Lista över inställningarna i Microsoft Defender för Endpoint säkerhetsbaslinje i Intune
Den här artikeln är en referens för de inställningar som är tillgängliga i de olika versionerna av Microsoft Defender för Endpoint säkerhetsbaslinje som du kan distribuera med Microsoft Intune. Använd flikarna för att välja och visa inställningarna i den senaste baslinjeversionen och några äldre versioner som fortfarande kan användas.
För varje inställning identifierar den här referensen standardkonfigurationen för baslinjer, vilket också är den rekommenderade konfigurationen för den inställningen som tillhandahålls av det relevanta säkerhetsteamet. Eftersom produkter och säkerhetslandskap utvecklas kanske de rekommenderade standardvärdena i en baslinjeversion inte matchar standardvärdena som du hittar i senare versioner av samma baslinje. Olika baslinjetyper, till exempel MDM-säkerhet och Defender för Endpoint-baslinjer , kan också ange olika standardvärden.
När Intune-användargränssnittet innehåller en läs mer-länk för en inställning hittar du det även här. Använd den länken om du vill visa providern för inställningsprincipkonfigurationstjänsten (CSP) eller relevant innehåll som förklarar inställningsåtgärden.
När en ny version av en baslinje blir tillgänglig ersätter den den tidigare versionen. Profileringsinstanser som skapas innan en ny version är tillgänglig:
- Bli skrivskyddad. Du kan fortsätta att använda dessa profiler men inte redigera dem för att ändra deras konfiguration.
- Kan uppdateras till den senaste versionen. När du har uppdaterat en profil till den aktuella baslinjeversionen kan du redigera profilen för att ändra inställningarna.
Mer information om hur du använder säkerhetsbaslinjer finns i Använda säkerhetsbaslinjer. I den artikeln hittar du även information om hur du:
- Ändra baslinjeversionen för en profil för att uppdatera en profil så att den använder den senaste versionen av baslinjen.
Microsoft Defender för Endpoint baslinjeversion 24H1
Microsoft Defender för Endpoint baslinje för december 2020 – version 6
Microsoft Defender för Endpoint baslinje för september 2020 – version 5
Microsoft Defender för Endpoint baslinje för april 2020 – version 4
Microsoft Defender för Endpoint baslinje för mars 2020 – version 3
Den Microsoft Defender för Endpoint baslinjen är tillgänglig när din miljö uppfyller kraven för att använda Microsoft Defender för Endpoint.
Den här baslinjen är optimerad för fysiska enheter och rekommenderas inte för användning på virtuella datorer (VM) eller VDI-slutpunkter. Vissa baslinjeinställningar kan påverka interaktiva fjärrsessioner i virtualiserade miljöer. Mer information finns i Öka efterlevnaden av Microsoft Defender för Endpoint säkerhetsbaslinje i Windows-dokumentationen.
Administrativa mallar
Installationsbegränsningar för systemenhet >>
Förhindra installation av enheter med drivrutiner som matchar dessa enhetsinstallationsklasser
Standard för baslinje: Aktiverad
Läs merGäller även för matchande enheter som redan är installerade.
Standard för baslinje: FalsktFörhindrade klasser
Standard för baslinje: d48179be-ec20-11d1-b6b8-00c04fa372a7
Windows-komponenter > BitLocker-diskkryptering
Välj enhetskrypteringsmetod och chifferstyrka (Windows 10 [version 1511] och senare)
Standard för baslinje: Aktiverad
Läs merVälj krypteringsmetod för flyttbara dataenheter:
Standard för baslinje: AES-CBC 128-bitars (standard)Välj krypteringsmetod för operativsystemenheter:
Standard för baslinje: XTS-AES 128-bitars (standard)Välj krypteringsmetod för fasta dataenheter:
Standard för baslinje: XTS-AES 128-bitars (standard)
Windows-komponenter > BitLocker-diskkryptering > – fasta dataenheter
Välj hur BitLocker-skyddade fasta enheter kan återställas
Standard för baslinje: Aktiverad
Läs merAktivera inte BitLocker förrän återställningsinformationen har lagrats i AD DS för fasta dataenheter
Standard för baslinje: SantTillåt dataåterställningsagent
Standard för baslinje: SantKonfigurera lagring av BitLocker-återställningsinformation till AD DS:
Standard för baslinje: Lösenord för säkerhetskopieringsåterställning och nyckelpaketVärde: Tillåt 256-bitars återställningsnyckel
Spara BitLocker-återställningsinformation i AD DS för fasta dataenheter
Standard för baslinje: SantUtelämna återställningsalternativ från installationsguiden för BitLocker
Standard för baslinje: SantKonfigurera användarlagring av BitLocker-återställningsinformation:
Standard för baslinje: Tillåt 48-siffrigt återställningslösenord
Neka skrivåtkomst till fasta enheter som inte skyddas av BitLocker
Standard för baslinje: Aktiverad
Läs merFramtvinga enhetskrypteringstyp på fasta dataenheter
Standard för baslinje: Aktiverad
Läs mer- Välj krypteringstyp: (Enhet)
Standard för baslinje: Kryptering med endast använt utrymme
- Välj krypteringstyp: (Enhet)
Windows-komponenter > BitLocker-diskkryptering > av operativsystemenheter
Tillåt att enheter som är kompatibla med InstantGo eller HSTI avregistrerar sig från PIN-koden före start.
