Intune Windows 365 云电脑安全基线中的设置列表
本文是Windows 365 云电脑安全基线中可用设置的参考,可以使用 Microsoft Intune 进行部署。
对于每个设置,我们都会列出基线默认配置,这也是相关安全团队提供的该设置的建议配置。 由于产品和安全环境不断演变,因此一个基线版本中的建议默认值可能与在同一基线的更高版本中发现的默认值不匹配。 不同的基线类型(如 MDM 安全性和Defender for Endpoint 基线)也可以设置不同的默认值。
当Intune UI 包含设置的“了解详细信息”链接时,我们也会在此处添加该链接。 使用该链接可以查看设置 策略配置服务提供商 (CSP) 或说明设置操作的相关内容。
当新版本的基线可用时,它将替换以前的版本。 在新版本可用之前创建的配置文件实例:
- 变为只读。 可以继续使用这些配置文件,但无法编辑它们以更改其配置。
- 可以更新到最新版本。 将配置文件更新到当前基线版本后,可以编辑配置文件以修改设置。
若要详细了解如何使用安全基线,请参阅:
Windows 365 云电脑安全基线版本 24H1:
此基线中的设置适用于通过 Intune 管理的 Windows 设备。 如果可用,设置名称将链接到源配置服务提供程序 (CSP) ,然后在基线中显示该设置的默认设置。
管理模板
>控制面板个性化
MS 安全指南
在网络登录时对本地帐户应用 UAC 限制
基线默认值: 已启用
了解更多配置 SMB v1 客户端驱动程序
基线默认值: 已启用
了解更多-
配置 MrxSmb10 驱动程序
基线默认值: 禁用驱动程序 (建议)
-
配置 MrxSmb10 驱动程序
配置 SMB v1 服务器
基线默认值: 禁用
了解更多启用结构化异常处理覆盖保护 (SEHOP)
基线默认值: 已启用
了解更多WDigest 身份验证 (禁用可能需要KB2871997)
基线默认值: 禁用
了解更多
MSS (旧版)
MSS: (DisableIPSourceRouting IPv6) IP 源路由保护级别 (防止数据包欺骗)
基线默认值: 已启用
了解更多-
DisableIPSourceRouting IPv6 (设备)
基线默认值: 最高保护,完全禁用源路由
-
DisableIPSourceRouting IPv6 (设备)
MSS: (DisableIPSourceRouting) IP 源路由保护级别 (防止数据包欺骗)
基线默认值: 已启用
了解更多-
DisableIPSourceRouting (设备)
基线默认值: 启用最高保护,完全禁用源路由
-
DisableIPSourceRouting (设备)
MSS: (EnableCMPRedirect) 允许 ICMP 重定向覆盖 OSPF 生成的路由
基线默认值: 禁用
了解更多MSS: (NoNameReleaseOnDemand) 允许计算机忽略除 WINS 服务器之外的 NetBIOS 名称发布请求
基线默认值: 已启用
了解更多
网络 > DNS 客户端
-
关闭多播名称解析
基线默认值: 已启用
了解更多
网络>网络Connections
-
禁止在 DNS 域网络上使用 Internet 连接共享
基线默认值: 已启用
了解更多
网络 > 提供商
-
强化的 UNC 路径
基线默认值: 已启用
了解更多强化的 UNC 路径: (设备)
基线默认值:名称 值 \\*\SYSVOLRequireMutualAuthentication=1,RequireIntegrity=1 \\*\NETLOGONRequireMutualAuthentication=1,RequireIntegrity=1
网络 > Windows 连接管理器
-
连接到经过域身份验证的网络时禁止连接到非域网络
基线默认值: 已启用
了解更多
“开始”菜单和任务栏 > 通知
-
关闭锁屏界面上的 toast 通知 (用户)
基线默认值: 已启用
了解更多
系统 > 凭据委派
系统 > 设备安装 > 设备安装限制
-
阻止使用与这些设备安装类匹配的驱动程序安装设备
基线默认值: 已启用
了解更多已阻止的类
基线默认值: {d48179be-ec20-11d1-b6b8-00c04fa372a7}也适用于已安装的匹配设备
基线默认值: True
系统 > 提前启动反恶意软件
-
启动驱动程序初始化策略
基线默认值: 已启用
了解更多-
选择可初始化的启动驱动程序:
基线默认值: 良好、未知和错误,但严重
-
选择可初始化的启动驱动程序:
系统>组策略
配置注册表策略处理
基线默认值: 已启用
了解更多-
在定期后台处理期间不要应用 (设备)
基线默认值: False -
即使组策略对象未更改 (设备)
基线默认值: True
-
在定期后台处理期间不要应用 (设备)
系统 > Internet 通信管理 > Internet 通信设置
系统 > 远程协助
-
配置请求的远程协助
基线默认值: 禁用
了解更多
系统 > 远程过程调用
-
限制未经身份验证的 RPC 客户端
基线默认值: 已启用
了解更多-
要应用的 RPC 运行时未经身份验证的客户端限制:
基线默认值: 已验证
-
要应用的 RPC 运行时未经身份验证的客户端限制:
Windows 组件 > 应用运行时
-
允许Microsoft帐户为可选帐户
基线默认值: 已启用
了解更多
Windows 组件 > 自动播放策略
禁止对非卷设备自动播放
基线默认值: 已启用
了解更多设置自动运行的默认行为
基线默认值: 已启用
了解更多-
默认自动运行行为
基线默认值: 不执行任何自动运行命令
-
默认自动运行行为
关闭自动播放
基线默认值: 已启用
了解更多-
关闭自动播放:
基线默认值: 所有驱动器
-
关闭自动播放:
Windows 组件 > 凭据用户界面
-
在提升时枚举管理员帐户
基线默认值: 禁用
了解更多
Windows 组件 > 事件日志服务 > 应用程序
-
指定最大日志文件大小 (KB)
基线默认值: 已启用
了解更多-
最大日志大小 (KB)
基线默认值: 32768
-
最大日志大小 (KB)
Windows 组件 > 事件日志服务 > 安全性
-
指定最大日志文件大小 (KB)
基线默认值: 已启用
了解更多-
最大日志大小 (KB)
基线默认值: 196608
-
最大日志大小 (KB)
Windows 组件 > 事件日志服务 > 系统
-
指定最大日志文件大小 (KB)
基线默认值: 已启用
了解更多-
最大日志大小 (KB)
基线默认值: 32768
-
最大日志大小 (KB)
Windows 组件>文件资源管理器
配置 Windows Defender SmartScreen
基线默认值: 已启用
了解更多-
选择以下设置之一: (设备)
基线默认值: 警告并阻止绕过
-
选择以下设置之一: (设备)
关闭资源管理器的数据执行防护
基线默认值: 禁用
了解更多在损坏时关闭堆终止
基线默认值: 禁用
了解更多
Windows 组件 > Internet Explorer > Internet 控制面板>高级页
允许软件运行或安装,即使签名无效
基线默认值: 禁用
了解更多检查服务器证书吊销
基线默认值: 已启用
了解更多检查下载的程序上的签名
基线默认值: 已启用
了解更多启用增强保护模式后,不允许 ActiveX 控件在保护模式下运行
基线默认值: 已启用
了解更多关闭加密支持
基线默认值: 已启用
了解更多-
安全协议组合
基线默认值: 使用 TLS 1.1 和 TLS 1.2
-
安全协议组合
在 64 位版本的 Windows 上以增强保护模式运行时打开 64 位选项卡进程
基线默认值: 已启用
了解更多打开增强保护模式
基线默认值: 已启用
了解更多
Windows 组件 > Internet Explorer > Internet 控制面板
-
防止忽略证书错误
基线默认值: 已启用
了解更多
Windows 组件 > Internet Explorer > Internet 控制面板>安全页 > Internet 区域
跨域访问数据源
基线默认值: 已启用
了解更多-
跨域访问数据源
基线默认值: 禁用
-
跨域访问数据源
允许通过脚本从剪贴板执行剪切、复制或粘贴操作
基线默认值: 已启用
了解更多-
允许通过脚本执行粘贴操作
基线默认值: 禁用
-
允许通过脚本执行粘贴操作
允许拖放或复制和粘贴文件
基线默认值: 已启用
了解更多-
允许拖放或复制和粘贴文件
