Intune Microsoft Defender for Endpoint安全基线中的设置列表

项目
09/10/2024

本文参考了可使用 Microsoft Intune 部署的不同版本的 Microsoft Defender for Endpoint 安全基线中可用的设置。使用选项卡可以选择和查看最新基线版本和几个可能仍在使用的旧版本中的设置。

对于每个设置，此参考标识基线默认配置，这也是相关安全团队提供的该设置的建议配置。由于产品和安全环境不断演变，因此一个基线版本中的建议默认值可能与在同一基线的更高版本中发现的默认值不匹配。不同的基线类型（如 MDM 安全性和Defender for Endpoint 基线）也可以设置不同的默认值。

当Intune UI 包含设置的“了解详细信息”链接时，你也会在此处找到该链接。使用该链接可以查看设置 策略配置服务提供商 (CSP) 或说明设置操作的相关内容。

当新版本的基线可用时，它将替换以前的版本。在新版本可用性之前创建的配置文件实例：

变为只读。可以继续使用这些配置文件，但无法编辑它们以更改其配置。
可以更新到最新版本。将配置文件更新到当前基线版本后，可以编辑配置文件以修改设置。

若要详细了解如何使用安全基线，请参阅使用安全基线。在本文中，你还将找到有关如何执行以下操作的信息：

更改配置文件的基线版本，以更新配置文件以使用该基线的最新版本。

Microsoft Defender for Endpoint基线版本 24H1

2020 年 12 月 Microsoft Defender for Endpoint 基线 - 版本 6

2020 年 9 月的Microsoft Defender for Endpoint基线 - 版本 5

2020 年 4 月 Microsoft Defender for Endpoint 基线 - 版本 4

2020 年 3 月 Microsoft Defender for Endpoint 基线 - 版本 3

当环境满足使用Microsoft Defender for Endpoint的先决条件时，可以使用Microsoft Defender for Endpoint基线。

此基线针对物理设备进行了优化，不建议在虚拟机 (VM) 或 VDI 终结点上使用。某些基线设置可能会影响虚拟化环境中的远程交互式会话。有关详细信息，请参阅 Windows 文档中的提高 Microsoft Defender for Endpoint 安全基线的符合性。

管理模板

系统 > 设备安装 > 设备安装限制

阻止使用与这些设备安装类匹配的驱动程序安装设备
基线默认值： 已启用
了解更多
- 已阻止的类
  基线默认值： d48179be-ec20-11d1-b6b8-00c04fa372a7
- 也适用于已安装的匹配设备。
  基线默认值： False

Windows 组件 > BitLocker 驱动器加密

选择驱动器加密方法和密码强度 (Windows 10 [版本 1511] 及更高版本)
基线默认值： 已启用
了解更多
- 选择可移动数据驱动器的加密方法：
  基线默认值： AES-CBC 128 位 (默认)
- 选择操作系统驱动器的加密方法：
  基线默认值： XTS-AES 128 位 (默认)
- 选择固定数据驱动器的加密方法：
  基线默认值： XTS-AES 128 位 (默认)

Windows 组件 > BitLocker 驱动器加密 > 固定数据驱动器

选择如何恢复受 BitLocker 保护的固定驱动器
基线默认值： 已启用
了解更多
- 在将恢复信息存储到固定数据驱动器的 AD DS 之前，请勿启用 BitLocker
  基线默认值： True
- 允许数据恢复代理
  基线默认值： True
- 配置将 BitLocker 恢复信息存储到 AD DS：
  基线默认值： 备份恢复密码和密钥包
  
  值： 允许 256 位恢复密钥
- 将 BitLocker 恢复信息保存到固定数据驱动器的 AD DS
  基线默认值： True
- 省略 BitLocker 安装向导中的恢复选项
  基线默认值： True
- 配置 BitLocker 恢复信息的用户存储：
  基线默认值： 允许 48 位恢复密码
拒绝对不受 BitLocker 保护的固定驱动器的写入访问权限
基线默认值： 已启用
了解更多
强制固定数据驱动器上的驱动器加密类型
基线默认值： 已启用
了解更多
- 选择加密类型： (设备)
  基线默认值： 仅使用空间加密

Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器

允许符合 InstantGo 或 HSTI 的设备选择退出预启动 PIN。
基线默认值：禁用
了解更多
允许增强型启动 PIN
基线默认值：禁用
了解更多
选择如何恢复受 BitLocker 保护的操作系统驱动器
基线默认值： 已启用
了解更多
- 省略 BitLocker 安装向导中的恢复选项
  基线默认值： True
- 允许数据恢复代理
  基线默认值： True
  