Standard för baslinje: Inaktiverad
Läs merTillåt utökade PIN-koder för start
Standard för baslinje: Inaktiverad
Läs merVälj hur BitLocker-skyddade operativsystemenheter kan återställas
Standard för baslinje: Aktiverad
Läs merUtelämna återställningsalternativ från installationsguiden för BitLocker
Standard för baslinje: SantVärde: Tillåt 256-bitars återställningsnyckel
Spara BitLocker-återställningsinformation i AD DS för operativsystemenheter
Standard för baslinje: SantAktivera inte BitLocker förrän återställningsinformationen har lagrats i AD DS för operativsystemenheter
Standard för baslinje: SantKonfigurera användarlagring av BitLocker-återställningsinformation:
Standard för baslinje: Tillåt 48-siffrigt återställningslösenordTillåt dataåterställningsagent
Standard för baslinje: SantKonfigurera lagring av BitLocker-återställningsinformation till AD DS:
Standard för baslinje: Lagra återställningslösenord och nyckelpaket
Aktivera användning av BitLocker-autentisering som kräver indata från förstartstangentbord på skiffer
Standard för baslinje: Aktiverad
Läs merFramtvinga enhetskrypteringstyp på operativsystemenhet
Standard för baslinje: Aktiverad
Läs mer- Välj krypteringstyp: (Enhet)
Standard för baslinje: Kryptering med endast använt utrymme
- Välj krypteringstyp: (Enhet)
Kräv ytterligare autentisering vid start
Standard för baslinje: Aktiverad
Läs merKonfigurera TPM-startnyckel och PIN-kod:
Standard för baslinje: Tillåt inte startnyckel och PIN-kod med TPMTillåt BitLocker utan en kompatibel TPM (kräver ett lösenord eller en startnyckel på ett USB-flashminne)
Standard för baslinje: FalsktKonfigurera TPM-start:
Standard för baslinje: Tillåt TPMKonfigurera PIN-kod för TPM-start:
Standard för baslinje: Tillåt pin-kod för start med TPMKonfigurera TPM-startnyckel:
Standard för baslinje: Tillåt inte startnyckel med TPM
Windows-komponenter > BitLocker-diskkryptering > flyttbara dataenheter
Kontrollera användningen av BitLocker på flyttbara enheter
Standard för baslinje: Aktiverad
Läs merTillåt användare att använda BitLocker-skydd på flyttbara dataenheter (enhet)
Standard för baslinje: SantFramtvinga enhetskrypteringstyp på flyttbara dataenheter
Standard för baslinje: Aktiverad
Läs mer- Välj krypteringstyp: (Enhet)
Standard för baslinje: Kryptering med endast använt utrymme
- Välj krypteringstyp: (Enhet)
Tillåt användare att pausa och dekryptera BitLocker-skydd på flyttbara dataenheter (enhet)
Standard för baslinje: Falskt
Neka skrivåtkomst till flyttbara enheter som inte skyddas av BitLocker
Standard för baslinje: Aktiverad
Läs mer- Tillåt inte skrivåtkomst till enheter som konfigurerats i en annan organisation
Standard för baslinje: Falskt
- Tillåt inte skrivåtkomst till enheter som konfigurerats i en annan organisation
Windows-komponenter > Utforskaren
Konfigurera Windows Defender SmartScreen
Standard för baslinje: Aktiverad
Läs mer- Välj någon av följande inställningar: (Enhet)
Standard för baslinje: Varna och förhindra förbikoppling
- Välj någon av följande inställningar: (Enhet)
Windows-komponenter > Internet Explorer
Förhindra att SmartScreen-filtervarningar kringgås om filer som inte ofta laddas ned från Internet
Standard för baslinje: Aktiverad
Läs merFörhindra att SmartScreen-filtervarningar kringgås om filer som inte ofta laddas ned från Internet (användare)
Standard för baslinje: Aktiverad
Läs merFörhindra hantering av SmartScreen-filter
Standard för baslinje: Aktiverad
Läs mer- Välj SmartScreen-filterläge
Standard för baslinje: På
- Välj SmartScreen-filterläge
BitLocker
Tillåt varning för annan diskkryptering
Standard för baslinje: Aktiverad
Läs merKonfigurera återställning av lösenordsrotation
Standard för baslinje: Uppdatera på för både Azure AD-anslutna och hybrid-anslutna enheter
Läs merKräv enhetskryptering
Standard för baslinje: Aktiverad
Läs mer
Defender
Tillåt arkivgenomsökning
Standard för baslinje: Tillåts. Söker igenom arkivfilerna.
Läs merTillåt beteendeövervakning
Standard för baslinje: Tillåts. Aktiverar beteendeövervakning i realtid.
Läs merTillåt molnskydd
Standard för baslinje: Tillåts. Aktiverar Cloud Protection.
Läs merTillåt Email genomsökning
Standard för baslinje: Tillåts. Aktiverar e-postgenomsökning.
Läs merTillåt fullständig genomsökning av flyttbara enheter
Standard för baslinje: Tillåts. Söker igenom flyttbara enheter.
Läs merTillåt åtkomstskydd
Standard för baslinje: Tillåts.
Läs merTillåt realtidsövervakning
Standard för baslinje: Tillåts. Aktiverar och kör realtidsövervakningstjänsten.
Läs merTillåt genomsökning av nätverksfiler
Standard för baslinje: Tillåts. Söker igenom nätverksfiler.