基线默认值: 禁用
-
允许拖放或复制和粘贴文件
允许加载 XAML 文件
基线默认值: 已启用
了解更多-
XAML 文件
基线默认值: 禁用
-
XAML 文件
仅允许已批准的域在没有提示的情况下使用 ActiveX 控件
基线默认值: 已启用
了解更多-
仅允许已批准的域在没有提示的情况下使用 ActiveX 控件
基线默认值: 启用
-
仅允许已批准的域在没有提示的情况下使用 ActiveX 控件
仅允许已批准的域使用 TDC ActiveX 控件
基线默认值: 已启用
了解更多-
仅允许已批准的域使用 TDC ActiveX 控件
基线默认值: 启用
-
仅允许已批准的域使用 TDC ActiveX 控件
允许没有大小或位置约束的脚本启动的窗口
基线默认值: 已启用
了解更多-
允许没有大小或位置约束的脚本启动的窗口
基线默认值: 禁用
-
允许没有大小或位置约束的脚本启动的窗口
允许编写 Internet Explorer WebBrowser 控件的脚本
基线默认值: 已启用
了解更多-
Internet Explorer Web 浏览器控件
基线默认值: 禁用
-
Internet Explorer Web 浏览器控件
允许 scriptlet
基线默认值: 已启用
了解更多-
Scriptlet
基线默认值: 禁用
-
Scriptlet
允许通过脚本更新状态栏
基线默认值: 已启用
了解更多-
通过脚本更新状态栏
基线默认值: 禁用
-
通过脚本更新状态栏
允许 VBScript 在 Internet Explorer 中运行
基线默认值: 已启用
了解更多-
允许 VBScript 在 Internet Explorer 中运行
基线默认值: 禁用
-
允许 VBScript 在 Internet Explorer 中运行
自动提示文件下载
基线默认值: 已启用
了解更多-
自动提示文件下载
基线默认值: 禁用
-
自动提示文件下载
不要对 ActiveX 控件运行反恶意软件程序
基线默认值: 已启用
了解更多-
不要对 ActiveX 控件运行反恶意软件程序
基线默认值: 禁用
-
不要对 ActiveX 控件运行反恶意软件程序
下载签名的 ActiveX 控件
基线默认值: 已启用
了解更多-
下载签名的 ActiveX 控件
基线默认值: 禁用
-
下载签名的 ActiveX 控件
下载未签名的 ActiveX 控件
基线默认值: 已启用
了解更多-
下载未签名的 ActiveX 控件
基线默认值: 禁用
-
下载未签名的 ActiveX 控件
启用跨窗口拖动不同域中的内容
基线默认值: 已启用
了解更多-
启用跨窗口拖动不同域中的内容
基线默认值: 禁用
-
启用跨窗口拖动不同域中的内容
在窗口中启用从不同域拖动内容
基线默认值: 已启用
了解更多-
在窗口中启用从不同域拖动内容
基线默认值: 禁用
-
在窗口中启用从不同域拖动内容
当用户将文件上传到服务器时包含本地路径
基线默认值: 已启用
了解更多-
将文件上传到服务器时包括本地目录路径
基线默认值: 禁用
-
将文件上传到服务器时包括本地目录路径
初始化和编写未标记为安全的 ActiveX 控件的脚本
基线默认值: 已启用
了解更多-
初始化和编写未标记为安全的 ActiveX 控件的脚本
基线默认值: 禁用
-
初始化和编写未标记为安全的 ActiveX 控件的脚本
Java 权限
基线默认值: 已启用
了解更多-
Java 权限
基线默认值: 禁用 Java
-
Java 权限
在 IFRAME 中启动应用程序和文件
基线默认值: 已启用
了解更多-
在 IFRAME 中启动应用程序和文件
基线默认值: 禁用
-
在 IFRAME 中启动应用程序和文件
登录选项
基线默认值: 已启用
了解更多-
登录选项
基线默认值: 提示输入用户名和密码
-
登录选项
跨不同域导航窗口和框架
基线默认值: 已启用
了解更多-
跨不同域导航窗口和框架
基线默认值: 禁用
-
跨不同域导航窗口和框架
运行未使用 Authenticode 签名的依赖.NET Framework组件
基线默认值: 已启用
了解更多-
运行未使用 Authenticode 签名的依赖.NET Framework组件
基线默认值: 禁用
-
运行未使用 Authenticode 签名的依赖.NET Framework组件
运行使用 Authenticode 签名的.NET Framework依赖组件
基线默认值: 已启用
了解更多-
运行使用 Authenticode 签名的.NET Framework依赖组件
基线默认值: 禁用
-
运行使用 Authenticode 签名的.NET Framework依赖组件
显示潜在不安全文件的安全警告
基线默认值: 已启用
了解更多-
启动程序和不安全的文件
基线默认值: 提示
-
启动程序和不安全的文件
启用跨站点脚本筛选器
基线默认值: 已启用
了解更多-
(XSS) 筛选器启用跨站点脚本
基线默认值: 启用
-
(XSS) 筛选器启用跨站点脚本
打开保护模式
基线默认值: 已启用
了解更多-
保护模式
基线默认值: 启用
-
保护模式
启用 SmartScreen 筛选器扫描
基线默认值: 已启用
了解更多-
使用 SmartScreen 筛选器
基线默认值: 启用
-
使用 SmartScreen 筛选器
使用弹出窗口阻止程序
基线默认值: 已启用
了解更多-
使用弹出窗口阻止程序
基线默认值: 启用
-
使用弹出窗口阻止程序
Userdata 持久性
基线默认值: 已启用
了解更多-
Userdata 持久性
基线默认值: 禁用
-
Userdata 持久性
较低特权 Web 内容区域中的网站可以导航到此区域
基线默认值: 已启用
了解更多-
较低特权 Web 内容区域中的网站可以导航到此区域
基线默认值: 禁用
-
较低特权 Web 内容区域中的网站可以导航到此区域
Windows 组件 > Internet Explorer > Internet 控制面板>安全页
Windows 组件 > Internet Explorer > Internet 控制面板>安全页 > Intranet 区域
不要对 ActiveX 控件运行反恶意软件程序
基线默认值: 已启用
了解更多-
不要对 ActiveX 控件运行反恶意软件程序
基线默认值: 禁用
-
不要对 ActiveX 控件运行反恶意软件程序
初始化和编写未标记为安全的 ActiveX 控件的脚本
基线默认值: 已启用
了解更多-
初始化和编写未标记为安全的 ActiveX 控件的脚本
基线默认值: 禁用
-
初始化和编写未标记为安全的 ActiveX 控件的脚本
Java 权限
基线默认值: 已启用
了解更多-
Java 权限
基线默认值: 高安全性
-
Java 权限
Windows 组件 > Internet Explorer > Internet 控制面板>安全页>本地计算机区域
不要对 ActiveX 控件运行反恶意软件程序
基线默认值: 已启用
了解更多-
不要对 ActiveX 控件运行反恶意软件程序
基线默认值: 禁用
-
不要对 ActiveX 控件运行反恶意软件程序
Java 权限
基线默认值: 已启用
了解更多-
Java 权限
基线默认值: 禁用 Java
-
Java 权限
Windows 组件 > Internet Explorer > Internet 控制面板>安全页>锁定的 Internet 区域
-
启用 SmartScreen 筛选器扫描
基线默认值: 已启用
了解更多-
使用 SmartScreen 筛选器
基线默认值: 启用
-
使用 SmartScreen 筛选器
Windows 组件 > Internet Explorer > Internet 控制面板>安全页>锁定 Intranet 区域
-
Java 权限
基线默认值: 已启用
了解更多-
Java 权限
基线默认值: 禁用 Java
-
Java 权限
Windows 组件 > Internet Explorer > Internet 控制面板>安全页>锁定本地计算机区域
-
Java 权限
基线默认值: 已启用
了解更多-
Java 权限
基线默认值: 禁用 Java
-
Java 权限
Windows 组件 > Internet Explorer > Internet 控制面板>安全页>锁定受限站点区域
Java 权限
基线默认值: 已启用
了解更多-
Java 权限
基线默认值: 禁用 Java
