Список параметров в базовом плане безопасности Microsoft Defender для конечной точки в Intune
Эта статья содержит справочные сведения о параметрах, доступных в различных версиях базовых показателей безопасности Microsoft Defender для конечной точки, которые можно развернуть с помощью Microsoft Intune. Используйте вкладки для выбора и просмотра параметров в последней базовой версии и нескольких более старых версиях, которые все еще могут использоваться.
Для каждого параметра эта ссылка определяет конфигурацию базовых показателей по умолчанию, которая также является рекомендуемой конфигурацией для этого параметра, предоставляемой соответствующей группой безопасности. Так как продукты и ландшафт безопасности развиваются, рекомендуемые значения по умолчанию в одной базовой версии могут не соответствовать значениям по умолчанию, которые вы найдете в более поздних версиях того же базового плана. Различные типы базовых показателей, такие как безопасность MDM и базовые показатели Defender для конечной точки , также могут задавать разные значения по умолчанию.
Если пользовательский интерфейс Intune содержит ссылку Дополнительные сведения для параметра, вы также найдете это здесь. По этой ссылке можно просмотреть поставщик службы конфигурации политики параметров (CSP) или соответствующее содержимое, объясняющее операцию параметров.
Когда становится доступна новая версия базового плана, она заменяет предыдущую версию. Профили экземпляров, созданных до выпуска новой версии:
- Станьте доступным только для чтения. Вы можете продолжать использовать эти профили, но не можете изменить их, чтобы изменить их конфигурацию.
- Можно обновить до последней версии. После обновления профиля до текущей базовой версии можно изменить профиль, чтобы изменить параметры.
Дополнительные сведения об использовании базовых показателей безопасности см. в статье Использование базовых показателей безопасности. В этой статье вы также найдете сведения о том, как:
- Измените базовую версию для профиля, чтобы обновить профиль, чтобы использовать последнюю версию этого базового плана.
базовая версия Microsoft Defender для конечной точки 24H1
Базовые конфигурации Microsoft Defender для конечной точки за декабрь 2020 г. — версия 6
Microsoft Defender для конечной точки базовые показатели на сентябрь 2020 г. — версия 5
Базовые конфигурации Microsoft Defender для конечной точки за апрель 2020 г. — версия 4
Базовые конфигурации Microsoft Defender для конечной точки за март 2020 г. — версия 3
Базовый Microsoft Defender для конечной точки доступен, когда среда соответствует предварительным требованиям для использования Microsoft Defender для конечной точки.
Этот базовый план оптимизирован для физических устройств и не рекомендуется использовать на виртуальных машинах или конечных точках VDI. Некоторые базовые параметры могут влиять на удаленные интерактивные сеансы в виртуализированных средах. Дополнительные сведения см. в статье Повышение уровня соответствия требованиям базового уровня безопасности Microsoft Defender для конечной точки в документации по Windows.
Административные шаблоны
Ограничения установки устройств для установки > системных > устройств
Запретить установку устройств с помощью драйверов, соответствующих этим классам установки устройств
Базовое значение по умолчанию: включено
ПодробнееКлассы, которые запрещены
Базовое значение по умолчанию: d48179be-ec20-11d1-b6b8-00c04fa372a7Также применяется к соответствующим устройствам, которые уже установлены.
Базовое значение по умолчанию: False
Шифрование диска BitLocker компонентов > Windows
Выберите метод шифрования диска и надежность шифра (Windows 10 [версия 1511] и более поздние версии)
Базовое значение по умолчанию: включено
ПодробнееВыберите метод шифрования для съемных дисков с данными:
Базовое значение по умолчанию: AES-CBC 128-bit (по умолчанию)Выберите метод шифрования для дисков операционной системы:
Базовое значение по умолчанию: XTS-AES 128-bit (по умолчанию)Выберите метод шифрования для фиксированных дисков с данными:
Базовое значение по умолчанию: XTS-AES 128-bit (по умолчанию)
Фиксированные диски с данными > для > компонентов Windows BitLocker
Выбор способа восстановления фиксированных дисков, защищенных BitLocker
Базовое значение по умолчанию: включено
ПодробнееНе включайте BitLocker до тех пор, пока сведения о восстановлении не будут сохранены в AD DS для фиксированных дисков с данными
Базовое значение по умолчанию: TrueРазрешить агент восстановления данных
Базовое значение по умолчанию: TrueНастройка хранения сведений о восстановлении BitLocker в AD DS:
Базовое значение по умолчанию: пароли восстановления резервного копирования и пакеты ключейЗначение: разрешить 256-разрядный ключ восстановления
Сохранение сведений о восстановлении BitLocker в AD DS для фиксированных дисков с данными
Базовое значение по умолчанию: TrueОпустить параметры восстановления в мастере настройки BitLocker
Базовое значение по умолчанию: TrueНастройка пользовательского хранилища сведений о восстановлении BitLocker:
Базовое значение по умолчанию: разрешить 48-значный пароль восстановления
Запрет доступа на запись на фиксированные диски, не защищенные BitLocker
Базовое значение по умолчанию: включено
ПодробнееПрименить тип шифрования диска к несъемным дискам с данными
Базовое значение по умолчанию: включено
Подробнее-
Выберите тип шифрования: (Устройство)
Базовое значение по умолчанию: шифрование только используемого пространства
-
Выберите тип шифрования: (Устройство)
Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker
Разрешить устройствам, совместимым с InstantGo или HSTI, отказаться от пин-кода перед загрузкой.
