Jaa


Asetusten määrittäminen Microsoft Defender for Endpoint Macissa

Koskee seuraavia:

Tärkeää

Tässä artikkelissa on ohjeita microsoft Defender for Endpointin asetusten määrittämiseen macOS:ssä yritysorganisaatioissa. Jos haluat määrittää Microsoft Defenderin päätepisteelle macOS:ssä komentorivikäyttöliittymän avulla, katso Resurssit.

Yhteenveto

Yritysorganisaatioissa MacOS:n Microsoft Defender for Endpointia voidaan hallita määritysprofiililla, joka otetaan käyttöön jollakin useista hallintatyökaluista. Suojaustoimintatiimisi hallitsemat asetukset ovat etusijalla laitteessa paikallisesti määritettyihin asetuksiin nähden. Määritysprofiilin kautta määritettyjen asetusten muuttaminen edellyttää eskaloituja oikeuksia, eivätkä ne ole käytettävissä käyttäjille, joilla ei ole järjestelmänvalvojan käyttöoikeuksia.

Tässä artikkelissa kuvataan määritysprofiilin rakenne, annetaan suositeltu profiili, jonka avulla pääset alkuun, ja annetaan ohjeet profiilin käyttöönottoon.

Profiilirakenteen määritys

Määritysprofiili on .plist-tiedosto , joka koostuu avaimen tunnistamista merkinnöistä (jotka ilmaisevat asetuksen nimen), ja sen jälkeen arvosta, joka riippuu mieltymyksen luonteesta. Arvot voivat olla joko yksinkertaisia (kuten numeerinen arvo) tai monimutkaisia, kuten sisäkkäinen asetusluettelo.

Varoitus

Määritysprofiilin asettelu riippuu käyttämästäsi hallintakonsolista. Seuraavissa osioissa on esimerkkejä JAMF:n ja Intunen määritysprofiileista.

Määritysprofiilin ylin taso sisältää tuotteenlaajuiset asetukset ja merkinnät Microsoft Defender for Endpointin alialueille, jotka selitetään tarkemmin seuraavissa osioissa.

Virustentorjuntaohjelman asetukset

Määritysprofiilin AntivirusEngine-osaa käytetään Microsoft Defender for Endpointin virustentorjuntakomponentin asetusten hallintaan.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin antivirusEngine
Tietotyyppi Sanasto (sisäkkäinen asetus)
Kommentit Seuraavissa osissa on kuvaus sanaston sisällöstä.

Virustentorjuntaohjelman täytäntöönpanotaso

Määrittää virustentorjuntaohjelman pakotusmieltymyksen. Täytäntöönpanotason määrittämiseen on kolme arvoa:

  • Reaaliaikainen (real_time): Reaaliaikainen suojaus (skannaustiedostot, kun niitä käytetään) on käytössä.
  • Pyydettäessä (on_demand): tiedostot skannataan vain pyydettäessä. Tässä:
    • Reaaliaikainen suojaus on poistettu käytöstä.
  • Passiivinen (passive): Suorittaa virustentorjuntaohjelman passiivitilassa. Tässä:
    • Reaaliaikainen suojaus on poistettu käytöstä.
    • Pyydettäessä suoritettava skannaus on käytössä.
    • Automaattinen uhkien korjaaminen on poistettu käytöstä.
    • Suojaustietojen päivitykset on otettu käyttöön.
    • Tila-valikkokuvake on piilotettu.
Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin enforcementLevel
Tietotyyppi Merkkijono
Mahdolliset arvot real_time (oletus)

on_demand

Passiivinen

Kommentit Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.10.72 tai uudemmissa versioissa.

Ota käyttöön tai poista käytöstä toiminnan valvonta

Määrittää, onko toiminnan valvonta ja estotoiminto käytössä laitteessa vai ei.

Huomautus

Tämä ominaisuus on käytettävissä vain, kun Real-Time Protection -ominaisuus on käytössä.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin behaviorMonitoring
Tietotyyppi Merkkijono
Mahdolliset arvot Poistettu käytöstä

käytössä (oletus)

Kommentit Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.24042.0002 tai uudemmissa versioissa.

