共用方式為


Intune 中 Windows 365 雲端電腦 安全性基準中的設定清單

本文是您可以使用 Microsoft Intune 部署的 Windows 365 雲端電腦 安全性基準中可用設定的參考。

針對每個設定,我們會列出基準預設組態,這也是相關安全性小組所提供之該設定的建議組態。 由於產品和安全性環境不斷演進,因此一個基準版本中的建議預設值可能不符合您在相同基準的更新版本中找到的預設值。 不同的基準類型,例如 MDM 安全 性和 適用於端點的 Defender 基準,也可以設定不同的預設值。

當 Intune UI 包含設定的 [深入瞭解] 連結時,我們也會在此處包含該連結。 使用該連結來檢視設定 原則設定服務提供者 (CSP) 或說明設定作業的相關內容。

當基準的新版本變成可用時,它會取代舊版。 設定文件實例,這些實例是您在新版本可用之前建立的實例:

  • 變成唯讀。 您可以繼續使用這些配置檔,但無法編輯它們來變更其組態。
  • 可以更新為最新版本。 將設定檔更新為目前的基準版本之後,您可以編輯配置檔來修改設定。

若要深入瞭解如何使用安全性基準,請參閱:

Windows 365 雲端電腦 安全性基準版本 24H1

此基準中的設定適用於透過 Intune 管理的 Windows 裝置。 可用時,設定名稱會連結至來源設定服務提供者 (CSP) ,然後在基準中顯示該設定的預設組態。

系統管理範本

>控制台 個人化

  • 防止啟用鎖定螢幕相機
    基準預設值: 已啟用
    深入了解

  • 防止啟用鎖定畫面幻燈片放映
    基準預設值: 已啟用
    深入了解

MS 安全性指南

  • 將UAC限制套用至網路登入上的本機帳戶
    基準預設值: 已啟用
    深入了解

  • 設定SMB v1用戶端驅動程式
    基準預設值: 已啟用
    深入了解

    • 設定 MrxSmb10 驅動程式
      基準預設值: 停用建議的驅動程式 ()
  • 設定SMB v1 伺服器
    基準預設值: 已停用
    深入了解

  • 啟用結構化例外狀況處理覆寫保護 (SEHOP)
    基準預設值: 已啟用
    深入了解

  • WDigest Authentication (停用可能需要KB2871997)
    基準預設值: 已停用
    深入了解

MSS (舊版)

  • MSS: (DisableIPSourceRouting IPv6) IP 來源路由保護層級 (防止封包詐騙)
    基準預設值: 已啟用
    深入了解

    • DisableIPSourceRouting IPv6 (裝置)
      基準預設值: 最高保護,來源路由已完全停用
  • MSS: (DisableIPSourceRouting) IP 來源路由保護層級 (防止封包詐騙)
    基準預設值: 已啟用
    深入了解

    • DisableIPSourceRouting (裝置)
      基準預設值: 啟用最高保護,來源路由已完全停用
  • MSS: (EnableCMPRedirect) 允許 ICMP 重新導向以覆寫 OSPF 產生的路由
    基準預設值: 已停用
    深入了解

  • MSS: (NoNameReleaseOnDemand) 允許電腦忽略來自 WINS 伺服器的 NetBIOS 名稱發行要求
    基準預設值: 已啟用
    深入了解

網路 > DNS 用戶端

  • 關閉多播名稱解析
    基準預設值: 已啟用
    深入了解

網路>網路 Connections

  • 禁止在 DNS 網域網路上使用因特網連線共用
    基準預設值: 已啟用
    深入了解

網路 > 提供者

  • 強化的 UNC 路徑
    基準預設值: 已啟用
    深入了解
    • 強化的 UNC 路徑: (裝置)
      基準預設值:

      名稱
      \\*\SYSVOL RequireMutualAuthentication=1,RequireIntegrity=1
      \\*\NETLOGON RequireMutualAuthentication=1,RequireIntegrity=1

網路 > Windows 連線管理員

  • 禁止連線到網域驗證網路時連線到非網域網路
    基準預設值: 已啟用
    深入了解

[開始] 選單和任務列 > 通知

  • 關閉鎖定畫面上的快顯通知 (使用者)
    基準預設值: 已啟用
    深入了解

系統 > 認證委派

  • 加密 Oracle 補救
    基準預設值: 已啟用
    深入了解

    • 保護層級: (裝置)
      基準預設值: 強制更新的用戶端
  • 遠端主機允許委派不可導出的認證
    基準預設值: 已啟用
    深入了解

系統 > 裝置安裝 > 裝置安裝限制

  • 使用符合這些裝置安裝類別的驅動程式來防止安裝裝置
    基準預設值: 已啟用
    深入了解
    • 禁止的類別
      基準預設值: {d48179be-ec20-11d1-b6b8-00c04fa372a7}

    • 也適用於已安裝的相符裝置
      基準預設值: True

系統 > 早期啟動反惡意代碼軟體

  • 開機啟動驅動程式初始化原則
    基準預設值: 已啟用
    深入了解
    • 選擇可初始化的開機啟動驅動程式:
      基準預設值: 良好、未知和不正確但嚴重

系統 > 群組原則

  • 設定登錄原則處理
    基準預設值: 已啟用
    深入了解

    • 請勿在定期背景處理期間套用 (裝置)
      基準預設值: False
    • 即使 群組原則 物件尚未變更, (裝置)
      基準預設值: True

系統 > 因特網通訊管理 > 因特網通訊設定

  • 關閉透過 HTTP 下載列印驅動程式
    基準預設值: 已啟用
    深入了解

  • 關閉 Web 發佈和在線訂購精靈的因特網下載
    基準預設值: 已啟用
    深入了解

系統 > 遠端協助

  • 設定請求的遠端協助
    基準預設值: 已停用
    深入了解

系統 > 遠端過程調用

  • 限制未經驗證的 RPC 用戶端
    基準預設值: 已啟用
    深入了解
    • 要套用的 RPC 執行時間未驗證用戶端限制:
      基準預設值: 已驗證

Windows 元件 > 應用程式運行時間

  • 允許Microsoft帳戶為選擇性
    基準預設值: 已啟用
    深入了解

Windows 元件 > 自動播放原則

  • 不允許非磁碟區裝置的自動播放
    基準預設值: 已啟用
    深入了解

  • 設定 AutoRun 的預設行為
    基準預設值: 已啟用
    深入了解

    • 默認自動執行行為
      基準預設值: 不要執行任何自動執行命令
  • 關閉自動播放
    基準預設值: 已啟用
    深入了解

    • 關閉 [自動播放]:
      基準預設值: 所有磁碟驅動器

Windows 元件 > 認證使用者介面

  • 列舉提高許可權的系統管理員帳戶
    基準預設值: 已停用
    深入了解

Windows 元件>事件記錄服務應用程式>

  • 指定記錄檔大小上限 (KB)
    基準預設值: 已啟用
    深入了解
    • 記錄大小上限 (KB)
      基準預設值: 32768

Windows 元件 > 事件記錄服務 > 安全性

  • 指定記錄檔大小上限 (KB)
    基準預設值: 已啟用
    深入了解
    • 記錄大小上限 (KB)
      基準預設值: 196608

Windows 元件 > 事件記錄服務 > 系統

  • 指定記錄檔大小上限 (KB)
    基準預設值: 已啟用
    深入了解
    • 記錄大小上限 (KB)
      基準預設值: 32768

Windows 元件 > 檔案總管

  • 設定 Windows Defender SmartScreen
    基準預設值: 已啟用
    深入了解

    • 挑選下列其中一個設定: (裝置)
      基準預設值: 警告並防止略過
  • 關閉 Explorer 的數據執行防止
    基準預設值: 已停用
    深入了解

  • 關閉損毀時的堆積終止
    基準預設值: 已停用
    深入了解

Windows 元件 > Internet Explorer > Internet 控制台 進階>頁面

  • 允許軟體執行或安裝,即使簽章無效
    基準預設值: 已停用
    深入了解

  • 檢查伺服器證書撤銷
    基準預設值: 已啟用
    深入了解

  • 檢查下載程式上的簽章
    基準預設值: 已啟用
    深入了解

  • 啟用增強的受保護模式時,不允許 ActiveX 控制件在受保護模式中執行
    基準預設值: 已啟用
    深入了解

  • 關閉加密支援
    基準預設值: 已啟用
    深入了解

    • 安全通訊協議組合
      基準預設值: 使用 TLS 1.1 和 TLS 1.2
  • 在 64 位版本的 Windows 上以增強的受保護模式執行時,開啟 64 位索引標籤進程
    基準預設值: 已啟用
    深入了解

