Intune 中 適用於端點的 Microsoft Defender 安全性基準中的設定清單
本文是您可以使用 Microsoft Intune 部署的不同版本 適用於端點的 Microsoft Defender 安全性基準中可用設定的參考。 使用索引標籤來選取和檢視最近基準版本中的設定,以及一些可能仍在使用的舊版。
對於每個設定,此參考會識別基準預設組態,這也是相關安全性小組所提供之該設定的建議組態。 由於產品和安全性環境不斷演進,因此一個基準版本中的建議預設值可能不符合您在相同基準的更新版本中找到的預設值。 不同的基準類型,例如 MDM 安全 性和 適用於端點的 Defender 基準,也可以設定不同的預設值。
當 Intune UI 包含設定的 [深入瞭解] 連結時,您也會在這裡找到。 使用該連結來檢視設定 原則設定服務提供者 (CSP) 或說明設定作業的相關內容。
當基準的新版本變成可用時,它會取代舊版。 在新版本可用之前建立的設定檔實例:
- 變成唯讀。 您可以繼續使用這些配置檔,但無法編輯它們來變更其組態。
- 可以更新為最新版本。 將設定檔更新為目前的基準版本之後,您可以編輯配置檔來修改設定。
若要深入瞭解如何使用安全性基準,請 參閱使用安全性基準。 在該文章中,您也會找到如何:
- 變更配置檔的基準版本 ,以更新配置檔以使用該基準的最新版本。
適用於端點的 Microsoft Defender 比較基準版本 24H1
適用於端點的 Microsoft Defender 2020 年 12 月 - 第 6 版的基準
適用於端點的 Microsoft Defender 2020 年 9 月 - 第 5 版的基準
適用於端點的 Microsoft Defender 2020 年 4 月 - 第 4 版的基準
適用於端點的 Microsoft Defender 2020 年 3 月 - 第 3 版的基準
當您的環境符合使用 適用於端點的 Microsoft Defender 的必要條件時,就會提供 適用於端點的 Microsoft Defender 基準。
此基準已針對實體裝置優化,不建議用於虛擬機 (VM) 或 VDI 端點。 某些基準設定可能會影響虛擬化環境中的遠端互動式會話。 如需詳細資訊,請參閱 Windows 檔中的提高 適用於端點的 Microsoft Defender 安全性基準的合規性。
系統管理範本
系統 > 裝置安裝 > 裝置安裝限制
使用符合這些裝置安裝類別的驅動程式來防止安裝裝置
基準預設值: 已啟用
深入了解也適用於已安裝的相符裝置。
基準預設值: False禁止的類別
基準預設值: d48179be-ec20-11d1-b6b8-00c04fa372a7
Windows 元件 > BitLocker 磁碟驅動器加密
選擇磁碟驅動器加密方法和加密強度 (Windows 10 [版本 1511] 和更新版本)
基準預設值: 已啟用
深入了解選取抽取式資料磁碟驅動器的加密方法:
基準預設值: AES-CBC 128 位 (預設)選取作業系統磁碟驅動器的加密方法:
基準預設值: XTS-AES 128 位 (預設)選取固定資料磁碟驅動器的加密方法:
基準預設值: XTS-AES 128 位 (預設)
Windows 元件 > BitLocker 磁碟驅動器加密 > 固定數據磁碟驅動器
選擇如何復原受 BitLocker 保護的固定磁碟驅動器
基準預設值: 已啟用
深入了解在固定數據磁碟驅動器的復原資訊儲存至 AD DS 之前,請勿啟用 BitLocker
基準預設值: True允許數據復原代理程式
基準預設值: True設定將 BitLocker 復原資訊儲存至 AD DS:
基準預設值: 備份修復密碼和金鑰套件值: 允許 256 位修復金鑰