  值： 允许 256 位恢复密钥
- 配置将 BitLocker 恢复信息存储到 AD DS：
  基线默认值： 存储恢复密码和密钥包
- 在将恢复信息存储到操作系统驱动器的 AD DS 之前，请勿启用 BitLocker
  基线默认值： True
- 将 BitLocker 恢复信息保存到操作系统驱动器的 AD DS
  基线默认值： True
- 配置 BitLocker 恢复信息的用户存储：
  基线默认值： 允许 48 位恢复密码
启用 BitLocker 身份验证，要求盖板上的预启动键盘输入
基线默认值： 已启用
了解更多
在操作系统驱动器上强制实施驱动器加密类型
基线默认值： 已启用
了解更多
- 选择加密类型： (设备)
  基线默认值： 仅使用空间加密
启动时需要其他身份验证
基线默认值： 已启用
了解更多
- 配置 TPM 启动密钥和 PIN：
  基线默认值： 不允许使用 TPM 的启动密钥和 PIN
- 配置 TPM 启动：
  基线默认值： 允许 TPM
- 允许没有兼容的 TPM 的 BitLocker (需要 USB 闪存驱动器上的密码或启动密钥)
  基线默认值： False
- 配置 TPM 启动 PIN：
  基线默认值： 允许使用 TPM 启动 PIN
- 配置 TPM 启动密钥：
  基线默认值： 不允许使用 TPM 启动密钥

Windows 组件 > BitLocker 驱动器加密 > 可移动数据驱动器

控制在可移除驱动器上对 BitLocker 的使用
基线默认值： 已启用
了解更多
- 允许用户对可移动数据驱动器 (设备) 应用 BitLocker 保护
  基线默认值： True
  - 强制可移除数据驱动器上的驱动器加密类型
    基线默认值： 已启用
    了解更多
    - 选择加密类型： (设备)
      基线默认值： 仅使用空间加密
- 允许用户暂停和解密可移动数据驱动器上的 BitLocker 保护 (设备)
  基线默认值： False
拒绝对不受 BitLocker 保护的可移动驱动器的写入访问权限
基线默认值： 已启用
了解更多
- 不允许对另一个组织中配置的设备的写入访问权限
  基线默认值： False

Windows 组件>文件资源管理器

配置 Windows Defender SmartScreen
基线默认值： 已启用
了解更多
- 选择以下设置之一： (设备)
  基线默认值： 警告并阻止绕过

Windows 组件 > Internet Explorer

防止绕过有关通常不从 Internet 下载的文件的 SmartScreen 筛选器警告
基线默认值： 已启用
了解更多
防止绕过有关通常不从 Internet 下载的文件的 SmartScreen 筛选器警告 (用户)
基线默认值： 已启用
了解更多
阻止管理 SmartScreen 筛选器
基线默认值： 已启用
了解更多
- 选择 SmartScreen 筛选器模式
  基线默认值：打开

BitLocker

允许对其他磁盘加密发出警告
基线默认值： 已启用
了解更多
配置恢复密码轮换
基线默认值： 为已加入 Azure AD 和已加入混合的设备刷新
了解更多
要求设备加密
基线默认值： 已启用
了解更多

