação para unidades de dados fixas
  Padrão: AES-CBC 128-bit
  
  Escolha o método de encriptação para unidades de dados fixas (incorporadas). Recomendamos que utilize o algoritmo XTS-AES.
  - AES-CBC 128-bit
  - AES-CBC 256-bit
  - XTS-AES 128-bit
  - XTS-AES 256-bit
- Encriptação para unidades de dados amovíveis
  Padrão: AES-CBC 128-bit
  
  Escolha o método de encriptação para unidades de dados amovíveis. Se a unidade amovível for utilizada com dispositivos que não executam o Windows 10, recomendamos que utilize o algoritmo AES-CBC.
  - AES-CBC 128-bit
  - AES-CBC 256-bit
  - XTS-AES 128-bit
  - XTS-AES 256-bit

Definições de unidades de SO do BitLocker

Estas definições aplicam-se especificamente a unidades de dados do sistema operativo.

Autenticação adicional no arranque
Padrão: Não configurado
BitLocker CSP: SystemDrivesRequireStartupAuthentication
- Exigir - Configurar os requisitos de autenticação para arranque de computador, incluindo a utilização do Módulo plataforma fidedigna (TPM).
- Não configurado - Configurar apenas opções básicas em dispositivos com um TPM.
Quando definido para Exigir, pode configurar as seguintes definições:
- BitLocker com chip do TPM não compatível
  Padrão: Não configurado
  - Bloco - Desative a utilização do BitLocker quando um dispositivo não tem um chip TPM compatível.
  - Não configurado - Os utilizadores podem utilizar o BitLocker sem um chip TPM compatível. O BitLocker poderá precisar de uma palavra-passe ou de uma chave de arranque.
- Startup TPM compatível
  Padrão: Permitir TPM
  
  Configurar se o TPM for permitido, necessário ou não permitido.
  - Permitir TPM
  - Não permita TPM
  - Requerer TPM
- PIN de arranque TPM compatível
  Padrão: Permitir o PIN de arranque com TPM
  
  Opte por permitir, não permitir, ou exigir a utilização de um PIN de arranque com o chip TPM. Para ativar um PIN de arranque, é necessária interação por parte do utilizador final.
  - Permitir startup PIN com TPM
  - Não permita o PIN de arranque com TPM
  - Requerem PIN de arranque com TPM
  Dica
  
  Para instalar o BitLocker de forma automática e silenciosa num dispositivo que é a Azure AD ligado e executado Windows 1809 ou mais tarde, esta definição não deve ser configurada para exigir PIN de arranque com TPM. Para obter mais informações, consulte Silently Ativar o BitLocker nos dispositivos.
- Chave de arranque TPM compatível
  Padrão: Permitir a tecla de arranque com TPM
  
  Opte por permitir, não permitir, ou exigir a utilização de uma chave de arranque com o chip TPM. Para ativar uma chave de arranque, é necessária interação por parte do utilizador final.
  - Permitir a chave de arranque com TPM
  - Não permita a chave de arranque com TPM
  - Requerem chave de arranque com TPM
  Dica
  
  Para instalar o BitLocker de forma automática e silenciosa num dispositivo que é a Azure AD ligado e executado Windows 1809 ou mais tarde, esta definição não deve ser configurada para Exigir a tecla de arranque com TPM. Para obter mais informações, consulte Silently Ativar o BitLocker nos dispositivos.
- Chave de arranque TPM compatível e PIN
  Padrão: Permitir chave de arranque e PIN com TPM
  
  Opte por permitir, não permitir, ou exigir a utilização de uma chave de arranque e PIN com o chip TPM. Para ativar uma chave e PIN de arranque, é necessária interação por parte do utilizador final.
  - Permitir a chave de arranque e PIN com TPM
  - Não permita a chave de arranque e PIN com TPM
  - Requer chave de arranque e PIN com TPM
  Dica
  
  Para instalar o BitLocker de forma automática e silenciosa num dispositivo que é a Azure AD ligado e executado Windows 1809 ou mais tarde, esta definição não deve ser configurada para exigir tecla de arranque e PIN com TPM. Para obter mais informações, consulte Silently Ativar o BitLocker nos dispositivos.
Comprimento mínimo do PIN
Padrão: Não configurado
BitLocker CSP: SystemDrivesMinimumPINLength
- Ativar Configure um comprimento mínimo para o PIN de arranque TPM.
- Não configurado - Os utilizadores podem configurar um PIN de arranque de qualquer comprimento entre 6 e 20 dígitos.
Quando definido para ativar, pode configurar a seguinte definição:
- Caracteres mínimos
  Padrão: Não configurado BitLocker CSP: SystemDrivesMinimumPINLength
  
  Introduza o número de caracteres necessários para o PIN de arranque a partir de 4 - 20.
Recuperação de unidade de SO
Padrão: Não configurado
BitLocker CSP: SystemDrivesRecoveryOptions
- Ativar - Controlar como o sistema operativo protegido pelo BitLocker se recupera quando não estiver disponível a informação de arranque necessária.
- Não configuradas - As opções de recuperação predefinidas são suportadas para a recuperação do BitLocker. Por predefinição, é permitido um DRA, as opções de recuperação são escolhidas pelo utilizador, incluindo a senha de recuperação e a chave de recuperação, e as informações de recuperação não são apoiadas até DS AD.
Quando definido para ativar, pode configurar as seguintes definições:
- Agente de recuperação de dados baseado em certificados
  Padrão: Não configurado
  - Bloco - Evitar a utilização de um agente de recuperação de dados com unidades de SISTEMA protegidas pelo BitLocker.
  - Não configurado - Permita que agentes de recuperação de dados sejam utilizados com unidades do sistema operativo protegidas pelo BitLocker.
- Criação de senha de recuperação de utilizadores
  Padrão: Permitir senha de recuperação de 48 dígitos
  
  Escolha se os utilizadores são permitidos, necessários ou não autorizados a gerar uma senha de recuperação de 48 dígitos.
  - Permitir senha de recuperação de 48 dígitos
  - Não permita senha de recuperação de 48 dígitos
  - Requerer senha de recuperação de 48 dígitos
- Criação de chave de recuperação do utilizador
  Padrão: Permitir chave de recuperação de 256 bits
  
