Microsoft Defender for Endpoint referenční informace k nastavení standardních hodnot zabezpečení pro Microsoft Intune
Tento článek je referenční dokumentace k nastavení, která jsou k dispozici ve standardních hodnotách zabezpečení Microsoft Defender for Endpoint pro Microsoft Intune.
O tomto referenčním článku
Každý standardní plán zabezpečení je skupina předkonfigurovaných nastavení Windows, která vám pomůžou použít a vynutit podrobná nastavení zabezpečení, která doporučují příslušné týmy zabezpečení. Můžete také přizpůsobit každý směrný plán, který nasadíte, tak, aby vynucovat pouze ta nastavení a hodnoty, které požadujete. Při vytváření profilu standardních hodnot zabezpečení v Intune vytváříte šablonu, která se skládá z několika nastavení konfigurace zařízení.
Podrobnosti uvedené v tomto článku vycházejí z základní verze, kterou vyberete v horní části článku. Pro každou verzi se v tomto článku zobrazí:
- Seznam každého nastavení s jeho konfigurací, jak je uvedeno ve výchozí instanci této základní verze.
- Pokud je k dispozici, odkaz na podkladovou dokumentaci poskytovatele konfiguračních služeb (CSP) nebo jiný související obsah z příslušné produktové skupiny, který poskytuje kontext a případně další podrobnosti o použití nastavení.
Jakmile bude k dispozici nová verze směrného plánu, nahradí předchozí verzi. Instance profilu, které jste vytvořili před dostupností nové verze:
- Staňte se jen pro čtení. Tyto profily můžete dál používat, ale nemůžete je upravit a změnit jejich konfiguraci.
- Lze aktualizovat na aktuální verzi. Po aktualizaci profilu na aktuální základní verzi můžete upravit nastavení úpravou profilu.
Další informace o používání standardních hodnot zabezpečení najdete tady:
- Použití standardních hodnot zabezpečení
- Změna základní verze profilu
- Správa standardních hodnot zabezpečení
Microsoft Defender for Endpoint standardní verze 24H1
Microsoft Defender for Endpoint směrný plán pro prosinec 2020 – verze 6
Microsoft Defender for Endpoint směrný plán pro září 2020 – verze 5
Microsoft Defender for Endpoint směrný plán pro duben 2020 – verze 4
Microsoft Defender for Endpoint směrný plán pro březen 2020 – verze 3
Standardní hodnoty Microsoft Defender for Endpoint jsou k dispozici, pokud vaše prostředí splňuje požadavky pro použití Microsoft Defender for Endpoint.
Tento směrný plán je optimalizovaný pro fyzická zařízení a nedoporučuje se používat na virtuálních počítačích nebo koncových bodech VDI. Některá základní nastavení můžou mít vliv na vzdálené interaktivní relace ve virtualizovaných prostředích. Další informace najdete v tématu Zvýšení dodržování předpisů podle standardních hodnot zabezpečení Microsoft Defender for Endpoint v dokumentaci k Windows.
Šablony pro správu
Omezení instalace zařízení pro instalaci > systémového > zařízení
Zabránit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení
Výchozí směrný plán: Povoleno
Další informaceTřídy, kterým bylo zabráněno
Výchozí hodnota standardního plánu: d48179be-ec20-11d1-b6b8-00c04fa372a7Platí také pro odpovídající zařízení, která jsou už nainstalovaná.
Výchozí směrný plán: False
Součásti windows > – Nástroj BitLocker Drive Encryption
Zvolte metodu šifrování jednotky a sílu šifry (Windows 10 [verze 1511] a novější).
Výchozí směrný plán: Povoleno
Další informaceVyberte metodu šifrování vyměnitelných datových jednotek:
Výchozí směrný plán: AES-CBC 128 bitů (výchozí)Vyberte metodu šifrování pro jednotky operačního systému:
Výchozí hodnota standardního plánu: XTS-AES 128 bitů (výchozí)Vyberte metodu šifrování pevných datových jednotek:
Výchozí hodnota standardního plánu: XTS-AES 128 bitů (výchozí)
Součásti > windows – Pevné datové jednotky nástroje BitLocker Drive Encryption >
Volba způsobu obnovení pevných jednotek chráněných bitlockerem
Výchozí směrný plán: Povoleno
Další informaceNepovolujte nástroj BitLocker, dokud se informace o obnovení neuloží do služby AD DS pro pevné datové jednotky.
Výchozí směrný plán: TruePovolit agenta obnovení dat
Výchozí směrný plán: TrueKonfigurace úložiště informací bitlockeru pro obnovení ve službě AD DS
Výchozí nastavení podle směrného plánu: Hesla a balíčky klíčů pro obnovení zálohHodnota: Povolit 256bitový obnovovací klíč
Uložení informací o obnovení nástroje BitLocker do služby AD DS pro pevné datové jednotky
Výchozí směrný plán: TrueVynechání možností obnovení v průvodci nastavením nástroje BitLocker
Výchozí směrný plán: TrueNakonfigurujte uživatelské úložiště informací bitlockeru pro obnovení:
Výchozí směrný plán: Povolit 48místné heslo pro obnovení
Odepření přístupu k zápisu k pevným jednotkám, které nejsou chráněné nástrojem BitLocker
Výchozí směrný plán: Povoleno
Další informaceVynucení typu šifrování jednotky na pevných datových jednotkách
Výchozí směrný plán: Povoleno
Další informace-
Vyberte typ šifrování: (Zařízení)
Výchozí směrný plán: Šifrování pouze využité místo
-
Vyberte typ šifrování: (Zařízení)
Součásti > systému Windows BitLocker Drive Encryption > – jednotky operačního systému
Umožněte zařízením kompatibilním s InstantGo nebo HSTI, aby se odhlásila z pin kódu před spuštěním.