Läs merTillåt genomsökning av alla nedladdade filer och bifogade filer
Standard för baslinje: Tillåts.
Läs merTillåt skriptgenomsökning
Standard för baslinje: Tillåts.
Läs merTillåt användargränssnittsåtkomst
Standard för baslinje: Tillåts. Ger användarna åtkomst till användargränssnittet.
Läs merBlockera körning av potentiellt dolda skript
Standard för baslinje: Av
Läs merBlockera Win32 API-anrop från Office-makron
Standard för baslinje: Av
Läs merBlockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista
Standard för baslinje: Av
Läs merBlockera Office-kommunikationsprogram från att skapa underordnade processer
Standard för baslinje: Av
Läs merBlockera alla Office-program från att skapa underordnade processer
Standard för baslinje: Av
Läs merBlockera JavaScript eller VBScript från att starta nedladdat körbart innehåll
Standard för baslinje: Av
Läs merBlockera skapande av WebShell för servrar
Standard för baslinje: Av
Läs merBlockera obetrodda och osignerade processer som körs från USB
Standard för baslinje: Av
Läs merBlockera Adobe Reader från att skapa underordnade processer
Standard för baslinje: Av
Läs merBlockera stöld av autentiseringsuppgifter från undersystemet för den lokala säkerhetsmyndigheten i Windows
Standard för baslinje: Av
Läs merBlockera missbruk av utnyttjade sårbara signerade drivrutiner (enhet)
Standard för baslinje: Av
Läs merBlockera beständighet via WMI-händelseprenumeration
Standard för baslinje: Av
Läs mer[FÖRHANDSVERSION] Blockera användning av kopierade eller personifierade systemverktyg
Standard för baslinje: Av
Läs merBlockera processskapanden från PSExec- och WMI-kommandon
Standard för baslinje: Av
Läs merBlockera Office-program från att skapa körbart innehåll
Standard för baslinje: Av
Läs merBlockera Office-program från att mata in kod i andra processer
Standard för baslinje: Av
Läs mer[FÖRHANDSVERSION] Blockera omstart av datorn i felsäkert läge
Standard för baslinje: Av
Läs merAnvända avancerat skydd mot utpressningstrojaner
Standard för baslinje: Av
Läs merBlockera körbart innehåll från e-postklienten och webbmeddelandet
Standard för baslinje: Av
Läs mer
Sök efter signaturer innan du kör genomsökningen
Standard för baslinje: Aktiverad
Läs merMolnblockeringsnivå
Standard för baslinje: Hög
Läs merUtökad tidsgräns för molnet
Standard för baslinje: Konfigurerad
Värde: 50
Läs merInaktivera lokal Admin sammanslagning
Standard för baslinje: Aktivera lokal Admin sammanslagning
Läs merAktivera nätverksskydd
Standard för baslinje: Aktiverad (blockeringsläge)
Läs merDölj undantag från lokala administratörer
Standard för baslinje: Om du aktiverar den här inställningen kan lokala administratörer inte längre se undantagslistan i Windows-säkerhet App eller via PowerShell.
Läs merDölj undantag från lokala användare
Standard för baslinje: Om du aktiverar den här inställningen kan lokala användare inte längre se undantagslistan i Windows-säkerhet App eller via PowerShell.
Läs merOobe Enable Rtp And Sig Update
Standard för baslinje: Om du aktiverar den här inställningen aktiveras realtidsskydd och Security Intelligence-Uppdateringar under OOBE.
Läs merPUA-skydd
Standard för baslinje: PUA-skydd på. Identifierade objekt blockeras. De visas i historiken tillsammans med andra hot.
Läs merGenomsökningsriktning i realtid
Standard för baslinje: Övervaka alla filer (dubbelriktade).
Läs merGenomsökningsparameter
Standard för baslinje: Snabbsökning
Läs merSchemalägg snabbsökningstid
Standard för baslinje: Konfigurerad
Värde: 120
Läs merSchemalägg genomsökningsdagen
Standard för baslinje: Varje dag
Läs merSchemalägg genomsökningstid
Standard för baslinje: Konfigurerad
Värde: 120
Läs merIntervall för signaturuppdatering
Standard för baslinje: Konfigurerad
Värde: 4
Läs merMedgivande för att skicka exempel
Standard för baslinje: Skicka alla exempel automatiskt.
Läs mer
Device Guard
- Credential Guard
Standard för baslinje: (Aktiverad med UEFI-lås) Aktiverar Credential Guard med UEFI-lås.