Määritä tiedoston hajautustoiminto

Ottaa käyttöön tai poistaa käytöstä tiedoston hajautusarvon laskentaominaisuuden. Kun tämä ominaisuus on käytössä, Defender for Endpoint laskee hajautusmerkit tiedostoille, jotka se tarkistaa, jotta vastaavuus ilmaisimen sääntöihin olisi parempi. MacOS:ssä tätä hajautuslaskentaa varten otetaan huomioon vain komentosarja ja Mach-O (32- ja 64-bittinen) tiedostot (moduulin versiosta 1.1.20000.2 tai uudemmasta). Huomaa, että tämän ominaisuuden ottaminen käyttöön voi vaikuttaa laitteen suorituskykyyn. Lisätietoja on artikkelissa: Tiedostojen ilmaisimien luominen.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin enableFileHashComputation
Tietotyyppi Totuusarvo
Mahdolliset arvot epätosi (oletus)

Totta

Kommentit Käytettävissä Defender for Endpoint -versiossa 101.86.81 tai uudemmissa versioissa.

Suorita tarkistus, kun määritelmät on päivitetty

Määrittää, aloitetaanko prosessin tarkistus sen jälkeen, kun laitteeseen on ladattu uusia tietoturvatietopäivityksiä. Tämän asetuksen ottaminen käyttöön käynnistää virustentorjuntatarkistuksen laitteen käynnissä oleissa prosesseissa.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin scanAfterDefinitionUpdate
Tietotyyppi Totuusarvo
Mahdolliset arvot true (oletus)

Vääriä

Kommentit Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.41.10 tai uudemmissa versioissa.

Skannaa arkistot (vain tarvittaessa suoritettavat virustentorjuntatarkistuksia)

Määrittää, skannataanko arkistot pyydettäessä suoritettavan virustentorjuntatarkistuksen aikana.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin scanArchives
Tietotyyppi Totuusarvo
Mahdolliset arvot true (oletus)

Vääriä

Kommentit Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.41.10 tai uudemmissa versioissa.

Rinnakkaisuuden aste pyydettäessä luotaessa

Määrittää pyydettäessä luotavien tarkistusten rinnakkaisuuden asteen. Tämä vastaa tarkistuksen suorittamiseen käytettyjen säikeiden määrää ja vaikuttaa suorittimen käyttöön sekä pyydettäessä suoritettavan tarkistuksen kestoon.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin maximumOnDemandScanThreads
Tietotyyppi Kokonaisluku
Mahdolliset arvot 2 (oletus). Sallitut arvot ovat kokonaislukuja väliltä 1 - 64.
Kommentit Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.41.10 tai uudemmissa versioissa.

Poissulkemisen yhdistämiskäytäntö

Määritä poissulkemisten yhdistämiskäytäntö. Tämä voi olla yhdistelmä järjestelmänvalvojan määrittämiä ja käyttäjän määrittämiä poissulkemisia (merge) tai vain järjestelmänvalvojan määrittämiä poissulkemisia (admin_only). Tämän asetuksen avulla voidaan rajoittaa paikallisia käyttäjiä määrittämästä omia poissulkemisiaan.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin exclusionsMergePolicy
Tietotyyppi Merkkijono
Mahdolliset arvot yhdistäminen (oletus)

admin_only

Kommentit Käytettävissä Microsoft Defenderin päätepisteen versiossa 100.83.73 tai uudemmissa versioissa.

Skannauksen poikkeukset

Määritä entiteetit, joita ei voi tarkistaa. Poikkeukset voidaan määrittää täysien polkujen, tunnisteiden tai tiedostonimien mukaan. (Poikkeukset määritetään kohteiden matriisiksi, järjestelmänvalvoja voi määrittää niin monta elementtiä kuin on tarpeen missä tahansa järjestyksessä.)

