Definições do Windows que pode gerir através de um perfil do Intune Endpoint Protection

Artigo
07/30/2024

Observação

O Intune pode suportar mais definições do que as definições listadas neste artigo. Nem todas as definições estão documentadas e não serão documentadas. Para ver as definições que pode configurar, crie uma política de configuração de dispositivos e selecione Catálogo de Definições. Para obter mais informações, consulte Catálogo de Configurações.

O Microsoft Intune inclui muitas definições para ajudar a proteger os seus dispositivos. Este artigo descreve as definições no modelo de configuração do dispositivo endpoint protection . Para gerir a segurança do dispositivo, também pode utilizar políticas de segurança de ponto final, que se focam diretamente nos subconjunto de segurança do dispositivo. Para configurar o Antivírus do Microsoft Defender, consulte Restrições de dispositivos Windows ou utilize a política antivírus de segurança de pontos finais.

Antes de começar

Criar um perfil de configuração de dispositivos do Endpoint Protection.

Para obter mais informações sobre fornecedores de serviços de configuração (CSPs), veja Referência do fornecedor de serviços de configuração.

Microsoft Defender Application Guard

Para o Microsoft Edge, o Microsoft Defender Application Guard protege o seu ambiente de sites que não são considerados fidedignos pela sua organização. Com o Application Guard, os sites que não estão no limite de rede isolado são abertos numa sessão de navegação virtual do Hyper-V. Os sites fidedignos são definidos por um limite de rede, configurado na Configuração do Dispositivo. Para obter mais informações, consulte Criar um limite de rede em dispositivos Windows.

O Application Guard só está disponível para dispositivos Windows de 64 bits. A utilização deste perfil instala um componente Win32 para ativar o Application Guard.

Application Guard
Predefinição: não configurado
CSP do Application Guard: Definições/AllowWindowsDefenderApplicationGuard
- Ativado para o Edge – ativa esta funcionalidade, que abre sites não fidedignos num contentor de navegação virtualizado hyper-V.
- Não configurado – qualquer site (fidedigno e não fidedigno) pode ser aberto no dispositivo.
Comportamento da área de transferência
Predefinição: não configurado
CSP do Application Guard: Definições/Área de TransferênciaDefinições

Escolha as ações de cópia e colagem permitidas entre o PC local e o browser virtual do Application Guard.
- Não configurado
- Permitir copiar e colar apenas do PC para o browser
- Permitir copiar e colar apenas do browser para o PC
- Permitir copiar e colar entre o PC e o browser
- Bloquear a cópia e a colagem entre o PC e o browser
Conteúdo da área de transferência
Esta definição só está disponível quando o comportamento da Área de Transferência está definido como uma das definições de permissão .
Predefinição: não configurado
CSP do Application Guard: Definições/Área de TransferênciaFileType

Selecione o conteúdo permitido da área de transferência.
- Não configurado
- Text
- Imagens
- Texto e imagens
Conteúdo externo em sites empresariais
Predefinição: não configurado
CSP do Application Guard: Definições/BlockNonEnterpriseContent
- Bloquear – bloquear o carregamento de conteúdos de sites não aprovados.
- Não configurado – os sites não empresariais podem ser abertos no dispositivo.
Imprimir a partir do browser virtual
Predefinição: não configurado
CSP do Application Guard: Definições/ImpressãoDefinições
- Permitir – permite a impressão de conteúdo selecionado a partir do browser virtual.
- Não configurado Desative todas as funcionalidades de impressão.
Ao Permitir a impressão, pode configurar a seguinte definição:
- Tipos de impressão Selecione uma ou mais das seguintes opções:
  - PDF
  - XPS
  - Impressoras locais
  - Impressoras de rede
Recolher registos
Predefinição: não configurado
Application Guard CSP: Audit/AuditApplicationGuard
- Permitir – recolha registos de eventos que ocorrem numa sessão de navegação do Application Guard.
- Não configurado – não recolha quaisquer registos na sessão de navegação.
Reter dados do browser gerados pelo utilizador
Predefinição: não configurado
CSP do Application Guard: Definições/PermitirPersistência
- Permitir Guarde dados de utilizador (como palavras-passe, favoritos e cookies) que são criados durante uma sessão de navegação virtual do Application Guard.
- Não configurado Eliminar ficheiros e dados transferidos pelo utilizador quando o dispositivo é reiniciado ou quando um utilizador termina sessão.
Aceleração de gráficos
Predefinição: não configurado
CSP do Application Guard: Definições/AllowVirtualGPU
- Ativar – carregue sites com utilização intensiva de gráficos e vídeo mais rapidamente ao obter acesso a uma unidade de processamento de gráficos virtuais.
- Não configurado Utilizar a CPU do dispositivo para gráficos; Não utilize a unidade de processamento de gráficos virtuais.
Transferir ficheiros para o sistema de ficheiros anfitrião
Predefinição: não configurado
CSP do Application Guard: Definições/SaveFilesToHost
- Ativar – os utilizadores podem transferir ficheiros do browser virtualizado para o sistema operativo anfitrião.
- Não configurado – mantém os ficheiros locais no dispositivo e não transfere ficheiros para o sistema de ficheiros anfitrião.

Firewall do Windows

Configurações globais

Estas definições são aplicáveis a todos os tipos de rede.

Protocolo de Transferência de Ficheiros
Predefinição: não configurado
CSP da Firewall: MdmStore/Global/DisableStatefulFtp
- Bloquear – desative o FTP com monitorização de estado.
- Não configurado – a firewall faz a filtragem ftp com monitorização de estado para permitir ligações secundárias.
Tempo de inatividade da associação de segurança antes da eliminação
Predefinição: não configurado
CSP da Firewall: MdmStore/Global/SaIdleTime

Especifique um tempo de inatividade em segundos, após o qual as associações de segurança são eliminadas.
Codificação de chave pré-partilhada
Predefinição: não configurado
CSP da Firewall: MdmStore/Global/PresharedKeyEncoding
- Ativar – codificar as teclas pré-ouvidas com UTF-8.
- Não configurado – codificar chaves pré-ouvidas com o valor de arquivo local.
Isenções de IPsec
Predefinição: 0 selecionado
CSP da Firewall: MdmStore/Global/IPsecExempt

Selecione um ou mais dos seguintes tipos de tráfego a excluir do IPsec:
- Vizinho detetar códigos de tipo IPv6 ICMP
- ICMP
- Códigos de tipo IPv6 ICMP de deteção de router
- Tráfego de rede DHCP IPv4 e IPv6
Verificação da lista de revogação de certificados
Predefinição: não configurado
CSP da Firewall: MdmStore/Global/CRLcheck

Escolha como o dispositivo verifica a lista de revogação de certificados. As opções são:
- Desativar a verificação crl
- Falhar a verificação de CRL apenas no certificado revogado
- Falha na verificação da CRL em qualquer erro encontrado.
Corresponder oportunisticamente o conjunto de autenticação por módulo de keying
Predefinição: não configurado
CSP da Firewall: MdmStore/Global/OportunistaMatchAuthSetPerKM
- Ativar Os módulos de keying têm de ignorar apenas os conjuntos de autenticação que não suportam.
- Não configurado, os módulos de Keying têm de ignorar todo o conjunto de autenticação se não suportarem todos os conjuntos de autenticação especificados no conjunto.
Colocação de pacotes em fila
Predefinição: não configurado
CSP da Firewall: MdmStore/Global/EnablePacketQueue

Especifique como o dimensionamento de software no lado da receção está ativado para a receção encriptada e o reencaminhamento de texto limpo para o cenário do gateway de túnel IPsec. Esta definição confirma que a ordem dos pacotes foi preservada. As opções são:
- Não configurado
- Desativar toda a colocação em fila de pacotes
- Apenas pacotes encriptados de entrada da fila
- Pacotes de filas após a desencriptação ser executada apenas para reencaminhamento
- Configurar pacotes de entrada e de saída

Configurações de rede

As seguintes definições são listadas neste artigo uma única vez, mas todas se aplicam aos três tipos de rede específicos:

Rede de domínio (área de trabalho)
Rede privada (detetável)
Rede pública (não detetável)

Geral

Firewall do Windows
Predefinição: não configurado
CSP da Firewall: EnableFirewall
- Ativar – ative a firewall e a segurança avançada.
- Não configurado Permite todo o tráfego de rede, independentemente de quaisquer outras definições de política.
Modo furtivo
Predefinição: não configurado
CSP da Firewall: DisableStealthMode
- Não configurado
- Bloquear – a firewall está bloqueada para não funcionar no modo furtivo. Bloquear o modo furtivo permite-lhe também bloquear a isenção de pacotes protegidos por IPsec.
- Permitir – a firewall funciona no modo furtivo, o que ajuda a impedir respostas a pedidos de pesquisa.
Isenção de pacotes protegidos por IPsec com o Modo Stealth
Predefinição: não configurado
CSP da Firewall: DisableStealthModeIpsecSecuredPacketExemption