  Escolha se os utilizadores são permitidos, necessários ou não autorizados a gerar uma chave de recuperação de 256 bits.
  - Permitir chave de recuperação de 256 bits
  - Não permita a chave de recuperação de 256 bits
  - Requerem uma chave de recuperação de 256 bits
- Opções de recuperação no assistente de configuração BitLocker
  Padrão: Não configurado
  - Bloco - Os utilizadores não conseguem ver e alterar as opções de recuperação. Quando definido para
  - Não configurados - Os utilizadores podem ver e alterar as opções de recuperação quando ligam o BitLocker.
- Guarde as informações de recuperação do BitLocker para Azure Ative Directory
  Padrão: Não configurado
  - Ativar - Armazenar as informações de recuperação do BitLocker para Azure Ative Directory (Azure AD).
  - Não configurado - As informações de recuperação do BitLocker não estão armazenadas no Azure AD.
- Informações de recuperação do BitLocker armazenadas para Azure Ative Directory
  Padrão: Palavras-passe de recuperação de cópias de segurança e pacotes chave
  
  Configure quais as partes das informações de recuperação bitLocker armazenadas no Azure AD. Escolha entre:
  - Palavras-passe de recuperação de cópia de segurança e pacotes de chaves
  - Apenas palavras-passe de recuperação de cópia de segurança
- Rotação da senha de recuperação orientada pelo cliente
  Padrão: Rotação de chaves ativada para dispositivos ad-ad Azure
  BitLocker CSP: ConfigureRecoveryPasswordRotation
  
  Esta definição inicia uma rotação de senha de recuperação orientada pelo cliente após uma recuperação da unidade de SO (quer utilizando bootmgr ou WinRE).
  - Não configurado
  - Rotação de chaves desativada
  - Rotação de chaves habilitada para as versões aderidas a Azure AD
  - Rotação de chaves ativada para dispositivos AD Azure e híbridos
- Armazenar informações de recuperação em Azure Ative Directory antes de ativar o BitLocker
  Padrão: Não configurado
  
  Evite que os utilizadores o permitam o BitLocker, a menos que o computador consiga fazer o back up da informação de recuperação do BitLocker para Azure Ative Directory.
  - Exigir - Impedir que os utilizadores ligem o BitLocker a menos que as informações de recuperação do BitLocker sejam armazenadas com sucesso no Azure AD.
  - Não configurado - Os utilizadores podem ligar o BitLocker, mesmo que as informações de recuperação não seja armazenadas com sucesso no Azure AD.
Mensagem de recuperação pré-arranque e URL
Padrão: Não configurado
BitLocker CSP: SystemDrivesRecoveryMessage
- Ativar - Configurar a mensagem e o URL que exibem no ecrã de recuperação da chave de arranque.
- Não configurado - Desative esta função.
Quando definido para ativar, pode configurar a seguinte definição:
- Mensagem de recuperação pré-inicial
  Padrão: Utilize mensagem de recuperação predefinida e URL
  
  Configure a forma como a mensagem de recuperação pré-arranque é apresentada aos utilizadores. Escolha entre:
  - Utilizar mensagem de recuperação predefinida e URL
  - Utilizar mensagem de recuperação vazia e URL
  - Utilizar mensagem de recuperação personalizada
  - Utilizador URL de recuperação personalizada

Definições de unidades de dados fixas do BitLocker

Estas definições aplicam-se especificamente às unidades de dados fixas.

Escreva o acesso a unidade de dados fixa não protegida pelo BitLocker
Padrão: Não configurado
BitLocker CSP: FixedDrivesRequireEncryption
- Bloco - Dê acesso apenas à leitura a unidades de dados que não estejam protegidas pelo BitLocker.
- Não configurado - Por padrão, leia e escreva o acesso a unidades de dados que não estejam encriptadas.
Recuperação de unidade fixa
Padrão: Não configurado
BitLocker CSP: FixedDrivesRecoveryOptions
- Ativar - Controlar como as unidades fixas protegidas pelo BitLocker se recuperam quando as informações de arranque necessárias não estão disponíveis.
- Não configurado - Desative esta função.
Quando definido para ativar, pode configurar as seguintes definições:
- Agente de recuperação de dados
  Padrão: Não configurado
  - Bloco - Impedir a utilização do agente de recuperação de dados com unidades fixas protegidas pelo BitLocker Editor de Política.
  - Não configurado - Permite a utilização de agentes de recuperação de dados com unidades fixas protegidas pelo BitLocker.
- Criação de senha de recuperação de utilizadores
  Padrão: Permitir senha de recuperação de 48 dígitos
  
  Escolha se os utilizadores são permitidos, necessários ou não autorizados a gerar uma senha de recuperação de 48 dígitos.
  - Permitir senha de recuperação de 48 dígitos
  - Não permita senha de recuperação de 48 dígitos
  - Requerer senha de recuperação de 48 dígitos
- Criação de chave de recuperação do utilizador
  Padrão: Permitir chave de recuperação de 256 bits
  
  Escolha se os utilizadores são permitidos, necessários ou não autorizados a gerar uma chave de recuperação de 256 bits.
  - Permitir chave de recuperação de 256 bits
  - Não permita a chave de recuperação de 256 bits
  - Requerem uma chave de recuperação de 256 bits
- Opções de recuperação no assistente de configuração BitLocker
  Padrão: Não configurado
  - Bloco - Os utilizadores não conseguem ver e alterar as opções de recuperação. Quando definido para
  - Não configurados - Os utilizadores podem ver e alterar as opções de recuperação quando ligam o BitLocker.
- Guarde as informações de recuperação do BitLocker para Azure Ative Directory
  Padrão: Não configurado
  - Ativar - Armazenar as informações de recuperação do BitLocker para Azure Ative Directory (Azure AD).
  - Não configurado - As informações de recuperação do BitLocker não estão armazenadas no Azure AD.
- Informações de recuperação do BitLocker armazenadas para Azure Ative Directory
  Padrão: Palavras-passe de recuperação de cópias de segurança e pacotes chave
  
  Configure quais as partes das informações de recuperação bitLocker armazenadas no Azure AD. Escolha entre:
  - Palavras-passe de recuperação de cópia de segurança e pacotes de chaves
  - Apenas palavras-passe de recuperação de cópia de segurança
- Armazenar informações de recuperação em Azure Ative Directory antes de ativar o BitLocker
  Padrão: Não configurado
  
  Evite que os utilizadores o permitam o BitLocker, a menos que o computador consiga fazer o back up da informação de recuperação do BitLocker para Azure Ative Directory.
  - Exigir - Impedir que os utilizadores ligem o BitLocker a menos que as informações de recuperação do BitLocker sejam armazenadas com sucesso no Azure AD.
  - Não configurado - Os utilizadores podem ligar o BitLocker, mesmo que as informações de recuperação não seja armazenadas com sucesso no Azure AD.

