Freigeben über


Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter macOS

Gilt für:

Wichtig

Dieser Artikel enthält Anweisungen zum Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter macOS in Unternehmensorganisationen. Informationen zum Konfigurieren von Microsoft Defender für Endpunkt unter macOS mithilfe der Befehlszeilenschnittstelle finden Sie unter Ressourcen.

Zusammenfassung

In Unternehmensorganisationen kann Microsoft Defender für Endpunkt unter macOS über ein Konfigurationsprofil verwaltet werden, das mit einem von mehreren Verwaltungstools bereitgestellt wird. Einstellungen, die von Ihrem Sicherheitsbetriebsteam verwaltet werden, haben Vorrang vor einstellungen, die lokal auf dem Gerät festgelegt werden. Das Ändern der Einstellungen, die über das Konfigurationsprofil festgelegt werden, erfordert eskalierte Berechtigungen und ist für Benutzer ohne Administratorberechtigungen nicht verfügbar.

Dieser Artikel beschreibt die Struktur des Konfigurationsprofils, enthält ein empfohlenes Profil, das Sie für den Einstieg verwenden können, und enthält Anweisungen zum Bereitstellen des Profils.

Struktur des Konfigurationsprofils

Das Konfigurationsprofil ist eine PLIST-Datei , die aus Einträgen besteht, die durch einen Schlüssel identifiziert werden (der den Namen der Einstellung angibt), gefolgt von einem Wert, der von der Art der Einstellung abhängt. Werte können entweder einfach (z. B. ein numerischer Wert) oder komplex sein, z. B. eine geschachtelte Liste von Einstellungen.

Achtung

Das Layout des Konfigurationsprofils hängt von der verwendeten Verwaltungskonsole ab. Die folgenden Abschnitte enthalten Beispiele für Konfigurationsprofile für JAMF und Intune.

Die oberste Ebene des Konfigurationsprofils enthält produktweite Einstellungen und Einträge für Unterbereiche von Microsoft Defender für Endpunkt, die in den nächsten Abschnitten ausführlicher erläutert werden.

Einstellungen der Antiviren-Engine

Der Abschnitt antivirusEngine des Konfigurationsprofils wird verwendet, um die Einstellungen der Antivirenkomponente von Microsoft Defender für Endpunkt zu verwalten.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel antivirusEngine
Datentyp Wörterbuch (geschachtelte Einstellung)
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.

Erzwingungsstufe für die Antiviren-Engine

Gibt die Erzwingungspräferenz des Antivirenmoduls an. Es gibt drei Werte zum Festlegen der Erzwingungsstufe:

  • Echtzeitschutz (real_time): Echtzeitschutz (Scannen von Dateien beim Zugriff) ist aktiviert.
  • On-Demand (on_demand): Dateien werden nur bei Bedarf gescannt. In diesem Fall:
    • Der Echtzeitschutz ist deaktiviert.
  • Passiv (passive): Führt die Antiviren-Engine im passiven Modus aus. In diesem Fall:
    • Der Echtzeitschutz ist deaktiviert.
    • Die bedarfsgesteuerte Überprüfung ist aktiviert.
    • Die automatische Bedrohungsbehebung ist deaktiviert.
    • Security Intelligence-Updates sind aktiviert.
    • Das Statusmenüsymbol ist ausgeblendet.
Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel enforcementLevel
Datentyp String
Mögliche Werte real_time (Standard)

on_demand

Passive

Kommentare Verfügbar in Microsoft Defender für Endpunkt, Version 101.10.72 oder höher.

Aktivieren/Deaktivieren der Verhaltensüberwachung

Bestimmt, ob die Funktion zur Verhaltensüberwachung und -blockierung auf dem Gerät aktiviert ist oder nicht.

Hinweis

Dieses Feature gilt nur, wenn Real-Time Schutz aktiviert ist.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel behaviorMonitoring
Datentyp String
Mögliche Werte deaktiviert

aktiviert (Standard)

Kommentare Verfügbar in Microsoft Defender für Endpunkt, Version 101.24042.0002 oder höher.