-
Java 权限
启用 SmartScreen 筛选器扫描
基线默认值: 已启用
了解更多-
使用 SmartScreen 筛选器
基线默认值: 启用
-
使用 SmartScreen 筛选器
Windows 组件 > Internet Explorer > Internet 控制面板>安全页>锁定的受信任站点区域
-
Java 权限
基线默认值: 已启用
了解更多-
Java 权限
基线默认值: 禁用 Java
-
Java 权限
Windows 组件 > Internet Explorer > Internet 控制面板>安全页>受限站点区域
跨域访问数据源
基线默认值: 已启用
了解更多-
跨域访问数据源
基线默认值: 禁用
-
跨域访问数据源
允许活动脚本编写
基线默认值: 已启用
了解更多-
允许活动脚本编写
基线默认值: 禁用
-
允许活动脚本编写
允许二进制和脚本行为
基线默认值: 已启用
了解更多-
允许二进制和脚本行为
基线默认值: 禁用
-
允许二进制和脚本行为
允许通过脚本从剪贴板执行剪切、复制或粘贴操作
基线默认值: 已启用
了解更多-
允许通过脚本执行粘贴操作
基线默认值: 禁用
-
允许通过脚本执行粘贴操作
允许拖放或复制和粘贴文件
基线默认值: 已启用
了解更多-
允许拖放或复制和粘贴文件
基线默认值: 禁用
-
允许拖放或复制和粘贴文件
允许文件下载
基线默认值: 已启用
了解更多-
允许文件下载
基线默认值: 禁用
-
允许文件下载
允许加载 XAML 文件
基线默认值: 已启用
了解更多-
XAML 文件
基线默认值: 禁用
-
XAML 文件
允许 META 刷新
基线默认值: 已启用
了解更多-
允许 META 刷新
基线默认值: 禁用
-
允许 META 刷新
仅允许已批准的域在没有提示的情况下使用 ActiveX 控件
基线默认值: 已启用
了解更多-
仅允许已批准的域在没有提示的情况下使用 ActiveX 控件
基线默认值: 启用
-
仅允许已批准的域在没有提示的情况下使用 ActiveX 控件
仅允许已批准的域使用 TDC ActiveX 控件
基线默认值: 已启用
了解更多-
仅允许已批准的域使用 TDC ActiveX 控件
基线默认值: 启用
-
仅允许已批准的域使用 TDC ActiveX 控件
允许没有大小或位置约束的脚本启动的窗口
基线默认值: 已启用
了解更多-
允许没有大小或位置约束的脚本启动的窗口
基线默认值: 禁用
-
允许没有大小或位置约束的脚本启动的窗口
允许编写 Internet Explorer WebBrowser 控件的脚本
基线默认值: 已启用
了解更多-
Internet Explorer Web 浏览器控件
基线默认值: 禁用
-
Internet Explorer Web 浏览器控件
允许 scriptlet
基线默认值: 已启用
了解更多-
Scriptlet
基线默认值: 禁用
-
Scriptlet
允许通过脚本更新状态栏
基线默认值: 已启用
了解更多-
通过脚本更新状态栏
基线默认值: 禁用
-
通过脚本更新状态栏
允许 VBScript 在 Internet Explorer 中运行
基线默认值: 已启用
了解更多-
允许 VBScript 在 Internet Explorer 中运行
基线默认值: 禁用
-
允许 VBScript 在 Internet Explorer 中运行
自动提示文件下载
基线默认值: 已启用
了解更多-
自动提示文件下载
基线默认值: 禁用
-
自动提示文件下载
不要对 ActiveX 控件运行反恶意软件程序
基线默认值: 已启用
了解更多-
不要对 ActiveX 控件运行反恶意软件程序
基线默认值: 禁用
-
不要对 ActiveX 控件运行反恶意软件程序
下载签名的 ActiveX 控件
基线默认值: 已启用
了解更多-
下载签名的 ActiveX 控件
基线默认值: 禁用
-
下载签名的 ActiveX 控件
下载未签名的 ActiveX 控件
基线默认值: 已启用
了解更多-
下载未签名的 ActiveX 控件
基线默认值: 禁用
-
下载未签名的 ActiveX 控件
启用跨窗口拖动不同域中的内容
基线默认值: 已启用
了解更多-
启用跨窗口拖动不同域中的内容
基线默认值: 禁用
-
启用跨窗口拖动不同域中的内容
在窗口中启用从不同域拖动内容
基线默认值: 已启用
了解更多-
在窗口中启用从不同域拖动内容
基线默认值: 禁用
-
在窗口中启用从不同域拖动内容
当用户将文件上传到服务器时包含本地路径
基线默认值: 已启用
了解更多-
将文件上传到服务器时包括本地目录路径
基线默认值: 禁用
-
将文件上传到服务器时包括本地目录路径
初始化和编写未标记为安全的 ActiveX 控件的脚本
基线默认值: 已启用
了解更多-
初始化和编写未标记为安全的 ActiveX 控件的脚本
基线默认值: 禁用
-
初始化和编写未标记为安全的 ActiveX 控件的脚本
Java 权限
基线默认值: 已启用
了解更多-
Java 权限
基线默认值: 禁用 Java
-
Java 权限
在 IFRAME 中启动应用程序和文件
基线默认值: 已启用
了解更多-
在 IFRAME 中启动应用程序和文件
基线默认值: 禁用
-
在 IFRAME 中启动应用程序和文件
登录选项
基线默认值: 已启用
了解更多-
登录选项
基线默认值: 匿名登录
-
登录选项
跨不同域导航窗口和框架
基线默认值: 已启用
了解更多-
跨不同域导航窗口和框架
基线默认值: 禁用
-
跨不同域导航窗口和框架
运行未使用 Authenticode 签名的依赖.NET Framework组件
基线默认值: 已启用
了解更多-
运行未使用 Authenticode 签名的依赖.NET Framework组件
基线默认值: 禁用
-
运行未使用 Authenticode 签名的依赖.NET Framework组件
运行使用 Authenticode 签名的.NET Framework依赖组件
基线默认值: 已启用
了解更多-
运行使用 Authenticode 签名的.NET Framework依赖组件
基线默认值: 禁用
-
运行使用 Authenticode 签名的.NET Framework依赖组件
运行 ActiveX 控件和插件
基线默认值: 已启用
了解更多-
运行 ActiveX 控件和插件
基线默认值: 禁用
-
运行 ActiveX 控件和插件
编写标记为安全脚本的 ActiveX 控件的脚本
基线默认值: 已启用
了解更多-
编写标记为安全脚本的 ActiveX 控件的脚本
基线默认值: 禁用
-
编写标记为安全脚本的 ActiveX 控件的脚本
Java 小程序的脚本编写
基线默认值: 已启用
了解更多-
Java 小程序的脚本编写
基线默认值: 禁用
-
Java 小程序的脚本编写
显示潜在不安全文件的安全警告
基线默认值: 已启用
了解更多-
启动程序和不安全的文件
基线默认值: 禁用
-
启动程序和不安全的文件
启用跨站点脚本筛选器
基线默认值: 已启用
了解更多-
(XSS) 筛选器启用跨站点脚本
基线默认值: 已启用
-
(XSS) 筛选器启用跨站点脚本
打开保护模式
基线默认值: 已启用
了解更多-
保护模式
基线默认值: 已启用
-
保护模式
启用 SmartScreen 筛选器扫描
基线默认值: 已启用
了解更多-
使用 SmartScreen 筛选器
基线默认值: 已启用
-
使用 SmartScreen 筛选器
使用弹出窗口阻止程序
基线默认值: 已启用
了解更多-
使用弹出窗口阻止程序
基线默认值: 已启用
-
使用弹出窗口阻止程序
Userdata 持久性
基线默认值: 已启用
了解更多-
Userdata 持久性
基线默认值: 禁用
-
Userdata 持久性
较低特权 Web 内容区域中的网站可以导航到此区域
基线默认值: 已启用
了解更多-
较低特权 Web 内容区域中的网站可以导航到此区域
基线默认值: 禁用
-
较低特权 Web 内容区域中的网站可以导航到此区域
Windows 组件 > Internet Explorer > Internet 控制面板>安全页>受信任站点区域
不要对 ActiveX 控件运行反恶意软件程序
基线默认值: 已启用
了解更多-
不要对 ActiveX 控件运行反恶意软件程序
基线默认值: 禁用
-
不要对 ActiveX 控件运行反恶意软件程序
初始化和编写未标记为安全的 ActiveX 控件的脚本
