Freigeben über


Liste der Einstellungen in der Microsoft Defender for Endpoint Sicherheitsbaseline in Intune

Dieser Artikel ist eine Referenz für die Einstellungen, die in den verschiedenen Versionen der Microsoft Defender for Endpoint Sicherheitsbaseline verfügbar sind, die Sie mit Microsoft Intune bereitstellen können. Verwenden Sie die Registerkarten, um die Einstellungen in der neuesten Baselineversion und einigen älteren Versionen auszuwählen und anzuzeigen, die möglicherweise noch verwendet werden.

Für jede Einstellung gibt dieser Verweis die Standardkonfiguration der Baselines an. Dies ist auch die empfohlene Konfiguration für diese Einstellung, die vom relevanten Sicherheitsteam bereitgestellt wird. Da Produkte und die Sicherheitslandschaft weiterentwickelt werden, stimmen die empfohlenen Standardwerte in einer Basisversion möglicherweise nicht mit den Standardwerten überein, die Sie in späteren Versionen derselben Baseline finden. Verschiedene Baselinetypen, z. B. die MDM-Sicherheit und die Defender für Endpunkt-Baselines , können auch unterschiedliche Standardwerte festlegen.

Wenn die Intune-Benutzeroberfläche einen Link Weitere Informationen für eine Einstellung enthält, finden Sie dies auch hier. Verwenden Sie diesen Link, um den Konfigurationsdienstanbieter für Einstellungsrichtlinien (Configuration Service Provider , CSP) oder relevante Inhalte anzuzeigen, in denen der Einstellungsvorgang erläutert wird.

Wenn eine neue Version einer Baseline verfügbar wird, ersetzt sie die vorherige Version. Profileinstanzen, die vor der Verfügbarkeit einer neuen Version erstellt wurden:

  • Schreibgeschützt. Sie können diese Profile weiterhin verwenden, aber nicht bearbeiten, um ihre Konfiguration zu ändern.
  • Kann auf die neueste Version aktualisiert werden. Nachdem Sie ein Profil auf die aktuelle Baselineversion aktualisiert haben, können Sie das Profil bearbeiten, um Einstellungen zu ändern.

Weitere Informationen zur Verwendung von Sicherheitsbaselines finden Sie unter Verwenden von Sicherheitsbaselines. In diesem Artikel finden Sie auch Informationen zu folgenden Vorgehensweisen:

Microsoft Defender for Endpoint Baselineversion 24H1

Baseline-Einstellungen für Microsoft Defender for Endpoint für Dezember 2020 – Version 6

Microsoft Defender for Endpoint Baseline für September 2020 – Version 5

Baseline-Einstellungen für Microsoft Defender for Endpoint für April 2020 – Version 4

Baseline-Einstellungen für Microsoft Defender for Endpoint für März 2020 – Version 3

Die Microsoft Defender for Endpoint Baseline ist verfügbar, wenn Ihre Umgebung die Voraussetzungen für die Verwendung von Microsoft Defender for Endpoint erfüllt.

Diese Baseline ist für physische Geräte optimiert und wird nicht für die Verwendung auf virtuellen Computern (VMs) oder VDI-Endpunkten empfohlen. Bestimmte Baselineeinstellungen können sich auf interaktive Remotesitzungen in virtualisierten Umgebungen auswirken. Weitere Informationen finden Sie unter Erhöhung der Compliance für die Microsoft Defender for Endpoint-Sicherheitsbaseline.

Administrative Vorlagen

Systemgeräteinstallation >> Geräteinstallationseinschränkungen

  • Verhindern der Installation von Geräten mithilfe von Treibern, die diesen Geräteeinrichtungsklassen entsprechen
    Baselinestandard: Aktiviert
    Weitere Informationen

    • Verhinderte Klassen
      Baselinestandard: d48179be-ec20-11d1-b6b8-00c04fa372a7

    • Gilt auch für übereinstimmende Geräte, die bereits installiert sind.
      Baselinestandard: False

Windows-Komponenten > BitLocker-Laufwerkverschlüsselung

  • Auswählen der Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke (Windows 10 [Version 1511] und höher)
    Baselinestandard: Aktiviert
    Weitere Informationen

    • Wählen Sie die Verschlüsselungsmethode für Wechseldatenträger aus:
      Baselinestandard: AES-CBC 128-Bit (Standard)

    • Wählen Sie die Verschlüsselungsmethode für Betriebssystemlaufwerke aus:
      Baselinestandard: XTS-AES 128-Bit (Standard)

    • Wählen Sie die Verschlüsselungsmethode für Festplattenlaufwerke aus:
      Baselinestandard: XTS-AES 128-Bit (Standard)

Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Festplattenlaufwerke

  • Auswählen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können
    Baselinestandard: Aktiviert
    Weitere Informationen

    • Aktivieren Sie BitLocker erst, wenn Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS gespeichert sind.
      Baselinestandard: True

    • Datenwiederherstellungs-Agent zulassen
      Baselinestandard: True

    • Konfigurieren der Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS:
      Baselinestandard: Sichern von Wiederherstellungskennwörtern und Schlüsselpaketen

      Wert: 256-Bit-Wiederherstellungsschlüssel zulassen

    • Speichern von BitLocker-Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke
      Baselinestandard: True

    • Auslassen von Wiederherstellungsoptionen im BitLocker-Setup-Assistenten
      Baselinestandard: True

    • Konfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen:
      Baselinestandard: 48-stelliges Wiederherstellungskennwort zulassen

  • Verweigern des Schreibzugriffs auf Festplattenlaufwerke, die nicht durch BitLocker geschützt sind
    Baselinestandard: Aktiviert
    Weitere Informationen

  • Erzwingen des Laufwerkverschlüsselungstyps auf Festplattenlaufwerken
    Baselinestandard: Aktiviert
    Weitere Informationen

    • Wählen Sie den Verschlüsselungstyp aus: (Gerät)
      Baselinestandard: Verschlüsselung nur verwendeter Speicherplatz

Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke

  • Zulassen, dass Geräte, die mit InstantGo oder HSTI kompatibel sind, die PIN vor dem Start deaktivieren.
    Baselinestandard: Deaktiviert
    Weitere Informationen

  • Erweiterte PINs für den Start zulassen
    Baselinestandard: Deaktiviert
    Weitere Informationen

  • Auswählen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können
    Baselinestandard: Aktiviert
    Weitere Informationen

    • Auslassen von Wiederherstellungsoptionen im BitLocker-Setup-Assistenten
      Baselinestandard: True

    • Datenwiederherstellungs-Agent zulassen
      Baselinestandard: True

      Wert: 256-Bit-Wiederherstellungsschlüssel zulassen

    • Konfigurieren der Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS:
      Baselinestandard: Speichern von Wiederherstellungskennwörtern und Schlüsselpaketen

    • Aktivieren Sie BitLocker erst, wenn Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert sind.
      Baselinestandard: True

    • Speichern von BitLocker-Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke
      Baselinestandard: True

    • Konfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen:
      Baselinestandard: 48-stelliges Wiederherstellungskennwort zulassen

  • Aktivieren der Verwendung der BitLocker-Authentifizierung, die Tastatureingaben vor dem Start auf Wahllisten erfordert
    Baselinestandard: Aktiviert
    Weitere Informationen

  • Erzwingen des Laufwerkverschlüsselungstyps auf dem Betriebssystemlaufwerk
    Baselinestandard: Aktiviert
    Weitere Informationen

    • Wählen Sie den Verschlüsselungstyp aus: (Gerät)
      Baselinestandard: Verschlüsselung nur verwendeter Speicherplatz
  • Zusätzliche Authentifizierung beim Start erforderlich
    Baselinestandard: Aktiviert
    Weitere Informationen

    • Konfigurieren des TPM-Startschlüssels und der PIN:
      Baselinestandard: Startschlüssel und PIN mit TPM nicht zulassen

    • Tpm-Start konfigurieren:
      Baselinestandard: TPM zulassen

    • BitLocker ohne kompatibles TPM zulassen (erfordert ein Kennwort oder einen Startschlüssel auf einem USB-Speicherstick)
      Baselinestandard: False

    • Konfigurieren der TPM-Start-PIN:
      Baselinestandard: Start-PIN mit TPM zulassen

    • Konfigurieren des TPM-Startschlüssels:
      Baselinestandard: Startschlüssel mit TPM nicht zulassen

Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Wechseldatenträger

  • Steuern der Verwendung von BitLocker auf Wechseldatenträgern
    Baselinestandard: Aktiviert
    Weitere Informationen

    • Benutzern das Anwenden des BitLocker-Schutzes auf Wechseldatenträger erlauben (Gerät)
      Baselinestandard: True

      • Erzwingen des Laufwerkverschlüsselungstyps auf Wechseldatenträgern
        Baselinestandard: Aktiviert
        Weitere Informationen

        • Wählen Sie den Verschlüsselungstyp aus: (Gerät)
          Baselinestandard: Verschlüsselung nur verwendeter Speicherplatz
    • Zulassen, dass Benutzer den BitLocker-Schutz auf Wechseldatenträgern (Gerät) anhalten und entschlüsseln können
      Baselinestandard: False

  • Verweigern des Schreibzugriffs auf Wechseldatenträger, die nicht durch BitLocker geschützt sind
    Baselinestandard: Aktiviert
    Weitere Informationen

    • Lassen Sie keinen Schreibzugriff auf Geräte zu, die in einer anderen organization
      Baselinestandard: False

windows components > Explorer

  • Windows Defender SmartScreen konfigurieren
    Baselinestandard: Aktiviert
    Weitere Informationen

    • Wählen Sie eine der folgenden Einstellungen aus: (Gerät)
      Baselinestandard: Warnen und Verhindern der Umgehung

Internet-Explorer für Windows-Komponenten >

  • Umgehen von SmartScreen-Filterwarnungen zu Dateien verhindern, die häufig nicht aus dem Internet heruntergeladen werden
    Baselinestandard: Aktiviert
    Weitere Informationen

  • Umgehen von SmartScreen-Filterwarnungen zu Dateien verhindern, die häufig nicht aus dem Internet heruntergeladen werden (Benutzer)
    Baselinestandard: Aktiviert
    Weitere Informationen

  • Verhindern der Verwaltung von SmartScreen-Filtern
    Baselinestandard: Aktiviert
    Weitere Informationen

    • Auswählen des SmartScreen-Filtermodus
      Baselinestandard: Ein

BitLocker

  • Warnung zulassen für andere Datenträgerverschlüsselung
    Baselinestandard: Aktiviert
    Weitere Informationen