將固定數據磁碟驅動器的 BitLocker 修復資訊儲存至 AD DS
基準預設值: True省略 BitLocker 安裝精靈中的復原選項
基準預設值: True設定 BitLocker 復原資訊的使用者記憶體:
基準預設值: 允許 48 位數的修復密碼
拒絕寫入不受 BitLocker 保護的固定磁碟驅動器
基準預設值: 已啟用
深入了解在固定數據磁碟驅動器上強制執行磁碟驅動器加密類型
基準預設值: 已啟用
深入了解- 選取加密類型: (裝置)
基準預設值: 僅限使用的空間加密
- 選取加密類型: (裝置)
Windows 元件 > BitLocker 磁碟驅動器加密 > 作業系統磁碟驅動器
允許符合 InstantGo 或 HSTI 規範的裝置退出開機前 PIN。
基準預設值: 已停用
深入了解允許增強型 PIN 以啟動
基準預設值: 已停用
深入了解選擇如何復原受 BitLocker 保護的作業系統磁碟驅動器
基準預設值: 已啟用
深入了解省略 BitLocker 安裝精靈中的復原選項
基準預設值: True值: 允許 256 位修復金鑰
將操作系統磁碟驅動器的 BitLocker 修復資訊儲存至 AD DS
基準預設值: True在操作系統磁碟驅動器的復原資訊儲存至 AD DS 之前,請勿啟用 BitLocker
基準預設值: True設定 BitLocker 復原資訊的使用者記憶體:
基準預設值: 允許 48 位數的修復密碼允許數據復原代理程式
基準預設值: True設定將 BitLocker 復原資訊儲存至 AD DS:
基準預設值: 儲存修復密碼和密鑰套件
啟用需要在平板上預先啟動鍵盤輸入的 BitLocker 驗證
基準預設值: 已啟用
深入了解在作業系統磁碟驅動器上強制執行磁碟驅動器加密類型
基準預設值: 已啟用
深入了解- 選取加密類型: (裝置)
基準預設值: 僅限使用的空間加密
- 選取加密類型: (裝置)
啟動時需要額外的驗證
基準預設值: 已啟用
深入了解設定 TPM 啟動金鑰和 PIN:
基準預設值: 不允許使用 TPM 的啟動金鑰和 PIN允許沒有相容 TPM 的 BitLocker (需要 USB 快閃磁碟驅動器上的密碼或啟動密鑰)
基準預設值: False設定 TPM 啟動:
基準預設值: 允許 TPM設定 TPM 啟動 PIN:
基準預設值: 允許使用 TPM 啟動 PIN設定 TPM 啟動金鑰:
基準預設值: 不允許使用 TPM 啟動金鑰
Windows 元件 > BitLocker 磁碟驅動器加密 > 抽取式數據磁碟驅動器
控制卸除式磁碟驅動器上的 BitLocker 使用
基準預設值: 已啟用
深入了解允許使用者在裝置 (卸載式數據磁碟驅動器上套用 BitLocker 保護)
基準預設值: True在抽取式數據磁碟驅動器上強制執行磁碟驅動器加密類型
基準預設值: 已啟用
深入了解- 選取加密類型: (裝置)
基準預設值: 僅限使用的空間加密
- 選取加密類型: (裝置)
允許使用者在裝置) (卸載式數據磁碟驅動器上暫停及解密 BitLocker 保護
基準預設值: False
拒絕寫入不受 BitLocker 保護的抽取式磁碟驅動器
基準預設值: 已啟用
深入了解- 不允許對另一個組織中設定的裝置進行寫入存取
基準預設值: False
- 不允許對另一個組織中設定的裝置進行寫入存取
Windows 元件 > 檔案總管
設定 Windows Defender SmartScreen
基準預設值: 已啟用
深入了解- 挑選下列其中一個設定: (裝置)
基準預設值: 警告並防止略過
- 挑選下列其中一個設定: (裝置)
Windows 元件 > Internet Explorer
避免略過不常從因特網下載之檔案的SmartScreen篩選工具警告
基準預設值: 已啟用