Výchozí směrný plán: Zakázáno
Další informacePovolit rozšířené PIN kódy pro spuštění
Výchozí směrný plán: Zakázáno
Další informaceVolba způsobu obnovení jednotek operačního systému chráněných bitlockerem
Výchozí směrný plán: Povoleno
Další informaceVynechání možností obnovení v průvodci nastavením nástroje BitLocker
Výchozí směrný plán: TruePovolit agenta obnovení dat
Výchozí směrný plán: TrueHodnota: Povolit 256bitový obnovovací klíč
Konfigurace úložiště informací bitlockeru pro obnovení do služby AD DS:
Výchozí směrný plán: Ukládání hesel pro obnovení a balíčků klíčůNepovolujte nástroj BitLocker, dokud se informace o obnovení neuloží do služby AD DS pro jednotky operačního systému.
Výchozí směrný plán: TrueUložení informací o obnovení nástroje BitLocker do služby AD DS pro jednotky operačního systému
Výchozí směrný plán: TrueNakonfigurujte uživatelské úložiště informací bitlockeru pro obnovení:
Výchozí směrný plán: Povolit 48místné heslo pro obnovení
Povolení ověřování nástrojem BitLocker, které vyžaduje vstup z klávesnice před spuštěním na tabulích
Výchozí směrný plán: Povoleno
Další informaceVynucení typu šifrování jednotky na jednotce operačního systému
Výchozí směrný plán: Povoleno
Další informace-
Vyberte typ šifrování: (Zařízení)
Výchozí směrný plán: Šifrování pouze využité místo
-
Vyberte typ šifrování: (Zařízení)
Vyžadovat další ověřování při spuštění
Výchozí směrný plán: Povoleno
Další informaceKonfigurace spouštěcího klíče a PIN kódu TPM:
Výchozí směrný plán: Nepovolit spouštěcí klíč a PIN kód s čipem TPMKonfigurace spuštění čipu TPM:
Výchozí směrný plán: Povolit čip TPMPovolit BitLocker bez kompatibilního čipu TPM (vyžaduje heslo nebo spouštěcí klíč na USB flash disku)
Výchozí směrný plán: FalseKonfigurace spouštěcího PIN kódu TPM:
Výchozí směrný plán: Povolení spouštěcího PIN kódu s čipem TPMKonfigurace spouštěcího klíče TPM:
Výchozí směrný plán: Nepovolit spouštěcí klíč s čipem TPM
Vyměnitelné datové jednotky pro součásti > windows Nástroje BitLocker Drive Encryption >
Řízení používání nástroje BitLocker na vyměnitelných jednotkách
Výchozí směrný plán: Povoleno
Další informacePovolit uživatelům použít ochranu nástrojem BitLocker na vyměnitelné datové jednotky (zařízení)
Výchozí směrný plán: TrueVynucení typu šifrování jednotky na vyměnitelných datových jednotkách
Výchozí směrný plán: Povoleno
Další informace-
Vyberte typ šifrování: (Zařízení)
Výchozí směrný plán: Šifrování pouze využité místo
-
Vyberte typ šifrování: (Zařízení)
Povolit uživatelům pozastavit a dešifrovat ochranu nástrojem BitLocker na vyměnitelných datových jednotkách (zařízení)
Výchozí směrný plán: False
Odepřít přístup k zápisu k vyměnitelným jednotkám, které nejsou chráněné nástrojem BitLocker
Výchozí směrný plán: Povoleno
Další informace-
Nepovolit přístup k zápisu do zařízení nakonfigurovaných v jiné organizaci
Výchozí směrný plán: False
-
Nepovolit přístup k zápisu do zařízení nakonfigurovaných v jiné organizaci
Průzkumník souborů součásti systému > Windows
Konfigurace filtru SmartScreen v programu Windows Defender
Výchozí směrný plán: Povoleno
Další informace-
Vyberte jedno z následujících nastavení: (Zařízení)
Výchozí nastavení směrného plánu: Upozornění a zabránění obejití
-
Vyberte jedno z následujících nastavení: (Zařízení)
Součásti systému > Windows Internet Explorer
Zabránění obejití upozornění filtru SmartScreen u souborů, které se běžně nestahují z internetu
Výchozí směrný plán: Povoleno
Další informaceZabránit obejití upozornění filtru SmartScreen u souborů, které se běžně nestahují z internetu (uživatel)
Výchozí směrný plán: Povoleno
Další informaceZabránit správě filtru SmartScreen
Výchozí směrný plán: Povoleno
Další informace-
Výběr režimu filtru SmartScreen
Výchozí směrný plán: Zapnuto
-
Výběr režimu filtru SmartScreen
BitLocker
Povolit upozornění pro jiné šifrování disku
Výchozí směrný plán: Povoleno
Další informaceKonfigurace obměně hesel pro obnovení
Výchozí nastavení podle směrného plánu: Aktualizace zapnutá pro zařízení připojená k Azure AD i zařízení připojená k hybridnímu připojení
Další informaceVyžadovat šifrování zařízení
Výchozí směrný plán: Povoleno
Další informace
Defender
Povolit prohledávání archivu
Výchozí směrný plán: Povoleno. Zkontroluje archivní soubory.
Další informacePovolit monitorování chování
Výchozí směrný plán: Povoleno. Zapne monitorování chování v reálném čase.
Další informacePovolit cloudovou ochranu
Výchozí směrný plán: Povoleno. Zapne Cloud Protection.
Další informacePovolit kontrolu Email
Výchozí směrný plán: Povoleno. Zapne kontrolu e-mailů.
Další informacePovolit úplnou kontrolu vyměnitelné jednotky
Výchozí směrný plán: Povoleno. Prohledá vyměnitelné jednotky.
Další informacePovolit při ochraně přístupu
Výchozí směrný plán: Povoleno.
Další informacePovolit monitorování v reálném čase
Výchozí směrný plán: Povoleno. Zapne a spustí monitorovací službu v reálném čase.
Další informacePovolit prohledávání síťových souborů
Výchozí směrný plán: Povoleno. Kontroluje síťové soubory.
Další informacePovolit kontrolu všech stažených souborů a příloh
Výchozí směrný plán: Povoleno.
Další informacePovolit kontrolu skriptů
Výchozí směrný plán: Povoleno.
Další informacePovolit přístup k uživatelskému rozhraní
Výchozí směrný plán: Povoleno. Umožňuje uživatelům přístup k uživatelskému rozhraní.