Defender

允许存档扫描
基线默认值： 允许。扫描存档文件。
了解更多
允许行为监视
基线默认值： 允许。启用实时行为监视。
了解更多
允许云保护
基线默认值： 允许。打开云保护。
了解更多
允许Email扫描
基线默认值： 允许。启用电子邮件扫描。
了解更多
允许完全扫描可移动驱动器扫描
基线默认值： 允许。扫描可移动驱动器。
了解更多
允许访问保护
基线默认值： 允许。
了解更多
允许实时监视
基线默认值： 允许。打开并运行实时监视服务。
了解更多
允许扫描网络文件
基线默认值： 允许。扫描网络文件。
了解更多
允许扫描所有下载的文件和附件
基线默认值： 允许。
了解更多
允许脚本扫描
基线默认值： 允许。
了解更多
允许用户 UI 访问
基线默认值： 允许。允许用户访问 UI。
了解更多
- 阻止执行可能已模糊处理的脚本
  基线默认值：阻止
  了解更多
- 阻止来自 Office 宏的 Win32 API 调用
  基线默认值：阻止
  了解更多
- 阻止可执行文件运行，除非它们符合流行率、年龄或受信任列表条件
  基线默认值：阻止
  了解更多
- 阻止 Office 通信应用程序创建子进程
  基线默认值：阻止
  了解更多
- 阻止所有 Office 应用程序创建子进程
  基线默认值：阻止
  了解更多
- 阻止 Adobe Reader 创建子进程
  基线默认值：阻止
  了解更多
- 阻止从 Windows 本地安全机构子系统窃取凭据
  基线默认值：阻止
  了解更多
- 阻止 JavaScript 或 VBScript 启动下载的可执行内容
  基线默认值：阻止
  了解更多
- 阻止为服务器创建 Webshell
  基线默认值：阻止
  了解更多
- 阻止从 USB 运行的不受信任和未签名的进程
  基线默认值：阻止
  了解更多
- 通过 WMI 事件订阅阻止持久性
  基线默认值：审核
  了解更多
- [预览]阻止使用复制或模拟的系统工具
  基线默认值：阻止
  了解更多
- 阻止滥用被利用的易受攻击的已签名驱动程序 (设备)
  基线默认值：阻止
  了解更多
- 阻止源自 PSExec 和 WMI 命令的进程创建
  基线默认值：审核
  了解更多
- 阻止 Office 应用程序创建可执行内容
  基线默认值：阻止
  了解更多
- 阻止 Office 应用程序将代码注入其他进程
  基线默认值：阻止
  了解更多
- [预览]在安全模式下阻止重新启动计算机
  基线默认值：阻止
  了解更多
- 使用针对勒索软件的高级防护
  基线默认值：阻止
  了解更多
- 阻止来自电子邮件客户端和 Webmail 的可执行内容
  基线默认值：阻止
  了解更多
在运行扫描之前检查签名
基线默认值： 已启用
了解更多
云块级别
基线默认值：高
了解更多
云扩展超时
基线默认值： 已配置
值： 50
了解更多
禁用本地管理员合并
基线默认值：启用本地管理员合并
了解更多
启用网络保护
基线默认值： 启用 (块模式)
了解更多
从本地管理员隐藏排除项
基线默认值：如果启用此设置，本地管理员将无法再在 Windows 安全中心应用中或通过 PowerShell 查看排除列表。
了解更多
对本地用户隐藏排除项
基线默认值：如果启用此设置，本地用户将无法再在 Windows 安全中心应用中或通过 PowerShell 查看排除列表。
了解更多
Oobe 启用 Rtp 和 Sig 更新
基线默认值：如果启用此设置，则会在 OOBE 期间启用实时保护和安全智能汇报。
了解更多
PUA 保护
基线默认值： PUA 保护启用。检测到的项目被阻止。它们将与其他威胁一起出现在历史记录中。
了解更多
实时扫描方向
基线默认值： (双向) 监视所有文件。
了解更多
扫描参数
基线默认值： 快速扫描
了解更多
计划快速扫描时间
基线默认值： 已配置
值： 120
了解更多
计划扫描日
基线默认值：每天
了解更多
计划扫描时间
基线默认值： 已配置
值： 120
了解更多
签名更新间隔
基线默认值： 已配置
值： 4
了解更多
提交示例同意
基线默认值： 自动发送所有示例。
了解更多