Esta opção é ignorada se o modo Furtivo estiver definido como Bloquear.
- Não configurado
- Bloco – os pacotes protegidos por IPSec não recebem isenções.
- Permitir – ative as isenções. O modo furtivo da firewall NÃO PODE IMPEDIR que o computador anfitrião responda ao tráfego de rede não solicitado protegido pelo IPsec.
Blindada
Predefinição: não configurado
CSP da Firewall: Blindada
- Não configurado
- Bloquear – quando a Firewall do Windows está ativada e esta definição está definida como Bloquear, todo o tráfego de entrada é bloqueado, independentemente de outras definições de política.
- Permitir – quando definida como Permitir, esta definição é desativada e o tráfego de entrada é permitido com base noutras definições de política.
Respostas Unicast a difusões multicast
Predefinição: não configurado
CSP da Firewall: DisableUnicastResponsesToMulticastBroadcast

Normalmente, não quer receber respostas unicast para mensagens multicast ou de difusão. Estas respostas podem indicar um ataque denial of service (DOS) ou um atacante a tentar sondar um computador em direto conhecido.
- Não configurado
- Bloquear – desative as respostas unicast para difusões multicast.
- Permitir – permita respostas unicast a difusões multicast.
Notificações de entrada
Predefinição: não configurado
CSP da Firewall: DisableInboundNotifications
- Não configurado
- Bloquear – oculte as notificações a utilizar quando uma aplicação é impedida de escutar numa porta.
- Permitir – ativa esta definição e pode mostrar uma notificação aos utilizadores quando uma aplicação é impedida de escutar numa porta.
Ação predefinida para ligações de saída
Predefinição: não configurado
CSP da Firewall: DefaultOutboundAction

Configure a firewall de ação predefinida executada nas ligações de saída. Esta definição será aplicada à versão 1809 e superior do Windows.
- Não configurado
- Bloquear – a ação de firewall predefinida não é executada no tráfego de saída, a menos que seja explicitamente especificado para não bloquear.
- Permitir – as ações de firewall predefinidas são executadas em ligações de saída.
Ação predefinida para ligações de entrada
Predefinição: não configurado
CSP da Firewall: DefaultInboundAction
- Não configurado
- Bloquear – a ação de firewall predefinida não é executada em ligações de entrada.
- Permitir – as ações de firewall predefinidas são executadas em ligações de entrada.

Intercalação de regras

Regras de Firewall do Windows de aplicações autorizadas a partir do arquivo local
Predefinição: não configurado
CSP da Firewall: AuthAppsAllowUserPrefMerge
- Não configurado
- Bloquear – as regras de firewall de aplicações autorizadas no arquivo local são ignoradas e não são impostas.
- Permitir – selecione Ativar Aplica regras de firewall no arquivo local para que sejam reconhecidas e impostas.
Regras globais da Firewall do Windows da porta do arquivo local
Predefinição: não configurado
CSP da Firewall: GlobalPortsAllowUserPrefMerge
- Não configurado
- Bloquear – as regras globais da firewall de portas no arquivo local são ignoradas e não são impostas.
- Permitir – aplique regras globais de firewall de portas no arquivo local para serem reconhecidas e impostas.
Regras da Firewall do Windows a partir do arquivo local
Predefinição: não configurado
CSP da Firewall: AllowLocalPolicyMerge
- Não configurado
- Bloquear – as regras da firewall do arquivo local são ignoradas e não são impostas.
- Permitir – aplique regras de firewall no arquivo local para serem reconhecidas e impostas.
Regras IPsec do arquivo local
Predefinição: não configurado
CSP da Firewall: AllowLocalIpsecPolicyMerge
- Não configurado
- Bloquear – as regras de segurança de ligação do arquivo local são ignoradas e não são impostas, independentemente da versão do esquema e da versão da regra de segurança de ligação.
- Permitir – aplique regras de segurança de ligação a partir do arquivo local, independentemente do esquema ou das versões das regras de segurança de ligação.

Regras de firewall

Pode Adicionar uma ou mais regras de Firewall personalizadas. Para obter mais informações, veja Adicionar regras de firewall personalizadas para dispositivos Windows.

As regras de Firewall Personalizadas suportam as seguintes opções:

Configurações gerais

Nome
Predefinição: sem nome

Especifique um nome amigável para a regra. Este nome será apresentado na lista de regras para o ajudar a identificá-lo.
Descrição
Predefinição: sem descrição

Forneça uma descrição da regra.
Direção
Predefinição: não configurado
CSP da Firewall: FirewallRules/FirewallRuleName/Direction

Especifique se esta regra se aplica ao tráfego de Entrada ou de Saída . Quando definida como Não configurada, a regra aplica-se automaticamente ao Tráfego de saída.
Action
Predefinição: não configurado
CSP da Firewall: FirewallRules/FirewallRuleName/Action e FirewallRules/FirewallRuleName/Action/Type

Selecione a partir de Permitir ou Bloquear. Quando definida como Não configurada, a regra é predefinida para permitir o tráfego.
Tipo de rede
Predefinição: 0 selecionado
CSP da Firewall: FirewallRules/FirewallRuleName/Profiles

Selecione até três tipos de rede aos quais esta regra pertence. As opções incluem Domínio, Privado e Público. Se não forem selecionados tipos de rede, a regra aplica-se aos três tipos de rede.

Configurações de aplicativo

Aplicações
Predefinição: Tudo

Controlar ligações para uma aplicação ou programa. As aplicações e os programas podem ser especificados através do caminho do ficheiro, do nome da família do pacote ou do nome do serviço:
- Nome da família do pacote – especifique um nome de família de pacote. Para localizar o nome da família do pacote, utilize o comando do PowerShell Get-AppxPackage.
  CSP da Firewall: FirewallRules/FirewallRuleName/App/PackageFamilyName
- Caminho do ficheiro – tem de especificar um caminho de ficheiro para uma aplicação no dispositivo cliente, que pode ser um caminho absoluto ou um caminho relativo. Por exemplo: C:\Windows\System\Notepad.exe ou %WINDIR%\Notepad.exe.
  CSP da Firewall: FirewallRules/FirewallRuleName/App/FilePath
- Serviço Windows – especifique o nome abreviado do serviço Windows se for um serviço e não uma aplicação que envie ou receba tráfego. Para localizar o nome abreviado do serviço, utilize o comando Get-Service do PowerShell.
  CSP da Firewall: FirewallRules/FirewallRuleName/App/ServiceName
- Tudo– não são necessárias configurações

Definições de endereço IP

Especifique os endereços locais e remotos aos quais esta regra se aplica.

Endereços locais
Predefinição: qualquer endereço
CSP da Firewall: FirewallRules/FirewallRuleName/LocalPortRanges

Selecione Qualquer endereço ou Endereço especificado.

Quando utiliza o Endereço especificado, adiciona um ou mais endereços como uma lista separada por vírgulas de endereços locais abrangidos pela regra. Os tokens válidos incluem:
- Utilize um asterisco * para qualquer endereço local. Se utilizar um asterisco, este tem de ser o único token que utiliza.
- Especifique uma sub-rede através da máscara de sub-rede ou da notação de prefixo de rede. Se não for especificada uma máscara de sub-rede ou um prefixo de rede, a máscara de sub-rede é predefinida como 255.255.255.255.
- Um endereço IPv6 válido.
- Um intervalo de endereços IPv4 no formato "endereço inicial - endereço final" sem espaços incluídos.
- Um intervalo de endereços IPv6 no formato "endereço inicial - endereço final" sem espaços incluídos.
Endereços remotos
Predefinição: qualquer endereço
CSP da Firewall: FirewallRules/FirewallRuleName/RemoteAddressRanges

Selecione Qualquer endereço ou Endereço especificado.

Quando utiliza o Endereço especificado, adiciona um ou mais endereços como uma lista separada por vírgulas de endereços remotos abrangidos pela regra. Os tokens não são sensíveis a maiúsculas e minúsculas. Os tokens válidos incluem:
- Utilize um asterisco "*" para qualquer endereço remoto. Se utilizar um asterisco, este tem de ser o único token que utiliza.
- Defaultgateway
- DHCP
- DNS
- WINS
- Intranet (suportado nas versões 1809 e posteriores do Windows)
- RmtIntranet (suportado nas versões 1809 e posteriores do Windows)
- Internet (suportado nas versões 1809 e posteriores do Windows)
- Ply2Renders (suportado nas versões 1809 e posteriores do Windows)
- LocalSubnet indica qualquer endereço local na sub-rede local.
- Especifique uma sub-rede através da máscara de sub-rede ou da notação de prefixo de rede. Se não for especificada uma máscara de sub-rede ou um prefixo de rede, a máscara de sub-rede é predefinida como 255.255.255.255.
- Um endereço IPv6 válido.
- Um intervalo de endereços IPv4 no formato "endereço inicial - endereço final" sem espaços incluídos.
- Um intervalo de endereços IPv6 no formato "endereço inicial - endereço final" sem espaços incluídos.

Definições de porta e protocolo

Especifique as portas locais e remotas às quais esta regra se aplica.