Další informaceBlokování spouštění potenciálně obfuskovaných skriptů
Výchozí směrný plán: Blokovat
Další informaceBlokování volání rozhraní API Win32 z maker Office
Výchozí směrný plán: Blokovat
Další informaceBlokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu
Výchozí směrný plán: Blokovat
Další informaceBlokovat komunikační aplikaci Office ve vytváření podřízených procesů
Výchozí směrný plán: Blokovat
Další informaceBlokovat vytváření podřízených procesů všem aplikacím Office
Výchozí směrný plán: Blokovat
Další informaceBlokovat Adobe Readeru vytváření podřízených procesů
Výchozí směrný plán: Blokovat
Další informaceBlokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows
Výchozí směrný plán: Blokovat
Další informaceBlokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu
Výchozí směrný plán: Blokovat
Další informaceBlokování vytváření webového prostředí pro servery
Výchozí směrný plán: Blokovat
Další informaceBlokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB
Výchozí směrný plán: Blokovat
Další informaceBlokování trvalosti prostřednictvím odběru událostí WMI
Výchozí směrný plán: Audit
Další informace[PREVIEW] Blokování použití zkopírovaných nebo zosobněných systémových nástrojů
Výchozí směrný plán: Blokovat
Další informaceBlokování zneužití zneužít ohrožených podepsaných ovladačů (zařízení)
Výchozí směrný plán: Blokovat
Další informaceBlokování vytváření procesů pocházejících z příkazů PSExec a WMI
Výchozí směrný plán: Audit
Další informaceBlokování aplikací Office ve vytváření spustitelného obsahu
Výchozí směrný plán: Blokovat
Další informaceBlokování vkládání kódu do jiných procesů aplikací Office
Výchozí směrný plán: Blokovat
Další informace[PREVIEW] Blokovat restartování počítače v nouzovém režimu
Výchozí směrný plán: Blokovat
Další informacePoužití pokročilé ochrany proti ransomwaru
Výchozí směrný plán: Blokovat
Další informaceBlokování spustitelného obsahu z e-mailového klienta a webové pošty
Výchozí směrný plán: Blokovat
Další informace
Kontrola podpisů před spuštěním kontroly
Výchozí směrný plán: Povoleno
Další informaceÚroveň bloku cloudu
Výchozí hodnota směrného plánu: Vysoká
Další informaceProdloužený časový limit cloudu
Výchozí směrný plán: Nakonfigurováno
Hodnota: 50
Další informaceZakázat místní sloučení Správa
Výchozí směrný plán: Povolení místní Správa sloučení
Další informacePovolení ochrany sítě
Výchozí směrný plán: Povoleno (režim blokování)
Další informaceSkrýt vyloučení od místních správců
Výchozí nastavení podle směrného plánu: Pokud toto nastavení povolíte, místní správci už nebudou moct seznam vyloučení zobrazit v Zabezpečení Windows App ani přes PowerShell.
Další informaceSkrýt vyloučení od místních uživatelů
Výchozí směrný plán: Pokud toto nastavení povolíte, místní uživatelé už nebudou moct seznam vyloučení zobrazit v Zabezpečení Windows App ani přes PowerShell.
Další informaceOobe – Povolení aktualizace RTP a Sig
Výchozí výchozí nastavení podle směrného plánu: Pokud toto nastavení povolíte, během počátečního nastavení počítače se povolí ochrana v reálném čase a Aktualizace analýzy zabezpečení.
Další informaceOchrana proti PUA
Výchozí směrný plán: PuA Protection zapnuto. Zjištěné položky jsou blokované. Zobrazí se v historii spolu s dalšími hrozbami.
Další informaceSměr kontroly v reálném čase
Výchozí směrný plán: Monitorujte všechny soubory (obousměrné).
Další informaceParametr kontroly
Výchozí směrný plán: Rychlá kontrola
Další informaceNaplánovat čas rychlé kontroly
Výchozí směrný plán: Nakonfigurováno
Hodnota: 120
Další informaceNaplánovat den kontroly
Výchozí hodnota směrného plánu: Každý den
Další informaceNaplánovat čas kontroly
Výchozí směrný plán: Nakonfigurováno
Hodnota: 120
Další informaceInterval aktualizace podpisu
Výchozí směrný plán: Nakonfigurováno
Hodnota: 4
Další informaceOdeslání souhlasu s ukázkami
Výchozí směrný plán: Automaticky odešlete všechny ukázky.
Další informace
Device Guard
-
Credential Guard
Výchozí směrný plán: (Povoleno s zámkem UEFI) Zapne ochranu Credential Guard se zámkem UEFI.
