Ustawienia zasad programu antywirusowego Microsoft Defender w Microsoft Intune dla urządzeń z systemem Windows
Wyświetl szczegółowe informacje o ustawieniach zasad ochrony antywirusowej zabezpieczeń punktu końcowego, które można skonfigurować dla profilu programu antywirusowego Microsoft Defender dla Windows 10 i w dalszej części Microsoft Intune.
Uwaga
W tym artykule szczegółowo opisano ustawienia, które można znaleźć w profilach Microsoft Defender Antivirus i Microsoft Defender Antivirus Exclusions utworzonych przed 5 kwietnia 2022 r. dla Windows 10 i nowszej platformy dla zasad ochrony antywirusowej zabezpieczeń punktu końcowego. 5 kwietnia 2022 r. platforma Windows 10 i nowsze zostały zastąpione platformami Windows 10, Windows 11 i Windows Server. Profile utworzone po tej dacie używają nowego formatu ustawień, jak można znaleźć w katalogu ustawień. Dzięki tej zmianie nie można już tworzyć nowych wersji starego profilu i nie są one już opracowywane. Mimo że nie można już tworzyć nowych wystąpień starszego profilu, możesz nadal edytować i używać utworzonych wcześniej wystąpień.
W przypadku profilów korzystających z nowego formatu ustawień Intune nie obsługuje już listy poszczególnych ustawień według nazwy. Zamiast tego nazwa każdego ustawienia, jego opcje konfiguracji i tekst objaśnienia widoczne w centrum administracyjnym Microsoft Intune są pobierane bezpośrednio z zawartości autorytatywnej ustawień. Ta zawartość może dostarczyć więcej informacji na temat korzystania z ustawienia w jego odpowiednim kontekście. Podczas wyświetlania tekstu informacji o ustawieniach możesz użyć linku Dowiedz się więcej , aby otworzyć tę zawartość.
Poniższe szczegóły ustawień profilów systemu Windows dotyczą tych przestarzałych profilów.
Ochrona w chmurze
Włączanie ochrony dostarczanej w chmurze
Zasady zabezpieczeń zawartości: AllowCloudProtectionDomyślnie usługa Defender na urządzeniach stacjonarnych Windows 10/11 wysyła do firmy Microsoft informacje o wszelkich znalezionych problemach. Firma Microsoft analizuje te informacje, aby dowiedzieć się więcej o problemach mających wpływ na Ciebie i innych klientów, aby zaoferować ulepszone rozwiązania.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — ochrona dostarczana w chmurze jest włączona. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Poziom ochrony dostarczanej w chmurze
Zasady zabezpieczeń zawartości: CloudBlockLevelSkonfiguruj, jak agresywne Program antywirusowy Defender jest blokowanie i skanowanie podejrzanych plików.
- Nie skonfigurowano (ustawienie domyślne) — domyślny poziom blokowania usługi Defender.
- Wysoki — agresywne blokowanie niewiadomych podczas optymalizowania wydajności klienta, co obejmuje większą szansę na wyniki fałszywie dodatnie.
- Wysoki plus — agresywne blokowanie niewiadomych i stosowanie dodatkowych środków ochrony, które mogą mieć wpływ na wydajność klienta.
- Zero tolerancji — blokuj wszystkie nieznane pliki wykonywalne.
Rozszerzony limit czasu w chmurze usługi Defender w ciągu kilku sekund
Dostawca usług kryptograficznych: CloudExtendedTimeoutProgram antywirusowy Defender automatycznie blokuje podejrzane pliki przez 10 sekund podczas skanowania ich w chmurze, aby upewnić się, że są bezpieczne. Do tego limitu czasu można dodać do 50 dodatkowych sekund.
Microsoft Defender wykluczeń programu antywirusowego
Ostrzeżenie
Definiowanie wykluczeń obniża ochronę oferowaną przez program antywirusowy Microsoft Defender. Zawsze oceniaj ryzyko związane z implementowaniem wykluczeń. Wykluczaj tylko pliki, o których wiesz, że nie są złośliwe.
