Intune Microsoft Defender for Endpoint 安全基线中的设置列表
本文参考了可在 Microsoft Intune 部署的不同版本的 Microsoft Defender for Endpoint 安全基线中提供的设置。 使用选项卡可以选择和查看最新基线版本和几个可能仍在使用的旧版本中的设置。
对于每个设置,此参考标识基线默认配置,这也是相关安全团队提供的该设置的建议配置。 由于产品和安全环境不断演变,因此一个基线版本中的建议默认值可能与在同一基线的更高版本中发现的默认值不匹配。 不同的基线类型(如 MDM 安全性和Defender for Endpoint 基线)也可以设置不同的默认值。
当 Intune UI 包含设置的 “了解详细信息” 链接时,你也会在此处找到该链接。 使用该链接可以查看设置 策略配置服务提供商 (CSP) 或说明设置操作的相关内容。
当新版本的基线可用时,它将替换以前的版本。 在新版本可用性之前创建的配置文件实例:
- 变为只读。 可以继续使用这些配置文件,但无法编辑它们以更改其配置。
- 可以更新到最新版本。 将配置文件更新到当前基线版本后,可以编辑配置文件以修改设置。
若要详细了解如何使用安全基线,请参阅 使用安全基线。 在本文中,你还将找到有关如何执行以下操作的信息:
- 更改配置文件的基线版本 ,以更新配置文件以使用该基线的最新版本。
Microsoft Defender for Endpoint 基线版本 24H1
2020 年 12 月 Microsoft Defender for Endpoint 基线 - 版本 6
Microsoft 2020 年 9 月的 Defender for Endpoint 基线 - 版本 5
2020 年 4 月 Microsoft Defender for Endpoint 基线 - 版本 4
2020 年 3 月 Microsoft Defender for Endpoint 基线 - 版本 3
当环境满足使用 Microsoft Defender for Endpoint 的先决条件时,可以使用 Microsoft Defender for Endpoint 基线。
此基线针对物理设备进行了优化,不建议在虚拟机 (VM) 或 VDI 终结点上使用。 某些基线设置可能会影响虚拟化环境中的远程交互式会话。 有关详细信息,请参阅 Windows 文档中的提高 Microsoft Defender for Endpoint 安全基线的符合性。
管理模板
系统 > 设备安装 > 设备安装限制
阻止使用与这些设备安装类匹配的驱动程序安装设备
基线默认值: 已启用
了解更多也适用于已安装的匹配设备。
基线默认值: False已阻止的类
基线默认值: d48179be-ec20-11d1-b6b8-00c04fa372a7
Windows 组件 > BitLocker 驱动器加密
(Windows 10 [版本 1511] 及更高版本) 选择驱动器加密方法和密码强度
基线默认值: 已启用
了解更多选择可移动数据驱动器的加密方法:
基线默认值: AES-CBC 128 位 (默认)选择操作系统驱动器的加密方法:
基线默认值: XTS-AES 128 位 (默认)选择固定数据驱动器的加密方法:
基线默认值: XTS-AES 128 位 (默认)
Windows 组件 > BitLocker 驱动器加密 > 固定数据驱动器
选择如何恢复受 BitLocker 保护的固定驱动器
基线默认值: 已启用
了解更多在将恢复信息存储到固定数据驱动器的 AD DS 之前,请勿启用 BitLocker
基线默认值: True允许数据恢复代理
基线默认值: True配置将 BitLocker 恢复信息存储到 AD DS:
基线默认值: 备份恢复密码和密钥包值: 允许 256 位恢复密钥
将 BitLocker 恢复信息保存到固定数据驱动器的 AD DS
基线默认值: True省略 BitLocker 安装向导中的恢复选项
基线默认值: True配置 BitLocker 恢复信息的用户存储:
基线默认值: 允许 48 位恢复密码
拒绝对不受 BitLocker 保护的固定驱动器的写入访问权限
基线默认值: 已启用
了解更多强制固定数据驱动器上的驱动器加密类型