Další informace
Dma Guard
-
Zásady výčtu zařízení
Výchozí nastavení směrného plánu: Blokovat vše (nejvíce omezující)
Další informace
Brána firewall
Ověření seznamu odvolaných certifikátů
Výchozí směrný plán: Žádné
Další informaceZakázání stavové ftp
Výchozí směrný plán: True
Další informacePovolení brány firewall sítě domény
Výchozí směrný plán: True
Další informacePovolit sloučení místních zásad IPsec
Výchozí směrný plán: True
Další informaceZakázat neviditelný režim
Výchozí směrný plán: False
Další informaceZakázání příchozích oznámení
Výchozí směrný plán: True
Další informaceZakázání odpovědí jednosměrového vysílání na vícesměrové vysílání
Výchozí směrný plán: False
Další informaceGlobální porty umožňují předběžné sloučení uživatelů
Výchozí směrný plán: True
Další informaceZákaz výjimky zabezpečeného paketu Ipsec v neviditelném režimu
Výchozí směrný plán: True
Další informacePovolit sloučení místních zásad
Výchozí směrný plán: True
Další informace
Povolit frontu paketů
Výchozí směrný plán: Nakonfigurováno
Hodnota: Zakázáno
Další informacePovolit bránu firewall privátní sítě
Výchozí směrný plán: True
Další informaceVýchozí příchozí akce pro privátní profil
Výchozí směrný plán: Blokovat
Další informaceZakázání odpovědí jednosměrového vysílání na vícesměrové vysílání
Výchozí směrný plán: False
Další informaceZakázat neviditelný režim
Výchozí směrný plán: False
Další informaceGlobální porty umožňují předběžné sloučení uživatelů
Výchozí směrný plán: True
Další informacePovolit sloučení místních zásad IPsec
Výchozí směrný plán: True
Další informaceZákaz výjimky zabezpečeného paketu Ipsec v neviditelném režimu
Výchozí směrný plán: True
Další informaceZakázání příchozích oznámení
Výchozí směrný plán: True
Další informacePovolit sloučení místních zásad
Výchozí směrný plán: True
Další informaceVýchozí odchozí akce
Výchozí směrný plán: Povolit
Další informaceAplikace pro ověřování umožňují předběžné sloučení uživatelů
Výchozí směrný plán: True
Další informace
Povolit bránu firewall veřejné sítě
Výchozí směrný plán: True
Další informaceZakázat neviditelný režim
Výchozí směrný plán: False
Další informaceVýchozí odchozí akce
Výchozí směrný plán: Povolit
Další informaceZakázání příchozích oznámení
Výchozí směrný plán: True
Další informaceZákaz výjimky zabezpečeného paketu Ipsec v neviditelném režimu
Výchozí směrný plán: True
Další informacePovolit sloučení místních zásad
Výchozí směrný plán: True
Další informaceAplikace pro ověřování umožňují předběžné sloučení uživatelů
Výchozí směrný plán: True
Další informaceVýchozí příchozí akce pro veřejný profil
Výchozí směrný plán: Blokovat
Další informaceZakázání odpovědí jednosměrového vysílání na vícesměrové vysílání
Výchozí směrný plán: False
Další informaceGlobální porty umožňují předběžné sloučení uživatelů
Výchozí směrný plán: True
Další informacePovolit sloučení místních zásad IPsec
Výchozí směrný plán: True
Další informace
Kódování předsdíleného klíče
Výchozí směrný plán: UTF8
Další informaceDoba nečinnosti přidružení zabezpečení
Výchozí směrný plán: Nakonfigurováno
Hodnota: 300
Další informace
Microsoft Edge
Konfigurace filtru SmartScreen Microsoft Defender
Výchozí směrný plán: PovolenoKonfigurace Microsoft Defender filtru SmartScreen tak, aby blokoval potenciálně nežádoucí aplikace
Výchozí směrný plán: PovolenoPovolení Microsoft Defender požadavků DNS filtru SmartScreen
Výchozí směrný plán: PovolenoPovolení nové knihovny SmartScreen
Výchozí směrný plán: PovolenoVynucení Microsoft Defender kontrol filtru SmartScreen při stahování z důvěryhodných zdrojů
Výchozí směrný plán: PovolenoZabránění obejití Microsoft Defender výzev filtru SmartScreen pro weby
Výchozí směrný plán: PovolenoZabránění obejití Microsoft Defender upozornění filtru SmartScreen o stahování
Výchozí směrný plán: Povoleno
Pravidla pro omezení potenciální oblasti útoku
Pravidla omezení potenciální oblasti útoku podporují sloučení nastavení z různých zásad a vytvářejí nadmnožinu zásad pro každé zařízení. Sloučí se jenom nastavení, která nejsou v konfliktu. Konfliktní nastavení se nepřidají do nadmnožině pravidel. Pokud dříve dvě zásady zahrnovaly konflikty pro jedno nastavení, obě zásady se označovaly jako konfliktní a nenasadila by se žádná nastavení z žádného profilu.
Chování při slučování pravidla omezení potenciální oblasti útoku je následující:
- Pro každé zařízení, na které se pravidla vztahují, se vyhodnocují pravidla omezení potenciální oblasti útoku z následujících profilů:
- Zásady > konfigurace zařízení > Profil > ochrany koncových bodů Microsoft Defender Zmenšení prostoru útoku ochrany Exploit Guard >
- Zásady > omezení potenciální oblasti útoku zabezpečení > koncového bodu Pravidla omezení potenciální oblasti útoku
- Standardní hodnoty zabezpečení koncového >> bodu Microsoft Defender for Endpoint pravidla omezení potenciální oblasti útoku podle směrného plánu>.
- Nastavení, která neobsahují konflikty, se přidají do nadmnožiny zásad pro zařízení.
- Pokud mají dvě nebo více zásad konfliktní nastavení, konfliktní nastavení se do kombinované zásady nepřidají, zatímco nastavení, která nejsou v konfliktu, se přidají do zásady nadmnožina, která platí pro zařízení.
- Zadržou se pouze konfigurace pro konfliktní nastavení.
Další informace najdete v tématu Pravidla omezení potenciální oblasti útoku v dokumentaci k Microsoft Defender for Endpoint.
Blokování komunikačních aplikací Office ve vytváření podřízených procesů
Výchozí směrný plán: Povolit
Další informaceBlokovat Adobe Readeru vytváření podřízených procesů
Výchozí směrný plán: Povolit
Další informaceBlokování vkládání kódu do jiných procesů aplikací Office
Výchozí směrný plán: Blokovat
Další informaceBlokování aplikací Office ve vytváření spustitelného obsahu
Výchozí směrný plán: Blokovat
Další informaceBlokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu
Výchozí směrný plán: Blokovat
Další informacePovolení ochrany sítě
Výchozí směrný plán: Povolit
Další informaceBlokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB
Výchozí směrný plán: Blokovat
Další informaceBlokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe)
Výchozí směrný plán: Povolit
Další informaceBlokování stahování spustitelného obsahu z e-mailových a webových e-mailových klientů
Výchozí směrný plán: Blokovat
Další informaceBlokovat vytváření podřízených procesů všem aplikacím Office
Výchozí směrný plán: Blokovat
Další informaceBlokování spouštění potenciálně obfuskovaných skriptů (js/vbs/ps)
Výchozí směrný plán: Blokovat
Další informaceBlokování volání rozhraní API Win32 z makra Office
Výchozí směrný plán: Blokovat
Další informace
Ochrana Application Guard
Další informace najdete v tématu WindowsDefenderApplicationGuard CSP v dokumentaci k Windows.