  • Konfigurieren der Wiederherstellungskennwortrotation
    Baselinestandard: Aktualisierung für in Azure AD eingebundene und hybrid eingebundene Geräte
    Weitere Informationen

  • Geräteverschlüsselung erforderlich
    Baselinestandard: Aktiviert
    Weitere Informationen

Defender

  • Archivüberprüfung zulassen
    Baselinestandard: Zulässig. Scannt die Archivdateien.
    Weitere Informationen

  • Verhaltensüberwachung zulassen
    Baselinestandard: Zulässig. Aktiviert die Verhaltensüberwachung in Echtzeit.
    Weitere Informationen

  • Cloudschutz zulassen
    Baselinestandard: Zulässig. Aktiviert cloud protection.
    Weitere Informationen

  • Email-Überprüfung zulassen
    Baselinestandard: Zulässig. Aktiviert die E-Mail-Überprüfung.
    Weitere Informationen

  • Vollständige Überprüfung von Wechseldatenträgern zulassen
    Baselinestandard: Zulässig. Überprüft Wechseldatenträger.
    Weitere Informationen

  • Schutz bei Zugriff zulassen
    Baselinestandard: Zulässig.
    Weitere Informationen

  • Echtzeitüberwachung zulassen
    Baselinestandard: Zulässig. Aktiviert und führt den Echtzeitüberwachungsdienst aus.
    Weitere Informationen

  • Scannen von Netzwerkdateien zulassen
    Baselinestandard: Zulässig. Überprüft Netzwerkdateien.
    Weitere Informationen

  • Überprüfung aller heruntergeladenen Dateien und Anlagen zulassen
    Baselinestandard: Zulässig.
    Weitere Informationen

  • Skriptüberprüfung zulassen
    Baselinestandard: Zulässig.
    Weitere Informationen

  • Benutzeroberflächenzugriff zulassen
    Baselinestandard: Zulässig. Ermöglicht Benutzern den Zugriff auf die Benutzeroberfläche.
    Weitere Informationen

    • Ausführung potenziell verborgener Skripts blockieren
      Baselinestandard: Block
      Weitere Informationen

    • Blockieren von Win32-API-Aufrufen von Office-Makros
      Baselinestandard: Block
      Weitere Informationen

    • Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium
      Baselinestandard: Block
      Weitere Informationen

    • Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern
      Baselinestandard: Block
      Weitere Informationen

    • Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern
      Baselinestandard: Block
      Weitere Informationen

    • Adobe Reader am Erstellen von untergeordneten Prozessen hindern
      Baselinestandard: Block
      Weitere Informationen

    • Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität
      Baselinestandard: Block
      Weitere Informationen

    • JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern
      Baselinestandard: Block
      Weitere Informationen

    • Webshellerstellung für Server blockieren
      Baselinestandard: Block
      Weitere Informationen

    • Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren
      Baselinestandard: Block
      Weitere Informationen

    • Persistenz durch WMI-Ereignisabonnement blockieren
      Baselinestandard: Überwachung
      Weitere Informationen

    • [VORSCHAU] Blockieren der Verwendung kopierter oder imitierter Systemtools
      Baselinestandard: Block
      Weitere Informationen

    • Blockieren des Missbrauchs von anfälligen signierten Treibern (Gerät)
      Baselinestandard: Block
      Weitere Informationen

    • Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren
      Baselinestandard: Überwachung
      Weitere Informationen

    • Office-Anwendungen am Erstellen ausführbarer Inhalte hindern
      Baselinestandard: Block
      Weitere Informationen

    • Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern
      Baselinestandard: Block
      Weitere Informationen

    • [VORSCHAU] Neustart des Computers im abgesicherten Modus blockieren
      Baselinestandard: Block
      Weitere Informationen

    • Verwenden des erweiterten Schutzes vor Ransomware
      Baselinestandard: Block
      Weitere Informationen

    • Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren
      Baselinestandard: Block
      Weitere Informationen

  • Überprüfen auf Signaturen vor dem Ausführen der Überprüfung
    Baselinestandard: Aktiviert
    Weitere Informationen

  • Cloudblockebene
    Baselinestandard: Hoch
    Weitere Informationen

  • Erweitertes Cloudtimeout
    Baselinestandard: Konfiguriert
    Wert: 50
    Weitere Informationen

  • Lokale Admin Zusammenführung deaktivieren
    Baselinestandard: Lokale Admin Merge aktivieren
    Weitere Informationen

  • Aktivieren des Netzwerkschutzes
    Baselinestandard: Aktiviert (Blockmodus)
    Weitere Informationen

  • Ausblenden von Ausschlüssen von lokalen Administratoren
    Baselinestandard: Wenn Sie diese Einstellung aktivieren, können lokale Administratoren die Ausschlussliste nicht mehr in Windows-Sicherheit App oder über PowerShell anzeigen.
    Weitere Informationen

  • Ausblenden von Ausschlüssen von lokalen Benutzern
    Baselinestandard: Wenn Sie diese Einstellung aktivieren, können lokale Benutzer die Ausschlussliste nicht mehr in Windows-Sicherheit App oder über PowerShell anzeigen.
    Weitere Informationen

  • Aktivieren von Rtp und Sig Update
    Baselinestandard: Wenn Sie diese Einstellung aktivieren, werden Echtzeitschutz und Security Intelligence-Updates während der Windows-Willkommensseite aktiviert.
    Weitere Informationen