Konfigurieren der Dateihashberechnungsfunktion

Aktiviert oder deaktiviert die Dateihashberechnungsfunktion. Wenn dieses Feature aktiviert ist, berechnet Defender für Endpunkt Hashes für Dateien, die überprüft werden, um eine bessere Übereinstimmung mit den Indikatorregeln zu ermöglichen. Unter macOS werden nur die Skript- und Mach-O-Dateien (32 und 64 Bit) für diese Hashberechnung berücksichtigt (ab Modulversion 1.1.20000.2 oder höher). Beachten Sie, dass sich die Aktivierung dieses Features auf die Geräteleistung auswirken kann. Weitere Informationen finden Sie unter Erstellen von Indikatoren für Dateien.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel enableFileHashComputation
Datentyp Boolesch
Mögliche Werte false (Standard)

true

Kommentare Verfügbar in Defender für Endpunkt Version 101.86.81 oder höher.

Ausführen einer Überprüfung nach dem Aktualisieren von Definitionen

Gibt an, ob eine Prozessüberprüfung gestartet werden soll, nachdem neue Security Intelligence-Updates auf das Gerät heruntergeladen wurden. Wenn Sie diese Einstellung aktivieren, wird eine Antivirenüberprüfung für die ausgeführten Prozesse des Geräts ausgelöst.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel scanAfterDefinitionUpdate
Datentyp Boolesch
Mögliche Werte true (Standard)

false

Kommentare Verfügbar in Microsoft Defender für Endpunkt, Version 101.41.10 oder höher.

Scannen von Archiven (nur bedarfsgesteuerte Antivirenscans)

Gibt an, ob Archive bei bedarfsgesteuerten Antivirenscans überprüft werden sollen.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel scanArchives
Datentyp Boolesch
Mögliche Werte true (Standard)

false

Kommentare Verfügbar in Microsoft Defender für Endpunkt, Version 101.41.10 oder höher.

Grad der Parallelität bei bedarfsgesteuerten Scans

Gibt den Grad der Parallelität für bedarfsgesteuerte Scans an. Dies entspricht der Anzahl der Threads, die zum Durchführen der Überprüfung verwendet werden, und wirkt sich auf die CPU-Auslastung sowie die Dauer der bedarfsgesteuerten Überprüfung aus.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel maximumOnDemandScanThreads
Datentyp Integer
Mögliche Werte 2 (Standard). Zulässige Werte sind ganze Zahlen zwischen 1 und 64.
Kommentare Verfügbar in Microsoft Defender für Endpunkt, Version 101.41.10 oder höher.

Ausschlusszusammenführungsrichtlinie

Geben Sie die Mergerichtlinie für Ausschlüsse an. Dies kann eine Kombination aus vom Administrator definierten und benutzerdefinierten Ausschlüssen (merge) oder nur administratordefinierte Ausschlüsse (admin_only) sein. Diese Einstellung kann verwendet werden, um lokale Benutzer daran zu hindern, ihre eigenen Ausschlüsse zu definieren.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel exclusionsMergePolicy
Datentyp String
Mögliche Werte Merge (Standard)

admin_only

Kommentare Verfügbar in Microsoft Defender für Endpunkt, Version 100.83.73 oder höher.

Scanausschlüsse

Geben Sie Entitäten an, die von der Überprüfung ausgeschlossen sind. Ausschlüsse können durch vollständige Pfade, Erweiterungen oder Dateinamen angegeben werden. (Ausschlüsse werden als Array von Elementen angegeben, der Administrator kann beliebig viele Elemente in beliebiger Reihenfolge angeben.)