Když používáte Microsoft Edge, Ochrana Application Guard v programu Microsoft Defender chrání vaše prostředí před weby, kterým vaše organizace nedůvěřuje. Když uživatelé navštíví weby, které nejsou uvedené v izolované síti, weby se otevřou ve virtuální relaci procházení Hyper-V. Důvěryhodné weby jsou definovány hranicí sítě.
Zapnutí Ochrana Application Guard pro Edge (možnosti)
Výchozí směrný plán: Povoleno pro Edge
Další informaceBlokování externího obsahu z webů neschválených podnikem
Výchozí směrný plán: Ano
Další informaceChování schránky
Výchozí směrný plán: Blokování kopírování a vkládání mezi počítačem a prohlížečem
Další informace
Zásady izolace sítě ve Windows
Výchozí směrný plán: Konfigurace
Další informace-
Síťové domény
Výchozí směrný plán: securitycenter.windows.com
-
Síťové domény
BitLocker
Vyžadovat šifrování paměťových karet (jenom mobilní zařízení)
Výchozí směrný plán: Ano
Další informacePoznámka
Podpora pro Windows 10 Mobile a Windows Phone 8.1 skončila v srpnu 2020.
Povolení šifrování celého disku pro operační systém a pevné datové jednotky
Výchozí směrný plán: Ano
Další informaceZásady systémové jednotky nástroje BitLocker
Výchozí směrný plán: Konfigurace
Další informace-
Konfigurace metody šifrování pro jednotky s operačním systémem
Výchozí směrný plán: Nenakonfigurováno
Další informace
-
Konfigurace metody šifrování pro jednotky s operačním systémem
Zásady pevných jednotek nástroje BitLocker
Výchozí směrný plán: Konfigurace
Další informaceBlokování přístupu k zápisu na pevné datové jednotky, které nejsou chráněné nástrojem BitLocker
Výchozí směrný plán: Ano
Další informace
Toto nastavení je dostupné, když je zásada pevných jednotek nástroje BitLocker nastavená na Konfigurovat.Konfigurace metody šifrování pro pevné datové jednotky
Výchozí směrný plán: AES 128bitová verze XTS
Další informace
Zásady vyměnitelné jednotky nástroje BitLocker
Výchozí směrný plán: Konfigurace
Další informaceKonfigurace metody šifrování pro vyměnitelné datové jednotky
Výchozí směrný plán: AES 128bitová CBC
Další informaceBlokování přístupu k zápisu k vyměnitelným datovým jednotkám, které nejsou chráněné nástrojem BitLocker
Výchozí směrný plán: Nenakonfigurováno
Další informace
Pohotovostní stavy při režimu spánku při napájení z baterie Výchozí směrný plán: Zakázáno
Další informacePohotovostní stavy při režimu spánku při napájení ze sítě
Výchozí směrný plán: Zakázáno
Další informacePovolení šifrování celého disku pro operační systém a pevné datové jednotky
Výchozí směrný plán: Ano
Další informaceZásady systémové jednotky nástroje BitLocker
Výchozí směrný plán: Konfigurace
Další informaceVyžaduje se ověřování při spuštění.
Výchozí směrný plán: Ano
Další informaceKompatibilní spouštěcí PIN kód TPM
Výchozí směrný plán: Povoleno
Další informaceKompatibilní spouštěcí klíč TPM
Výchozí směrný plán: Povinné
Další informaceZakázání nástroje BitLocker na zařízeních s nekompatibilním čipem TPM
Výchozí směrný plán: Ano
Další informaceKonfigurace metody šifrování pro jednotky s operačním systémem
Výchozí směrný plán: Nenakonfigurováno
Další informace
Zásady pevných jednotek nástroje BitLocker
Výchozí směrný plán: Konfigurace
Další informaceBlokování přístupu k zápisu na pevné datové jednotky, které nejsou chráněné nástrojem BitLocker
Výchozí směrný plán: Ano
Další informace
Toto nastavení je dostupné, když je zásada pevných jednotek nástroje BitLocker nastavená na Konfigurovat.Konfigurace metody šifrování pro pevné datové jednotky
Výchozí směrný plán: AES 128bitová verze XTS
Další informace
Zásady vyměnitelné jednotky nástroje BitLocker
Výchozí směrný plán: Konfigurace
Další informaceKonfigurace metody šifrování pro vyměnitelné datové jednotky
Výchozí směrný plán: AES 128bitová CBC
Další informaceBlokování přístupu k zápisu k vyměnitelným datovým jednotkám, které nejsou chráněné nástrojem BitLocker
Výchozí směrný plán: Nenakonfigurováno
Další informace
Zásady systémové jednotky nástroje BitLocker
Výchozí směrný plán: Konfigurace
Další informaceVyžaduje se ověřování při spuštění.