  • PUA-Schutz
    Baselinestandard: PUA-Schutz aktiviert. Erkannte Elemente werden blockiert. Sie werden zusammen mit anderen Bedrohungen in der Geschichte angezeigt.
    Weitere Informationen

  • Echtzeit-Scanrichtung
    Baselinestandard: Überwachen Sie alle Dateien (bidirektional).
    Weitere Informationen

  • Scanparameter
    Baselinestandard: Schnellüberprüfung
    Weitere Informationen

  • Planen der Zeit für schnelle Überprüfungen
    Baselinestandard: Konfiguriert
    Wert: 120
    Weitere Informationen

  • Planen des Scantags
    Baselinestandard: Jeden Tag
    Weitere Informationen

  • Planen der Scanzeit
    Baselinestandard: Konfiguriert
    Wert: 120
    Weitere Informationen

  • Signaturaktualisierungsintervall
    Baselinestandard: Konfiguriert
    Wert: 4
    Weitere Informationen

  • Absenden von Beispielen– Zustimmung
    Baselinestandard: Alle Stichproben werden automatisch gesendet.
    Weitere Informationen

Device Guard

  • Credential Guard
    Baselinestandard: (Mit UEFI-Sperre aktiviert) Aktiviert Credential Guard mit UEFI-Sperre.
    Weitere Informationen

Dma Guard

Firewall

Microsoft Edge

  • Konfigurieren von Microsoft Defender SmartScreen
    Baselinestandard: Aktiviert

  • Konfigurieren von Microsoft Defender SmartScreen zum Blockieren potenziell unerwünschter Apps
    Baselinestandard: Aktiviert

  • Aktivieren von Microsoft Defender SmartScreen-DNS-Anforderungen
    Baselinestandard: Aktiviert

  • Aktivieren der neuen SmartScreen-Bibliothek
    Baselinestandard: Aktiviert

  • Erzwingen von Microsoft Defender SmartScreen-Überprüfungen bei Downloads aus vertrauenswürdigen Quellen
    Baselinestandard: Aktiviert

  • Umgehen von Microsoft Defender SmartScreen-Eingabeaufforderungen für Websites verhindern
    Baselinestandard: Aktiviert

  • Umgehung von Microsoft Defender SmartScreen-Warnungen zu Downloads verhindern
    Baselinestandard: Aktiviert

Regeln zur Verringerung der Angriffsfläche

Regeln zur Verringerung der Angriffsfläche unterstützen eine Zusammenführung von Einstellungen aus verschiedenen Richtlinien, um eine Obermenge von Richtlinien für jedes Gerät zu erstellen. Nur die Einstellungen, die nicht in Konflikt stehen, werden zusammengeführt. In Konflikt stehende Einstellungen werden der Obermenge der Regeln nicht hinzugefügt. Wenn bisher zwei Richtlinien Konflikte für eine einzelne Einstellung enthielten, wurden beide Richtlinien als in Konflikt gekennzeichnet, und es wurden keine Einstellungen aus beiden Profilen bereitgestellt.

Verhalten der Regel zur Verringerung der Angriffsfläche sieht wie folgt aus:

  • Regeln zur Verringerung der Angriffsfläche aus den folgenden Profilen werden für jedes Gerät ausgewertet, für das die Regeln gelten:
    • Gerätekonfigurationsrichtlinie >> Endpoint Protection-Profil > Microsoft Defender Verringerung der Angriffsfläche von Exploit Guard >
    • Endpunktsicherheit > Richtlinie > zur Verringerung der Angriffsfläche: Regeln zur Verringerung der Angriffsfläche
    • Endpunktsicherheit > Sicherheitsbaselines > Microsoft Defender for Endpoint Baseline-Regeln >zur Verringerung der Angriffsfläche.
  • Einstellungen ohne Konflikte werden einer Obermenge der Richtlinie für das Gerät hinzugefügt.
  • Wenn zwei oder mehr Richtlinien in Konflikt stehende Einstellungen aufweisen, werden die in Konflikt stehenden Einstellungen nicht zur kombinierten Richtlinie hinzugefügt, während Einstellungen, die keinen Konflikt verursachen, der übergeordneten Richtlinie hinzugefügt werden, die für ein Gerät gilt.
  • Nur die Konfigurationen für in Konflikt stehende Einstellungen werden zurückgehalten.

Weitere Informationen finden Sie unter Regeln zur Verringerung der Angriffsfläche in der Microsoft Defender for Endpoint-Dokumentation.

  • Blockieren der Erstellung untergeordneter Prozesse durch Office-Kommunikations-Apps
    Baselinestandard: Aktivieren
    Weitere Informationen

  • Adobe Reader am Erstellen von untergeordneten Prozessen hindern
    Baselinestandard: Aktivieren
    Weitere Informationen

  • Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern
    Baselinestandard: Block
    Weitere Informationen

  • Office-Anwendungen am Erstellen ausführbarer Inhalte hindern
    Baselinestandard: Block
    Weitere Informationen

  • JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern
    Baselinestandard: Block
    Weitere Informationen

  • Aktivieren des Netzwerkschutzes
    Baselinestandard: Aktivieren
    Weitere Informationen

  • Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren
    Baselinestandard: Block
    Weitere Informationen

  • Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren
    Baselinestandard: Aktivieren
    Weitere Informationen

  • Herunterladen ausführbarer Inhalte von E-Mail- und Webmailclients blockieren
    Baselinestandard: Block
    Weitere Informationen

  • Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern
    Baselinestandard: Block
    Weitere Informationen

  • Blockieren der Ausführung potenziell verschleierter Skripts (js/vbs/ps)
    Baselinestandard: Block
    Weitere Informationen

  • Win32-API-Aufrufe von Office-Makro blockieren
    Baselinestandard: Block
    Weitere Informationen

Application Guard

Weitere Informationen finden Sie unter WindowsDefenderApplicationGuard CSP in der Windows-Dokumentation.