Definições de unidades de dados removíveis do BitLocker

Estas definições aplicam-se especificamente às unidades de dados amovíveis.

Escreva o acesso a unidade de dados amovível não protegida pelo BitLocker
Padrão: Não configurado
BitLocker CSP: RemovableDrivesRequireencryption
- Bloco - Dê acesso apenas à leitura a unidades de dados que não estejam protegidas pelo BitLocker.
- Não configurado - Por padrão, leia e escreva o acesso a unidades de dados que não estejam encriptadas.
Quando definido para ativar, pode configurar a seguinte definição:
- Escreva acesso a dispositivos configurados noutra organização
  Padrão: Não configurado
  - Bloco - Bloquear escrever acesso a dispositivos configurados em outra organização.
  - Não configurado - Negue o acesso de escrever.

Microsoft Defender Exploit Guard

Utilize proteção de exploração para gerir e reduzir a superfície de ataque das aplicações utilizadas pelos seus colaboradores.

Redução da Superfície de Ataque

As regras de redução de superfície de ataque ajudam a prevenir comportamentos que o malware usa frequentemente para infetar computadores com código malicioso.

Regras de Redução de Superfície de Ataque

Para saber mais, consulte as regras de redução de superfície de ataque na documentação do Microsoft Defender para Endpoint.

Fusão de comportamento para regras de redução de superfície de ataque em Intune:

As regras de redução de superfície de ataque suportam uma fusão de configurações de diferentes políticas, para criar um superconjunto de política para cada dispositivo. Apenas as configurações que não estão em conflito são fundidas, enquanto as que estão em conflito não são adicionadas ao superconjunto de regras. Anteriormente, se duas políticas incluíssem conflitos para um único cenário, ambas as políticas eram sinalizadas como estando em conflito, e não seriam implementadas definições de qualquer um dos perfis.

O comportamento de fusão da regra de redução de superfície de ataque é o seguinte:

As regras de redução da superfície de ataque a partir dos seguintes perfis são avaliadas para cada dispositivo que as regras se aplicam:
- Dispositivos > Política de configuração > perfil de proteção de ponto final > Microsoft Defender Exploit Guard > redução de superfície de ataque
- Segurança endpoint > Política de redução de superfície de ataque > regras de redução de superfície de ataque
- Linhas de base de segurança > de segurança de ponto final > Microsoft Defender para regras de redução de superfície de > de ataque de endpoint.
Definições que não tenham conflitos são adicionados a um superconjunto de política para o dispositivo.
Quando duas ou mais políticas têm configurações conflituosas, as definições conflituosas não são adicionadas à política combinada, enquanto as configurações que não entram em conflito são adicionadas à política de superconjunto que se aplica a um dispositivo.
Apenas as configurações para configurações conflituosas são retidas.

Definições neste perfil:

Sinalizar o roubo de credenciais do subsistema de autoridade de segurança local do Windows
Padrão: Não configurado
Regra: Roubo de credencial de bloco do subsistema da autoridade de segurança local Windows (lsass.exe)

Ajude a impedir as ações e aplicações que são normalmente utilizadas por software maligno para explorar falhas de segurança e infetar computadores.
- Não configurado
- Ativar - Roubo de credencial de bandeira do subsistema Windows autoridade de segurança local (lsass.exe).
- Apenas auditoria
Criação de processo a partir de Adobe Reader (beta)
Padrão: Não configurado
Regra: Bloquear Adobe Reader de criar processos infantis
- Não configurado
- Ativar - Bloquear processos infantis que são criados a partir do Adobe Reader.
- Apenas auditoria

Regras para impedir ameaças macro do Office

Impeça as aplicações do Office de realizarem as seguintes ações:

Aplicações do Office a injetar noutros processos (sem exceções)
Padrão: Não configurado
Regra: Bloquear Office aplicações de injetar código em outros processos
- Não configurado
- Bloco - Bloquear Office aplicações de injetar em outros processos.
- Apenas auditoria
Aplicações/macros do Office a criar conteúdo executável
Padrão: Não configurado
Regra: Bloquear Office aplicações de criação de conteúdo executável
- Não configurado
- Bloco - Bloqueie Office aplicações e macros da criação de conteúdo executável.
- Apenas auditoria
Aplicações do Office a iniciar processos subordinados
Padrão: Não configurado
Regra: Bloqueie todas as aplicações Office da criação de processos infantis
- Não configurado
- Bloco - Bloquear Office aplicações de lançamento de processos infantis.
- Apenas auditoria
Importações do Win32 provenientes de código macro do Office
Padrão: Não configurado
Regra: Bloco Win32 API chama a partir de macros Office
- Não configurado
- Bloco - Bloquear as importações do Bloco Win32 do macro code em Office.
- Apenas auditoria
Criação de processos a partir de produtos de comunicação Office
Padrão: Não configurado
Regra: Bloco Office aplicação de comunicação da criação de processos infantis
- Não configurado
- Ativar - Bloquear a criação de processos infantis a partir de aplicações de comunicações Office.
- Apenas auditoria

Regras para impedir ameaças de script

Bloqueie os itens seguintes para impedir ameaças de script:

Código macro js/vbs/ps/ oculto
Padrão: Não configurado
Regra: Execução de bloco de scripts potencialmente obfuscados
- Não configurado
- Bloco - Bloqueie qualquer js/vbs/ps/macro.
- Apenas auditoria
js/vbs a executar payload transferido da Internet (sem exceções)
Padrão: Não configurado
Regra: Bloquear JavaScript ou VBScript de lançar conteúdo executável descarregado
- Não configurado
- Bloco - Bloquear js/vbs de executar carga útil descarregada a partir da Internet.
- Apenas auditoria
Criação de processos com os comandos PsExec e WMI
Padrão: Não configurado
Regra: Criações de processos de blocos originárias de comandos PSExec e WMI
- Não configurado
- Bloco - Criações de processo de blocos originárias de comandos PSExec e WMI.
- Apenas auditoria
Processos não fidedignos e não assinados executados a partir de USB
Padrão: Não configurado
Regra: Bloqueie processos não assinados e não assinados que vão a partir de USB
- Não configurado
- Bloco - Bloqueie processos não assinados e não assinados que funcionam a partir de USB.
- Apenas auditoria
Executáveis que não satisfaçam critérios de prevalência, idade ou lista de confiança
Padrão: Não configurado
Regra: Bloquear ficheiros executáveis de executar a menos que cumpram um critério de prevalência, idade ou lista de confiança
- Não configurado
- Bloquear - Bloquear ficheiros executáveis de funcionar a menos que cumpram uma prevalência, idade ou critérios de lista fidedigna.
- Apenas auditoria

Regras para impedir ameaças de e-mail

Bloqueie o seguinte para impedir ameaças de e-mail:

Execução de conteúdo executável (exe, dll, ps, js, vbs, etc.) retirado do e-mail (webmail/cliente de correio) (sem exceções)
Padrão: Não configurado
Regra: Bloquear conteúdo executável a partir de cliente de e-mail e webmail
- Não configurado
- Bloco - Execução de bloco de conteúdo executável (exe, dll, ps, js, vbs, etc.) retirado de e-mail (webmail/mail-cliente).
- Apenas auditoria

Regras para proteger contra ransomware

Proteção de ransomware avançada
Predefinição: Não configurado
Regra: Use proteção avançada contra ransomware
- Não configurado
- Ativar - Utilize uma proteção agressiva contra ransomware.
- Apenas auditoria

Exceções da Redução da Superfície de Ataque

Ficheiros e pasta para excluir das regras de redução de superfície de ataque
Defender CSP: AttackSurfaceReductionOnlyExclusions
- Importe um ficheiro .csv que contenha ficheiros e pastas para excluir das regras de redução de superfície de ataque.
- Adicione ficheiros locais ou pastas manualmente.

Importante

Para permitir a instalação e execução adequadas de aplicações LOB Win32, as definições anti-malware devem excluir que os seguintes diretórios sejam digitalizados:
Em máquinas de cliente x64:
C:\Ficheiros do programa (x86)\Microsoft Intune Extensão de Gestão\Conteúdo
C:\janelas\IMECache

Nas máquinas cliente x86:
C:\Ficheiros de programa\Microsoft Intune Extensão de Gestão\Conteúdo
C:\janelas\IMECache

Para obter mais informações, consulte recomendações de digitalização de vírus para computadores Da Enterprise que estão a executar versões suportadas atualmente de Windows.

Acesso a pastas controladas

Ajude a proteger dados valiosos de aplicações e ameaças maliciosas, como o ransomware.

Proteção de pastas
Padrão: Não configurado
Defender CSP: EnableControlledFolderAccess

Proteja ficheiros e pastas contra alterações não autorizadas por aplicações não fidedignas.
- Não configurado
- Ativar
- Apenas auditoria
- Modificação do disco de bloqueio
- Modificação do disco de auditoria
Quando selecionar uma configuração diferente de Não configurada, pode então configurar:
- Lista de aplicações que têm acesso a pastas protegidas
  Defender CSP: ControlledFolderAccessAllowedApplications
  - Importe um ficheiro .csv que contenha uma lista de aplicações.
  - Adicione aplicativos a esta lista manualmente.
- Lista de pastas adicionais que precisam de ser protegidas
  Defender CSP: ControlledFolderAccessProtectedFolders
  - Importe um ficheiro .csv que contenha uma lista de pastas.
  - Adicione pastas a esta lista manualmente.

Filtragem de rede

Bloqueie as ligações de saída de qualquer app para endereços IP ou domínios com baixa reputação. A filtragem da rede é suportada tanto no modo Auditoria como no modo Block.

Proteção de rede
Padrão: Não configurado
Defender CSP: EnableNetworkProtection

A intenção desta configuração é proteger os utilizadores finais de apps com acesso a esquemas de phishing, sites de exploração e conteúdo malicioso na Internet. Também impede que navegadores de terceiros se conectem a sites perigosos.
- Não configurado - Desative esta função. Os utilizadores e aplicações não estão impedidos de se ligarem a domínios perigosos. Os administradores não conseguem ver esta atividade em Centro de Segurança do Microsoft Defender.
- Ativar - Ligue a proteção da rede e bloqueie os utilizadores e aplicações de ligação a domínios perigosos. Os administradores podem ver esta atividade em Centro de Segurança do Microsoft Defender.
- Apenas auditoria: - Utilizadores e aplicações não estão impedidos de se ligarem a domínios perigosos. Os administradores podem ver esta atividade em Centro de Segurança do Microsoft Defender.

Exploit Protection

Upload XML
Padrão: Não configurado

Para utilizar a proteção para proteger os dispositivos de explorações,crie um ficheiro XML que inclua as definições de mitigação do sistema e aplicações desejadas. Existem dois métodos para criar o ficheiro XML:
- PowerShell - Use um ou mais dos cmdletes Get-ProcessMitigation, Set-ProcessMitigation e ConvertTo-ProcessMitigationPolicy PowerShell. Os cmdlets configuram definições de mitigação e exportam uma representação XML deles.
- Centro de Segurança do Microsoft Defender UI - No Centro de Segurança do Microsoft Defender, clique no controlo de navegador & app e, em seguida, desloque-se até à parte inferior do ecrã resultante para encontrar a Proteção de Exploração. Em primeiro lugar, utilize as definições do sistema e os separadores das definições de programa para configurar definições de atenuação. Em seguida, localize a ligação de definições de Exportação na parte inferior do ecrã para exportar uma representação XML dos mesmos.
Edição do utilizador da interface de proteção de exploração
Padrão: Não configurado
ExploitGuard CSP: ExploreProtectionSettings
- Bloquear - Carregar um ficheiro XML que lhe permite configurar memória, fluxo de controlo e restrições de política. As definições no ficheiro XML podem servir para proteger uma aplicação de exploits.
- Não configurado - Não é utilizada nenhuma configuração personalizada.