基线默认值: 已启用
了解更多- 选择加密类型: (设备)
基线默认值: 仅使用空间加密
- 选择加密类型: (设备)
Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器
允许符合 InstantGo 或 HSTI 的设备选择退出预启动 PIN。
基线默认值: 禁用
了解更多允许增强型启动 PIN
基线默认值: 禁用
了解更多选择如何恢复受 BitLocker 保护的操作系统驱动器
基线默认值: 已启用
了解更多省略 BitLocker 安装向导中的恢复选项
基线默认值: True值: 允许 256 位恢复密钥
将 BitLocker 恢复信息保存到操作系统驱动器的 AD DS
基线默认值: True在将恢复信息存储到操作系统驱动器的 AD DS 之前,请勿启用 BitLocker
基线默认值: True配置 BitLocker 恢复信息的用户存储:
基线默认值: 允许 48 位恢复密码允许数据恢复代理
基线默认值: True配置将 BitLocker 恢复信息存储到 AD DS:
基线默认值: 存储恢复密码和密钥包
启用 BitLocker 身份验证,要求盖板上的预启动键盘输入
基线默认值: 已启用
了解更多在操作系统驱动器上强制实施驱动器加密类型
基线默认值: 已启用
了解更多- 选择加密类型: (设备)
基线默认值: 仅使用空间加密
- 选择加密类型: (设备)
启动时需要其他身份验证
基线默认值: 已启用
了解更多配置 TPM 启动密钥和 PIN:
基线默认值: 不允许使用 TPM 的启动密钥和 PIN允许没有兼容的 TPM 的 BitLocker (需要 USB 闪存驱动器上的密码或启动密钥)
基线默认值: False配置 TPM 启动:
基线默认值: 允许 TPM配置 TPM 启动 PIN:
基线默认值: 允许使用 TPM 启动 PIN配置 TPM 启动密钥:
基线默认值: 不允许使用 TPM 启动密钥
Windows 组件 > BitLocker 驱动器加密 > 可移动数据驱动器
控制在可移除驱动器上对 BitLocker 的使用
基线默认值: 已启用
了解更多允许用户对可移动数据驱动器 (设备) 应用 BitLocker 保护
基线默认值: True强制可移除数据驱动器上的驱动器加密类型
基线默认值: 已启用
了解更多- 选择加密类型: (设备)
基线默认值: 仅使用空间加密
- 选择加密类型: (设备)
允许用户暂停和解密可移动数据驱动器上的 BitLocker 保护 (设备)
基线默认值: False
拒绝对不受 BitLocker 保护的可移动驱动器的写入访问权限
基线默认值: 已启用
了解更多- 不允许对另一个组织中配置的设备的写入访问权限
基线默认值: False
- 不允许对另一个组织中配置的设备的写入访问权限
Windows 组件 > 文件资源管理器
配置 Windows Defender SmartScreen
基线默认值: 已启用
了解更多- 选择以下设置之一: (设备)
基线默认值: 警告并阻止绕过
- 选择以下设置之一: (设备)
Windows 组件 > Internet Explorer
防止绕过有关通常不从 Internet 下载的文件的 SmartScreen 筛选器警告
基线默认值: 已启用
了解更多防止绕过有关通常不从 Internet 下载的文件的 SmartScreen 筛选器警告 (用户)
基线默认值: 已启用
了解更多阻止管理 SmartScreen 筛选器
基线默认值: 已启用
了解更多- 选择 SmartScreen 筛选器模式
基线默认值: 打开
- 选择 SmartScreen 筛选器模式
BitLocker
Defender
允许存档扫描
基线默认值: 允许。扫描存档文件。
了解更多允许行为监视
基线默认值: 允许。启用实时行为监视。
了解更多允许云保护
基线默认值: 允许。打开云保护。
了解更多允许电子邮件扫描
基线默认值: 允许。启用电子邮件扫描。
了解更多允许完全扫描可移动驱动器扫描
基线默认值: 允许。扫描可移动驱动器。
了解更多允许访问保护
基线默认值: 允许。
了解更多允许实时监视
基线默认值: 允许。打开并运行实时监视服务。
了解更多允许扫描网络文件