Wenn Sie Microsoft Edge verwenden, schützt Microsoft Defender Application Guard Ihre Umgebung vor Websites, denen Ihr organization nicht vertraut. Wenn Benutzer Websites besuchen, die nicht in Ihrer isolierten Netzwerkgrenze aufgeführt sind, werden die Websites in einer virtuellen Hyper-V-Browsersitzung geöffnet. Vertrauenswürdige Standorte werden durch eine Netzwerkgrenze definiert.

  • Aktivieren von Application Guard für Edge (Optionen)
    Baselinestandard: Für Edge aktiviert
    Weitere Informationen

    • Blockieren externer Inhalte von nicht vom Unternehmen genehmigten Websites
      Baselinestandard: Ja
      Weitere Informationen

    • Verhalten der Zwischenablage
      Baselinestandard: Kopieren und Einfügen zwischen PC und Browser blockieren
      Weitere Informationen

  • Windows-Richtlinie für Netzwerkisolierung
    Baselinestandard: Konfigurieren
    Weitere Informationen

    • Netzwerkdomänen
      Baselinestandard: securitycenter.windows.com

BitLocker

  • Erfordern der Verschlüsselung von Speicherkarten (nur für Mobilgeräte)
    Baselinestandard: Ja
    Weitere Informationen

    Hinweis

    Der Support für Windows 10 Mobile und Windows Phone 8.1 endete im August 2020.

  • Aktivieren der vollständigen Datenträgerverschlüsselung für Betriebssystem- und Festplattenlaufwerke
    Baselinestandard: Ja
    Weitere Informationen

  • BitLocker-Richtlinie für Systemlaufwerk
    Baselinestandard: Konfigurieren
    Weitere Informationen

    • Konfigurieren der Verschlüsselungsmethode für Betriebssystemlaufwerke
      Baselinestandard: Nicht konfiguriert
      Weitere Informationen
  • BitLocker-Richtlinie für Festplattenlaufwerk
    Baselinestandard: Konfigurieren
    Weitere Informationen

    • Blockieren des Schreibzugriffs auf Festplattenlaufwerke, die nicht durch BitLocker geschützt sind
      Baselinestandard: Ja
      Weitere Informationen
      Diese Einstellung ist verfügbar, wenn die BitLocker-Richtlinie für feste Laufwerke auf Konfigurieren festgelegt ist.

    • Konfigurieren der Verschlüsselungsmethode für Festplattenlaufwerke
      Baselinestandard: AES 128-Bit-XTS
      Weitere Informationen

  • bitLockerRemovableDrivePolicy
    Baselinestandard: Konfigurieren
    Weitere Informationen

    • Konfigurieren der Verschlüsselungsmethode für Wechseldatenträger
      Baselinestandard: AES 128-Bit-CBC
      Weitere Informationen

    • Blockieren des Schreibzugriffs auf Wechseldatenträger, die nicht durch BitLocker geschützt sind
      Baselinestandard: Nicht konfiguriert
      Weitere Informationen

  • Standbyzustände im Ruhezustand im Akkubetrieb Baselinestandard: Deaktiviert
    Weitere Informationen

  • Standbyzustände im Ruhezustand während des Netzbetriebs
    Baselinestandard: Deaktiviert
    Weitere Informationen

  • Aktivieren der vollständigen Datenträgerverschlüsselung für Betriebssystem- und Festplattenlaufwerke
    Baselinestandard: Ja
    Weitere Informationen

  • BitLocker-Richtlinie für Systemlaufwerk
    Baselinestandard: Konfigurieren
    Weitere Informationen

  • BitLocker-Richtlinie für Festplattenlaufwerk
    Baselinestandard: Konfigurieren
    Weitere Informationen

    • Blockieren des Schreibzugriffs auf Festplattenlaufwerke, die nicht durch BitLocker geschützt sind
      Baselinestandard: Ja
      Weitere Informationen
      Diese Einstellung ist verfügbar, wenn die BitLocker-Richtlinie für feste Laufwerke auf Konfigurieren festgelegt ist.