基线默认值: 已启用
了解更多-
初始化和编写未标记为安全的 ActiveX 控件的脚本
基线默认值: 禁用
-
初始化和编写未标记为安全的 ActiveX 控件的脚本
Java 权限
基线默认值: 已启用
了解更多-
Java 权限
基线默认值: 高安全性
-
Java 权限
Windows 组件 > Internet Explorer
防止绕过 SmartScreen 筛选器警告
基线默认值: 已启用
了解更多防止绕过有关通常不从 Internet 下载的文件的 SmartScreen 筛选器警告
基线默认值: 已启用
了解更多阻止管理 SmartScreen 筛选器
基线默认值: 已启用
了解更多-
选择 SmartScreen 筛选器模式
基线默认值: 打开
-
选择 SmartScreen 筛选器模式
阻止每用户安装 ActiveX 控件
基线默认值: 已启用
了解更多安全区域:不允许用户添加/删除站点
基线默认值: 已启用
了解更多安全区域:不允许用户更改策略
基线默认值: 已启用
了解更多安全区域:仅使用计算机设置
基线默认值: 已启用
了解更多指定使用 ActiveX 安装程序服务安装 ActiveX 控件
基线默认值: 已启用
了解更多关闭崩溃检测
基线默认值: 已启用
了解更多关闭安全设置检查功能
基线默认值: 禁用
了解更多为表单上的用户名和密码启用自动完成功能, (用户)
基线默认值: 禁用
了解更多
Windows 组件 > Internet Explorer > 安全功能 > 附加管理
删除 Internet Explorer 中过时 ActiveX 控件的“这次运行”按钮
基线默认值: 已启用
了解更多关闭对 Internet Explorer 的过时 ActiveX 控件的阻止
基线默认值: 禁用
了解更多
Windows 组件 > Internet Explorer > 安全功能
-
允许回退到 SSL 3.0 (Internet Explorer)
基线默认值: 已启用
了解更多-
允许不安全的回退:
基线默认值: 无站点
-
允许不安全的回退:
Windows 组件 > Internet Explorer > 安全功能 > 一致的 Mime 处理
-
Internet Explorer 进程
基线默认值: 已启用
了解更多
Windows 组件 > Internet Explorer > 安全功能 > Mime 嗅探安全功能
-
Internet Explorer 进程
基线默认值: 已启用
了解更多
Windows 组件 > Internet Explorer > 安全功能 > MK 协议安全限制
-
Internet Explorer 进程
基线默认值: 已启用
了解更多
Windows 组件 > Internet Explorer > 安全功能 > 通知栏
-
Internet Explorer 进程
基线默认值: 已启用
了解更多
Windows 组件 > Internet Explorer > 安全功能 > 防止区域提升
-
Internet Explorer 进程
基线默认值: 已启用
了解更多
Windows 组件 > Internet Explorer > 安全功能 > 限制 ActiveX 安装
-
Internet Explorer 进程
基线默认值: 已启用
了解更多
Windows 组件 > Internet Explorer > 安全功能 > 限制文件下载
-
Internet Explorer 进程
基线默认值: 已启用
了解更多
Windows 组件 > Internet Explorer > 安全功能 > 脚本化窗口安全限制
-
Internet Explorer 进程
基线默认值: 已启用
了解更多
Windows 组件>Microsoft Defender防病毒 > MAPS
-
配置“首次看到时阻止”功能
基线默认值: 已启用
了解更多
Windows 组件>Microsoft Defender防病毒>实时保护
-
启用实时保护时启用进程扫描
基线默认值: 已启用
了解更多
Windows 组件>Microsoft Defender防病毒>扫描
-
扫描打包的可执行文件
基线默认值: 已启用
了解更多
Windows 组件>Microsoft Defender防病毒
-
关闭例行修正
基线默认值: 禁用
了解更多
Windows 组件 > 远程桌面服务 > 远程桌面连接客户端
-
不允许保存密码
基线默认值: 已启用
了解更多
Windows 组件 > 远程桌面服务 > 远程桌面会话主机 > 设备和资源重定向
-
不允许驱动器重定向
基线默认值: 已启用
了解更多
Windows 组件 > 远程桌面服务 > 远程桌面会话主机 > 安全性
Windows 组件 > RSS 源
-
阻止下载机箱
基线默认值: 已启用
了解更多
Windows 组件 > Windows 登录选项
-
重启后自动登录和锁定最后一个交互式用户
基线默认值: 禁用
了解更多
Windows 组件>Windows PowerShell
-
打开 PowerShell 脚本阻止日志记录
基线默认值: 已启用
了解更多-
日志脚本块调用启动/停止事件:
基线默认值: False
-
日志脚本块调用启动/停止事件:
Windows 组件 > Windows 远程管理 (WinRM) > WinRM 客户端
Windows 组件 > Windows 远程管理 (WinRM) > WinRM 服务
审核
帐户登录审核凭据验证
基线默认值: 成功+ 失败
了解更多帐户登录注销审核帐户锁定
基线默认值: 失败
了解更多帐户登录注销审核组成员身份
基线默认值: 成功
了解更多帐户登录注销审核登录
基线默认值: 成功+ 失败
了解更多审核身份验证策略更改
基线默认值: 成功
了解更多审核对审核策略的更改
基线默认值: 成功
了解更多审核文件共享访问
基线默认值: 成功+ 失败
了解更多审核其他登录注销事件
基线默认值: 成功+ 失败
了解更多审核安全组管理
基线默认值: 成功
了解更多审核安全系统扩展
基线默认值: 成功
了解更多审核特殊登录
基线默认值: 成功
了解更多审核用户帐户管理
基线默认值: 成功+ 失败
了解更多详细跟踪审核 PNP 活动
基线默认值: 成功
了解更多详细跟踪审核流程创建
基线默认值: 成功
了解更多对象访问审核详细文件共享
基线默认值: 失败
了解更多对象访问审核其他对象访问事件
基线默认值: 成功+ 失败
了解更多对象访问审核可移动存储
基线默认值: 成功+ 失败
了解更多策略更改审核 MPSSVC 规则级别策略更改
基线默认值: 成功+ 失败
了解更多策略更改审核其他策略更改事件
基线默认值: 失败
了解更多权限使用审核敏感权限使用
基线默认值: 成功
了解更多系统审核其他系统事件
基线默认值: 成功+ 失败
了解更多系统审核安全状态更改
基线默认值: 成功
了解更多系统审核系统完整性
基线默认值: 成功+ 失败
了解更多
数据保护
-
允许直接内存访问
基线默认值: 阻止
了解更多
Defender
允许存档扫描
基线默认值: 允许。扫描存档文件。
了解更多允许行为监视
基线默认值: 允许。启用实时行为监视。
了解更多允许云保护
基线默认值: 允许。打开云保护。
了解更多允许完全扫描可移动驱动器扫描
基线默认值: 允许。扫描可移动驱动器。
了解更多允许访问保护
基线默认值: 允许。
了解更多允许实时监视
基线默认值: 允许。打开并运行实时监视服务。
了解更多允许扫描所有下载的文件和附件
基线默认值: 允许。
了解更多允许脚本扫描
基线默认值: 允许。
了解更多阻止执行可能已模糊处理的脚本
基线默认值: 阻止
了解更多阻止来自 Office 宏的 Win32 API 调用
基线默认值: 阻止
了解更多阻止 Office 通信应用程序创建子进程
基线默认值: 阻止
了解更多阻止所有 Office 应用程序创建子进程
基线默认值: 阻止
了解更多阻止 Adobe Reader 创建子进程
基线默认值: 阻止
了解更多阻止从 Windows 本地安全机构子系统窃取凭据
基线默认值: 阻止
了解更多阻止 JavaScript 或 VBScript 启动下载的可执行内容
基线默认值: 阻止
了解更多阻止从 USB 运行的不受信任和未签名的进程
基线默认值: 阻止
了解更多阻止 Office 应用程序创建可执行内容
基线默认值: 阻止
了解更多阻止 Office 应用程序将代码注入其他进程
基线默认值: 阻止
了解更多阻止来自电子邮件客户端和 Webmail 的可执行内容
基线默认值: 阻止
了解更多
云块级别
基线默认值: 高
了解更多云扩展超时
基线默认值: 已配置
值: 50
了解更多禁用本地管理员合并
基线默认值:禁用本地管理员合并
了解更多启用文件哈希计算
基线默认值:启用“了解详细信息”启用网络保护
基线默认值: 启用 (块模式)
了解更多从本地管理员隐藏排除项
基线默认值:如果启用此设置,本地管理员将无法再在 Windows 安全中心 应用中或通过 PowerShell 查看排除列表。
了解更多PUA 保护
基线默认值: PUA 保护启用。检测到的项目被阻止。它们将与其他威胁一起出现在历史记录中。
了解更多实时扫描方向
基线默认值: (双向) 监视所有文件。
了解更多提交示例同意
基线默认值: 自动发送所有示例。
了解更多
Device Guard
配置System Guard启动
基线默认值: 非托管启用安全启动(如果硬件支持)
了解更多Credential Guard
基线默认值: 使用 UEFI 锁启用 () 使用 UEFI 锁打开 Credential Guard。
了解更多启用基于虚拟化的安全性
基线默认值: 启用基于虚拟化的安全性。
了解更多需要平台安全功能
基线默认值: 使用安全启动启用 VBS。
了解更多
设备锁定
Dma Guard
-
设备枚举策略
基线默认值: 阻止所有 (最严格的)
了解更多
体验
允许 Windows 聚焦 (用户)
基线默认值: 允许
了解更多
防火墙
兰曼工作站
-
启用不安全的来宾登录
基线默认值: 禁用
了解更多
本地安全机构
-
配置 Lsa Protected 进程
基线默认值: 使用 UEFI 锁定启用。LSA 将作为受保护的进程运行,并且此配置已锁定 UEFI。
了解更多
Microsoft App Store
Microsoft Edge
内容设置
默认 Adobe Flash 设置
基线默认值: 禁用用户) (默认 Adobe Flash 设置
基线默认值: 禁用已启用最低 TLS 版本
基线默认值: 已启用-
设备) 启用的最低 TLS 版本 (
基线默认值: TlS 1.2
-
设备) 启用的最低 TLS 版本 (
(用户) 启用最低 TLS 版本
基线默认值: 已启用-
(用户) 启用最低 TLS 版本
基线默认值: TLS 1.2
-
(用户) 启用最低 TLS 版本
SmartScreen 设置
配置 Microsoft Defender SmartScreen
基线默认值: 已启用防止绕过站点Microsoft Defender SmartScreen 提示
基线默认值: 已启用
隐私
-
允许应用使用锁上语音激活
基线默认值: 强制拒绝。屏幕锁定时,无法通过语音激活 Windows 应用,并且用户无法对其进行更改。
了解更多
搜索
-
允许为加密存储或项编制索引
基线默认值: 阻止
了解更多
智能屏幕
增强的钓鱼防护
通知恶意
基线默认值: 已启用通知密码重用
基线默认值: 已启用通知不安全的应用
基线默认值: 已启用已启用服务
基线默认值: 已启用
用户权限
从网络访问
基线默认值: 已配置
值:*S-1-5-32-544*S-1-5-32-555
了解更多
允许本地登录
基线默认值: 已配置
值:*S-1-5-32-544*S-1-5-32-545
了解更多
备份文件和目录
基线默认值: 已配置
值:*S-1-5-32-544
了解更多
创建全局对象
基线默认值: 已配置
值:*S-1-5-32-544*S-1-5-19*S-1-5-20*S-1-5-6
了解更多
创建页面文件
基线默认值: 已配置
值:*S-1-5-32-544
了解更多
调试程序
基线默认值: 已配置
值:*S-1-5-32-544
了解更多
拒绝从网络访问
基线默认值: 已配置
值:*S-1-5-113
了解更多
拒绝远程桌面服务登录
基线默认值: 已配置
值:*S-1-5-113
了解更多
模拟客户端
基线默认值: 已配置
值:*S-1-5-32-544*S-1-5-6*S-1-5-19*S-1-5-20
了解更多
加载卸载设备驱动程序
基线默认值: 已配置
值:*S-1-5-32-544
了解更多
管理审核和安全日志
基线默认值: 已配置
值:*S-1-5-32-544
了解更多
管理卷
基线默认值: 已配置
值:*S-1-5-32-544
了解更多
修改固件环境
基线默认值: 已配置
值:*S-1-5-32-544
了解更多
配置文件单个进程
基线默认值: 已配置
值:*S-1-5-32-544
了解更多
远程关闭
基线默认值: 已配置
值:*S-1-5-32-544
了解更多
还原文件和目录
基线默认值: 已配置
值:*S-1-5-32-544
了解更多
获取所有权
基线默认值: 已配置
值:*S-1-5-32-544
了解更多
基于虚拟化的技术
-
虚拟机监控程序强制实施代码完整性
基线默认值: 使用 UEFI 锁定启用 () 使用 UEFI 锁启用 Hypervisor-Protected 代码完整性。
了解更多
Windows Ink 工作区
-
允许Windows Ink 工作区
基线默认值: ) 启用墨迹工作区 (功能,但用户无法在锁屏界面上方访问它。
了解更多
本地策略安全选项
帐户将本地帐户的空白密码使用限制为仅限控制台登录
基线默认值: 已启用
了解更多交互式登录计算机非活动限制
基线默认值: 已配置
值: 900
了解更多交互式登录智能卡删除行为
基线默认值: 锁定工作站
了解更多Microsoft网络客户端始终对通信进行数字签名
基线默认值: 启用
了解更多Microsoft网络客户端向第三方 SMB 服务器发送未加密的密码
基线默认值: 禁用
了解更多Microsoft网络服务器始终对通信进行数字签名
基线默认值: 启用
了解更多网络访问不允许对 SAM 帐户进行匿名枚举
基线默认值: 已启用
了解更多网络访问不允许匿名枚举 Sam 帐户和共享
基线默认值: 已启用
了解更多网络访问限制对命名管道和共享的匿名访问
基线默认值 启用了解详细信息网络访问限制允许客户端对 SAM 进行远程调用
基线默认值: 已配置
值: O:BAG:BAD: (A;;钢筋混凝土;;;BA)
了解更多网络安全在下一次密码更改时不存储 LAN 管理器哈希值
基线默认值: 启用
了解更多网络安全 LAN 管理器身份验证级别
基线默认值: 仅发送 LM 和 NTLMv2 响应。拒绝 LM 和 NTLM
了解更多基于 NTLMSSP 的客户端的网络安全性最低会话安全性
基线默认值: 需要 NTLM 和 128 位加密
了解更多基于 NTLMSSP 的服务器的网络安全性最低会话安全性
基线默认值: 需要 NTLM 和 128 位加密
了解更多管理员的提升提示的用户帐户控制行为
基线默认值: 在安全桌面上提示同意
了解更多标准用户的提升提示的用户帐户控制行为
基线默认值: 自动拒绝提升请求
了解更多用户帐户控制检测应用程序安装并提示提升
基线默认值:启用“了解详细信息”用户帐户控制仅提升安装在安全位置中的 UI 访问应用程序
基线默认值: 已启用:仅当应用程序驻留在安全位置时,才使用 UIAccess 完整性运行。了解更多信息用户帐户控制 在管理员审批模式下运行所有管理员
基线默认值: 已启用
了解更多用户帐户控制 使用管理员审批模式
基线默认值: 启用
了解更多用户帐户控制将文件和注册表写入失败虚拟化到每个用户位置
基线默认值: 已启用
了解更多
Windows 365 云电脑安全基线 2021 年 11 月:
上锁
应用运行时
-
Microsoft Microsoft 应用商店应用的可选帐户:
基线默认值: 已启用
了解更多
应用管理
攻击面减少规则
有关常规信息,请参阅 了解攻击面减少规则。
阻止 Office 通信应用创建子进程:
基线默认值: 启用
了解更多阻止 Adobe Reader 创建子进程:
基线默认值: 启用
了解更多阻止 Office 应用程序将代码注入其他进程:
基线默认值: 阻止
了解更多阻止 Office 应用程序创建可执行内容:
基线默认值: 阻止
了解更多阻止 JavaScript 或 VBScript 启动下载的可执行内容:
基线默认值: 阻止
了解更多启用网络保护:
基线默认值: 启用
了解更多阻止从 USB 运行的不受信任和未签名的进程:
基线默认值: 阻止
了解更多阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe) :