基线默认值: 允许。扫描网络文件。
了解更多允许扫描所有下载的文件和附件
基线默认值: 允许。
了解更多允许脚本扫描
基线默认值: 允许。
了解更多允许用户 UI 访问
基线默认值: 允许。允许用户访问 UI。
了解更多阻止执行可能已模糊处理的脚本
基线默认值: 阻止
了解更多阻止来自 Office 宏的 Win32 API 调用
基线默认值: 阻止
了解更多阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件
基线默认值: 阻止
了解更多阻止 Office 通信应用程序创建子进程
基线默认值: 阻止
了解更多阻止所有 Office 应用程序创建子进程
基线默认值: 阻止
了解更多阻止 JavaScript 或 VBScript 启动下载的可执行内容
基线默认值: 阻止
了解更多阻止为服务器创建 Webshell
基线默认值: 阻止
了解更多阻止从 USB 运行的不受信任和未签名的进程
基线默认值: 阻止
了解更多阻止 Adobe Reader 创建子进程
基线默认值: 阻止
了解更多阻止从 Windows 本地安全机构子系统窃取凭据
基线默认值: 阻止
了解更多阻止滥用被利用的易受攻击的已签名驱动程序 (设备)
基线默认值: 阻止
了解更多通过 WMI 事件订阅阻止持久性
基线默认值: 阻止
了解更多[预览]阻止使用复制或模拟的系统工具
基线默认值: 阻止
了解更多阻止源自 PSExec 和 WMI 命令的进程创建
基线默认值: 阻止
了解更多阻止 Office 应用程序创建可执行内容
基线默认值: 阻止
了解更多阻止 Office 应用程序将代码注入其他进程
基线默认值: 阻止
了解更多[预览]在安全模式下阻止重新启动计算机
基线默认值: 阻止
了解更多使用针对勒索软件的高级防护
基线默认值: 阻止
了解更多阻止来自电子邮件客户端和 Webmail 的可执行内容
基线默认值: 阻止
了解更多
在运行扫描之前检查签名
基线默认值: 已启用
了解更多云块级别
基线默认值: 高
了解更多云扩展超时
基线默认值: 已配置
值: 50
了解更多禁用本地管理员合并
基线默认值: 启用本地管理员合并
了解更多启用网络保护
基线默认值: 启用 (块模式)
了解更多从本地管理员隐藏排除项
基线默认值: 如果启用此设置,本地管理员将无法再通过 Windows 安全应用或通过 PowerShell 查看排除列表。
了解更多对本地用户隐藏排除项
基线默认值: 如果启用此设置,本地用户将无法再通过 Windows 安全应用或通过 PowerShell 查看排除列表。
了解更多Oobe 启用 Rtp 和 Sig 更新
基线默认值: 如果启用此设置,则会在 OOBE 期间启用实时保护和安全智能更新。
了解更多PUA 保护
基线默认值: PUA 保护启用。检测到的项目被阻止。它们将与其他威胁一起出现在历史记录中。
了解更多实时扫描方向
基线默认值: (双向) 监视所有文件。
了解更多扫描参数
基线默认值: 快速扫描
了解更多计划快速扫描时间
基线默认值: 已配置
值: 120
了解更多计划扫描日
基线默认值: 每天
了解更多计划扫描时间
基线默认值: 已配置
值: 120
了解更多签名更新间隔
基线默认值: 已配置
值: 4
了解更多提交示例同意
基线默认值: 自动发送所有示例。
了解更多
Device Guard
- Credential Guard
基线默认值: 使用 UEFI 锁启用 () 使用 UEFI 锁打开 Credential Guard。
了解更多
Dma Guard
- 设备枚举策略
基线默认值: 阻止所有 (最严格的)
了解更多
防火墙
证书吊销列表验证
基线默认值: 无
了解更多禁用有状态 Ftp
基线默认值: True
了解更多启用域网络防火墙
基线默认值: True
了解更多启用数据包队列
基线默认值: 已配置
了解更多启用专用网络防火墙
基线默认值: True
了解更多启用公用网络防火墙
基线默认值: True
了解更多预共享密钥编码
基线默认值: UTF8
了解更多安全关联空闲时间
基线默认值: 已配置
值: 300
了解更多
Microsoft Edge
配置 Microsoft Defender SmartScreen