Controlo de aplicações do Microsoft Defender

Escolha aplicações adicionais que precisem de ser auditadas ou que possam ser fidedignas para serem executadas pelo Microsoft Defender Application Control. Os componentes do Windows e todas as aplicações da Microsoft Store são automaticamente considerados de confiança para serem executados.

Políticas de integridade do código de controlo de aplicações
Padrão: Não configurado
CSP: AppLocker CSP
- Impor - Escolha as políticas de integridade do código de controlo da aplicação para os dispositivos dos seus utilizadores.
  
  Depois de ser ativado num dispositivo, o Controlo de Aplicações só pode ser desativado alterando o modo de Enforce para Audit apenas. Se alterar do modo de Impor para Não Configurado o Controlo de Aplicações continuará a ser imposto nos dispositivos atribuídos.
- Não configurado - O controlo da aplicação não é adicionado aos dispositivos. No entanto, as configurações anteriormente adicionadas continuam a ser aplicadas em dispositivos atribuídos.
- Apenas auditoria - As candidaturas não estão bloqueadas. Todos os eventos estão registados nos registos do cliente local.
  
  Nota
  
  Se utilizar esta definição, o comportamento do CSP AppLocker atualmente leva o utilizador final a reiniciar a sua máquina quando uma política é implementada.

Microsoft Defender Credencial Guard

A Microsoft Defender Credencial Guard protege contra ataques de roubo credenciais. Isola os segredos para permitir o acesso apenas a software de sistema com privilégios.

Credential Guard
Predefinição: Desativar
DispositivoGuard CSP
- Desativar - Desligue remotamente a Proteção Credencial, se anteriormente estiver ligada com a opção de bloqueio DA UEFI.
- Ativar com o bloqueio UEFI - A Proteção Credencial não pode ser desativada remotamente utilizando uma chave de registo ou uma política de grupo.
  
  Nota
  
  Se utilizar esta definição e, em seguida, quiser desativar o Credential Guard, terá de definir a Política de Grupo como Desativado. Além disso, tem de limpar fisicamente as informações de configuração de UEFI de cada computador. Enquanto a configuração da UEFI persistir, o Credential Guard estará ativado.
- Ativar sem bloqueio UEFI - Permite que a Proteção Credencial seja desativada remotamente utilizando a Política de Grupo. Os dispositivos que utilizam esta definição têm de ter a versão 1511 ou mais recente do Windows 10.
Quando ativa a Guarda Credencial, as seguintes funcionalidades necessárias também estão ativadas:
- Segurança baseada em virtualização (VBS)
  Liga-se durante o próximo reboot. A segurança baseada em Virtualização utiliza o Windows Hypervisor para dar suporte aos serviços de segurança e requer o Windows Hypervisor.
- Arranque Seguro com Acesso à Memória do Diretório
  Liga VBS com proteções secure boot e acesso direto à memória (DMA). As proteções de DMA necessitam de suporte de hardware e são ativadas apenas em dispositivos configurados corretamente.

Centro de Segurança do Microsoft Defender

Centro de Segurança do Microsoft Defender funciona como uma aplicação ou processo separado de cada uma das funcionalidades individuais. Apresenta notificações através do Centro de Ação. Atua como um colecionador ou um único local para ver o estado e executar alguma configuração para cada uma das funcionalidades. Saiba mais nos docs do Microsoft Defender.

Centro de Segurança do Microsoft Defender app e notificações

Bloquear o acesso do utilizador final às várias áreas da aplicação Centro de Segurança do Microsoft Defender. Ocultar uma secção também bloqueia notificações relacionadas.

Proteção contra vírus e ameaças
Padrão: Não configurado
WindowsDefenderSecurityCenter CSP: DisableVirusUI

Configure se os utilizadores finais puderem ver a área de proteção contra vírus e ameaças no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com o Vírus e proteção contra ameaças.
- Não configurado
- Ocultar
Proteção contra ransomware
Padrão: Não configurado
WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

Configure se os utilizadores finais puderem ver a área de proteção ransomware no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com a proteção ransomware.
- Não configurado
- Ocultar
Account protection (Proteção de contas)
Padrão: Não configurado
WindowsDefenderSecurityCenter CSP: Desativar a Proteção de Deficientes

Configure se os utilizadores finais puderem ver a área de proteção da conta no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com a proteção da Conta.
- Não configurado
- Ocultar
Firewall e proteção da rede
Padrão: Não configurado
WindowsDefenderSecurityCenter CSP: DisableNetworkui

Configure se os utilizadores finais puderem ver a área de firewall e proteção da rede no centro de segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com firewall e proteção de rede.
- Não configurado
- Ocultar
Controlo de Aplicativos e navegador
Padrão: Não configurado
WindowsDefenderSecurityCenter CSP: Desativar oAppBrowserUI

Configure se os utilizadores finais puderem ver a App e a área de controlo do navegador no centro de segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com a App e o controlo do navegador.
- Não configurado
- Ocultar
Proteção de hardware
Padrão: Não configurado
WindowsDefenderSecurityCenter CSP: DesativarDeviceSecurityUI

Configure se os utilizadores finais puderem ver a área de proteção de Hardware no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com a proteção de Hardware.
- Não configurado
- Ocultar
Desempenho e funcionamento do dispositivo
Padrão: Não configurado
WindowsDefenderSecurityCenter CSP: DisableHealthui

Configure se os utilizadores finais puderem ver o desempenho e a área de saúde do Dispositivo no centro de segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com o desempenho e saúde do Dispositivo.
- Não configurado
- Ocultar
Opções de famílias
Padrão: Não configurado
WindowsDefenderSecurityCenter CSP: Desativar oFamilyui

Configure se os utilizadores finais puderem ver a área de opções de família no centro de segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com as opções da Família.
- Não configurado
- Ocultar
Notificações das áreas exibidas da app
Padrão: Não configurado
WindowsDefenderSecurityCenter CSP: DesativarNotificações