    • Konfigurieren der Verschlüsselungsmethode für Festplattenlaufwerke
      Baselinestandard: AES 128-Bit-XTS
      Weitere Informationen

  • bitLockerRemovableDrivePolicy
    Baselinestandard: Konfigurieren
    Weitere Informationen

    • Konfigurieren der Verschlüsselungsmethode für Wechseldatenträger
      Baselinestandard: AES 128-Bit-CBC
      Weitere Informationen

    • Blockieren des Schreibzugriffs auf Wechseldatenträger, die nicht durch BitLocker geschützt sind
      Baselinestandard: Nicht konfiguriert
      Weitere Informationen

  • BitLocker-Richtlinie für Systemlaufwerk
    Baselinestandard: Konfigurieren
    Weitere Informationen

  • Standbyzustände im Ruhezustand im Akkubetrieb Baselinestandard: Deaktiviert
    Weitere Informationen

  • Standbyzustände im Ruhezustand während des Netzbetriebs
    Baselinestandard: Deaktiviert
    Weitere Informationen

  • Aktivieren der vollständigen Datenträgerverschlüsselung für Betriebssystem- und Festplattenlaufwerke
    Baselinestandard: Ja
    Weitere Informationen

  • BitLocker-Richtlinie für Festplattenlaufwerk
    Baselinestandard: Konfigurieren
    Weitere Informationen

    • Blockieren des Schreibzugriffs auf Festplattenlaufwerke, die nicht durch BitLocker geschützt sind
      Baselinestandard: Ja
      Weitere Informationen
      Diese Einstellung ist verfügbar, wenn die BitLocker-Richtlinie für feste Laufwerke auf Konfigurieren festgelegt ist.

    • Konfigurieren der Verschlüsselungsmethode für Festplattenlaufwerke
      Baselinestandard: AES 128-Bit-XTS
      Weitere Informationen

  • bitLockerRemovableDrivePolicy
    Baselinestandard: Konfigurieren
    Weitere Informationen

    • Konfigurieren der Verschlüsselungsmethode für Wechseldatenträger
      Baselinestandard: AES 128-Bit-CBC
      Weitere Informationen

    • Blockieren des Schreibzugriffs auf Wechseldatenträger, die nicht durch BitLocker geschützt sind
      Baselinestandard: Nicht konfiguriert
      Weitere Informationen

Browser

Datenschutz

Device Guard

Geräteinstallation

  • Hardwaregeräteinstallation nach Gerätebezeichnern
    Baselinestandard: Hardwaregeräteinstallation blockieren
    Weitere Informationen

    • Entfernen passender Hardwaregeräte Baselinestandard: Ja

    • Hardwaregerätebezeichner, die blockiert sind
      Baselinestandard: Standardmäßig nicht konfiguriert. Fügen Sie manuell eine oder mehrere Gerätebezeichner hinzu.

  • Hardwaregeräteinstallation nach Setupklassen
    Baselinestandard: Hardwaregeräteinstallation blockieren
    Weitere Informationen

    • Entfernen passender Hardwaregeräte Baselinestandard: Nicht konfiguriert

    • Hardwaregerätebezeichner, die blockiert sind Baselinestandard: Standardmäßig nicht konfiguriert. Fügen Sie manuell eine oder mehrere Gerätebezeichner hinzu.

  • Blockieren der Hardwaregeräteinstallation nach Setupklassen:
    Baselinestandard: Ja
    Weitere Informationen

    • Entfernen sie übereinstimmende Hardwaregeräte:
      Baselinestandard: Ja

    • Blockierungsliste
      Baselinestandard: Standardmäßig nicht konfiguriert. Fügen Sie manuell eine oder mehrere setup-Klasse global eindeutige Bezeichner hinzu.

DMA Guard

  • Aufzählung externer Geräte, die mit kernel-DMA-Schutz nicht kompatibel sind
    Baselinestandard: Alle blockieren
    Weitere Informationen
  • Aufzählung externer Geräte, die mit kernel-DMA-Schutz nicht kompatibel sind
    Baselinestandard: Nicht konfiguriert
    Weitere Informationen

Erkennung und Reaktion am Endpunkt

Firewall

Microsoft Defender

  • Aktivieren des Echtzeitschutzes
    Baselinestandard: Ja
    Weitere Informationen

  • Zusätzlicher Zeitaufwand (0 bis 50 Sekunden) zum Verlängern des Cloudschutztimeouts
    Baselinestandard: 50
    Weitere Informationen

  • Alle heruntergeladenen Dateien und Anlagen überprüfen
    Baselinestandard: Ja
    Weitere Informationen

  • Scantyp
    Baselinestandard: Schnellüberprüfung
    Weitere Informationen

  • Defender-Zeitplanüberprüfungstag:
    Baselinestandard: Täglich

  • Startzeit der Defender-Überprüfung:
    Baselinestandard: Nicht konfiguriert

  • Defender-Beispieleinwilligung für die Übermittlung
    Baselinestandard: Sichere Stichproben automatisch senden
    Weitere Informationen

  • Von der Cloud bereitgestellte Schutzebene
    Baselinestandard: Hoch
    Weitere Informationen

  • Überprüfen von Wechseldatenträgern während der vollständigen Überprüfung
    Baselinestandard: Ja
    Weitere Informationen

  • Defender-Aktion bei möglicherweise unerwünschter App
    Baselinestandard: Block
    Weitere Informationen

  • Über die Cloud bereitgestellten Netzwerkschutz aktivieren
    Baselinestandard: Ja
    Weitere Informationen

  • Ausführen einer täglichen Schnellüberprüfung unter
    Baselinestandard: 2:00 Uhr
    Weitere Informationen

  • Startzeit der geplanten Überprüfung
    Baselinestandard: 2:00 Uhr

  • Konfigurieren einer niedrigen CPU-Priorität für geplante Überprüfungen
    Baselinestandard: Ja
    Weitere Informationen