Device Guard

Credential Guard
基线默认值： 使用 UEFI 锁启用 () 使用 UEFI 锁打开 Credential Guard。
了解更多

Dma Guard

设备枚举策略
基线默认值： 阻止所有 (最严格的)
了解更多

防火墙

证书吊销列表验证
基线默认值：无
了解更多
禁用有状态 Ftp
基线默认值： True
了解更多
启用域网络防火墙
基线默认值： True
了解更多
- 允许本地 Ipsec 策略合并
  基线默认值： True
  了解更多
- 禁用隐藏模式
  基线默认值： False
  了解更多
- 禁用入站通知
  基线默认值： True
  了解更多
- 禁用对多播广播的单播响应
  基线默认值： False
  了解更多
- 全局端口允许用户 Pref 合并
  基线默认值： True
  了解更多
- 禁用隐藏模式 Ipsec 安全数据包豁免
  基线默认值： True
  了解更多
- 允许本地策略合并
  基线默认值： True
  了解更多
启用数据包队列
基线默认值： 已配置
值： 已禁用
了解更多
启用专用网络防火墙
基线默认值： True
了解更多
- 专用配置文件的默认入站操作
  基线默认值：阻止
  了解更多
- 禁用对多播广播的单播响应
  基线默认值： False
  了解更多
- 禁用隐藏模式
  基线默认值： False
  了解更多
- 全局端口允许用户 Pref 合并
  基线默认值： True
  了解更多
- 允许本地 Ipsec 策略合并
  基线默认值： True
  了解更多
- 禁用隐藏模式 Ipsec 安全数据包豁免
  基线默认值： True
  了解更多
- 禁用入站通知
  基线默认值： True
  了解更多
- 允许本地策略合并
  基线默认值： True
  了解更多
- 默认出站操作
  基线默认值：允许
  了解更多
- 身份验证应用允许用户 Pref 合并
  基线默认值： True
  了解更多
启用公用网络防火墙
基线默认值： True
了解更多
- 禁用隐藏模式
  基线默认值： False
  了解更多
- 默认出站操作
  基线默认值：允许
  了解更多
- 禁用入站通知
  基线默认值： True
  了解更多
- 禁用隐藏模式 Ipsec 安全数据包豁免
  基线默认值： True
  了解更多
- 允许本地策略合并
  基线默认值： True
  了解更多
- 身份验证应用允许用户 Pref 合并
  基线默认值： True
  了解更多
- 公共配置文件的默认入站操作
  基线默认值：阻止
  了解更多
- 禁用对多播广播的单播响应
  基线默认值： False
  了解更多
- 全局端口允许用户 Pref 合并
  基线默认值： True
  了解更多
- 允许本地 Ipsec 策略合并
  基线默认值： True
  了解更多
预共享密钥编码
基线默认值： UTF8
了解更多
安全关联空闲时间
基线默认值： 已配置
值： 300
了解更多

Microsoft Edge

配置 Microsoft Defender SmartScreen
基线默认值： 已启用
配置 Microsoft Defender SmartScreen 以阻止可能不需要的应用
基线默认值： 已启用
启用Microsoft Defender SmartScreen DNS 请求
基线默认值： 已启用
启用新的 SmartScreen 库
基线默认值： 已启用
强制Microsoft Defender SmartScreen 检查来自受信任源的下载
基线默认值： 已启用
防止绕过站点Microsoft Defender SmartScreen 提示
基线默认值： 已启用
防止绕过有关下载Microsoft Defender SmartScreen 警告
基线默认值： 已启用

攻击面减少规则

攻击面减少规则支持合并不同策略中的设置，以便为每个设备创建策略的超集。仅合并不冲突的设置。冲突的设置不会添加到规则的超集。以前，如果两个策略包含单个设置的冲突，则这两个策略被标记为冲突，并且不会部署任何配置文件中的设置。

攻击面减少规则合并行为如下所示：

针对应用规则的每个设备评估以下配置文件中的攻击面减少规则：
- 设备>配置策略>终结点保护配置文件>Microsoft Defender攻击防护>攻击面减少
- 终结点安全性 > 攻击面减少策略 >攻击面减少规则
- 终结点安全>安全基线>Microsoft Defender for Endpoint基线>攻击面减少规则。
没有冲突的设置将添加到设备的超集策略中。
当两个或更多策略具有冲突设置时，冲突的设置不会添加到组合策略，而不冲突的设置将添加到适用于设备的超集策略中。
仅会保留用于冲突设置的配置。

若要了解详细信息，请参阅Microsoft Defender for Endpoint文档中的攻击面减少规则。

阻止 Office 通信应用创建子进程
基线默认值：启用
了解更多
阻止 Adobe Reader 创建子进程
基线默认值：启用
了解更多
阻止 Office 应用程序将代码注入其他进程
基线默认值：阻止
了解更多
阻止 Office 应用程序创建可执行内容
基线默认值：阻止
了解更多
阻止 JavaScript 或 VBScript 启动下载的可执行内容
基线默认值：阻止
了解更多
启用网络保护
基线默认值：启用
了解更多
阻止从 USB 运行的不受信任和未签名的进程
基线默认值：阻止
了解更多
阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)
基线默认值：启用
了解更多
阻止从电子邮件和 Webmail 客户端下载可执行内容
基线默认值：阻止
了解更多
阻止所有 Office 应用程序创建子进程
基线默认值：阻止
了解更多
阻止执行可能混淆的脚本 (js/vbs/ps)
基线默认值：阻止
了解更多
阻止来自 Office 宏的 Win32 API 调用
基线默认值：阻止
了解更多

应用程序防护

有关详细信息，请参阅 Windows 文档中的 WindowsDefenderApplicationGuard CSP 。

使用 Microsoft Edge 时，Microsoft Defender 应用程序防护保护环境免受组织不信任的站点的防护。当用户访问未在隔离网络边界中列出的站点时，站点将在 Hyper-V 虚拟浏览会话中打开。受信任的站点由网络边界定义。