深入了解防止略過通常不會從因特網下載之檔案的 SmartScreen 篩選工具警告 (使用者)
基準預設值: 已啟用
深入了解防止管理 SmartScreen 篩選
基準預設值: 已啟用
深入了解- 選取 SmartScreen 篩選模式
基準預設值: 開啟
- 選取 SmartScreen 篩選模式
BitLocker
允許其他磁碟加密的警告
基準預設值: 已啟用
深入了解設定修復密碼輪替
基準預設值: 針對已加入 Azure AD 和已加入混合式的裝置重新整理
深入了解需要裝置加密
基準預設值: 已啟用
深入了解
守衛者
允許封存掃描
基準預設值: 允許。掃描封存盤案。
深入了解允許行為監視
基準預設值: 允許。開啟實時行為監視。
深入了解允許雲端保護
基準預設值: 允許。開啟雲端保護。
深入了解允許 Email 掃描
基準預設值: 允許。開啟電子郵件掃描。
深入了解允許完整掃描卸載式磁碟驅動器掃描
基準預設值: 允許。掃描卸載式磁碟驅動器。
深入了解允許存取保護
基準預設值: 允許。
深入了解允許即時監視
基準預設值: 允許。開啟並執行即時監視服務。
深入了解允許掃描網路檔案
基準預設值: 允許。掃描網路檔案。
深入了解允許掃描所有下載的檔案和附件
基準預設值: 允許。
深入了解允許文稿掃描
基準預設值: 允許。
深入了解允許使用者 UI 存取
基準預設值: 允許。可讓使用者存取UI。
深入了解封鎖可能經過模糊化的指令碼的執行
基準預設值: 關閉
深入了解封鎖來自 Office 巨集的 Win32 API 呼叫
基準預設值: 關閉
深入了解除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行
基準預設值: 關閉
深入了解封鎖 Office 通訊應用程式使其無法建立子程序
基準預設值: 關閉
深入了解封鎖所有 Office 應用程式使其無法建立子程序
基準預設值: 關閉
深入了解封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容
基準預設值: 關閉
深入了解封鎖建立伺服器的 WebShell
基準預設值: 關閉
深入了解封鎖從 USB 執行的未受信任與未簽署程序
基準預設值: 關閉
深入了解封鎖 Adobe Reader 使其無法建立子程序
基準預設值: 關閉
深入了解封鎖從 Windows 本機安全性授權子系統竊取認證
基準預設值: 關閉
深入了解在裝置) (封鎖惡意探索易受攻擊的已簽署驅動程序濫用
基準預設值: 關閉
深入了解透過 WMI 事件訂閱封鎖持續性
基準預設值: 關閉
深入了解[預覽]封鎖使用複製或仿真的系統工具
基準預設值: 關閉
深入了解封鎖源自 PSExec 與 WMI 命令的程序建立
基準預設值: 關閉
深入了解封鎖 Office 應用程式使其無法建立可執行的內容
基準預設值: 關閉
深入了解封鎖 Office 應用程式使其無法將程式碼插入其他程序
基準預設值: 關閉
深入了解[預覽]在安全模式中封鎖重新啟動機器
基準預設值: 關閉
深入了解對惡意勒索軟體使用進階保護
基準預設值: 關閉
深入了解封鎖來自電子郵件用戶端和 Web 郵件的可執行內容
基準預設值: 關閉
深入了解
在執行掃描之前檢查簽章
基準預設值: 已啟用
深入了解雲端封鎖層級
基準預設值: 高
深入了解雲端延伸逾時
基準預設值: 已設定
值: 50
深入了解停用本機 管理員 合併
基準預設值:啟用本機 管理員 合併
深入了解啟用網路保護
基準預設值: 啟用 (區塊模式)
深入了解隱藏本機系統管理員的排除專案
基準預設值:如果您啟用此設定,本機系統管理員將無法再看到 Windows 安全性 應用程式或透過PowerShell排除清單。
深入了解隱藏來自本機使用者的排除專案