基线默认值: 启用
了解更多阻止所有 Office 应用程序创建子进程:
基线默认值: 阻止
了解更多阻止执行可能经过模糊处理的脚本 (js/vbs/ps) :
基线默认值: 阻止
了解更多阻止来自 Office 宏的 Win32 API 调用:
基线默认值: 阻止
了解更多阻止从电子邮件和 Webmail 客户端下载可执行内容:
基线默认值: 阻止
了解更多
Audit
审核设置配置为设置条件生成的事件。
帐户登录审核凭据验证 (设备) :
基线默认值: 成功和失败帐户登录审核 Kerberos 身份验证服务 (设备) :
基线默认值: 无帐户登录注销审核帐户锁定 (设备) :
基线默认值: 失败帐户登录注销审核组成员身份 (设备) :
基线默认值: 成功帐户登录注销审核登录 (设备) :
基线默认值: 成功和失败审核设备) (其他登录注销事件 :
基线默认值: 成功和失败审核特殊登录 (设备) :
基线默认值: 成功审核安全组管理 (设备) :
基线默认值: 成功审核用户帐户管理 (设备) :
基线默认值: 成功和失败详细跟踪审核 PNP 活动 (设备) :
基线默认值: 成功详细跟踪审核过程创建 (设备) :
基线默认值: 成功对象访问审核详细文件共享 (设备) :
基线默认值: 失败审核设备) (文件共享访问 :
基线默认值: 成功和失败对象访问审核设备) (其他对象访问事件 :
基线默认值: 成功和失败对象访问审核可移动存储 (设备) :
基线默认值: 成功和失败审核身份验证策略更改 (设备) :
基线默认值: 成功策略更改审核 MPSSVC 规则级别策略更改 (设备) :
基线默认值: 成功和失败策略更改审核设备) (其他策略更改事件 :
基线默认值: 失败审核设备) 审核策略 (更改 :
基线默认值: 成功权限使用审核敏感特权使用 (设备) :
基线默认值: 成功和失败系统审核设备) (其他系统事件 :
基线默认值: 成功和失败系统审核安全状态更改 (设备) :
基线默认值: 成功审核安全系统扩展 (设备) :
基线默认值: 成功设备) (系统审核系统完整性 :
基线默认值: 成功和失败
自动播放
浏览器
阻止密码管理器:
基线默认值: 是
了解更多需要 SmartScreen Microsoft Edge 旧版:
基线默认值: 是
了解更多阻止恶意站点:
基线默认值: 是
了解更多阻止未经验证的文件下载:
基线默认值: 是
了解更多防止用户重写证书错误:
基线默认值: 是
了解更多
连接性
配置对 UNC 路径的安全访问:
基线默认值: 将 Windows 配置为在满足其他安全要求后仅允许访问指定的 UNC 路径
了解更多-
强化的 UNC 路径列表:
默认情况下没有配置。 手动添加一个或多个强化的 UNC 路径。
-
强化的 UNC 路径列表:
阻止通过 HTTP 下载打印驱动程序:
基线默认值: 已启用
了解更多阻止 Web 发布和联机订购向导的 Internet 下载:
基线默认值: 已启用
了解更多
凭据委派
-
不可导出凭据的远程主机委派:
基线默认值: 已启用
了解更多
凭据 UI
-
枚举管理员:
基线默认值: 禁用
了解更多
Device Guard
基于虚拟化的安全性:
基线默认值: 使用安全启动启用 VBS启用基于虚拟化的安全性:
基线默认值: 是
了解更多启动系统防护:
基线默认值: 已启用打开 Credential Guard:
基线默认值: 使用 UEFI 锁定启用
了解更多
设备安装
-
按安装程序类阻止硬件设备安装
基线默认值: 是
了解更多-
删除匹配的硬件设备
基线默认值: 是 -
阻止列表
默认情况下没有配置。 手动添加一个或多个标识符。
-
删除匹配的硬件设备
DMA 防护
-
枚举与内核 DMA 保护不兼容的外部设备
基线默认值: 全部阻止
事件日志服务
应用程序日志最大文件大小(KB)
基线默认值: 32768
了解更多系统日志最大文件大小(KB)
基线默认值: 32768
了解更多安全日志最大文件大小(KB)
基线默认值: 196608
了解更多
体验
-
阻止 Windows 聚焦
基线默认值: 是
了解更多
文件资源管理器
防火墙
有关详细信息,请参阅 Windows 协议文档中的 2.2.2 FW_PROFILE_TYPE 。
Internet Explorer
查看 Internet Explorer CSP 的完整列表。
Internet Explorer 加密支持
基线默认值:两项: TLS v1.1 和 TLS v1.2Internet Explorer 阻止管理智能屏幕筛选器
基线默认值: 启用
了解更多Internet Explorer 受限区域脚本标记为安全脚本的 Active X 控件
基线默认值: 禁用
了解更多Internet Explorer 受限区域文件下载
基线默认值: 禁用
了解更多Internet Explorer 证书地址不匹配警告
基线默认值: 禁用
了解更多Internet Explorer 增强保护模式
基线默认值: 禁用
了解更多Internet Explorer 回退到 SSL3
基线默认值: 无站点
了解更多签名无效时的 Internet Explorer 软件
基线默认值: 禁用
了解更多Internet Explorer 检查服务器证书吊销
基线默认值: 启用
了解更多在下载的程序上检查 Internet Explorer 签名
基线默认值: 启用
了解更多Internet Explorer 处理一致的 MIME 处理
基线默认值: 启用
了解更多Internet Explorer 绕过智能屏幕警告
基线默认值: 禁用
了解更多Internet Explorer 绕过有关不常见文件的智能屏幕警告
基线默认值: 禁用
了解更多Internet Explorer 崩溃检测
基线默认值: 禁用
了解更多Internet Explorer 下载机箱
基线默认值: 禁用
了解更多Internet Explorer 忽略证书错误
基线默认值: 禁用
了解更多Internet Explorer 在增强保护模式下禁用进程
基线默认值: 启用
了解更多Internet Explorer 安全设置检查
基线默认值: 已启用
了解更多处于受保护模式的 Internet Explorer Active X 控件
基线默认值: 禁用
了解更多添加网站的 Internet Explorer 用户
基线默认值: 禁用
了解更多Internet Explorer 用户更改策略
基线默认值: 禁用
了解更多Internet Explorer 阻止过时的 Active X 控件
基线默认值: 已启用
了解更多Internet Explorer 包括所有网络路径
基线默认值: 禁用
了解更多对数据源的 Internet Explorer Internet 区域访问
基线默认值: 禁用
了解更多Internet Explorer Internet 区域自动提示文件下载
基线默认值: 禁用
了解更多Internet Explorer Internet 区域通过脚本复制和粘贴
基线默认值: 禁用
了解更多Internet Explorer Internet 区域拖放或复制和粘贴文件
基线默认值: 禁用
了解更多Internet Explorer Internet 区域权限较低的站点
基线默认值: 禁用
了解更多XAML 文件的 Internet Explorer Internet 区域加载
基线默认值: 禁用
了解更多Internet Explorer Internet 区域.NET Framework依赖组件
基线默认值: 禁用
了解更多Internet Explorer Internet 区域仅允许已批准的域使用 ActiveX 控件
基线默认值: 已启用
了解更多Internet Explorer Internet 区域仅允许已批准的域使用 tdc ActiveX 控件
基线默认值: 已启用
了解更多Web 浏览器控件的 Internet Explorer Internet 区域脚本
基线默认值: 禁用
了解更多Internet Explorer Internet 区域脚本启动的窗口
基线默认值: 禁用
了解更多Internet Explorer Internet 区域 scriptlet
基线默认值: 禁用
了解更多Internet Explorer Internet 区域智能屏幕
基线默认值: 已启用