Aby uzyskać więcej informacji, zobacz Omówienie wykluczeń w dokumentacji Microsoft Defender.
W profilu programu antywirusowego Microsoft Defender dostępne są następujące ustawienia:
Scalanie administratora lokalnego usługi Defender
Zasady zabezpieczeń zawartości: Konfiguracja/DisableLocalAdminMergeTo ustawienie określa, czy ustawienia listy wykluczeń skonfigurowane przez administratora lokalnego scalają się z ustawieniami zarządzanymi z zasad Intune. To ustawienie dotyczy list, takich jak zagrożenia i wykluczenia.
- Nie skonfigurowano(ustawienie domyślne) — unikatowe elementy zdefiniowane w ustawieniach preferencji skonfigurowanych przez administratora lokalnego scalają się z wynikowymi skutecznymi zasadami. W przypadku konfliktów ustawienia zarządzania z Intune zasad zastępują ustawienia preferencji lokalnych.
- Nie — zachowanie jest takie samo jak Nie skonfigurowano.
- Tak — w wynikowych skutecznych zasadach są używane tylko elementy zdefiniowane przez zarządzanie. Ustawienia zarządzane zastępują ustawienia preferencji skonfigurowane przez administratora lokalnego.
Następujące ustawienia są dostępne w następujących profilach:
- Program antywirusowy Microsoft Defender
- Microsoft Defender wykluczeń programu antywirusowego
Dla każdego ustawienia w tej grupie można rozwinąć to ustawienie, wybrać pozycję Dodaj, a następnie określić wartość wykluczenia.
Procesy usługi Defender do wykluczenia
Dostawca usług kryptograficznych: ExcludedProcessesOkreśl listę plików otwartych przez procesy do zignorowania podczas skanowania. Sam proces nie jest wykluczony ze skanowania.
Rozszerzenia plików do wykluczenia ze skanowania i ochrony w czasie rzeczywistym
Zasady zabezpieczeń zawartości: ExcludedExtensionsOkreśl listę rozszerzeń typu pliku do zignorowania podczas skanowania.
Pliki i foldery usługi Defender do wykluczenia
Zasady zabezpieczeń zawartości: ExcludedPathsOkreśl listę plików i ścieżek katalogów do zignorowania podczas skanowania.
Ochrona w czasie rzeczywistym
Te ustawienia są dostępne w następujących profilach:
- Program antywirusowy Microsoft Defender
Ustawienia:
Włączanie ochrony w czasie rzeczywistym
Zasady zabezpieczeń zawartości: AllowRealtimeMonitoringWymagaj, aby usługa Defender na urządzeniach stacjonarnych Windows 10/11 korzystała z funkcji monitorowania w czasie rzeczywistym.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — wymuszanie korzystania z monitorowania w czasie rzeczywistym. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Włączanie ochrony dostępu
Zasady zabezpieczeń zawartości: AllowOnAccessProtection Skonfiguruj ochronę przed wirusami, która jest stale aktywna, a nie na żądanie.- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
- Nie — blokuj ochronę dostępu na urządzeniach. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — ochrona dostępu jest aktywna na urządzeniach.
Monitorowanie plików przychodzących i wychodzących
Zasady zabezpieczeń zawartości: Defender/RealTimeScanDirectionSkonfiguruj to ustawienie, aby określić, które działania plików NTFS i programu są monitorowane.