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin Poikkeukset
Tietotyyppi Sanasto (sisäkkäinen asetus)
Kommentit Seuraavissa osissa on kuvaus sanaston sisällöstä.
Poissulkemisen tyyppi

Määritä sisältö, jota ei voi tarkistaa tyypin mukaan.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin $type
Tietotyyppi Merkkijono
Mahdolliset arvot excludedPath

excludedFileExtension

excludedFileName

Ulkoisesti käsiteltävän sisällön polku

Määritä sisältö, jota koko tiedostopolku ei voi tarkistaa.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin Polku
Tietotyyppi Merkkijono
Mahdolliset arvot kelvolliset polut
Kommentit Käytettävissä vain, jos $type on excludedPath

Tuetut poissulkemistyypit

Seuraavassa taulukossa esitetään poissulkemistyypit, joita Defender tukee Macin päätepisteelle.

Syrjäytymisen Määritelmä Esimerkkejä
Tiedostopääte Kaikki tiedostot, joilla on tunniste, missä tahansa laitteessa .test
Tiedosto Koko polun tunnistama tietty tiedosto /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Kansio Kaikki määritetyn kansion tiedostot (rekursiivisesti) /var/log/

/var/*/

Prosessi Tietty prosessi (määritetty joko koko polun tai tiedostonimen mukaan) ja kaikki sen avaamat tiedostot /bin/cat

cat

c?t

Tärkeää

Edellä mainittujen polkujen on oltava kovia linkkejä, ei symbolisia linkkejä, jotta ne voidaan sulkea onnistuneesti pois. Voit tarkistaa, onko polku symbolinen linkki, suorittamalla komennon file <path-name>.

Tiedoston, kansion ja prosessin poikkeukset tukevat seuraavia yleismerkkejä:

Yleismerkki Kuvaus Esimerkki Ottelut Ei täsmää
* Vastaa mitä tahansa merkkien määrää, mukaan lukien ei mitään (huomaa, että kun tätä yleismerkkiä käytetään polun sisällä, se korvaa vain yhden kansion) /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? Vastaa mitä tahansa yksittäistä merkkiä file?.log file1.log

file2.log

file123.log

Polun tyyppi (tiedosto tai hakemisto)

Ilmaisee, viittaako polkuominaisuus tiedostoon tai hakemistoon.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin isDirectory
Tietotyyppi Totuusarvo
Mahdolliset arvot epätosi (oletus)

Totta

Kommentit Käytettävissä vain, jos $type on excludedPath

Tiedostotunniste, joka jätettiin pois tarkistuksesta

Määritä sisältö, jota tiedostotunniste ei voi tarkistaa.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin Tiedostopääte
Tietotyyppi Merkkijono
Mahdolliset arvot kelvolliset tiedostotunnisteet
Kommentit Käytettävissä vain, jos $type jätetään poisFileExtension

Tarkistus ei sisällä prosessia

Määritä prosessi, jonka kaikki tiedostotoiminnot eivät ole skannattuja. Prosessi voidaan määrittää joko sen nimen (esimerkiksi cat) tai koko polun (esimerkiksi /bin/cat) perusteella.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin Nimi
Tietotyyppi Merkkijono
Mahdolliset arvot mikä tahansa merkkijono
Kommentit Käytettävissä vain, jos $type on jätetty poisFileName

Sallitut uhat

Määritä nimeltä uhat, joita Defender ei estä Macin päätepisteelle. Näiden uhkien suorittaminen sallitaan.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin allowedThreats
Tietotyyppi Merkkijonojen matriisi

Kiellettyjä uhkatoimintoja

Rajoittaa toimintoja, joita laitteen paikallinen käyttäjä voi suorittaa, kun uhkia havaitaan. Tähän luetteloon sisältyvät toiminnot eivät näy käyttöliittymässä.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin disallowedThreatActions
Tietotyyppi Merkkijonojen matriisi
Mahdolliset arvot salli (rajoittaa käyttäjiä sallimasta uhkia)

palauta (rajoittaa käyttäjiä palauttamasta uhkia karanteenista)

Kommentit Käytettävissä Microsoft Defenderin päätepisteen versiossa 100.83.73 tai uudemmissa versioissa.