基线默认值: 已启用配置 Microsoft Defender SmartScreen 以阻止可能不需要的应用
基线默认值: 已启用启用 Microsoft Defender SmartScreen DNS 请求
基线默认值: 已启用启用新的 SmartScreen 库
基线默认值: 已启用强制Microsoft Defender SmartScreen 检查来自受信任源的下载
基线默认值: 已启用防止绕过Microsoft站点的 Defender SmartScreen 提示
基线默认值: 已启用防止绕过有关下载的 Microsoft Defender SmartScreen 警告
基线默认值: 已启用
攻击面减少规则
攻击面减少规则支持合并不同策略中的设置,以便为每个设备创建策略的超集。 仅合并不冲突的设置。 冲突的设置不会添加到规则的超集。 以前,如果两个策略包含单个设置的冲突,则这两个策略被标记为冲突,并且不会部署任何配置文件中的设置。
攻击面减少规则合并行为如下所示:
- 针对应用规则的每个设备评估以下配置文件中的攻击面减少规则:
- 设备 > 配置策略 > 终结点保护配置文件 > Microsoft Defender 攻击防护 >攻击面减少
- 终结点安全性 > 攻击面减少策略 >攻击面减少规则
- 终结点安全 > 安全基线 > Microsoft Defender for Endpoint 基线 >攻击面减少规则。
- 没有冲突的设置将添加到设备的超集策略中。
- 当两个或更多策略具有冲突设置时,冲突的设置不会添加到组合策略,而不冲突的设置将添加到适用于设备的超集策略中。
- 仅会保留用于冲突设置的配置。
若要了解详细信息,请参阅 Microsoft Defender for Endpoint 文档中 的攻击面减少规则 。
阻止 Office 通信应用创建子进程
基线默认值: 启用
了解更多阻止 Adobe Reader 创建子进程
基线默认值: 启用
了解更多阻止 Office 应用程序将代码注入其他进程
基线默认值: 阻止
了解更多阻止 Office 应用程序创建可执行内容
基线默认值: 阻止
了解更多阻止 JavaScript 或 VBScript 启动下载的可执行内容
基线默认值: 阻止
了解更多启用网络保护
基线默认值: 启用
了解更多阻止从 USB 运行的不受信任和未签名的进程
基线默认值: 阻止
了解更多阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)
基线默认值: 启用
了解更多阻止从电子邮件和 Webmail 客户端下载可执行内容
基线默认值: 阻止
了解更多阻止所有 Office 应用程序创建子进程
基线默认值: 阻止
了解更多阻止执行可能混淆的脚本 (js/vbs/ps)
基线默认值: 阻止
了解更多阻止来自 Office 宏的 Win32 API 调用
基线默认值: 阻止
了解更多
应用程序防护
有关详细信息,请参阅 Windows 文档中的 WindowsDefenderApplicationGuard CSP 。
使用 Microsoft Edge 时,Microsoft Defender 应用程序防护可保护环境免受组织不信任的站点的攻击。 当用户访问未在隔离网络边界中列出的站点时,站点将在 Hyper-V 虚拟浏览会话中打开。 受信任的站点由网络边界定义。
BitLocker
要求将存储卡加密 (仅限移动设备)
基线默认值: 是
了解更多注意
对 Windows 10 移动版 和 Windows Phone 8.1 的支持已于 2020 年 8 月结束。
为 OS 和固定数据驱动器启用完整磁盘加密
基线默认值: 是
了解更多BitLocker 系统驱动器策略
基线默认值: 配置
了解更多- 为操作系统驱动器配置加密方法
基线默认值: 未配置
了解更多
- 为操作系统驱动器配置加密方法
BitLocker 固定驱动器策略
基线默认值: 配置
了解更多BitLocker 可移动驱动器策略
基线默认值: 配置
了解更多
按设备标识符安装硬件设备
基线默认值: 阻止硬件设备安装
了解更多删除匹配的硬件设备 基线默认值: 是
阻止的硬件设备标识符
基线默认值: 默认情况下未配置。手动添加一个或多个设备标识符。
按安装程序类安装硬件设备
基线默认值: 阻止硬件设备安装