Базовое значение по умолчанию: отключено
ПодробнееРазрешить улучшенные ПИН-коды при запуске
Базовое значение по умолчанию: отключено
ПодробнееВыбор способа восстановления дисков операционной системы, защищенных BitLocker
Базовое значение по умолчанию: включено
ПодробнееОпустить параметры восстановления в мастере настройки BitLocker
Базовое значение по умолчанию: TrueРазрешить агент восстановления данных
Базовое значение по умолчанию: TrueЗначение: разрешить 256-разрядный ключ восстановления
Настройка хранения сведений о восстановлении BitLocker в AD DS:
Базовое значение по умолчанию: хранение паролей восстановления и пакетов ключейНе включайте BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для дисков операционной системы.
Базовое значение по умолчанию: TrueСохранение сведений о восстановлении BitLocker в AD DS для дисков операционной системы
Базовое значение по умолчанию: TrueНастройка пользовательского хранилища сведений о восстановлении BitLocker:
Базовое значение по умолчанию: разрешить 48-значный пароль восстановления
Включить использование проверки подлинности BitLocker, требующей предзагрузочного ввода с клавиатуры на планшетах
Базовое значение по умолчанию: включено
ПодробнееПринудительное применение типа шифрования диска на диске операционной системы
Базовое значение по умолчанию: включено
Подробнее-
Выберите тип шифрования: (Устройство)
Базовое значение по умолчанию: шифрование только используемого пространства
-
Выберите тип шифрования: (Устройство)
Требовать дополнительную проверку подлинности при запуске
Базовое значение по умолчанию: включено
ПодробнееНастройка ключа запуска доверенного платформенного модуля и ПИН-кода:
Базовое значение по умолчанию: не разрешать ключ запуска и ПИН-код с TPMНастройка запуска доверенного платформенного модуля:
Базовое значение по умолчанию: разрешить TPMРазрешить BitLocker без совместимого доверенного платформенного модуля (требуется пароль или ключ запуска на USB-устройстве флэш-памяти)
Базовое значение по умолчанию: FalseНастройка ПИН-кода запуска доверенного платформенного модуля:
Базовое значение по умолчанию: разрешить ПИН-код запуска с TPMНастройка ключа запуска доверенного платформенного модуля:
Базовое значение по умолчанию: не разрешать ключ запуска с TPM
Компоненты > Windows BitLocker, шифрование > съемных дисков с данными
Управление использованием BitLocker для съемных дисков
Базовое значение по умолчанию: включено
ПодробнееРазрешить пользователям применять защиту BitLocker на съемных дисках с данными (устройство)
Базовое значение по умолчанию: TrueПрименить тип шифрования диска к съемным носителям с данными
Базовое значение по умолчанию: включено
Подробнее-
Выберите тип шифрования: (Устройство)
Базовое значение по умолчанию: шифрование только используемого пространства
-
Выберите тип шифрования: (Устройство)
Разрешить пользователям приостанавливать и расшифровывать защиту BitLocker на съемных дисках с данными (устройство)
Базовое значение по умолчанию: False
Запрет доступа на запись к съемным дискам, не защищенным BitLocker
Базовое значение по умолчанию: включено
Подробнее-
Запретить доступ на запись устройствам, настроенным в другой организации
Базовое значение по умолчанию: False
-
Запретить доступ на запись устройствам, настроенным в другой организации
Компоненты > Windows проводник
Настройка SmartScreen Защитника Windows
Базовое значение по умолчанию: включено
Подробнее-
Выберите один из следующих параметров: (Устройство)
Базовое значение по умолчанию: предупреждение и предотвращение обхода
-
Выберите один из следующих параметров: (Устройство)
Интернет-Обозреватель компонентов > Windows
Предотвращение обхода предупреждений фильтра SmartScreen о файлах, которые обычно не загружаются из Интернета
Базовое значение по умолчанию: включено
ПодробнееПредотвращение обхода предупреждений фильтра SmartScreen о файлах, которые обычно не загружаются из Интернета (пользователь)
Базовое значение по умолчанию: включено
ПодробнееЗапретить управление фильтром SmartScreen
Базовое значение по умолчанию: включено
Подробнее-
Выбор режима фильтра SmartScreen
Базовое значение по умолчанию: Включено
-
Выбор режима фильтра SmartScreen
BitLocker
Разрешить предупреждение для другого шифрования диска
Базовое значение по умолчанию: включено
ПодробнееНастройка смены паролей восстановления
Базовое значение по умолчанию: обновление для устройств с Azure AD и гибридным присоединением
ПодробнееТребовать шифрование устройства
Базовое значение по умолчанию: включено
Подробнее
Defender
Разрешить сканирование архивов
Базовое значение по умолчанию: разрешено. Сканирует архивные файлы.
ПодробнееРазрешить мониторинг поведения
Базовое значение по умолчанию: разрешено. Включает мониторинг поведения в режиме реального времени.
ПодробнееРазрешить облачную защиту
Базовое значение по умолчанию: разрешено. Включает облачную защиту.
ПодробнееРазрешить сканирование Email
Базовое значение по умолчанию: разрешено. Включает проверку электронной почты.
ПодробнееРазрешить полное сканирование съемного диска
Базовое значение по умолчанию: разрешено. Проверяет съемные диски.
ПодробнееРазрешить защиту доступа
Базовое значение по умолчанию: разрешено.
ПодробнееРазрешить мониторинг в режиме реального времени
Базовое значение по умолчанию: разрешено. Включает и запускает службу мониторинга в режиме реального времени.
ПодробнееРазрешить сканирование сетевых файлов
Базовое значение по умолчанию: разрешено. Сканирует сетевые файлы.