Escolha quais notificações a apresentar aos utilizadores finais. As notificações não críticas incluem resumos da atividade Antivírus do Microsoft Defender, incluindo notificações quando as análises foram concluídas. Todas as outras notificações são consideradas críticas.
- Não configurado
- Bloquear notificações não críticas
- Bloquear todas as notificações
Segurança do Windows Ícone do centro na bandeja do sistema
Padrão: Não configurado

Configure a visualização do controlo da área de notificação. O utilizador precisa de iniciar sposição e iniciar sposição ou reiniciar o computador para que esta definição entre em vigor.
- Não configurado
- Ocultar
Botão TPM claro
Padrão: Não configurado

Configure o visor do botão Clear TPM.
- Não configurado
- Desativar
Aviso de atualização de firmware TPM
Padrão: Não configurado

Configure o visor da atualização do Firmware TPM quando for detetado um firmware vulnerável.
- Não configurado
- Ocultar
Proteção de Tamper
Padrão: Não configurado

Ligue ou desligue a Proteção de Tamper nos dispositivos. Para utilizar a Proteção de Tamper, tem de integrar o Microsoft Defender para Endpoint com Intune,e ter Enterprise Mobility + Security licenças E5.
- Não configurado - Não é feita qualquer alteração nas definições do dispositivo.
- Ativado - A Proteção de Tamper é ativada e as restrições são aplicadas nos dispositivos.
- Desativado - A Proteção de Tamper é desligada e as restrições não são aplicadas.

Informação de contacto de TI

Forneça informações de contacto de TI para aparecer na aplicação Centro de Segurança do Microsoft Defender e nas notificações da aplicação.

Pode optar por Mostrar na aplicação e nas notificações, Mostrar apenas na aplicação, Mostrar apenas nas notificações ou Não mostrar. Introduza o Nome da organização de TI e pelo menos uma das seguintes opções de contacto:

Informações de contacto de TI
Padrão: Não exibição
WindowsDefenderSecurityCenter CSP: EnableCustomizedToasts

Configure onde apresentar informações de contacto de TI aos utilizadores finais.
- Exibição em app e em notificações
- Display apenas em app
- Display apenas em notificações
- Não exiba
Quando configurado para visualizar, pode configurar as seguintes definições:
- Nome da organização de TI
  Padrão: Não configurado
  WindowsDefenderSecurityCenter CSP: Nome da empresa
- Número de telefone ou ID do Skype do departamento de TI
  Padrão: Não configurado
  PcP: Telefone
- Endereço de e-mail do departamento de TI
  Padrão: Não configurado
  WindowsDefenderSecurityCenter CSP: e-mail
- URL do site de suporte de TI
  Padrão: Não configurado
  WindowsDefenderSecurityCenter CSP: URL

Opções de segurança do dispositivo local

Utilize estas opções para configurar as definições da segurança local em dispositivos Windows 10.

Contas

Adicionar novas contas microsoft
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: Accounts_BlockMicrosoftAccounts
- Bloco Impede que os utilizadores adicionem novas contas da Microsoft ao dispositivo.
- Não configurados - Os utilizadores podem utilizar as contas da Microsoft no dispositivo.
Início remoto sem senha
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
- Bloquear - Permitir que apenas contas locais com senhas em branco entrem no teclado do dispositivo.
- Não configurado - Permita que as contas locais com senhas em branco entrem em locais que não o dispositivo físico.

Admin

Conta de administração local
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
- Bloco Impedir a utilização de uma conta de administração local.
- Não configurado
Conta de administração renomeada
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: Accounts_RenameAdministratorAccount

Defina um nome de conta diferente a ser associado ao identificador de segurança (SID) para a conta "Administrador".

Convidado

Conta de hóspedes
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions
- Bloco - Impedir a utilização de uma conta de Hóspede.
- Não configurado
Conta de convidado renomeado
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

Defina um nome de conta diferente a ser associado ao identificador de segurança (SID) para a conta "Guest".

Dispositivos

Desacordo dispositivo sem início de são
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: Devices_AllowUndockWithoutHavingToLogon
- Bloco - Um utilizador deve iniciar súmis no dispositivo e receber permissão para desancorar o dispositivo.
- Não configurado - Os utilizadores podem premir o botão de ejeção física de um dispositivo portátil doado para desancorar o dispositivo com segurança.
Instale controladores de impressoras para impressoras partilhadas
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
- Ativado - Qualquer utilizador pode instalar um controlador de impressora como parte da ligação a uma impressora partilhada.
- Não configurado - Apenas os administradores podem instalar um controlador de impressora como parte da ligação a uma impressora partilhada.
Restringir o acesso do CD-ROM ao utilizador ativo local
Padrão: Não configurado
PCP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
- Ativado - Apenas o utilizador com sessão interativa pode utilizar o suporte de CD-ROM. Se esta política estiver ativada e ninguém tiver sessão iniciada de forma interativa, a unidade de CD-ROM será acedida através da rede.
- Ninguém tem acesso ao CD-ROM.
Formato e ejetar mídia removível
Padrão: Administradores
CSP: Devices_AllowedToFormatAndEjectRemovableMedia

Definir quem é autorizado a formatar e ejetar os meios NTFS amovíveis:
- Não configurado
- Administradores
- Administradores e Utilizadores Avançados
- Administradores e Utilizadores Interativos

Início de sessão interativo

Minutos de inatividade do ecrã de bloqueio até que o protetor de ecrã seja ativado
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: InteractiveLogon_MachineInactivityLimit

Introduza os minutos máximos de inatividade até que o protetor de ecrã seja ativado. (0) - 99999)
Exija que ctRL+ALT+DEL faça login
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotRequireCTRLALTDEL
- Ativar - Exija que os utilizadores pressionem CTRL+ALT+DEL antes de iniciar sessão no Windows.
- Não configurado - A pressão CTRL+ALT+DEL não é necessária para que os utilizadores se inscrevam.
Comportamento de remoção de cartão inteligente
Padrão: Bloquear estação de trabalho
LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

Determina o que acontece quando o cartão inteligente para um utilizador com sessão iniciada é removido do leitor de cartões inteligentes. As opções são:
- Bloquear estação de trabalho - A estação de trabalho fica bloqueada quando o cartão inteligente é removido. Esta opção permite que os utilizadores saiam da área, levem os seus smart cards e permaneçam numa sessão protegida.
- Sem ação
- Force Logoff - O utilizador é desligado automaticamente quando o cartão inteligente é removido.
- Desligar se uma sessão de Serviços de Secretária remoto - A remoção do cartão inteligente desliga a sessão sem desligar o utilizador. Esta opção permite que o utilizador insira o smart card e retome a sessão mais tarde, ou noutro computador com um leitor de smart cards, sem ter de iniciar sessão novamente. Se a sessão for local, esta política funciona da mesma forma que Bloquear Estação de Trabalho.