了解更多删除匹配的硬件设备 基线默认值: 未配置
阻止的硬件设备标识符 基线默认值: 默认情况下未配置。手动添加一个或多个设备标识符。
按安装程序类阻止硬件设备安装:
基线默认值: 是
了解更多删除匹配的硬件设备:
基线默认值: 是阻止列表
基线默认值: 默认情况下未配置。手动添加一个或多个安装程序类全局唯一标识符。
DMA 防护
- 枚举与内核 DMA 保护不兼容的外部设备
基线默认值: 全部阻止
了解更多
- 枚举与内核 DMA 保护不兼容的外部设备
基线默认值: 未配置
了解更多
防火墙
- 隐藏模式已阻止
基线默认值: 是
了解更多
- 隐藏模式已阻止
基线默认值: 是
了解更多
- 隐藏模式已阻止
基线默认值: 是
了解更多
Microsoft Defender
启用实时保护
基线默认值: 是
了解更多延长云保护超时时间 (0-50 秒)
基线默认值: 50
了解更多扫描所有下载的文件和附件
基线默认值: 是
了解更多扫描类型
基线默认值: 快速扫描
了解更多Defender 计划扫描日:
基线默认值: 每日Defender 扫描开始时间:
基线默认值: 未配置Defender 示例提交同意
基线默认值: 自动发送安全示例
了解更多云提供的保护级别
基线默认值: 高
了解更多在完全扫描期间扫描可移动驱动器
基线默认值: 是
了解更多Defender 可能不需要的应用操作
基线默认值: 阻止
了解更多打开云传递保护
基线默认值: 是
了解更多
运行每日快速扫描
基线默认值: 凌晨 2 点
了解更多计划的扫描开始时间
基线默认值: 凌晨 2 点为计划扫描配置低 CPU 优先级
基线默认值: 是
了解更多阻止 Office 通信应用创建子进程
基线默认值: 启用
了解更多阻止 Adobe Reader 创建子进程
基线默认值: 启用
了解更多扫描传入电子邮件
基线默认值: 是
了解更多启用实时保护
基线默认值: 是
了解更多保留隔离恶意软件的天数 (0-90)
基线默认值: 0
了解更多Defender 系统扫描计划
基线默认值: 用户定义
了解更多延长云保护超时时间 (0-50 秒)
基线默认值: 50
了解更多在完全扫描期间扫描映射的网络驱动器
基线默认值: 是
了解更多启用网络保护功能
基线默认值: 是
了解更多扫描所有下载的文件和附件
基线默认值: 是
了解更多阻止访问保护
基线默认值: 未配置
了解更多扫描浏览器脚本
基线默认值: 是
了解更多阻止用户访问 Microsoft Defender 应用
基线默认值: 是
了解更多每次扫描允许的最大 CPU 使用率 (0-100%)
基线默认值: 50
了解更多扫描类型
基线默认值: 快速扫描
了解更多输入) (0-24 小时检查安全智能更新的频率
基线默认值: 8
了解更多Defender 示例提交同意
基线默认值: 自动发送安全示例
了解更多云提供的保护级别
基线默认值:*未配置
了解更多扫描存档文件
基线默认值: 是
了解更多启用行为监视
基线默认值: 是
了解更多在完全扫描期间扫描可移动驱动器
基线默认值: 是
了解更多扫描网络文件
基线默认值: 是
了解更多Defender 可能不需要的应用操作
基线默认值: 阻止
了解更多打开云传递保护
基线默认值: 是
了解更多阻止 Office 应用程序将代码注入其他进程
基线默认值: 阻止
了解更多阻止 Office 应用程序创建可执行内容
基线默认值: 阻止
了解更多阻止 JavaScript 或 VBScript 启动下载的可执行内容
基线默认值: 阻止
了解更多启用网络保护
基线默认值: 审核模式
了解更多阻止从 USB 运行的不受信任和未签名的进程
基线默认值: 阻止
了解更多阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)
基线默认值: 启用
了解更多阻止从电子邮件和 Webmail 客户端下载可执行内容
基线默认值: 阻止
了解更多阻止所有 Office 应用程序创建子进程
基线默认值: 阻止
了解更多阻止执行可能混淆的脚本 (js/vbs/ps)
基线默认值: 阻止
了解更多阻止来自 Office 宏的 Win32 API 调用
基线默认值: 阻止
了解更多
运行每日快速扫描
基线默认值: 凌晨 2 点
了解更多计划的扫描开始时间