  • Blockieren der Erstellung untergeordneter Prozesse durch Office-Kommunikations-Apps
    Baselinestandard: Aktivieren
    Weitere Informationen

  • Adobe Reader am Erstellen von untergeordneten Prozessen hindern
    Baselinestandard: Aktivieren
    Weitere Informationen

  • Überprüfen eingehender E-Mail-Nachrichten
    Baselinestandard: Ja
    Weitere Informationen

  • Aktivieren des Echtzeitschutzes
    Baselinestandard: Ja
    Weitere Informationen

  • Anzahl der Tage (0-90) für die Aufbewahrung von schadsoftware unter Quarantäne
    Baselinestandard: 0
    Weitere Informationen

  • Zeitplan für die Überprüfung des Defender-Systems
    Baselinestandard: Benutzerdefiniert
    Weitere Informationen

  • Zusätzlicher Zeitaufwand (0 bis 50 Sekunden) zum Verlängern des Cloudschutztimeouts
    Baselinestandard: 50
    Weitere Informationen

  • Überprüfen zugeordneter Netzlaufwerke während einer vollständigen Überprüfung
    Baselinestandard: Ja
    Weitere Informationen

  • Netzwerkschutz aktivieren
    Baselinestandard: Ja
    Weitere Informationen

  • Alle heruntergeladenen Dateien und Anlagen überprüfen
    Baselinestandard: Ja
    Weitere Informationen

  • Zugriffsschutz blockieren
    Baselinestandard: Nicht konfiguriert
    Weitere Informationen

  • Browserskripts überprüfen
    Baselinestandard: Ja
    Weitere Informationen

  • Blockieren des Benutzerzugriffs auf Microsoft Defender-App
    Baselinestandard: Ja
    Weitere Informationen

  • Maximal zulässige CPU-Auslastung (0–100 Prozent) pro Scan
    Baselinestandard: 50
    Weitere Informationen

  • Scantyp
    Baselinestandard: Schnellüberprüfung
    Weitere Informationen

  • Geben Sie ein, wie oft (0 bis 24 Stunden) nach Security Intelligence-Updates gesucht werden soll.
    Baselinestandard: 8
    Weitere Informationen

  • Defender-Beispieleinwilligung für die Übermittlung
    Baselinestandard: Sichere Stichproben automatisch senden
    Weitere Informationen

  • Von der Cloud bereitgestellte Schutzebene
    Baselinestandard: *Nicht konfiguriert
    Weitere Informationen

  • Archivdateien überprüfen
    Baselinestandard: Ja
    Weitere Informationen

  • Aktivieren der Verhaltensüberwachung
    Baselinestandard: Ja
    Weitere Informationen

  • Überprüfen von Wechseldatenträgern während der vollständigen Überprüfung
    Baselinestandard: Ja
    Weitere Informationen

  • Überprüfen von Netzwerkdateien
    Baselinestandard: Ja
    Weitere Informationen

  • Defender-Aktion bei möglicherweise unerwünschter App
    Baselinestandard: Block
    Weitere Informationen

  • Über die Cloud bereitgestellten Netzwerkschutz aktivieren
    Baselinestandard: Ja
    Weitere Informationen

  • Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern
    Baselinestandard: Block
    Weitere Informationen

  • Office-Anwendungen am Erstellen ausführbarer Inhalte hindern
    Baselinestandard: Block
    Weitere Informationen

  • JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern
    Baselinestandard: Block
    Weitere Informationen

  • Aktivieren des Netzwerkschutzes
    Baselinestandard: Überwachungsmodus
    Weitere Informationen

  • Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren
    Baselinestandard: Block
    Weitere Informationen

  • Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren
    Baselinestandard: Aktivieren
    Weitere Informationen

  • Herunterladen ausführbarer Inhalte von E-Mail- und Webmailclients blockieren
    Baselinestandard: Block
    Weitere Informationen

  • Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern
    Baselinestandard: Block
    Weitere Informationen

  • Blockieren der Ausführung potenziell verschleierter Skripts (js/vbs/ps)
    Baselinestandard: Block
    Weitere Informationen

  • Win32-API-Aufrufe von Office-Makro blockieren
    Baselinestandard: Block
    Weitere Informationen

  • Ausführen einer täglichen Schnellüberprüfung unter
    Baselinestandard: 2:00 Uhr
    Weitere Informationen

  • Startzeit der geplanten Überprüfung
    Baselinestandard: 2:00 Uhr

  • Konfigurieren einer niedrigen CPU-Priorität für geplante Überprüfungen
    Baselinestandard: Ja
    Weitere Informationen

  • Blockieren der Erstellung untergeordneter Prozesse durch Office-Kommunikations-Apps
    Baselinestandard: Aktivieren
    Weitere Informationen

  • Adobe Reader am Erstellen von untergeordneten Prozessen hindern
    Baselinestandard: Aktivieren
    Weitere Informationen

  • Überprüfen eingehender E-Mail-Nachrichten
    Baselinestandard: Ja
    Weitere Informationen

  • Aktivieren des Echtzeitschutzes
    Baselinestandard: Ja
    Weitere Informationen

  • Anzahl der Tage (0-90) für die Aufbewahrung von schadsoftware unter Quarantäne
    Baselinestandard: 0
    Weitere Informationen

  • Zeitplan für die Überprüfung des Defender-Systems
    Baselinestandard: Benutzerdefiniert
    Weitere Informationen