启用 Edge (选项) 应用程序防护
基线默认值： 为 Edge 启用
了解更多
- 阻止来自非企业批准的站点的外部内容
  基线默认值：是
  了解更多
- 剪贴板行为
  基线默认值： 阻止在电脑和浏览器之间复制和粘贴
  了解更多
Windows 网络隔离策略
基线默认值：配置
了解更多
- 网络域
  基线默认值： securitycenter.windows.com

BitLocker

要求将存储卡加密 (仅限移动设备)
基线默认值：是
了解更多

注意

对 Windows 10 移动版和 Windows Phone 8.1 的支持已于 2020 年 8 月结束。
为 OS 和固定数据驱动器启用完整磁盘加密
基线默认值：是
了解更多
BitLocker 系统驱动器策略
基线默认值：配置
了解更多
- 为操作系统驱动器配置加密方法
  基线默认值： 未配置
  了解更多
BitLocker 固定驱动器策略
基线默认值：配置
了解更多
- 阻止对不受 BitLocker 保护的固定数据驱动器的写入访问
  基线默认值：是
  了解更多
  当 BitLocker 固定驱动器策略 设置为 “配置”时，此设置可用。
- 为固定数据驱动器配置加密方法
  基线默认值： AES 128 位 XTS
  了解更多
BitLocker 可移动驱动器策略
基线默认值：配置
了解更多
- 为可移动数据驱动器配置加密方法
  基线默认值： AES 128 位 CBC
  了解更多
- 阻止对不受 BitLocker 保护的可移动数据驱动器的写入访问
  基线默认值： 未配置
  了解更多

电池供电时处于睡眠状态 基线默认值：禁用
了解更多
接通电源时处于睡眠状态
基线默认值：禁用
了解更多
为 OS 和固定数据驱动器启用完整磁盘加密
基线默认值：是
了解更多
BitLocker 系统驱动器策略
基线默认值：配置
了解更多
- 需要启动身份验证
  基线默认值：是
  了解更多
- 兼容的 TPM 启动 PIN
  基线默认值：允许
  了解更多
- 兼容的 TPM 启动密钥
  基线默认值：必需
  了解更多
- 在 TPM 不兼容的设备上禁用 BitLocker
  基线默认值：是
  了解更多
- 为操作系统驱动器配置加密方法
  基线默认值： 未配置
  了解更多
BitLocker 固定驱动器策略
基线默认值：配置
了解更多
- 阻止对不受 BitLocker 保护的固定数据驱动器的写入访问
  基线默认值：是
  了解更多
  当 BitLocker 固定驱动器策略 设置为 “配置”时，此设置可用。
- 为固定数据驱动器配置加密方法
  基线默认值： AES 128 位 XTS
  了解更多
BitLocker 可移动驱动器策略
基线默认值：配置
了解更多
- 为可移动数据驱动器配置加密方法
  基线默认值： AES 128 位 CBC
  了解更多
- 阻止对不受 BitLocker 保护的可移动数据驱动器的写入访问
  基线默认值： 未配置
  了解更多

BitLocker 系统驱动器策略
基线默认值：配置
了解更多
- 需要启动身份验证
  基线默认值：是
  了解更多
- 兼容的 TPM 启动 PIN
  基线默认值：允许
  了解更多
- 兼容的 TPM 启动密钥
  基线默认值：必需
  了解更多
- 在 TPM 不兼容的设备上禁用 BitLocker
  基线默认值：是
  了解更多
- 为操作系统驱动器配置加密方法
  基线默认值： 未配置
  了解更多
电池供电时处于睡眠状态 基线默认值：禁用
了解更多
接通电源时处于睡眠状态
基线默认值：禁用
了解更多
为 OS 和固定数据驱动器启用完整磁盘加密
基线默认值：是
了解更多
BitLocker 固定驱动器策略
基线默认值：配置
了解更多
- 阻止对不受 BitLocker 保护的固定数据驱动器的写入访问
  基线默认值：是
  了解更多
  当 BitLocker 固定驱动器策略 设置为 “配置”时，此设置可用。
- 为固定数据驱动器配置加密方法
  基线默认值： AES 128 位 XTS
  了解更多
BitLocker 可移动驱动器策略
基线默认值：配置
了解更多
- 为可移动数据驱动器配置加密方法
  基线默认值： AES 128 位 CBC
  了解更多
- 阻止对不受 BitLocker 保护的可移动数据驱动器的写入访问
  基线默认值： 未配置
  了解更多