ПодробнееРазрешить сканирование всех скачанных файлов и вложений
Базовое значение по умолчанию: разрешено.
ПодробнееРазрешить сканирование скриптов
Базовое значение по умолчанию: разрешено.
ПодробнееРазрешение доступа пользователей к пользовательскому интерфейсу
Базовое значение по умолчанию: разрешено. Позволяет пользователям получать доступ к пользовательскому интерфейсу.
ПодробнееБлокировать выполнение потенциально запутывающихся скриптов
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировка вызовов API Win32 из макросов Office
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия
Базовое значение по умолчанию: Блокировать
ПодробнееЗапретить приложению Office для общения создавать дочерние процессы
Базовое значение по умолчанию: Блокировать
ПодробнееЗапретить всем приложениям Office создавать дочерние процессы
Базовое значение по умолчанию: Блокировать
ПодробнееЗапретить Adobe Reader создавать дочерние процессы
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировка кражи учетных данных из подсистемы локального центра безопасности Windows
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировать создание WebShell для серверов
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировка недоверенных и неподписанных процессов, выполняемых с USB
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировка сохраняемости с помощью подписки на события WMI
Базовое значение по умолчанию: аудит
Подробнее[ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ] Блокировать использование скопированных или олицетворенных системных средств
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами (устройство)
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировать создание процессов из команд PSExec и WMI
Базовое значение по умолчанию: аудит
ПодробнееЗапрет приложениям Office создавать исполняемое содержимое
Базовое значение по умолчанию: Блокировать
ПодробнееЗапрет приложений Office от внедрения кода в другие процессы
Базовое значение по умолчанию: Блокировать
Подробнее[ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ] Блокировка перезагрузки компьютера в безопасном режиме
Базовое значение по умолчанию: Блокировать
ПодробнееИспользование расширенной защиты от программ-шантажистов
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировка исполняемого содержимого из почтового клиента и веб-почты
Базовое значение по умолчанию: Блокировать
Подробнее
Проверка подписей перед запуском сканирования
Базовое значение по умолчанию: включено
ПодробнееУровень блокировки облака
Базовое значение по умолчанию: High
ПодробнееВремя ожидания расширенного облака
Базовое значение по умолчанию: настроено
Значение: 50
ПодробнееОтключение локального Администратор слияния
Базовое значение по умолчанию: включение локального слияния Администратор
ПодробнееВключение защиты сети
Базовое значение по умолчанию: включено (режим блокировки)
ПодробнееСкрытие исключений от локальных администраторов
Базовое значение по умолчанию. Если этот параметр включен, локальные администраторы больше не смогут просматривать список исключений в приложении Безопасность Windows или с помощью PowerShell.
ПодробнееСкрытие исключений от локальных пользователей
Базовое значение по умолчанию. Если этот параметр включен, локальные пользователи больше не смогут просматривать список исключений в Безопасность Windows app или с помощью PowerShell.
ПодробнееOobe Enable Rtp и Sig Update
Базовое значение по умолчанию. Если этот параметр включен, во время запуска запуска будут включены защита в режиме реального времени и Обновления аналитики безопасности.
ПодробнееЗащита от pua
Базовое значение по умолчанию: защита от puA включена. Обнаруженные элементы блокируются. Они будут отображаться в истории вместе с другими угрозами.
ПодробнееНаправление сканирования в режиме реального времени
Базовое значение по умолчанию: мониторинг всех файлов (двунаправленный).
ПодробнееПараметр сканирования
Базовое значение по умолчанию: быстрая проверка
ПодробнееПланирование времени быстрой проверки
Базовое значение по умолчанию: настроено
Значение: 120
ПодробнееПланирование дня проверки
Базовое значение по умолчанию: каждый день
ПодробнееПланирование времени сканирования
Базовое значение по умолчанию: настроено
Значение: 120
ПодробнееИнтервал обновления подписи
Базовое значение по умолчанию: настроено
Значение: 4
ПодробнееСогласие на отправку примеров
Базовое значение по умолчанию: отправка всех примеров автоматически.
Подробнее
Device Guard
-
Credential Guard
Базовое значение по умолчанию : (включено с блокировкой UEFI) Включает Credential Guard с блокировкой UEFI.