基準預設值:如果您啟用此設定,本機使用者將無法再看到 Windows 安全性 應用程式或透過PowerShell排除清單。
深入了解Oobe 啟用 Rtp 和 Sig 更新
基準預設值:如果您啟用此設定,則會在 OOBE 期間啟用即時保護和安全性智慧 匯報。
深入了解PUA 保護
基準預設值: PUA 保護開啟。已封鎖偵測到的專案。它們會與其他威脅一起顯示在歷程記錄中。
深入了解實時掃描方向
基準預設值: 監視雙向) (的所有檔案。
深入了解掃描參數
基準預設值: 快速掃描
深入了解排程快速掃描時間
基準預設值: 已設定
值: 120
深入了解排程掃描日
基準預設值: 每天
深入了解排程掃描時間
基準預設值: 已設定
值: 120
深入了解簽章更新間隔
基準預設值: 已設定
值: 4
深入了解提交範例同意
基準預設值: 自動傳送所有範例。
深入了解
Device Guard
- Credential Guard
基準預設值: (啟用 UEFI 鎖定) 開啟具有 UEFI 鎖定的 Credential Guard。
深入了解
Dma Guard
- 裝置列舉原則
基準預設值: 封鎖所有 (限制最嚴格的)
深入了解
防火牆
證書吊銷清單驗證
基準預設值: 無
深入了解停用具狀態 Ftp
基準預設值: True
深入了解啟用網域網路防火牆
基準預設值: True
深入了解啟用封包佇列
基準預設值: 已設定
深入了解啟用專用網防火牆
基準預設值: True
深入了解啟用公用網路防火牆
基準預設值: True
深入了解預先共用的金鑰編碼
基準預設值: UTF8
深入了解安全性關聯空閒時間
基準預設值: 已設定
值: 300
深入了解
Microsoft Edge
設定 Microsoft Defender SmartScreen
基準預設值: 已啟用設定 Microsoft Defender SmartScreen 來封鎖潛在的垃圾應用程式
基準預設值: 已啟用啟用 Microsoft Defender SmartScreen DNS 要求
基準預設值: 已啟用啟用新的 SmartScreen 連結庫
基準預設值: 已啟用強制 Microsoft Defender SmartScreen 檢查來自信任來源的下載
基準預設值: 已啟用防止略過 Microsoft Defender 網站的 SmartScreen 提示
基準預設值: 已啟用防止略過有關下載的 Microsoft Defender SmartScreen 警告
基準預設值: 已啟用
受攻擊面縮小規則
受攻擊面縮小規則支持合併來自不同原則的設定,以建立每個裝置的原則超集。 只會合並未發生衝突的設定。 發生衝突的設定不會新增至規則的超集。 先前,如果兩個原則包含單一設定的衝突,這兩個原則都會標示為發生衝突,而且不會部署來自任一配置檔的設定。
受攻擊面縮小規則合併行為如下:
- 下列設定檔中的受攻擊面縮小規則會針對套用規則的每個裝置進行評估:
- 裝置>設定原則 > 端點保護配置檔 > Microsoft Defender 惡意探索防護>攻擊面縮小
- 端點安全 > 性受攻擊面縮小原則 >受攻擊面縮小規則
- 端點安全>性>基準 適用於端點的 Microsoft Defender 基準>受攻擊面縮小規則。
- 不會發生衝突的設定會新增至裝置的原則超集。
- 當兩個或多個原則的設定發生衝突時,衝突的設定不會新增至合併的原則,而不會衝突的設定則會新增至套用至裝置的超集原則。
- 只會保留衝突設定的組態。
若要深入瞭解,請參閱 適用於端點的 Microsoft Defender 檔中的受攻擊面縮小規則。
禁止 Office 通訊應用程式建立子處理程序
基準預設值: 啟用
深入了解封鎖 Adobe Reader 使其無法建立子程序
基準預設值: 啟用
深入了解封鎖 Office 應用程式使其無法將程式碼插入其他程序