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel Ausschlüsse
Datentyp Wörterbuch (geschachtelte Einstellung)
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Art des Ausschlusses

Geben Sie den Inhalt an, der von der Überprüfung ausgeschlossen wird, nach Typ.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel $type
Datentyp String
Mögliche Werte excludedPath

excludedFileExtension

excludedFileName

Pfad zu ausgeschlossenen Inhalten

Geben Sie inhalte an, die von der Überprüfung ausgeschlossen werden, indem Sie den vollständigen Dateipfad angeben.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel path
Datentyp String
Mögliche Werte Gültige Pfade
Kommentare Gilt nur, wenn $typeexcludedPath ist

Unterstützte Ausschlusstypen

In der folgenden Tabelle sind die Von Defender für Endpunkt für Mac unterstützten Ausschlusstypen aufgeführt.

Ausschluss Definition Beispiele
Dateierweiterung Alle Dateien mit der Erweiterung, überall auf dem Gerät .test
File Eine bestimmte Datei, die durch den vollständigen Pfad identifiziert wird /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Ordner Alle Dateien im angegebenen Ordner (rekursiv) /var/log/

/var/*/

Prozess Ein bestimmter Prozess (entweder durch den vollständigen Pfad oder Dateinamen angegeben) und alle dateien, die von diesem geöffnet werden /bin/cat

cat

c?t

Wichtig

Die oben genannten Pfade müssen feste Links und keine symbolischen Verknüpfungen sein, um erfolgreich ausgeschlossen zu werden. Sie können überprüfen, ob ein Pfad eine symbolische Verknüpfung ist, indem Sie ausführen file <path-name>.

Datei-, Ordner- und Prozessausschlüsse unterstützen die folgenden Wildcards:

Platzhalter Beschreibung Beispiel Übereinstimmungen Stimmt nicht überein
* Entspricht einer beliebigen Anzahl beliebiger Zeichen, einschließlich keines (beachten Sie, dass bei Verwendung dieses Platzhalters innerhalb eines Pfads nur ein Ordner ersetzt wird) /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? Entspricht jedem einzelnen Zeichen file?.log file1.log

file2.log

file123.log

Pfadtyp (Datei/Verzeichnis)

Geben Sie an, ob die Path-Eigenschaft auf eine Datei oder ein Verzeichnis verweist.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel Isdirectory
Datentyp Boolesch
Mögliche Werte false (Standard)

true

Kommentare Gilt nur, wenn $typeexcludedPath ist

Dateierweiterung von der Überprüfung ausgeschlossen

Geben Sie Inhalte an, die von der Überprüfung durch die Dateierweiterung ausgeschlossen werden.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel Erweiterung
Datentyp String
Mögliche Werte Gültige Dateierweiterungen
Kommentare Gilt nur, wenn $typeausgeschlossen IstFileExtension

Von der Überprüfung ausgeschlossener Prozess

Geben Sie einen Prozess an, für den alle Dateiaktivitäten von der Überprüfung ausgeschlossen werden. Der Prozess kann entweder über seinen Namen (z. B cat. ) oder den vollständigen Pfad (z. B /bin/cat. ) angegeben werden.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel name
Datentyp String
Mögliche Werte beliebige Zeichenfolge
Kommentare Gilt nur, wenn $typeexcludedFileName ist

Zulässige Bedrohungen

Geben Sie Bedrohungen anhand des Namens an, die nicht von Defender für Endpunkt auf dem Mac blockiert werden. Diese Bedrohungen dürfen ausgeführt werden.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel allowedThreats
Datentyp Array aus Zeichenfolgen

Unzulässige Bedrohungsaktionen

Schränkt die Aktionen ein, die der lokale Benutzer eines Geräts ausführen kann, wenn Bedrohungen erkannt werden. Die in dieser Liste enthaltenen Aktionen werden nicht auf der Benutzeroberfläche angezeigt.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel disallowedThreatActions
Datentyp Array aus Zeichenfolgen
Mögliche Werte allow (verhindert, dass Benutzer Bedrohungen zulassen)

wiederherstellen (schränkt Benutzer an der Wiederherstellung von Bedrohungen aus der Quarantäne ein)

Kommentare Verfügbar in Microsoft Defender für Endpunkt, Version 100.83.73 oder höher.

Einstellungen für Bedrohungstypen

Geben Sie an, wie bestimmte Bedrohungstypen von Microsoft Defender für Endpunkt unter macOS behandelt werden.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel threatTypeSettings
Datentyp Wörterbuch (geschachtelte Einstellung)
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Bedrohungstyp

Geben Sie Bedrohungstypen an.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel Schlüssel
Datentyp String
Mögliche Werte potentially_unwanted_application

archive_bomb

Zu ergreifende Maßnahme

Geben Sie an, welche Aktion ausgeführt werden soll, wenn eine Bedrohung des im vorherigen Abschnitt angegebenen Typs erkannt wird. Wählen Sie aus den folgenden Optionen aus:

  • Überwachung: Ihr Gerät ist nicht vor dieser Art von Bedrohung geschützt, aber ein Eintrag zur Bedrohung wird protokolliert.
  • Blockieren: Ihr Gerät ist vor dieser Art von Bedrohung geschützt, und Sie werden über die Benutzeroberfläche und die Sicherheitskonsole benachrichtigt.
  • Aus: Ihr Gerät ist nicht vor dieser Art von Bedrohung geschützt, und es wird nichts protokolliert.
Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel Wert
Datentyp String
Mögliche Werte audit (Standard)

Block

Aus

Richtlinie zum Zusammenführen von Bedrohungstypeinstellungen

Geben Sie die Mergerichtlinie für Bedrohungstypeinstellungen an. Dies kann eine Kombination aus vom Administrator definierten und benutzerdefinierten Einstellungen (merge) oder nur aus vom Administrator definierten Einstellungen (admin_only) sein. Diese Einstellung kann verwendet werden, um lokale Benutzer daran zu hindern, ihre eigenen Einstellungen für verschiedene Bedrohungstypen zu definieren.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel threatTypeSettingsMergePolicy
Datentyp String
Mögliche Werte Merge (Standard)

admin_only

Kommentare Verfügbar in Microsoft Defender für Endpunkt, Version 100.83.73 oder höher.

Aufbewahrung des Verlaufs der Antivirenüberprüfung (in Tagen)

Geben Sie die Anzahl der Tage an, für die ergebnisse im Scanverlauf auf dem Gerät aufbewahrt werden. Alte Scanergebnisse werden aus dem Verlauf entfernt. Alte unter Quarantäne gestellte Dateien, die ebenfalls vom Datenträger entfernt werden.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel scanResultsRetentionDays
Datentyp String
Mögliche Werte 90 (Standard). Zulässige Werte liegen zwischen 1 Tag und 180 Tagen.
Kommentare Verfügbar in Microsoft Defender für Endpunkt Version 101.07.23 oder höher.

Maximale Anzahl von Elementen im Verlauf der Antivirenüberprüfung

Geben Sie die maximale Anzahl von Einträgen an, die im Scanverlauf beibehalten werden sollen. Zu den Einträgen gehören alle in der Vergangenheit durchgeführten bedarfsgesteuerten Überprüfungen sowie alle Antivirenerkennungen.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel scanHistoryMaximumItems
Datentyp String
Mögliche Werte 10000 (Standard). Zulässige Werte reichen von 5000 bis 15.000 Elementen.
Kommentare Verfügbar in Microsoft Defender für Endpunkt Version 101.07.23 oder höher.

Über die Cloud bereitgestellte Schutzeinstellungen

Konfigurieren Sie die cloudgesteuerten Schutzfunktionen von Microsoft Defender für Endpunkt unter macOS.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel cloudService
Datentyp Wörterbuch (geschachtelte Einstellung)
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.

Aktivieren/Deaktivieren des von der Cloud bereitgestellten Schutzes

Geben Sie an, ob der in der Cloud bereitgestellte Schutz für das Gerät aktiviert werden soll. Um die Sicherheit Ihrer Dienste zu verbessern, empfehlen wir, dieses Feature aktiviert zu lassen.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel aktiviert
Datentyp Boolesch
Mögliche Werte true (Standard)

false

Sammlungsebene von Diagnosedaten

Diagnosedaten werden verwendet, um Microsoft Defender für Endpunkt sicher und auf dem neuesten Stand zu halten, Probleme zu erkennen, zu diagnostizieren und zu beheben sowie Produktverbesserungen vorzunehmen. Diese Einstellung bestimmt die Ebene der Diagnose, die von Microsoft Defender für Endpunkt an Microsoft gesendet wird.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel diagnosticLevel
Datentyp String
Mögliche Werte optional (Standard)

erforderlich

Konfigurieren der Cloudblockebene

Diese Einstellung bestimmt, wie aggressiv Defender für Endpunkt beim Blockieren und Scannen verdächtiger Dateien ist. Wenn diese Einstellung aktiviert ist, ist Defender für Endpunkt aggressiver, wenn verdächtige Dateien identifiziert werden, die blockiert und überprüft werden sollen. Andernfalls ist es weniger aggressiv und daher blockieren und scannen mit weniger Häufigkeit. Es gibt fünf Werte zum Festlegen der Cloudblockebene:

  • Normal (normal): Die Standardblockierungsstufe.
  • Moderate (moderate): Gibt nur für Erkennungen mit hoher Zuverlässigkeit eine Bewertung aus.
  • Hoch (high): Blockiert aggressiv unbekannte Dateien, während die Leistung optimiert wird (höhere Wahrscheinlichkeit, dass nicht schädliche Dateien blockiert werden).
  • High Plus (high_plus): Sperrt unbekannte Dateien aggressiv und wendet zusätzliche Schutzmaßnahmen an (kann sich auf die Leistung des Clientgeräts auswirken).
  • Zero Tolerance (zero_tolerance): Blockiert alle unbekannten Programme.
Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel cloudBlockLevel
Datentyp String
Mögliche Werte normal (Standard)

Moderate

Hoch

high_plus

zero_tolerance

Kommentare Verfügbar in Defender für Endpunkt Version 101.56.62 oder höher.

Aktivieren/Deaktivieren automatischer Beispielübermittlungen

Bestimmt, ob verdächtige Stichproben (die wahrscheinlich Bedrohungen enthalten) an Microsoft gesendet werden. Es gibt drei Ebenen für die Steuerung der Beispielübermittlung:

  • Keine: Es werden keine verdächtigen Stichproben an Microsoft übermittelt.
  • Sicher: Nur verdächtige Stichproben, die keine personenbezogenen Informationen (Personally Identifiable Information, PII) enthalten, werden automatisch übermittelt. Dies ist der Standardwert für diese Einstellung.
  • Alle: Alle verdächtigen Stichproben werden an Microsoft übermittelt.
Beschreibung Wert
Schlüssel automaticSampleSubmissionConsent
Datentyp String
Mögliche Werte keine

safe (Standard)

alle

Aktivieren/Deaktivieren automatischer Security Intelligence-Updates

Bestimmt, ob Security Intelligence-Updates automatisch installiert werden:

Abschnitt Wert
Schlüssel automaticDefinitionUpdateEnabled
Datentyp Boolesch
Mögliche Werte true (Standard)

false

Einstellungen für die Benutzeroberfläche

Verwalten Sie die Einstellungen für die Benutzeroberfläche von Microsoft Defender für Endpunkt unter macOS.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel userInterface
Datentyp Wörterbuch (geschachtelte Einstellung)
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.

Symbol "Statusmenü ein-/ausblenden"

Geben Sie an, ob das Statusmenüsymbol in der oberen rechten Ecke des Bildschirms angezeigt oder ausgeblendet werden soll.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel hideStatusMenuIcon
Datentyp Boolesch
Mögliche Werte false (Standard)

true

Option zum Senden von Feedback ein-/ausblenden

Geben Sie an, ob Benutzer Feedback an Microsoft senden können, indem Sie zu Help>Send Feedbackwechseln.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel userInitiatedFeedback
Datentyp String
Mögliche Werte aktiviert (Standard)

deaktiviert

Kommentare Verfügbar in Microsoft Defender für Endpunkt, Version 101.19.61 oder höher.

Steuern der Anmeldung bei der Consumerversion von Microsoft Defender

Geben Sie an, ob sich Benutzer bei der Consumerversion von Microsoft Defender anmelden können.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel consumerExperience
Datentyp String
Mögliche Werte aktiviert (Standard)

deaktiviert

Kommentare Verfügbar in Microsoft Defender für Endpunkt, Version 101.60.18 oder höher.

Einstellungen für Endpunkterkennung und -antwort

Verwalten Sie die Einstellungen der EDR-Komponente (Endpoint Detection and Response) von Microsoft Defender für Endpunkt unter macOS.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel Edr
Datentyp Wörterbuch (geschachtelte Einstellung)
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.

Gerätetags

Geben Sie einen Tagnamen und dessen Wert an.

  • Das GROUP-Tag markiert das Gerät mit dem angegebenen Wert. Das Tag wird im Portal unter der Geräteseite angezeigt und kann zum Filtern und Gruppieren von Geräten verwendet werden.
Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel tags
Datentyp Wörterbuch (geschachtelte Einstellung)
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Tagtyp

Gibt den Tagtyp an

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel Schlüssel
Datentyp String
Mögliche Werte GROUP
Wert des Tags

Gibt den Wert des Tags an.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel Wert
Datentyp String
Mögliche Werte beliebige Zeichenfolge

Wichtig

  • Es kann nur ein Wert pro Tagtyp festgelegt werden.
  • Der Typ der Tags ist eindeutig und sollte nicht im gleichen Konfigurationsprofil wiederholt werden.

Gruppenbezeichner

EDR-Gruppenbezeichner

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel groupIds
Datentyp String
Kommentare Gruppenbezeichner

Manipulationsschutz

Verwalten Sie die Einstellungen der Manipulationsschutzkomponente von Microsoft Defender für Endpunkt unter macOS.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel tamperProtection
Datentyp Wörterbuch (geschachtelte Einstellung)
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.

Erzwingungsstufe

Wenn der Manipulationsschutz aktiviert ist und sich im strict-Modus befindet

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel enforcementLevel
Datentyp String
Kommentare Einer von "disabled", "audit" oder "block"

Mögliche Werte:

  • deaktiviert: Manipulationsschutz ist deaktiviert, keine Verhinderung von Angriffen oder Meldungen an die Cloud
  • audit: Manipulationsschutz meldet Manipulationsversuche nur an die Cloud, blockiert sie jedoch nicht.
  • block: Manipulationsschutz blockiert und meldet Angriffe an die Cloud

Ausschlüsse

Definiert Prozesse, die das Microsoft Defender-Objekt ändern dürfen, ohne Manipulationen in Betracht zu ziehen. Entweder path, teamId oder signingId oder ihre Kombination muss angegeben werden. Args können zusätzlich bereitgestellt werden, um den zulässigen Prozess genauer anzugeben.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel Ausschlüsse
Datentyp Wörterbuch (geschachtelte Einstellung)
Kommentare Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten.
Pfad

Der genaue Pfad der ausführbaren Prozessdatei.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel path
Datentyp String
Kommentare Im Fall eines Shellskripts ist dies der genaue Pfad zur Interpreterbinärdatei, z. B. /bin/zsh. Es sind keine Wildcards zulässig.
Team-ID

Apples "Team-ID" des Anbieters.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel teamId
Datentyp String
Kommentare Beispielsweise UBF8T346G9 für Microsoft
Signatur-ID

Apples "Signatur-ID" des Pakets.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel signingId
Datentyp String
Kommentare Beispiel com.apple.ruby : für Ruby-Interpreter
Prozessargumente

Wird in Kombination mit anderen Parametern verwendet, um den Prozess zu identifizieren.

Abschnitt Wert
Domäne com.microsoft.wdav
Schlüssel signingId
Datentyp Array aus Zeichenfolgen
Kommentare Falls angegeben, muss das Prozessargument genau mit diesen Argumenten übereinstimmen, wobei die Groß-/Kleinschreibung beachtet wird.

Für den Einstieg empfehlen wir Die folgende Konfiguration für Ihr Unternehmen, um alle Von Microsoft Defender für Endpunkt bereitgestellten Schutzfunktionen zu nutzen.

Das folgende Konfigurationsprofil (oder im Fall von JAMF eine Eigenschaftenliste, die in das Konfigurationsprofil für benutzerdefinierte Einstellungen hochgeladen werden könnte):

  • Aktivieren des Echtzeitschutzes (Real-Time Protection, RTP)
  • Geben Sie an, wie die folgenden Bedrohungstypen behandelt werden:
    • Potenziell unerwünschte Anwendungen (PUA) werden blockiert
    • Archivbomben (Dateien mit hoher Komprimierungsrate) werden in Microsoft Defender für Endpunkt-Protokolle überwacht.
  • Aktivieren automatischer Security Intelligence-Updates
  • Aus der Cloud bereitgestellten Schutz aktivieren
  • Aktivieren der automatischen Beispielübermittlung
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Beispiel für ein vollständiges Konfigurationsprofil

Die folgenden Vorlagen enthalten Einträge für alle in diesem Dokument beschriebenen Einstellungen und können für komplexere Szenarien verwendet werden, in denen Sie microsoft Defender für Endpunkt unter macOS besser steuern möchten.

Eigenschaftenliste für das vollständige JAMF-Konfigurationsprofil

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>scanAfterDefinitionUpdate</key>
        <true/>
        <key>scanArchives</key>
        <true/>
        <key>maximumOnDemandScanThreads</key>
        <integer>2</integer>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/Users/*/git</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
        <key>cloudBlockLevel</key>
        <string>normal</string>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
        <key>exclusions</key>
        <array>
        <dict>
            <key>path</key>
            <string>/bin/zsh</string>
            <key>teamId</key>
            <string/>
            <key>signingId</key>
            <string>com.apple.zsh</string>
            <key>args</key>
            <array>
            <string>/usr/local/bin/test.sh</string>
            </array>
        </dict>
        <dict>
            <key>path</key>
            <string>/usr/local/jamf/bin/jamf</string>
            <key>teamId</key>
            <string>483DWKW443</string>
            <key>signingId</key>
            <string>com.jamfsoftware.jamf</string>
        </dict>
        </array>            
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
        <key>userInitiatedFeedback</key>
        <string>enabled</string>
    </dict>
</dict>
</plist>