Protocolo
Predefinição: Qualquer
CSP da Firewall: FirewallRules/FirewallRuleName/Protocol
Selecione a partir do seguinte e conclua as configurações necessárias:
- Tudo – não existe nenhuma configuração disponível.
- TCP – Configurar portas locais e remotas. Ambas as opções suportam Todas as portas ou Portas especificadas. Introduza Portas especificadas com uma lista separada por vírgulas.
  - Portas locais – CSP da Firewall: FirewallRules/FirewallRuleName/LocalPortRanges
  - Portas remotas - CSP da Firewall: FirewallRules/FirewallRuleName/RemotePortRanges
- UDP – Configurar portas locais e remotas. Ambas as opções suportam Todas as portas ou Portas especificadas. Introduza Portas especificadas com uma lista separada por vírgulas.
  - Portas locais – CSP da Firewall: FirewallRules/FirewallRuleName/LocalPortRanges
  - Portas remotas - CSP da Firewall: FirewallRules/FirewallRuleName/RemotePortRanges
- Personalizado – especifique um número de protocolo personalizado de 0 a 255.

Configuração avançada

Tipos de interface
Predefinição: 0 selecionado
CSP da Firewall: FirewallRules/FirewallRuleName/InterfaceTypes

Selecione uma das seguintes opções:
- Acesso remoto
- Sem fio
- Rede de área local
Permitir apenas ligações destes utilizadores
Predefinição: todos os utilizadores (predefinições para todas as utilizações quando não é especificada nenhuma lista)
CSP da Firewall: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

Especifique uma lista de utilizadores locais autorizados para esta regra. Não é possível especificar uma lista de utilizadores autorizados se esta regra se aplicar a um serviço Windows.

Definições do Microsoft Defender SmartScreen

O Microsoft Edge tem de estar instalado no dispositivo.

SmartScreen para aplicações e ficheiros
Predefinição: não configurado
SmartScreen CSP: SmartScreen/EnableSmartScreenInShell
- Não configurado – desativa a utilização do SmartScreen.
- Ativar – ative o Windows SmartScreen para execução de ficheiros e aplicações em execução. O SmartScreen é um componente anti-phishing e antimalware baseado na cloud.
Execução de ficheiros não verificados
Predefinição: não configurado
SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell
- Não configurado – desativa esta funcionalidade e permite que os utilizadores finais executem ficheiros que não foram verificados.
- Bloquear – impeça que os utilizadores finais executem ficheiros que não tenham sido verificados pelo Windows SmartScreen.

Criptografia do Windows

Definições do Windows

Criptografar dispositivos
Predefinição: não configurado
CSP do BitLocker: RequireDeviceEncryption
- Exigir – pedir aos utilizadores que ativem a encriptação de dispositivos. Dependendo da edição do Windows e da configuração do sistema, os utilizadores podem ser questionados:
  - Para confirmar que a encriptação de outro fornecedor não está ativada.
  - Tenha de desativar a Encriptação de Unidade BitLocker e, em seguida, voltar a ativar o BitLocker.
- Não configurado
Se a encriptação do Windows estiver ativada enquanto outro método de encriptação estiver ativo, o dispositivo poderá tornar-se instável.

Definições de base do BitLocker

As definições base são definições do BitLocker universais para todos os tipos de unidades de dados. Estas definições gerem as opções de configuração ou tarefas de encriptação de unidade que o utilizador final pode modificar em todos os tipos de unidades de dados.

Aviso para outra encriptação de disco
Predefinição: não configurado
CSP do BitLocker: AllowWarningForOtherDiskEncryption
- Bloquear – desative o pedido de aviso se outro serviço de encriptação de disco estiver no dispositivo.
- Não configurado – permita que seja apresentado o aviso para que seja apresentada outra encriptação de disco.
Dica

Para instalar o BitLocker de forma automática e silenciosa num dispositivo que esteja associado ao Microsoft Entra e que execute o Windows 1809 ou posterior, esta definição tem de ser definida como Bloquear. Para obter mais informações, consulte Ativar automaticamente o BitLocker em dispositivos.

Quando definido como Bloquear, pode configurar a seguinte definição:
- Permitir que os utilizadores padrão ativem a encriptação durante a associação ao Microsoft Entra
  Esta definição aplica-se apenas a dispositivos associados ao Microsoft Entra (Azure ADJ) e depende da definição anterior, Warning for other disk encryption.
  Predefinição: não configurado
  BitLocker CSP: AllowStandardUserEncryption
  - Permitir – os utilizadores padrão (não administradores) podem ativar a encriptação BitLocker quando têm sessão iniciada.
  - Não configurado apenas os Administradores podem ativar a encriptação BitLocker no dispositivo.
Dica

Para instalar o BitLocker de forma automática e silenciosa num dispositivo que esteja associado ao Microsoft Entra e que execute o Windows 1809 ou posterior, esta definição tem de ser definida como Permitir. Para obter mais informações, consulte Ativar automaticamente o BitLocker em dispositivos.
Configurar métodos de encriptação
Predefinição: não configurado
BitLocker CSP: EncryptionMethodByDriveType
- Ativar – configure algoritmos de encriptação para sistemas operativos, dados e unidades amovíveis.
- Não configurado – o BitLocker utiliza XTS-AES de 128 bits como método de encriptação predefinido ou utiliza o método de encriptação especificado por qualquer script de configuração.
Quando definido como Ativar, pode configurar as seguintes definições:
- Encriptação para unidades do sistema operativo
  Predefinição: XTS-AES de 128 bits
  
  Escolha o método de encriptação para unidades do sistema operativo. Recomendamos que utilize o algoritmo XTS-AES.
  - AES-CBC de 128 bits
  - AES-CBC de 256 bits
  - XTS-AES de 128 bits
  - XTS-AES de 256 bits
- Encriptação para unidades de dados fixas
  Predefinição: AES-CBC de 128 bits
  
  Escolha o método de encriptação para unidades de dados fixas (incorporadas). Recomendamos que utilize o algoritmo XTS-AES.
  - AES-CBC de 128 bits
  - AES-CBC de 256 bits
  - XTS-AES de 128 bits
  - XTS-AES de 256 bits
- Encriptação para unidades de dados amovíveis
  Predefinição: AES-CBC de 128 bits
  
  Escolha o método de encriptação para unidades de dados amovíveis. Se a unidade amovível for utilizada com dispositivos que não estejam a executar o Windows 10/11, recomendamos que utilize o algoritmo AES-CBC.
  - AES-CBC de 128 bits
  - AES-CBC de 256 bits
  - XTS-AES de 128 bits
  - XTS-AES de 256 bits

Definições da unidade do SO BitLocker

Estas definições aplicam-se especificamente às unidades de dados do sistema operativo.

Autenticação adicional no arranque
Predefinição: não configurado
BitLocker CSP: SystemDrivesRequireStartupAuthentication
- Exigir – configure os requisitos de autenticação para o arranque do computador, incluindo a utilização do Trusted Platform Module (TPM).
- Não configurado – configure apenas opções básicas em dispositivos com um TPM.
Quando definido como Exigir, pode configurar as seguintes definições:
- BitLocker com chip TPM não compatível
  Predefinição: não configurado
  - Bloquear – desative a utilização do BitLocker quando um dispositivo não tiver um chip TPM compatível.
  - Não configurado – os utilizadores podem utilizar o BitLocker sem um chip TPM compatível. O BitLocker pode exigir uma palavra-passe ou uma chave de arranque.
- Arranque compatível do TPM
  Predefinição: Permitir TPM
  
  Configure se o TPM é permitido, necessário ou não permitido.
  - Permitir TPM
  - Não permitir TPM
  - Exigir TPM
- PIN de arranque do TPM compatível
  Predefinição: Permitir PIN de arranque com o TPM
  
  Opte por permitir, não permitir ou exigir a utilização de um PIN de arranque com o chip TPM. Ativar um PIN de arranque requer interação do utilizador final.
  - Permitir PIN de arranque com o TPM
  - Não permitir o PIN de arranque com o TPM
  - Exigir PIN de arranque com o TPM
  Dica
  
  Para instalar o BitLocker de forma automática e silenciosa num dispositivo que esteja associado ao Microsoft Entra e que execute o Windows 1809 ou posterior, esta definição não pode ser definida como Exigir PIN de arranque com o TPM. Para obter mais informações, consulte Ativar automaticamente o BitLocker em dispositivos.
- Chave de arranque do TPM compatível
  Predefinição: Permitir a chave de arranque com o TPM
  
  Opte por permitir, não permitir ou exigir a utilização de uma chave de arranque com o chip TPM. Ativar uma chave de arranque requer interação do utilizador final.
  - Permitir a chave de arranque com o TPM
  - Não permitir a chave de arranque com o TPM
  - Exigir chave de arranque com o TPM
  Dica
  
  Para instalar o BitLocker de forma automática e silenciosa num dispositivo que esteja associado ao Microsoft Entra e que execute o Windows 1809 ou posterior, esta definição não pode ser definida como Exigir chave de arranque com o TPM. Para obter mais informações, consulte Ativar automaticamente o BitLocker em dispositivos.
- Chave de arranque e PIN do TPM compatíveis
  Predefinição: Permitir chave de arranque e PIN com TPM
  
  Opte por permitir, não permitir ou exigir a utilização de uma chave de arranque e pin com o chip TPM. Ativar a chave de arranque e o PIN requer interação do utilizador final.
  - Permitir a chave de arranque e o PIN com o TPM
  - Não permitir a chave de arranque e o PIN com o TPM
  - Exigir a chave de arranque e o PIN com o TPM
  Dica
  