Läs mer
Dma Guard
- Enhetsuppräkningsprincip
Standard för baslinje: Blockera alla (mest restriktiva)
Läs mer
Brandvägg
Verifiering av listan över återkallade certifikat
Standard för baslinje: Ingen
Läs merInaktivera tillståndskänslig Ftp
Standard för baslinje: Sant
Läs merAktivera brandvägg för domännätverk
Standard för baslinje: Sant
Läs merInaktivera hemligt ipsec-skyddat paketundantag i dolt läge
Standard för baslinje: Sant
Läs merInaktivera dolt läge
Standard för baslinje: Falskt
Läs merTillåt sammanslagning av lokal Ipsec-princip
Standard för baslinje: Sant
Läs merInaktivera inkommande meddelanden
Standard för baslinje: Sant
Läs merGlobala portar tillåter sammanslagning av användarförhandsanvändare
Standard för baslinje: Sant
Läs merInaktivera Unicast-svar på multicast-sändning
Standard för baslinje: Falskt
Läs merTillåt lokal principsammanslagning
Standard för baslinje: Sant
Läs mer
Aktivera paketkö
Standard för baslinje: Konfigurerad
Läs merAktivera brandvägg för privat nätverk
Standard för baslinje: Sant
Läs merStandardåtgärd för inkommande trafik för privat profil
Standard för baslinje: Sant
Läs merInaktivera Unicast-svar på multicast-sändning
Standard för baslinje: Falskt
Läs merInaktivera dolt läge
Standard för baslinje: Falskt
Läs merGlobala portar tillåter sammanslagning av användarförhandsanvändare
Standard för baslinje: Sant
Läs merTillåt sammanslagning av lokal Ipsec-princip
Standard för baslinje: Sant
Läs merInaktivera hemligt ipsec-skyddat paketundantag i dolt läge
Standard för baslinje: Sant
Läs merTillåt lokal principsammanslagning
Standard för baslinje: Sant
Läs merStandardåtgärd för utgående trafik
Standard för baslinje: Tillåt
Läs merAuth-appar tillåter sammanslagning av användarförhandsanvändare
Standard för baslinje: Sant
Läs merInaktivera inkommande meddelanden
Standard för baslinje: Sant
Läs mer
Aktivera brandvägg för offentligt nätverk
Standard för baslinje: Sant
Läs merInaktivera dolt läge
Standard för baslinje: Falskt
Läs merStandardåtgärd för utgående trafik
Standard för baslinje: Tillåt
Läs merInaktivera inkommande meddelanden
Standard för baslinje: Sant
Läs merInaktivera hemligt ipsec-skyddat paketundantag i dolt läge
Standard för baslinje: Sant
Läs merStandardåtgärd för inkommande trafik för offentlig profil
Standard för baslinje: Blockera
Läs merGlobala portar tillåter sammanslagning av användarförhandsanvändare
Standard för baslinje: Sant
Läs merTillåt lokal principsammanslagning
Standard för baslinje: Sant
Läs merTillåt sammanslagning av lokal Ipsec-princip
Standard för baslinje: Sant
Läs merAuth-appar tillåter sammanslagning av användarförhandsanvändare
Standard för baslinje: Sant
Läs merInaktivera Unicast-svar på multicast-sändning
Standard för baslinje: Falskt
Läs mer
Kodning av i förväg delad nyckel
Standard för baslinje: UTF8
Läs merInaktivitetstid för säkerhetsassociation
Standard för baslinje: Konfigurerad
Värde: 300
Läs mer
Microsoft Edge
Konfigurera Microsoft Defender SmartScreen
Standard för baslinje: AktiveradKonfigurera Microsoft Defender SmartScreen för att blockera potentiellt oönskade appar
Standard för baslinje: AktiveradAktivera Microsoft Defender SmartScreen DNS-begäranden
Standard för baslinje: AktiveradAktivera nytt SmartScreen-bibliotek
Standard för baslinje: AktiveradFramtvinga Microsoft Defender SmartScreen-kontroller på nedladdningar från betrodda källor
Standard för baslinje: AktiveradFörhindra att Microsoft Defender SmartScreen-prompter kringgås för webbplatser
Standard för baslinje: AktiveradFörhindra att Microsoft Defender SmartScreen-varningar om nedladdningar kringgås
Standard för baslinje: Aktiverad
Regler för minskning av attackytan
Regler för minskning av attackytan stöder en sammanslagning av inställningar från olika principer för att skapa en överordnad principuppsättning för varje enhet. Endast de inställningar som inte är i konflikt sammanfogas. Inställningar som är i konflikt läggs inte till i superuppsättningen med regler. Om två principer tidigare innehöll konflikter för en enda inställning flaggades båda principerna som i konflikt och inga inställningar från någon av profilerna skulle distribueras.
Beteendet för regelsammanslagning för minskning av attackytan är följande:
- Regler för minskning av attackytan från följande profiler utvärderas för varje enhet som reglerna gäller för:
- Enhetskonfigurationsprincip >> Endpoint Protection-profil > Microsoft Defender Minskning av attackytan för Exploit Guard >
- Policy för minskning av > attackytans slutpunktssäkerhet >– regler för minskning av attackytan
- Säkerhetsbaslinjer för slutpunktssäkerhet >> Microsoft Defender för Endpoint regler för minskning av baslinjeangreppsytan>.
- Inställningar som inte har konflikter läggs till i en överordnad principuppsättning för enheten.
- När två eller flera principer har motstridiga inställningar läggs de motstridiga inställningarna inte till i den kombinerade principen, medan inställningar som inte står i konflikt läggs till i den överordnad princip som gäller för en enhet.
- Endast konfigurationerna för motstridiga inställningar hålls tillbaka.
Mer information finns i Regler för minskning av attackytan i dokumentationen om Microsoft Defender för Endpoint.