Vollständiges Intune-Profil

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>scanAfterDefinitionUpdate</key>
                    <true/>
                    <key>scanArchives</key>
                    <true/>
                    <key>maximumOnDemandScanThreads</key>
                    <integer>1</integer>
                    <key>exclusions</key>
                    <array>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <false/>
                            <key>path</key>
                            <string>/var/log/system.log</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/home</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/Users/*/git</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileExtension</string>
                            <key>extension</key>
                            <string>pdf</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileName</string>
                            <key>name</key>
                            <string>cat</string>
                        </dict>
                    </array>
                    <key>exclusionsMergePolicy</key>
                    <string>merge</string>
                    <key>allowedThreats</key>
                    <array>
                        <string>EICAR-Test-File (not a virus)</string>
                    </array>
                    <key>disallowedThreatActions</key>
                    <array>
                        <string>allow</string>
                        <string>restore</string>
                    </array>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                    <key>threatTypeSettingsMergePolicy</key>
                    <string>merge</string>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>diagnosticLevel</key>
                    <string>optional</string>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                    <key>cloudBlockLevel</key>
                    <string>normal</string>
                </dict>
                <key>edr</key>
                <dict>
                    <key>tags</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>GROUP</string>
                            <key>value</key>
                            <string>ExampleTag</string>
                        </dict>
                    </array>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                    <key>exclusions</key>
                    <array>
                    <dict>
                        <key>path</key>
                        <string>/bin/zsh</string>
                        <key>teamId</key>
                        <string/>
                        <key>signingId</key>
                        <string>com.apple.zsh</string>
                        <key>args</key>
                        <array>
                        <string>/usr/local/bin/test.sh</string>
                        </array>
                    </dict>
                    <dict>
                        <key>path</key>
                        <string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
                        <key>teamId</key>
                        <string>UBF8T346G9</string>
                        <key>signingId</key>
                        <string>IntuneMdmDaemon</string>
                    </dict>
                    </array>            
                </dict>
                <key>userInterface</key>
                <dict>
                    <key>hideStatusMenuIcon</key>
                    <false/>
                    <key>userInitiatedFeedback</key>
                    <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Überprüfung der Eigenschaftenliste

Die Eigenschaftenliste muss eine gültige PLIST-Datei sein. Dies kann überprüft werden, indem Sie Folgendes ausführen:

plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK

Wenn die Datei wohlgeformt ist, gibt der obige Befehl OK den Exitcode aus und gibt den Exitcode zurück 0. Andernfalls wird ein Fehler angezeigt, der das Problem beschreibt, und der Befehl gibt den Exitcode zurück 1.

Bereitstellung von Konfigurationsprofilen

Nachdem Sie das Konfigurationsprofil für Ihr Unternehmen erstellt haben, können Sie es über die Verwaltungskonsole bereitstellen, die Ihr Unternehmen verwendet. Die folgenden Abschnitte enthalten Anweisungen zum Bereitstellen dieses Profils mithilfe von JAMF und Intune.

JAMF-Bereitstellung

Öffnen Sie in der JAMF-Konsole Computer>Konfigurationsprofile, navigieren Sie zu dem Konfigurationsprofil, das Sie verwenden möchten, und wählen Sie dann Benutzerdefinierte Einstellungen aus. Erstellen Sie einen Eintrag mit com.microsoft.wdav als Einstellungsdomäne, und laden Sie die zuvor erstellte PLIST hoch.

Achtung

Sie müssen die richtige Einstellungsdomäne (com.microsoft.wdav) eingeben. Andernfalls werden die Einstellungen von Microsoft Defender für Endpunkt nicht erkannt.

Intune-Bereitstellung

  1. Öffnen SieGerätekonfigurationsprofile>. Wählen Sie Profil erstellen.

  2. Wählen Sie einen Namen für das Profil aus. Ändern Sie Platform=macOS in Profiltyp=Vorlagen , und wählen Sie im Abschnitt Vorlagenname die Option Benutzerdefiniert aus. Wählen Sie Konfigurieren aus.

  3. Speichern Sie die zuvor erstellte PLIST als com.microsoft.wdav.xml.

  4. Geben Sie com.microsoft.wdav als Namen des benutzerdefinierten Konfigurationsprofils ein.

  5. Öffnen Sie das Konfigurationsprofil, und laden Sie die com.microsoft.wdav.xml Datei hoch. (Diese Datei wurde in Schritt 3 erstellt.)

  6. Wählen Sie OK aus.

  7. Wählen SieZuweisungenverwalten> aus. Wählen Sie auf der Registerkarte Einschließen die Option Zu allen Benutzern & Alle Geräte zuweisen aus.

Achtung

Sie müssen den richtigen Namen des benutzerdefinierten Konfigurationsprofils eingeben. Andernfalls werden diese Einstellungen von Microsoft Defender für Endpunkt nicht erkannt.

Ressourcen

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.