基线默认值: 凌晨 2 点为计划扫描配置低 CPU 优先级
基线默认值: 是
了解更多阻止 Office 通信应用创建子进程
基线默认值: 启用
了解更多阻止 Adobe Reader 创建子进程
基线默认值: 启用
了解更多扫描传入电子邮件
基线默认值: 是
了解更多启用实时保护
基线默认值: 是
了解更多保留隔离恶意软件的天数 (0-90)
基线默认值: 0
了解更多Defender 系统扫描计划
基线默认值: 用户定义
了解更多延长云保护超时时间 (0-50 秒)
基线默认值: 50
了解更多在完全扫描期间扫描映射的网络驱动器
基线默认值: 是
了解更多启用网络保护功能
基线默认值: 是
了解更多扫描所有下载的文件和附件
基线默认值: 是
了解更多阻止访问保护
基线默认值: 未配置
了解更多扫描浏览器脚本
基线默认值: 是
了解更多阻止用户访问 Microsoft Defender 应用
基线默认值: 是
了解更多每次扫描允许的最大 CPU 使用率 (0-100%)
基线默认值: 50
了解更多扫描类型
基线默认值: 快速扫描
了解更多输入) (0-24 小时检查安全智能更新的频率
基线默认值: 8
了解更多Defender 示例提交同意
基线默认值: 自动发送安全示例
了解更多云提供的保护级别
基线默认值:*未配置
了解更多扫描存档文件
基线默认值: 是
了解更多启用行为监视
基线默认值: 是
了解更多在完全扫描期间扫描可移动驱动器
基线默认值: 是
了解更多扫描网络文件
基线默认值: 是
了解更多Defender 可能不需要的应用操作
基线默认值: 阻止
了解更多打开云传递保护
基线默认值: 是
了解更多阻止 Office 应用程序将代码注入其他进程
基线默认值: 阻止
了解更多阻止 Office 应用程序创建可执行内容
基线默认值: 阻止
了解更多阻止 JavaScript 或 VBScript 启动下载的可执行内容
基线默认值: 阻止
了解更多启用网络保护
基线默认值: 审核模式
了解更多阻止从 USB 运行的不受信任和未签名的进程
基线默认值: 阻止
了解更多阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)
基线默认值: 启用
了解更多阻止从电子邮件和 Webmail 客户端下载可执行内容
基线默认值: 阻止
了解更多阻止所有 Office 应用程序创建子进程
基线默认值: 阻止
了解更多阻止执行可能混淆的脚本 (js/vbs/ps)
基线默认值: 阻止
了解更多阻止来自 Office 宏的 Win32 API 调用
基线默认值: 阻止
了解更多
Microsoft Defender 安全中心
- 阻止用户编辑 Exploit Guard 保护界面
基线默认值: 是
了解更多
智能屏幕
阻止用户忽略 SmartScreen 警告
基线默认值: 是
了解更多打开 Windows SmartScreen
基线默认值: 是
了解更多需要用于 Microsoft Edge 的 SmartScreen
基线默认值: 是
了解更多阻止恶意站点访问
基线默认值: 是
了解更多阻止未经验证的文件下载
基线默认值: 是
了解更多配置 Microsoft Defender SmartScreen
基线默认值: 已启用防止绕过Microsoft站点的 Defender SmartScreen 提示
基线默认值: 已启用防止绕过有关下载的 Microsoft Defender SmartScreen 警告
基线默认值: 已启用配置 Microsoft Defender SmartScreen 以阻止可能不需要的应用
基线默认值: 已启用
仅需要来自应用商店的应用
基线默认值: 是打开 Windows SmartScreen
基线默认值: 是
了解更多
Windows Hello 企业版
有关详细信息,请参阅 Windows 文档中的 PassportForWork CSP 。
阻止 Windows Hello 企业版
基线默认值: 禁用PIN 中的小写字母 基线默认值: 允许
PIN 中的特殊字符 基线默认值: 允许
PIN 中的大写字母 基线默认值: 允许
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