Подробнее
Dma Guard
-
Политика перечисления устройств
Базовое значение по умолчанию: блокировать все (наиболее строгие)
Подробнее
Брандмауэр
Проверка списка отзыва сертификатов
Базовое значение по умолчанию: Нет
ПодробнееОтключение FTP с отслеживанием состояния
Базовое значение по умолчанию: True
ПодробнееВключение брандмауэра доменной сети
Базовое значение по умолчанию: True
ПодробнееРазрешить локальное слияние политик Ipsec
Базовое значение по умолчанию: True
ПодробнееОтключение скрытого режима
Базовое значение по умолчанию: False
ПодробнееОтключение входящих уведомлений
Базовое значение по умолчанию: True
ПодробнееОтключение одноадресных ответов на многоадресную широковещательную рассылку
Базовое значение по умолчанию: False
ПодробнееГлобальные порты разрешают предварительное слияние пользователей
Базовое значение по умолчанию: True
ПодробнееОтключение исключения защищенного пакета Ipsec в режиме скрытия
Базовое значение по умолчанию: True
ПодробнееРазрешить локальное слияние политик
Базовое значение по умолчанию: True
Подробнее
Включение очереди пакетов
Базовое значение по умолчанию: настроено
Значение: Отключено
ПодробнееВключение брандмауэра частной сети
Базовое значение по умолчанию: True
ПодробнееДействие входящего трафика по умолчанию для частного профиля
Базовое значение по умолчанию: Блокировать
ПодробнееОтключение одноадресных ответов на многоадресную широковещательную рассылку
Базовое значение по умолчанию: False
ПодробнееОтключение скрытого режима
Базовое значение по умолчанию: False
ПодробнееГлобальные порты разрешают предварительное слияние пользователей
Базовое значение по умолчанию: True
ПодробнееРазрешить локальное слияние политик Ipsec
Базовое значение по умолчанию: True
ПодробнееОтключение исключения защищенного пакета Ipsec в режиме скрытия
Базовое значение по умолчанию: True
ПодробнееОтключение входящих уведомлений
Базовое значение по умолчанию: True
ПодробнееРазрешить локальное слияние политик
Базовое значение по умолчанию: True
ПодробнееДействие исходящего трафика по умолчанию
Базовое значение по умолчанию: Разрешить
ПодробнееПриложения проверки подлинности разрешают слияние с предварительной записью пользователя
Базовое значение по умолчанию: True
Подробнее
Включение брандмауэра общедоступной сети
Базовое значение по умолчанию: True
ПодробнееОтключение скрытого режима
Базовое значение по умолчанию: False
ПодробнееДействие исходящего трафика по умолчанию
Базовое значение по умолчанию: Разрешить
ПодробнееОтключение входящих уведомлений
Базовое значение по умолчанию: True
ПодробнееОтключение исключения защищенного пакета Ipsec в режиме скрытия
Базовое значение по умолчанию: True
ПодробнееРазрешить локальное слияние политик
Базовое значение по умолчанию: True
ПодробнееПриложения проверки подлинности разрешают слияние с предварительной записью пользователя
Базовое значение по умолчанию: True
ПодробнееДействие входящего трафика по умолчанию для общедоступного профиля
Базовое значение по умолчанию: Блокировать
ПодробнееОтключение одноадресных ответов на многоадресную широковещательную рассылку
Базовое значение по умолчанию: False
ПодробнееГлобальные порты разрешают предварительное слияние пользователей
Базовое значение по умолчанию: True
ПодробнееРазрешить локальное слияние политик Ipsec
Базовое значение по умолчанию: True
Подробнее
Кодировка предварительного ключа
Базовое значение по умолчанию: UTF8
ПодробнееВремя простоя ассоциации безопасности
Базовое значение по умолчанию: настроено
Значение: 300
Подробнее
Microsoft Edge
Настройка Microsoft Defender SmartScreen
Базовое значение по умолчанию: включеноНастройка Microsoft Defender SmartScreen для блокировки потенциально нежелательных приложений
Базовое значение по умолчанию: включеноВключение Microsoft Defender DNS-запросов SmartScreen
Базовое значение по умолчанию: включеноВключение новой библиотеки SmartScreen
Базовое значение по умолчанию: включеноПринудительное Microsoft Defender проверки SmartScreen при скачивании из доверенных источников
Базовое значение по умолчанию: включеноПредотвращение обхода Microsoft Defender запросов SmartScreen для сайтов
Базовое значение по умолчанию: включеноПредотвращение обхода предупреждений SmartScreen Microsoft Defender о скачивании
Базовое значение по умолчанию: включено
Правила уменьшения поверхности атаки
Правила сокращения направлений атаки поддерживают слияние параметров из разных политик для создания надмножества политик для каждого устройства. Объединяются только параметры, которые не конфликтуют. Конфликтующие параметры не добавляются в надмножество правил. Ранее, если две политики включали конфликты для одного параметра, обе политики помечались как конфликтующие, и параметры из любого профиля не развертывались.
Поведение слияния правил сокращения направлений атаки выглядит следующим образом:
- Правила сокращения направлений атаки из следующих профилей оцениваются для каждого устройства, к которого применяются правила:
- Политика конфигурации > устройств > Профиль > защиты конечных точек Microsoft Defender Сокращение направлений атак Exploit Guard >
- Политика сокращения направлений > атак безопасности > конечных точек Правила сокращения направлений атак
- Базовые показатели безопасности > конечных > точек Microsoft Defender для конечной точки базовые правила сокращения направлений> атак.
- Параметры, не имеющие конфликтов, добавляются в надмножество политики для устройства.
- Если две или несколько политик имеют конфликтующие параметры, конфликтующие параметры не добавляются в объединенную политику, а параметры, которые не конфликтуют, добавляются в политику надмножества, применяемую к устройству.
- Удерживаются только конфигурации для конфликтующих параметров.
Дополнительные сведения см. в статье Правила сокращения направлений атак в документации по Microsoft Defender для конечной точки.
Запретить приложению Office для коммуникации создавать дочерние процессы
Базовое значение по умолчанию: включить
ПодробнееЗапретить Adobe Reader создавать дочерние процессы
Базовое значение по умолчанию: включить
ПодробнееЗапрет приложений Office от внедрения кода в другие процессы
Базовое значение по умолчанию: Блокировать
ПодробнееЗапрет приложениям Office создавать исполняемое содержимое
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript
Базовое значение по умолчанию: Блокировать
ПодробнееВключение защиты сети
Базовое значение по умолчанию: включить
ПодробнееБлокировка недоверенных и неподписанных процессов, выполняемых с USB
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe)
Базовое значение по умолчанию: включить
ПодробнееБлокировка загрузки исполняемого содержимого из клиентов электронной почты и веб-почты
Базовое значение по умолчанию: Блокировать
ПодробнееЗапретить всем приложениям Office создавать дочерние процессы
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировать выполнение потенциально скрытых скриптов (js/vbs/ps)
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировка вызовов API Win32 из макроса Office
Базовое значение по умолчанию: Блокировать
Подробнее
Application Guard
Дополнительные сведения см. в статье WindowsDefenderApplicationGuard CSP документации по Windows.