基準預設值: 封鎖
深入了解封鎖 Office 應用程式使其無法建立可執行的內容
基準預設值: 封鎖
深入了解封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容
基準預設值: 封鎖
深入了解啟用網路保護
基準預設值: 啟用
深入了解封鎖從 USB 執行的未受信任與未簽署程序
基準預設值: 封鎖
深入了解封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證
基準預設值: 啟用
深入了解封鎖從電子郵件和 Webmail 用戶端下載的可執行文件內容
基準預設值: 封鎖
深入了解封鎖所有 Office 應用程式使其無法建立子程序
基準預設值: 封鎖
深入了解封鎖 js/vbs/ps (可能模糊化腳本的執行)
基準預設值: 封鎖
深入了解封鎖來自 Office 宏的 Win32 API 呼叫
基準預設值: 封鎖
深入了解
應用程式防護
如需詳細資訊,請參閱 Windows 檔中的 WindowsDefenderApplicationGuard CSP 。
當您使用 Microsoft Edge 時,Microsoft Defender 應用程式防護 保護您的環境不受貴組織信任的網站。 當使用者造訪未列在隔離網路界限中的網站時,這些網站會在 Hyper-V 虛擬瀏覽會話中開啟。 信任的網站是由網路界限所定義。
BitLocker
僅限行動裝置 (需要加密記憶體卡)
基準預設值: 是
深入了解注意事項
Windows 10 行動裝置版 和 Windows Phone 8.1 的支援已於 2020 年 8 月終止。
啟用 OS 和固定數據磁碟驅動器的完整磁碟加密
基準預設值: 是
深入了解BitLocker 系統磁碟驅動器原則
基準預設值: 設定
深入了解- 設定作業系統磁碟驅動器的加密方法
基準預設值: 未設定
深入了解
- 設定作業系統磁碟驅動器的加密方法
BitLocker 固定磁碟驅動器原則
基準預設值: 設定
深入了解BitLocker 卸除式磁碟驅動器原則
基準預設值: 設定
深入了解
依裝置標識碼安裝硬體裝置
基準預設值: 封鎖硬體裝置安裝
深入了解拿掉相符的硬體裝置 基準預設值: 是
已封鎖的硬體裝置標識碼
基準預設值: 預設不會設定。手動新增一或多個裝置標識碼。
依安裝類別安裝硬體裝置
基準預設值: 封鎖硬體裝置安裝
深入了解拿掉相符的硬體裝置 基準預設值: 未設定
已封鎖的硬體裝置標識碼 基準預設值: 預設不會設定。手動新增一或多個裝置標識碼。
依安裝類別封鎖硬體裝置安裝:
基準預設值: 是
深入了解拿掉相符的硬體裝置:
基準預設值: 是封鎖清單
基準預設值: 預設不會設定。手動新增一或多個安裝類別全域唯一標識碼。
DMA Guard
- 列舉與 Kernel DMA Protection 不相容的外部裝置
基準預設值: 全部封鎖
深入了解
- 列舉與 Kernel DMA Protection 不相容的外部裝置
基準預設值: 未設定
深入了解
防火牆
- 已封鎖隱形模式
基準預設值: 是
深入了解
- 已封鎖隱形模式
基準預設值: 是
深入了解
- 已封鎖隱形模式
基準預設值: 是
深入了解
Microsoft Defender
開啟即時保護
基準預設值: 是
深入了解擴充雲端保護逾時的額外時間 (0-50 秒)
基準預設值: 50
深入了解掃描所有下載的檔案和附件
基準預設值: 是
深入了解掃描類型
基準預設值: 快速掃描
深入了解Defender 排程掃描日:
基準預設值: 每天Defender 掃描開始時間:
基準預設值: 未設定Defender 範例提交同意
基準預設值: 自動傳送安全範例
深入了解雲端式保護層級
基準預設值: 高