Blockera Office-kommunikationsappar från att skapa underordnade processer
Standard för baslinje: Aktivera
Läs merBlockera Adobe Reader från att skapa underordnade processer
Standard för baslinje: Aktivera
Läs merBlockera Office-program från att mata in kod i andra processer
Standard för baslinje: Blockera
Läs merBlockera Office-program från att skapa körbart innehåll
Standard för baslinje: Blockera
Läs merBlockera JavaScript eller VBScript från att starta nedladdat körbart innehåll
Standard för baslinje: Blockera
Läs merAktivera nätverksskydd
Standard för baslinje: Aktivera
Läs merBlockera obetrodda och osignerade processer som körs från USB
Standard för baslinje: Blockera
Läs merBlockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe)
Standard för baslinje: Aktivera
Läs merBlockera nedladdning av körbart innehåll från e-post- och webbmailklienter
Standard för baslinje: Blockera
Läs merBlockera alla Office-program från att skapa underordnade processer
Standard för baslinje: Blockera
Läs merBlockera körning av potentiellt dolda skript (js/vbs/ps)
Standard för baslinje: Blockera
Läs merBlockera Win32 API-anrop från Office-makro
Standard för baslinje: Blockera
Läs mer
Programskydd som
Mer information finns i CSP för WindowsDefenderApplicationGuard i Windows-dokumentationen.
När du använder Microsoft Edge skyddar Microsoft Defender Application Guard din miljö från webbplatser som inte är betrodda av din organisation. När användare besöker webbplatser som inte visas i din isolerade nätverksgräns öppnas webbplatserna i en virtuell Hyper-V-webbläsarsession. Betrodda platser definieras av en nätverksgräns.
BitLocker
Kräv att minneskort krypteras (endast mobil)
Standard för baslinje: Ja
Läs merObs!
Stödet för Windows 10 Mobile och Windows Phone 8.1 upphörde i augusti 2020.
Aktivera fullständig diskkryptering för operativsystem och fasta dataenheter
Standard för baslinje: Ja
Läs merPrincip för BitLocker-systemenhet
Standard för baslinje: Konfigurera
Läs mer- Konfigurera krypteringsmetod för operativsystemenheter
Standard för baslinje: Inte konfigurerat
Läs mer
- Konfigurera krypteringsmetod för operativsystemenheter
BitLocker-princip för fast enhet
Standard för baslinje: Konfigurera
Läs merBlockera skrivåtkomst till fasta dataenheter som inte skyddas av BitLocker
Standard för baslinje: Ja
Läs mer
Den här inställningen är tillgänglig när BitLocker-principen för fast enhet är inställd på Konfigurera.Konfigurera krypteringsmetod för fasta dataenheter
Standard för baslinje: AES 128-bitars XTS
Läs mer
BitLocker-princip för flyttbara enheter
Standard för baslinje: Konfigurera
Läs mer
Vänteläge vid viloläge vid batteridrift Standard för baslinje: Inaktiverad
Läs merVänteläge vid inkoppling i viloläge
Standard för baslinje: Inaktiverad
Läs merAktivera fullständig diskkryptering för operativsystem och fasta dataenheter
Standard för baslinje: Ja
Läs merPrincip för BitLocker-systemenhet
Standard för baslinje: Konfigurera
Läs merStartautentisering krävs
Standard för baslinje: Ja
Läs merKompatibel PIN-kod för TPM-start
Standard för baslinje: Tillåts
Läs merKompatibel TPM-startnyckel
Standard för baslinje: Obligatoriskt
Läs merInaktivera BitLocker på enheter där TPM är inkompatibelt
Standard för baslinje: Ja
Läs merKonfigurera krypteringsmetod för operativsystemenheter
Standard för baslinje: Inte konfigurerat
Läs mer
BitLocker-princip för fast enhet
Standard för baslinje: Konfigurera
Läs merBlockera skrivåtkomst till fasta dataenheter som inte skyddas av BitLocker
Standard för baslinje: Ja
Läs mer
Den här inställningen är tillgänglig när BitLocker-principen för fast enhet är inställd på Konfigurera.Konfigurera krypteringsmetod för fasta dataenheter
Standard för baslinje: AES 128-bitars XTS
Läs mer
BitLocker-princip för flyttbara enheter
Standard för baslinje: Konfigurera
Läs mer
Princip för BitLocker-systemenhet
Standard för baslinje: Konfigurera
Läs merStartautentisering krävs
Standard för baslinje: Ja
Läs merKompatibel PIN-kod för TPM-start
Standard för baslinje: Tillåts
Läs merKompatibel TPM-startnyckel
Standard för baslinje: Obligatoriskt
Läs merInaktivera BitLocker på enheter där TPM är inkompatibelt
Standard för baslinje: Ja
Läs merKonfigurera krypteringsmetod för operativsystemenheter
Standard för baslinje: Inte konfigurerat
Läs mer
Vänteläge vid viloläge vid batteridrift Standard för baslinje: Inaktiverad
Läs merVänteläge vid inkoppling i viloläge
Standard för baslinje: Inaktiverad
Läs merAktivera fullständig diskkryptering för operativsystem och fasta dataenheter
Standard för baslinje: Ja
Läs merBitLocker-princip för fast enhet
Standard för baslinje: Konfigurera
Läs merBlockera skrivåtkomst till fasta dataenheter som inte skyddas av BitLocker
Standard för baslinje: Ja
Läs mer
Den här inställningen är tillgänglig när BitLocker-principen för fast enhet är inställd på Konfigurera.Konfigurera krypteringsmetod för fasta dataenheter
Standard för baslinje: AES 128-bitars XTS
Läs mer
BitLocker-princip för flyttbara enheter
Standard för baslinje: Konfigurera
Läs mer
Webbläsare
Kräv SmartScreen för Microsoft Edge
Standard för baslinje: Ja
Läs merBlockera åtkomst till skadlig webbplats
Standard för baslinje: Ja
Läs merBlockera nedladdning av overifierad fil
Standard för baslinje: Ja
Läs mer
Dataskydd
- Blockera direkt minnesåtkomst
Standard för baslinje: Ja
Läs mer
Device Guard
- Aktivera credential guard
Standard för baslinje: Aktivera med UEFI-lås
Läs mer
Enhetsinstallation
Installation av maskinvaruenheter efter enhetsidentifierare
Standard för baslinje: Blockera installation av maskinvaruenheter
Läs merTa bort matchande maskinvaruenheter Standard för baslinje: Ja
Maskinvaruenhetsidentifierare som blockeras
Standard för baslinje: Inte konfigurerat som standard. Lägg till en eller flera enhetsidentifierare manuellt.