Výchozí směrný plán: Ano
Další informaceKompatibilní spouštěcí PIN kód TPM
Výchozí směrný plán: Povoleno
Další informaceKompatibilní spouštěcí klíč TPM
Výchozí směrný plán: Povinné
Další informaceZakázání nástroje BitLocker na zařízeních s nekompatibilním čipem TPM
Výchozí směrný plán: Ano
Další informaceKonfigurace metody šifrování pro jednotky s operačním systémem
Výchozí směrný plán: Nenakonfigurováno
Další informace
Pohotovostní stavy při režimu spánku při napájení z baterie Výchozí směrný plán: Zakázáno
Další informacePohotovostní stavy při režimu spánku při napájení ze sítě
Výchozí směrný plán: Zakázáno
Další informacePovolení šifrování celého disku pro operační systém a pevné datové jednotky
Výchozí směrný plán: Ano
Další informaceZásady pevných jednotek nástroje BitLocker
Výchozí směrný plán: Konfigurace
Další informaceBlokování přístupu k zápisu na pevné datové jednotky, které nejsou chráněné nástrojem BitLocker
Výchozí směrný plán: Ano
Další informace
Toto nastavení je dostupné, když je zásada pevných jednotek nástroje BitLocker nastavená na Konfigurovat.Konfigurace metody šifrování pro pevné datové jednotky
Výchozí směrný plán: AES 128bitová verze XTS
Další informace
Zásady vyměnitelné jednotky nástroje BitLocker
Výchozí směrný plán: Konfigurace
Další informaceKonfigurace metody šifrování pro vyměnitelné datové jednotky
Výchozí směrný plán: AES 128bitová CBC
Další informaceBlokování přístupu k zápisu k vyměnitelným datovým jednotkám, které nejsou chráněné nástrojem BitLocker
Výchozí směrný plán: Nenakonfigurováno
Další informace
Prohlížeč
Vyžadovat filtr SmartScreen pro Microsoft Edge
Výchozí směrný plán: Ano
Další informaceBlokování škodlivého přístupu k webu
Výchozí směrný plán: Ano
Další informaceBlokovat stahování neověřených souborů
Výchozí směrný plán: Ano
Další informace
Ochrana dat
-
Blokovat přímý přístup k paměti
Výchozí směrný plán: Ano
Další informace
Device Guard
-
Zapnutí ochrany přihlašovacích údajů
Výchozí nastavení standardních hodnot: Povolení s zámkem UEFI
Další informace
Instalace zařízení
Instalace hardwarového zařízení podle identifikátorů zařízení
Výchozí nastavení podle směrného plánu: Blokovat instalaci hardwarového zařízení
Další informaceOdebrání odpovídajících hardwarových zařízení Výchozí směrný plán: Ano
Zablokované identifikátory hardwarových zařízení
Výchozí směrný plán: Ve výchozím nastavení není nakonfigurované. Ručně přidejte jeden nebo více identifikátorů zařízení.
Instalace hardwarového zařízení podle tříd nastavení
Výchozí nastavení podle směrného plánu: Blokovat instalaci hardwarového zařízení
Další informaceOdebrání odpovídajících hardwarových zařízení Výchozí směrný plán: Nenakonfigurováno
Zablokované identifikátory hardwarových zařízení Výchozí směrný plán: Ve výchozím nastavení není nakonfigurované. Ručně přidejte jeden nebo více identifikátorů zařízení.
Blokovat instalaci hardwarového zařízení podle instalačních tříd:
Výchozí směrný plán: Ano
Další informaceOdeberte odpovídající hardwarová zařízení:
Výchozí směrný plán: AnoSeznam blokovaných položek
Výchozí směrný plán: Ve výchozím nastavení není nakonfigurované. Ručně přidejte jeden nebo více globálně jedinečných identifikátorů třídy nastavení.
DMA Guard
-
Výčet externích zařízení nekompatibilních s ochranou jádra DMA
Výchozí směrný plán: Blokovat vše
Další informace
-
Výčet externích zařízení nekompatibilních s ochranou jádra DMA
Výchozí směrný plán: Nenakonfigurováno
Další informace
Detekce koncových bodů a reakce na ně
Ukázkové sdílení pro všechny soubory
Výchozí směrný plán: Ano
Další informaceZrychlit frekvenci generování sestav telemetrie
Výchozí směrný plán: Ano
Další informace
Brána firewall
Protokol FTP (Stateful File Transfer Protocol)
Výchozí směrný plán: Zakázáno
Další informacePočet sekund, po které může být přidružení zabezpečení nečinné, než se odstraní
Výchozí směrný plán: 300
Další informaceKódování předsdíleného klíče
Výchozí směrný plán: UTF8
Další informaceOvěření seznamu odvolaných certifikátů (CRL)
Výchozí směrný plán: Nenakonfigurováno
Další informaceŘazení paketů do fronty
Výchozí směrný plán: Nenakonfigurováno
Další informacePrivátní profil brány firewall
Výchozí směrný plán: Konfigurace
Další informaceZablokovaná příchozí připojení
Výchozí směrný plán: Ano
Další informaceVyžadují se jednosměrové odpovědi na vícesměrová vysílání.
Výchozí směrný plán: Ano
Další informacePožadovaná odchozí připojení
Výchozí směrný plán: Ano
Další informaceZablokovaná příchozí oznámení
Výchozí směrný plán: Ano
Další informaceGlobální pravidla portů ze zásad skupiny se sloučila
Výchozí směrný plán: Ano
Další informaceBrána firewall povolená
Výchozí směrný plán: Povoleno
Další informacePravidla autorizovaných aplikací ze zásad skupiny se neslučují
Výchozí směrný plán: Ano
Další informacePravidla zabezpečení připojení ze zásad skupiny se neslučují
Výchozí směrný plán: Ano
Další informaceVyžaduje se příchozí provoz.
Výchozí směrný plán: Ano
Další informacePravidla zásad ze zásad skupiny se neslučují
Výchozí směrný plán: Ano
Další informace
-
Zablokovaný neviditelný režim
Výchozí směrný plán: Ano
Další informace
Veřejný profil brány firewall
Výchozí směrný plán: Konfigurace
Další informaceZablokovaná příchozí připojení
Výchozí směrný plán: Ano
Další informaceVyžadují se jednosměrové odpovědi na vícesměrová vysílání.
Výchozí směrný plán: Ano
Další informacePožadovaná odchozí připojení
Výchozí směrný plán: Ano
Další informacePravidla autorizovaných aplikací ze zásad skupiny se neslučují
Výchozí směrný plán: Ano**
Další informaceZablokovaná příchozí oznámení
Výchozí směrný plán: Ano
Další informaceGlobální pravidla portů ze zásad skupiny se sloučila
Výchozí směrný plán: Ano
Další informaceBrána firewall povolená
Výchozí směrný plán: Povoleno
Další informacePravidla zabezpečení připojení ze zásad skupiny se neslučují
Výchozí směrný plán: Ano
Další informaceVyžaduje se příchozí provoz.
Výchozí směrný plán: Ano
Další informacePravidla zásad ze zásad skupiny se neslučují
Výchozí směrný plán: Ano
Další informace
-
Zablokovaný neviditelný režim
Výchozí směrný plán: Ano
Další informace
Doména profilu brány firewall
Výchozí směrný plán: Konfigurace
Další informaceVyžadují se jednosměrové odpovědi na vícesměrová vysílání.