Apresentar

Informações do utilizador no ecrã de bloqueio
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Configure as informações do utilizador que são apresentadas quando a sessão está bloqueada. Se não estiverem configuradas, serão apresentados o nome a apresentar do utilizador, o domínio e o nome de utilizador.
- Não configurado
- O nome a apresentar do utilizador, o domínio e o nome de utilizador
- Apenas o nome a apresentar do utilizador
- Não apresentar informações do utilizador
Esconder último utilizador inscrito
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayLastSignedIn
- Ativar - Ocultar o nome de utilizador.
- Não configurado - Mostre o último nome de utilizador.
Ocultar o nome de utilizador no início de sedundo Padrão: Não Configurado
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn
- Ativar - Ocultar o nome de utilizador.
- Não configurado - Mostre o último nome de utilizador.
Título de mensagem de logon
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Descreva o título de mensagem para os utilizadores que se inscrevam.
Texto de mensagem de logon
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Descreva o texto da mensagem para os utilizadores que se inscrevam.

Acesso à rede e segurança

Acesso anónimo a Tubos e Partilhas Nomeadas
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
- Não configurado - Restringir o acesso anónimo às definições de partilha e tubos nomeados. Aplica-se as definições que podem ser acedidas anonimamente.
- Bloquear - Desativar esta política, disponibilizando acesso anónimo.
Enumeração anónima das contas SAM
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
- Não configurado - Os utilizadores anónimos podem enumerar contas SAM.
- Bloco - Prevenir a enumeração anónima das contas SAM.
Enumeração anónima de contas e ações da SAM
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
- Não configurado - Os utilizadores anónimos podem enumerar os nomes das contas de domínio e das partilhas de rede.
- Bloco - Prevenir a enumeração anónima de contas e ações DA.
Valor de hash do Gestor LAN armazenado na mudança de palavra-passe
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Determine se o valor do hash para as palavras-passe é armazenado da próxima vez que a palavra-passe for alterada.
- Não configurado – o valor de hash não está armazenado
- Bloco - O Gestor LAN (LM) armazena o valor hash para a nova senha.
Pedidos de autenticação PKU2U
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests
- Não configurado- Permitir pedidos de PU2U.
- Bloquear - Bloquear pedidos de autenticação PKU2U ao dispositivo.
Restringir as ligações remotas de RPC à SAM
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
- Não configurado - Utilize o descritor de segurança predefinido, o que pode permitir aos utilizadores e grupos fazer chamadas remotas de RPC para o SAM.
- Permitir - Negar aos utilizadores e grupos de esemar chamadas remotas de RPC para o Gestor de Contas de Segurança (SAM), que armazena contas de utilizador e palavras-passe. Permite também que altere o fio de definição de definição de descritor de segurança (SDDL) por padrão para permitir ou negar explicitamente que utilizadores e grupos e façam estas chamadas remotas.
  - Descritor de segurança
    Padrão: Não configurado
Segurança mínima da sessão para clientes baseados em SSP NTLM
Padrão: Nenhum
LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Esta definição de segurança permite que um servidor exija a negociação de encriptação de 128 bits e/ou segurança da sessão NTLMv2.
- Nenhuma
- Requerer segurança da sessão NTLMv2
- Requerem encriptação de 128 bits
- Encriptação NTLMv2 e 128 bits
Segurança mínima da sessão para o servidor baseado em SSP NTLM
Padrão: Nenhum
LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Esta definição de segurança determina qual o protocolo de autenticação de desafio/resposta utilizado para os logons de rede.
- Nenhuma
- Requerer segurança da sessão NTLMv2
- Requerem encriptação de 128 bits
- Encriptação NTLMv2 e 128 bits
Nível de autenticação do gestor lan
Padrão: LM e NTLM
LocalPoliciesSecurityOptions CSP: NetworkSecurity_LANManagerAuthenticationLevel
- LM e NTLM
- LM, NTLM e NTLMv2
- NTLM
- NTLMv2
- NTLMv2 e não LM
- NTLMv2 e não LM ou NTLM
Logons de hóspedes inseguros
Padrão: Não configurado
LanmanWorkstation CSP: LanmanWorkstation

Se ativar esta definição, o cliente SMB rejeitará logons de hóspedes inseguros.
- Não configurado
- Bloco - O cliente SMB rejeita logons de hóspedes inseguros.

Consola de recuperação e encerramento

Limpe o ficheiro de página de memória virtual ao desligar
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: Shutdown_ClearVirtualMemoryPageFile
- Ativar - Limpe o ficheiro de página de memória virtual quando o dispositivo estiver ativado.
- Não configurado- Não limpa a memória virtual.
Desligar sem iniciar sessão
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
- Bloquear - Ocultar a opção de encerramento no sinal de Windows no ecrã. Os utilizadores têm de iniciar sessão no dispositivo e, em seguida, encerrar.
- Não configurado - Deixe que os utilizadores desliguem o dispositivo a partir do sinal de Windows no ecrã.

Controlo de conta de utilizador

Integridade da UIA sem localização segura
Padrão: Não Configurado
LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
- Bloco - As aplicações que se encontrem numa localização segura no sistema de ficheiros serão executadas apenas com integridade do UIAccess.
- Não configurado - Permite que as aplicações sejam executadas com integridade do UIAccess, mesmo que as aplicações não estejam numa localização segura no sistema de ficheiros.
Virtualize falhas de registo e ficheiros para localizações por utilizador
Padrão: Não Configurado
LocalPoliciesSecurityOptions CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
- Ativado - As aplicações que escrevem dados para locais protegidos falham.
- Não configuradas - As falhas de escrita de aplicações são redirecionadas no tempo de execução para localizações definidas do utilizador para o sistema de ficheiros e registo.
Apenas elevar os ficheiros executáveis que são assinados e validados
Padrão: Não Configurado
LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
- Ativado - Imponha a validação do caminho de certificação PKI para um ficheiro executável antes de poder ser executado.
- Não configurado - Não imponha a validação do caminho de certificação PKI antes que um ficheiro executável possa ser executado.