  • 開啟增強的受保護模式
    基準預設值: 已啟用
    深入了解

Windows 元件 > Internet Explorer > 因特網 控制台

  • 防止忽略憑證錯誤
    基準預設值: 已啟用
    深入了解

Windows 元件 > Internet Explorer > 因特網 控制台 > 安全性頁面>因特網區域

  • 跨網域存取數據源
    基準預設值: 已啟用
    深入了解

    • 跨網域存取數據源
      基準預設值: 停用
  • 允許透過文稿從剪貼簿進行剪下、複製或貼上作業
    基準預設值: 已啟用
    深入了解

    • 允許透過腳本進行貼上作業
      基準預設值: 停用
  • 允許拖放或複製及貼上檔案
    基準預設值: 已啟用
    深入了解

    • 允許拖放或複製及貼上檔案
      基準預設值: 停用
  • 允許載入 XAML 檔案
    基準預設值: 已啟用
    深入了解

    • XAML 檔案
      基準預設值: 停用
  • 只允許核准的網域在不提示的情況下使用 ActiveX 控件
    基準預設值: 已啟用
    深入了解

    • 只允許核准的網域在不提示的情況下使用 ActiveX 控件
      基準預設值: 啟用
  • 只允許核准的網域使用 TDC ActiveX 控制件
    基準預設值: 已啟用
    深入了解

    • 只允許核准的網域使用 TDC ActiveX 控制件
      基準預設值: 啟用
  • 允許文本起始的視窗不含大小或位置條件約束
    基準預設值: 已啟用
    深入了解

    • 允許文本起始的視窗不含大小或位置條件約束
      基準預設值: 停用
  • 允許編寫 Internet Explorer WebBrowser 控件的腳本
    基準預設值: 已啟用
    深入了解

    • Internet Explorer 網頁瀏覽器控件
      基準預設值: 停用
  • 允許腳本
    基準預設值: 已啟用
    深入了解

    • Scriptlet
      基準預設值: 停用
  • 允許透過文稿更新狀態列
    基準預設值: 已啟用
    深入了解

    • 透過腳本更新狀態列
      基準預設值: 停用
  • 允許 VBScript 在 Internet Explorer 中執行
    基準預設值: 已啟用
    深入了解

    • 允許 VBScript 在 Internet Explorer 中執行
      基準預設值: 停用
  • 自動提示檔案下載
    基準預設值: 已啟用
    深入了解

    • 自動提示檔案下載
      基準預設值: 停用
  • 不要對 ActiveX 控制件執行反惡意程式碼程式
    基準預設值: 已啟用
    深入了解

    • 不要對 ActiveX 控制件執行反惡意程式碼程式
      基準預設值: 停用
  • 下載已簽署的ActiveX控制件
    基準預設值: 已啟用
    深入了解

    • 下載已簽署的ActiveX控制件
      基準預設值: 停用
  • 下載未簽署的ActiveX控制件
    基準預設值: 已啟用
    深入了解

    • 下載未簽署的ActiveX控制件
      基準預設值: 停用
  • 啟用跨視窗從不同網域拖曳內容的功能
    基準預設值: 已啟用
    深入了解

    • 啟用跨視窗從不同網域拖曳內容的功能
      基準預設值: 停用
  • 允許從視窗內的不同網域拖曳內容
    基準預設值: 已啟用
    深入了解

    • 允許從視窗內的不同網域拖曳內容
      基準預設值: 停用
  • 當使用者將檔案上傳至伺服器時包含本機路徑
    基準預設值: 已啟用
    深入了解

    • 將檔案上傳至伺服器時包含本機目錄路徑
      基準預設值: 停用
  • 初始化未標示為安全的 ActiveX 控制件並編寫腳本
    基準預設值: 已啟用
    深入了解

    • 初始化未標示為安全的 ActiveX 控制件並編寫腳本
      基準預設值: 停用
  • Java 許可權
    基準預設值: 已啟用
    深入了解

    • Java 許可權
      基準預設值: 停用Java
  • 在 IFRAME 中啟動應用程式和檔案
    基準預設值: 已啟用
    深入了解

    • 在 IFRAME 中啟動應用程式和檔案
      基準預設值: 停用
  • 登入選項
    基準預設值: 已啟用
    深入了解

    • 登入選項
      基準預設值: 提示輸入使用者名稱和密碼
  • 跨不同網域巡覽窗口和畫面
    基準預設值: 已啟用
    深入了解

    • 跨不同網域巡覽窗口和畫面
      基準預設值: 停用
  • 執行未使用 Authenticode 簽署的 .NET Framework 相依元件
    基準預設值: 已啟用
    深入了解

    • 執行未使用 Authenticode 簽署的 .NET Framework 相依元件
      基準預設值: 停用
  • 執行使用 Authenticode 簽署的 .NET Framework 相依元件
    基準預設值: 已啟用
    深入了解

    • 執行使用 Authenticode 簽署的 .NET Framework 相依元件
      基準預設值: 停用
  • 顯示潛在不安全檔案的安全性警告
    基準預設值: 已啟用
    深入了解

    • 啟動程式和不安全的檔案
      基準預設值: 提示
  • 開啟跨網站腳本篩選
    基準預設值: 已啟用
    深入了解

    • 開啟跨網站文稿 (XSS) 篩選
      基準預設值: 啟用
  • 開啟受保護模式
    基準預設值: 已啟用
    深入了解

    • 受保護模式
      基準預設值: 啟用
  • 開啟 SmartScreen 篩選掃描
    基準預設值: 已啟用
    深入了解

    • 使用 SmartScreen 篩選
      基準預設值: 啟用
  • 使用快顯封鎖程式
    基準預設值: 已啟用
    深入了解

    • 使用快顯封鎖程式
      基準預設值: 啟用
  • Userdata 持續性
    基準預設值: 已啟用
    深入了解

    • Userdata 持續性
      基準預設值: 停用
  • 較低許可權的 Web 內容區域中的網站可以流覽至此區域
    基準預設值: 已啟用
    深入了解

    • 較低許可權的 Web 內容區域中的網站可以流覽至此區域
      基準預設值: 停用

Windows 元件 > Internet Explorer > 因特網 控制台 > 安全性頁面

  • 內部網路網站:包含所有網路路徑 (UNC)
    基準預設值: 已停用
    深入了解

  • 開啟憑證位址不符警告
    基準預設值: 已啟用
    深入了解

Windows 元件 > Internet Explorer > 因特網 控制台 > 安全性頁面>內部網路區域

  • 不要對 ActiveX 控制件執行反惡意程式碼程式
    基準預設值: 已啟用
    深入了解

    • 不要對 ActiveX 控制件執行反惡意程式碼程式
      基準預設值: 停用
  • 初始化未標示為安全的 ActiveX 控制件並編寫腳本
    基準預設值: 已啟用
    深入了解

    • 初始化未標示為安全的 ActiveX 控制件並編寫腳本
      基準預設值: 停用
  • Java 許可權
    基準預設值: 已啟用
    深入了解

    • Java 許可權
      基準預設值: 高安全性

Windows 元件 > Internet Explorer > 因特網 控制台 > 安全性頁面>本機計算機區域

  • 不要對 ActiveX 控制件執行反惡意程式碼程式
    基準預設值: 已啟用
    深入了解

    • 不要對 ActiveX 控制件執行反惡意程式碼程式
      基準預設值: 停用
  • Java 許可權
    基準預設值: 已啟用
    深入了解

    • Java 許可權
      基準預設值: 停用Java

Windows 元件 > Internet Explorer > 因特網 控制台 > 安全性頁面>鎖定因特網區域

  • 開啟 SmartScreen 篩選掃描
    基準預設值: 已啟用
    深入了解
    • 使用 SmartScreen 篩選
      基準預設值: 啟用

Windows 元件 > Internet Explorer > 因特網 控制台 > 安全性頁面>鎖定內部網路區域

  • Java 許可權
    基準預設值: 已啟用
    深入了解
    • Java 許可權
      基準預設值: 停用Java

Windows 元件 > Internet Explorer > 因特網 控制台 > 安全性頁面>鎖定本機計算機區域

  • Java 許可權
    基準預設值: 已啟用
    深入了解
    • Java 許可權
      基準預設值: 停用Java

Windows 元件 > Internet Explorer > 因特網 控制台 > 安全性頁面>鎖定受限制的網站區域

  • Java 許可權
    基準預設值: 已啟用
    深入了解

    • Java 許可權
      基準預設值: 停用Java
  • 開啟 SmartScreen 篩選掃描
    基準預設值: 已啟用
    深入了解

    • 使用 SmartScreen 篩選
      基準預設值: 啟用

Windows 元件 > Internet Explorer > 因特網 控制台 > 安全性頁面>鎖定信任的網站區域

  • Java 許可權
    基準預設值: 已啟用
    深入了解
    • Java 許可權
      基準預設值: 停用Java

Windows 元件 > Internet Explorer > 因特網 控制台 安全性>頁面>限制的網站區域

  • 跨網域存取數據源
    基準預設值: 已啟用
    深入了解

    • 跨網域存取數據源
      基準預設值: 停用
  • 允許使用中腳本
    基準預設值: 已啟用
    深入了解

    • 允許使用中腳本
      基準預設值: 停用
  • 允許二進位和腳本行為
    基準預設值: 已啟用
    深入了解

    • 允許二進位和腳本行為
      基準預設值: 停用
  • 允許透過文稿從剪貼簿進行剪下、複製或貼上作業
    基準預設值: 已啟用
    深入了解

    • 允許透過腳本進行貼上作業
      基準預設值: 停用
  • 允許拖放或複製及貼上檔案
    基準預設值: 已啟用
    深入了解

    • 允許拖放或複製及貼上檔案
      基準預設值: 停用
  • 允許檔案下載
    基準預設值: 已啟用
    深入了解

    • 允許檔案下載
      基準預設值: 停用
  • 允許載入 XAML 檔案
    基準預設值: 已啟用
    深入了解

    • XAML 檔案
      基準預設值: 停用
  • 允許META重新整理
    基準預設值: 已啟用
    深入了解

    • 允許META重新整理
      基準預設值: 停用
  • 只允許核准的網域在不提示的情況下使用 ActiveX 控件
    基準預設值: 已啟用
    深入了解