При использовании Microsoft Edge Application Guard в Microsoft Defender защищает среду от сайтов, которые не являются доверенными в вашей организации. Когда пользователи посещают сайты, которые не указаны в вашей изолированной сетевой границе, они открываются в виртуальном сеансе просмотра Hyper-V. Доверенные сайты определяются границей сети.
BitLocker
Требовать шифрование карт памяти (только для мобильных устройств)
Базовое значение по умолчанию: Да
ПодробнееПримечание.
Поддержка Windows 10 Mobile и Windows Phone 8.1 прекращена в августе 2020 г.
Включение полного шифрования дисков для ОС и фиксированных дисков данных
Базовое значение по умолчанию: Да
ПодробнееПолитика BitLocker в отношении системных дисков
Базовое значение по умолчанию: настройка
Подробнее-
Настройка метода шифрования для дисков операционной системы
Базовое значение по умолчанию: не настроено
Подробнее
-
Настройка метода шифрования для дисков операционной системы
Политика BitLocker в отношении встроенных дисков
Базовое значение по умолчанию: настройка
ПодробнееБлокировка доступа на запись к фиксированным дискам с данными, не защищенным BitLocker
Базовое значение по умолчанию: Да
Подробнее
Этот параметр доступен, если для фиксированной политики диска BitLocker задано значение Настройка.Настройка метода шифрования для фиксированных дисков данных
Базовое значение по умолчанию: AES 128bit XTS
Подробнее
Политика BitLocker в отношении съемных дисков
Базовое значение по умолчанию: настройка
Подробнее
Состояния ожидания при спящем режиме во время работы от аккумулятора Базовое значение по умолчанию: отключено
ПодробнееСостояния ожидания во время подключения к спящему режиму
Базовое значение по умолчанию: отключено
ПодробнееВключение полного шифрования дисков для ОС и фиксированных дисков данных
Базовое значение по умолчанию: Да
ПодробнееПолитика BitLocker в отношении системных дисков
Базовое значение по умолчанию: настройка
ПодробнееТребуется проверка подлинности при запуске
Базовое значение по умолчанию: Да
ПодробнееПИН-код запуска совместимого доверенного платформенного модуля
Базовое значение по умолчанию: разрешено
ПодробнееКлюч запуска совместимого доверенного платформенного модуля
Базовое значение по умолчанию: обязательный
ПодробнееОтключение BitLocker на устройствах, где TPM несовместим
Базовое значение по умолчанию: Да
ПодробнееНастройка метода шифрования для дисков операционной системы
Базовое значение по умолчанию: не настроено
Подробнее
Политика BitLocker в отношении встроенных дисков
Базовое значение по умолчанию: настройка
ПодробнееБлокировка доступа на запись к фиксированным дискам с данными, не защищенным BitLocker
Базовое значение по умолчанию: Да
Подробнее
Этот параметр доступен, если для фиксированной политики диска BitLocker задано значение Настройка.Настройка метода шифрования для фиксированных дисков данных
Базовое значение по умолчанию: AES 128bit XTS
Подробнее
Политика BitLocker в отношении съемных дисков
Базовое значение по умолчанию: настройка
Подробнее
Политика BitLocker в отношении системных дисков
Базовое значение по умолчанию: настройка
ПодробнееТребуется проверка подлинности при запуске
Базовое значение по умолчанию: Да
ПодробнееПИН-код запуска совместимого доверенного платформенного модуля
Базовое значение по умолчанию: разрешено
ПодробнееКлюч запуска совместимого доверенного платформенного модуля
Базовое значение по умолчанию: обязательный
ПодробнееОтключение BitLocker на устройствах, где TPM несовместим
Базовое значение по умолчанию: Да
ПодробнееНастройка метода шифрования для дисков операционной системы
Базовое значение по умолчанию: не настроено
Подробнее
Состояния ожидания при спящем режиме во время работы от аккумулятора Базовое значение по умолчанию: отключено
ПодробнееСостояния ожидания во время подключения к спящему режиму
Базовое значение по умолчанию: отключено
ПодробнееВключение полного шифрования дисков для ОС и фиксированных дисков данных
Базовое значение по умолчанию: Да
ПодробнееПолитика BitLocker в отношении встроенных дисков
Базовое значение по умолчанию: настройка
ПодробнееБлокировка доступа на запись к фиксированным дискам с данными, не защищенным BitLocker
Базовое значение по умолчанию: Да
Подробнее
Этот параметр доступен, если для фиксированной политики диска BitLocker задано значение Настройка.Настройка метода шифрования для фиксированных дисков данных
Базовое значение по умолчанию: AES 128bit XTS
Подробнее
Политика BitLocker в отношении съемных дисков
Базовое значение по умолчанию: настройка
Подробнее
Браузер
Требовать SmartScreen для Microsoft Edge
Базовое значение по умолчанию: Да
ПодробнееБлокировка доступа к вредоносному сайту
Базовое значение по умолчанию: Да
ПодробнееБлокировка непроверенного скачивания файла
Базовое значение по умолчанию: Да
Подробнее
Защита данных
-
Блокировка прямого доступа к памяти
Базовое значение по умолчанию: Да
Подробнее
Device Guard
-
Включение защиты учетных данных
Базовое значение по умолчанию: включение с блокировкой UEFI
Подробнее
Установка устройства
Установка аппаратного устройства по идентификаторам устройств
Базовое значение по умолчанию: блокировать установку аппаратного устройства
ПодробнееУдаление соответствующих аппаратных устройств Базовое значение по умолчанию: Да
Заблокированные идентификаторы аппаратных устройств
Базовое значение по умолчанию: не настроено по умолчанию. Добавьте один или несколько идентификаторов устройств вручную.