浏览器

需要用于 Microsoft Edge 的 SmartScreen
基线默认值：是
了解更多
阻止恶意站点访问
基线默认值：是
了解更多
阻止未经验证的文件下载
基线默认值：是
了解更多

数据保护

阻止直接内存访问
基线默认值：是
了解更多

Device Guard

打开凭据防护
基线默认值： 使用 UEFI 锁定启用
了解更多

设备安装

按设备标识符安装硬件设备
基线默认值： 阻止硬件设备安装
了解更多
- 删除匹配的硬件设备 基线默认值：是
- 阻止的硬件设备标识符
  基线默认值： 默认情况下未配置。手动添加一个或多个设备标识符。

按安装程序类安装硬件设备
基线默认值： 阻止硬件设备安装
了解更多
- 删除匹配的硬件设备 基线默认值： 未配置
- 阻止的硬件设备标识符 基线默认值： 默认情况下未配置。手动添加一个或多个设备标识符。

按安装程序类阻止硬件设备安装：
基线默认值：是
了解更多
- 删除匹配的硬件设备：
  基线默认值：是
- 阻止列表
  基线默认值： 默认情况下未配置。手动添加一个或多个安装程序类全局唯一标识符。

DMA 防护

枚举与内核 DMA 保护不兼容的外部设备
基线默认值： 全部阻止
了解更多

枚举与内核 DMA 保护不兼容的外部设备
基线默认值： 未配置
了解更多

终结点检测和响应

所有文件的示例共享
基线默认值：是
了解更多
加快遥测报告频率
基线默认值：是
了解更多

防火墙

有状态文件传输协议 (FTP)
基线默认值：禁用
了解更多
安全关联在删除之前可以处于空闲状态的秒数
基线默认值： 300
了解更多
预共享密钥编码
基线默认值： UTF8
了解更多
证书吊销列表 (CRL) 验证
基线默认值： 未配置
了解更多
数据包队列
基线默认值： 未配置
了解更多
防火墙配置文件专用
基线默认值：配置
了解更多
- 入站连接已阻止
  基线默认值：是
  了解更多
- 需要对多播广播的单播响应
  基线默认值：是
  了解更多
- 需要出站连接
  基线默认值：是
  了解更多
- 入站通知已阻止
  基线默认值：是
  了解更多
- 组策略的全局端口规则已合并
  基线默认值：是
  了解更多
- 已启用防火墙
  基线默认值：允许
  了解更多
- 组策略的授权应用程序规则未合并
  基线默认值：是
  了解更多
- 未合并组策略的连接安全规则
  基线默认值：是
  了解更多
- 需要传入流量
  基线默认值：是
  了解更多
- 未合并组策略的策略规则
  基线默认值：是
  了解更多

隐藏模式已阻止
基线默认值：是
了解更多

防火墙配置文件公共
基线默认值：配置
了解更多
- 入站连接已阻止
  基线默认值：是
  了解更多
- 需要对多播广播的单播响应
  基线默认值：是
  了解更多
- 需要出站连接
  基线默认值：是
  了解更多
- 组策略的授权应用程序规则未合并
  基线默认值：是**
  了解更多
- 入站通知已阻止
  基线默认值：是
  了解更多
- 组策略的全局端口规则已合并
  基线默认值：是
  了解更多
- 已启用防火墙
  基线默认值：允许
  了解更多
- 未合并组策略的连接安全规则
  基线默认值：是
  了解更多
- 需要传入流量
  基线默认值：是
  了解更多
- 未合并组策略的策略规则
  基线默认值：是
  了解更多

隐藏模式已阻止
基线默认值：是
了解更多

防火墙配置文件域
基线默认值：配置
了解更多
- 需要对多播广播的单播响应
  基线默认值：是
  了解更多
- 组策略的授权应用程序规则未合并
  基线默认值：是
  了解更多
- 入站通知已阻止
  基线默认值：是
  了解更多
- 组策略的全局端口规则已合并
  基线默认值：是
  了解更多
- 已启用防火墙
  基线默认值：允许
  了解更多
- 未合并组策略的连接安全规则
  基线默认值：是
  了解更多
- 未合并组策略的策略规则
  基线默认值：是
  了解更多