  • Zusätzlicher Zeitaufwand (0 bis 50 Sekunden) zum Verlängern des Cloudschutztimeouts
    Baselinestandard: 50
    Weitere Informationen

  • Überprüfen zugeordneter Netzlaufwerke während einer vollständigen Überprüfung
    Baselinestandard: Ja
    Weitere Informationen

  • Netzwerkschutz aktivieren
    Baselinestandard: Ja
    Weitere Informationen

  • Alle heruntergeladenen Dateien und Anlagen überprüfen
    Baselinestandard: Ja
    Weitere Informationen

  • Zugriffsschutz blockieren
    Baselinestandard: Nicht konfiguriert
    Weitere Informationen

  • Browserskripts überprüfen
    Baselinestandard: Ja
    Weitere Informationen

  • Blockieren des Benutzerzugriffs auf Microsoft Defender-App
    Baselinestandard: Ja
    Weitere Informationen

  • Maximal zulässige CPU-Auslastung (0–100 Prozent) pro Scan
    Baselinestandard: 50
    Weitere Informationen

  • Scantyp
    Baselinestandard: Schnellüberprüfung
    Weitere Informationen

  • Geben Sie ein, wie oft (0 bis 24 Stunden) nach Security Intelligence-Updates gesucht werden soll.
    Baselinestandard: 8
    Weitere Informationen

  • Defender-Beispieleinwilligung für die Übermittlung
    Baselinestandard: Sichere Stichproben automatisch senden
    Weitere Informationen

  • Von der Cloud bereitgestellte Schutzebene
    Baselinestandard: *Nicht konfiguriert
    Weitere Informationen

  • Archivdateien überprüfen
    Baselinestandard: Ja
    Weitere Informationen

  • Aktivieren der Verhaltensüberwachung
    Baselinestandard: Ja
    Weitere Informationen

  • Überprüfen von Wechseldatenträgern während der vollständigen Überprüfung
    Baselinestandard: Ja
    Weitere Informationen

  • Überprüfen von Netzwerkdateien
    Baselinestandard: Ja
    Weitere Informationen

  • Defender-Aktion bei möglicherweise unerwünschter App
    Baselinestandard: Block
    Weitere Informationen

  • Über die Cloud bereitgestellten Netzwerkschutz aktivieren
    Baselinestandard: Ja
    Weitere Informationen

  • Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern
    Baselinestandard: Block
    Weitere Informationen

  • Office-Anwendungen am Erstellen ausführbarer Inhalte hindern
    Baselinestandard: Block
    Weitere Informationen

  • JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern
    Baselinestandard: Block
    Weitere Informationen

  • Aktivieren des Netzwerkschutzes
    Baselinestandard: Überwachungsmodus
    Weitere Informationen

  • Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren
    Baselinestandard: Block
    Weitere Informationen

  • Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren
    Baselinestandard: Aktivieren
    Weitere Informationen

  • Herunterladen ausführbarer Inhalte von E-Mail- und Webmailclients blockieren
    Baselinestandard: Block
    Weitere Informationen

  • Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern
    Baselinestandard: Block
    Weitere Informationen

  • Blockieren der Ausführung potenziell verschleierter Skripts (js/vbs/ps)
    Baselinestandard: Block
    Weitere Informationen

  • Win32-API-Aufrufe von Office-Makro blockieren
    Baselinestandard: Block
    Weitere Informationen

Microsoft Defender Security Center

  • Blockieren der Bearbeitung der Exploit Guard-Schutzschnittstelle durch Benutzer
    Baselinestandard: Ja
    Weitere Informationen

SmartScreen

  • Blockieren, dass Benutzer SmartScreen-Warnungen ignorieren
    Baselinestandard: Ja
    Weitere Informationen

  • Aktivieren von Windows SmartScreen
    Baselinestandard: Ja
    Weitere Informationen

  • SmartScreen für Microsoft Edge erforderlich
    Baselinestandard: Ja
    Weitere Informationen

  • Blockieren des Zugriffs auf schädliche Websites
    Baselinestandard: Ja
    Weitere Informationen

  • Herunterladen nicht überprüfter Dateien blockieren
    Baselinestandard: Ja
    Weitere Informationen

  • Konfigurieren von Microsoft Defender SmartScreen
    Baselinestandard: Aktiviert

  • Umgehen von Microsoft Defender SmartScreen-Eingabeaufforderungen für Websites verhindern
    Baselinestandard: Aktiviert

  • Umgehung von Microsoft Defender SmartScreen-Warnungen zu Downloads verhindern
    Baselinestandard: Aktiviert

  • Konfigurieren von Microsoft Defender SmartScreen zum Blockieren potenziell unerwünschter Apps
    Baselinestandard: Aktiviert

  • Nur Apps aus dem Store anfordern
    Baselinestandard: Ja

  • Aktivieren von Windows SmartScreen
    Baselinestandard: Ja
    Weitere Informationen

Windows Hello for Business

Weitere Informationen finden Sie unter PassportForWork CSP in der Windows-Dokumentation.

  • Windows Hello for Business blockieren
    Baselinestandard: Deaktiviert

    • Kleinbuchstaben in PIN Baselinestandard: Zulässig

    • Sonderzeichen in PIN Baselinestandard: Zulässig

    • Großbuchstaben in PIN Baselinestandard: Zulässig

Nächste Schritte