Установка аппаратного устройства по классам установки
Базовое значение по умолчанию: блокировать установку аппаратного устройства
ПодробнееУдаление соответствующих аппаратных устройств Базовое значение по умолчанию: не настроено
Заблокированные идентификаторы аппаратных устройств Базовое значение по умолчанию: не настроено по умолчанию. Добавьте один или несколько идентификаторов устройств вручную.
Блокировать установку аппаратного устройства с помощью классов установки:
Базовое значение по умолчанию: Да
ПодробнееУдалите соответствующие аппаратные устройства:
Базовое значение по умолчанию: ДаСписок блокировок
Базовое значение по умолчанию: не настроено по умолчанию. Добавьте один или несколько глобальных уникальных идентификаторов класса установки вручную.
DMA Guard
-
Перечисление внешних устройств, несовместимых с защитой DMA ядра
Базовое значение по умолчанию: блокировать все
Подробнее
-
Перечисление внешних устройств, несовместимых с защитой DMA ядра
Базовое значение по умолчанию: не настроено
Подробнее
Обнаружение и нейтрализация атак на конечные точки
Брандмауэр
Протокол передачи файлов с отслеживанием состояния (FTP)
Базовое значение по умолчанию: отключено
ПодробнееКоличество секунд, в течение которых связь безопасности может быть бездействуема перед удалением
Базовое значение по умолчанию: 300
ПодробнееКодирование ключа с предварительным доступом
Базовое значение по умолчанию: UTF8
ПодробнееПроверка списка отзыва сертификатов (CRL)
Базовое значение по умолчанию: не настроено
ПодробнееОчередь пакетов
Базовое значение по умолчанию: не настроено
ПодробнееПрофиль брандмауэра частный
Базовое значение по умолчанию: настройка
ПодробнееВходящие подключения заблокированы
Базовое значение по умолчанию: Да
ПодробнееТребуются одноадресные ответы на многоадресную рассылку
Базовое значение по умолчанию: Да
ПодробнееТребуется исходящие подключения
Базовое значение по умолчанию: Да
ПодробнееВходящие уведомления заблокированы
Базовое значение по умолчанию: Да
ПодробнееПравила глобального порта из объединенной групповой политики
Базовое значение по умолчанию: Да
ПодробнееБрандмауэр включен
Базовое значение по умолчанию: разрешено
ПодробнееПравила авторизованного приложения из групповой политики не объединены
Базовое значение по умолчанию: Да
ПодробнееПравила безопасности подключения из групповой политики не объединены
Базовое значение по умолчанию: Да
ПодробнееТребуется входящий трафик
Базовое значение по умолчанию: Да
ПодробнееПравила политики из групповой политики не объединены
Базовое значение по умолчанию: Да
Подробнее
-
Режим скрытия заблокирован
Базовое значение по умолчанию: Да
Подробнее
Профиль брандмауэра общедоступный
Базовое значение по умолчанию: настройка
ПодробнееВходящие подключения заблокированы
Базовое значение по умолчанию: Да
ПодробнееТребуются одноадресные ответы на многоадресную рассылку
Базовое значение по умолчанию: Да
ПодробнееТребуется исходящие подключения
Базовое значение по умолчанию: Да
ПодробнееПравила авторизованного приложения из групповой политики не объединены
Базовое значение по умолчанию: Да**
ПодробнееВходящие уведомления заблокированы
Базовое значение по умолчанию: Да
ПодробнееПравила глобального порта из объединенной групповой политики
Базовое значение по умолчанию: Да
ПодробнееБрандмауэр включен
Базовое значение по умолчанию: разрешено
ПодробнееПравила безопасности подключения из групповой политики не объединены
Базовое значение по умолчанию: Да
ПодробнееТребуется входящий трафик
Базовое значение по умолчанию: Да
ПодробнееПравила политики из групповой политики не объединены
Базовое значение по умолчанию: Да
Подробнее
-
Режим скрытия заблокирован
Базовое значение по умолчанию: Да
Подробнее
Домен профиля брандмауэра
Базовое значение по умолчанию: настройка
ПодробнееТребуются одноадресные ответы на многоадресную рассылку
Базовое значение по умолчанию: Да
ПодробнееПравила авторизованного приложения из групповой политики не объединены
Базовое значение по умолчанию: Да
ПодробнееВходящие уведомления заблокированы
Базовое значение по умолчанию: Да
ПодробнееПравила глобального порта из объединенной групповой политики
Базовое значение по умолчанию: Да
ПодробнееБрандмауэр включен
Базовое значение по умолчанию: разрешено
ПодробнееПравила безопасности подключения из групповой политики не объединены
Базовое значение по умолчанию: Да
ПодробнееПравила политики из групповой политики не объединены
Базовое значение по умолчанию: Да
Подробнее
-
Режим скрытия заблокирован
Базовое значение по умолчанию: Да
Подробнее
Microsoft Defender
Включение защиты в режиме реального времени
Базовое значение по умолчанию: Да
ПодробнееДополнительное время (0–50 секунд) для продления времени ожидания облачной защиты
Базовое значение по умолчанию: 50
ПодробнееСканирование всех скачанных файлов и вложений
Базовое значение по умолчанию: Да
ПодробнееТип сканирования
Базовое значение по умолчанию: быстрая проверка
ПодробнееДень проверки расписания в Защитнике:
Базовое значение по умолчанию: "Каждый день"Время начала сканирования Defender:
Базовое значение по умолчанию: не настроеноСогласие на отправку примера Defender
Базовое значение по умолчанию: автоматическая отправка безопасных примеров
ПодробнееУровень защиты, предоставляемый облаком
Базовое значение по умолчанию: High
ПодробнееПроверка съемных дисков во время полной проверки
Базовое значение по умолчанию: Да
ПодробнееДействие Защитника при обнаружении потенциально нежелательного приложения
Базовое значение по умолчанию: Блокировать
ПодробнееВключить облачную защиту
Базовое значение по умолчанию: Да
Подробнее
Включение защиты в режиме реального времени
Базовое значение по умолчанию: Да
ПодробнееДополнительное время (0–50 секунд) для продления времени ожидания облачной защиты
Базовое значение по умолчанию: 50
ПодробнееСканирование всех скачанных файлов и вложений
Базовое значение по умолчанию: Да
ПодробнееТип сканирования
Базовое значение по умолчанию: быстрая проверка
ПодробнееСогласие на отправку примера Defender
Базовое значение по умолчанию: автоматическая отправка безопасных примеров
ПодробнееУровень защиты, предоставляемый облаком
Базовое значение по умолчанию: High
ПодробнееПроверка съемных дисков во время полной проверки
Базовое значение по умолчанию: Да
ПодробнееДействие Защитника при обнаружении потенциально нежелательного приложения
Базовое значение по умолчанию: Блокировать
ПодробнееВключить облачную защиту
Базовое значение по умолчанию: Да
Подробнее
Выполнение ежедневной быстрой проверки по адресу
Базовое значение по умолчанию: 2:00
ПодробнееЗапланированное время начала сканирования
Базовое значение по умолчанию: 2:00Настройка низкого приоритета ЦП для запланированных проверок
Базовое значение по умолчанию: Да
ПодробнееЗапретить приложению Office для коммуникации создавать дочерние процессы
Базовое значение по умолчанию: включить
ПодробнееЗапретить Adobe Reader создавать дочерние процессы
Базовое значение по умолчанию: включить
ПодробнееСканирование входящих сообщений электронной почты
Базовое значение по умолчанию: Да
ПодробнееВключение защиты в режиме реального времени
Базовое значение по умолчанию: Да
ПодробнееКоличество дней (0–90) для хранения вредоносных программ в карантине
Базовое значение по умолчанию: 0
ПодробнееРасписание проверки системы Defender
Базовое значение по умолчанию: пользователь определен
ПодробнееДополнительное время (0–50 секунд) для продления времени ожидания облачной защиты
Базовое значение по умолчанию: 50
ПодробнееСканирование сопоставленных сетевых дисков во время полной проверки
Базовое значение по умолчанию: Да
ПодробнееВключить защиту сети
Базовое значение по умолчанию: Да
ПодробнееСканирование всех скачанных файлов и вложений
Базовое значение по умолчанию: Да
ПодробнееБлокировка защиты доступа
Базовое значение по умолчанию: не настроено
ПодробнееСканирование скриптов браузера
Базовое значение по умолчанию: Да
ПодробнееБлокировка доступа пользователей к приложению Microsoft Defender
Базовое значение по умолчанию: Да
ПодробнееМаксимально допустимая загрузка ЦП (0–100 %) на сканирование
Базовое значение по умолчанию: 50
ПодробнееТип сканирования
Базовое значение по умолчанию: быстрая проверка
ПодробнееВведите частоту (0–24 часа) для проверка обновлений аналитики безопасности
Базовое значение по умолчанию: 8
ПодробнееСогласие на отправку примера Defender
Базовое значение по умолчанию: автоматическая отправка безопасных примеров
ПодробнееУровень защиты, предоставляемый облаком
Базовое значение по умолчанию: *Не настроено
ПодробнееСканирование архивных файлов
Базовое значение по умолчанию: Да
ПодробнееВключение мониторинга поведения
Базовое значение по умолчанию: Да
ПодробнееПроверка съемных дисков во время полной проверки
Базовое значение по умолчанию: Да
ПодробнееПроверка сетевых файлов
Базовое значение по умолчанию: Да
ПодробнееДействие Защитника при обнаружении потенциально нежелательного приложения
Базовое значение по умолчанию: Блокировать
ПодробнееВключить облачную защиту
Базовое значение по умолчанию: Да
ПодробнееЗапрет приложений Office от внедрения кода в другие процессы
Базовое значение по умолчанию: Блокировать
ПодробнееЗапрет приложениям Office создавать исполняемое содержимое
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript
Базовое значение по умолчанию: Блокировать
ПодробнееВключение защиты сети
Базовое значение по умолчанию: режим аудита
ПодробнееБлокировка недоверенных и неподписанных процессов, выполняемых с USB
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe)
Базовое значение по умолчанию: включить
ПодробнееБлокировка загрузки исполняемого содержимого из клиентов электронной почты и веб-почты
Базовое значение по умолчанию: Блокировать
ПодробнееЗапретить всем приложениям Office создавать дочерние процессы
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировать выполнение потенциально скрытых скриптов (js/vbs/ps)
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировка вызовов API Win32 из макроса Office
Базовое значение по умолчанию: Блокировать
Подробнее
Выполнение ежедневной быстрой проверки по адресу
Базовое значение по умолчанию: 2:00