  Para instalar o BitLocker de forma automática e silenciosa num dispositivo que esteja associado ao Microsoft Entra e que execute o Windows 1809 ou posterior, esta definição não pode ser definida como Exigir chave de arranque e PIN com TPM. Para obter mais informações, consulte Ativar automaticamente o BitLocker em dispositivos.
Comprimento Mínimo do PIN
Predefinição: não configurado
BitLocker CSP: SystemDrivesMinimumPINLength
- Ativar Configure um comprimento mínimo para o PIN de arranque do TPM.
- Não configurado – os utilizadores podem configurar um PIN de arranque de qualquer comprimento entre 6 e 20 dígitos.
Quando definido como Ativar, pode configurar a seguinte definição:
- Carateres mínimos
  Predefinição: CSP do BitLocker não configurado : SystemDrivesMinimumPINLength
  
  Introduza o número de carateres necessários para o PIN de arranque de 4-20.
Recuperação da unidade do SO
Predefinição: não configurado
CSP do BitLocker: SystemDrivesRecoveryOptions
- Ativar – controle a forma como as unidades de sistema operativo protegidas pelo BitLocker recuperam quando as informações de arranque necessárias não estão disponíveis.
- Não configurado – as opções de recuperação predefinidas são suportadas, incluindo DRA. O utilizador final pode especificar opções de recuperação. Não é efetuada uma cópia de segurança das informações de recuperação para o AD DS.
Quando definido como Ativar, pode configurar as seguintes definições:
- Agente de recuperação de dados baseado em certificados
  Predefinição: não configurado
  - Bloquear – impeça a utilização do agente de recuperação de dados com unidades de SO protegidas pelo BitLocker.
  - Não configurado – permita que os agentes de recuperação de dados sejam utilizados com unidades de sistema operativo protegidas pelo BitLocker.
- Criação de palavra-passe de recuperação por parte do utilizador
  Predefinição: Permitir palavra-passe de recuperação de 48 dígitos
  
  Escolha se os utilizadores são permitidos, necessários ou não autorizados a gerar uma palavra-passe de recuperação de 48 dígitos.
  - Permitir palavra-passe de recuperação de 48 dígitos
  - Não permitir palavra-passe de recuperação de 48 dígitos
  - Exigir palavra-passe de recuperação de 48 dígitos
- Criação de chave de recuperação pelo utilizador
  Predefinição: Permitir chave de recuperação de 256 bits
  
  Escolha se os utilizadores são permitidos, necessários ou não autorizados a gerar uma chave de recuperação de 256 bits.
  - Permitir chave de recuperação de 256 bits
  - Não permitir chave de recuperação de 256 bits
  - Exigir chave de recuperação de 256 bits
- Opções de recuperação no assistente de configuração do BitLocker
  Predefinição: não configurado
  - Bloquear – os utilizadores não podem ver e alterar as opções de recuperação. Quando definido como
  - Não configurado – os utilizadores podem ver e alterar as opções de recuperação quando ativam o BitLocker.
- Guardar informações de recuperação do BitLocker no ID do Microsoft Entra
  Predefinição: não configurado
  - Ativar – armazene as informações de recuperação do BitLocker no ID do Microsoft Entra.
  - Não configurado – as informações de recuperação do BitLocker não são armazenadas no Microsoft Entra ID.
- Informações de recuperação do BitLocker armazenadas no ID do Microsoft Entra
  Predefinição: Cópia de segurança de palavras-passe de recuperação e pacotes de chaves
  
  Configure que partes das informações de recuperação do BitLocker são armazenadas no ID do Microsoft Entra. Escolha entre:
  - Cópia de segurança de palavras-passe de recuperação e pacotes de chaves
  - Apenas palavras-passe de recuperação de cópias de segurança
- Rotação de palavras-passe de recuperação orientada pelo cliente
  Predefinição: não configurado
  BitLocker CSP: ConfigureRecoveryPasswordRotation
  
  Esta definição inicia uma rotação de palavras-passe de recuperação orientada pelo cliente após uma recuperação da unidade do SO (utilizando bootmgr ou WinRE).
  - Não configurado
  - Rotação de chaves desativada
  - Rotação de chaves ativada para deices associados ao Microsoft Entra
  - Rotação de chaves ativada para o ID do Microsoft Entra e dispositivos associados híbridos
- Armazenar informações de recuperação no Microsoft Entra ID antes de ativar o BitLocker
  Predefinição: não configurado
  
  Impeça os utilizadores de ativarem o BitLocker, a menos que o computador faça uma cópia de segurança das informações de recuperação do BitLocker para o Microsoft Entra ID.
  - Exigir – impeça os utilizadores de ativarem o BitLocker, a menos que as informações de recuperação do BitLocker sejam armazenadas com êxito no Microsoft Entra ID.
  - Não configurado – os utilizadores podem ativar o BitLocker, mesmo que as informações de recuperação não sejam armazenadas com êxito no ID do Microsoft Entra.
Mensagem de recuperação e URL de pré-arranque
Predefinição: não configurado
BitLocker CSP: SystemDrivesRecoveryMessage
- Ativar – configure a mensagem e o URL que são apresentados no ecrã de recuperação da chave de pré-arranque.
- Não configurado – desative esta funcionalidade.
Quando definido como Ativar, pode configurar a seguinte definição:
- Mensagem de recuperação de pré-arranque
  Predefinição: Utilizar a mensagem de recuperação predefinida e o URL
  
  Configure a forma como a mensagem de recuperação de pré-arranque é apresentada aos utilizadores. Escolha entre:
  - Utilizar a mensagem de recuperação predefinida e o URL
  - Utilizar a mensagem de recuperação vazia e o URL
  - Utilizar mensagem de recuperação personalizada
  - Utilizar o URL de recuperação personalizado

Definições de unidades de dados fixas do BitLocker

Estas definições aplicam-se especificamente a unidades de dados fixas.

Acesso de escrita a unidades de dados fixas não protegidas pelo BitLocker
Predefinição: não configurado
CSP do BitLocker: FixedDrivesRequireEncryption
- Bloquear – dê acesso só de leitura a unidades de dados que não estão protegidas pelo BitLocker.
- Não configurado – por predefinição, acesso de leitura e escrita a unidades de dados que não estão encriptadas.
Correção da recuperação da unidade
Predefinição: não configurado
CSP do BitLocker: FixedDrivesRecoveryOptions
- Ativar – controle a forma como as unidades fixas protegidas pelo BitLocker recuperam quando as informações de arranque necessárias não estão disponíveis.
- Não configurado – desative esta funcionalidade.
Quando definido como Ativar, pode configurar as seguintes definições:
- Agente de recuperação de dados
  Predefinição: não configurado
  - Bloquear – impeça a utilização do agente de recuperação de dados com o Editor de Políticas de unidades fixas protegidas pelo BitLocker.
  - Não configurado – permite a utilização de agentes de recuperação de dados com unidades fixas protegidas pelo BitLocker.
- Criação de palavra-passe de recuperação por parte do utilizador
  Predefinição: Permitir palavra-passe de recuperação de 48 dígitos
  
  Escolha se os utilizadores são permitidos, necessários ou não autorizados a gerar uma palavra-passe de recuperação de 48 dígitos.
  - Permitir palavra-passe de recuperação de 48 dígitos
  - Não permitir palavra-passe de recuperação de 48 dígitos
  - Exigir palavra-passe de recuperação de 48 dígitos
- Criação de chave de recuperação pelo utilizador
  Predefinição: Permitir chave de recuperação de 256 bits
  
  Escolha se os utilizadores são permitidos, necessários ou não autorizados a gerar uma chave de recuperação de 256 bits.
  - Permitir chave de recuperação de 256 bits
  - Não permitir chave de recuperação de 256 bits
  - Exigir chave de recuperação de 256 bits
- Opções de recuperação no assistente de configuração do BitLocker
  Predefinição: não configurado
  - Bloquear – os utilizadores não podem ver e alterar as opções de recuperação. Quando definido como
  - Não configurado – os utilizadores podem ver e alterar as opções de recuperação quando ativam o BitLocker.
- Guardar informações de recuperação do BitLocker no ID do Microsoft Entra
  Predefinição: não configurado
  - Ativar – armazene as informações de recuperação do BitLocker no ID do Microsoft Entra.
  - Não configurado – as informações de recuperação do BitLocker não são armazenadas no Microsoft Entra ID.
- Informações de recuperação do BitLocker armazenadas no ID do Microsoft Entra
  Predefinição: Cópia de segurança de palavras-passe de recuperação e pacotes de chaves
  
  Configure que partes das informações de recuperação do BitLocker são armazenadas no ID do Microsoft Entra. Escolha entre:
  - Cópia de segurança de palavras-passe de recuperação e pacotes de chaves
  - Apenas palavras-passe de recuperação de cópias de segurança
- Armazenar informações de recuperação no Microsoft Entra ID antes de ativar o BitLocker
  Predefinição: não configurado
  
  Impeça os utilizadores de ativarem o BitLocker, a menos que o computador faça uma cópia de segurança das informações de recuperação do BitLocker para o Microsoft Entra ID.
  - Exigir – impeça os utilizadores de ativarem o BitLocker, a menos que as informações de recuperação do BitLocker sejam armazenadas com êxito no Microsoft Entra ID.
  - Não configurado – os utilizadores podem ativar o BitLocker, mesmo que as informações de recuperação não sejam armazenadas com êxito no ID do Microsoft Entra.