- Monitorowanie wszystkich plików (domyślne)
- Monitorowanie tylko plików przychodzących
- Monitorowanie tylko plików wychodzących
Włączanie monitorowania zachowania
Zasady zabezpieczeń zawartości: AllowBehaviorMonitoringDomyślnie usługa Defender na urządzeniach stacjonarnych Windows 10/11 korzysta z funkcji monitorowania zachowania.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — wymuszanie korzystania z monitorowania zachowania w czasie rzeczywistym. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Wyłącz ochronę sieci
Zasady zabezpieczeń zawartości: EnableNetworkProtectionOchrona użytkowników urządzeń korzystających z dowolnej aplikacji przed uzyskiwaniem dostępu do wyłudzania informacji, witryn hostujących luki w zabezpieczeniach i złośliwej zawartości w Internecie. Ochrona obejmuje zapobieganie nawiązywaniu połączeń przez przeglądarki innych firm z niebezpiecznymi witrynami.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — ochrona sieci jest włączona. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Skanuj wszystkie pobrane pliki i załączniki
Zasady zabezpieczeń zawartości: AllowIOAVProtectionSkonfiguruj usługę Defender do skanowania wszystkich pobranych plików i załączników.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — usługa Defender skanuje wszystkie pobrane pliki i załączniki. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Skanuj skrypty używane w przeglądarkach firmy Microsoft
Zasady zabezpieczeń zawartości: AllowScriptScanningSkonfiguruj usługę Defender do skanowania skryptów.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — usługa Defender skanuje skrypty. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Skanowanie plików sieciowych
Zasady zabezpieczeń zawartości: AllowScanningNetworkFilesSkonfiguruj usługę Defender do skanowania plików sieciowych.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — włącz skanowanie plików sieciowych. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Skanowanie wiadomości e-mail
Zasady zabezpieczeń zawartości: AllowEmailScanningSkonfiguruj usługę Defender do skanowania przychodzących wiadomości e-mail.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — włącz skanowanie poczty e-mail. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Korygowania
Te ustawienia są dostępne w następujących profilach:
- Program antywirusowy Microsoft Defender
Ustawienia:
Liczba dni (0–90) do przechowywania złośliwego oprogramowania poddanej kwarantannie
Zasady zabezpieczeń zawartości: DaysToRetainCleanedMalwareOkreśl liczbę dni od zera do 90, w których system przechowuje elementy poddane kwarantannie przed ich automatycznym usunięciem. Wartość zero utrzymuje elementy w kwarantannie i nie usuwa ich automatycznie.
Zgoda na przesyłanie przykładów
- Nie skonfigurowano (wartość domyślna)
- Automatyczne wysyłanie bezpiecznych próbek
- Zawsze monituj
- Nigdy nie wysyłaj
- Automatycznie wysyłaj wszystkie przykłady
Akcja do podjęcia w sprawie potencjalnie niechcianych aplikacji
Zasady zabezpieczeń zawartości: PUAProtectionOkreśl poziom wykrywania potencjalnie niechcianych aplikacji (PUA). Usługa Defender ostrzega użytkowników, gdy potencjalnie niechciane oprogramowanie jest pobierane lub próbuje zainstalować je na urządzeniu.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnej wartości systemowej, czyli PUA Protection OFF.
- Wyłączać
- Włącz — wykryte elementy są blokowane i wyświetlane w historii wraz z innymi zagrożeniami.
- Tryb inspekcji — usługa Defender wykrywa potencjalnie niechciane aplikacje, ale nie podejmuje żadnych działań. Możesz przejrzeć informacje o aplikacjach, przeciwko których usługa Defender podjęłaby akcję, wyszukując zdarzenia utworzone przez usługę Defender w Podgląd zdarzeń.
Akcje dotyczące wykrytych zagrożeń
Zasady zabezpieczeń zawartości: ThreatSeverityDefaultActionOkreśl akcję wykonywaną przez usługę Defender w przypadku wykrytego złośliwego oprogramowania na podstawie poziomu zagrożenia złośliwego oprogramowania.
Usługa Defender klasyfikuje wykryte złośliwe oprogramowanie jako jeden z następujących poziomów ważności:
- Niska ważność
- Umiarkowana ważność
- Wysoka ważność
- Ciężka ważność
Dla każdego poziomu określ akcję do wykonania. Wartość domyślna dla każdego poziomu ważności to Nie skonfigurowano.
- Nie skonfigurowano
- Czyszczenie — usługa próbuje odzyskać pliki i spróbować zdezynfekować.
- Kwarantanna — przenosi pliki do kwarantanny.