Comportamento rápido de elevação da UIA

Pedido de elevação para administradores
Padrão: Solicitação de consentimento para binários não Windows
LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Defina o comportamento do pedido de elevação para administradores no Modo de Aprovação de Administração.
- Não configurado
- Elevar sem perguntar
- Pedir credenciais no ambiente de trabalho seguro
- Pedir credenciais
- Pedir consentimento
- Solicitação de consentimento para binários não Windows
Pedido de elevação para utilizadores padrão
Padrão: Pedido de credenciais
LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Defina o comportamento da solicitação de elevação para os utilizadores padrão.
- Não configurado
- Negar automaticamente pedidos de elevação
- Pedir credenciais no ambiente de trabalho seguro
- Pedir credenciais
Elevação da rota leva ao ambiente de trabalho interativo do utilizador
Padrão: Não Configurado
LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
- Ativado - Todos os pedidos de elevação vão para o ambiente de trabalho do utilizador interativo em vez do ambiente de trabalho seguro. São utilizadas todas as definições de política de comportamento de pedidos para administradores e utilizadores padrão.
- Não configurado - Force todos os pedidos de elevação para o ambiente de trabalho seguro, independentemente de quaisquer definições de política de comportamento rápido para administradores e utilizadores padrão.
Solicitação elevada para instalações de aplicações
Padrão: Não Configurado
LocalPoliciesSecurityOptions CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
- Ativado - Os pacotes de instalação da aplicação não são detetados ou solicitados para elevação.
- Não configurados - Os utilizadores são solicitados para um nome de utilizador administrativo e senha quando um pacote de instalação de aplicação requer privilégios elevados.
Pedido de elevação da UIA sem ambiente de trabalho seguro
Padrão: Não Configurado
LocalPoliciesSecurityOptions CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Ativar - Permitir que as aplicações UIAccess indiquem a elevação, sem utilizar o ambiente de trabalho seguro.
Não configurado - As instruções de elevação utilizam um ambiente de trabalho seguro.

Modo de Aprovação de Administração

Modo de aprovação de admin para administrador incorporado
Padrão: Não Configurado
LocalPoliciesSecurityOptions CSP: UserAccountControl_UseAdminApprovalMode
- Ativado - Permita que a conta de administrador incorporada utilize o Modo de Aprovação de Administração. Qualquer operação que necessite de elevação de privilégios pede ao utilizador para aprovar a operação.
- Não configurado - executa todas as aplicações com privilégios administrativos completos.
Executar todos os administradores no modo de aprovação de administrador
Padrão: Não Configurado
LocalPoliciesSecurityOptions CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode
- Ativado- Ativar o modo de aprovação do administrador.
- Não configurado - Desativar o modo de aprovação de administração e todas as definições de política da UAC relacionadas.

Cliente de Rede da Microsoft

Assine digitalmente as comunicações (se o servidor concordar)
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Determina se o cliente SMB negoceia a assinatura de pacotes SMB.
- Bloco - O cliente SMB nunca negoceia a assinatura de pacotes SMB.
- Não configurado - O cliente da rede microsoft pede ao servidor para executar a assinatura do pacote SMB após a configuração da sessão. Se a assinatura de pacotes estiver ativada no servidor, a assinatura de pacotes será negociada.
Enviar senha não encriptada para servidores SMB de terceiros
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
- Bloquear - O redirector do Bloco de Mensagens do Servidor (SMB) pode enviar palavras-passe simples para servidores SMB não microsoft que não suportam encriptação de palavra-passe durante a autenticação.
- Não configurado - Bloqueie o envio de senhas de texto simples. As palavras-passe estão encriptadas.
Assinar digitalmente comunicações (sempre)
Padrão: Não configurado
LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways
- Ativar - O cliente da rede Microsoft não comunica com um servidor de rede microsoft a menos que esse servidor concorde com a assinatura de pacote SMB.
- Não configurado - A assinatura de pacote SMB é negociada entre o cliente e o servidor.

Servidor de Rede da Microsoft

Assinar digitalmente comunicações (se o cliente concordar)
Padrão: Não configurado
PCP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
- Ativar - O servidor de rede da Microsoft negoceia a assinatura de pacote SMB conforme solicitado pelo cliente. Ou seja, se a assinatura de pacotes estiver ativada no cliente, a assinatura de pacotes será negociada.
- Não configurado - O cliente SMB nunca negoceia a assinatura de pacotes SMB.
Assinar digitalmente comunicações (sempre)
Padrão: Não configurado
PCP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways
- Ativar - O servidor de rede da Microsoft não comunica com um cliente de rede microsoft a menos que esse cliente concorde com a assinatura de pacote sMB.
- Não configurado - A assinatura de pacote SMB é negociada entre o cliente e o servidor.

Serviços Xbox

Tarefa de salvar jogos Xbox
Padrão: Não configurado
CSP: TaskScheduler/EnableXboxGameSaveTask

Esta definição determina se a Tarefa de Salvamento de Jogos Xbox está Ativada ou Desativada.
- Ativado
- Não configurado
Serviço de Gestão de Acessórios Xbox
Padrão: Manual
CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupMode

Esta definição determina o tipo de partida do Serviço de Gestão de Acessórios.
- Manual
- Automático
- Desativado
Xbox Live Serviço de Gestor Auth
Padrão: Manual
CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupMode

Esta definição determina o tipo de partida do Serviço de Gestor de Auth Live.
- Manual
- Automático
- Desativado
Xbox Live Serviço de Poupança de Jogos
Padrão: Manual
CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupMode

Esta definição determina o tipo de partida do Serviço de Salvamento de Jogos Vivos.
- Manual
- Automático
- Desativado
Xbox Live Serviço de Networking
Padrão: Manual
CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupMode

Esta definição determina o tipo de arranque do Serviço de Rede.
- Manual
- Automático
- Desativado

Passos seguintes

O perfil está criado, mas ainda não está ativo. Em seguida, atribua o perfile monitorize o seu estado.

Configure as definições de proteção do ponto final em dispositivos macOS.