Definições de unidades de dados amovíveis do BitLocker

Estas definições aplicam-se especificamente a unidades de dados amovíveis.

Acesso de escrita a unidades de dados amovíveis não protegidas pelo BitLocker
Predefinição: não configurado
BitLocker CSP: RemovableDrivesRequireEncryption
- Bloquear – dê acesso só de leitura a unidades de dados que não estão protegidas pelo BitLocker.
- Não configurado – por predefinição, acesso de leitura e escrita a unidades de dados que não estão encriptadas.
Quando definido como Ativar, pode configurar a seguinte definição:
- Acesso de escrita a dispositivos configurados noutra organização
  Predefinição: não configurado
  - Bloquear – bloquear o acesso de escrita a dispositivos configurados noutra organização.
  - Não configurado – Negar acesso de escrita.

Microsoft Defender Exploit Guard

Utilize a proteção contra exploits para gerir e reduzir a superfície de ataque das aplicações utilizadas pelos seus funcionários.

Redução da Superfície de Ataque

As regras de redução da superfície de ataque ajudam a prevenir comportamentos que o software maligno utiliza frequentemente para infetar computadores com código malicioso.

Regras de Redução da Superfície de Ataque

Para saber mais, veja Regras de redução da superfície de ataque na documentação do Microsoft Defender para Endpoint.

Comportamento de intercalação para regras de redução da superfície de ataque no Intune:

As regras de redução da superfície de ataque suportam uma fusão de definições de diferentes políticas, para criar um superconjunto de políticas para cada dispositivo. Apenas as definições que não estão em conflito são intercaladas, enquanto as definições em conflito não são adicionadas ao superconjunto de regras. Anteriormente, se duas políticas incluíssem conflitos para uma única definição, ambas as políticas eram sinalizadas como estando em conflito e não seriam implementadas definições de qualquer perfil.

O comportamento de intercalação da regra de redução da superfície de ataque é o seguinte:

As regras de redução da superfície de ataque dos seguintes perfis são avaliadas para cada dispositivo a que as regras se aplicam:
- Política de configuração > de dispositivos > Perfil > de proteção de ponto final Microsoft Defender Exploit Guard >– Redução da Superfície de Ataque
- Segurança > de ponto final Política de redução da superfície de ataque Regras > de redução da superfície de ataque
- Linhas de base de segurança > de ponto final Linhas > de base do Microsoft Defender para Endpoint Baseline >Regras de Redução da Superfície de Ataque.
As definições que não têm conflitos são adicionadas a um superconjunto de políticas para o dispositivo.
Quando duas ou mais políticas têm definições em conflito, as definições em conflito não são adicionadas à política combinada. As definições que não entram em conflito são adicionadas à política de superconjunto que se aplica a um dispositivo.
Apenas as configurações para definições em conflito são retidas.

Definições neste perfil:

Sinalizar roubo de credenciais do subsistema da autoridade de segurança local do Windows
Predefinição: não configurado
Regra: bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)

Ajude a impedir ações e aplicações que são normalmente utilizadas por software maligno que procura exploits para infetar máquinas.
- Não configurado
- Ativar – sinalizar o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe).
- Somente Auditoria
Criação de processos a partir do Adobe Reader (beta)
Predefinição: não configurado
Regra: impedir o Adobe Reader de criar processos subordinados
- Não configurado
- Ativar – bloqueie os processos subordinados criados a partir do Adobe Reader.
- Somente Auditoria

Regras para impedir ameaças de macros do Office

Impeça que as aplicações do Office efetuem as seguintes ações:

Aplicações do Office que injetam noutros processos (sem exceções)
Predefinição: não configurado
Regra: bloquear a injeção de código nas aplicações do Office noutros processos
- Não configurado
- Bloquear – bloquear a injeção de aplicações do Office noutros processos.
- Somente Auditoria
Aplicações/macros do Office a criar conteúdo executável
Predefinição: não configurado
Regra: impedir que as aplicações do Office criem conteúdos executáveis
- Não configurado
- Bloquear – bloquear a criação de conteúdos executáveis em aplicações e macros do Office.
- Somente Auditoria
Aplicações do Office a iniciar processos subordinados
Predefinição: não configurado
Regra: bloquear a criação de processos subordinados em todas as aplicações do Office
- Não configurado
- Bloquear – impedir que as aplicações do Office iniciem processos subordinados.
- Somente Auditoria
Importações win32 do código de macro do Office
Predefinição: não configurado
Regra: Bloquear chamadas à API Win32 a partir de macros do Office
- Não configurado
- Bloquear – bloquear importações win32 do código de macros no Office.
- Somente Auditoria
Criação de processos a partir de produtos de comunicação do Office
Predefinição: não configurado
Regra: impedir que a aplicação de comunicação do Office crie processos subordinados
- Não configurado
- Ativar – bloquear a criação de processos subordinados a partir de aplicações de comunicações do Office.
- Somente Auditoria

Regras para impedir ameaças de script

Bloqueie o seguinte para ajudar a evitar ameaças de script:

Código de macros/js/vbs/ps/ocultados
Predefinição: não configurado
Regra: bloquear a execução de scripts potencialmente ocultados
- Não configurado
- Bloquear – bloqueie qualquer código de macro js/vbs/ps/obfuscated.
- Somente Auditoria
js/vbs a executar payload transferido da Internet (sem exceções)
Predefinição: não configurado
Regra: impedir que JavaScript ou VBScript iniciem conteúdo executável transferido
- Não configurado
- Bloquear – impeça que js/vbs execute o payload transferido da Internet.
- Somente Auditoria
Criação de processos a partir de comandos PSExec e WMI
Predefinição: não configurado
Regra: Bloquear criações de processos com origem nos comandos PSExec e WMI
- Não configurado
- Bloquear – bloquear criações de processos com origem nos comandos PSExec e WMI.
- Somente Auditoria
Processos não confiáveis e não assinados executados em USB
Predefinição: não configurado
Regra: bloquear processos não fidedignos e não assinados executados a partir de USB
- Não configurado
- Bloquear – bloqueie processos não fidedignos e não assinados executados a partir de USB.
- Somente Auditoria
Executáveis que não cumprem critérios de prevalência, idade ou lista fidedigna
Predefinição: não configurado
Regra: bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna
- Não configurado
- Bloquear – bloqueie a execução de ficheiros executáveis, a menos que cumpram critérios de prevalência, idade ou lista fidedigna.
- Somente Auditoria

Regras para impedir ameaças de e-mail

Bloqueie o seguinte para ajudar a evitar ameaças de e-mail:

A execução de conteúdo executável (exe, dll, ps, js, vbs, etc.) foi removida do e-mail (cliente de e-mail/web) (sem exceções)
Predefinição: não configurado
Regra: bloquear conteúdo executável do cliente de e-mail e do webmail
- Não configurado
- Bloco – bloquear a execução de conteúdos executáveis (exe, dll, ps, js, vbs, etc.) removidos do e-mail (webmail/mail-client).
- Somente Auditoria

Regras para proteger contra ransomware

Proteção avançada contra ransomware
Predefinição: não configurado
Regra: utilizar proteção avançada contra ransomware
- Não configurado
- Ativar – utilize proteção agressiva contra ransomware.
- Somente Auditoria

Exceções de Redução da Superfície de Ataque

Ficheiros e pastas a excluir das regras de redução da superfície de ataque
Defender CSP: AttackSurfaceReductionOnlyExclusions
- Importe um ficheiro de .csv que contenha ficheiros e pastas para excluir das regras de redução da superfície de ataque.
- Adicione ficheiros ou pastas locais manualmente.

Importante

Para permitir a instalação e execução adequadas de aplicações LOB Win32, as definições antimalware devem excluir os seguintes diretórios de análise:
Em computadores cliente X64:
C:\Programas (x86)\Extensão de Gestão do Microsoft Intune\Conteúdo
C:\windows\IMECache

Em máquinas cliente X86:
C:\Programas\Extensão de Gestão do Microsoft Intune\Conteúdo
C:\windows\IMECache

Para obter mais informações, veja Recomendações de análise de vírus para computadores Empresariais com versões suportadas atualmente do Windows.

Acesso a pastas controladas

Ajude a proteger dados valiosos de aplicações e ameaças maliciosas, como ransomware.

Proteção de pastas
Predefinição: não configurado
Defender CSP: EnableControlledFolderAccess

Proteja ficheiros e pastas contra alterações não autorizadas por aplicações pouco amigáveis.
- Não configurado
- Enable
- Somente Auditoria
- Bloquear modificação do disco
- Auditar a modificação do disco
Quando seleciona uma configuração diferente de Não configurada, pode configurar:
- Lista de aplicações que têm acesso a pastas protegidas
  Defender CSP: ControlledFolderAccessAllowedApplications
  - Importe um ficheiro .csv que contenha uma lista de aplicações.
  - Adicionar aplicações a esta lista manualmente.
- Lista de pastas adicionais que precisam de ser protegidas
  Defender CSP: ControlledFolderAccessProtectedFolders
  - Importe um ficheiro .csv que contenha uma lista de pastas.
  - Adicionar pastas a esta lista manualmente.