深入了解在完整掃描期間掃描抽取式磁碟驅動器
基準預設值: 是
深入了解Defender 潛在的垃圾應用程式動作
基準預設值: 封鎖
深入了解開啟雲端提供的保護
基準預設值: 是
深入了解
在執行每日快速掃描
基準預設值: 上午 2 點
深入了解排定的掃描開始時間
基準預設值: 上午 2 點設定排程掃描的低 CPU 優先順序
基準預設值: 是
深入了解禁止 Office 通訊應用程式建立子處理程序
基準預設值: 啟用
深入了解封鎖 Adobe Reader 使其無法建立子程序
基準預設值: 啟用
深入了解掃描內送電子郵件訊息
基準預設值: 是
深入了解開啟即時保護
基準預設值: 是
深入了解隔離的惡意郵件的保留天數 (0-90)
基準預設值: 0
深入了解Defender 系統掃描排程
基準預設值: 用戶定義
深入了解擴充雲端保護逾時的額外時間 (0-50 秒)
基準預設值: 50
深入了解在完整掃描期間掃描對應的網路驅動器機
基準預設值: 是
深入了解開啟網路保護
基準預設值: 是
深入了解掃描所有下載的檔案和附件
基準預設值: 是
深入了解存取保護封鎖
基準預設值: 未設定
深入了解掃描瀏覽器文本
基準預設值: 是
深入了解封鎖使用者存取 Microsoft Defender 應用程式
基準預設值: 是
深入了解每個掃描允許的CPU使用量上限 (0-100%)
基準預設值: 50
深入了解掃描類型
基準預設值: 快速掃描
深入了解輸入 (0-24 小時) 檢查安全情報更新的頻率
基準預設值: 8
深入了解Defender 範例提交同意
基準預設值: 自動傳送安全範例
深入了解雲端式保護層級
基準預設值:*未設定
深入了解掃描封存盤案
基準預設值: 是
深入了解開啟行為監視
基準預設值: 是
深入了解在完整掃描期間掃描抽取式磁碟驅動器
基準預設值: 是
深入了解掃描網路檔案
基準預設值: 是
深入了解Defender 潛在的垃圾應用程式動作
基準預設值: 封鎖
深入了解開啟雲端提供的保護
基準預設值: 是
深入了解封鎖 Office 應用程式使其無法將程式碼插入其他程序
基準預設值: 封鎖
深入了解封鎖 Office 應用程式使其無法建立可執行的內容
基準預設值: 封鎖
深入了解封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容
基準預設值: 封鎖
深入了解啟用網路保護
基準預設值: 稽核模式
深入了解封鎖從 USB 執行的未受信任與未簽署程序
基準預設值: 封鎖
深入了解封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證
基準預設值: 啟用
深入了解封鎖從電子郵件和 Webmail 用戶端下載的可執行文件內容
基準預設值: 封鎖
深入了解封鎖所有 Office 應用程式使其無法建立子程序
基準預設值: 封鎖
深入了解封鎖 js/vbs/ps (可能模糊化腳本的執行)
基準預設值: 封鎖
深入了解封鎖來自 Office 宏的 Win32 API 呼叫
基準預設值: 封鎖
深入了解
在執行每日快速掃描
基準預設值: 上午 2 點
深入了解排定的掃描開始時間
基準預設值: 上午 2 點設定排程掃描的低 CPU 優先順序
基準預設值: 是
深入了解禁止 Office 通訊應用程式建立子處理程序
基準預設值: 啟用
深入了解封鎖 Adobe Reader 使其無法建立子程序
基準預設值: 啟用
深入了解掃描內送電子郵件訊息
基準預設值: 是
深入了解開啟即時保護
基準預設值: 是
深入了解隔離的惡意郵件的保留天數 (0-90)
基準預設值: 0
深入了解Defender 系統掃描排程
基準預設值: 用戶定義
深入了解擴充雲端保護逾時的額外時間 (0-50 秒)
基準預設值: 50