- Usuń — usuwa pliki z urządzenia.
- Zezwalaj — zezwala na plik i nie wykonuje innych akcji.
- Zdefiniowane przez użytkownika — użytkownik urządzenia podejmuje decyzję o podjęciu akcji.
- Blokuj — blokuje wykonywanie pliku.
Skanować
Te ustawienia są dostępne w następujących profilach:
- Program antywirusowy Microsoft Defender
Ustawienia:
Skanowanie plików archiwum
Zasady zabezpieczeń zawartości: AllowArchiveScanningSkonfiguruj usługę Defender do skanowania plików archiwum, takich jak pliki ZIP lub CAB.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej klienta, czyli skanowania zarchiwizowanych plików, jednak użytkownik może wyłączyć ustawienie. Dowiedz się więcej
- Nie — archiwa plików nie są skanowane. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — włącza skanowanie plików archiwum. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Używanie niskiego priorytetu procesora CPU w przypadku zaplanowanych skanów
Zasady zabezpieczeń zawartości: EnableLowCPUPrioritySkonfiguruj priorytet procesora CPU dla zaplanowanych skanów.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej systemu, w której nie są wprowadzane żadne zmiany priorytetu procesora CPU.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — podczas zaplanowanych skanowania będzie używany niski priorytet procesora CPU. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Wyłączanie pełnego skanowania nadrabiania zaległości
Zasady zabezpieczeń zawartości: DisableCatchupFullScanKonfigurowanie skanowania nadrabiania zaległości pod kątem zaplanowanych pełnych skanów. Skanowanie uzupełniające to skanowanie, które jest uruchamiane z powodu pominięcia regularnie zaplanowanego skanowania. Zazwyczaj te zaplanowane skanowania są pomijane, ponieważ komputer został wyłączony w zaplanowanym czasie.
- Nieskonfigurowane (ustawienie domyślne) — ustawienie jest zwracane do wartości domyślnej klienta, czyli wyłączania skanowania uzupełniającego w celu pełnego skanowania.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — skanowania uzupełniające dla zaplanowanych pełnych skanów są wymuszane i użytkownik nie może ich wyłączyć. Jeśli komputer jest w trybie offline dla dwóch kolejnych zaplanowanych skanowania, skanowanie catch-up jest uruchamiany przy następnym zalogowaniu się do komputera. Jeśli nie skonfigurowano zaplanowanego skanowania, nie będzie przebiegu skanowania catch-up. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Wyłączanie szybkiego skanowania nadrabiania zaległości
Zasady zabezpieczeń zawartości: DisableCatchupQuickScanKonfigurowanie skanowania nadrabiania zaległości pod kątem zaplanowanych szybkich skanów. Skanowanie uzupełniające to skanowanie, które jest uruchamiane z powodu pominięcia regularnie zaplanowanego skanowania. Zazwyczaj te zaplanowane skanowania są pomijane, ponieważ komputer został wyłączony w zaplanowanym czasie.
- Nieskonfigurowane (ustawienie domyślne) — ustawienie jest zwracane do wartości domyślnej klienta, czyli wyłączania skanowania uzupełniającego w celu pełnego skanowania.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — skanowanie uzupełniające dla zaplanowanych szybkich skanów jest wymuszane i użytkownik nie może ich wyłączyć. Jeśli komputer jest w trybie offline dla dwóch kolejnych zaplanowanych skanowania, skanowanie catch-up jest uruchamiany przy następnym zalogowaniu się do komputera. Jeśli nie skonfigurowano zaplanowanego skanowania, nie będzie przebiegu skanowania catch-up. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Limit użycia procesora CPU na skanowanie
Dostawca usług kryptograficznych: AvgCPULoadFactorOkreśl procent od zera do 100 średni współczynnik obciążenia procesora CPU dla skanowania usługi Defender.