Filtragem de rede

Bloquear ligações de saída de qualquer aplicação para endereços IP ou domínios com baixa reputação. A filtragem de rede é suportada no modo Auditoria e Bloquear.

Proteção de rede
Predefinição: não configurado
Defender CSP: EnableNetworkProtection

A intenção desta definição é proteger os utilizadores finais de aplicações com acesso a esquemas de phishing, sites de exploração e conteúdo malicioso na Internet. Também impede que browsers de terceiros se liguem a sites perigosos.
- Não configurado – desative esta funcionalidade. Os utilizadores e as aplicações não estão impedidos de ligar a domínios perigosos. Os administradores não podem ver esta atividade no Centro de Segurança do Microsoft Defender.
- Ativar – ative a proteção de rede e bloqueie a ligação de utilizadores e aplicações a domínios perigosos. Os administradores podem ver esta atividade no Centro de Segurança do Microsoft Defender.
- Apenas auditoria: - Os utilizadores e as aplicações não estão impedidos de ligar a domínios perigosos. Os administradores podem ver esta atividade no Centro de Segurança do Microsoft Defender.

Proteção de exploração

Carregar XML
Predefinição: não configurado

Para utilizar a Proteção contra exploits para proteger os dispositivos contra exploits, crie um ficheiro XML que inclua as definições de mitigação do sistema e da aplicação que pretende. Existem dois métodos para criar o ficheiro XML:
- PowerShell – utilize um ou mais dos cmdlets Get-ProcessMitigation, Set-ProcessMitigation e ConvertTo-ProcessMitigationPolicy do PowerShell. Os cmdlets configuram as definições de mitigação e exportam uma representação XML das mesmas.
- IU do Centro de Segurança do Microsoft Defender – no Centro de Segurança do Microsoft Defender, selecione Aplicação & controlo do browser e, em seguida, desloque-se para a parte inferior do ecrã resultante para encontrar o Exploit Protection. Primeiro, utilize os separadores Definições do sistema e Definições do programa para configurar as definições de mitigação. Em seguida, localize a ligação Exportar definições na parte inferior do ecrã para exportar uma representação XML das mesmas.
Edição do utilizador da interface do Exploit Protection
Predefinição: não configurado
ExploitGuard CSP: ExploitProtectionSettings
- Bloquear – carregue um ficheiro XML que lhe permita configurar restrições de memória, fluxo de controlo e políticas. As definições no ficheiro XML podem ser utilizadas para bloquear exploits de uma aplicação.
- Não configurado – não é utilizada nenhuma configuração personalizada.

Controlo de Aplicações do Microsoft Defender

Selecione as aplicações a auditar ou que sejam consideradas fidedignas para serem executadas pelo Controlo de Aplicações do Microsoft Defender. Os componentes do Windows e todas as aplicações da Loja Windows são automaticamente considerados fidedignos para serem executados.

Políticas de integridade do código de controlo de aplicações
Predefinição: não configurado
CSP: AppLocker CSP
- Impor – escolha as políticas de integridade do código de controlo da aplicação para os dispositivos dos seus utilizadores.
  
  Depois de ativado num dispositivo, o Controlo de Aplicações só pode ser desativado ao alterar o modo de Impor para Apenas auditoria. Alterar o modo de Impor para Não Configurado resulta na imposição do Controlo de Aplicações nos dispositivos atribuídos.
- Não Configurado – o Controlo de Aplicações não é adicionado aos dispositivos. No entanto, as definições que foram adicionadas anteriormente continuam a ser impostas nos dispositivos atribuídos.
- Apenas auditoria – as aplicações não são bloqueadas. Todos os eventos são registados nos registos do cliente local.
  
  Observação
  
  Se utilizar esta definição, o comportamento do CSP do AppLocker pede atualmente ao utilizador final que reinicie o computador quando uma política é implementada.

Microsoft Defender Credential Guard

O Microsoft Defender Credential Guard protege contra ataques de roubo de credenciais. Isola segredos para que apenas o software de sistema privilegiado possa aceder aos mesmos.

Credential Guard
Predefinição: Desativar
DeviceGuard CSP
- Desativar – desative o Credential Guard remotamente, se tiver sido ativado anteriormente com a opção Ativado sem bloqueio UEFI .
- Ativar com bloqueio UEFI – o Credential Guard não pode ser desativado remotamente utilizando uma chave de registo ou política de grupo.
  
  Observação
  
  Se utilizar esta definição e, mais tarde, quiser desativar o Credential Guard, tem de definir a Política de Grupo como Desativada. Além disso, limpe fisicamente as informações de configuração do UEFI de cada computador. Enquanto a configuração do UEFI persistir, o Credential Guard está ativado.
- Ativar sem bloqueio UEFI – permite que o Credential Guard seja desativado remotamente com a Política de Grupo. Os dispositivos que utilizam esta definição têm de ter o Windows 10, versão 1511 e posterior, ou o Windows 11.
Quando ativa o Credential Guard, as seguintes funcionalidades necessárias também estão ativadas:
- Segurança baseada em Virtualização (VBS)
  Ativa durante o próximo reinício. A segurança baseada em virtualização utiliza o Hipervisor do Windows para fornecer suporte para serviços de segurança.
- Arranque Seguro com Acesso à Memória do Diretório
  Ativa o VBS com proteções de Arranque Seguro e acesso direto à memória (DMA). As proteções do DMA requerem suporte de hardware e só estão ativadas em dispositivos configurados corretamente.

Central de Segurança do Microsoft Defender.

O Centro de Segurança do Microsoft Defender funciona como uma aplicação ou processo separado de cada uma das funcionalidades individuais. Apresenta notificações através do Centro de Ação. Funciona como um recoletor ou um único local para ver o estado e executar alguma configuração para cada uma das funcionalidades. Saiba mais nos documentos do Microsoft Defender .

Aplicações e notificações do Centro de Segurança do Microsoft Defender

Bloquear o acesso do utilizador final às várias áreas da aplicação Centro de Segurança do Microsoft Defender. Ocultar uma secção também bloqueia notificações relacionadas.

Proteção contra vírus e ameaças
Predefinição: não configurado
WindowsDefenderSecurityCenter CSP: DisableVirusUI

Configure se os utilizadores finais podem ver a área Proteção contra vírus e ameaças no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com Proteção contra vírus e ameaças.
- Não configurado
- Ocultar
Proteção contra ransomware
Predefinição: não configurado
WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

Configure se os utilizadores finais podem ver a área Proteção contra ransomware no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com a proteção contra Ransomware.
- Não configurado
- Ocultar
Proteção de contas
Predefinição: não configurado
WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI

Configure se os utilizadores finais podem ver a área Proteção de contas no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com a Proteção de contas.
- Não configurado
- Ocultar
Firewall e proteção de rede
Predefinição: não configurado
WindowsDefenderSecurityCenter CSP: DisableNetworkUI

Configure se os utilizadores finais podem ver a área Firewall e proteção de rede no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com a Proteção da firewall e da rede.
- Não configurado
- Ocultar
Controlo de Aplicações e browsers
Predefinição: não configurado
WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

Configure se os utilizadores finais podem ver a área de controlo de Aplicações e browsers no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com o controlo de Aplicações e browsers.
- Não configurado
- Ocultar
Proteção de hardware
Predefinição: não configurado
WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

Configure se os utilizadores finais podem ver a área Proteção de hardware no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com a Proteção de hardware.
- Não configurado
- Ocultar
Desempenho e estado de funcionamento do dispositivo
Predefinição: não configurado
WindowsDefenderSecurityCenter CSP: DisableHealthUI

Configure se os utilizadores finais podem ver a área Desempenho e estado de funcionamento do dispositivo no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com o desempenho e o estado de funcionamento do dispositivo.
- Não configurado
- Ocultar
Opções de família
Predefinição: não configurado
WindowsDefenderSecurityCenter CSP: DisableFamilyUI

Configure se os utilizadores finais podem ver a área opções de Família no Centro de Segurança do Microsoft Defender. Ocultar esta secção também bloqueará todas as notificações relacionadas com as opções de Família.
- Não configurado
- Ocultar
Notificações das áreas apresentadas da aplicação
Predefinição: não configurado
WindowsDefenderSecurityCenter CSP: DisableNotifications

Escolha as notificações a apresentar aos utilizadores finais. As notificações não críticas incluem resumos da atividade do Antivírus do Microsoft Defender, incluindo notificações quando as análises estiverem concluídas. Todas as outras notificações são consideradas críticas.
- Não configurado
- Bloquear notificações não críticas
- Bloquear todas as notificações
Ícone do Centro de Segurança do Windows no tabuleiro do sistema
Predefinição: WindowsDefenderSecurityCenter CSP não configurado: HideWindowsSecurityNotificationAreaControl

Configure a apresentação do controlo da área de notificação. O utilizador tem de terminar sessão e iniciar sessão ou reiniciar o computador para que esta definição entre em vigor.
- Não configurado
- Ocultar
Botão Limpar TPM
Predefinição: WindowsDefenderSecurityCenter CSP não configurado: DisableClearTpmButton

Configure a apresentação do botão Limpar TPM.
- Não configurado
- Disable
Aviso de atualização de firmware do TPM
Predefinição: WindowsDefenderSecurityCenter CSP não configurado: DisableTpmFirmwareUpdateWarning

Configure a apresentação do Firmware do TPM de atualização quando for detetado um firmware vulnerável.
- Não configurado
- Ocultar
Proteção contra Adulteração
Predefinição: não configurado

Ative ou desative a Proteção contra Adulteração nos dispositivos. Para utilizar a Proteção contra Adulteração, tem de integrar o Microsoft Defender para Endpoint no Intune e ter Licenças enterprise Mobility + Security E5.
- Não configurado – não é efetuada qualquer alteração às definições do dispositivo.
- Ativado – a Proteção contra Adulteração está ativada e as restrições são impostas nos dispositivos.
- Desativado – a Proteção contra Adulteração está desativada e as restrições não são impostas.