Výchozí směrný plán: Ano
Další informacePravidla autorizovaných aplikací ze zásad skupiny se neslučují
Výchozí směrný plán: Ano
Další informaceZablokovaná příchozí oznámení
Výchozí směrný plán: Ano
Další informaceGlobální pravidla portů ze zásad skupiny se sloučila
Výchozí směrný plán: Ano
Další informaceBrána firewall povolená
Výchozí směrný plán: Povoleno
Další informacePravidla zabezpečení připojení ze zásad skupiny se neslučují
Výchozí směrný plán: Ano
Další informacePravidla zásad ze zásad skupiny se neslučují
Výchozí směrný plán: Ano
Další informace
-
Zablokovaný neviditelný režim
Výchozí směrný plán: Ano
Další informace
Microsoft Defender
Zapnutí ochrany v reálném čase
Výchozí směrný plán: Ano
Další informaceDalší doba (0–50 sekund) k prodloužení časového limitu cloudové ochrany
Výchozí směrný plán: 50
Další informaceKontrola všech stažených souborů a příloh
Výchozí směrný plán: Ano
Další informaceTyp kontroly
Výchozí směrný plán: Rychlá kontrola
Další informaceDen kontroly plánu defenderu:
Výchozí směrný plán: Každý denČas spuštění kontroly defenderu:
Výchozí směrný plán: NenakonfigurovánoSouhlas s odesláním ukázky defenderu
Výchozí směrný plán: Automatické odesílání bezpečných vzorků
Další informaceÚroveň ochrany poskytované cloudem
Výchozí hodnota směrného plánu: Vysoká
Další informaceKontrola vyměnitelných jednotek během úplné kontroly
Výchozí směrný plán: Ano
Další informaceAkce potenciálně nežádoucí aplikace Defenderu
Výchozí směrný plán: Blokovat
Další informaceZapnutí cloudové ochrany
Výchozí směrný plán: Ano
Další informace
Zapnutí ochrany v reálném čase
Výchozí směrný plán: Ano
Další informaceDalší doba (0–50 sekund) k prodloužení časového limitu cloudové ochrany
Výchozí směrný plán: 50
Další informaceKontrola všech stažených souborů a příloh
Výchozí směrný plán: Ano
Další informaceTyp kontroly
Výchozí směrný plán: Rychlá kontrola
Další informaceSouhlas s odesláním ukázky defenderu
Výchozí směrný plán: Automatické odesílání bezpečných vzorků
Další informaceÚroveň ochrany poskytované cloudem
Výchozí hodnota směrného plánu: Vysoká
Další informaceKontrola vyměnitelných jednotek během úplné kontroly
Výchozí směrný plán: Ano
Další informaceAkce potenciálně nežádoucí aplikace Defenderu
Výchozí směrný plán: Blokovat
Další informaceZapnutí cloudové ochrany
Výchozí směrný plán: Ano
Další informace
Spustit denní rychlou kontrolu na adrese
Výchozí směrný plán: 2:00
Další informaceNaplánovaný čas spuštění kontroly
Výchozí směrný plán: 2:00Konfigurace nízké priority procesoru pro plánované kontroly
Výchozí směrný plán: Ano
Další informaceBlokování komunikačních aplikací Office ve vytváření podřízených procesů
Výchozí směrný plán: Povolit
Další informaceBlokovat Adobe Readeru vytváření podřízených procesů
Výchozí směrný plán: Povolit
Další informaceKontrola příchozích e-mailových zpráv
Výchozí směrný plán: Ano
Další informaceZapnutí ochrany v reálném čase
Výchozí směrný plán: Ano
Další informacePočet dnů (0 až 90) pro uchování malwaru v karanténě
Výchozí směrný plán: 0
Další informacePlán kontroly systému Defender
Výchozí směrný plán: Definované uživatelem
Další informaceDalší doba (0–50 sekund) k prodloužení časového limitu cloudové ochrany
Výchozí směrný plán: 50
Další informaceKontrola mapovaných síťových jednotek během úplné kontroly
Výchozí směrný plán: Ano
Další informaceZapnutí ochrany sítě
Výchozí směrný plán: Ano
Další informaceKontrola všech stažených souborů a příloh
Výchozí směrný plán: Ano
Další informaceBlokovat ochranu přístupu
Výchozí směrný plán: Nenakonfigurováno
Další informaceSkenování skriptů prohlížeče
Výchozí směrný plán: Ano
Další informaceBlokování přístupu uživatelů k aplikaci Microsoft Defender
Výchozí směrný plán: Ano
Další informaceMaximální povolené využití procesoru (0–100 procent) na kontrolu
Výchozí směrný plán: 50
Další informaceTyp kontroly
Výchozí směrný plán: Rychlá kontrola
Další informaceZadejte, jak často (0–24 hodin) se má kontrolovat aktualizace bezpečnostních funkcí.