Skanowanie zamapowanych dysków sieciowych podczas pełnego skanowania
Zasady zabezpieczeń zawartości: AllowFullScanOnMappedNetworkDrivesSkonfiguruj usługę Defender do skanowania zamapowanych dysków sieciowych.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnej wartości systemowej, co wyłącza skanowanie na zamapowanych dyskach sieciowych.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić ustawienia.
- Tak — włącza skanowanie zamapowanych dysków sieciowych. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Uruchom codzienne szybkie skanowanie pod adresem
Zasady zabezpieczeń zawartości: ScheduleQuickScanTimeWybierz godzinę uruchomienia szybkiego skanowania usługi Defender. To ustawienie ma zastosowanie tylko wtedy, gdy urządzenie uruchamia szybkie skanowanie i nie wchodzi w interakcje z następującymi trzema ustawieniami:
- Typ skanowania
- Dzień tygodnia na uruchomienie zaplanowanego skanowania
- Godzina uruchomienia zaplanowanego skanowania
Domyślnie polecenie Uruchom codzienne szybkie skanowanie pod adresem ma wartość Nieskonfigurowane.
Typ skanowania
Dostawca usług kryptograficznych: ScanParameterWybierz typ skanowania uruchamianego przez usługę Defender. To ustawienie współdziała z ustawieniami Dzień tygodnia w celu uruchomienia zaplanowanego skanowania i godziny w celu uruchomienia zaplanowanego skanowania.
- Nie skonfigurowano (wartość domyślna)
- Szybkie skanowanie
- Pełne skanowanie
Dzień tygodnia na uruchomienie zaplanowanego skanowania
- Nie skonfigurowano (wartość domyślna)
Godzina uruchomienia zaplanowanego skanowania
- Nie skonfigurowano (wartość domyślna)
Sprawdzanie dostępności aktualizacji podpisu przed uruchomieniem skanowania
- Nie skonfigurowano (wartość domyślna)
- Nie
- Tak
Aktualizacje
Te ustawienia są dostępne w następujących profilach:
- Program antywirusowy Microsoft Defender
Ustawienia:
Wprowadź częstotliwość (0–24 godziny) sprawdzania dostępności aktualizacji analizy zabezpieczeń
Zasady zabezpieczeń zawartości: SignatureUpdateIntervalOkreśl interwał od zera do 24 (w godzinach), który jest używany do sprawdzania pod kątem podpisów. Wartość zero powoduje brak sprawdzania nowych podpisów. Wartość 2 będzie sprawdzana co dwie godziny itd.
Definiowanie udziałów plików na potrzeby pobierania aktualizacji definicji
Zasady zabezpieczeń zawartości: SignatureUpdateFallbackOrderZarządzaj lokalizacjami, takimi jak udział plików UNC, jako lokalizacją źródłową pobierania, aby uzyskać aktualizacje definicji. Po pomyślnym pobraniu aktualizacji definicji z określonego źródła nie będzie można skontaktować się z pozostałymi źródłami na liście.
Możesz dodać pojedyncze lokalizacje lub zaimportować listę lokalizacji jako plik .csv.
Definiowanie kolejności źródeł pobierania aktualizacji definicji
Zasady zabezpieczeń zawartości: SignatureUpdateFileSharesSourcesOkreśl, w której kolejności należy skontaktować się z określonymi lokalizacjami źródłowymi, aby uzyskać aktualizacje definicji. Po pomyślnym pobraniu aktualizacji definicji z jednego określonego źródła nie będzie można skontaktować się z pozostałymi źródłami na liście.
Środowisko użytkownika
Te ustawienia są dostępne w następujących profilach:
- Program antywirusowy Microsoft Defender
Ustawienia:
Zezwalanie użytkownikowi na dostęp do aplikacji Microsoft Defender
Zasady zabezpieczeń zawartości: AllowUserUIAccessNieskonfigurowane (ustawienie domyślne) — ustawienie zwraca wartość domyślną klienta, w której interfejs użytkownika i powiadomienia są dozwolone.
Nie — interfejs użytkownika usługi Defender jest niedostępny, a powiadomienia są pomijane.
Tak