了解更多通过脚本将 Internet Explorer Internet 区域更新到状态栏
基线默认值: 禁用
了解更多Internet Explorer Internet 区域用户数据持久性
基线默认值: 禁用
了解更多Internet Explorer Internet 区域允许 VBscript 运行
基线默认值: 禁用
了解更多Internet Explorer Internet 区域不针对 ActiveX 控件运行反恶意软件
基线默认值: 禁用
了解更多Internet Explorer Internet 区域下载签名的 ActiveX 控件
基线默认值: 禁用
了解更多Internet Explorer Internet 区域下载未签名的 ActiveX 控件
基线默认值: 禁用
了解更多Internet Explorer Internet 区域跨站点脚本筛选器
基线默认值: 已启用
了解更多Internet Explorer Internet 区域跨窗口拖动不同域中的内容
基线默认值: 禁用
了解更多Internet Explorer Internet 区域在窗口中拖动来自不同域的内容
基线默认值: 禁用
了解更多Internet Explorer Internet 区域保护模式
基线默认值: 启用
了解更多Internet Explorer Internet 区域在将文件上传到服务器时包括本地路径
基线默认值: 禁用
了解更多Internet Explorer Internet 区域初始化和脚本未标记为安全的 Active X 控件
基线默认值: 禁用
了解更多Internet Explorer Internet 区域 java 权限
基线默认值: 禁用 java
了解更多Internet Explorer Internet 区域在 iframe 中启动应用程序和文件
基线默认值: 禁用
了解更多Internet Explorer Internet 区域登录选项
基线默认值: 提示
了解更多Internet Explorer Internet 区域跨不同域导航窗口和框架
基线默认值: 禁用
了解更多Internet Explorer Internet 区域运行.NET Framework使用 Authenticode 签名的依赖组件
基线默认值: 禁用
了解更多针对潜在不安全文件的 Internet Explorer Internet 区域安全警告
基线默认值: 提示
了解更多Internet Explorer Internet 区域弹出窗口阻止程序
基线默认值: 启用
了解更多Internet Explorer Intranet 区域不会针对 Active X 控件运行反恶意软件
基线默认值: 禁用
了解更多Internet Explorer Intranet 区域初始化和脚本未标记为安全的 Active X 控件
基线默认值: 禁用
了解更多Internet Explorer Intranet 区域 java 权限
基线默认值: 高安全性
了解更多Internet Explorer 本地计算机区域不针对 Active X 控件运行反恶意软件
基线默认值: 禁用
了解更多Internet Explorer 本地计算机区域 java 权限
基线默认值: 禁用 java
了解更多Internet Explorer 锁定了 Internet 区域智能屏幕
基线默认值: 已启用
了解更多Internet Explorer 已锁定 Intranet 区域 java 权限
基线默认值: 禁用 java
了解更多Internet Explorer 已锁定本地计算机区域 java 权限
基线默认值: 禁用 java
了解更多Internet Explorer 锁定了受限区域智能屏幕
基线默认值: 已启用
了解更多Internet Explorer 锁定了受限区域 java 权限
基线默认值: 禁用 java
了解更多Internet Explorer 锁定了受信任的区域 java 权限
基线默认值: 禁用 java
了解更多Internet Explorer 进程 MIME 探查安全功能
基线默认值: 已启用
了解更多Internet Explorer 进程 MK 协议安全限制
基线默认值: 已启用
了解更多Internet Explorer 进程通知栏
基线默认值: 已启用
了解更多Internet Explorer 阻止每个用户安装 Active X 控件
基线默认值: 已启用
了解更多Internet Explorer 处理区域提升保护
基线默认值: 已启用
了解更多Internet Explorer 删除过时 Active X 控件的“此时间运行”按钮
基线默认值: 已启用
了解更多Internet Explorer 进程限制 Active X 安装
基线默认值: 已启用
了解更多Internet Explorer 限制对数据源的区域访问
基线默认值: 禁用
了解更多Internet Explorer 受限区域活动脚本编写
基线默认值: 禁用
了解更多Internet Explorer 受限区域自动提示文件下载
基线默认值: 禁用
了解更多Internet Explorer 受限区域二进制文件和脚本行为
基线默认值: 禁用
了解更多Internet Explorer 受限区域通过脚本复制和粘贴
基线默认值: 禁用
了解更多Internet Explorer 受限区域拖放或复制和粘贴文件
基线默认值: 禁用
了解更多Internet Explorer 受限区域少特权站点
基线默认值: 禁用
了解更多XAML 文件的 Internet Explorer 受限区域加载
基线默认值: 禁用
了解更多Internet Explorer 受限区域元刷新
基线默认值: 禁用
了解更多Internet Explorer 受限区域.NET Framework依赖组件
基线默认值: 禁用
了解更多Internet Explorer 受限区域仅允许已批准的域使用 Active X 控件
基线默认值: 已启用
了解更多Internet Explorer 受限区域仅允许已批准的域使用 tdc Active X 控件
基线默认值: 已启用
了解更多Web 浏览器控件的 Internet Explorer 受限区域脚本编写
基线默认值: 禁用
了解更多Internet Explorer 受限区域脚本启动的窗口
基线默认值: 禁用
了解更多Internet Explorer 受限区域 scriptlet
基线默认值: 禁用
了解更多Internet Explorer 受限区域智能屏幕
基线默认值: 已启用
了解更多通过脚本将 Internet Explorer 受限区域更新到状态栏
基线默认值: 禁用
了解更多Internet Explorer 受限区域用户数据持久性
基线默认值: 禁用
了解更多Internet Explorer 受限区域允许 vbscript 运行
基线默认值: 禁用
了解更多Internet Explorer 受限区域不针对 Active X 控件运行反恶意软件
基线默认值: 禁用
了解更多Internet Explorer 受限区域下载签名的 Active X 控件
基线默认值: 禁用
了解更多Internet Explorer 受限区域下载未签名的 Active X 控件
基线默认值: 禁用
了解更多Internet Explorer 受限区域跨站点脚本筛选器
基线默认值: 已启用
了解更多Internet Explorer 受限区域跨窗口拖动不同域中的内容
基线默认值: 禁用
了解更多Internet Explorer 受限区域在窗口中拖动来自不同域的内容
基线默认值: 禁用
了解更多将文件上传到服务器时,Internet Explorer 受限区域包括本地路径
基线默认值: 禁用
了解更多Internet Explorer 受限区域初始化和脚本未标记为安全的 Active X 控件
基线默认值: 禁用
了解更多Internet Explorer 受限区域 java 权限
基线默认值: 禁用 java
了解更多Internet Explorer 受限区域启动 iFrame 中的应用程序和文件
基线默认值: 禁用
了解更多Internet Explorer 受限区域登录选项
基线默认值: 匿名
了解更多Internet Explorer 受限区域跨不同域导航窗口和框架
基线默认值: 禁用
了解更多Internet Explorer 受限区域运行 Active X 控件和插件