Informações de contacto de TI

Forneça as informações de contacto de TI para aparecerem na aplicação Centro de Segurança do Microsoft Defender e nas notificações da aplicação.

Pode optar por Apresentar na aplicação e nas notificações, Apresentar apenas na aplicação, Apresentar apenas em notificações ou Não apresentar. Introduza o nome da organização de TI e, pelo menos, uma das seguintes opções de contacto:

Informações de contacto de TI
Predefinição: Não apresentar
WindowsDefenderSecurityCenter CSP: EnableCustomizedToasts

Configure onde apresentar informações de contacto de TI aos utilizadores finais.
- Apresentar na aplicação e nas notificações
- Apresentar apenas na aplicação
- Apresentar apenas nas notificações
- Não apresentar
Quando configurado para apresentar, pode configurar as seguintes definições:
- Nome da organização de TI
  Predefinição: não configurado
  WindowsDefenderSecurityCenter CSP: CompanyName
- Número de telefone ou ID do Skype do departamento de TI
  Predefinição: não configurado
  WindowsDefenderSecurityCenter CSP: Telemóvel
- Endereço de e-mail do departamento de TI
  Predefinição: não configurado
  WindowsDefenderSecurityCenter CSP: e-mail
- URL do site de suporte de TI
  Predefinição: não configurado
  WindowsDefenderSecurityCenter CSP: URL

Opções de segurança do dispositivo local

Utilize estas opções para configurar as definições de segurança local em dispositivos Windows 10/11.

Contas

Adicionar novas contas Microsoft
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: Accounts_BlockMicrosoftAccounts
- Bloquear Impedir que os utilizadores adicionem novas contas Microsoft ao dispositivo.
- Não configurado – os utilizadores podem utilizar contas Microsoft no dispositivo.
Início de sessão remoto sem palavra-passe
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
- Bloquear – permita que apenas contas locais com palavras-passe em branco iniciem sessão com o teclado do dispositivo.
- Não configurado – permita que contas locais com palavras-passe em branco iniciem sessão a partir de localizações que não o dispositivo físico.

Administrador

Conta de administrador local
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
- Bloquear Impedir a utilização de uma conta de administrador local.
- Não configurado
Mudar o nome da conta de administrador
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: Accounts_RenameAdministratorAccount

Defina um nome de conta diferente a ser associado ao identificador de segurança (SID) para a conta "Administrador".

Guest

Conta de convidado
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions
- Bloquear – impeça a utilização de uma conta de Convidado.
- Não configurado
Mudar o nome da conta de convidado
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

Defina um nome de conta diferente a ser associado ao identificador de segurança (SID) para a conta "Convidado".

Dispositivos

Desancorar dispositivo sem início de sessão
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: Devices_AllowUndockWithoutHavingToLogon
- Bloquear – um utilizador tem de iniciar sessão no dispositivo e receber permissão para desancorar o dispositivo.
- Não configurado – os utilizadores podem premir o botão de ejeção física de um dispositivo portátil ancorado para desancorar o dispositivo em segurança.
Instalar controladores de impressora para impressoras partilhadas
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
- Ativado – qualquer utilizador pode instalar um controlador de impressora como parte da ligação a uma impressora partilhada.
- Não configurado – apenas os Administradores podem instalar um controlador de impressora como parte da ligação a uma impressora partilhada.
Restringir o acesso de CD-ROM ao utilizador ativo local
Predefinição: não configurado
CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
- Ativado – apenas o utilizador com sessão iniciada interativamente pode utilizar o suporte de dados CD-ROM. Se esta política estiver ativada e ninguém tiver sessão iniciada interativamente, o CD-ROM é acedido através da rede.
- Não configurado – qualquer pessoa tem acesso ao CD-ROM.
Formatar e ejetar suportes de dados amovíveis
Predefinição: Administradores
CSP: Devices_AllowedToFormatAndEjectRemovableMedia

Defina quem tem permissão para formatar e ejetar suportes de dados NTFS amovíveis:
- Não configurado
- Administradores
- Administradores e Utilizadores Ativos
- Administradores e Utilizadores Interativos

Início de Sessão Interativo

Minutos de inatividade do ecrã de bloqueio até que a proteção de ecrã seja ativada
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: InteractiveLogon_MachineInactivityLimit

Introduza os minutos máximos de inatividade até o ecrã ser ativado. (0 - 99999)
Exigir ctrl+ALT+DEL para iniciar sessão
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotRequireCTRLALTDEL
- Ativar – exigir que os utilizadores primam Ctrl+Alt+DEL antes de iniciar sessão no Windows.
- Não configurado – não é necessário premir Ctrl+Alt+DEL para que os utilizadores iniciem sessão.
Comportamento de remoção de smart card
Predefinição: Nenhuma Ação LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

Determina o que acontece quando o smart card de um utilizador com sessão iniciada é removido do leitor de smart card. Suas opções:
- Bloquear Estação de Trabalho – a estação de trabalho é bloqueada quando o smart card é removido. Esta opção permite que os utilizadores saiam da área, levem o smart card consigo e continuem a manter uma sessão protegida.
- Nenhuma ação
- Forçar Início de Sessão – o utilizador tem sessão iniciada automaticamente quando o smart card é removido.
- Desligar se uma sessão dos Serviços de Ambiente de Trabalho Remoto – a remoção do smart card desliga a sessão sem terminar sessão do utilizador. Esta opção permite que o utilizador insira o smart card e retome a sessão mais tarde ou noutro computador equipado com leitores de smart card, sem ter de iniciar sessão novamente. Se a sessão for local, esta política funciona de forma idêntica a Bloquear Estação de Trabalho.

Exibir

Informações do utilizador no ecrã de bloqueio
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Configure as informações de utilizador que são apresentadas quando a sessão está bloqueada. Se não estiver configurado, são apresentados o nome a apresentar, o domínio e o nome de utilizador do utilizador.
- Não configurado
- Nome a apresentar do utilizador, domínio e nome de utilizador
- Apenas o nome a apresentar do utilizador
- Não apresentar informações do utilizador
Ocultar o último utilizador com sessão iniciada
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayLastSignedIn
- Ativar – oculte o nome de utilizador.
- Não configurado – mostrar o último nome de utilizador.
Ocultar o nome de utilizador no início de sessão Predefinido: Não Configurado
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn
- Ativar – oculte o nome de utilizador.
- Não configurado – mostrar o último nome de utilizador.
Título da mensagem de início de sessão
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Defina o título da mensagem para os utilizadores que iniciam sessão.
Texto da mensagem de início de sessão
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Defina o texto da mensagem para os utilizadores que iniciam sessão.

Acesso e segurança de rede

Acesso anónimo a Pipes Nomeados e Partilhas
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
- Não configurado – restrinja o acesso anónimo às definições de partilha e Pipe Nomeado. Aplica-se às definições que podem ser acedidas anonimamente.
- Bloquear – desative esta política, disponibilizando acesso anónimo.
Enumeração anónima de contas SAM
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
- Não configurado – os utilizadores anónimos podem enumerar contas SAM.
- Bloquear – impedir a enumeração anónima de contas SAM.
Enumeração anónima de contas e partilhas SAM
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
- Não configurado – os utilizadores anónimos podem enumerar os nomes das contas de domínio e das partilhas de rede.
- Bloquear – impedir a enumeração anónima de contas e partilhas SAM.
Valor hash do Gestor de LAN armazenado na alteração da palavra-passe
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Determine se o valor hash das palavras-passe é armazenado da próxima vez que a palavra-passe for alterada.
- Não configurado – o valor hash não está armazenado
- Bloquear – o Gestor de LAN (LM) armazena o valor hash da nova palavra-passe.
Pedidos de autenticação PKU2U
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests
- Não configurado – permitir pedidos PU2U.
- Bloquear – bloquear pedidos de autenticação PKU2U para o dispositivo.
Restringir ligações RPC remotas ao SAM
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
- Não configurado – utilize o descritor de segurança predefinido, que pode permitir que utilizadores e grupos façam chamadas RPC remotas para o SAM.
- Permitir – negar que utilizadores e grupos façam chamadas RPC remotas para o Gestor de Contas de Segurança (SAM), que armazena contas de utilizador e palavras-passe. Permitir também permite alterar a cadeia SDDL (Security Descriptor Definition Language) predefinida para permitir ou negar explicitamente utilizadores e grupos para efetuar estas chamadas remotas.
  - Descritor de segurança
    Predefinição: não configurado
Segurança De Sessão Mínima para Clientes Baseados em SSP NTLM
Predefinição: Nenhum
LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Esta definição de segurança permite que um servidor exija a negociação da segurança de sessão NTLMv2 e/ou encriptação de 128 bits.
- Nenhum
- Exigir segurança de sessão NTLMv2
- Exigir encriptação de 128 bits
- Encriptação NTLMv2 e de 128 bits
Segurança mínima da sessão para o servidor baseado em SSP NTLM
Predefinição: Nenhum
LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Esta definição de segurança determina que protocolo de autenticação de resposta/desafio é utilizado para inícios de sessão de rede.
- Nenhum
- Exigir segurança de sessão NTLMv2
- Exigir encriptação de 128 bits
- Encriptação NTLMv2 e de 128 bits
Nível de Autenticação do Gestor de LAN
Predefinição: LM e NTLM
LocalPoliciesSecurityOptions CSP: NetworkSecurity_LANManagerAuthenticationLevel
- LM e NTLM
- LM, NTLM e NTLMv2
- NTLM
- NTLMv2
- NTLMv2 e não LM
- NTLMv2 e não LM ou NTLM
Inícios de Sessão de Convidado Inseguros
Predefinição: não configurado
LanmanWorkstation CSP: LanmanWorkstation

