Elenco delle impostazioni nella baseline di sicurezza Microsoft Defender per endpoint in Intune

Questo articolo è un riferimento per le impostazioni disponibili nelle diverse versioni della baseline di sicurezza Microsoft Defender per endpoint che è possibile distribuire con Microsoft Intune. Usare le schede per selezionare e visualizzare le impostazioni nella versione di base più recente e alcune versioni precedenti che potrebbero essere ancora in uso.

Per ogni impostazione questo riferimento identifica la configurazione predefinita delle baseline, che è anche la configurazione consigliata per tale impostazione fornita dal team di sicurezza pertinente. Poiché i prodotti e il panorama della sicurezza si evolvono, le impostazioni predefinite consigliate in una versione di base potrebbero non corrispondere alle impostazioni predefinite disponibili nelle versioni successive della stessa baseline. Diversi tipi di baseline, ad esempio la sicurezza MDM e le baseline di Defender per endpoint , possono anche impostare impostazioni predefinite diverse.

Quando l'interfaccia utente Intune include un collegamento Altre informazioni per un'impostazione, lo troverai anche qui. Usare questo collegamento per visualizzare il provider di servizi di configurazione dei criteri di impostazioni (CSP) o il contenuto pertinente che illustra l'operazione delle impostazioni.

Quando una nuova versione di una baseline diventa disponibile, sostituisce la versione precedente. Profila le istanze create prima della disponibilità di una nuova versione:

  • Diventa di sola lettura. È possibile continuare a usare tali profili, ma non modificarli per modificarne la configurazione.
  • Può essere aggiornato alla versione più recente. Dopo aver aggiornato un profilo alla versione di base corrente, è possibile modificare il profilo per modificare le impostazioni.

Per altre informazioni sull'uso delle baseline di sicurezza, vedere Usare le baseline di sicurezza. In questo articolo sono disponibili anche informazioni su come:

Microsoft Defender per endpoint versione di base 24H1

Microsoft Defender per endpoint base per dicembre 2020 - versione 6

Microsoft Defender per endpoint base per settembre 2020 - versione 5

Microsoft Defender per endpoint baseline per aprile 2020 - versione 4

Microsoft Defender per endpoint baseline per marzo 2020 - versione 3

La baseline Microsoft Defender per endpoint è disponibile quando l'ambiente soddisfa i prerequisiti per l'uso di Microsoft Defender per endpoint.

Questa baseline è ottimizzata per i dispositivi fisici e non è consigliata per l'uso in macchine virtuali (VM) o endpoint VDI. Alcune impostazioni di base possono influire sulle sessioni interattive remote in ambienti virtualizzati. Per altre informazioni, vedere Aumentare la conformità alla baseline di sicurezza Microsoft Defender per endpoint nella documentazione di Windows.

Modelli amministrativi

Restrizioni per l'installazione del > dispositivo di sistema >

  • Impedire l'installazione di dispositivi che usano driver che corrispondono a queste classi di configurazione del dispositivo
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

    • Classi non consentite
      Valore predefinito previsto: d48179be-ec20-11d1-b6b8-00c04fa372a7

    • Si applicano anche ai dispositivi corrispondenti già installati.
      Valore predefinito previsto: False

Crittografia unità BitLocker dei componenti > di Windows

  • Scegliere il metodo di crittografia dell'unità e il livello di crittografia (Windows 10 [versione 1511] e versioni successive)
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

    • Selezionare il metodo di crittografia per le unità dati rimovibili:
      Valore predefinito previsto: AES-CBC a 128 bit (impostazione predefinita)

    • Selezionare il metodo di crittografia per le unità del sistema operativo:
      Valore predefinito della linea di base: XTS-AES a 128 bit (impostazione predefinita)

    • Selezionare il metodo di crittografia per le unità dati fisse:
      Valore predefinito della linea di base: XTS-AES a 128 bit (impostazione predefinita)

Unità > dati fisse crittografia > unità BitLocker componenti Windows

  • Scegliere come ripristinare le unità fisse protette da BitLocker
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

    • Non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in Active Directory Domain Services per le unità dati fisse
      Valore predefinito della linea di base: True

    • Consenti agente di ripristino dati
      Valore predefinito della linea di base: True

    • Configurare l'archiviazione delle informazioni di ripristino di BitLocker in Active Directory Domain Services:
      Impostazione predefinita di base: backup delle password di ripristino e dei pacchetti di chiavi

      Valore: consente la chiave di ripristino a 256 bit

    • Salvare le informazioni di ripristino di BitLocker in Active Directory Domain Services per le unità dati fisse
      Valore predefinito della linea di base: True

    • Omettere le opzioni di ripristino dall'installazione guidata di BitLocker
      Valore predefinito della linea di base: True

    • Configurare l'archiviazione utente delle informazioni di ripristino di BitLocker:
      Valore predefinito previsto: Consenti password di ripristino a 48 cifre

  • Negare l'accesso in scrittura a unità fisse non protette da BitLocker
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Applicare il tipo di crittografia delle unità nelle unità dati fisse
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

    • Selezionare il tipo di crittografia: (Dispositivo)
      Impostazione predefinita della linea di base: crittografia solo spazio usato

Componenti > di Windows BitLocker Unità crittografia > unità unità del sistema operativo

  • Consenti ai dispositivi conformi a InstantGo o HSTI di rifiutare esplicitamente il PIN pre-avvio.
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Consenti PIN avanzati per l'avvio
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Scegliere come ripristinare le unità del sistema operativo protette da BitLocker
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

    • Omettere le opzioni di ripristino dall'installazione guidata di BitLocker
      Valore predefinito della linea di base: True

    • Consenti agente di ripristino dati
      Valore predefinito della linea di base: True

      Valore: consente la chiave di ripristino a 256 bit

    • Configurare l'archiviazione delle informazioni di ripristino di BitLocker in Active Directory Domain Services:
      Impostazione predefinita di base: archiviare le password di ripristino e i pacchetti di chiavi

    • Non abilitare BitLocker finché le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità del sistema operativo
      Valore predefinito della linea di base: True

    • Salvare le informazioni di ripristino di BitLocker in Servizi di dominio Active Directory per le unità del sistema operativo
      Valore predefinito della linea di base: True

    • Configurare l'archiviazione utente delle informazioni di ripristino di BitLocker:
      Valore predefinito previsto: Consenti password di ripristino a 48 cifre

  • Abilitare l'uso dell'autenticazione di BitLocker che richiede l'input della tastiera di avvio preliminare nei contratti di servizio
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Applicare il tipo di crittografia dell'unità nell'unità del sistema operativo
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

    • Selezionare il tipo di crittografia: (Dispositivo)
      Impostazione predefinita della linea di base: crittografia solo spazio usato
  • Richiedere l'autenticazione aggiuntiva all'avvio
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

    • Configurare la chiave di avvio e il PIN di TPM:
      Impostazione predefinita della linea di base: non consentire la chiave di avvio e il PIN con TPM

    • Configurare l'avvio di TPM:
      Impostazione predefinita della linea di base: Consenti TPM

    • Consenti BitLocker senza un TPM compatibile (richiede una password o una chiave di avvio in un'unità flash USB)
      Valore predefinito previsto: False

    • Configurare il PIN di avvio di TPM:
      Impostazione predefinita della linea di base: Consenti PIN di avvio con TPM

    • Configurare la chiave di avvio TPM:
      Impostazione predefinita prevista: non consentire la chiave di avvio con TPM

Componenti > di Windows BitLocker Drive Encryption > Unità dati rimovibili

  • Controllare l'uso di BitLocker nelle unità rimovibili
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

    • Consenti agli utenti di applicare la protezione BitLocker alle unità dati rimovibili (dispositivo)
      Valore predefinito della linea di base: True

      • Applicare il tipo di crittografia delle unità nelle unità dati rimovibili
        Impostazione predefinita della linea di base: abilitata
        Altre informazioni

        • Selezionare il tipo di crittografia: (Dispositivo)
          Impostazione predefinita della linea di base: crittografia solo spazio usato
    • Consentire agli utenti di sospendere e decrittografare la protezione BitLocker nelle unità dati rimovibili (dispositivo)
      Valore predefinito previsto: False

  • Negare l'accesso in scrittura a unità rimovibili non protette da BitLocker
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

    • Non consentire l'accesso in scrittura ai dispositivi configurati in un'altra organizzazione
      Valore predefinito previsto: False

Componenti > di Windows Esplora file

  • Configura Windows Defender SmartScreen
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

    • Selezionare una delle impostazioni seguenti: (Dispositivo)
      Impostazione predefinita della linea di base: avvisare e impedire il bypass

Componenti > di Windows Internet Explorer

  • Impedisci di ignorare gli avvisi del filtro SmartScreen relativi ai file che non vengono comunemente scaricati da Internet
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Impedisci di ignorare gli avvisi del filtro SmartScreen relativi ai file che non vengono comunemente scaricati da Internet (utente)
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Impedisci la gestione del filtro SmartScreen
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

    • Selezionare la modalità filtro SmartScreen
      Valore predefinito previsto: Attivato

BitLocker

  • Consenti avviso per la crittografia di altri dischi
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Configurare la rotazione delle password di ripristino
    Impostazione predefinita della linea di base: eseguire l'aggiornamento sia per i dispositivi aggiunti ad Azure AD che per i dispositivi aggiunti a un ambiente ibrido
    Altre informazioni

  • Richiedi crittografia del dispositivo
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

Defender

  • Consenti analisi archivio
    Valore predefinito previsto: consentito. Analizza i file di archivio.
    Altre informazioni

  • Consenti monitoraggio del comportamento
    Valore predefinito previsto: consentito. Attiva il monitoraggio del comportamento in tempo reale.
    Altre informazioni

  • Consenti Cloud Protection
    Valore predefinito previsto: consentito. Attiva Cloud Protection.
    Altre informazioni

  • Consenti analisi Email
    Valore predefinito previsto: consentito. Attiva l'analisi della posta elettronica.
    Altre informazioni

  • Consentire l'analisi completa dell'unità rimovibile
    Valore predefinito previsto: consentito. Analizza le unità rimovibili.
    Altre informazioni

  • Consenti la protezione dall'accesso
    Valore predefinito previsto: consentito.
    Altre informazioni

  • Consenti monitoraggio in tempo reale
    Valore predefinito previsto: consentito. Attiva ed esegue il servizio di monitoraggio in tempo reale.
    Altre informazioni

  • Consenti analisi dei file di rete
    Valore predefinito previsto: consentito. Analizza i file di rete.
    Altre informazioni

  • Consenti l'analisi di tutti i file e gli allegati scaricati
    Valore predefinito previsto: consentito.
    Altre informazioni

  • Consenti analisi script
    Valore predefinito previsto: consentito.
    Altre informazioni

  • Consenti accesso all'interfaccia utente
    Valore predefinito previsto: consentito. Consente agli utenti di accedere all'interfaccia utente.
    Altre informazioni

    • Blocca l'esecuzione di script potenzialmente offuscati
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

    • Bloccare le chiamate API Win32 dalle macro di Office
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

    • Blocca l'esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

    • Impedire all'applicazione di comunicazione di Office di creare processi figlio
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

    • Impedire a tutte le applicazioni di Office di creare processi figlio
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

    • Impedire ad Adobe Reader di creare processi figlio
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

    • Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

    • Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

    • Bloccare la creazione di WebShell per i server
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

    • Bloccare i processi non attendibili e non firmati eseguiti da USB
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

    • Bloccare la persistenza tramite la sottoscrizione di eventi WMI
      Valore predefinito previsto: Audit
      Altre informazioni

    • [ANTEPRIMA] Blocca l'uso di strumenti di sistema copiati o rappresentati
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

    • Bloccare l'abuso di driver firmati vulnerabili sfruttati (dispositivo)
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

    • Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI
      Valore predefinito previsto: Audit
      Altre informazioni

    • Impedire alle applicazioni di Office di creare contenuto eseguibile
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

    • Impedire alle applicazioni di Office di inserire codice in altri processi
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

    • [ANTEPRIMA] Blocca il riavvio della macchina in modalità provvisoria
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

    • Usare la protezione avanzata contro il ransomware
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

    • Bloccare il contenuto eseguibile dal client di posta elettronica e dalla webmail
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

  • Verificare la presenza di firme prima di eseguire l'analisi
    Impostazione predefinita della linea di base: abilitata
    Altre informazioni

  • Livello blocco cloud
    Valore predefinito della baseline: Alto
    Altre informazioni

  • Timeout esteso del cloud
    Impostazione predefinita della linea di base: configurata
    Valore: 50
    Altre informazioni

  • Disabilitare l'unione Amministrazione locale
    Impostazione predefinita della linea di base: Abilitare l'unione Amministrazione locale
    Altre informazioni

  • Abilitare la protezione di rete
    Impostazione predefinita della linea di base: abilitata (modalità blocco)
    Altre informazioni

  • Nascondere esclusioni da amministratori locali
    Impostazione predefinita di base: se si abilita questa impostazione, gli amministratori locali non potranno più visualizzare l'elenco di esclusione nell'app Sicurezza di Windows o tramite PowerShell.
    Altre informazioni

  • Nascondere esclusioni da utenti locali
    Impostazione predefinita della linea di base: se si abilita questa impostazione, gli utenti locali non potranno più visualizzare l'elenco di esclusione in Sicurezza di Windows'app o tramite PowerShell.
    Altre informazioni

  • Abilitare l'aggiornamento rtp e sig
    Impostazione predefinita della linea di base: se si abilita questa impostazione, durante la configurazione guidata vengono abilitati la protezione in tempo reale e le Aggiornamenti di Security Intelligence.
    Altre informazioni

  • Protezione PUA
    Valore predefinito di base: PUA Protection on. Gli elementi rilevati sono bloccati. Verranno mostrati nella storia insieme ad altre minacce.
    Altre informazioni

  • Direzione analisi in tempo reale
    Impostazione predefinita della linea di base: monitorare tutti i file (bidirezionali).
    Altre informazioni

  • Parametro di analisi
    Impostazione predefinita della linea di base: analisi rapida
    Altre informazioni

  • Pianificare l'ora di analisi rapida
    Impostazione predefinita della linea di base: configurata
    Valore: 120
    Altre informazioni

  • Pianificare il giorno dell'analisi
    Valore predefinito previsto: ogni giorno
    Altre informazioni

  • Pianificazione dell'ora di analisi
    Impostazione predefinita della linea di base: configurata
    Valore: 120
    Altre informazioni

  • Intervallo di aggiornamento della firma
    Impostazione predefinita della linea di base: configurata
    Valore: 4
    Altre informazioni

  • Invia il consenso degli esempi
    Impostazione predefinita della linea di base: inviare automaticamente tutti gli esempi.
    Altre informazioni

Device Guard

  • Credential Guard
    Impostazione predefinita della linea di base: (abilitata con blocco UEFI) attiva Credential Guard con blocco UEFI.
    Altre informazioni

Dma Guard

  • Criteri di enumerazione dei dispositivi
    Impostazione predefinita della linea di base: Blocca tutto (più restrittivo)
    Altre informazioni

Firewall

  • Verifica dell'elenco di revoche di certificati
    Valore predefinito previsto: Nessuno
    Altre informazioni

  • Disabilitare Ftp con stato
    Valore predefinito della linea di base: True
    Altre informazioni

  • Abilitare il firewall di rete del dominio
    Valore predefinito della linea di base: True
    Altre informazioni

    • Consenti unione di criteri Ipsec locali
      Valore predefinito della linea di base: True
      Altre informazioni

    • Disabilitare la modalità invisibile
      Valore predefinito previsto: False
      Altre informazioni

    • Disabilitare le notifiche in ingresso
      Valore predefinito della linea di base: True
      Altre informazioni

    • Disabilitare le risposte Unicast alla trasmissione multicast
      Valore predefinito previsto: False
      Altre informazioni

    • Porte globali che consentono l'unione di pref utente
      Valore predefinito della linea di base: True
      Altre informazioni

    • Disabilitare l'esenzione dei pacchetti ipsec in modalità invisibile
      Valore predefinito della linea di base: True
      Altre informazioni

    • Consenti unione criteri locali
      Valore predefinito della linea di base: True
      Altre informazioni

  • Abilitare la coda di pacchetti
    Impostazione predefinita della linea di base: configurata
    Valore: disabilitato
    Altre informazioni

  • Abilitare il firewall di rete privato
    Valore predefinito della linea di base: True
    Altre informazioni

    • Azione in ingresso predefinita per il profilo privato
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

    • Disabilitare le risposte Unicast alla trasmissione multicast
      Valore predefinito previsto: False
      Altre informazioni

    • Disabilitare la modalità invisibile
      Valore predefinito previsto: False
      Altre informazioni

    • Porte globali che consentono l'unione di pref utente
      Valore predefinito della linea di base: True
      Altre informazioni

    • Consenti unione di criteri Ipsec locali
      Valore predefinito della linea di base: True
      Altre informazioni

    • Disabilitare l'esenzione dei pacchetti ipsec in modalità invisibile
      Valore predefinito della linea di base: True
      Altre informazioni

    • Disabilitare le notifiche in ingresso
      Valore predefinito della linea di base: True
      Altre informazioni

    • Consenti unione criteri locali
      Valore predefinito della linea di base: True
      Altre informazioni

    • Azione in uscita predefinita
      Valore predefinito previsto: Consenti
      Altre informazioni

    • App di autenticazione che consentono l'unione di pref utente
      Valore predefinito della linea di base: True
      Altre informazioni

  • Abilitare il firewall di rete pubblico
    Valore predefinito della linea di base: True
    Altre informazioni

    • Disabilitare la modalità invisibile
      Valore predefinito previsto: False
      Altre informazioni

    • Azione in uscita predefinita
      Valore predefinito previsto: Consenti
      Altre informazioni

    • Disabilitare le notifiche in ingresso
      Valore predefinito della linea di base: True
      Altre informazioni

    • Disabilitare l'esenzione dei pacchetti ipsec in modalità invisibile
      Valore predefinito della linea di base: True
      Altre informazioni

    • Consenti unione criteri locali
      Valore predefinito della linea di base: True
      Altre informazioni

    • App di autenticazione che consentono l'unione di pref utente
      Valore predefinito della linea di base: True
      Altre informazioni

    • Azione in ingresso predefinita per il profilo pubblico
      Impostazione predefinita della baseline: Blocca
      Altre informazioni

    • Disabilitare le risposte Unicast alla trasmissione multicast
      Valore predefinito previsto: False
      Altre informazioni

    • Porte globali che consentono l'unione di pref utente
      Valore predefinito della linea di base: True
      Altre informazioni

    • Consenti unione di criteri Ipsec locali
      Valore predefinito della linea di base: True
      Altre informazioni

  • Codifica della chiave precondivisa
    Valore predefinito previsto: UTF8
    Altre informazioni

  • Tempo di inattività dell'associazione di sicurezza
    Impostazione predefinita della linea di base: configurata
    Valore: 300
    Altre informazioni

Microsoft Edge

  • Configurare Microsoft Defender SmartScreen
    Impostazione predefinita della linea di base: abilitata

  • Configurare Microsoft Defender SmartScreen per bloccare le app potenzialmente indesiderate
    Impostazione predefinita della linea di base: abilitata

  • Abilitare Microsoft Defender richieste DNS SmartScreen
    Impostazione predefinita della linea di base: abilitata

  • Abilitare la nuova libreria SmartScreen
    Impostazione predefinita della linea di base: abilitata

  • Forzare Microsoft Defender controlli SmartScreen sui download da origini attendibili
    Impostazione predefinita della linea di base: abilitata

  • Impedisci di ignorare Microsoft Defender richieste SmartScreen per i siti
    Impostazione predefinita della linea di base: abilitata

  • Evitare di ignorare Microsoft Defender avvisi SmartScreen sui download
    Impostazione predefinita della linea di base: abilitata

Regole per la riduzione della superficie di attacco

Le regole di riduzione della superficie di attacco supportano una fusione di impostazioni da criteri diversi per creare un superset di criteri per ogni dispositivo. Vengono unite solo le impostazioni che non sono in conflitto. Le impostazioni in conflitto non vengono aggiunte al superset di regole. In precedenza, se due criteri includevano conflitti per una singola impostazione, entrambi i criteri venivano contrassegnati come in conflitto e non venivano distribuite impostazioni da entrambi i profili.

Il comportamento di unione delle regole di riduzione della superficie di attacco è il seguente:

  • Le regole di riduzione della superficie di attacco dei profili seguenti vengono valutate per ogni dispositivo a cui si applicano le regole:
    • Criteri di > configurazione dispositivi > Profilo > endpoint di protezione Microsoft Defender riduzione della superficie di attacco di Exploit Guard >
    • > Sicurezza degli endpoint Criteri > di riduzione della superficie di attacco Regole di riduzione della superficie di attacco
    • Baseline di sicurezza > degli > endpoint Microsoft Defender per endpoint regole di riduzione della superficie di attacco di base>.
  • Le impostazioni che non presentano conflitti vengono aggiunte a un superset di criteri per il dispositivo.
  • Quando due o più criteri hanno impostazioni in conflitto, le impostazioni in conflitto non vengono aggiunte ai criteri combinati, mentre le impostazioni che non sono in conflitto vengono aggiunte ai criteri superset che si applicano a un dispositivo.
  • Vengono trattenute solo le configurazioni per le impostazioni in conflitto.

Per altre informazioni, vedere Regole di riduzione della superficie di attacco nella documentazione Microsoft Defender per endpoint.

  • Impedire alle app di comunicazione di Office di creare processi figlio
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Impedire ad Adobe Reader di creare processi figlio
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Impedire alle applicazioni di Office di inserire codice in altri processi
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Impedire alle applicazioni di Office di creare contenuto eseguibile
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Abilitare la protezione di rete
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Bloccare i processi non attendibili e non firmati eseguiti da USB
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe)
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Bloccare il download di contenuto eseguibile dai client di posta elettronica e webmail
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Impedire a tutte le applicazioni di Office di creare processi figlio
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Blocca l'esecuzione di script potenzialmente offuscati (js/vbs/ps)
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Bloccare le chiamate API Win32 dalla macro di Office
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

Application Guard

Per altre informazioni, vedere CSP WindowsDefenderApplicationGuard nella documentazione di Windows.

Quando si usa Microsoft Edge, Microsoft Defender Application Guard protegge l'ambiente da siti non considerati attendibili dall'organizzazione. Quando gli utenti visitano siti non elencati nel limite di rete isolato, i siti vengono aperti in una sessione di esplorazione virtuale Hyper-V. I siti attendibili sono definiti da un limite di rete.

  • Attivare Application Guard per Edge (opzioni)
    Impostazione predefinita della linea di base: abilitata per Edge
    Altre informazioni

    • Bloccare il contenuto esterno da siti non approvati dall'organizzazione
      Impostazione predefinita prevista:
      Altre informazioni

    • Comportamento degli Appunti
      Impostazione predefinita della linea di base: Blocca copia e incolla tra PC e browser
      Altre informazioni

  • Criteri di isolamento della rete Windows
    Impostazione predefinita della linea di base: Configurare
    Altre informazioni

    • Domini di rete
      Impostazione predefinita della linea di base: securitycenter.windows.com

BitLocker

  • Richiedere la crittografia delle schede di archiviazione (solo per dispositivi mobili)
    Impostazione predefinita prevista:
    Altre informazioni

    Nota

    Il supporto per Windows 10 Mobile e Windows Phone 8.1 è terminato ad agosto 2020.

  • Abilitare la crittografia completa del disco per il sistema operativo e le unità dati fisse
    Impostazione predefinita prevista:
    Altre informazioni

  • Criteri unità di sistema BitLocker
    Impostazione predefinita della linea di base: Configurare
    Altre informazioni

    • Configurare il metodo di crittografia per le unità del sistema operativo
      Impostazione predefinita della linea di base: non configurata
      Altre informazioni
  • Criteri di unità fissa BitLocker
    Impostazione predefinita della linea di base: Configurare
    Altre informazioni

    • Bloccare l'accesso in scrittura a unità dati fisse non protette da BitLocker
      Impostazione predefinita prevista:
      Altre informazioni
      Questa impostazione è disponibile quando i criteri di unità fissa BitLocker sono impostati su Configura.

    • Configurare il metodo di crittografia per le unità dati fisse
      Impostazione predefinita della linea di base: AES XTS a 128 bit
      Altre informazioni

  • Criteri unità rimovibili BitLocker
    Impostazione predefinita della linea di base: Configurare
    Altre informazioni

    • Configurare il metodo di crittografia per le unità dati rimovibili
      Valore predefinito di base: AES AES a 128 bit CBC
      Altre informazioni

    • Bloccare l'accesso in scrittura a unità dati rimovibili non protette da BitLocker
      Impostazione predefinita della linea di base: non configurata
      Altre informazioni

  • Stati di standby durante la sospensione mentre si è a batteria Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Stati di standby durante la sospensione mentre è collegato
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Abilitare la crittografia completa del disco per il sistema operativo e le unità dati fisse
    Impostazione predefinita prevista:
    Altre informazioni

  • Criteri unità di sistema BitLocker
    Impostazione predefinita della linea di base: Configurare
    Altre informazioni

    • Autenticazione di avvio necessaria
      Impostazione predefinita prevista:
      Altre informazioni

    • PIN di avvio TPM compatibile
      Valore predefinito previsto: Consentito
      Altre informazioni

    • Chiave di avvio TPM compatibile
      Valore predefinito previsto: Obbligatorio
      Altre informazioni

    • Disabilitare BitLocker nei dispositivi in cui TPM non è compatibile
      Impostazione predefinita prevista:
      Altre informazioni

    • Configurare il metodo di crittografia per le unità del sistema operativo
      Impostazione predefinita della linea di base: non configurata
      Altre informazioni

  • Criteri di unità fissa BitLocker
    Impostazione predefinita della linea di base: Configurare
    Altre informazioni

    • Bloccare l'accesso in scrittura a unità dati fisse non protette da BitLocker
      Impostazione predefinita prevista:
      Altre informazioni
      Questa impostazione è disponibile quando i criteri di unità fissa BitLocker sono impostati su Configura.

    • Configurare il metodo di crittografia per le unità dati fisse
      Impostazione predefinita della linea di base: AES XTS a 128 bit
      Altre informazioni

  • Criteri unità rimovibili BitLocker
    Impostazione predefinita della linea di base: Configurare
    Altre informazioni

    • Configurare il metodo di crittografia per le unità dati rimovibili
      Valore predefinito di base: AES AES a 128 bit CBC
      Altre informazioni

    • Bloccare l'accesso in scrittura a unità dati rimovibili non protette da BitLocker
      Impostazione predefinita della linea di base: non configurata
      Altre informazioni

  • Criteri unità di sistema BitLocker
    Impostazione predefinita della linea di base: Configurare
    Altre informazioni

    • Autenticazione di avvio necessaria
      Impostazione predefinita prevista:
      Altre informazioni

    • PIN di avvio TPM compatibile
      Valore predefinito previsto: Consentito
      Altre informazioni

    • Chiave di avvio TPM compatibile
      Valore predefinito previsto: Obbligatorio
      Altre informazioni

    • Disabilitare BitLocker nei dispositivi in cui TPM non è compatibile
      Impostazione predefinita prevista:
      Altre informazioni

    • Configurare il metodo di crittografia per le unità del sistema operativo
      Impostazione predefinita della linea di base: non configurata
      Altre informazioni

  • Stati di standby durante la sospensione mentre si è a batteria Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Stati di standby durante la sospensione mentre è collegato
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Abilitare la crittografia completa del disco per il sistema operativo e le unità dati fisse
    Impostazione predefinita prevista:
    Altre informazioni

  • Criteri di unità fissa BitLocker
    Impostazione predefinita della linea di base: Configurare
    Altre informazioni

    • Bloccare l'accesso in scrittura a unità dati fisse non protette da BitLocker
      Impostazione predefinita prevista:
      Altre informazioni
      Questa impostazione è disponibile quando i criteri di unità fissa BitLocker sono impostati su Configura.

    • Configurare il metodo di crittografia per le unità dati fisse
      Impostazione predefinita della linea di base: AES XTS a 128 bit
      Altre informazioni

  • Criteri unità rimovibili BitLocker
    Impostazione predefinita della linea di base: Configurare
    Altre informazioni

    • Configurare il metodo di crittografia per le unità dati rimovibili
      Valore predefinito di base: AES AES a 128 bit CBC
      Altre informazioni

    • Bloccare l'accesso in scrittura a unità dati rimovibili non protette da BitLocker
      Impostazione predefinita della linea di base: non configurata
      Altre informazioni

Browser

  • Richiedi SmartScreen per Microsoft Edge
    Impostazione predefinita prevista:
    Altre informazioni

  • Bloccare l'accesso a siti dannosi
    Impostazione predefinita prevista:
    Altre informazioni

  • Blocca il download di file non verificato
    Impostazione predefinita prevista:
    Altre informazioni

Protezione dati

  • Bloccare l'accesso diretto alla memoria
    Impostazione predefinita prevista:
    Altre informazioni

Device Guard

  • Attivare la protezione delle credenziali
    Impostazione predefinita prevista: Abilita con blocco UEFI
    Altre informazioni

Installazione del dispositivo

  • Installazione del dispositivo hardware in base agli identificatori di dispositivo
    Impostazione predefinita della linea di base: Blocca l'installazione del dispositivo hardware
    Altre informazioni

    • Rimuovere i dispositivi hardware corrispondenti Impostazione predefinita prevista:

    • Identificatori di dispositivo hardware bloccati
      Impostazione predefinita della baseline: non configurata per impostazione predefinita. Aggiungere manualmente uno o più identificatori di dispositivo.

  • Installazione del dispositivo hardware in base alle classi di configurazione
    Impostazione predefinita della linea di base: Blocca l'installazione del dispositivo hardware
    Altre informazioni

    • Rimuovere i dispositivi hardware corrispondenti Impostazione predefinita della linea di base: non configurata

    • Identificatori di dispositivo hardware bloccati Impostazione predefinita della baseline: non configurata per impostazione predefinita. Aggiungere manualmente uno o più identificatori di dispositivo.

  • Bloccare l'installazione del dispositivo hardware in base alle classi di configurazione:
    Impostazione predefinita prevista:
    Altre informazioni

    • Rimuovere i dispositivi hardware corrispondenti:
      Impostazione predefinita prevista:

    • Elenco di blocchi
      Impostazione predefinita della baseline: non configurata per impostazione predefinita. Aggiungere manualmente uno o più identificatori univoci globali della classe di installazione.

DMA Guard

  • Enumerazione di dispositivi esterni incompatibili con la protezione DMA del kernel
    Impostazione predefinita della linea di base: Blocca tutto
    Altre informazioni
  • Enumerazione di dispositivi esterni incompatibili con la protezione DMA del kernel
    Impostazione predefinita della linea di base: non configurata
    Altre informazioni

Rilevamento e risposta di endpoint

  • Condivisione di esempio per tutti i file
    Impostazione predefinita prevista:
    Altre informazioni

  • Velocizzare la frequenza dei report di telemetria
    Impostazione predefinita prevista:
    Altre informazioni

Firewall

  • FTP (Stateful File Transfer Protocol)
    Impostazione predefinita della linea di base: Disabilitata
    Altre informazioni

  • Numero di secondi in cui un'associazione di sicurezza può essere inattiva prima dell'eliminazione
    Valore predefinito previsto: 300
    Altre informazioni

  • Codifica della chiave precondivisa
    Valore predefinito previsto: UTF8
    Altre informazioni

  • Verifica dell'elenco di revoche di certificati (CRL)
    Impostazione predefinita della linea di base: non configurata
    Altre informazioni

  • Accodamento pacchetti
    Impostazione predefinita della linea di base: non configurata
    Altre informazioni

  • Profilo del firewall privato
    Impostazione predefinita della linea di base: Configurare
    Altre informazioni

    • Connessioni in ingresso bloccate
      Impostazione predefinita prevista:
      Altre informazioni

    • Risposte unicast alle trasmissioni multicast necessarie
      Impostazione predefinita prevista:
      Altre informazioni

    • Connessioni in uscita necessarie
      Impostazione predefinita prevista:
      Altre informazioni

    • Notifiche in ingresso bloccate
      Impostazione predefinita prevista:
      Altre informazioni

    • Regole di porta globali da criteri di gruppo uniti
      Impostazione predefinita prevista:
      Altre informazioni

    • Firewall abilitato
      Valore predefinito previsto: Consentito
      Altre informazioni

    • Regole dell'applicazione autorizzate da Criteri di gruppo non unite
      Impostazione predefinita prevista:
      Altre informazioni

    • Regole di sicurezza della connessione da Criteri di gruppo non unite
      Impostazione predefinita prevista:
      Altre informazioni

    • Traffico in ingresso necessario
      Impostazione predefinita prevista:
      Altre informazioni

    • Regole dei criteri da Criteri di gruppo non unite
      Impostazione predefinita prevista:
      Altre informazioni

  • Profilo del firewall pubblico
    Impostazione predefinita della linea di base: Configurare
    Altre informazioni

    • Connessioni in ingresso bloccate
      Impostazione predefinita prevista:
      Altre informazioni

    • Risposte unicast alle trasmissioni multicast necessarie
      Impostazione predefinita prevista:
      Altre informazioni

    • Connessioni in uscita necessarie
      Impostazione predefinita prevista:
      Altre informazioni

    • Regole dell'applicazione autorizzate da Criteri di gruppo non unite
      Impostazione predefinita della linea di base: Sì**
      Altre informazioni

    • Notifiche in ingresso bloccate
      Impostazione predefinita prevista:
      Altre informazioni

    • Regole di porta globali da criteri di gruppo uniti
      Impostazione predefinita prevista:
      Altre informazioni

    • Firewall abilitato
      Valore predefinito previsto: Consentito
      Altre informazioni

    • Regole di sicurezza della connessione da Criteri di gruppo non unite
      Impostazione predefinita prevista:
      Altre informazioni

    • Traffico in ingresso necessario
      Impostazione predefinita prevista:
      Altre informazioni

    • Regole dei criteri da Criteri di gruppo non unite
      Impostazione predefinita prevista:
      Altre informazioni

  • Dominio del profilo del firewall
    Impostazione predefinita della linea di base: Configurare
    Altre informazioni

    • Risposte unicast alle trasmissioni multicast necessarie
      Impostazione predefinita prevista:
      Altre informazioni

    • Regole dell'applicazione autorizzate da Criteri di gruppo non unite
      Impostazione predefinita prevista:
      Altre informazioni

    • Notifiche in ingresso bloccate
      Impostazione predefinita prevista:
      Altre informazioni

    • Regole di porta globali da criteri di gruppo uniti
      Impostazione predefinita prevista:
      Altre informazioni

    • Firewall abilitato
      Valore predefinito previsto: Consentito
      Altre informazioni

    • Regole di sicurezza della connessione da Criteri di gruppo non unite
      Impostazione predefinita prevista:
      Altre informazioni

    • Regole dei criteri da Criteri di gruppo non unite
      Impostazione predefinita prevista:
      Altre informazioni

Microsoft Defender

  • Attivare la protezione in tempo reale
    Impostazione predefinita prevista:
    Altre informazioni

  • Quantità aggiuntiva di tempo (0-50 secondi) per estendere il timeout di protezione cloud
    Valore predefinito previsto: 50
    Altre informazioni

  • Analizzare tutti i file e gli allegati scaricati
    Impostazione predefinita prevista:
    Altre informazioni

  • Tipo di analisi
    Impostazione predefinita della linea di base: analisi rapida
    Altre informazioni

  • Giorno di analisi della pianificazione di Defender:
    Impostazione predefinita della baseline: Tutti i giorni

  • Ora di inizio dell'analisi di Defender:
    Impostazione predefinita della linea di base: non configurata

  • Consenso per l'invio dell'esempio Defender
    Impostazione predefinita della linea di base: inviare automaticamente esempi sicuri
    Altre informazioni

  • Livello di protezione fornito dal cloud
    Valore predefinito della baseline: Alto
    Altre informazioni

  • Analizzare le unità rimovibili durante l'analisi completa
    Impostazione predefinita prevista:
    Altre informazioni

  • Azione dell'app defender potenzialmente indesiderata
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Attivare la protezione fornita dal cloud
    Impostazione predefinita prevista:
    Altre informazioni

  • Attivare la protezione in tempo reale
    Impostazione predefinita prevista:
    Altre informazioni

  • Quantità aggiuntiva di tempo (0-50 secondi) per estendere il timeout di protezione cloud
    Valore predefinito previsto: 50
    Altre informazioni

  • Analizzare tutti i file e gli allegati scaricati
    Impostazione predefinita prevista:
    Altre informazioni

  • Tipo di analisi
    Impostazione predefinita della linea di base: analisi rapida
    Altre informazioni

  • Consenso per l'invio dell'esempio Defender
    Impostazione predefinita della linea di base: inviare automaticamente esempi sicuri
    Altre informazioni

  • Livello di protezione fornito dal cloud
    Valore predefinito della baseline: Alto
    Altre informazioni

  • Analizzare le unità rimovibili durante l'analisi completa
    Impostazione predefinita prevista:
    Altre informazioni

  • Azione dell'app defender potenzialmente indesiderata
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Attivare la protezione fornita dal cloud
    Impostazione predefinita prevista:
    Altre informazioni

  • Eseguire l'analisi rapida giornaliera all'indirizzo
    Valore predefinito previsto: 2:00
    Altre informazioni

  • Ora di inizio dell'analisi pianificata
    Valore predefinito previsto: 2:00

  • Configurare una priorità bassa della CPU per le analisi pianificate
    Impostazione predefinita prevista:
    Altre informazioni

  • Impedire alle app di comunicazione di Office di creare processi figlio
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Impedire ad Adobe Reader di creare processi figlio
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Analizzare i messaggi di posta elettronica in ingresso
    Impostazione predefinita prevista:
    Altre informazioni

  • Attivare la protezione in tempo reale
    Impostazione predefinita prevista:
    Altre informazioni

  • Numero di giorni (da 0 a 90) per mantenere il malware in quarantena
    Valore predefinito previsto: 0
    Altre informazioni

  • Pianificazione dell'analisi del sistema defender
    Impostazione predefinita della linea di base: definita dall'utente
    Altre informazioni

  • Quantità aggiuntiva di tempo (0-50 secondi) per estendere il timeout di protezione cloud
    Valore predefinito previsto: 50
    Altre informazioni

  • Analizzare le unità di rete mappate durante un'analisi completa
    Impostazione predefinita prevista:
    Altre informazioni

  • Attivare la protezione di rete
    Impostazione predefinita prevista:
    Altre informazioni

  • Analizzare tutti i file e gli allegati scaricati
    Impostazione predefinita prevista:
    Altre informazioni

  • Blocca la protezione dall'accesso
    Impostazione predefinita della linea di base: non configurata
    Altre informazioni

  • Analizzare gli script del browser
    Impostazione predefinita prevista:
    Altre informazioni

  • Bloccare l'accesso utente all'app Microsoft Defender
    Impostazione predefinita prevista:
    Altre informazioni

  • Utilizzo massimo consentito della CPU (0-100%) per analisi
    Valore predefinito previsto: 50
    Altre informazioni

  • Tipo di analisi
    Impostazione predefinita della linea di base: analisi rapida
    Altre informazioni

  • Immettere la frequenza (da 0 a 24 ore) per verificare la disponibilità di aggiornamenti delle informazioni di sicurezza
    Valore predefinito previsto: 8
    Altre informazioni

  • Consenso per l'invio dell'esempio Defender
    Impostazione predefinita della linea di base: inviare automaticamente esempi sicuri
    Altre informazioni

  • Livello di protezione fornito dal cloud
    Valore predefinito previsto: *Non configurato
    Altre informazioni

  • Analizzare i file di archivio
    Impostazione predefinita prevista:
    Altre informazioni

  • Attivare il monitoraggio del comportamento
    Impostazione predefinita prevista:
    Altre informazioni

  • Analizzare le unità rimovibili durante l'analisi completa
    Impostazione predefinita prevista:
    Altre informazioni

  • Analizzare i file di rete
    Impostazione predefinita prevista:
    Altre informazioni

  • Azione dell'app defender potenzialmente indesiderata
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Attivare la protezione fornita dal cloud
    Impostazione predefinita prevista:
    Altre informazioni

  • Impedire alle applicazioni di Office di inserire codice in altri processi
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Impedire alle applicazioni di Office di creare contenuto eseguibile
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Abilitare la protezione di rete
    Impostazione predefinita della linea di base: modalità di controllo
    Altre informazioni

  • Bloccare i processi non attendibili e non firmati eseguiti da USB
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe)
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Bloccare il download di contenuto eseguibile dai client di posta elettronica e webmail
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Impedire a tutte le applicazioni di Office di creare processi figlio
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Blocca l'esecuzione di script potenzialmente offuscati (js/vbs/ps)
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Bloccare le chiamate API Win32 dalla macro di Office
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Eseguire l'analisi rapida giornaliera all'indirizzo
    Valore predefinito previsto: 2:00
    Altre informazioni

  • Ora di inizio dell'analisi pianificata
    Valore predefinito previsto: 2:00

  • Configurare una priorità bassa della CPU per le analisi pianificate
    Impostazione predefinita prevista:
    Altre informazioni

  • Impedire alle app di comunicazione di Office di creare processi figlio
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Impedire ad Adobe Reader di creare processi figlio
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Analizzare i messaggi di posta elettronica in ingresso
    Impostazione predefinita prevista:
    Altre informazioni

  • Attivare la protezione in tempo reale
    Impostazione predefinita prevista:
    Altre informazioni

  • Numero di giorni (da 0 a 90) per mantenere il malware in quarantena
    Valore predefinito previsto: 0
    Altre informazioni

  • Pianificazione dell'analisi del sistema defender
    Impostazione predefinita della linea di base: definita dall'utente
    Altre informazioni

  • Quantità aggiuntiva di tempo (0-50 secondi) per estendere il timeout di protezione cloud
    Valore predefinito previsto: 50
    Altre informazioni

  • Analizzare le unità di rete mappate durante un'analisi completa
    Impostazione predefinita prevista:
    Altre informazioni

  • Attivare la protezione di rete
    Impostazione predefinita prevista:
    Altre informazioni

  • Analizzare tutti i file e gli allegati scaricati
    Impostazione predefinita prevista:
    Altre informazioni

  • Blocca la protezione dall'accesso
    Impostazione predefinita della linea di base: non configurata
    Altre informazioni

  • Analizzare gli script del browser
    Impostazione predefinita prevista:
    Altre informazioni

  • Bloccare l'accesso utente all'app Microsoft Defender
    Impostazione predefinita prevista:
    Altre informazioni

  • Utilizzo massimo consentito della CPU (0-100%) per analisi
    Valore predefinito previsto: 50
    Altre informazioni

  • Tipo di analisi
    Impostazione predefinita della linea di base: analisi rapida
    Altre informazioni

  • Immettere la frequenza (da 0 a 24 ore) per verificare la disponibilità di aggiornamenti delle informazioni di sicurezza
    Valore predefinito previsto: 8
    Altre informazioni

  • Consenso per l'invio dell'esempio Defender
    Impostazione predefinita della linea di base: inviare automaticamente esempi sicuri
    Altre informazioni

  • Livello di protezione fornito dal cloud
    Valore predefinito previsto: *Non configurato
    Altre informazioni

  • Analizzare i file di archivio
    Impostazione predefinita prevista:
    Altre informazioni

  • Attivare il monitoraggio del comportamento
    Impostazione predefinita prevista:
    Altre informazioni

  • Analizzare le unità rimovibili durante l'analisi completa
    Impostazione predefinita prevista:
    Altre informazioni

  • Analizzare i file di rete
    Impostazione predefinita prevista:
    Altre informazioni

  • Azione dell'app defender potenzialmente indesiderata
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Attivare la protezione fornita dal cloud
    Impostazione predefinita prevista:
    Altre informazioni

  • Impedire alle applicazioni di Office di inserire codice in altri processi
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Impedire alle applicazioni di Office di creare contenuto eseguibile
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Abilitare la protezione di rete
    Impostazione predefinita della linea di base: modalità di controllo
    Altre informazioni

  • Bloccare i processi non attendibili e non firmati eseguiti da USB
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe)
    Valore predefinito previsto: Abilita
    Altre informazioni

  • Bloccare il download di contenuto eseguibile dai client di posta elettronica e webmail
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Impedire a tutte le applicazioni di Office di creare processi figlio
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Blocca l'esecuzione di script potenzialmente offuscati (js/vbs/ps)
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

  • Bloccare le chiamate API Win32 dalla macro di Office
    Impostazione predefinita della baseline: Blocca
    Altre informazioni

Microsoft Defender Security Center

  • Impedire agli utenti di modificare l'interfaccia di protezione di Exploit Guard
    Impostazione predefinita prevista:
    Altre informazioni

Smart Screen

  • Impedire agli utenti di ignorare gli avvisi smartscreen
    Impostazione predefinita prevista:
    Altre informazioni

  • Attivare Windows SmartScreen
    Impostazione predefinita prevista:
    Altre informazioni

  • Richiedi SmartScreen per Microsoft Edge
    Impostazione predefinita prevista:
    Altre informazioni

  • Bloccare l'accesso a siti dannosi
    Impostazione predefinita prevista:
    Altre informazioni

  • Blocca il download di file non verificato
    Impostazione predefinita prevista:
    Altre informazioni

  • Configurare Microsoft Defender SmartScreen
    Impostazione predefinita della linea di base: abilitata

  • Impedisci di ignorare Microsoft Defender richieste SmartScreen per i siti
    Impostazione predefinita della linea di base: abilitata

  • Evitare di ignorare Microsoft Defender avvisi SmartScreen sui download
    Impostazione predefinita della linea di base: abilitata

  • Configurare Microsoft Defender SmartScreen per bloccare le app potenzialmente indesiderate
    Impostazione predefinita della linea di base: abilitata

  • Richiedi app solo dallo Store
    Impostazione predefinita prevista:

  • Attivare Windows SmartScreen
    Impostazione predefinita prevista:
    Altre informazioni

Windows Hello for Business

Per altre informazioni, vedere PassportForWork CSP nella documentazione di Windows.

  • Blocca Windows Hello for Business
    Impostazione predefinita della linea di base: Disabilitata

    • Lettere minuscole nel PIN Valore predefinito previsto: Consentito

    • Caratteri speciali nel PIN Valore predefinito previsto: Consentito

    • Lettere maiuscole nel PIN Valore predefinito previsto: Consentito

Passaggi successivi