Uhkatyyppiasetukset

Määritä, miten Microsoft Defender käsittelee tiettyjä uhkatyyppejä macOS:n päätepisteelle.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin threatTypeSettings
Tietotyyppi Sanasto (sisäkkäinen asetus)
Kommentit Seuraavissa osissa on kuvaus sanaston sisällöstä.
Uhkatyyppi

Määritä uhkatyypit.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin Avain
Tietotyyppi Merkkijono
Mahdolliset arvot potentially_unwanted_application

archive_bomb

Suoritettava toiminto

Määritä, mitä toimintoa suoritetaan, kun edellisessä osiossa määritetyn tyyppinen uhka havaitaan. Valitse seuraavista vaihtoehdoista:

  • Valvonta: laitettasi ei ole suojattu tämäntyyppiseltä uhalta, mutta merkintä uhasta kirjataan.
  • Lohko: laitteesi on suojattu tämäntyyppiseltä uhalta, ja saat ilmoituksen käyttöliittymässä ja suojauskonsolissa.
  • Ei käytössä: laitettasi ei ole suojattu tämäntyyppiseltä uhalta, eikä mitään kirjata lokiin.
Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin Arvo
Tietotyyppi Merkkijono
Mahdolliset arvot valvonta (oletus)

Estää

Pois

Uhkatyyppiasetusten yhdistämiskäytäntö

Määritä uhkatyyppiasetusten yhdistämiskäytäntö. Tämä voi olla yhdistelmä järjestelmänvalvojan määrittämiä ja käyttäjän määrittämiä asetuksia (merge) tai vain järjestelmänvalvojan määrittämiä asetuksia (admin_only). Tämän asetuksen avulla voidaan rajoittaa paikallisia käyttäjiä määrittämästä omia asetuksiaan eri uhkatyypeille.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin threatTypeSettingsMergePolicy
Tietotyyppi Merkkijono
Mahdolliset arvot yhdistäminen (oletus)

admin_only

Kommentit Käytettävissä Microsoft Defenderin päätepisteen versiossa 100.83.73 tai uudemmissa versioissa.

Virustentorjuntaohjelman tarkistushistorian säilyttäminen (päivinä)

Määritä, kuinka monta päivää tulokset säilytetään laitteen tarkistushistoriassa. Vanhat tarkistustulokset poistetaan historiasta. Vanhat karanteeniin asetetut tiedostot, jotka myös poistetaan levyltä.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin scanResultsRetentionDays
Tietotyyppi Merkkijono
Mahdolliset arvot 90 (oletus). Sallitut arvot ovat 1 päivästä 180 päivään.
Kommentit Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.07.23 tai uudemmissa versioissa.

Virustentorjunnan tarkistushistorian kohteiden enimmäismäärä

Määritä tarkistushistoriassa säilytettävien merkintöjen enimmäismäärä. Merkinnät sisältävät kaikki aiemmin suoritetut pyydettäessä suoritettavat tarkistukset ja kaikki virustentorjuntaohjelman tunnistukset.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin scanHistoryMaximumItems
Tietotyyppi Merkkijono
Mahdolliset arvot 10000 (oletus). Sallitut arvot ovat 5 000 kohteesta 15 000 kohteeseen.
Kommentit Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.07.23 tai uudemmissa versioissa.

Pilvipalveluun toimitetut suojausasetukset

Määritä Microsoft Defender for Endpointin pilvipohjaiset suojausominaisuudet macOS:ssä.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin cloudService
Tietotyyppi Sanasto (sisäkkäinen asetus)
Kommentit Seuraavissa osissa on kuvaus sanaston sisällöstä.

Pilvipalveluun toimitetun suojauksen ottaminen käyttöön tai poistaminen käytöstä

Määritä, otetaanko pilvipalveluun toimitettu suojaus käyttöön laitteessa vai ei. Jos haluat parantaa palvelusi suojausta, suosittelemme, että pidät tämän ominaisuuden käytössä.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin Käytössä
Tietotyyppi Totuusarvo
Mahdolliset arvot true (oletus)

Vääriä

Diagnostiikkakokoelman taso

Diagnostiikkatietoja käytetään Microsoft Defender for Endpointin pitämiseen turvallisena ja ajan tasalla, ongelmien havaitsemiseen, diagnosointiin ja korjaamiseen sekä tuotteiden parantamiseen. Tämä asetus määrittää Microsoft Defenderin Microsoftille lähettämän diagnostiikkatason.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin diagnosticLevel
Tietotyyppi Merkkijono
Mahdolliset arvot valinnainen (oletus)

Tarvitaan

Pilvilohkotason määrittäminen

Tämä asetus määrittää, kuinka aggressiivinen Defender for Endpoint on epäilyttävien tiedostojen estämisessä ja skannaamisessa. Jos tämä asetus on käytössä, Defender for Endpoint on aggressiivisempi tunnistettaessa epäilyttäviä tiedostoja, jotka estetään ja skannataan; Muussa tapauksessa se on vähemmän aggressiivinen ja estää ja skannata pienemmällä tiheydellä. Pilvilohkotason määrittämiseen on viisi arvoa:

  • Normaali (normal): Oletusarvoinen estotaso.
  • Normaali (moderate): antaa tuomion vain erittäin luotettavan tunnistuksen osalta.
  • Suuri (high): Estää tuntemattomia tiedostoja tehokkaasti optimoitaessa suorituskykyä varten (suurempi mahdollisuus estää ei-haitalliset tiedostot).
  • High Plus (high_plus): Estää tuntemattomat tiedostot aggressiivisesti ja ottaa käyttöön lisäsuojausmittareita (saattaa vaikuttaa asiakkaan laitteen suorituskykyyn).
  • Nollatoleranssi (zero_tolerance): Estää kaikki tuntemattomat ohjelmat.
Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin cloudBlockLevel
Tietotyyppi Merkkijono
Mahdolliset arvot normal (oletus)

Kohtalainen

Korkea

high_plus

zero_tolerance

Kommentit Käytettävissä Defender for Endpoint -versiossa 101.56.62 tai uudemmissa versioissa.

Ota käyttöön tai poista käytöstä mallien automaattiset lähetykset

Määrittää, lähetetäänkö Microsoftille epäilyttäviä näytteitä (jotka todennäköisesti sisältävät uhkia). Näytteen lähettämisen hallintaan on kolme tasoa:

  • Ei mitään: Microsoftille ei lähetetä epäilyttäviä näytteitä.
  • Turvallinen: automaattisesti lähetetään vain epäilyttävät näytteet, jotka eivät sisällä henkilötietoja. Tämä on tämän asetuksen oletusarvo.
  • Kaikki: kaikki epäilyttävät näytteet lähetetään Microsoftille.
Kuvaus Arvo
Näppäin automaticSampleSubmissionConsent
Tietotyyppi Merkkijono
Mahdolliset arvot Ei mitään

turvallinen (oletus)

Kaikki

Automaattisten suojaustietojen päivitysten ottaminen käyttöön tai poistaminen käytöstä

Määrittää, asennetaanko suojaustietojen päivitykset automaattisesti:

Jakso Arvo
Näppäin automaticDefinitionUpdateEnabled
Tietotyyppi Totuusarvo
Mahdolliset arvot true (oletus)

Vääriä

Käyttöliittymäasetukset

Hallitse Microsoft Defender for Endpointin käyttöliittymän asetuksia macOS:ssä.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin userInterface
Tietotyyppi Sanasto (sisäkkäinen asetus)
Kommentit Seuraavissa osissa on kuvaus sanaston sisällöstä.

Näytä/piilota tilavalikon kuvake

Määritä, näytetäänkö vai piilotettavako tilavalikon kuvake näytön oikeassa yläkulmassa.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin hideStatusMenuIcon
Tietotyyppi Totuusarvo
Mahdolliset arvot epätosi (oletus)

Totta

Näytä/piilota-vaihtoehto palautteen lähettämiseksi

Määritä, voivatko käyttäjät lähettää palautetta Microsoftille siirtymällä osoitteeseen Help>Send Feedback.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin userInitiatedFeedback
Tietotyyppi Merkkijono
Mahdolliset arvot käytössä (oletus)

Poistettu käytöstä

Kommentit Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.19.61 tai uudemmissa versioissa.

Microsoft Defenderin kirjautumisen kuluttajaversion hallinta

Määritä, voivatko käyttäjät kirjautua Microsoft Defenderin kuluttajaversioon.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin consumerExperience
Tietotyyppi Merkkijono
Mahdolliset arvot käytössä (oletus)

Poistettu käytöstä

Kommentit Käytettävissä Microsoft Defenderin päätepisteen versiossa 101.60.18 tai uudemmissa versioissa.

Päätepisteiden tunnistus- ja vastausasetukset

Hallitse Microsoft Defender for Endpointin päätepisteen tunnistuksen ja vastauksen (EDR) komponentin asetuksia macOS:ssä.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin Edr
Tietotyyppi Sanasto (sisäkkäinen asetus)
Kommentit Seuraavissa osissa on kuvaus sanaston sisällöstä.

Laitetunnisteet

Määritä tunnisteen nimi ja sen arvo.

  • GROUP-tunniste merkitsee laitteen määritetyllä arvolla. Tunniste näkyy laitteen sivun portaalissa, ja sitä voidaan käyttää laitteiden suodattamiseen ja ryhmittelyyn.
Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin Tunnisteet
Tietotyyppi Sanasto (sisäkkäinen asetus)
Kommentit Seuraavissa osissa on kuvaus sanaston sisällöstä.
Tunnisteen tyyppi

Määrittää tunnisteen tyypin

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin Avain
Tietotyyppi Merkkijono
Mahdolliset arvot GROUP
Tunnisteen arvo

Määrittää tunnisteen arvon

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin Arvo
Tietotyyppi Merkkijono
Mahdolliset arvot mikä tahansa merkkijono

Tärkeää

  • Tunnistetyyppiä kohden voidaan määrittää vain yksi arvo.
  • Tunnistetyypit ovat yksilöllisiä, eikä niitä saa toistaa samassa määritysprofiilissa.

Ryhmän tunnus

EDR-ryhmän tunnisteet

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin groupIds
Tietotyyppi Merkkijono
Kommentit Ryhmän tunnus

Peukaloinnin suojaus

Hallitse MacOS:n Microsoft Defender for Endpointin Peukaloinnin suojaus -komponentin asetuksia.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin tamperProtection
Tietotyyppi Sanasto (sisäkkäinen asetus)
Kommentit Seuraavissa osissa on kuvaus sanaston sisällöstä.

Täytäntöönpanotaso

Jos peukaloinnin suojaus on käytössä ja jos se on tiukassa tilassa

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin enforcementLevel
Tietotyyppi Merkkijono
Kommentit Yksi käytöstä poistetuista, auditoimista tai lohkoista

Mahdolliset arvot:

  • disabled – Peukalointisuojaus on poistettu käytöstä, hyökkäysten estäminen tai pilvipalveluun raportointi ei ole mahdollista
  • audit – Peukalointisuojaus raportoi vain pilvipalveluun yritettiin muuttaa, mutta ei estä niitä
  • block – Sekä lohkoihin että raportteihin kohdistuvat hyökkäykset pilvipalveluun luvattomasti

Poisjätöt

Määrittää prosessit, joiden avulla voidaan muuttaa Microsoft Defenderin resurssia harkitsematta peukalointia. Joko polku, teamId tai signeeraustunnus tai niiden yhdistelmä on annettava. Args voidaan antaa lisäksi sallitun prosessin määrittämiseksi tarkemmin.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin Poikkeukset
Tietotyyppi Sanasto (sisäkkäinen asetus)
Kommentit Seuraavissa osissa on kuvaus sanaston sisällöstä.
Polku

Prosessin suoritettavan tiedoston tarkka polku.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin Polku
Tietotyyppi Merkkijono
Kommentit Jos kyseessä on shell-komentosarja, se on tarkka polku tulkin binaariin, esim. /bin/zsh. Yleismerkkejä ei sallita.
Ryhmän tunnus

Applen "Team Id" toimittajalle.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin teamId
Tietotyyppi Merkkijono
Kommentit Esimerkiksi UBF8T346G9 Microsoftille
Allekirjoitustunnus

Applen "allekirjoitustunnus" paketille.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin signingId
Tietotyyppi Merkkijono
Kommentit Esimerkiksi Ruby-tulkille com.apple.ruby
Prosessiargumentit

Käytetään yhdessä muiden parametrien kanssa prosessin tunnistamiseen.

Jakso Arvo
Toimialue com.microsoft.wdav
Näppäin signingId
Tietotyyppi Merkkijonojen matriisi
Kommentit Jos tämä on määritetty, prosessiargumentin on vastattava tarkalleen kyseisiä argumentteja, kirjainkoko on merkitsevä

Suosittelemme, että otat käyttöön seuraavat määritykset yrityksellesi, jotta voit hyödyntää kaikkia Microsoft Defender for Endpointin tarjoamia suojausominaisuuksia.

Seuraava määritysprofiili (tai JAMF:n tapauksessa ominaisuusluettelo, joka voidaan ladata mukautettujen asetusten määritysprofiiliin) tulee:

  • Ota reaaliaikainen suojaus käyttöön (RTP)
  • Määritä, miten seuraavia uhkatyyppejä käsitellään:
    • Mahdollisesti ei-toivotut sovellukset (PUA) on estetty
    • Microsoft Defender tarkastaa arkistopommit (tiedosto, jonka pakkausnopeus on suuri) päätepistelokien osalta.
  • Ota käyttöön automaattiset suojaustietopäivitykset
  • Pilvipalveluun toimitetun suojauksen käyttöönotto
  • Ota käyttöön automaattinen mallien lähettäminen
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Täydellinen määritysprofiiliesimerkki

Seuraavat mallit sisältävät merkintöjä kaikkiin tässä asiakirjassa kuvattuihin asetuksiin, ja niitä voidaan käyttää edistyneemmissä skenaarioissa, joissa haluat hallita paremmin Microsoft Defender for Endpointia macOS:ssä.

JAMF:n täyden määritysprofiilin ominaisuusluettelo

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>scanAfterDefinitionUpdate</key>
        <true/>
        <key>scanArchives</key>
        <true/>
        <key>maximumOnDemandScanThreads</key>
        <integer>2</integer>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/Users/*/git</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
        <key>cloudBlockLevel</key>
        <string>normal</string>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
        <key>exclusions</key>
        <array>
        <dict>
            <key>path</key>
            <string>/bin/zsh</string>
            <key>teamId</key>
            <string/>
            <key>signingId</key>
            <string>com.apple.zsh</string>
            <key>args</key>
            <array>
            <string>/usr/local/bin/test.sh</string>
            </array>
        </dict>
        <dict>
            <key>path</key>
            <string>/usr/local/jamf/bin/jamf</string>
            <key>teamId</key>
            <string>483DWKW443</string>
            <key>signingId</key>
            <string>com.jamfsoftware.jamf</string>
        </dict>
        </array>            
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
        <key>userInitiatedFeedback</key>
        <string>enabled</string>
    </dict>
</dict>
</plist>