Installation av maskinvaruenheter efter installationsklasser
Standard för baslinje: Blockera installation av maskinvaruenheter
Läs merTa bort matchande maskinvaruenheter Standard för baslinje: Inte konfigurerat
Maskinvaruenhetsidentifierare som blockeras Standard för baslinje: Inte konfigurerat som standard. Lägg till en eller flera enhetsidentifierare manuellt.
Blockera installation av maskinvaruenheter efter installationsklasser:
Standard för baslinje: Ja
Läs merTa bort matchande maskinvaruenheter:
Standard för baslinje: JaBlockeringslista
Standard för baslinje: Inte konfigurerat som standard. Lägg till en eller flera globala unika identifierare för installationsklassen manuellt.
DMA Guard
- Uppräkning av externa enheter som är inkompatibla med Kernel DMA Protection
Standard för baslinje: Blockera alla
Läs mer
- Uppräkning av externa enheter som är inkompatibla med Kernel DMA Protection
Standard för baslinje: Inte konfigurerat
Läs mer
Slutpunktsidentifiering och svar
Brandvägg
Stateful File Transfer Protocol (FTP)
Standard för baslinje: Inaktiverad
Läs merAntal sekunder som en säkerhetsassociation kan vara inaktiv innan den tas bort
Standard för baslinje: 300
Läs merKodning av i förväg delad nyckel
Standard för baslinje: UTF8
Läs merVerifiering av listan över återkallade certifikat (CRL)
Standard för baslinje: Inte konfigurerat
Läs merPaketköer
Standard för baslinje: Inte konfigurerat
Läs merPrivat brandväggsprofil
Standard för baslinje: Konfigurera
Läs merInkommande anslutningar har blockerats
Standard för baslinje: Ja
Läs merUnicast-svar på multicast-sändningar krävs
Standard för baslinje: Ja
Läs merUtgående anslutningar krävs
Standard för baslinje: Ja
Läs merInkommande meddelanden blockeras
Standard för baslinje: Ja
Läs merGlobala portregler från sammanslagna grupprinciper
Standard för baslinje: Ja
Läs merBrandvägg aktiverad
Standard för baslinje: Tillåts
Läs merAuktoriserade programregler från grupprincip som inte har sammanfogats
Standard för baslinje: Ja
Läs merAnslutningssäkerhetsregler från grupprincipen har inte sammanfogats
Standard för baslinje: Ja
Läs merInkommande trafik krävs
Standard för baslinje: Ja
Läs merPrincipregler från grupprincipen har inte sammanfogats
Standard för baslinje: Ja
Läs mer
- Dolt läge blockerat
Standard för baslinje: Ja
Läs mer
Offentlig brandväggsprofil
Standard för baslinje: Konfigurera
Läs merInkommande anslutningar har blockerats
Standard för baslinje: Ja
Läs merUnicast-svar på multicast-sändningar krävs
Standard för baslinje: Ja
Läs merUtgående anslutningar krävs
Standard för baslinje: Ja
Läs merAuktoriserade programregler från grupprincip som inte har sammanfogats
Standard för baslinje: Ja**
Läs merInkommande meddelanden blockeras
Standard för baslinje: Ja
Läs merGlobala portregler från sammanslagna grupprinciper
Standard för baslinje: Ja
Läs merBrandvägg aktiverad
Standard för baslinje: Tillåts
Läs merAnslutningssäkerhetsregler från grupprincipen har inte sammanfogats
Standard för baslinje: Ja
Läs merInkommande trafik krävs
Standard för baslinje: Ja
Läs merPrincipregler från grupprincipen har inte sammanfogats
Standard för baslinje: Ja
Läs mer
- Dolt läge blockerat
Standard för baslinje: Ja
Läs mer
Brandväggsprofildomän
Standard för baslinje: Konfigurera
Läs merUnicast-svar på multicast-sändningar krävs
Standard för baslinje: Ja
Läs merAuktoriserade programregler från grupprincip som inte har sammanfogats
Standard för baslinje: Ja
Läs merInkommande meddelanden blockeras
Standard för baslinje: Ja
Läs merGlobala portregler från sammanslagna grupprinciper
Standard för baslinje: Ja
Läs merBrandvägg aktiverad
Standard för baslinje: Tillåts
Läs merAnslutningssäkerhetsregler från grupprincipen har inte sammanfogats
Standard för baslinje: Ja
Läs merPrincipregler från grupprincipen har inte sammanfogats
Standard för baslinje: Ja
Läs mer
- Dolt läge blockerat
Standard för baslinje: Ja
Läs mer
Microsoft Defender
Aktivera realtidsskydd
Standard för baslinje: Ja
Läs merYtterligare tid (0–50 sekunder) för att utöka tidsgränsen för molnskydd
Standard för baslinje: 50
Läs merSök igenom alla nedladdade filer och bifogade filer
Standard för baslinje: Ja
Läs merGenomsökningstyp
Standard för baslinje: Snabbsökning
Läs merGenomsökningsdag för Defender-schema:
Standard för baslinje: Varje dagStarttid för Defender-genomsökning:
Standard för baslinje: Inte konfigureratDefender-exempel på insändningsmedgivande