隐藏模式已阻止
基线默认值：是
了解更多

Microsoft Defender

启用实时保护
基线默认值：是
了解更多
延长云保护超时时间 (0-50 秒)
基线默认值： 50
了解更多
扫描所有下载的文件和附件
基线默认值：是
了解更多
扫描类型
基线默认值： 快速扫描
了解更多
Defender 计划扫描日：
基线默认值：每日
Defender 扫描开始时间：
基线默认值： 未配置
Defender 示例提交同意
基线默认值： 自动发送安全示例
了解更多
云提供的保护级别
基线默认值：高
了解更多
在完全扫描期间扫描可移动驱动器
基线默认值：是
了解更多
Defender 可能不需要的应用操作
基线默认值：阻止
了解更多
打开云传递保护
基线默认值：是
了解更多

启用实时保护
基线默认值：是
了解更多
延长云保护超时时间 (0-50 秒)
基线默认值： 50
了解更多
扫描所有下载的文件和附件
基线默认值：是
了解更多
扫描类型
基线默认值： 快速扫描
了解更多
Defender 示例提交同意
基线默认值： 自动发送安全示例
了解更多
云提供的保护级别
基线默认值：高
了解更多
在完全扫描期间扫描可移动驱动器
基线默认值：是
了解更多
Defender 可能不需要的应用操作
基线默认值：阻止
了解更多
打开云传递保护
基线默认值：是
了解更多

运行每日快速扫描
基线默认值： 凌晨 2 点
了解更多
计划的扫描开始时间
基线默认值： 凌晨 2 点
为计划扫描配置低 CPU 优先级
基线默认值：是
了解更多
阻止 Office 通信应用创建子进程
基线默认值：启用
了解更多
阻止 Adobe Reader 创建子进程
基线默认值：启用
了解更多
扫描传入电子邮件
基线默认值：是
了解更多
启用实时保护
基线默认值：是
了解更多
保留隔离恶意软件的天数 (0-90)
基线默认值： 0
了解更多
Defender 系统扫描计划
基线默认值： 用户定义
了解更多
延长云保护超时时间 (0-50 秒)
基线默认值： 50
了解更多
在完全扫描期间扫描映射的网络驱动器
基线默认值：是
了解更多
启用网络保护功能
基线默认值：是
了解更多
扫描所有下载的文件和附件
基线默认值：是
了解更多
阻止访问保护
基线默认值： 未配置
了解更多
扫描浏览器脚本
基线默认值：是
了解更多
阻止用户访问Microsoft Defender应用
基线默认值：是
了解更多
每次扫描允许的最大 CPU 使用率 (0-100%)
基线默认值： 50
了解更多
扫描类型
基线默认值： 快速扫描
了解更多
输入) 0-24 小时 (检查安全智能更新的频率
基线默认值： 8
了解更多
Defender 示例提交同意
基线默认值： 自动发送安全示例
了解更多
云提供的保护级别
基线默认值：*未配置
了解更多
扫描存档文件
基线默认值：是
了解更多
启用行为监视
基线默认值：是
了解更多
在完全扫描期间扫描可移动驱动器
基线默认值：是
了解更多
扫描网络文件
基线默认值：是
了解更多
Defender 可能不需要的应用操作
基线默认值：阻止
了解更多
打开云传递保护
基线默认值：是
了解更多
阻止 Office 应用程序将代码注入其他进程
基线默认值：阻止
了解更多
阻止 Office 应用程序创建可执行内容
基线默认值：阻止
了解更多
阻止 JavaScript 或 VBScript 启动下载的可执行内容
基线默认值：阻止
了解更多
启用网络保护
基线默认值： 审核模式
了解更多
阻止从 USB 运行的不受信任和未签名的进程
基线默认值：阻止
了解更多
阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)
基线默认值：启用
了解更多
阻止从电子邮件和 Webmail 客户端下载可执行内容
基线默认值：阻止
了解更多
阻止所有 Office 应用程序创建子进程
基线默认值：阻止
了解更多
阻止执行可能混淆的脚本 (js/vbs/ps)
基线默认值：阻止
了解更多
阻止来自 Office 宏的 Win32 API 调用
基线默认值：阻止
了解更多

