Dela via


Lista över inställningarna i Microsoft Defender för Endpoint säkerhetsbaslinje i Intune

Den här artikeln är en referens för de inställningar som är tillgängliga i de olika versionerna av Microsoft Defender för Endpoint säkerhetsbaslinje som du kan distribuera med Microsoft Intune. Använd flikarna för att välja och visa inställningarna i den senaste baslinjeversionen och några äldre versioner som fortfarande kan användas.

För varje inställning identifierar den här referensen standardkonfigurationen för baslinjer, vilket också är den rekommenderade konfigurationen för den inställningen som tillhandahålls av det relevanta säkerhetsteamet. Eftersom produkter och säkerhetslandskap utvecklas kanske de rekommenderade standardvärdena i en baslinjeversion inte matchar standardvärdena som du hittar i senare versioner av samma baslinje. Olika baslinjetyper, till exempel MDM-säkerhet och Defender för Endpoint-baslinjer , kan också ange olika standardvärden.

När Intune-användargränssnittet innehåller en läs mer-länk för en inställning hittar du det även här. Använd den länken om du vill visa providern för inställningsprincipkonfigurationstjänsten (CSP) eller relevant innehåll som förklarar inställningsåtgärden.

När en ny version av en baslinje blir tillgänglig ersätter den den tidigare versionen. Profileringsinstanser som skapas innan en ny version är tillgänglig:

  • Bli skrivskyddad. Du kan fortsätta att använda dessa profiler men inte redigera dem för att ändra deras konfiguration.
  • Kan uppdateras till den senaste versionen. När du har uppdaterat en profil till den aktuella baslinjeversionen kan du redigera profilen för att ändra inställningarna.

Mer information om hur du använder säkerhetsbaslinjer finns i Använda säkerhetsbaslinjer. I den artikeln hittar du även information om hur du:

Microsoft Defender för Endpoint baslinjeversion 24H1

Microsoft Defender för Endpoint baslinje för december 2020 – version 6

Microsoft Defender för Endpoint baslinje för september 2020 – version 5

Microsoft Defender för Endpoint baslinje för april 2020 – version 4

Microsoft Defender för Endpoint baslinje för mars 2020 – version 3

Den Microsoft Defender för Endpoint baslinjen är tillgänglig när din miljö uppfyller kraven för att använda Microsoft Defender för Endpoint.

Den här baslinjen är optimerad för fysiska enheter och rekommenderas inte för användning på virtuella datorer (VM) eller VDI-slutpunkter. Vissa baslinjeinställningar kan påverka interaktiva fjärrsessioner i virtualiserade miljöer. Mer information finns i Öka efterlevnaden av Microsoft Defender för Endpoint säkerhetsbaslinje i Windows-dokumentationen.

Administrativa mallar

Installationsbegränsningar för systemenhet >>

  • Förhindra installation av enheter med drivrutiner som matchar dessa enhetsinstallationsklasser
    Standard för baslinje: Aktiverad
    Läs mer

    • Förhindrade klasser
      Standard för baslinje: d48179be-ec20-11d1-b6b8-00c04fa372a7

    • Gäller även för matchande enheter som redan är installerade.
      Standard för baslinje: Falskt

Windows-komponenter > BitLocker-diskkryptering

  • Välj enhetskrypteringsmetod och chifferstyrka (Windows 10 [version 1511] och senare)
    Standard för baslinje: Aktiverad
    Läs mer

    • Välj krypteringsmetod för flyttbara dataenheter:
      Standard för baslinje: AES-CBC 128-bitars (standard)

    • Välj krypteringsmetod för operativsystemenheter:
      Standard för baslinje: XTS-AES 128-bitars (standard)

    • Välj krypteringsmetod för fasta dataenheter:
      Standard för baslinje: XTS-AES 128-bitars (standard)

Windows-komponenter > BitLocker-diskkryptering > – fasta dataenheter

  • Välj hur BitLocker-skyddade fasta enheter kan återställas
    Standard för baslinje: Aktiverad
    Läs mer

    • Aktivera inte BitLocker förrän återställningsinformationen har lagrats i AD DS för fasta dataenheter
      Standard för baslinje: Sant

    • Tillåt dataåterställningsagent
      Standard för baslinje: Sant

    • Konfigurera lagring av BitLocker-återställningsinformation till AD DS:
      Standard för baslinje: Lösenord för säkerhetskopieringsåterställning och nyckelpaket

      Värde: Tillåt 256-bitars återställningsnyckel

    • Spara BitLocker-återställningsinformation i AD DS för fasta dataenheter
      Standard för baslinje: Sant

    • Utelämna återställningsalternativ från installationsguiden för BitLocker
      Standard för baslinje: Sant

    • Konfigurera användarlagring av BitLocker-återställningsinformation:
      Standard för baslinje: Tillåt 48-siffrigt återställningslösenord

  • Neka skrivåtkomst till fasta enheter som inte skyddas av BitLocker
    Standard för baslinje: Aktiverad
    Läs mer

  • Framtvinga enhetskrypteringstyp på fasta dataenheter
    Standard för baslinje: Aktiverad
    Läs mer

    • Välj krypteringstyp: (Enhet)
      Standard för baslinje: Kryptering med endast använt utrymme

Windows-komponenter > BitLocker-diskkryptering > av operativsystemenheter

  • Tillåt att enheter som är kompatibla med InstantGo eller HSTI avregistrerar sig från PIN-koden före start.
    Standard för baslinje: Inaktiverad
    Läs mer

  • Tillåt utökade PIN-koder för start
    Standard för baslinje: Inaktiverad
    Läs mer

  • Välj hur BitLocker-skyddade operativsystemenheter kan återställas
    Standard för baslinje: Aktiverad
    Läs mer

    • Utelämna återställningsalternativ från installationsguiden för BitLocker
      Standard för baslinje: Sant

    • Tillåt dataåterställningsagent
      Standard för baslinje: Sant

      Värde: Tillåt 256-bitars återställningsnyckel

    • Konfigurera lagring av BitLocker-återställningsinformation till AD DS:
      Standard för baslinje: Lagra återställningslösenord och nyckelpaket

    • Aktivera inte BitLocker förrän återställningsinformationen har lagrats i AD DS för operativsystemenheter
      Standard för baslinje: Sant

    • Spara BitLocker-återställningsinformation i AD DS för operativsystemenheter
      Standard för baslinje: Sant

    • Konfigurera användarlagring av BitLocker-återställningsinformation:
      Standard för baslinje: Tillåt 48-siffrigt återställningslösenord

  • Aktivera användning av BitLocker-autentisering som kräver indata från förstartstangentbord på skiffer
    Standard för baslinje: Aktiverad
    Läs mer

  • Framtvinga enhetskrypteringstyp på operativsystemenhet
    Standard för baslinje: Aktiverad
    Läs mer

    • Välj krypteringstyp: (Enhet)
      Standard för baslinje: Kryptering med endast använt utrymme
  • Kräv ytterligare autentisering vid start
    Standard för baslinje: Aktiverad
    Läs mer

    • Konfigurera TPM-startnyckel och PIN-kod:
      Standard för baslinje: Tillåt inte startnyckel och PIN-kod med TPM

    • Konfigurera TPM-start:
      Standard för baslinje: Tillåt TPM

    • Tillåt BitLocker utan en kompatibel TPM (kräver ett lösenord eller en startnyckel på ett USB-flashminne)
      Standard för baslinje: Falskt

    • Konfigurera PIN-kod för TPM-start:
      Standard för baslinje: Tillåt pin-kod för start med TPM

    • Konfigurera TPM-startnyckel:
      Standard för baslinje: Tillåt inte startnyckel med TPM

Windows-komponenter > BitLocker-diskkryptering > flyttbara dataenheter

  • Kontrollera användningen av BitLocker på flyttbara enheter
    Standard för baslinje: Aktiverad
    Läs mer

    • Tillåt användare att använda BitLocker-skydd på flyttbara dataenheter (enhet)
      Standard för baslinje: Sant

      • Framtvinga enhetskrypteringstyp på flyttbara dataenheter
        Standard för baslinje: Aktiverad
        Läs mer

        • Välj krypteringstyp: (Enhet)
          Standard för baslinje: Kryptering med endast använt utrymme
    • Tillåt användare att pausa och dekryptera BitLocker-skydd på flyttbara dataenheter (enhet)
      Standard för baslinje: Falskt

  • Neka skrivåtkomst till flyttbara enheter som inte skyddas av BitLocker
    Standard för baslinje: Aktiverad
    Läs mer

    • Tillåt inte skrivåtkomst till enheter som konfigurerats i en annan organisation
      Standard för baslinje: Falskt

Windows-komponenter > Utforskaren

  • Konfigurera Windows Defender SmartScreen
    Standard för baslinje: Aktiverad
    Läs mer

    • Välj någon av följande inställningar: (Enhet)
      Standard för baslinje: Varna och förhindra förbikoppling

Windows-komponenter > Internet Explorer

  • Förhindra att SmartScreen-filtervarningar kringgås om filer som inte ofta laddas ned från Internet
    Standard för baslinje: Aktiverad
    Läs mer

  • Förhindra att SmartScreen-filtervarningar kringgås om filer som inte ofta laddas ned från Internet (användare)
    Standard för baslinje: Aktiverad
    Läs mer

  • Förhindra hantering av SmartScreen-filter
    Standard för baslinje: Aktiverad
    Läs mer

    • Välj SmartScreen-filterläge
      Standard för baslinje:

BitLocker

  • Tillåt varning för annan diskkryptering
    Standard för baslinje: Aktiverad
    Läs mer

  • Konfigurera återställning av lösenordsrotation
    Standard för baslinje: Uppdatera på för både Azure AD-anslutna och hybrid-anslutna enheter
    Läs mer

  • Kräv enhetskryptering
    Standard för baslinje: Aktiverad
    Läs mer

Defender

  • Tillåt arkivgenomsökning
    Standard för baslinje: Tillåts. Söker igenom arkivfilerna.
    Läs mer

  • Tillåt beteendeövervakning
    Standard för baslinje: Tillåts. Aktiverar beteendeövervakning i realtid.
    Läs mer

  • Tillåt molnskydd
    Standard för baslinje: Tillåts. Aktiverar Cloud Protection.
    Läs mer

  • Tillåt Email genomsökning
    Standard för baslinje: Tillåts. Aktiverar e-postgenomsökning.
    Läs mer

  • Tillåt fullständig genomsökning av flyttbara enheter
    Standard för baslinje: Tillåts. Söker igenom flyttbara enheter.
    Läs mer

  • Tillåt åtkomstskydd
    Standard för baslinje: Tillåts.
    Läs mer

  • Tillåt realtidsövervakning
    Standard för baslinje: Tillåts. Aktiverar och kör realtidsövervakningstjänsten.
    Läs mer

  • Tillåt genomsökning av nätverksfiler
    Standard för baslinje: Tillåts. Söker igenom nätverksfiler.
    Läs mer

  • Tillåt genomsökning av alla nedladdade filer och bifogade filer
    Standard för baslinje: Tillåts.
    Läs mer

  • Tillåt skriptgenomsökning
    Standard för baslinje: Tillåts.
    Läs mer

  • Tillåt användargränssnittsåtkomst
    Standard för baslinje: Tillåts. Ger användarna åtkomst till användargränssnittet.
    Läs mer

    • Blockera körning av potentiellt dolda skript
      Standard för baslinje: Blockera
      Läs mer

    • Blockera Win32 API-anrop från Office-makron
      Standard för baslinje: Blockera
      Läs mer

    • Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista
      Standard för baslinje: Blockera
      Läs mer

    • Blockera Office-kommunikationsprogram från att skapa underordnade processer
      Standard för baslinje: Blockera
      Läs mer

    • Blockera alla Office-program från att skapa underordnade processer
      Standard för baslinje: Blockera
      Läs mer

    • Blockera Adobe Reader från att skapa underordnade processer
      Standard för baslinje: Blockera
      Läs mer

    • Blockera stöld av autentiseringsuppgifter från undersystemet för den lokala säkerhetsmyndigheten i Windows
      Standard för baslinje: Blockera
      Läs mer

    • Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll
      Standard för baslinje: Blockera
      Läs mer

    • Blockera skapande av WebShell för servrar
      Standard för baslinje: Blockera
      Läs mer

    • Blockera obetrodda och osignerade processer som körs från USB
      Standard för baslinje: Blockera
      Läs mer

    • Blockera beständighet via WMI-händelseprenumeration
      Standard för baslinje: Granska
      Läs mer

    • [FÖRHANDSVERSION] Blockera användning av kopierade eller personifierade systemverktyg
      Standard för baslinje: Blockera
      Läs mer

    • Blockera missbruk av utnyttjade sårbara signerade drivrutiner (enhet)
      Standard för baslinje: Blockera
      Läs mer

    • Blockera processskapanden från PSExec- och WMI-kommandon
      Standard för baslinje: Granska
      Läs mer

    • Blockera Office-program från att skapa körbart innehåll
      Standard för baslinje: Blockera
      Läs mer

    • Blockera Office-program från att mata in kod i andra processer
      Standard för baslinje: Blockera
      Läs mer

    • [FÖRHANDSVERSION] Blockera omstart av datorn i felsäkert läge
      Standard för baslinje: Blockera
      Läs mer

    • Använda avancerat skydd mot utpressningstrojaner
      Standard för baslinje: Blockera
      Läs mer

    • Blockera körbart innehåll från e-postklienten och webbmeddelandet
      Standard för baslinje: Blockera
      Läs mer

  • Sök efter signaturer innan du kör genomsökningen
    Standard för baslinje: Aktiverad
    Läs mer

  • Molnblockeringsnivå
    Standard för baslinje: Hög
    Läs mer

  • Utökad tidsgräns för molnet
    Standard för baslinje: Konfigurerad
    Värde: 50
    Läs mer

  • Inaktivera lokal Admin sammanslagning
    Standard för baslinje: Aktivera lokal Admin sammanslagning
    Läs mer

  • Aktivera nätverksskydd
    Standard för baslinje: Aktiverad (blockeringsläge)
    Läs mer

  • Dölj undantag från lokala administratörer
    Standard för baslinje: Om du aktiverar den här inställningen kan lokala administratörer inte längre se undantagslistan i Windows-säkerhet App eller via PowerShell.
    Läs mer

  • Dölj undantag från lokala användare
    Standard för baslinje: Om du aktiverar den här inställningen kan lokala användare inte längre se undantagslistan i Windows-säkerhet App eller via PowerShell.
    Läs mer

  • Oobe Enable Rtp And Sig Update
    Standard för baslinje: Om du aktiverar den här inställningen aktiveras realtidsskydd och Security Intelligence-Uppdateringar under OOBE.
    Läs mer

  • PUA-skydd
    Standard för baslinje: PUA-skydd på. Identifierade objekt blockeras. De visas i historiken tillsammans med andra hot.
    Läs mer

  • Genomsökningsriktning i realtid
    Standard för baslinje: Övervaka alla filer (dubbelriktade).
    Läs mer

  • Genomsökningsparameter
    Standard för baslinje: Snabbsökning
    Läs mer

  • Schemalägg snabbsökningstid
    Standard för baslinje: Konfigurerad
    Värde: 120
    Läs mer

  • Schemalägg genomsökningsdagen
    Standard för baslinje: Varje dag
    Läs mer

  • Schemalägg genomsökningstid
    Standard för baslinje: Konfigurerad
    Värde: 120
    Läs mer

  • Intervall för signaturuppdatering
    Standard för baslinje: Konfigurerad
    Värde: 4
    Läs mer

  • Medgivande för att skicka exempel
    Standard för baslinje: Skicka alla exempel automatiskt.
    Läs mer

Device Guard

  • Credential Guard
    Standard för baslinje: (Aktiverad med UEFI-lås) Aktiverar Credential Guard med UEFI-lås.
    Läs mer

Dma Guard

  • Enhetsuppräkningsprincip
    Standard för baslinje: Blockera alla (mest restriktiva)
    Läs mer

Brandvägg

  • Verifiering av listan över återkallade certifikat
    Standard för baslinje: Ingen
    Läs mer

  • Inaktivera tillståndskänslig Ftp
    Standard för baslinje: Sant
    Läs mer

  • Aktivera brandvägg för domännätverk
    Standard för baslinje: Sant
    Läs mer

    • Tillåt sammanslagning av lokal Ipsec-princip
      Standard för baslinje: Sant
      Läs mer

    • Inaktivera dolt läge
      Standard för baslinje: Falskt
      Läs mer

    • Inaktivera inkommande meddelanden
      Standard för baslinje: Sant
      Läs mer

    • Inaktivera Unicast-svar på multicast-sändning
      Standard för baslinje: Falskt
      Läs mer

    • Globala portar tillåter sammanslagning av användarförhandsanvändare
      Standard för baslinje: Sant
      Läs mer

    • Inaktivera hemligt ipsec-skyddat paketundantag i dolt läge
      Standard för baslinje: Sant
      Läs mer

    • Tillåt lokal principsammanslagning
      Standard för baslinje: Sant
      Läs mer

  • Aktivera paketkö
    Standard för baslinje: Konfigurerad
    Värde: Inaktiverad
    Läs mer

  • Aktivera brandvägg för privat nätverk
    Standard för baslinje: Sant
    Läs mer

    • Standardåtgärd för inkommande trafik för privat profil
      Standard för baslinje: Blockera
      Läs mer

    • Inaktivera Unicast-svar på multicast-sändning
      Standard för baslinje: Falskt
      Läs mer

    • Inaktivera dolt läge
      Standard för baslinje: Falskt
      Läs mer

    • Globala portar tillåter sammanslagning av användarförhandsanvändare
      Standard för baslinje: Sant
      Läs mer

    • Tillåt sammanslagning av lokal Ipsec-princip
      Standard för baslinje: Sant
      Läs mer

    • Inaktivera hemligt ipsec-skyddat paketundantag i dolt läge
      Standard för baslinje: Sant
      Läs mer

    • Inaktivera inkommande meddelanden
      Standard för baslinje: Sant
      Läs mer

    • Tillåt lokal principsammanslagning
      Standard för baslinje: Sant
      Läs mer

    • Standardåtgärd för utgående trafik
      Standard för baslinje: Tillåt
      Läs mer

    • Auth-appar tillåter sammanslagning av användarförhandsanvändare
      Standard för baslinje: Sant
      Läs mer

  • Aktivera brandvägg för offentligt nätverk
    Standard för baslinje: Sant
    Läs mer

    • Inaktivera dolt läge
      Standard för baslinje: Falskt
      Läs mer

    • Standardåtgärd för utgående trafik
      Standard för baslinje: Tillåt
      Läs mer

    • Inaktivera inkommande meddelanden
      Standard för baslinje: Sant
      Läs mer

    • Inaktivera hemligt ipsec-skyddat paketundantag i dolt läge
      Standard för baslinje: Sant
      Läs mer

    • Tillåt lokal principsammanslagning
      Standard för baslinje: Sant
      Läs mer

    • Auth-appar tillåter sammanslagning av användarförhandsanvändare
      Standard för baslinje: Sant
      Läs mer

    • Standardåtgärd för inkommande trafik för offentlig profil
      Standard för baslinje: Blockera
      Läs mer

    • Inaktivera Unicast-svar på multicast-sändning
      Standard för baslinje: Falskt
      Läs mer

    • Globala portar tillåter sammanslagning av användarförhandsanvändare
      Standard för baslinje: Sant
      Läs mer

    • Tillåt sammanslagning av lokal Ipsec-princip
      Standard för baslinje: Sant
      Läs mer

  • Kodning av i förväg delad nyckel
    Standard för baslinje: UTF8
    Läs mer

  • Inaktivitetstid för säkerhetsassociation
    Standard för baslinje: Konfigurerad
    Värde: 300
    Läs mer

Microsoft Edge

  • Konfigurera Microsoft Defender SmartScreen
    Standard för baslinje: Aktiverad

  • Konfigurera Microsoft Defender SmartScreen för att blockera potentiellt oönskade appar
    Standard för baslinje: Aktiverad

  • Aktivera Microsoft Defender SmartScreen DNS-begäranden
    Standard för baslinje: Aktiverad

  • Aktivera nytt SmartScreen-bibliotek
    Standard för baslinje: Aktiverad

  • Framtvinga Microsoft Defender SmartScreen-kontroller på nedladdningar från betrodda källor
    Standard för baslinje: Aktiverad

  • Förhindra att Microsoft Defender SmartScreen-prompter kringgås för webbplatser
    Standard för baslinje: Aktiverad

  • Förhindra att Microsoft Defender SmartScreen-varningar om nedladdningar kringgås
    Standard för baslinje: Aktiverad

Regler för minskning av attackytan

Regler för minskning av attackytan stöder en sammanslagning av inställningar från olika principer för att skapa en överordnad principuppsättning för varje enhet. Endast de inställningar som inte är i konflikt sammanfogas. Inställningar som är i konflikt läggs inte till i superuppsättningen med regler. Om två principer tidigare innehöll konflikter för en enda inställning flaggades båda principerna som i konflikt och inga inställningar från någon av profilerna skulle distribueras.

Beteendet för regelsammanslagning för minskning av attackytan är följande:

  • Regler för minskning av attackytan från följande profiler utvärderas för varje enhet som reglerna gäller för:
    • Enhetskonfigurationsprincip >> Endpoint Protection-profil > Microsoft Defender Minskning av attackytan för Exploit Guard >
    • Policy för minskning av > attackytans slutpunktssäkerhet >– regler för minskning av attackytan
    • Säkerhetsbaslinjer för slutpunktssäkerhet >> Microsoft Defender för Endpoint regler för minskning av baslinjeangreppsytan>.
  • Inställningar som inte har konflikter läggs till i en överordnad principuppsättning för enheten.
  • När två eller flera principer har motstridiga inställningar läggs de motstridiga inställningarna inte till i den kombinerade principen, medan inställningar som inte står i konflikt läggs till i den överordnad princip som gäller för en enhet.
  • Endast konfigurationerna för motstridiga inställningar hålls tillbaka.

Mer information finns i Regler för minskning av attackytan i dokumentationen om Microsoft Defender för Endpoint.

  • Blockera Office-kommunikationsappar från att skapa underordnade processer
    Standard för baslinje: Aktivera
    Läs mer

  • Blockera Adobe Reader från att skapa underordnade processer
    Standard för baslinje: Aktivera
    Läs mer

  • Blockera Office-program från att mata in kod i andra processer
    Standard för baslinje: Blockera
    Läs mer

  • Blockera Office-program från att skapa körbart innehåll
    Standard för baslinje: Blockera
    Läs mer

  • Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll
    Standard för baslinje: Blockera
    Läs mer

  • Aktivera nätverksskydd
    Standard för baslinje: Aktivera
    Läs mer

  • Blockera obetrodda och osignerade processer som körs från USB
    Standard för baslinje: Blockera
    Läs mer

  • Blockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe)
    Standard för baslinje: Aktivera
    Läs mer

  • Blockera nedladdning av körbart innehåll från e-post- och webbmailklienter
    Standard för baslinje: Blockera
    Läs mer

  • Blockera alla Office-program från att skapa underordnade processer
    Standard för baslinje: Blockera
    Läs mer

  • Blockera körning av potentiellt dolda skript (js/vbs/ps)
    Standard för baslinje: Blockera
    Läs mer

  • Blockera Win32 API-anrop från Office-makro
    Standard för baslinje: Blockera
    Läs mer

Programskydd som

Mer information finns i CSP för WindowsDefenderApplicationGuard i Windows-dokumentationen.

När du använder Microsoft Edge skyddar Microsoft Defender Application Guard din miljö från webbplatser som inte är betrodda av din organisation. När användare besöker webbplatser som inte visas i din isolerade nätverksgräns öppnas webbplatserna i en virtuell Hyper-V-webbläsarsession. Betrodda platser definieras av en nätverksgräns.

  • Aktivera Application Guard för Edge (alternativ)
    Standard för baslinje: Aktiverad för Edge
    Läs mer

    • Blockera externt innehåll från icke-företagsgodkända webbplatser
      Standard för baslinje: Ja
      Läs mer

    • Beteende för Urklipp
      Standard för baslinje: Blockera kopiering och inklistring mellan dator och webbläsare
      Läs mer

  • Princip för nätverksisolering i Windows
    Standard för baslinje: Konfigurera
    Läs mer

    • Nätverksdomäner
      Standard för baslinje: securitycenter.windows.com

BitLocker

  • Kräv att minneskort krypteras (endast mobil)
    Standard för baslinje: Ja
    Läs mer

    Obs!

    Stödet för Windows 10 Mobile och Windows Phone 8.1 upphörde i augusti 2020.

  • Aktivera fullständig diskkryptering för operativsystem och fasta dataenheter
    Standard för baslinje: Ja
    Läs mer

  • Princip för BitLocker-systemenhet
    Standard för baslinje: Konfigurera
    Läs mer

    • Konfigurera krypteringsmetod för operativsystemenheter
      Standard för baslinje: Inte konfigurerat
      Läs mer
  • BitLocker-princip för fast enhet
    Standard för baslinje: Konfigurera
    Läs mer

    • Blockera skrivåtkomst till fasta dataenheter som inte skyddas av BitLocker
      Standard för baslinje: Ja
      Läs mer
      Den här inställningen är tillgänglig när BitLocker-principen för fast enhet är inställd på Konfigurera.

    • Konfigurera krypteringsmetod för fasta dataenheter
      Standard för baslinje: AES 128-bitars XTS
      Läs mer

  • BitLocker-princip för flyttbara enheter
    Standard för baslinje: Konfigurera
    Läs mer

    • Konfigurera krypteringsmetod för flyttbara dataenheter
      Standard för baslinje: AES 128-bitars CBC
      Läs mer

    • Blockera skrivåtkomst till flyttbara dataenheter som inte skyddas av BitLocker
      Standard för baslinje: Inte konfigurerat
      Läs mer

  • Vänteläge vid viloläge vid batteridrift Standard för baslinje: Inaktiverad
    Läs mer

  • Vänteläge vid inkoppling i viloläge
    Standard för baslinje: Inaktiverad
    Läs mer

  • Aktivera fullständig diskkryptering för operativsystem och fasta dataenheter
    Standard för baslinje: Ja
    Läs mer

  • Princip för BitLocker-systemenhet
    Standard för baslinje: Konfigurera
    Läs mer

    • Startautentisering krävs
      Standard för baslinje: Ja
      Läs mer

    • Kompatibel PIN-kod för TPM-start
      Standard för baslinje: Tillåts
      Läs mer

    • Kompatibel TPM-startnyckel
      Standard för baslinje: Obligatoriskt
      Läs mer

    • Inaktivera BitLocker på enheter där TPM är inkompatibelt
      Standard för baslinje: Ja
      Läs mer

    • Konfigurera krypteringsmetod för operativsystemenheter
      Standard för baslinje: Inte konfigurerat
      Läs mer

  • BitLocker-princip för fast enhet
    Standard för baslinje: Konfigurera
    Läs mer

    • Blockera skrivåtkomst till fasta dataenheter som inte skyddas av BitLocker
      Standard för baslinje: Ja
      Läs mer
      Den här inställningen är tillgänglig när BitLocker-principen för fast enhet är inställd på Konfigurera.

    • Konfigurera krypteringsmetod för fasta dataenheter
      Standard för baslinje: AES 128-bitars XTS
      Läs mer

  • BitLocker-princip för flyttbara enheter
    Standard för baslinje: Konfigurera
    Läs mer

    • Konfigurera krypteringsmetod för flyttbara dataenheter
      Standard för baslinje: AES 128-bitars CBC
      Läs mer

    • Blockera skrivåtkomst till flyttbara dataenheter som inte skyddas av BitLocker
      Standard för baslinje: Inte konfigurerat
      Läs mer

  • Princip för BitLocker-systemenhet
    Standard för baslinje: Konfigurera
    Läs mer

    • Startautentisering krävs
      Standard för baslinje: Ja
      Läs mer

    • Kompatibel PIN-kod för TPM-start
      Standard för baslinje: Tillåts
      Läs mer

    • Kompatibel TPM-startnyckel
      Standard för baslinje: Obligatoriskt
      Läs mer

    • Inaktivera BitLocker på enheter där TPM är inkompatibelt
      Standard för baslinje: Ja
      Läs mer

    • Konfigurera krypteringsmetod för operativsystemenheter
      Standard för baslinje: Inte konfigurerat
      Läs mer

  • Vänteläge vid viloläge vid batteridrift Standard för baslinje: Inaktiverad
    Läs mer

  • Vänteläge vid inkoppling i viloläge
    Standard för baslinje: Inaktiverad
    Läs mer

  • Aktivera fullständig diskkryptering för operativsystem och fasta dataenheter
    Standard för baslinje: Ja
    Läs mer

  • BitLocker-princip för fast enhet
    Standard för baslinje: Konfigurera
    Läs mer

    • Blockera skrivåtkomst till fasta dataenheter som inte skyddas av BitLocker
      Standard för baslinje: Ja
      Läs mer
      Den här inställningen är tillgänglig när BitLocker-principen för fast enhet är inställd på Konfigurera.

    • Konfigurera krypteringsmetod för fasta dataenheter
      Standard för baslinje: AES 128-bitars XTS
      Läs mer

  • BitLocker-princip för flyttbara enheter
    Standard för baslinje: Konfigurera
    Läs mer

    • Konfigurera krypteringsmetod för flyttbara dataenheter
      Standard för baslinje: AES 128-bitars CBC
      Läs mer

    • Blockera skrivåtkomst till flyttbara dataenheter som inte skyddas av BitLocker
      Standard för baslinje: Inte konfigurerat
      Läs mer

Webbläsare

  • Kräv SmartScreen för Microsoft Edge
    Standard för baslinje: Ja
    Läs mer

  • Blockera åtkomst till skadlig webbplats
    Standard för baslinje: Ja
    Läs mer

  • Blockera nedladdning av overifierad fil
    Standard för baslinje: Ja
    Läs mer

Dataskydd

  • Blockera direkt minnesåtkomst
    Standard för baslinje: Ja
    Läs mer

Device Guard

  • Aktivera credential guard
    Standard för baslinje: Aktivera med UEFI-lås
    Läs mer

Enhetsinstallation

  • Installation av maskinvaruenheter efter enhetsidentifierare
    Standard för baslinje: Blockera installation av maskinvaruenheter
    Läs mer

    • Ta bort matchande maskinvaruenheter Standard för baslinje: Ja

    • Maskinvaruenhetsidentifierare som blockeras
      Standard för baslinje: Inte konfigurerat som standard. Lägg till en eller flera enhetsidentifierare manuellt.

  • Installation av maskinvaruenheter efter installationsklasser
    Standard för baslinje: Blockera installation av maskinvaruenheter
    Läs mer

    • Ta bort matchande maskinvaruenheter Standard för baslinje: Inte konfigurerat

    • Maskinvaruenhetsidentifierare som blockeras Standard för baslinje: Inte konfigurerat som standard. Lägg till en eller flera enhetsidentifierare manuellt.

  • Blockera installation av maskinvaruenheter efter installationsklasser:
    Standard för baslinje: Ja
    Läs mer

    • Ta bort matchande maskinvaruenheter:
      Standard för baslinje: Ja

    • Blockeringslista
      Standard för baslinje: Inte konfigurerat som standard. Lägg till en eller flera globala unika identifierare för installationsklassen manuellt.

DMA Guard

  • Uppräkning av externa enheter som är inkompatibla med Kernel DMA Protection
    Standard för baslinje: Blockera alla
    Läs mer
  • Uppräkning av externa enheter som är inkompatibla med Kernel DMA Protection
    Standard för baslinje: Inte konfigurerat
    Läs mer

Slutpunktsidentifiering och svar

  • Exempeldelning för alla filer
    Standard för baslinje: Ja
    Läs mer

  • Påskynda rapporteringsfrekvensen för telemetri
    Standard för baslinje: Ja
    Läs mer

Brandvägg

  • Stateful File Transfer Protocol (FTP)
    Standard för baslinje: Inaktiverad
    Läs mer

  • Antal sekunder som en säkerhetsassociation kan vara inaktiv innan den tas bort
    Standard för baslinje: 300
    Läs mer

  • Kodning av i förväg delad nyckel
    Standard för baslinje: UTF8
    Läs mer

  • Verifiering av listan över återkallade certifikat (CRL)
    Standard för baslinje: Inte konfigurerat
    Läs mer

  • Paketköer
    Standard för baslinje: Inte konfigurerat
    Läs mer

  • Privat brandväggsprofil
    Standard för baslinje: Konfigurera
    Läs mer

    • Inkommande anslutningar har blockerats
      Standard för baslinje: Ja
      Läs mer

    • Unicast-svar på multicast-sändningar krävs
      Standard för baslinje: Ja
      Läs mer

    • Utgående anslutningar krävs
      Standard för baslinje: Ja
      Läs mer

    • Inkommande meddelanden blockeras
      Standard för baslinje: Ja
      Läs mer

    • Globala portregler från sammanslagna grupprinciper
      Standard för baslinje: Ja
      Läs mer

    • Brandvägg aktiverad
      Standard för baslinje: Tillåts
      Läs mer

    • Auktoriserade programregler från grupprincip som inte har sammanfogats
      Standard för baslinje: Ja
      Läs mer

    • Anslutningssäkerhetsregler från grupprincipen har inte sammanfogats
      Standard för baslinje: Ja
      Läs mer

    • Inkommande trafik krävs
      Standard för baslinje: Ja
      Läs mer

    • Principregler från grupprincipen har inte sammanfogats
      Standard för baslinje: Ja
      Läs mer

  • Dolt läge blockerat
    Standard för baslinje: Ja
    Läs mer
  • Offentlig brandväggsprofil
    Standard för baslinje: Konfigurera
    Läs mer

    • Inkommande anslutningar har blockerats
      Standard för baslinje: Ja
      Läs mer

    • Unicast-svar på multicast-sändningar krävs
      Standard för baslinje: Ja
      Läs mer

    • Utgående anslutningar krävs
      Standard för baslinje: Ja
      Läs mer

    • Auktoriserade programregler från grupprincip som inte har sammanfogats
      Standard för baslinje: Ja**
      Läs mer

    • Inkommande meddelanden blockeras
      Standard för baslinje: Ja
      Läs mer

    • Globala portregler från sammanslagna grupprinciper
      Standard för baslinje: Ja
      Läs mer

    • Brandvägg aktiverad
      Standard för baslinje: Tillåts
      Läs mer

    • Anslutningssäkerhetsregler från grupprincipen har inte sammanfogats
      Standard för baslinje: Ja
      Läs mer

    • Inkommande trafik krävs
      Standard för baslinje: Ja
      Läs mer

    • Principregler från grupprincipen har inte sammanfogats
      Standard för baslinje: Ja
      Läs mer

  • Dolt läge blockerat
    Standard för baslinje: Ja
    Läs mer
  • Brandväggsprofildomän
    Standard för baslinje: Konfigurera
    Läs mer

    • Unicast-svar på multicast-sändningar krävs
      Standard för baslinje: Ja
      Läs mer

    • Auktoriserade programregler från grupprincip som inte har sammanfogats
      Standard för baslinje: Ja
      Läs mer

    • Inkommande meddelanden blockeras
      Standard för baslinje: Ja
      Läs mer

    • Globala portregler från sammanslagna grupprinciper
      Standard för baslinje: Ja
      Läs mer

    • Brandvägg aktiverad
      Standard för baslinje: Tillåts
      Läs mer

    • Anslutningssäkerhetsregler från grupprincipen har inte sammanfogats
      Standard för baslinje: Ja
      Läs mer

    • Principregler från grupprincipen har inte sammanfogats
      Standard för baslinje: Ja
      Läs mer

  • Dolt läge blockerat
    Standard för baslinje: Ja
    Läs mer

Microsoft Defender

  • Aktivera realtidsskydd
    Standard för baslinje: Ja
    Läs mer

  • Ytterligare tid (0–50 sekunder) för att utöka tidsgränsen för molnskydd
    Standard för baslinje: 50
    Läs mer

  • Sök igenom alla nedladdade filer och bifogade filer
    Standard för baslinje: Ja
    Läs mer

  • Genomsökningstyp
    Standard för baslinje: Snabbsökning
    Läs mer

  • Genomsökningsdag för Defender-schema:
    Standard för baslinje: Varje dag

  • Starttid för Defender-genomsökning:
    Standard för baslinje: Inte konfigurerat

  • Defender-exempel på insändningsmedgivande
    Standard för baslinje: Skicka säkra exempel automatiskt
    Läs mer

  • Molnlevererad skyddsnivå
    Standard för baslinje: Hög
    Läs mer

  • Sök igenom flyttbara enheter vid fullständig genomsökning
    Standard för baslinje: Ja
    Läs mer

  • Potentiellt oönskad appåtgärd i Defender
    Standard för baslinje: Blockera
    Läs mer

  • Aktivera molnbaserat skydd
    Standard för baslinje: Ja
    Läs mer

  • Aktivera realtidsskydd
    Standard för baslinje: Ja
    Läs mer

  • Ytterligare tid (0–50 sekunder) för att utöka tidsgränsen för molnskydd
    Standard för baslinje: 50
    Läs mer

  • Sök igenom alla nedladdade filer och bifogade filer
    Standard för baslinje: Ja
    Läs mer

  • Genomsökningstyp
    Standard för baslinje: Snabbsökning
    Läs mer

  • Defender-exempel på insändningsmedgivande
    Standard för baslinje: Skicka säkra exempel automatiskt
    Läs mer

  • Molnlevererad skyddsnivå
    Standard för baslinje: Hög
    Läs mer

  • Sök igenom flyttbara enheter vid fullständig genomsökning
    Standard för baslinje: Ja
    Läs mer

  • Potentiellt oönskad appåtgärd i Defender
    Standard för baslinje: Blockera
    Läs mer

  • Aktivera molnbaserat skydd
    Standard för baslinje: Ja
    Läs mer

  • Köra daglig snabbsökning på
    Standard för baslinje: 02:00
    Läs mer

  • Starttid för schemalagd genomsökning
    Standard för baslinje: 02:00

  • Konfigurera låg CPU-prioritet för schemalagda genomsökningar
    Standard för baslinje: Ja
    Läs mer

  • Blockera Office-kommunikationsappar från att skapa underordnade processer
    Standard för baslinje: Aktivera
    Läs mer

  • Blockera Adobe Reader från att skapa underordnade processer
    Standard för baslinje: Aktivera
    Läs mer

  • Skanna inkommande e-postmeddelanden
    Standard för baslinje: Ja
    Läs mer

  • Aktivera realtidsskydd
    Standard för baslinje: Ja
    Läs mer

  • Antal dagar (0–90) för att behålla skadlig kod i karantän
    Standard för baslinje: 0
    Läs mer

  • Defender-systemgenomsökningsschema
    Standard för baslinje: Användardefinierad
    Läs mer

  • Ytterligare tid (0–50 sekunder) för att utöka tidsgränsen för molnskydd
    Standard för baslinje: 50
    Läs mer

  • Sök igenom mappade nätverksenheter under en fullständig genomsökning
    Standard för baslinje: Ja
    Läs mer

  • Aktivera nätverksskydd
    Standard för baslinje: Ja
    Läs mer

  • Sök igenom alla nedladdade filer och bifogade filer
    Standard för baslinje: Ja
    Läs mer

  • Blockera åtkomstskydd
    Standard för baslinje: Inte konfigurerat
    Läs mer

  • Skanna webbläsarskript
    Standard för baslinje: Ja
    Läs mer

  • Blockera användaråtkomst till Microsoft Defender app
    Standard för baslinje: Ja
    Läs mer

  • Maximal tillåten CPU-användning (0–100 procent) per genomsökning
    Standard för baslinje: 50
    Läs mer

  • Genomsökningstyp
    Standard för baslinje: Snabbsökning
    Läs mer

  • Ange hur ofta (0–24 timmar) du vill söka efter säkerhetsinformationsuppdateringar
    Standard för baslinje: 8
    Läs mer

  • Defender-exempel på insändningsmedgivande
    Standard för baslinje: Skicka säkra exempel automatiskt
    Läs mer

  • Molnlevererad skyddsnivå
    Standard för baslinje: *Inte konfigurerat
    Läs mer

  • Sök igenom arkivfiler
    Standard för baslinje: Ja
    Läs mer

  • Aktivera beteendeövervakning
    Standard för baslinje: Ja
    Läs mer

  • Sök igenom flyttbara enheter vid fullständig genomsökning
    Standard för baslinje: Ja
    Läs mer

  • Sök igenom nätverksfiler
    Standard för baslinje: Ja
    Läs mer

  • Potentiellt oönskad appåtgärd i Defender
    Standard för baslinje: Blockera
    Läs mer

  • Aktivera molnbaserat skydd
    Standard för baslinje: Ja
    Läs mer

  • Blockera Office-program från att mata in kod i andra processer
    Standard för baslinje: Blockera
    Läs mer

  • Blockera Office-program från att skapa körbart innehåll
    Standard för baslinje: Blockera
    Läs mer

  • Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll
    Standard för baslinje: Blockera
    Läs mer

  • Aktivera nätverksskydd
    Standard för baslinje: Granskningsläge
    Läs mer

  • Blockera obetrodda och osignerade processer som körs från USB
    Standard för baslinje: Blockera
    Läs mer

  • Blockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe)
    Standard för baslinje: Aktivera
    Läs mer

  • Blockera nedladdning av körbart innehåll från e-post- och webbmailklienter
    Standard för baslinje: Blockera
    Läs mer

  • Blockera alla Office-program från att skapa underordnade processer
    Standard för baslinje: Blockera
    Läs mer