Se ativar esta definição, o cliente SMB rejeitará inícios de sessão de convidado inseguros.
- Não configurado
- Bloquear – o cliente SMB rejeita inícios de sessão de convidado inseguros.

Consola de recuperação e encerramento

Limpar o pagefile da memória virtual ao encerrar
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: Shutdown_ClearVirtualMemoryPageFile
- Ativar – limpe o pagefile de memória virtual quando o dispositivo é desligado.
- Não configurado – não limpa a memória virtual.
Encerrar sem iniciar sessão
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
- Bloquear – oculte a opção de encerramento no ecrã de início de sessão do Windows. Os utilizadores têm de iniciar sessão no dispositivo e, em seguida, encerrar.
- Não configurado – permita que os utilizadores encerrem o dispositivo a partir do ecrã de início de sessão do Windows.

Controlo de conta de utilizador

Integridade do UIA sem localização segura
Predefinição: Não Configurado
LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
- Bloquear – as aplicações que estão numa localização segura no sistema de ficheiros só serão executadas com integridade UIAccess.
- Não configurado – permite que as aplicações sejam executadas com a integridade do UIAccess, mesmo que as aplicações não estejam numa localização segura no sistema de ficheiros.
Virtualizar falhas de escrita de ficheiros e registos em localizações por utilizador
Predefinição: Não Configurado
LocalPoliciesSecurityOptions CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
- Ativado – as aplicações que escrevem dados em localizações protegidas falham.
- Não configurado – as falhas de escrita da aplicação são redirecionadas no tempo de execução para localizações de utilizador definidas para o sistema de ficheiros e o registo.
Elevar apenas os ficheiros executáveis assinados e validados
Predefinição: Não Configurado
LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
- Ativado – imponha a validação do caminho de certificação PKI para um ficheiro executável antes de poder ser executado.
- Não configurado – não imponha a validação do caminho de certificação PKI antes de um ficheiro executável poder ser executado.

Comportamento do pedido de elevação do UIA

Pedido de elevação para administradores
Predefinição: pedir consentimento para binários não Windows
LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Defina o comportamento do pedido de elevação para administradores no Modo de Aprovação de Administrador.
- Não configurado
- Elevar sem pedir
- Pedir credenciais no ambiente de trabalho seguro
- Pedir credenciais
- Pedir consentimento
- Pedir consentimento para binários não Windows
Pedido de elevação para utilizadores padrão
Predefinição: pedir credenciais
LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Defina o comportamento do pedido de elevação para utilizadores padrão.
- Não configurado
- Negar automaticamente pedidos de elevação
- Pedir credenciais no ambiente de trabalho seguro
- Pedir credenciais
Pedidos de elevação de rotas para o ambiente de trabalho interativo do utilizador
Predefinição: Não Configurado
LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
- Ativado – todos os pedidos de elevação para aceder ao ambiente de trabalho do utilizador interativo em vez do ambiente de trabalho seguro. São utilizadas quaisquer definições de política de comportamento de pedidos para administradores e utilizadores padrão.
- Não configurado – force todos os pedidos de elevação a ir para o ambiente de trabalho seguro, independentemente das definições de política de comportamento de pedidos para administradores e utilizadores padrão.
Pedido elevado para instalações de aplicações
Predefinição: Não Configurado
LocalPoliciesSecurityOptions CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
- Ativado – os pacotes de instalação da aplicação não são detetados nem pedidos de elevação.
- Não configurado – é pedido aos utilizadores um nome de utilizador administrativo e uma palavra-passe quando um pacote de instalação de aplicações requer privilégios elevados.
Pedido de elevação UIA sem ambiente de trabalho seguro
Predefinição: Não Configurado
LocalPoliciesSecurityOptions CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Ativar – permita que as aplicações UIAccess pedem elevação, sem utilizar o ambiente de trabalho seguro.
Não configurado – os pedidos de elevação utilizam um ambiente de trabalho seguro.

Modo de Aprovação de Administrador

Modo de Aprovação de Administrador para Administrador Incorporado
Predefinição: Não Configurado
LocalPoliciesSecurityOptions CSP: UserAccountControl_UseAdminApprovalMode
- Ativado – permita que a conta de Administrador incorporada utilize o Modo de Aprovação de Administrador. Qualquer operação que necessite de elevação de privilégios pede ao utilizador para aprovar a operação.
- Não configurado – executa todas as aplicações com privilégios de administrador completos.
Executar todos os administradores no Modo de Aprovação de Administrador
Predefinição: Não Configurado
LocalPoliciesSecurityOptions CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode
- Enabled - Ativar o Modo de Aprovação de Administrador.
- Não configurado – desative o Modo de Aprovação de Administrador e todas as definições de política UAC relacionadas.

Microsoft Network Client

Assinar digitalmente comunicações (se o servidor concordar)
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Determina se o cliente SMB negoceia a assinatura de pacotes SMB.
- Bloquear – o cliente SMB nunca negoceia a assinatura de pacotes SMB.
- Não configurado – o cliente de rede da Microsoft pede ao servidor para executar a assinatura de pacotes SMB após a configuração da sessão. Se a assinatura de pacotes estiver ativada no servidor, a assinatura de pacotes é negociada.
Enviar palavra-passe não encriptada para servidores SMB de terceiros
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
- Bloquear – o redirecionador SMB (Server Message Block) pode enviar palavras-passe de texto simples para servidores SMB que não sejam da Microsoft que não suportam a encriptação de palavras-passe durante a autenticação.
- Não configurado – bloqueie o envio de palavras-passe de texto simples. As palavras-passe são encriptadas.
Assinar digitalmente comunicações (sempre)
Predefinição: não configurado
LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways
- Ativar – o cliente de rede da Microsoft não comunica com um servidor de rede da Microsoft, a menos que esse servidor concorde com a assinatura de pacotes SMB.
- Não configurado – a assinatura de pacotes SMB é negociada entre o cliente e o servidor.

Microsoft Network Server

Assinar digitalmente comunicações (se o cliente concordar)
Predefinição: não configurado
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
- Ativar – o servidor de rede da Microsoft negoceia a assinatura de pacotes SMB conforme pedido pelo cliente. Ou seja, se a assinatura de pacotes estiver ativada no cliente, a assinatura de pacotes é negociada.
- Não configurado – o cliente SMB nunca negoceia a assinatura de pacotes SMB.
Assinar digitalmente comunicações (sempre)
Predefinição: não configurado
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways
- Ativar – o servidor de rede da Microsoft não comunica com um cliente de rede da Microsoft, a menos que esse cliente concorde com a assinatura de pacotes SMB.
- Não configurado – a assinatura de pacotes SMB é negociada entre o cliente e o servidor.

Serviços Xbox

Tarefa de Guardar Jogos Xbox
Predefinição: não configurado
CSP: TaskScheduler/EnableXboxGameSaveTask

Esta definição determina se a Tarefa de Guardar Jogos xbox está Ativada ou Desativada.
- Enabled
- Não configurado
Serviço de Gestão de Acessórios Xbox
Predefinição: Manual
CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupMode

Esta definição determina o tipo de início do Serviço de Gestão de Acessórios.
- Manual
- Automático
- Disabled
Serviço Xbox Live Auth Manager
Predefinição: Manual
CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupMode

Esta definição determina o tipo de início do Serviço Live Auth Manager.
- Manual
- Automático
- Disabled
Serviço Xbox Live Game Save
Predefinição: Manual
CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupMode

Esta definição determina o tipo de início do Serviço Live Game Save.
- Manual
- Automático
- Disabled
Serviço de Rede Xbox Live
Predefinição: Manual
CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupMode

Esta definição determina o tipo de início do Serviço de Rede.
- Manual
- Automático
- Disabled

Próximas etapas

O perfil é criado, mas ainda não está a fazer nada. Em seguida, atribua o perfil e monitorize o respetivo estado.

Configurar definições de proteções de pontos finais em dispositivos macOS .

Compartilhar via