基线默认值: 禁用
了解更多Internet Explorer 受限区域运行.NET Framework使用 Authenticode 签名的依赖组件
基线默认值: 禁用
了解更多Java 小程序的 Internet Explorer 受限区域脚本编写
基线默认值: 禁用
了解更多针对可能不安全的文件的 Internet Explorer 受限区域安全警告
基线默认值: 禁用
了解更多Internet Explorer 受限区域保护模式
基线默认值: 启用
了解更多Internet Explorer 受限区域弹出窗口阻止程序
基线默认值: 启用
了解更多Internet Explorer 进程限制文件下载
基线默认值: 已启用
了解更多Internet Explorer 进程脚本化窗口安全限制
基线默认值: 已启用
了解更多Internet Explorer 安全区域仅使用计算机设置
基线默认值: 已启用
了解更多Internet Explorer 使用 Active X 安装程序服务
基线默认值: 已启用
了解更多Internet Explorer 受信任区域不会针对 Active X 控件运行反恶意软件
基线默认值: 禁用
了解更多Internet Explorer 受信任区域初始化和脚本未标记为安全的 Active X 控件
基线默认值: 禁用
了解更多Internet Explorer 受信任的区域 java 权限
基线默认值: 高安全性
了解更多Internet Explorer 自动完成
基线默认值: 禁用
了解更多
本地策略安全选项
使用空白密码阻止远程登录
基线默认值: 是
了解更多锁屏界面处于非活动状态的分钟数,直到屏幕保护程序激活
基线默认值: 15
了解更多智能卡删除行为
基线默认值: 锁定工作站
了解更多要求客户端始终对通信进行数字签名
基线默认值: 是
了解更多阻止客户端将未加密的密码发送到第三方 SMB 服务器
基线默认值: 是
了解更多始终要求服务器对通信进行数字签名
基线默认值: 是
了解更多防止匿名枚举 SAM 帐户
基线默认值: 是
了解更多阻止 SAM 帐户和共享的匿名枚举
基线默认值: 是
了解更多限制对命名管道和共享的匿名访问
基线默认值: 是
了解更多允许远程调用安全帐户管理器
基线默认值: O:BAG:BAD: (A;;钢筋混凝土;;;BA)
了解更多防止在下次更改密码时存储 LAN 管理器哈希值
基线默认值: 是
了解更多身份验证级别
基线默认值: 仅发送 NTLMv2 响应。拒绝 LM 和 NTLM
了解更多基于 NTLM SSP 的客户端的最低会话安全性
基线默认值: 需要 NTLM V2 和 128 位加密
了解更多基于 NTLM SSP 的服务器的最低会话安全性
基线默认值: 需要 NTLM V2 和 128 位加密
了解更多管理员提升提示行为
基线默认值: 在安全桌面上提示同意
了解更多标准用户提升提示行为
基线默认值: 自动拒绝提升请求
了解更多检测应用程序安装并提示提升
基线默认值: 是
了解更多仅允许安全位置的 UI 访问应用程序
基线默认值: 是
了解更多要求管理员的管理员审批模式
基线默认值: 是
了解更多使用管理员审批模式
基线默认值: 是
了解更多将文件和注册表写入失败虚拟化到每个用户位置
基线默认值: 是
了解更多
Microsoft Defender
启用实时保护
基线默认值: 是
了解更多扫描Microsoft浏览器中使用的脚本
基线默认值: 是
了解更多延长云保护超时时间 (0-50 秒)
基线默认值: 50
了解更多扫描所有下载的文件和附件
基线默认值: 是
了解更多扫描类型
基线默认值: 快速扫描
了解更多Defender 计划扫描日
基线默认值: 每日计划的扫描开始时间
基线默认值: 未配置Defender 示例提交同意
基线默认值: 自动发送安全示例
了解更多云提供的保护级别
基线默认值: 高
了解更多在完全扫描期间扫描可移动驱动器
基线默认值: 是
了解更多Defender 可能不需要的应用操作
基线默认值: 阻止
了解更多打开云传递保护
基线默认值: 是
了解更多
Microsoft Defender防病毒排除项
警告
定义排除项会降低Microsoft Defender防病毒提供的保护。 始终评估与实现排除项相关的风险。 仅排除已知不是恶意的文件。
有关详细信息,请参阅Microsoft Defender文档中的排除项概述。
要排除的 Defender 进程
基线默认值: 默认情况下未配置。手动添加一个或多个条目。要从扫描和实时保护中排除的文件扩展名
基线默认值: 默认情况下未配置。手动添加一个或多个条目。要排除的 Defender 文件和文件夹
基线默认值: 默认情况下未配置。手动添加一个或多个条目。
Microsoft Edge
控制哪些扩展无法安装
基线默认值: 已启用-
应阻止用户为所有) 安装 (或 * 的扩展 ID
基线默认值: 默认情况下未配置。手动添加一个或多个 ID
-
应阻止用户为所有) 安装 (或 * 的扩展 ID
允许用户级本机消息传送主机 (无需管理员权限即可安装)
基线默认值: 禁用已启用最低 SSL 版本
基线默认值: 已启用-
已启用最低 SSL 版本
基线默认值: TLS 1.2
-
已启用最低 SSL 版本
允许用户从 SSL 警告页继续
基线默认值: 禁用配置 Microsoft Defender SmartScreen
基线默认值: 已启用防止绕过站点Microsoft Defender SmartScreen 提示
基线默认值: 已启用防止绕过有关下载Microsoft Defender SmartScreen 警告
基线默认值: 已启用配置 Microsoft Defender SmartScreen 以阻止可能不需要的应用
基线默认值: 已启用默认 Adobe Flash 设置
基线默认值: 已启用-
默认 Adobe Flash 设置
基线默认值: 阻止 Adobe Flash 插件
-
默认 Adobe Flash 设置
启用将密码保存到密码管理器
基线默认值: 禁用为每个站点启用站点隔离
基线默认值: 已启用支持的身份验证方案
基线默认值: 已启用-
支持的身份验证方案
基线默认值:两个项目: NTLM 和 Negotiate
-
支持的身份验证方案
MS 安全指南
SMB v1 客户端驱动程序启动配置
基线默认值: 禁用驱动程序
了解更多在网络登录时对本地帐户应用 UAC 限制
基线默认值: 已启用
了解更多结构化异常处理覆盖保护
基线默认值: 已启用
了解更多SMB v1 服务器
基线默认值: 禁用
了解更多摘要式身份验证
基线默认值: 禁用
了解更多
MSS 旧版
网络 IPv6 源路由保护级别
基线默认值: 最高保护
了解更多网络 IP 源路由保护级别
基线默认值: 最高保护
了解更多网络忽略除 WINS 服务器之外的 NetBIOS 名称发布请求
基线默认值: 已启用
了解更多网络 ICMP 重定向替代 OSPF 生成的路由
基线默认值: 禁用
了解更多
远程协助
-
请求的远程协助
基线默认值: 禁用远程协助
了解更多
远程桌面服务
远程桌面服务客户端连接加密级别
基线默认值: 高
了解更多阻止驱动器重定向
基线默认值: 已启用阻止密码保存
基线默认值: 已启用
了解更多连接时提示输入密码
基线默认值: 已启用
了解更多保护 RPC 通信
基线默认值: 已启用
了解更多
远程管理
阻止客户端摘要身份验证
基线默认值: 已启用
了解更多阻止存储作为凭据运行
基线默认值: 已启用
了解更多客户端基本身份验证
基线默认值: 禁用
了解更多基本身份验证
基线默认值: 禁用
了解更多客户端未加密流量
基线默认值: 禁用
了解更多未加密的流量
基线默认值: 禁用
了解更多
远程过程调用
-
RPC 未经身份验证的客户端选项
基线默认值: 已验证
了解更多
搜索
-
禁用对加密项编制索引
基线默认值: 是
了解更多
智能屏幕
系统警报
-
系统启动启动驱动程序初始化
基线默认值: 未知良好和严重错误
了解更多
Windows 连接管理器
-
阻止连接到非域网络
基线默认值: 已启用
了解更多
Windows Ink 工作区
-
墨迹工作区
基线默认值: 已启用
了解更多
Windows PowerShell
-
PowerShell 脚本阻止日志记录
基线默认值: 已启用
了解更多
Windows 安全中心
-
启用篡改防护以防止禁用Microsoft Defender
基线默认值: 启用
了解更多