深入了解在完整掃描期間掃描對應的網路驅動器機
基準預設值: 是
深入了解開啟網路保護
基準預設值: 是
深入了解掃描所有下載的檔案和附件
基準預設值: 是
深入了解存取保護封鎖
基準預設值: 未設定
深入了解掃描瀏覽器文本
基準預設值: 是
深入了解封鎖使用者存取 Microsoft Defender 應用程式
基準預設值: 是
深入了解每個掃描允許的CPU使用量上限 (0-100%)
基準預設值: 50
深入了解掃描類型
基準預設值: 快速掃描
深入了解輸入 (0-24 小時) 檢查安全情報更新的頻率
基準預設值: 8
深入了解Defender 範例提交同意
基準預設值: 自動傳送安全範例
深入了解雲端式保護層級
基準預設值:*未設定
深入了解掃描封存盤案
基準預設值: 是
深入了解開啟行為監視
基準預設值: 是
深入了解在完整掃描期間掃描抽取式磁碟驅動器
基準預設值: 是
深入了解掃描網路檔案
基準預設值: 是
深入了解Defender 潛在的垃圾應用程式動作
基準預設值: 封鎖
深入了解開啟雲端提供的保護
基準預設值: 是
深入了解封鎖 Office 應用程式使其無法將程式碼插入其他程序
基準預設值: 封鎖
深入了解封鎖 Office 應用程式使其無法建立可執行的內容
基準預設值: 封鎖
深入了解封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容
基準預設值: 封鎖
深入了解啟用網路保護
基準預設值: 稽核模式
深入了解封鎖從 USB 執行的未受信任與未簽署程序
基準預設值: 封鎖
深入了解封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證
基準預設值: 啟用
深入了解封鎖從電子郵件和 Webmail 用戶端下載的可執行文件內容
基準預設值: 封鎖
深入了解封鎖所有 Office 應用程式使其無法建立子程序
基準預設值: 封鎖
深入了解封鎖 js/vbs/ps (可能模糊化腳本的執行)
基準預設值: 封鎖
深入了解封鎖來自 Office 宏的 Win32 API 呼叫
基準預設值: 封鎖
深入了解
Microsoft Defender 資訊安全中心
- 封鎖使用者編輯惡意探索防護保護介面
基準預設值: 是
深入了解
智能螢幕
禁止使用者忽略SmartScreen警告
基準預設值: 是
深入了解開啟 Windows SmartScreen
基準預設值: 是
深入了解需要適用於 Microsoft Edge 的 SmartScreen
基準預設值: 是
深入了解封鎖惡意網站存取
基準預設值: 是
深入了解封鎖未經驗證的檔案下載
基準預設值: 是
深入了解設定 Microsoft Defender SmartScreen
基準預設值: 已啟用防止略過 Microsoft Defender 網站的 SmartScreen 提示
基準預設值: 已啟用防止略過有關下載的 Microsoft Defender SmartScreen 警告
基準預設值: 已啟用設定 Microsoft Defender SmartScreen 來封鎖潛在的垃圾應用程式
基準預設值: 已啟用
僅需要來自市集的應用程式
基準預設值: 是開啟 Windows SmartScreen
基準預設值: 是
深入了解
Windows Hello 企業版
如需詳細資訊,請參閱 Windows 檔中的 PassportForWork CSP 。
封鎖 Windows Hello 企業版
基準預設值: 已停用PIN 中小寫字母 基準預設值: 允許
PIN 中的特殊字元 基準預設值: 允許
PIN 中的大寫字母 基準預設值: 允許
後續步驟
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: