Intune Windows 365 云电脑安全基线中的设置列表
本文是Windows 365 云电脑安全基线中可用设置的参考,可以使用 Microsoft Intune 进行部署。
对于每个设置,你将找到基线默认配置,这也是相关安全团队提供的该设置的建议配置。 由于产品和安全环境不断演变,因此一个基线版本中的建议默认值可能与在同一基线的更高版本中发现的默认值不匹配。 不同的基线类型(如 MDM 安全性和Defender for Endpoint 基线)也可以设置不同的默认值。
当Intune UI 包含设置的“了解详细信息”链接时,你也会在此处找到该链接。 使用该链接可以查看设置 策略配置服务提供商 (CSP) 或说明设置操作的相关内容。
当新版本的基线可用时,它将替换以前的版本。 在新版本可用之前创建的配置文件实例:
- 变为只读。 可以继续使用这些配置文件,但无法编辑它们以更改其配置。
- 可以更新到最新版本。 将配置文件更新到当前基线版本后,可以编辑配置文件以修改设置。
若要详细了解如何使用安全基线,请参阅 使用安全基线。 在本文中,你还将找到有关如何执行以下操作的信息:
- 更改配置文件的基线版本 ,以更新配置文件以使用该基线的最新版本。
Windows 365 云电脑安全基线版本 2110:
上锁
应用运行时
- Microsoft 应用商店应用的 Microsoft 帐户可选:
基线默认值: 已启用
了解更多
应用管理
攻击面减少规则
有关常规信息,请参阅 了解攻击面减少规则。
阻止 Office 通信应用创建子进程:
基线默认值: 启用
了解更多阻止 Adobe Reader 创建子进程:
基线默认值: 启用
了解更多阻止 Office 应用程序将代码注入其他进程:
基线默认值: 阻止
了解更多阻止 Office 应用程序创建可执行内容:
基线默认值: 阻止
了解更多阻止 JavaScript 或 VBScript 启动下载的可执行内容:
基线默认值: 阻止
了解更多启用网络保护:
基线默认值: 启用
了解更多阻止从 USB 运行的不受信任和未签名的进程:
基线默认值: 阻止
了解更多阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe) :
基线默认值: 启用
了解更多阻止所有 Office 应用程序创建子进程:
基线默认值: 阻止
了解更多阻止执行可能经过模糊处理的脚本 (js/vbs/ps) :
基线默认值: 阻止
了解更多阻止来自 Office 宏的 Win32 API 调用:
基线默认值: 阻止
了解更多阻止从电子邮件和 Webmail 客户端下载可执行内容:
基线默认值: 阻止
了解更多
Audit
审核设置配置为设置条件生成的事件。
帐户登录审核凭据验证 (设备) :
基线默认值: 成功和失败帐户登录审核 Kerberos 身份验证服务 (设备) :
基线默认值: 无帐户登录注销审核帐户锁定 (设备) :
基线默认值: 失败帐户登录注销审核组成员身份 (设备) :
基线默认值: 成功帐户登录注销审核登录 (设备) :
基线默认值: 成功和失败审核设备) (其他登录注销事件 :
基线默认值: 成功和失败审核特殊登录 (设备) :
基线默认值: 成功审核安全组管理 (设备) :
基线默认值: 成功审核用户帐户管理 (设备) :
基线默认值: 成功和失败详细跟踪审核 PNP 活动 (设备) :
基线默认值: 成功详细跟踪审核过程创建 (设备) :
基线默认值: 成功对象访问审核详细文件共享 (设备) :
基线默认值: 失败审核设备) (文件共享访问 :
基线默认值: 成功和失败对象访问审核设备) (其他对象访问事件 :
基线默认值: 成功和失败对象访问审核可移动存储 (设备) :
基线默认值: 成功和失败审核身份验证策略更改 (设备) :
基线默认值: 成功策略更改审核 MPSSVC 规则级别策略更改 (设备) :
基线默认值: 成功和失败策略更改审核设备) (其他策略更改事件 :
基线默认值: 失败审核设备) 审核策略 (更改 :
基线默认值: 成功权限使用审核敏感特权使用 (设备) :
基线默认值: 成功和失败系统审核设备) (其他系统事件 :
基线默认值: 成功和失败系统审核安全状态更改 (设备) :
基线默认值: 成功审核安全系统扩展 (设备) :
基线默认值: 成功设备) (系统审核系统完整性 :
基线默认值: 成功和失败
自动播放
浏览器
阻止密码管理器:
基线默认值: 是
了解更多需要 SmartScreen Microsoft Edge 旧版:
基线默认值: 是
了解更多阻止恶意站点:
基线默认值: 是
了解更多阻止未经验证的文件下载:
基线默认值: 是
了解更多防止用户重写证书错误:
基线默认值: 是
了解更多
连接性
配置对 UNC 路径的安全访问:
基线默认值: 将 Windows 配置为在满足其他安全要求后仅允许访问指定的 UNC 路径
了解更多- 强化的 UNC 路径列表:
默认情况下没有配置。 手动添加一个或多个强化的 UNC 路径。
- 强化的 UNC 路径列表:
阻止通过 HTTP 下载打印驱动程序:
基线默认值: 已启用
了解更多阻止 Web 发布和联机订购向导的 Internet 下载:
基线默认值: 已启用
了解更多
凭据委派
- 不可导出凭据的远程主机委派:
基线默认值: 已启用
了解更多
凭据 UI
- 枚举管理员:
基线默认值: 禁用
了解更多
Device Guard
基于虚拟化的安全性:
基线默认值: 使用安全启动启用 VBS启用基于虚拟化的安全性:
基线默认值: 是
了解更多启动系统防护:
基线默认值: 已启用打开 Credential Guard:
基线默认值: 使用 UEFI 锁定启用
了解更多
设备安装
按安装程序类阻止硬件设备安装
基线默认值: 是
了解更多删除匹配的硬件设备
基线默认值: 是阻止列表
默认情况下没有配置。 手动添加一个或多个标识符。
DMA 防护
- 枚举与内核 DMA 保护不兼容的外部设备
基线默认值: 全部阻止
事件日志服务
应用程序日志最大文件大小(KB)
基线默认值: 32768
了解更多系统日志最大文件大小(KB)
基线默认值: 32768
了解更多安全日志最大文件大小(KB)
基线默认值: 196608
了解更多
体验
- 阻止 Windows 聚焦
基线默认值: 是
了解更多
文件资源管理器
防火墙
有关详细信息,请参阅 Windows 协议文档中的 2.2.2 FW_PROFILE_TYPE 。
Internet Explorer
查看 Internet Explorer CSP 的完整列表。
Internet Explorer 加密支持
基线默认值:两项: TLS v1.1 和 TLS v1.2Internet Explorer 阻止管理智能屏幕筛选器
基线默认值: 启用
了解更多Internet Explorer 受限区域脚本标记为安全脚本的 Active X 控件
基线默认值: 禁用
了解更多Internet Explorer 受限区域文件下载
基线默认值: 禁用
了解更多Internet Explorer 证书地址不匹配警告
基线默认值: 禁用
了解更多Internet Explorer 增强保护模式
基线默认值: 禁用
了解更多Internet Explorer 回退到 SSL3
基线默认值: 无站点
了解更多签名无效时的 Internet Explorer 软件
基线默认值: 禁用
了解更多Internet Explorer 检查服务器证书吊销
基线默认值: 启用
了解更多在下载的程序上检查 Internet Explorer 签名
基线默认值: 启用
了解更多Internet Explorer 处理一致的 MIME 处理
基线默认值: 启用
了解更多Internet Explorer 绕过智能屏幕警告
基线默认值: 禁用
了解更多Internet Explorer 绕过有关不常见文件的智能屏幕警告
基线默认值: 禁用
了解更多Internet Explorer 崩溃检测
基线默认值: 禁用
了解更多Internet Explorer 下载机箱
基线默认值: 禁用
了解更多Internet Explorer 忽略证书错误
基线默认值: 禁用
了解更多Internet Explorer 在增强保护模式下禁用进程
基线默认值: 启用
了解更多Internet Explorer 安全设置检查
基线默认值: 已启用
了解更多处于受保护模式的 Internet Explorer Active X 控件
基线默认值: 禁用
了解更多添加网站的 Internet Explorer 用户
基线默认值: 禁用
了解更多Internet Explorer 用户更改策略
基线默认值: 禁用
了解更多Internet Explorer 阻止过时的 Active X 控件
基线默认值: 已启用
了解更多Internet Explorer 包括所有网络路径
基线默认值: 禁用
了解更多对数据源的 Internet Explorer Internet 区域访问
基线默认值: 禁用
了解更多Internet Explorer Internet 区域自动提示文件下载
基线默认值: 禁用
了解更多Internet Explorer Internet 区域通过脚本复制和粘贴
基线默认值: 禁用
了解更多Internet Explorer Internet 区域拖放或复制和粘贴文件
基线默认值: 禁用
了解更多Internet Explorer Internet 区域权限较低的站点
基线默认值: 禁用
了解更多XAML 文件的 Internet Explorer Internet 区域加载
基线默认值: 禁用
了解更多Internet Explorer Internet 区域.NET Framework依赖组件
基线默认值: 禁用
了解更多Internet Explorer Internet 区域仅允许已批准的域使用 ActiveX 控件
基线默认值: 已启用
了解更多Internet Explorer Internet 区域仅允许已批准的域使用 tdc ActiveX 控件
基线默认值: 已启用
了解更多Web 浏览器控件的 Internet Explorer Internet 区域脚本
基线默认值: 禁用
了解更多Internet Explorer Internet 区域脚本启动的窗口
基线默认值: 禁用
了解更多Internet Explorer Internet 区域 scriptlet
基线默认值: 禁用
了解更多Internet Explorer Internet 区域智能屏幕
基线默认值: 已启用
了解更多通过脚本将 Internet Explorer Internet 区域更新到状态栏
基线默认值: 禁用
了解更多Internet Explorer Internet 区域用户数据持久性
基线默认值: 禁用
了解更多Internet Explorer Internet 区域允许 VBscript 运行
基线默认值: 禁用
了解更多Internet Explorer Internet 区域不针对 ActiveX 控件运行反恶意软件
基线默认值: 禁用
了解更多Internet Explorer Internet 区域下载签名的 ActiveX 控件
基线默认值: 禁用
了解更多Internet Explorer Internet 区域下载未签名的 ActiveX 控件
基线默认值: 禁用
了解更多Internet Explorer Internet 区域跨站点脚本筛选器
基线默认值: 已启用
了解更多Internet Explorer Internet 区域跨窗口拖动不同域中的内容
基线默认值: 禁用
了解更多Internet Explorer Internet 区域在窗口中拖动来自不同域的内容
基线默认值: 禁用
了解更多Internet Explorer Internet 区域保护模式
基线默认值: 启用
了解更多Internet Explorer Internet 区域在将文件上传到服务器时包括本地路径
基线默认值: 禁用
了解更多Internet Explorer Internet 区域初始化和脚本未标记为安全的 Active X 控件
基线默认值: 禁用
了解更多Internet Explorer Internet 区域 java 权限
基线默认值: 禁用 java
了解更多Internet Explorer Internet 区域在 iframe 中启动应用程序和文件
基线默认值: 禁用
了解更多Internet Explorer Internet 区域登录选项
基线默认值: 提示
了解更多Internet Explorer Internet 区域跨不同域导航窗口和框架
基线默认值: 禁用
了解更多Internet Explorer Internet 区域运行.NET Framework使用 Authenticode 签名的依赖组件
基线默认值: 禁用
了解更多针对潜在不安全文件的 Internet Explorer Internet 区域安全警告
基线默认值: 提示
了解更多Internet Explorer Internet 区域弹出窗口阻止程序
基线默认值: 启用
了解更多Internet Explorer Intranet 区域不会针对 Active X 控件运行反恶意软件
基线默认值: 禁用
了解更多Internet Explorer Intranet 区域初始化和脚本未标记为安全的 Active X 控件
基线默认值: 禁用
了解更多Internet Explorer Intranet 区域 java 权限
基线默认值: 高安全性
了解更多Internet Explorer 本地计算机区域不针对 Active X 控件运行反恶意软件
基线默认值: 禁用
了解更多Internet Explorer 本地计算机区域 java 权限
基线默认值: 禁用 java
了解更多Internet Explorer 锁定了 Internet 区域智能屏幕
基线默认值: 已启用
了解更多Internet Explorer 已锁定 Intranet 区域 java 权限
基线默认值: 禁用 java
了解更多Internet Explorer 已锁定本地计算机区域 java 权限
基线默认值: 禁用 java
了解更多Internet Explorer 锁定了受限区域智能屏幕
基线默认值: 已启用
了解更多Internet Explorer 锁定了受限区域 java 权限
基线默认值: 禁用 java
了解更多Internet Explorer 锁定了受信任的区域 java 权限
基线默认值: 禁用 java
了解更多Internet Explorer 进程 MIME 探查安全功能
基线默认值: 已启用
了解更多Internet Explorer 进程 MK 协议安全限制
基线默认值: 已启用
了解更多Internet Explorer 进程通知栏
基线默认值: 已启用
了解更多Internet Explorer 阻止每个用户安装 Active X 控件
基线默认值: 已启用
了解更多Internet Explorer 处理区域提升保护
基线默认值: 已启用
了解更多Internet Explorer 删除过时 Active X 控件的“此时间运行”按钮
基线默认值: 已启用
了解更多Internet Explorer 进程限制 Active X 安装
基线默认值: 已启用
了解更多Internet Explorer 限制对数据源的区域访问
基线默认值: 禁用
了解更多Internet Explorer 受限区域活动脚本编写
基线默认值: 禁用
了解更多Internet Explorer 受限区域自动提示文件下载
基线默认值: 禁用
了解更多Internet Explorer 受限区域二进制文件和脚本行为
基线默认值: 禁用
了解更多Internet Explorer 受限区域通过脚本复制和粘贴
基线默认值: 禁用
了解更多Internet Explorer 受限区域拖放或复制和粘贴文件
基线默认值: 禁用
了解更多Internet Explorer 受限区域少特权站点
基线默认值: 禁用
了解更多XAML 文件的 Internet Explorer 受限区域加载
基线默认值: 禁用
了解更多Internet Explorer 受限区域元刷新
基线默认值: 禁用
了解更多Internet Explorer 受限区域.NET Framework依赖组件
基线默认值: 禁用
了解更多Internet Explorer 受限区域仅允许已批准的域使用 Active X 控件
基线默认值: 已启用
了解更多Internet Explorer 受限区域仅允许已批准的域使用 tdc Active X 控件
基线默认值: 已启用
了解更多Web 浏览器控件的 Internet Explorer 受限区域脚本编写
基线默认值: 禁用
了解更多Internet Explorer 受限区域脚本启动的窗口
基线默认值: 禁用
了解更多Internet Explorer 受限区域 scriptlet
基线默认值: 禁用
了解更多Internet Explorer 受限区域智能屏幕
基线默认值: 已启用
了解更多通过脚本将 Internet Explorer 受限区域更新到状态栏
基线默认值: 禁用
了解更多Internet Explorer 受限区域用户数据持久性
基线默认值: 禁用
了解更多Internet Explorer 受限区域允许 vbscript 运行
基线默认值: 禁用
了解更多Internet Explorer 受限区域不针对 Active X 控件运行反恶意软件
基线默认值: 禁用
了解更多Internet Explorer 受限区域下载签名的 Active X 控件
基线默认值: 禁用
了解更多Internet Explorer 受限区域下载未签名的 Active X 控件
基线默认值: 禁用
了解更多Internet Explorer 受限区域跨站点脚本筛选器
基线默认值: 已启用
了解更多Internet Explorer 受限区域跨窗口拖动不同域中的内容
基线默认值: 禁用
了解更多Internet Explorer 受限区域在窗口中拖动来自不同域的内容
基线默认值: 禁用
了解更多将文件上传到服务器时,Internet Explorer 受限区域包括本地路径
基线默认值: 禁用
了解更多Internet Explorer 受限区域初始化和脚本未标记为安全的 Active X 控件
基线默认值: 禁用
了解更多Internet Explorer 受限区域 java 权限
基线默认值: 禁用 java
了解更多Internet Explorer 受限区域启动 iFrame 中的应用程序和文件
基线默认值: 禁用
了解更多Internet Explorer 受限区域登录选项
基线默认值: 匿名
了解更多Internet Explorer 受限区域跨不同域导航窗口和框架
基线默认值: 禁用
了解更多Internet Explorer 受限区域运行 Active X 控件和插件
基线默认值: 禁用
了解更多Internet Explorer 受限区域运行.NET Framework使用 Authenticode 签名的依赖组件
基线默认值: 禁用
了解更多Java 小程序的 Internet Explorer 受限区域脚本编写
基线默认值: 禁用
了解更多针对可能不安全的文件的 Internet Explorer 受限区域安全警告
基线默认值: 禁用
了解更多Internet Explorer 受限区域保护模式
基线默认值: 启用
了解更多Internet Explorer 受限区域弹出窗口阻止程序
基线默认值: 启用
了解更多Internet Explorer 进程限制文件下载
基线默认值: 已启用
了解更多Internet Explorer 进程脚本化窗口安全限制
基线默认值: 已启用
了解更多Internet Explorer 安全区域仅使用计算机设置
基线默认值: 已启用
了解更多Internet Explorer 使用 Active X 安装程序服务
基线默认值: 已启用
了解更多Internet Explorer 受信任区域不会针对 Active X 控件运行反恶意软件
基线默认值: 禁用
了解更多Internet Explorer 受信任区域初始化和脚本未标记为安全的 Active X 控件
基线默认值: 禁用
了解更多Internet Explorer 受信任的区域 java 权限
基线默认值: 高安全性
了解更多Internet Explorer 自动完成
基线默认值: 禁用
了解更多
本地策略安全选项
使用空白密码阻止远程登录
基线默认值: 是
了解更多锁屏界面处于非活动状态的分钟数,直到屏幕保护程序激活
基线默认值: 15
了解更多智能卡删除行为
基线默认值: 锁定工作站
了解更多要求客户端始终对通信进行数字签名
基线默认值: 是
了解更多阻止客户端将未加密的密码发送到第三方 SMB 服务器
基线默认值: 是
了解更多始终要求服务器对通信进行数字签名
基线默认值: 是
了解更多防止匿名枚举 SAM 帐户
基线默认值: 是
了解更多阻止 SAM 帐户和共享的匿名枚举
基线默认值: 是
了解更多限制对命名管道和共享的匿名访问
基线默认值: 是
了解更多允许远程调用安全帐户管理器
基线默认值: O:BAG:BAD: (A;;钢筋混凝土;;;BA)
了解更多防止在下次更改密码时存储 LAN 管理器哈希值
基线默认值: 是
了解更多身份验证级别
基线默认值: 仅发送 NTLMv2 响应。拒绝 LM 和 NTLM
了解更多基于 NTLM SSP 的客户端的最低会话安全性
基线默认值: 需要 NTLM V2 和 128 位加密
了解更多基于 NTLM SSP 的服务器的最低会话安全性
基线默认值: 需要 NTLM V2 和 128 位加密
了解更多管理员提升提示行为
基线默认值: 在安全桌面上提示同意
了解更多标准用户提升提示行为
基线默认值: 自动拒绝提升请求
了解更多检测应用程序安装并提示提升
基线默认值: 是
了解更多仅允许安全位置的 UI 访问应用程序
基线默认值: 是
了解更多要求管理员的管理员审批模式
基线默认值: 是
了解更多使用管理员审批模式
基线默认值: 是
了解更多将文件和注册表写入失败虚拟化到每个用户位置
基线默认值: 是
了解更多
Microsoft Defender
启用实时保护
基线默认值: 是
了解更多扫描 Microsoft 浏览器中使用的脚本
基线默认值: 是
了解更多延长云保护超时时间 (0-50 秒)
基线默认值: 50
了解更多扫描所有下载的文件和附件
基线默认值: 是
了解更多扫描类型
基线默认值: 快速扫描
了解更多Defender 计划扫描日
基线默认值: 每日计划的扫描开始时间
基线默认值: 未配置Defender 示例提交同意
基线默认值: 自动发送安全示例
了解更多云提供的保护级别
基线默认值: 高
了解更多在完全扫描期间扫描可移动驱动器
基线默认值: 是
了解更多Defender 可能不需要的应用操作
基线默认值: 阻止
了解更多打开云传递保护
基线默认值: 是
了解更多
Microsoft Defender防病毒排除项
要排除的 Defender 进程
基线默认值: 默认情况下未配置。手动添加一个或多个条目。要从扫描和实时保护中排除的文件扩展名
基线默认值: 默认情况下未配置。手动添加一个或多个条目。要排除的 Defender 文件和文件夹
基线默认值: 默认情况下未配置。手动添加一个或多个条目。
Microsoft Edge
控制哪些扩展无法安装
基线默认值: 已启用- 应阻止用户为所有) 安装 (或 * 的扩展 ID
基线默认值: 默认情况下未配置。手动添加一个或多个 ID
- 应阻止用户为所有) 安装 (或 * 的扩展 ID
允许用户级本机消息传送主机 (无需管理员权限即可安装)
基线默认值: 禁用已启用最低 SSL 版本
基线默认值: 已启用- 已启用最低 SSL 版本
基线默认值: TLS 1.2
- 已启用最低 SSL 版本
允许用户从 SSL 警告页继续
基线默认值: 禁用配置 Microsoft Defender SmartScreen
基线默认值: 已启用防止绕过站点Microsoft Defender SmartScreen 提示
基线默认值: 已启用防止绕过有关下载Microsoft Defender SmartScreen 警告
基线默认值: 已启用配置 Microsoft Defender SmartScreen 以阻止可能不需要的应用
基线默认值: 已启用默认 Adobe Flash 设置
基线默认值: 已启用- 默认 Adobe Flash 设置
基线默认值: 阻止 Adobe Flash 插件
- 默认 Adobe Flash 设置
启用将密码保存到密码管理器
基线默认值: 禁用为每个站点启用站点隔离
基线默认值: 已启用支持的身份验证方案
基线默认值: 已启用- 支持的身份验证方案
基线默认值:两个项目: NTLM 和 Negotiate
- 支持的身份验证方案
MS 安全指南
SMB v1 客户端驱动程序启动配置
基线默认值: 禁用驱动程序
了解更多在网络登录时对本地帐户应用 UAC 限制
基线默认值: 已启用
了解更多结构化异常处理覆盖保护
基线默认值: 已启用
了解更多SMB v1 服务器
基线默认值: 禁用
了解更多摘要式身份验证
基线默认值: 禁用
了解更多
MSS 旧版
网络 IPv6 源路由保护级别
基线默认值: 最高保护
了解更多网络 IP 源路由保护级别
基线默认值: 最高保护
了解更多网络忽略除 WINS 服务器之外的 NetBIOS 名称发布请求
基线默认值: 已启用
了解更多网络 ICMP 重定向替代 OSPF 生成的路由
基线默认值: 禁用
了解更多
远程协助
- 请求的远程协助 基线默认值: 禁用远程协助
了解更多
远程桌面服务
远程桌面服务客户端连接加密级别
基线默认值: 高
了解更多阻止驱动器重定向
基线默认值: 已启用阻止密码保存
基线默认值: 已启用
了解更多连接时提示输入密码
基线默认值: 已启用
了解更多保护 RPC 通信
基线默认值: 已启用
了解更多
远程管理
阻止客户端摘要身份验证
基线默认值: 已启用
了解更多阻止存储作为凭据运行
基线默认值: 已启用
了解更多客户端基本身份验证
基线默认值: 禁用
了解更多基本身份验证
基线默认值: 禁用
了解更多客户端未加密流量
基线默认值: 禁用
了解更多未加密的流量
基线默认值: 禁用
了解更多
远程过程调用
- RPC 未经身份验证的客户端选项
基线默认值: 已验证
了解更多
搜索
- 禁用对加密项编制索引
基线默认值: 是
了解更多
智能屏幕
系统警报
- 系统启动启动驱动程序初始化
基线默认值: 未知良好和严重错误
了解更多
Windows 连接管理器
- 阻止连接到非域网络
基线默认值: 已启用
了解更多
Windows Ink 工作区
- 墨迹工作区
基线默认值: 已启用
了解更多
Windows PowerShell
- PowerShell 脚本阻止日志记录
基线默认值: 已启用
了解更多
Windows 安全中心
- 启用篡改防护以防止禁用Microsoft Defender
基线默认值: 启用
了解更多
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