Výchozí směrný plán: 8
Další informaceSouhlas s odesláním ukázky defenderu
Výchozí směrný plán: Automatické odesílání bezpečných vzorků
Další informaceÚroveň ochrany poskytované cloudem
Výchozí směrný plán: *Nenakonfigurováno
Další informaceProhledat archivní soubory
Výchozí směrný plán: Ano
Další informaceZapnutí monitorování chování
Výchozí směrný plán: Ano
Další informaceKontrola vyměnitelných jednotek během úplné kontroly
Výchozí směrný plán: Ano
Další informaceKontrola síťových souborů
Výchozí směrný plán: Ano
Další informaceAkce potenciálně nežádoucí aplikace Defenderu
Výchozí směrný plán: Blokovat
Další informaceZapnutí cloudové ochrany
Výchozí směrný plán: Ano
Další informaceBlokování vkládání kódu do jiných procesů aplikací Office
Výchozí směrný plán: Blokovat
Další informaceBlokování aplikací Office ve vytváření spustitelného obsahu
Výchozí směrný plán: Blokovat
Další informaceBlokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu
Výchozí směrný plán: Blokovat
Další informacePovolení ochrany sítě
Výchozí směrný plán: Režim auditování
Další informaceBlokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB
Výchozí směrný plán: Blokovat
Další informaceBlokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe)
Výchozí směrný plán: Povolit
Další informaceBlokování stahování spustitelného obsahu z e-mailových a webových e-mailových klientů
Výchozí směrný plán: Blokovat
Další informaceBlokovat vytváření podřízených procesů všem aplikacím Office
Výchozí směrný plán: Blokovat
Další informaceBlokování spouštění potenciálně obfuskovaných skriptů (js/vbs/ps)
Výchozí směrný plán: Blokovat
Další informaceBlokování volání rozhraní API Win32 z makra Office
Výchozí směrný plán: Blokovat
Další informace
Spustit denní rychlou kontrolu na adrese
Výchozí směrný plán: 2:00
Další informaceNaplánovaný čas spuštění kontroly
Výchozí směrný plán: 2:00Konfigurace nízké priority procesoru pro plánované kontroly
Výchozí směrný plán: Ano
Další informaceBlokování komunikačních aplikací Office ve vytváření podřízených procesů
Výchozí směrný plán: Povolit
Další informaceBlokovat Adobe Readeru vytváření podřízených procesů
Výchozí směrný plán: Povolit
Další informaceKontrola příchozích e-mailových zpráv
Výchozí směrný plán: Ano
Další informaceZapnutí ochrany v reálném čase
Výchozí směrný plán: Ano
Další informacePočet dnů (0 až 90) pro uchování malwaru v karanténě
Výchozí směrný plán: 0
Další informacePlán kontroly systému Defender
Výchozí směrný plán: Definované uživatelem
Další informaceDalší doba (0–50 sekund) k prodloužení časového limitu cloudové ochrany
Výchozí směrný plán: 50
Další informaceKontrola mapovaných síťových jednotek během úplné kontroly
Výchozí směrný plán: Ano
Další informaceZapnutí ochrany sítě
Výchozí směrný plán: Ano
Další informaceKontrola všech stažených souborů a příloh
Výchozí směrný plán: Ano
Další informaceBlokovat ochranu přístupu
Výchozí směrný plán: Nenakonfigurováno
Další informaceSkenování skriptů prohlížeče
Výchozí směrný plán: Ano
Další informaceBlokování přístupu uživatelů k aplikaci Microsoft Defender
Výchozí směrný plán: Ano
Další informaceMaximální povolené využití procesoru (0–100 procent) na kontrolu
Výchozí směrný plán: 50
Další informaceTyp kontroly
Výchozí směrný plán: Rychlá kontrola
Další informaceZadejte, jak často (0–24 hodin) se má kontrolovat aktualizace bezpečnostních funkcí.
Výchozí směrný plán: 8
Další informaceSouhlas s odesláním ukázky defenderu
Výchozí směrný plán: Automatické odesílání bezpečných vzorků
Další informaceÚroveň ochrany poskytované cloudem
Výchozí směrný plán: *Nenakonfigurováno
Další informaceProhledat archivní soubory
Výchozí směrný plán: Ano
Další informaceZapnutí monitorování chování
Výchozí směrný plán: Ano
Další informaceKontrola vyměnitelných jednotek během úplné kontroly
Výchozí směrný plán: Ano
Další informaceKontrola síťových souborů
Výchozí směrný plán: Ano
Další informaceAkce potenciálně nežádoucí aplikace Defenderu
Výchozí směrný plán: Blokovat
Další informaceZapnutí cloudové ochrany
Výchozí směrný plán: Ano
Další informaceBlokování vkládání kódu do jiných procesů aplikací Office
Výchozí směrný plán: Blokovat
Další informaceBlokování aplikací Office ve vytváření spustitelného obsahu
Výchozí směrný plán: Blokovat
Další informaceBlokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu
Výchozí směrný plán: Blokovat
Další informacePovolení ochrany sítě
Výchozí směrný plán: Režim auditování
Další informaceBlokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB
Výchozí směrný plán: Blokovat
Další informaceBlokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe)
Výchozí směrný plán: Povolit
Další informaceBlokování stahování spustitelného obsahu z e-mailových a webových e-mailových klientů
Výchozí směrný plán: Blokovat
Další informaceBlokovat vytváření podřízených procesů všem aplikacím Office
Výchozí směrný plán: Blokovat
Další informaceBlokování spouštění potenciálně obfuskovaných skriptů (js/vbs/ps)
Výchozí směrný plán: Blokovat
Další informaceBlokování volání rozhraní API Win32 z makra Office
Výchozí směrný plán: Blokovat
Další informace
Centrum zabezpečení v programu Microsoft Defender
-
Blokovat uživatelům úpravy rozhraní ochrany Exploit Guard
Výchozí směrný plán: Ano
Další informace
Inteligentní obrazovka
Blokovat uživatelům ignorování upozornění filtru SmartScreen
Výchozí směrný plán: Ano
Další informaceZapnutí filtru Windows SmartScreen
Výchozí směrný plán: Ano
Další informaceVyžadovat filtr SmartScreen pro Microsoft Edge
Výchozí směrný plán: Ano
Další informaceBlokování škodlivého přístupu k webu
Výchozí směrný plán: Ano
Další informaceBlokovat stahování neověřených souborů
Výchozí směrný plán: Ano
Další informaceKonfigurace filtru SmartScreen Microsoft Defender
Výchozí směrný plán: PovolenoZabránění obejití Microsoft Defender výzev filtru SmartScreen pro weby
Výchozí směrný plán: PovolenoZabránění obejití Microsoft Defender upozornění filtru SmartScreen o stahování
Výchozí směrný plán: PovolenoKonfigurace Microsoft Defender filtru SmartScreen tak, aby blokoval potenciálně nežádoucí aplikace
Výchozí směrný plán: Povoleno
Vyžadovat jenom aplikace ze Storu
Výchozí směrný plán: AnoZapnutí filtru Windows SmartScreen
Výchozí směrný plán: Ano
Další informace
Windows Hello pro firmy
Další informace najdete v tématu PassportForWork CSP v dokumentaci k Windows.
Blokovat Windows Hello pro firmy
Výchozí směrný plán: ZakázánoMalá písmena v PIN kódu Výchozí směrný plán: Povoleno
Speciální znaky v PIN kódu Výchozí směrný plán: Povoleno
Velká písmena v PIN kódu Výchozí směrný plán: Povoleno