Standard för baslinje: Skicka säkra exempel automatiskt
Läs merMolnlevererad skyddsnivå
Standard för baslinje: Hög
Läs merSök igenom flyttbara enheter vid fullständig genomsökning
Standard för baslinje: Ja
Läs merPotentiellt oönskad appåtgärd i Defender
Standard för baslinje: Blockera
Läs merAktivera molnbaserat skydd
Standard för baslinje: Ja
Läs mer
Aktivera realtidsskydd
Standard för baslinje: Ja
Läs merYtterligare tid (0–50 sekunder) för att utöka tidsgränsen för molnskydd
Standard för baslinje: 50
Läs merSök igenom alla nedladdade filer och bifogade filer
Standard för baslinje: Ja
Läs merGenomsökningstyp
Standard för baslinje: Snabbsökning
Läs merDefender-exempel på insändningsmedgivande
Standard för baslinje: Skicka säkra exempel automatiskt
Läs merMolnlevererad skyddsnivå
Standard för baslinje: Hög
Läs merSök igenom flyttbara enheter vid fullständig genomsökning
Standard för baslinje: Ja
Läs merPotentiellt oönskad appåtgärd i Defender
Standard för baslinje: Blockera
Läs merAktivera molnbaserat skydd
Standard för baslinje: Ja
Läs mer
Köra daglig snabbsökning på
Standard för baslinje: 02:00
Läs merStarttid för schemalagd genomsökning
Standard för baslinje: 02:00Konfigurera låg CPU-prioritet för schemalagda genomsökningar
Standard för baslinje: Ja
Läs merBlockera Office-kommunikationsappar från att skapa underordnade processer
Standard för baslinje: Aktivera
Läs merBlockera Adobe Reader från att skapa underordnade processer
Standard för baslinje: Aktivera
Läs merSkanna inkommande e-postmeddelanden
Standard för baslinje: Ja
Läs merAktivera realtidsskydd
Standard för baslinje: Ja
Läs merAntal dagar (0–90) för att behålla skadlig kod i karantän
Standard för baslinje: 0
Läs merDefender-systemgenomsökningsschema
Standard för baslinje: Användardefinierad
Läs merYtterligare tid (0–50 sekunder) för att utöka tidsgränsen för molnskydd
Standard för baslinje: 50
Läs merSök igenom mappade nätverksenheter under en fullständig genomsökning
Standard för baslinje: Ja
Läs merAktivera nätverksskydd
Standard för baslinje: Ja
Läs merSök igenom alla nedladdade filer och bifogade filer
Standard för baslinje: Ja
Läs merBlockera åtkomstskydd
Standard för baslinje: Inte konfigurerat
Läs merSkanna webbläsarskript
Standard för baslinje: Ja
Läs merBlockera användaråtkomst till Microsoft Defender app
Standard för baslinje: Ja
Läs merMaximal tillåten CPU-användning (0–100 procent) per genomsökning
Standard för baslinje: 50
Läs merGenomsökningstyp
Standard för baslinje: Snabbsökning
Läs merAnge hur ofta (0–24 timmar) du vill söka efter säkerhetsinformationsuppdateringar
Standard för baslinje: 8
Läs merDefender-exempel på insändningsmedgivande
Standard för baslinje: Skicka säkra exempel automatiskt
Läs merMolnlevererad skyddsnivå
Standard för baslinje: *Inte konfigurerat
Läs merSök igenom arkivfiler
Standard för baslinje: Ja
Läs merAktivera beteendeövervakning
Standard för baslinje: Ja
Läs merSök igenom flyttbara enheter vid fullständig genomsökning
Standard för baslinje: Ja
Läs merSök igenom nätverksfiler
Standard för baslinje: Ja
Läs merPotentiellt oönskad appåtgärd i Defender
Standard för baslinje: Blockera
Läs merAktivera molnbaserat skydd
Standard för baslinje: Ja
Läs merBlockera Office-program från att mata in kod i andra processer
Standard för baslinje: Blockera
Läs merBlockera Office-program från att skapa körbart innehåll
Standard för baslinje: Blockera
Läs merBlockera JavaScript eller VBScript från att starta nedladdat körbart innehåll
Standard för baslinje: Blockera
Läs merAktivera nätverksskydd
Standard för baslinje: Granskningsläge
Läs merBlockera obetrodda och osignerade processer som körs från USB
Standard för baslinje: Blockera
Läs merBlockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe)
Standard för baslinje: Aktivera
Läs merBlockera nedladdning av körbart innehåll från e-post- och webbmailklienter
Standard för baslinje: Blockera
Läs merBlockera alla Office-program från att skapa underordnade processer
Standard för baslinje: Blockera
Läs merBlockera körning av potentiellt dolda skript (js/vbs/ps)
Standard för baslinje: Blockera
Läs merBlockera Win32 API-anrop från Office-makro
Standard för baslinje: Blockera
Läs mer
Köra daglig snabbsökning på
Standard för baslinje: 02:00
Läs merStarttid för schemalagd genomsökning
Standard för baslinje: 02:00Konfigurera låg CPU-prioritet för schemalagda genomsökningar