  • Blockera körning av potentiellt dolda skript (js/vbs/ps)
    Standard för baslinje: Blockera
    Läs mer

  • Blockera Win32 API-anrop från Office-makro
    Standard för baslinje: Blockera
    Läs mer

  • Köra daglig snabbsökning på
    Standard för baslinje: 02:00
    Läs mer

  • Starttid för schemalagd genomsökning
    Standard för baslinje: 02:00

  • Konfigurera låg CPU-prioritet för schemalagda genomsökningar
    Standard för baslinje: Ja
    Läs mer

  • Blockera Office-kommunikationsappar från att skapa underordnade processer
    Standard för baslinje: Aktivera
    Läs mer

  • Blockera Adobe Reader från att skapa underordnade processer
    Standard för baslinje: Aktivera
    Läs mer

  • Skanna inkommande e-postmeddelanden
    Standard för baslinje: Ja
    Läs mer

  • Aktivera realtidsskydd
    Standard för baslinje: Ja
    Läs mer

  • Antal dagar (0–90) för att behålla skadlig kod i karantän
    Standard för baslinje: 0
    Läs mer

  • Defender-systemgenomsökningsschema
    Standard för baslinje: Användardefinierad
    Läs mer

  • Ytterligare tid (0–50 sekunder) för att utöka tidsgränsen för molnskydd
    Standard för baslinje: 50
    Läs mer

  • Sök igenom mappade nätverksenheter under en fullständig genomsökning
    Standard för baslinje: Ja
    Läs mer

  • Aktivera nätverksskydd
    Standard för baslinje: Ja
    Läs mer

  • Sök igenom alla nedladdade filer och bifogade filer
    Standard för baslinje: Ja
    Läs mer

  • Blockera åtkomstskydd
    Standard för baslinje: Inte konfigurerat
    Läs mer

  • Skanna webbläsarskript
    Standard för baslinje: Ja
    Läs mer

  • Blockera användaråtkomst till Microsoft Defender app
    Standard för baslinje: Ja
    Läs mer

  • Maximal tillåten CPU-användning (0–100 procent) per genomsökning
    Standard för baslinje: 50
    Läs mer

  • Genomsökningstyp
    Standard för baslinje: Snabbsökning
    Läs mer

  • Ange hur ofta (0–24 timmar) du vill söka efter säkerhetsinformationsuppdateringar
    Standard för baslinje: 8
    Läs mer

  • Defender-exempel på insändningsmedgivande
    Standard för baslinje: Skicka säkra exempel automatiskt
    Läs mer

  • Molnlevererad skyddsnivå
    Standard för baslinje: *Inte konfigurerat
    Läs mer

  • Sök igenom arkivfiler
    Standard för baslinje: Ja
    Läs mer

  • Aktivera beteendeövervakning
    Standard för baslinje: Ja
    Läs mer

  • Sök igenom flyttbara enheter vid fullständig genomsökning
    Standard för baslinje: Ja
    Läs mer

  • Sök igenom nätverksfiler
    Standard för baslinje: Ja
    Läs mer

  • Potentiellt oönskad appåtgärd i Defender
    Standard för baslinje: Blockera
    Läs mer

  • Aktivera molnbaserat skydd
    Standard för baslinje: Ja
    Läs mer

  • Blockera Office-program från att mata in kod i andra processer
    Standard för baslinje: Blockera
    Läs mer

  • Blockera Office-program från att skapa körbart innehåll
    Standard för baslinje: Blockera
    Läs mer

  • Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll
    Standard för baslinje: Blockera
    Läs mer

  • Aktivera nätverksskydd
    Standard för baslinje: Granskningsläge
    Läs mer

  • Blockera obetrodda och osignerade processer som körs från USB
    Standard för baslinje: Blockera
    Läs mer

  • Blockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe)
    Standard för baslinje: Aktivera
    Läs mer

  • Blockera nedladdning av körbart innehåll från e-post- och webbmailklienter
    Standard för baslinje: Blockera
    Läs mer

  • Blockera alla Office-program från att skapa underordnade processer
    Standard för baslinje: Blockera
    Läs mer

  • Blockera körning av potentiellt dolda skript (js/vbs/ps)
    Standard för baslinje: Blockera
    Läs mer

  • Blockera Win32 API-anrop från Office-makro
    Standard för baslinje: Blockera
    Läs mer

Microsoft Defender Säkerhetscenter

  • Blockera användare från att redigera Exploit Guard-skyddsgränssnittet
    Standard för baslinje: Ja
    Läs mer

Smartskärm

  • Blockera användare från att ignorera SmartScreen-varningar
    Standard för baslinje: Ja
    Läs mer

  • Aktivera Windows SmartScreen
    Standard för baslinje: Ja
    Läs mer

  • Kräv SmartScreen för Microsoft Edge
    Standard för baslinje: Ja
    Läs mer

  • Blockera åtkomst till skadlig webbplats
    Standard för baslinje: Ja
    Läs mer

  • Blockera nedladdning av overifierad fil
    Standard för baslinje: Ja
    Läs mer

  • Konfigurera Microsoft Defender SmartScreen
    Standard för baslinje: Aktiverad

  • Förhindra att Microsoft Defender SmartScreen-prompter kringgås för webbplatser
    Standard för baslinje: Aktiverad

  • Förhindra att Microsoft Defender SmartScreen-varningar om nedladdningar kringgås
    Standard för baslinje: Aktiverad

  • Konfigurera Microsoft Defender SmartScreen för att blockera potentiellt oönskade appar
    Standard för baslinje: Aktiverad

  • Kräv endast appar från Store
    Standard för baslinje: Ja

  • Aktivera Windows SmartScreen
    Standard för baslinje: Ja
    Läs mer

Windows Hello för företag

Mer information finns i PassportForWork CSP i Windows-dokumentationen.

  • Blockera Windows Hello för företag
    Standard för baslinje: Inaktiverad

    • Gemener i PIN-kod Standard för baslinje: Tillåts

    • Specialtecken i PIN-kod Standard för baslinje: Tillåts

    • Versaler i PIN-kod Standard för baslinje: Tillåts

Nästa steg