ПодробнееЗапланированное время начала сканирования
Базовое значение по умолчанию: 2:00Настройка низкого приоритета ЦП для запланированных проверок
Базовое значение по умолчанию: Да
ПодробнееЗапретить приложению Office для коммуникации создавать дочерние процессы
Базовое значение по умолчанию: включить
ПодробнееЗапретить Adobe Reader создавать дочерние процессы
Базовое значение по умолчанию: включить
ПодробнееСканирование входящих сообщений электронной почты
Базовое значение по умолчанию: Да
ПодробнееВключение защиты в режиме реального времени
Базовое значение по умолчанию: Да
ПодробнееКоличество дней (0–90) для хранения вредоносных программ в карантине
Базовое значение по умолчанию: 0
ПодробнееРасписание проверки системы Defender
Базовое значение по умолчанию: пользователь определен
ПодробнееДополнительное время (0–50 секунд) для продления времени ожидания облачной защиты
Базовое значение по умолчанию: 50
ПодробнееСканирование сопоставленных сетевых дисков во время полной проверки
Базовое значение по умолчанию: Да
ПодробнееВключить защиту сети
Базовое значение по умолчанию: Да
ПодробнееСканирование всех скачанных файлов и вложений
Базовое значение по умолчанию: Да
ПодробнееБлокировка защиты доступа
Базовое значение по умолчанию: не настроено
ПодробнееСканирование скриптов браузера
Базовое значение по умолчанию: Да
ПодробнееБлокировка доступа пользователей к приложению Microsoft Defender
Базовое значение по умолчанию: Да
ПодробнееМаксимально допустимая загрузка ЦП (0–100 %) на сканирование
Базовое значение по умолчанию: 50
ПодробнееТип сканирования
Базовое значение по умолчанию: быстрая проверка
ПодробнееВведите частоту (0–24 часа) для проверка обновлений аналитики безопасности
Базовое значение по умолчанию: 8
ПодробнееСогласие на отправку примера Defender
Базовое значение по умолчанию: автоматическая отправка безопасных примеров
ПодробнееУровень защиты, предоставляемый облаком
Базовое значение по умолчанию: *Не настроено
ПодробнееСканирование архивных файлов
Базовое значение по умолчанию: Да
ПодробнееВключение мониторинга поведения
Базовое значение по умолчанию: Да
ПодробнееПроверка съемных дисков во время полной проверки
Базовое значение по умолчанию: Да
ПодробнееПроверка сетевых файлов
Базовое значение по умолчанию: Да
ПодробнееДействие Защитника при обнаружении потенциально нежелательного приложения
Базовое значение по умолчанию: Блокировать
ПодробнееВключить облачную защиту
Базовое значение по умолчанию: Да
ПодробнееЗапрет приложений Office от внедрения кода в другие процессы
Базовое значение по умолчанию: Блокировать
ПодробнееЗапрет приложениям Office создавать исполняемое содержимое
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript
Базовое значение по умолчанию: Блокировать
ПодробнееВключение защиты сети
Базовое значение по умолчанию: режим аудита
ПодробнееБлокировка недоверенных и неподписанных процессов, выполняемых с USB
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe)
Базовое значение по умолчанию: включить
ПодробнееБлокировка загрузки исполняемого содержимого из клиентов электронной почты и веб-почты
Базовое значение по умолчанию: Блокировать
ПодробнееЗапретить всем приложениям Office создавать дочерние процессы
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировать выполнение потенциально скрытых скриптов (js/vbs/ps)
Базовое значение по умолчанию: Блокировать
ПодробнееБлокировка вызовов API Win32 из макроса Office
Базовое значение по умолчанию: Блокировать
Подробнее
Центр безопасности в Microsoft Defender
-
Запретить пользователям редактировать интерфейс защиты Exploit Guard
Базовое значение по умолчанию: Да
Подробнее
Смарт-экран
Запретить пользователям игнорировать предупреждения SmartScreen
Базовое значение по умолчанию: Да
ПодробнееВключение Windows SmartScreen
Базовое значение по умолчанию: Да
ПодробнееТребовать SmartScreen для Microsoft Edge
Базовое значение по умолчанию: Да
ПодробнееБлокировка доступа к вредоносному сайту
Базовое значение по умолчанию: Да
ПодробнееБлокировка непроверенного скачивания файла
Базовое значение по умолчанию: Да
ПодробнееНастройка Microsoft Defender SmartScreen
Базовое значение по умолчанию: включеноПредотвращение обхода Microsoft Defender запросов SmartScreen для сайтов
Базовое значение по умолчанию: включеноПредотвращение обхода предупреждений SmartScreen Microsoft Defender о скачивании
Базовое значение по умолчанию: включеноНастройка Microsoft Defender SmartScreen для блокировки потенциально нежелательных приложений
Базовое значение по умолчанию: включено
Требовать только приложения из Магазина
Базовое значение по умолчанию: ДаВключение Windows SmartScreen
Базовое значение по умолчанию: Да
Подробнее
Windows Hello для бизнеса
Дополнительные сведения см. в разделе PassportForWork CSP в документации по Windows.
Блокировка Windows Hello для бизнеса
Базовое значение по умолчанию: отключеноСтрочные буквы в ПИН-коде Базовое значение по умолчанию: разрешено
Специальные символы в ПИН-коде Базовое значение по умолчанию: разрешено
Прописные буквы в ПИН-коде Базовое значение по умолчанию: разрешено