Standard för baslinje: Ja
Läs merBlockera Office-kommunikationsappar från att skapa underordnade processer
Standard för baslinje: Aktivera
Läs merBlockera Adobe Reader från att skapa underordnade processer
Standard för baslinje: Aktivera
Läs merSkanna inkommande e-postmeddelanden
Standard för baslinje: Ja
Läs merAktivera realtidsskydd
Standard för baslinje: Ja
Läs merAntal dagar (0–90) för att behålla skadlig kod i karantän
Standard för baslinje: 0
Läs merDefender-systemgenomsökningsschema
Standard för baslinje: Användardefinierad
Läs merYtterligare tid (0–50 sekunder) för att utöka tidsgränsen för molnskydd
Standard för baslinje: 50
Läs merSök igenom mappade nätverksenheter under en fullständig genomsökning
Standard för baslinje: Ja
Läs merAktivera nätverksskydd
Standard för baslinje: Ja
Läs merSök igenom alla nedladdade filer och bifogade filer
Standard för baslinje: Ja
Läs merBlockera åtkomstskydd
Standard för baslinje: Inte konfigurerat
Läs merSkanna webbläsarskript
Standard för baslinje: Ja
Läs merBlockera användaråtkomst till Microsoft Defender app
Standard för baslinje: Ja
Läs merMaximal tillåten CPU-användning (0–100 procent) per genomsökning
Standard för baslinje: 50
Läs merGenomsökningstyp
Standard för baslinje: Snabbsökning
Läs merAnge hur ofta (0–24 timmar) du vill söka efter säkerhetsinformationsuppdateringar
Standard för baslinje: 8
Läs merDefender-exempel på insändningsmedgivande
Standard för baslinje: Skicka säkra exempel automatiskt
Läs merMolnlevererad skyddsnivå
Standard för baslinje: *Inte konfigurerat
Läs merSök igenom arkivfiler
Standard för baslinje: Ja
Läs merAktivera beteendeövervakning
Standard för baslinje: Ja
Läs merSök igenom flyttbara enheter vid fullständig genomsökning
Standard för baslinje: Ja
Läs merSök igenom nätverksfiler
Standard för baslinje: Ja
Läs merPotentiellt oönskad appåtgärd i Defender
Standard för baslinje: Blockera
Läs merAktivera molnbaserat skydd
Standard för baslinje: Ja
Läs merBlockera Office-program från att mata in kod i andra processer
Standard för baslinje: Blockera
Läs merBlockera Office-program från att skapa körbart innehåll
Standard för baslinje: Blockera
Läs merBlockera JavaScript eller VBScript från att starta nedladdat körbart innehåll
Standard för baslinje: Blockera
Läs merAktivera nätverksskydd
Standard för baslinje: Granskningsläge
Läs merBlockera obetrodda och osignerade processer som körs från USB
Standard för baslinje: Blockera
Läs merBlockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe)
Standard för baslinje: Aktivera
Läs merBlockera nedladdning av körbart innehåll från e-post- och webbmailklienter
Standard för baslinje: Blockera
Läs merBlockera alla Office-program från att skapa underordnade processer
Standard för baslinje: Blockera
Läs merBlockera körning av potentiellt dolda skript (js/vbs/ps)
Standard för baslinje: Blockera
Läs merBlockera Win32 API-anrop från Office-makro
Standard för baslinje: Blockera
Läs mer
Microsoft Defender Säkerhetscenter
- Blockera användare från att redigera Exploit Guard-skyddsgränssnittet
Standard för baslinje: Ja
Läs mer
Smartskärm
Blockera användare från att ignorera SmartScreen-varningar
Standard för baslinje: Ja
Läs merAktivera Windows SmartScreen
Standard för baslinje: Ja
Läs merKräv SmartScreen för Microsoft Edge
Standard för baslinje: Ja
Läs merBlockera åtkomst till skadlig webbplats
Standard för baslinje: Ja
Läs merBlockera nedladdning av overifierad fil
Standard för baslinje: Ja
Läs merKonfigurera Microsoft Defender SmartScreen
Standard för baslinje: AktiveradFörhindra att Microsoft Defender SmartScreen-prompter kringgås för webbplatser
Standard för baslinje: AktiveradFörhindra att Microsoft Defender SmartScreen-varningar om nedladdningar kringgås
Standard för baslinje: AktiveradKonfigurera Microsoft Defender SmartScreen för att blockera potentiellt oönskade appar
Standard för baslinje: Aktiverad
Kräv endast appar från Store
Standard för baslinje: JaAktivera Windows SmartScreen
Standard för baslinje: Ja
Läs mer
Windows Hello för företag
Mer information finns i PassportForWork CSP i Windows-dokumentationen.
Blockera Windows Hello för företag
Standard för baslinje: InaktiveradGemener i PIN-kod Standard för baslinje: Tillåts
Specialtecken i PIN-kod Standard för baslinje: Tillåts
Versaler i PIN-kod Standard för baslinje: Tillåts
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för