Intunen koko profiili

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>scanAfterDefinitionUpdate</key>
                    <true/>
                    <key>scanArchives</key>
                    <true/>
                    <key>maximumOnDemandScanThreads</key>
                    <integer>1</integer>
                    <key>exclusions</key>
                    <array>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <false/>
                            <key>path</key>
                            <string>/var/log/system.log</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/home</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/Users/*/git</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileExtension</string>
                            <key>extension</key>
                            <string>pdf</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileName</string>
                            <key>name</key>
                            <string>cat</string>
                        </dict>
                    </array>
                    <key>exclusionsMergePolicy</key>
                    <string>merge</string>
                    <key>allowedThreats</key>
                    <array>
                        <string>EICAR-Test-File (not a virus)</string>
                    </array>
                    <key>disallowedThreatActions</key>
                    <array>
                        <string>allow</string>
                        <string>restore</string>
                    </array>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                    <key>threatTypeSettingsMergePolicy</key>
                    <string>merge</string>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>diagnosticLevel</key>
                    <string>optional</string>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                    <key>cloudBlockLevel</key>
                    <string>normal</string>
                </dict>
                <key>edr</key>
                <dict>
                    <key>tags</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>GROUP</string>
                            <key>value</key>
                            <string>ExampleTag</string>
                        </dict>
                    </array>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                    <key>exclusions</key>
                    <array>
                    <dict>
                        <key>path</key>
                        <string>/bin/zsh</string>
                        <key>teamId</key>
                        <string/>
                        <key>signingId</key>
                        <string>com.apple.zsh</string>
                        <key>args</key>
                        <array>
                        <string>/usr/local/bin/test.sh</string>
                        </array>
                    </dict>
                    <dict>
                        <key>path</key>
                        <string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
                        <key>teamId</key>
                        <string>UBF8T346G9</string>
                        <key>signingId</key>
                        <string>IntuneMdmDaemon</string>
                    </dict>
                    </array>            
                </dict>
                <key>userInterface</key>
                <dict>
                    <key>hideStatusMenuIcon</key>
                    <false/>
                    <key>userInitiatedFeedback</key>
                    <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Ominaisuusluettelon vahvistus

Ominaisuusluettelon on oltava kelvollinen .plist-tiedosto . Voit tarkistaa tämän suorittamalla:

plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK

Jos tiedosto on oikein muotoiltu, yllä oleva komento tuottaa OK tuloksen ja palauttaa lopetuskoodin parametrille 0. Muussa tapauksessa näyttöön tulee virhe, joka kuvaa ongelmaa, ja komento palauttaa lopetuskoodin parametrille 1.

Määritysprofiilin käyttöönotto

Kun olet luonut määritysprofiilin yrityksellesi, voit ottaa sen käyttöön yrityksesi käyttämän hallintakonsolin kautta. Seuraavissa osioissa on ohjeet tämän profiilin käyttöönottoon JAMF:n ja Intunen avulla.

JAMF-käyttöönotto

Avaa JAMF-konsolissa Tietokoneiden>määritysprofiilit, siirry haluamaasi määritysprofiiliin ja valitse sitten Mukautetut asetukset. Luo merkintä, jolla on com.microsoft.wdav asetustoimialue, ja lataa aiemmin luotu .plist .

Varoitus

Anna oikea asetustoimialue (com.microsoft.wdav). Muussa tapauksessa Microsoft Defender ei tunnista asetuksia päätepisteelle.

Intunen käyttöönotto

  1. Avaa Laitteiden>määritysprofiilit. Valitse Luo profiili.

  2. Valitse profiilin nimi. Vaihda Platform=macOSprofiilityypiksi=Mallit ja valitse Mallin nimi -osassa Mukautettu. Valitse Määritä.

  3. Tallenna aiemmin luotu .plist muodossa com.microsoft.wdav.xml.

  4. Anna com.microsoft.wdavmukautetun määritysprofiilin nimi.

  5. Avaa määritysprofiili ja lataa tiedosto palvelimeen com.microsoft.wdav.xml . (Tämä tiedosto on luotu vaiheessa 3.)

  6. Valitse OK.

  7. Valitse Hallitse>varauksia. Valitse Sisällytä-välilehdessäMääritä kaikille käyttäjille & Kaikki laitteet.

Varoitus

Anna oikea mukautetun määritysprofiilin nimi. muussa tapauksessa Microsoft Defender ei tunnista näitä päätepisteen asetuksia.

Resurssit

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.