运行每日快速扫描
基线默认值： 凌晨 2 点
了解更多
计划的扫描开始时间
基线默认值： 凌晨 2 点
为计划扫描配置低 CPU 优先级
基线默认值：是
了解更多
阻止 Office 通信应用创建子进程
基线默认值：启用
了解更多
阻止 Adobe Reader 创建子进程
基线默认值：启用
了解更多
扫描传入电子邮件
基线默认值：是
了解更多
启用实时保护
基线默认值：是
了解更多
保留隔离恶意软件的天数 (0-90)
基线默认值： 0
了解更多
Defender 系统扫描计划
基线默认值： 用户定义
了解更多
延长云保护超时时间 (0-50 秒)
基线默认值： 50
了解更多
在完全扫描期间扫描映射的网络驱动器
基线默认值：是
了解更多
启用网络保护功能
基线默认值：是
了解更多
扫描所有下载的文件和附件
基线默认值：是
了解更多
阻止访问保护
基线默认值： 未配置
了解更多
扫描浏览器脚本
基线默认值：是
了解更多
阻止用户访问Microsoft Defender应用
基线默认值：是
了解更多
每次扫描允许的最大 CPU 使用率 (0-100%)
基线默认值： 50
了解更多
扫描类型
基线默认值： 快速扫描
了解更多
输入) 0-24 小时 (检查安全智能更新的频率
基线默认值： 8
了解更多
Defender 示例提交同意
基线默认值： 自动发送安全示例
了解更多
云提供的保护级别
基线默认值：*未配置
了解更多
扫描存档文件
基线默认值：是
了解更多
启用行为监视
基线默认值：是
了解更多
在完全扫描期间扫描可移动驱动器
基线默认值：是
了解更多
扫描网络文件
基线默认值：是
了解更多
Defender 可能不需要的应用操作
基线默认值：阻止
了解更多
打开云传递保护
基线默认值：是
了解更多
阻止 Office 应用程序将代码注入其他进程
基线默认值：阻止
了解更多
阻止 Office 应用程序创建可执行内容
基线默认值：阻止
了解更多
阻止 JavaScript 或 VBScript 启动下载的可执行内容
基线默认值：阻止
了解更多
启用网络保护
基线默认值： 审核模式
了解更多
阻止从 USB 运行的不受信任和未签名的进程
基线默认值：阻止
了解更多
阻止从 Windows 本地安全机构子系统窃取凭据 (lsass.exe)
基线默认值：启用
了解更多
阻止从电子邮件和 Webmail 客户端下载可执行内容
基线默认值：阻止
了解更多
阻止所有 Office 应用程序创建子进程
基线默认值：阻止
了解更多
阻止执行可能混淆的脚本 (js/vbs/ps)
基线默认值：阻止
了解更多
阻止来自 Office 宏的 Win32 API 调用
基线默认值：阻止
了解更多

Microsoft Defender 安全中心

阻止用户编辑 Exploit Guard 保护界面
基线默认值：是
了解更多

智能屏幕

阻止用户忽略 SmartScreen 警告
基线默认值：是
了解更多
打开 Windows SmartScreen
基线默认值：是
了解更多
需要用于 Microsoft Edge 的 SmartScreen
基线默认值：是
了解更多
阻止恶意站点访问
基线默认值：是
了解更多
阻止未经验证的文件下载
基线默认值：是
了解更多
配置 Microsoft Defender SmartScreen
基线默认值： 已启用
防止绕过站点Microsoft Defender SmartScreen 提示
基线默认值： 已启用
防止绕过有关下载Microsoft Defender SmartScreen 警告
基线默认值： 已启用
配置 Microsoft Defender SmartScreen 以阻止可能不需要的应用
基线默认值： 已启用

仅需要来自应用商店的应用
基线默认值：是
打开 Windows SmartScreen
基线默认值：是
了解更多

Windows Hello 企业版

有关详细信息，请参阅 Windows 文档中的 PassportForWork CSP 。

阻止Windows Hello 企业版
基线默认值：禁用
- PIN 中的小写字母 基线默认值：允许
- PIN 中的特殊字符 基线默认值：允许
- PIN 中的大写字母 基线默认值：允许

通过

Intune Microsoft Defender for Endpoint安全基线中的设置列表

管理模板

系统 > 设备安装 > 设备安装限制

Windows 组件 > BitLocker 驱动器加密

Windows 组件 > BitLocker 驱动器加密 > 固定数据驱动器

Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器

Windows 组件 > BitLocker 驱动器加密 > 可移动数据驱动器

Windows 组件>文件资源管理器

Windows 组件 > Internet Explorer

BitLocker

Defender

Device Guard

Dma Guard

防火墙

Microsoft Edge

攻击面减少规则

应用程序防护

BitLocker

浏览器

数据保护

Device Guard

设备安装

DMA 防护

终结点检测和响应

防火墙

Microsoft Defender

Microsoft Defender 安全中心

智能屏幕

Windows Hello 企业版

后续步骤

反馈

其他资源