    • 只允許核准的網域在不提示的情況下使用 ActiveX 控件
      基準預設值: 啟用
  • 只允許核准的網域使用 TDC ActiveX 控制件
    基準預設值: 已啟用
    深入了解

    • 只允許核准的網域使用 TDC ActiveX 控制件
      基準預設值: 啟用
  • 允許文本起始的視窗不含大小或位置條件約束
    基準預設值: 已啟用
    深入了解

    • 允許文本起始的視窗不含大小或位置條件約束
      基準預設值: 停用
  • 允許編寫 Internet Explorer WebBrowser 控件的腳本
    基準預設值: 已啟用
    深入了解

    • Internet Explorer 網頁瀏覽器控件
      基準預設值: 停用
  • 允許腳本
    基準預設值: 已啟用
    深入了解

    • Scriptlet
      基準預設值: 停用
  • 允許透過文稿更新狀態列
    基準預設值: 已啟用
    深入了解

    • 透過腳本更新狀態列
      基準預設值: 停用
  • 允許 VBScript 在 Internet Explorer 中執行
    基準預設值: 已啟用
    深入了解

    • 允許 VBScript 在 Internet Explorer 中執行
      基準預設值: 停用
  • 自動提示檔案下載
    基準預設值: 已啟用
    深入了解

    • 自動提示檔案下載
      基準預設值: 停用
  • 不要對 ActiveX 控制件執行反惡意程式碼程式
    基準預設值: 已啟用
    深入了解

    • 不要對 ActiveX 控制件執行反惡意程式碼程式
      基準預設值: 停用
  • 下載已簽署的ActiveX控制件
    基準預設值: 已啟用
    深入了解

    • 下載已簽署的ActiveX控制件
      基準預設值: 停用
  • 下載未簽署的ActiveX控制件
    基準預設值: 已啟用
    深入了解

    • 下載未簽署的ActiveX控制件
      基準預設值: 停用
  • 啟用跨視窗從不同網域拖曳內容的功能
    基準預設值: 已啟用
    深入了解

    • 啟用跨視窗從不同網域拖曳內容的功能
      基準預設值: 停用
  • 允許從視窗內的不同網域拖曳內容
    基準預設值: 已啟用
    深入了解

    • 允許從視窗內的不同網域拖曳內容
      基準預設值: 停用
  • 當使用者將檔案上傳至伺服器時包含本機路徑
    基準預設值: 已啟用
    深入了解

    • 將檔案上傳至伺服器時包含本機目錄路徑
      基準預設值: 停用
  • 初始化未標示為安全的 ActiveX 控制件並編寫腳本
    基準預設值: 已啟用
    深入了解

    • 初始化未標示為安全的 ActiveX 控制件並編寫腳本
      基準預設值: 停用
  • Java 許可權
    基準預設值: 已啟用
    深入了解

    • Java 許可權
      基準預設值: 停用Java
  • 在 IFRAME 中啟動應用程式和檔案
    基準預設值: 已啟用
    深入了解

    • 在 IFRAME 中啟動應用程式和檔案
      基準預設值: 停用
  • 登入選項
    基準預設值: 已啟用
    深入了解

    • 登入選項
      基準預設值: 匿名登入
  • 跨不同網域巡覽窗口和畫面
    基準預設值: 已啟用
    深入了解

    • 跨不同網域巡覽窗口和畫面
      基準預設值: 停用
  • 執行 .NET Framework 相依於未使用 Authenticode 簽署的元件
    基準預設值: 已啟用
    深入了解

    • 執行 .NET Framework 相依於未使用 Authenticode 簽署的元件
      基準預設值: 停用
  • 執行以 Authenticode 簽署的 .NET Framework 相依元件
    基準預設值: 已啟用
    深入了解

    • 執行以 Authenticode 簽署的 .NET Framework 相依元件
      基準預設值: 停用
  • 執行 ActiveX 控制件和外掛程式
    基準預設值: 已啟用
    深入了解

    • 執行 ActiveX 控制件和外掛程式
      基準預設值: 停用
  • 將標示為安全腳本的 ActiveX 控制件編寫腳本
    基準預設值: 已啟用
    深入了解

    • 將標示為安全腳本的 ActiveX 控制件編寫腳本
      基準預設值: 停用
  • Java 小程式的腳本
    基準預設值: 已啟用
    深入了解

    • Java 小程式的腳本
      基準預設值: 停用
  • 顯示潛在不安全檔案的安全性警告
    基準預設值: 已啟用
    深入了解

    • 啟動程式和不安全的檔案
      基準預設值: 停用
  • 開啟跨網站腳本篩選
    基準預設值: 已啟用
    深入了解

    • 開啟跨網站文稿 (XSS) 篩選
      基準預設值: 已啟用
  • 開啟受保護模式
    基準預設值: 已啟用
    深入了解

    • 受保護模式
      基準預設值: 已啟用
  • 開啟 SmartScreen 篩選掃描
    基準預設值: 已啟用
    深入了解

    • 使用 SmartScreen 篩選
      基準預設值: 已啟用
  • 使用快顯封鎖程式
    基準預設值: 已啟用
    深入了解

    • 使用快顯封鎖程式
      基準預設值: 已啟用
  • Userdata 持續性
    基準預設值: 已啟用
    深入了解

    • Userdata 持續性
      基準預設值: 停用
  • 較低許可權的 Web 內容區域中的網站可以流覽至此區域
    基準預設值: 已啟用
    深入了解

    • 較低許可權的 Web 內容區域中的網站可以流覽至此區域
      基準預設值: 停用

Windows 元件 > Internet Explorer > 因特網 控制台 > 安全性頁面>信任的網站區域

  • 不要對 ActiveX 控制件執行反惡意程式碼程式
    基準預設值: 已啟用
    深入了解

    • 不要對 ActiveX 控制件執行反惡意程式碼程式
      基準預設值: 停用
  • 初始化未標示為安全的 ActiveX 控制件並編寫腳本
    基準預設值: 已啟用
    深入了解

    • 初始化未標示為安全的 ActiveX 控制件並編寫腳本
      基準預設值: 停用
  • Java 許可權
    基準預設值: 已啟用
    深入了解

    • Java 許可權
      基準預設值: 高安全性

Windows 元件 > Internet Explorer

  • 防止略過 SmartScreen 篩選工具警告
    基準預設值: 已啟用
    深入了解

  • 避免略過不常從因特網下載之檔案的SmartScreen篩選工具警告
    基準預設值: 已啟用
    深入了解

  • 防止管理 SmartScreen 篩選
    基準預設值: 已啟用
    深入了解

    • 選取 SmartScreen 篩選模式
      基準預設值: 開啟
  • 防止個別使用者安裝 ActiveX 控制件
    基準預設值: 已啟用
    深入了解

  • 安全性區域:不允許使用者新增/刪除網站
    基準預設值: 已啟用
    深入了解

  • 安全性區域:不允許使用者變更原則
    基準預設值: 已啟用
    深入了解

  • 安全性區域:僅使用計算機設定
    基準預設值: 已啟用
    深入了解

  • 指定使用 ActiveX Installer Service 安裝 ActiveX 控制件
    基準預設值: 已啟用
    深入了解

  • 關閉損毀偵測
    基準預設值: 已啟用
    深入了解

  • 關閉安全性設定檢查功能
    基準預設值: 已停用
    深入了解

  • 開啟表單上使用者名稱和密碼的自動完成功能 (使用者)
    基準預設值: 已停用
    深入了解

Windows 元件 > Internet Explorer > 安全性功能 > 附加元件管理

  • 在 Internet Explorer 中移除過時 ActiveX 控件的 [這次執行] 按鈕
    基準預設值: 已啟用
    深入了解

  • 針對 Internet Explorer 關閉封鎖過時的 ActiveX 控制件
    基準預設值: 已停用
    深入了解

Windows 元件 > Internet Explorer > 安全性功能

  • 允許後援至 SSL 3.0 (Internet Explorer)
    基準預設值: 已啟用
    深入了解
    • 允許下列專案的不安全後援:
      基準預設值: 沒有網站

Windows 元件 > Internet Explorer > 安全性功能 > 一致的 Mime 處理

  • Internet Explorer 進程
    基準預設值: 已啟用
    深入了解

Windows 元件 > Internet Explorer > 安全性功能 > Mime 探查安全功能

  • Internet Explorer 進程
    基準預設值: 已啟用
    深入了解

Windows 元件 > Internet Explorer > 安全性功能 > MK 通訊協定安全性限制

  • Internet Explorer 進程
    基準預設值: 已啟用
    深入了解

Windows 元件 > Internet Explorer > 安全性功能 > 通知列

  • Internet Explorer 進程
    基準預設值: 已啟用
    深入了解

Windows 元件 > Internet Explorer > 安全性功能 > 從區域提高許可權保護

  • Internet Explorer 進程
    基準預設值: 已啟用
    深入了解

Windows 元件 > Internet Explorer > 安全性功能 > 限制 ActiveX 安裝

  • Internet Explorer 進程
    基準預設值: 已啟用
    深入了解

Windows 元件 > Internet Explorer > 安全性功能 > 限制檔案下載

  • Internet Explorer 進程
    基準預設值: 已啟用
    深入了解

Windows 元件 > Internet Explorer > 安全性功能 > 腳本視窗安全性限制

  • Internet Explorer 進程
    基準預設值: 已啟用
    深入了解

Windows 元件 > Microsoft Defender 防病毒軟體 > MAPS

  • 設定「第一次看見時封鎖」功能
    基準預設值: 已啟用
    深入了解

Windows 元件 > Microsoft Defender 防病毒軟體>即時保護

  • 每當啟用即時保護時,開啟進程掃描
    基準預設值: 已啟用
    深入了解

Windows 元件 > Microsoft Defender 防病毒軟體>掃描

  • 掃描封裝的可執行檔
    基準預設值: 已啟用
    深入了解

Windows 元件 > Microsoft Defender 防病毒軟體

  • 關閉例行補救
    基準預設值: 已停用
    深入了解

Windows 元件 > 遠端桌面服務 > 遠端桌面連線用戶端

  • 不允許儲存密碼
    基準預設值: 已啟用
    深入了解

Windows 元件 > 遠端桌面服務 > 遠端桌面會話主機 > 裝置和資源重新導向

  • 不允許磁碟機重新導向
    基準預設值: 已啟用
    深入了解

Windows 元件 > 遠端桌面服務 > 遠端桌面會話主機 > 安全性

  • 線上時一律提示輸入密碼
    基準預設值: 已啟用
    深入了解

  • 需要安全的 RPC 通訊
    基準預設值: 已啟用
    深入了解

  • 設定客戶端連線加密層級
    基準預設值: 已啟用
    深入了解

    • 加密層級
      基準預設值: 高階

Windows 元件 > RSS 摘要

  • 防止下載機箱
    基準預設值: 已啟用
    深入了解

Windows 元件 > Windows 登入選項

  • 重新啟動後自動登入並鎖定最後一個互動式使用者
    基準預設值: 已停用
    深入了解

Windows 元件 > Windows PowerShell

  • 開啟 PowerShell 腳本區塊記錄
    基準預設值: 已啟用
    深入了解
    • 記錄文稿區塊調用開始/停止事件:
      基準預設值: False

Windows 元件 > Windows 遠端管理 (WinRM) > WinRM 用戶端

  • 允許基本身份驗證
    基準預設值: 已停用
    深入了解

  • 允許未加密的流量
    基準預設值: 已停用
    深入了解

  • 不允許摘要式驗證
    基準預設值: 已啟用
    深入了解

Windows 元件 > Windows 遠端管理 (WinRM) > WinRM 服務

  • 允許基本身份驗證
    基準預設值: 已停用
    深入了解

  • 允許未加密的流量
    基準預設值: 已停用
    深入了解

  • 不允許 WinRM 儲存 RunAs 認證
    基準預設值: 已啟用
    深入了解

稽核

  • 帳戶登入稽核認證驗證
    基準預設值: 成功+ 失敗
    深入了解

  • 帳戶登入註銷稽核帳戶鎖定
    基準預設值: 失敗
    深入了解

  • 帳戶登入註銷稽核群組成員資格
    基準預設值: 成功
    深入了解

  • 帳戶登入註銷稽核登入
    基準預設值: 成功+ 失敗
    深入了解

  • 稽核驗證原則變更
    基準預設值: 成功
    深入了解

  • 稽核審核策略的變更
    基準預設值: 成功
    深入了解

  • 稽核檔案共享存取
    基準預設值: 成功+ 失敗
    深入了解

  • 稽核其他登入註銷事件
    基準預設值: 成功+ 失敗
    深入了解

  • 稽核安全組管理
    基準預設值: 成功
    深入了解

  • 稽核安全性系統延伸模組
    基準預設值: 成功
    深入了解

  • 稽核特殊登入
    基準預設值: 成功
    深入了解

  • 稽核用戶帳戶管理
    基準預設值: 成功+ 失敗
    深入了解

  • 詳細的追蹤稽核 PNP 活動
    基準預設值: 成功
    深入了解

  • 詳細的追蹤稽核程式建立
    基準預設值: 成功
    深入了解

  • 物件存取稽核詳細檔案共用
    基準預設值: 失敗
    深入了解

  • 物件存取稽核其他物件存取事件
    基準預設值: 成功+ 失敗
    深入了解

  • 物件存取稽核卸除式記憶體
    基準預設值: 成功+ 失敗
    深入了解

  • 原則變更稽核 MPSSVC 規則層級原則變更
    基準預設值: 成功+ 失敗
    深入了解

  • 原則變更稽核其他原則變更事件
    基準預設值: 失敗
    深入了解

  • 許可權使用稽核敏感性許可權使用
    基準預設值: 成功
    深入了解

  • 系統稽核其他系統事件
    基準預設值: 成功+ 失敗
    深入了解

  • 系統稽核安全性狀態變更
    基準預設值: 成功
    深入了解

  • 系統稽核系統完整性
    基準預設值: 成功+ 失敗
    深入了解

資料保護

  • 允許直接記憶體存取
    基準預設值: 封鎖
    深入了解

守衛者

  • 允許封存掃描
    基準預設值: 允許。掃描封存盤案。
    深入了解

  • 允許行為監視
    基準預設值: 允許。開啟實時行為監視。
    深入了解

  • 允許雲端保護
    基準預設值: 允許。開啟雲端保護。
    深入了解

  • 允許完整掃描卸載式磁碟驅動器掃描
    基準預設值: 允許。掃描卸載式磁碟驅動器。
    深入了解

  • 允許存取保護
    基準預設值: 允許。
    深入了解

  • 允許即時監視
    基準預設值: 允許。開啟並執行即時監視服務。
    深入了解

  • 允許掃描所有下載的檔案和附件
    基準預設值: 允許。
    深入了解

  • 允許文稿掃描
    基準預設值: 允許。
    深入了解

    • 封鎖可能經過模糊化的指令碼的執行
      基準預設值: 封鎖
      深入了解

    • 封鎖來自 Office 巨集的 Win32 API 呼叫
      基準預設值: 封鎖
      深入了解

    • 封鎖 Office 通訊應用程式使其無法建立子程序
      基準預設值: 封鎖
      深入了解

    • 封鎖所有 Office 應用程式使其無法建立子程序
      基準預設值: 封鎖
      深入了解

    • 封鎖 Adobe Reader 使其無法建立子程序
      基準預設值: 封鎖
      深入了解

    • 封鎖從 Windows 本機安全性授權子系統竊取認證
      基準預設值: 封鎖
      深入了解

    • 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容
      基準預設值: 封鎖
      深入了解

    • 封鎖從 USB 執行的未受信任與未簽署程序
      基準預設值: 封鎖
      深入了解

    • 封鎖 Office 應用程式使其無法建立可執行的內容
      基準預設值: 封鎖
      深入了解

    • 封鎖 Office 應用程式使其無法將程式碼插入其他程序
      基準預設值: 封鎖
      深入了解

    • 封鎖來自電子郵件用戶端和 Web 郵件的可執行內容
      基準預設值: 封鎖
      深入了解

  • 雲端封鎖層級
    基準預設值:
    深入了解

  • 雲端延伸逾時
    基準預設值: 已設定
    值: 50
    深入了解

  • 停用本機 管理員 合併
    基準預設值:停用本機 管理員 合併
    深入了解

  • 啟用檔案哈希計算
    基準預設值: 啟用深入瞭解

  • 啟用網路保護
    基準預設值: 啟用 (區塊模式)
    深入了解

  • 隱藏本機系統管理員的排除專案
    基準預設值:如果您啟用此設定,本機系統管理員將無法再看到 Windows 安全性 應用程式或透過PowerShell排除清單。
    深入了解

  • PUA 保護
    基準預設值: PUA 保護開啟。已封鎖偵測到的專案。它們會與其他威脅一起顯示在歷程記錄中。
    深入了解

  • 實時掃描方向
    基準預設值: 監視雙向) (的所有檔案。
    深入了解

  • 提交範例同意
    基準預設值: 自動傳送所有範例。
    深入了解

Device Guard

  • 設定 系統防護 啟動
    基準預設值: 如果硬體支援,Unmanaged 會啟用安全啟動
    深入了解

  • Credential Guard
    基準預設值: (啟用 UEFI 鎖定) 開啟具有 UEFI 鎖定的 Credential Guard。
    深入了解

  • 啟用虛擬化型安全性
    基準預設值: 啟用虛擬化型安全性。
    深入了解

  • 需要平台安全性功能
    基準預設值: 使用安全開機開啟 VBS。
    深入了解

裝置鎖定

  • 已啟用裝置密碼
    基準預設值: 已啟用
    深入了解

    • 裝置密碼歷程記錄
      基準預設值: 已設定
      值: 24
      深入了解

    • 裝置密碼長度下限
      基準預設值: 已設定
      值: 14
      深入了解

Dma Guard

  • 裝置列舉原則
    基準預設值: 封鎖所有 (限制最嚴格的)
    深入了解

體驗

  • 允許 Windows 焦點 (使用者)
    基準預設值: 允許
    深入了解

    • 允許 Windows 取用者功能
      基準預設值: 允許
      深入了解

    • 允許 Windows 焦點中的第三方建議 (使用者)
      基準預設值: 封鎖
      深入了解

防火牆

  • 啟用網域網路防火牆
    基準預設值: True
    深入了解

    • 啟用記錄卸除封包
      基準預設值: 啟用已卸除封包的記錄
      深入了解

    • 默認輸出動作
      基準預設值: 允許
      深入了解

    • 停用輸入通知
      基準預設值: True
      深入了解

    • 記錄檔大小上限
      基準預設值: 已設定
      值: 16384
      深入了解

    • 網域配置檔的預設輸入動作
      基準預設值: 封鎖
      深入了解

    • 啟用記錄成功 Connections
      基準預設值:啟用成功 Connections 的記錄
      深入了解

  • 啟用專用網防火牆
    基準預設值: True
    深入了解

    • 記錄檔大小上限
      基準預設值: 已設定
      值: 16384
      深入了解

    • 私人配置檔的預設輸入動作
      基準預設值: 封鎖
      深入了解

    • 啟用記錄成功 Connections
      基準預設值:啟用成功 Connections 的記錄
      深入了解

    • 啟用記錄卸除封包
      基準預設值: 啟用已卸除封包的記錄
      深入了解

    • 停用輸入通知
      基準預設值: True
      深入了解

    • 默認輸出動作
      基準預設值: 允許
      深入了解

  • 啟用公用網路防火牆
    基準預設值: True
    深入了解

    • 啟用記錄卸除封包
      基準預設值: 啟用已卸除封包的記錄
      深入了解

    • 記錄檔大小上限
      基準預設值: 已設定
      值: 16384
      深入了解

    • 默認輸出動作
      基準預設值: 允許
      深入了解

    • 停用輸入通知
      基準預設值: True
      深入了解

    • 允許本機原則合併
      基準預設值: False
      深入了解

    • 公用配置檔的預設輸入動作
      基準預設值: 封鎖
      深入了解

    • 啟用記錄成功 Connections
      基準預設值:啟用成功 Connections 的記錄
      深入了解

    • 允許本機 Ipsec 原則合併
      基準預設值: False
      深入了解

Lanman 工作站

  • 啟用不安全的來賓登入
    基準預設值: 已停用
    深入了解

本機安全性授權單位

  • 設定 Lsa 受保護的進程
    基準預設值: 啟用 UEFI 鎖定。LSA 會以受保護的進程執行,且此設定已鎖定 UEFI。
    深入了解

Microsoft App Store

  • 允許遊戲 DVR
    基準預設值: 封鎖
    深入了解

  • MSI 允許使用者控制安裝
    基準預設值: 已停用
    深入了解

  • MSI 一律以提高的許可權安裝
    基準預設值: 已停用
    深入了解

Microsoft Edge

內容設定

  • 預設 Adobe Flash 設定
    基準預設值: 已停用

  • 使用者) (Adobe Flash 預設設定
    基準預設值: 已停用

  • 已啟用最低 TLS 版本
    基準預設值: 已啟用

    • (裝置) 啟用的最低 TLS 版本
      基準預設值: TlS 1.2
  • (使用者) 啟用的最低 TLS 版本
    基準預設值: 已啟用

    • (使用者) 啟用的最低 TLS 版本
      基準預設值: TLS 1.2

SmartScreen 設定

  • 設定 Microsoft Defender SmartScreen
    基準預設值: 已啟用

  • 防止略過 Microsoft Defender 網站的 SmartScreen 提示
    基準預設值: 已啟用

隱私權

  • 讓應用程式啟用語音高於鎖定
    基準預設值: 強制拒絕。當畫面鎖定時,無法透過語音啟動 Windows 應用程式,而且使用者無法變更它。
    深入了解
  • 允許索引加密的存放區或專案
    基準預設值: 封鎖
    深入了解

智能螢幕

  • 在殼層中啟用智能螢幕
    基準預設值: 已啟用
    深入了解

  • 防止在殼層中覆寫檔案
    基準預設值: 已啟用
    深入了解

增強的網路釣魚保護

  • 通知惡意
    基準預設值: 已啟用

  • 通知密碼重複使用
    基準預設值: 已啟用

  • 通知不安全的應用程式
    基準預設值: 已啟用

  • 服務已啟用
    基準預設值: 已啟用

使用者權限

  • 從網路存取
    基準預設值: 已設定

  • 允許本機登入
    基準預設值: 已設定

  • 備份文件和目錄
    基準預設值: 已設定
    值:

  • 建立全域物件
    基準預設值: 已設定

  • 建立頁面檔
    基準預設值: 已設定
    值:

  • 偵錯程式
    基準預設值: 已設定
    值:

  • 拒絕從網路存取
    基準預設值: 已設定
    值:

  • 拒絕遠端桌面服務登入
    基準預設值: 已設定
    值:

  • 模擬用戶端
    基準預設值: 已設定

  • 載入卸除設備驅動器
    基準預設值: 已設定
    值:

  • 管理稽核和安全性記錄
    基準預設值: 已設定
    值:

  • 管理磁碟區
    基準預設值: 已設定
    值:

  • 修改韌體環境
    基準預設值: 已設定
    值:

  • 配置檔單一進程
    基準預設值: 已設定
    值:

  • 遠端關機
    基準預設值: 已設定
    值:

  • 還原檔案和目錄
    基準預設值: 已設定
    值:

  • 取得擁有權
    基準預設值: 已設定
    值:

虛擬化技術

  • Hypervisor 強制程序代碼完整性
    基準預設值: (啟用 UEFI 鎖定) 開啟 UEFI 鎖定的 Hypervisor-Protected 程式代碼完整性。
    深入了解

Windows Ink 工作區

  • 允許 Windows Ink 工作區
    基準預設值: 啟用筆跡工作區 (功能已開啟) ,但使用者無法在鎖定畫面上方存取。
    深入了解

本機原則安全性選項

  • 帳戶將空白密碼的本機帳戶使用限制為僅限控制台登入
    基準預設值: 已啟用
    深入了解

  • 互動式登錄機器閑置限制
    基準預設值: 已設定
    值: 900
    深入了解

  • 互動式登錄智慧卡移除行為
    基準預設值: 鎖定工作站
    深入了解

  • Microsoft Network Client Digitally Sign Communications Always
    基準預設值: 啟用
    深入了解

  • Microsoft網路用戶端將未加密的密碼傳送至第三方 SMB 伺服器
    基準預設值: 停用
    深入了解

  • Microsoft網路伺服器一律數字簽署通訊
    基準預設值: 啟用
    深入了解

  • 網路存取不允許匿名列舉 SAM 帳戶
    基準預設值: 已啟用
    深入了解

  • 網路存取不允許匿名列舉 Sam 帳戶和共用
    基準預設值: 已啟用
    深入了解

  • 網路存取限制命名管道和共用的匿名存取
    基準默認 啟用深入瞭解

  • 網路存取限制允許用戶端對SAM進行遠端呼叫
    基準預設值: 已設定
    值: O:BAG:BAD: (A;;鋼筋混凝土;;;BA)
    深入了解

  • 網路安全性不會在下一次密碼變更時儲存 LAN 管理員哈希值
    基準預設值: 啟用
    深入了解

  • 網路安全性 LAN Manager 驗證層級
    基準預設值: 僅傳送 LM 和 NTLMv2 回應。拒絕 LM 和 NTLM
    深入了解

  • NTLMSSP 型用戶端的網路安全性最小會話安全性
    基準預設值: 需要 NTLM 和 128 位加密
    深入了解

  • NTLMSSP 伺服器的網路安全性最小會話安全性
    基準預設值: 需要 NTLM 和 128 位加密
    深入了解

  • 系統管理員提高許可權提示的用戶帳戶控制行為
    基準預設值: 在安全桌面上提示同意
    深入了解

  • 標準使用者提高許可權提示的用戶帳戶控制行為
    基準預設值: 自動拒絕提高許可權要求
    深入了解

  • 用戶帳戶控制偵測應用程式安裝並提示提高許可權
    基準預設值: 啟用深入瞭解

  • 用戶帳戶控制只會提高安裝在安全位置的 UI 存取應用程式
    基準預設值: 已啟用:只有在應用程式位於安全的位置時,應用程式才會以UIAccess完整性執行。瞭解更多資訊

  • 用戶帳戶控制以 管理員 核准模式執行所有系統管理員
    基準預設值: 已啟用
    深入了解

  • 用戶帳戶控制使用 管理員 核准模式
    基準預設值: 啟用
    深入了解

  • 用戶帳戶控制虛擬化每個使用者位置的檔案和登錄寫入失敗
    基準預設值: 已啟用
    深入了解

Windows 365 雲端電腦 2021 年 11 月的安全性基準

高於鎖定

  • 語音會從鎖定的畫面啟用應用程式
    基準預設值: 已停用
    深入了解

  • 封鎖快顯通知的顯示
    基準預設值:
    深入了解

應用程式運行時間

  • Microsoft Microsoft市集應用程式的選擇性帳戶
    基準預設值: 已啟用
    深入了解

應用程式管理

  • 以更高的權限封鎖應用程式安裝
    基準預設值:
    深入了解

  • 封鎖使用者對安裝的控制
    基準預設值:
    深入了解

  • 只有) 封鎖桌面 (遊戲 DVR
    基準預設值:
    深入了解

受攻擊面縮小規則

如需一般資訊,請 參閱瞭解受攻擊面縮小規則

  • 封鎖 Office 通訊應用程式建立子進程
    基準預設值: 啟用
    深入了解

  • 禁止 Adobe 讀取器建立子行程
    基準預設值: 啟用
    深入了解

  • 禁止 Office 應用程式將程式代碼插入其他行程
    基準預設值: 封鎖
    深入了解

  • 封鎖 Office 應用程式建立可執行檔案內容
    基準預設值: 封鎖
    深入了解

  • 禁止 JavaScript 或 VBScript 啟動下載的可執行文件內容
    基準預設值: 封鎖
    深入了解

  • 開啟網路保護
    基準預設值: 啟用
    深入了解

  • 封鎖從 USB 執行的不受信任和未簽署的行程
    基準預設值: 封鎖
    深入了解

  • 封鎖從 Windows 本地安全機構子系統竊取認證 (lsass.exe)
    基準預設值: 啟用
    深入了解

  • 禁止所有 Office 應用程式建立子行程
    基準預設值: 封鎖
    深入了解

  • (js/vbs/ps) 封鎖可能模糊化的腳本執行
    基準預設值: 封鎖
    深入了解

  • 封鎖來自 Office 巨集 的 Win32 API 呼叫
    基準預設值: 封鎖
    深入了解

  • 封鎖從電子郵件和 Webmail 用戶端下載的可執行檔案內容
    基準預設值: 封鎖
    深入了解

稽核

稽核設定會設定針對設定條件所產生的事件。

  • 裝置) (帳戶登入稽核認證驗證
    基準預設值: 成功和失敗

  • 帳戶登入稽核 Kerberos 驗證服務 (裝置)
    基準預設值:

  • 裝置) (帳戶登入註銷稽核帳戶鎖定
    基準預設值: 失敗

  • 裝置) (帳戶登入註銷稽核群組成員資格
    基準預設值: 成功

  • 帳戶登入註銷稽核登入 (裝置)
    基準預設值: 成功和失敗

  • 稽核裝置) (其他登入註銷事件
    基準預設值: 成功和失敗

  • 稽核裝置) (特殊登入
    基準預設值: 成功

  • 稽核安全組管理 (裝置)
    基準預設值: 成功

  • 稽核裝置) (用戶帳戶管理
    基準預設值: 成功和失敗

  • 裝置) (詳細追蹤稽核 PNP 活動
    基準預設值: 成功

  • 詳細的追蹤稽核程式建立 (裝置)
    基準預設值: 成功

  • 物件存取稽核裝置) (詳細檔案分享
    基準預設值: 失敗

  • 稽核檔案共享存取 (裝置)
    基準預設值: 成功和失敗

  • 物件存取稽核裝置) (其他物件存取事件
    基準預設值: 成功和失敗

  • 物件存取稽核裝置) (卸除式記憶體
    基準預設值: 成功和失敗

  • 稽核裝置) (驗證原則變更
    基準預設值: 成功

  • 原則變更稽核 MPSSVC 規則層級原則變更 (裝置)
    基準預設值: 成功和失敗

  • 原則變更 稽核裝置) (其他原則變更事件
    基準預設值: 失敗

  • 稽核裝置) (審核策略變更
    基準預設值: 成功

  • 權限 使用稽核機密許可權 使用 (裝置)
    基準預設值: 成功和失敗

  • 系統稽核裝置) (的其他系統事件
    基準預設值: 成功和失敗

  • 裝置) (系統稽核安全性狀態變更
    基準預設值: 成功

  • 稽核裝置) (安全性系統延伸模組
    基準預設值: 成功

  • 裝置) (系統稽核系統完整性
    基準預設值: 成功和失敗

自動播放

  • 自動播放預設自動執行行為
    基準預設值: 不執行
    深入了解

  • 自動播放模式
    基準預設值: 已停用
    深入了解

  • 封鎖非磁碟區裝置的自動播放
    基準預設值: 已啟用
    深入了解

瀏覽器

  • 封鎖密碼管理員
    基準預設值:
    深入了解

  • 需要適用於 舊版 Microsoft Edge 的 SmartScreen
    基準預設值:
    深入了解

  • 封鎖惡意網站
    基準預設值:
    深入了解

  • 封鎖未經驗證的檔案下載
    基準預設值:
    深入了解

  • 防止使用者覆寫憑證錯誤
    基準預設值:
    深入了解

連線能力

  • 設定 UNC 路徑的安全存取
    基準預設值: 設定 Windows 在滿足其他安全性需求之後,只允許存取指定的 UNC 路徑
    深入了解

    • 強化的 UNC 路徑清單
      默認未設定。 手動新增一或多個強化的 UNC 路徑。
  • 封鎖透過 HTTP 下載列印驅動程式
    基準預設值: 已啟用
    深入了解

  • 封鎖 Web 發佈和在線訂購精靈的因特網下載
    基準預設值: 已啟用
    深入了解

認證委派

  • 不可匯出認證的遠端主機委派
    基準預設值: 已啟用
    深入了解

認證UI

  • 列舉系統管理員
    基準預設值: 已停用
    深入了解

Device Guard

  • 虛擬化型安全性
    基準預設值: 使用安全開機啟用 VBS

  • 啟用虛擬化型安全性
    基準預設值:
    深入了解

  • 啟動系統防護
    基準預設值: 已啟用

  • 開啟 Credential Guard
    基準預設值: 使用 UEFI 鎖定啟用
    深入了解

裝置安裝

  • 依安裝類別封鎖硬體裝置安裝
    基準預設值:
    深入了解
    • 拿掉相符的硬體裝置
      基準預設值:
    • 封鎖清單
      默認未設定。 手動新增一或多個標識碼。

DMA Guard

  • 列舉與 Kernel DMA Protection 不相容的外部裝置
    基準預設值: 全部封鎖

事件記錄檔服務

  • 以 KB 為單位的應用程式記錄檔大小上限
    基準預設值: 32768
    深入了解

  • 以 KB 為單位的系統記錄檔大小上限
    基準預設值: 32768
    深入了解

  • 以 KB 為單位的安全性記錄檔大小上限
    基準預設值: 196608
    深入了解

體驗

檔案總管

  • 封鎖數據執行防止
    基準預設值: 已停用
    深入了解

  • 在損毀時封鎖堆積終止
    基準預設值: 已停用
    深入了解

防火牆

如需詳細資訊,請參閱 Windows 通訊協定檔中的 2.2.2 FW_PROFILE_TYPE

  • 防火牆配置檔網域
    基準預設值: 設定
    深入了解

    • 已封鎖輸入連線
      基準預設值:
      深入了解

    • 需要輸出連線
      基準預設值:
      深入了解

    • 已封鎖輸入通知
      基準預設值:
      深入了解

    • 已啟用防火牆
      基準預設值: 允許
      深入了解

  • 防火牆配置檔私人
    基準預設值: 設定
    深入了解

    • 已封鎖輸入連線
      基準預設值:
      深入了解

    • 需要輸出連線
      基準預設值:
      深入了解

    • 已封鎖輸入通知
      基準預設值:
      深入了解

    • 已啟用防火牆
      基準預設值: 允許
      深入了解

  • 防火牆配置檔公用
    基準預設值: 設定
    深入了解

    • 已封鎖輸入連線
      基準預設值:
      深入了解

    • 需要輸出連線
      基準預設值:
      深入了解

    • 已封鎖輸入通知
      基準預設值:
      深入了解

    • 已啟用防火牆
      基準預設值: 允許
      深入了解

    • 來自群組原則的連線安全性規則未合併
      基準預設值:
      深入了解

    • 來自組策略的原則規則未合併
      基準預設值:
      深入了解

Internet Explorer

檢視 Internet Explorer CSP 的完整清單。

  • Internet Explorer 加密支援
    基準預設值:兩個專案: TLS v1.1TLS v1.2

    深入了解

  • Internet Explorer 防止管理智慧屏幕篩選
    基準預設值: 啟用
    深入了解

  • Internet Explorer 限制區域腳本標示為安全腳本的 Active X 控件
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域檔案下載
    基準預設值: 停用
    深入了解

  • Internet Explorer 憑證位址不符警告
    基準預設值: 停用
    深入了解

  • Internet Explorer 增強的受保護模式
    基準預設值: 停用
    深入了解

  • Internet Explorer 後援 SSL3
    基準預設值: 沒有月臺
    深入了解

  • 簽章無效時的 Internet Explorer 軟體
    基準預設值: 停用
    深入了解

  • Internet Explorer 檢查伺服器證書撤銷
    基準預設值: 啟用
    深入了解

  • Internet Explorer 檢查已下載程序的簽章
    基準預設值: 啟用
    深入了解

  • Internet Explorer 處理一致的MIME處理
    基準預設值: 啟用
    深入了解

  • Internet Explorer 略過智慧螢幕警告
    基準預設值: 停用
    深入了解

  • Internet Explorer 略過有關不常見檔案的智慧螢幕警告
    基準預設值: 停用
    深入了解

  • Internet Explorer 損毀偵測
    基準預設值: 停用
    深入了解

  • Internet Explorer 下載機箱
    基準預設值: 停用
    深入了解

  • Internet Explorer 忽略憑證錯誤
    基準預設值: 停用
    深入了解

  • Internet Explorer 在增強的受保護模式中停用進程
    基準預設值: 啟用
    深入了解

  • Internet Explorer 安全性設定檢查
    基準預設值: 已啟用
    深入了解

  • 受保護模式的 Internet Explorer Active X 控件
    基準預設值: 已停用
    深入了解

  • Internet Explorer 使用者新增網站
    基準預設值: 已停用
    深入了解

  • Internet Explorer 使用者變更原則
    基準預設值: 已停用
    深入了解

  • Internet Explorer 封鎖過時的 Active X 控件
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 包含所有網路路徑
    基準預設值: 已停用
    深入了解

  • Internet Explorer 因特網區域對數據源的存取
    基準預設值: 停用
    深入了解

  • Internet Explorer 因特網區域自動提示檔案下載
    基準預設值: 已停用
    深入了解

  • Internet Explorer 因特網區域透過腳本複製並貼上
    基準預設值: 停用
    深入了解

  • Internet Explorer 因特網區域拖放或複製及貼上檔案
    基準預設值: 停用
    深入了解

  • Internet Explorer 因特網區域較少特殊許可權的網站
    基準預設值: 停用
    深入了解

  • Internet Explorer 因特網區域載入 XAML 檔案
    基準預設值: 停用
    深入了解

  • Internet Explorer 因特網區域 .NET Framework 相依元件
    基準預設值: 停用
    深入了解

  • Internet Explorer 因特網區域只允許核准的網域使用 ActiveX 控制件
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 因特網區域只允許核准的網域使用 tdc ActiveX 控制件
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 因特網區域網頁瀏覽器控件的腳本
    基準預設值: 已停用
    深入了解

  • Internet Explorer 因特網區域腳本起始的視窗
    基準預設值: 已停用
    深入了解

  • Internet Explorer 因特網區域腳本
    基準預設值: 停用
    深入了解

  • Internet Explorer 因特網區域智能螢幕
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 因特網區域透過腳本更新狀態列
    基準預設值: 已停用
    深入了解

  • Internet Explorer 因特網區域用戶數據持續性
    基準預設值: 已停用
    深入了解

  • Internet Explorer 因特網區域可讓 VBscript 執行
    基準預設值: 停用
    深入了解

  • Internet Explorer 因特網區域不會對 ActiveX 控件執行反惡意程式碼軟體
    基準預設值: 已停用
    深入了解

  • Internet Explorer 因特網區域下載已簽署的 ActiveX 控制件
    基準預設值: 停用
    深入了解

  • Internet Explorer 因特網區域下載未簽署的 ActiveX 控制件
    基準預設值: 停用
    深入了解

  • Internet Explorer 因特網區域跨網站腳本篩選
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 因特網區域跨視窗從不同網域拖曳內容
    基準預設值: 已停用
    深入了解

  • Internet Explorer 因特網區域從視窗內的不同網域拖曳內容
    基準預設值: 已停用
    深入了解

  • Internet Explorer 因特網區域受保護模式
    基準預設值: 啟用
    深入了解

  • Internet Explorer 因特網區域在將檔案上傳至伺服器時包含本機路徑
    基準預設值: 已停用
    深入了解

  • Internet Explorer 因特網區域初始化未標示為安全的 Active X 控件並編寫腳本
    基準預設值: 停用
    深入了解

  • Internet Explorer 因特網區域 Java 許可權
    基準預設值: 停用java
    深入了解

  • Internet Explorer 因特網區域在 iframe 中啟動應用程式和檔案
    基準預設值: 停用
    深入了解

  • Internet Explorer 因特網區域登入選項
    基準預設值: 提示
    深入了解

  • Internet Explorer 因特網區域跨不同網域瀏覽窗口和畫面
    基準預設值: 停用
    深入了解

  • Internet Explorer 因特網區域會 .NET Framework 使用 Authenticode 簽署的相依元件執行
    基準預設值: 停用
    深入了解

  • Internet Explorer 因特網區域潛在不安全檔案的安全性警告
    基準預設值: 提示
    深入了解

  • Internet Explorer 因特網區域快顯封鎖程式
    基準預設值: 啟用
    深入了解

  • Internet Explorer 內部網路區域不會對 Active X 控件執行反惡意程式碼軟體
    基準預設值: 已停用
    深入了解

  • Internet Explorer 內部網路區域初始化未標示為安全的 Active X 控件並編寫腳本
    基準預設值: 停用
    深入了解

  • Internet Explorer 內部網路區域 Java 許可權
    基準預設值: 高安全性
    深入了解

  • Internet Explorer 本機計算機區域不會對 Active X 控制項執行反惡意程式碼軟體
    基準預設值: 已停用
    深入了解

  • Internet Explorer 本機計算機區域 Java 許可權
    基準預設值: 停用java
    深入了解

  • Internet Explorer 鎖定因特網區域智能螢幕
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 鎖定內部網路區域 Java 許可權
    基準預設值: 停用java
    深入了解

  • Internet Explorer 鎖定本機計算機區域 Java 許可權
    基準預設值: 停用java
    深入了解

  • Internet Explorer 鎖定的受限制區域智能螢幕
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 鎖定的受限制區域 Java 許可權
    基準預設值: 停用java
    深入了解

  • Internet Explorer 鎖定信任區域 Java 許可權
    基準預設值: 停用java
    深入了解

  • Internet Explorer 處理MIME探查安全功能
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 處理 MK 通訊協定安全性限制
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 處理通知列
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 防止每位使用者安裝 Active X 控件
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 處理來自區域提高許可權的保護
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 針對過時的 Active X 控件移除執行此時間按鈕
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 程式限制 Active X 安裝
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 限制區域對數據源的存取
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域作用中腳本
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域自動提示檔案下載
    基準預設值: 已停用
    深入了解

  • Internet Explorer 限制區域二進位檔和腳本行為
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域透過腳本複製並貼上
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域拖放或複製及貼上檔案
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域較少特殊許可權的網站
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域載入 XAML 檔案
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域中繼重新整理
    基準預設值: 已停用
    深入了解

  • Internet Explorer 限制區域 .NET Framework 相依元件
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域只允許核准的網域使用 Active X 控制件
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 限制區域只允許核准的網域使用 tdc Active X 控件
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 限制區域網頁瀏覽器控制件的腳本
    基準預設值: 已停用
    深入了解

  • Internet Explorer 限制區域腳本起始的視窗
    基準預設值: 已停用
    深入了解

  • Internet Explorer 限制區域腳本
    基準預設值: 已停用
    深入了解

  • Internet Explorer 限制區域智能螢幕
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 限制區域透過腳本更新狀態列
    基準預設值: 已停用
    深入了解

  • Internet Explorer 限制區域用戶數據持續性
    基準預設值: 已停用
    深入了解

  • Internet Explorer 限制區域允許執行 vbscript
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域不會對 Active X 控件執行反惡意程式碼軟體
    基準預設值: 已停用
    深入了解

  • Internet Explorer 限制區域下載已簽署的 Active X 控件
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域下載未簽署的 Active X 控件
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域跨網站腳本篩選
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 限制區域跨視窗從不同網域拖曳內容
    基準預設值: 已停用
    深入了解

  • Internet Explorer 限制區域從視窗內的不同網域拖曳內容
    基準預設值: 已停用
    深入了解

  • Internet Explorer 限制區域在將檔案上傳至伺服器時包含本機路徑
    基準預設值: 已停用
    深入了解

  • Internet Explorer 限制區域初始化未標示為安全的 Active X 控件並編寫腳本
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域 Java 許可權
    基準預設值: 停用java
    深入了解

  • Internet Explorer 限制區域啟動 iFrame 中的應用程式和檔案
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域登入選項
    基準預設值: 匿名
    深入了解

  • Internet Explorer 限制區域跨不同網域瀏覽窗口和畫面
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域執行 Active X 控件和外掛程式
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域會 .NET Framework 使用 Authenticode 簽署的相依元件執行
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域 Java Applet 腳本
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域潛在不安全檔案的安全性警告
    基準預設值: 停用
    深入了解

  • Internet Explorer 限制區域受保護模式
    基準預設值: 啟用
    深入了解

  • Internet Explorer 限制區域快顯封鎖程式
    基準預設值: 啟用
    深入了解

  • Internet Explorer 進程限制檔案下載
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 處理腳本視窗安全性限制
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 安全性區域僅使用電腦設定
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 使用 Active X 安裝程式服務
    基準預設值: 已啟用
    深入了解

  • Internet Explorer 信任區域不會對 Active X 控件執行反惡意程式碼軟體
    基準預設值: 已停用
    深入了解

  • Internet Explorer 信任區域初始化未標示為安全的 Active X 控件並編寫腳本
    基準預設值: 停用
    深入了解

  • Internet Explorer 信任區域 Java 許可權
    基準預設值: 高安全性
    深入了解

  • Internet Explorer 自動完成
    基準預設值: 已停用
    深入了解

本機原則安全性選項

  • 使用空白密碼封鎖遠端登錄
    基準預設值:
    深入了解

  • 鎖定畫面閑置的分鐘數,直到螢幕保護啟動為止
    基準預設值: 15
    深入了解

  • 智慧卡移除行為
    基準預設值: 鎖定工作站
    深入了解

  • 要求用戶端一律以數位方式簽署通訊
    基準預設值:
    深入了解

  • 防止用戶端將未加密的密碼傳送至第三方 SMB 伺服器
    基準預設值:
    深入了解

  • 一律需要伺服器數位簽署通訊
    基準預設值:
    深入了解

  • 防止匿名列舉 SAM 帳戶
    基準預設值:
    深入了解

  • 封鎖 SAM 帳戶和共用的匿名列舉
    基準預設值:
    深入了解

  • 限制命名管道和共用的匿名存取
    基準預設值:
    深入了解

  • 允許遠端呼叫安全性帳戶管理員
    基準預設值: O:BAG:BAD: (A;;鋼筋混凝土;;;BA)
    深入了解

  • 防止在下次密碼變更時儲存 LAN 管理員哈希值
    基準預設值:
    深入了解

  • 驗證層級
    基準預設值: 僅傳送NTLMv2回應。拒絕 LM 和 NTLM
    深入了解

  • NTLM SSP 型用戶端的最低會話安全性
    基準預設值: 需要 NTLM V2 和 128 位加密
    深入了解

  • NTLM SSP 型伺服器的最小會話安全性
    基準預設值: 需要 NTLM V2 和 128 位加密
    深入了解

  • 系統管理員提高許可權提示行為
    基準預設值: 在安全桌面上提示同意
    深入了解

  • 標準使用者提高許可權提示行為
    基準預設值: 自動拒絕提高許可權要求
    深入了解

  • 偵測應用程式安裝並提示提高許可權
    基準預設值:
    深入了解

  • 只允許 UI 存取安全位置的應用程式
    基準預設值:
    深入了解

  • 需要系統管理員的系統管理員核准模式
    基準預設值:
    深入了解

  • 使用系統管理員核准模式
    基準預設值:
    深入了解

  • 將檔案和登錄寫入失敗虛擬化至每個使用者位置
    基準預設值:
    深入了解

Microsoft Defender

  • 開啟即時保護
    基準預設值:
    深入了解

  • 掃描Microsoft瀏覽器中使用的腳本
    基準預設值:
    深入了解

  • 擴充雲端保護逾時的額外時間 (0-50 秒)
    基準預設值: 50
    深入了解

  • 掃描所有下載的檔案和附件
    基準預設值:
    深入了解

  • 掃描類型
    基準預設值: 快速掃描
    深入了解

  • Defender 排程掃描日
    基準預設值: 每天

  • 排定的掃描開始時間
    基準預設值: 未設定

  • Defender 範例提交同意
    基準預設值: 自動傳送安全範例
    深入了解

  • 雲端式保護層級
    基準預設值:
    深入了解

  • 在完整掃描期間掃描抽取式磁碟驅動器
    基準預設值:
    深入了解

  • Defender 潛在的垃圾應用程式動作
    基準預設值: 封鎖
    深入了解

  • 開啟雲端提供的保護
    基準預設值:
    深入了解

Microsoft Defender 防病毒軟體排除專案

警告

定義排除專案會降低 Microsoft Defender 防病毒軟體所提供的保護。 一律評估與實作排除專案相關聯的風險。 僅排除您知道不是惡意的檔案。

如需詳細資訊,請參閱 Microsoft Defender 檔中的排除概觀

  • 要排除的Defender進程
    基準預設值: 預設不會設定。手動新增一或多個專案。

  • 要從掃描和實時保護中排除的擴展名
    基準預設值: 預設不會設定。手動新增一或多個專案。

  • 要排除的 Defender 檔案和資料夾
    基準預設值: 預設不會設定。手動新增一或多個專案。

Microsoft Edge

  • 控制哪些延伸模組無法安裝
    基準預設值: 已啟用

    • 應該防止使用者安裝所有 (或 * 的擴充功能識別碼)
      基準預設值: 預設不會設定。手動新增一或多個標識碼
  • 允許使用者層級原生訊息主機 (安裝時不需要系統管理員權限)
    基準預設值: 已停用

  • 已啟用最低 SSL 版本
    基準預設值: 已啟用

    • 已啟用最低 SSL 版本
      基準預設值: TLS 1.2
  • 允許使用者從 SSL 警告頁面繼續
    基準預設值: 已停用

  • 設定 Microsoft Defender SmartScreen
    基準預設值: 已啟用

  • 防止略過 Microsoft Defender 網站的 SmartScreen 提示
    基準預設值: 已啟用

  • 防止略過有關下載的 Microsoft Defender SmartScreen 警告
    基準預設值: 已啟用

  • 設定 Microsoft Defender SmartScreen 來封鎖潛在的垃圾應用程式
    基準預設值: 已啟用

  • 預設 Adobe Flash 設定
    基準預設值: 已啟用

    • 預設 Adobe Flash 設定
      基準預設值: 封鎖 Adobe Flash 外掛程式
  • 啟用將密碼儲存到密碼管理員
    基準預設值: 已停用

  • 為每個網站啟用網站隔離
    基準預設值: 已啟用

  • 支援的驗證配置
    基準預設值: 已啟用

    • 支援的驗證配置
      基準預設值:兩個專案: NTLM交涉

MS 安全性指南

  • SMB v1 用戶端驅動程序開始設定
    基準預設值: 停用驅動程式
    深入了解

  • 在網路登入時將UAC限制套用至本機帳戶
    基準預設值: 已啟用
    深入了解

  • 結構化例外狀況處理覆寫保護
    基準預設值: 已啟用
    深入了解

  • SMB v1 伺服器
    基準預設值: 已停用
    深入了解

  • 摘要式驗證
    基準預設值: 已停用
    深入了解

MSS 舊版

  • 網路 IPv6 來源路由保護層級
    基準預設值: 最高保護
    深入了解

  • 網路IP來源路由保護層級
    基準預設值: 最高保護
    深入了解

  • 網路忽略 WINS 伺服器以外的 NetBIOS 名稱發行要求
    基準預設值: 已啟用
    深入了解

  • 網路ICMP重新導向會覆寫 OSPF 產生的路由
    基準預設值: 已停用
    深入了解

遠端協助

  • 請求遠端協助
    基準預設值: 停用遠端協助
    深入了解

遠端桌面服務

  • 遠端桌面服務用戶端連線加密層級
    基準預設值:
    深入了解

  • 封鎖磁碟驅動器重新導向
    基準預設值: 已啟用

  • 封鎖密碼儲存
    基準預設值: 已啟用
    深入了解

  • 線上時提示輸入密碼
    基準預設值: 已啟用
    深入了解

  • 保護 RPC 通訊
    基準預設值: 已啟用
    深入了解

遠端管理

  • 封鎖用戶端摘要式驗證
    基準預設值: 已啟用
    深入了解

  • 封鎖將執行儲存為認證
    基準預設值: 已啟用
    深入了解

  • 用戶端基本身份驗證
    基準預設值: 已停用
    深入了解

  • 基本驗證
    基準預設值: 已停用
    深入了解

  • 用戶端未加密的流量
    基準預設值: 已停用
    深入了解

  • 未加密的流量
    基準預設值: 已停用
    深入了解

遠端程序呼叫

  • RPC 未驗證的客戶端選項
    基準預設值: 已驗證
    深入了解

搜尋

  • 停用索引加密專案
    基準預設值:
    深入了解

智能螢幕

  • 開啟 Windows SmartScreen
    基準預設值:
    深入了解

  • 禁止使用者忽略SmartScreen警告
    基準預設值:
    深入了解

系統

  • 系統開機啟動驅動程式初始化
    基準預設值: 良好未知和不正確
    深入了解

Windows 連線管理員

  • 封鎖非網域網路的連線
    基準預設值: 已啟用
    深入了解

Windows Ink 工作區

Windows PowerShell

  • PowerShell 腳本區塊記錄
    基準預設值: 已啟用
    深入了解

Windows 安全性

  • 啟用竄改保護以防止 Microsoft Defender 停用
    基準預設值: 啟用
    深入了解