Udostępnij za pośrednictwem


Ustawienia zasad programu antywirusowego Microsoft Defender w Microsoft Intune dla urządzeń z systemem Windows

Wyświetl szczegółowe informacje o ustawieniach zasad ochrony antywirusowej zabezpieczeń punktu końcowego, które można skonfigurować dla profilu programu antywirusowego Microsoft Defender dla Windows 10 i w dalszej części Microsoft Intune.

Uwaga

W tym artykule szczegółowo opisano ustawienia, które można znaleźć w profilach Microsoft Defender Antivirus i Microsoft Defender Antivirus Exclusions utworzonych przed 5 kwietnia 2022 r. dla Windows 10 i nowszej platformy dla zasad ochrony antywirusowej zabezpieczeń punktu końcowego. 5 kwietnia 2022 r. platforma Windows 10 i nowsze zostały zastąpione platformami Windows 10, Windows 11 i Windows Server. Profile utworzone po tej dacie używają nowego formatu ustawień, jak można znaleźć w katalogu ustawień. Dzięki tej zmianie nie można już tworzyć nowych wersji starego profilu i nie są one już opracowywane. Mimo że nie można już tworzyć nowych wystąpień starszego profilu, możesz nadal edytować i używać utworzonych wcześniej wystąpień.

W przypadku profilów korzystających z nowego formatu ustawień Intune nie obsługuje już listy poszczególnych ustawień według nazwy. Zamiast tego nazwa każdego ustawienia, jego opcje konfiguracji i tekst objaśnienia widoczne w centrum administracyjnym Microsoft Intune są pobierane bezpośrednio z zawartości autorytatywnej ustawień. Ta zawartość może dostarczyć więcej informacji na temat korzystania z ustawienia w jego odpowiednim kontekście. Podczas wyświetlania tekstu informacji o ustawieniach możesz użyć linku Dowiedz się więcej , aby otworzyć tę zawartość.

Poniższe szczegóły ustawień profilów systemu Windows dotyczą tych przestarzałych profilów.

Ochrona w chmurze

  • Włączanie ochrony dostarczanej w chmurze
    Zasady zabezpieczeń zawartości: AllowCloudProtection

    Domyślnie usługa Defender na urządzeniach stacjonarnych Windows 10/11 wysyła do firmy Microsoft informacje o wszelkich znalezionych problemach. Firma Microsoft analizuje te informacje, aby dowiedzieć się więcej o problemach mających wpływ na Ciebie i innych klientów, aby zaoferować ulepszone rozwiązania.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — ochrona dostarczana w chmurze jest włączona. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
  • Poziom ochrony dostarczanej w chmurze
    Zasady zabezpieczeń zawartości: CloudBlockLevel

    Skonfiguruj, jak agresywne Program antywirusowy Defender jest blokowanie i skanowanie podejrzanych plików.

    • Nie skonfigurowano (ustawienie domyślne) — domyślny poziom blokowania usługi Defender.
    • Wysoki — agresywne blokowanie niewiadomych podczas optymalizowania wydajności klienta, co obejmuje większą szansę na wyniki fałszywie dodatnie.
    • Wysoki plus — agresywne blokowanie niewiadomych i stosowanie dodatkowych środków ochrony, które mogą mieć wpływ na wydajność klienta.
    • Zero tolerancji — blokuj wszystkie nieznane pliki wykonywalne.
  • Rozszerzony limit czasu w chmurze usługi Defender w ciągu kilku sekund
    Dostawca usług kryptograficznych: CloudExtendedTimeout

    Program antywirusowy Defender automatycznie blokuje podejrzane pliki przez 10 sekund podczas skanowania ich w chmurze, aby upewnić się, że są bezpieczne. Do tego limitu czasu można dodać do 50 dodatkowych sekund.

Microsoft Defender wykluczeń programu antywirusowego

Ostrzeżenie

Definiowanie wykluczeń obniża ochronę oferowaną przez program antywirusowy Microsoft Defender. Zawsze oceniaj ryzyko związane z implementowaniem wykluczeń. Wykluczaj tylko pliki, o których wiesz, że nie są złośliwe.

Aby uzyskać więcej informacji, zobacz Omówienie wykluczeń w dokumentacji Microsoft Defender.

W profilu programu antywirusowego Microsoft Defender dostępne są następujące ustawienia:

  • Scalanie administratora lokalnego usługi Defender
    Zasady zabezpieczeń zawartości: Konfiguracja/DisableLocalAdminMerge

    To ustawienie określa, czy ustawienia listy wykluczeń skonfigurowane przez administratora lokalnego scalają się z ustawieniami zarządzanymi z zasad Intune. To ustawienie dotyczy list, takich jak zagrożenia i wykluczenia.

    • Nie skonfigurowano(ustawienie domyślne) — unikatowe elementy zdefiniowane w ustawieniach preferencji skonfigurowanych przez administratora lokalnego scalają się z wynikowymi skutecznymi zasadami. W przypadku konfliktów ustawienia zarządzania z Intune zasad zastępują ustawienia preferencji lokalnych.
    • Nie — zachowanie jest takie samo jak Nie skonfigurowano.
    • Tak — w wynikowych skutecznych zasadach są używane tylko elementy zdefiniowane przez zarządzanie. Ustawienia zarządzane zastępują ustawienia preferencji skonfigurowane przez administratora lokalnego.

Następujące ustawienia są dostępne w następujących profilach:

  • Program antywirusowy Microsoft Defender
  • Microsoft Defender wykluczeń programu antywirusowego

Dla każdego ustawienia w tej grupie można rozwinąć to ustawienie, wybrać pozycję Dodaj, a następnie określić wartość wykluczenia.

  • Procesy usługi Defender do wykluczenia
    Dostawca usług kryptograficznych: ExcludedProcesses

    Określ listę plików otwartych przez procesy do zignorowania podczas skanowania. Sam proces nie jest wykluczony ze skanowania.

  • Rozszerzenia plików do wykluczenia ze skanowania i ochrony w czasie rzeczywistym
    Zasady zabezpieczeń zawartości: ExcludedExtensions

    Określ listę rozszerzeń typu pliku do zignorowania podczas skanowania.

  • Pliki i foldery usługi Defender do wykluczenia
    Zasady zabezpieczeń zawartości: ExcludedPaths

    Określ listę plików i ścieżek katalogów do zignorowania podczas skanowania.

Ochrona w czasie rzeczywistym

Te ustawienia są dostępne w następujących profilach:

  • Program antywirusowy Microsoft Defender

Ustawienia:

  • Włączanie ochrony w czasie rzeczywistym
    Zasady zabezpieczeń zawartości: AllowRealtimeMonitoring

    Wymagaj, aby usługa Defender na urządzeniach stacjonarnych Windows 10/11 korzystała z funkcji monitorowania w czasie rzeczywistym.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — wymuszanie korzystania z monitorowania w czasie rzeczywistym. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
  • Włączanie ochrony dostępu
    Zasady zabezpieczeń zawartości: AllowOnAccessProtection Skonfiguruj ochronę przed wirusami, która jest stale aktywna, a nie na żądanie.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
    • Nie — blokuj ochronę dostępu na urządzeniach. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — ochrona dostępu jest aktywna na urządzeniach.
  • Monitorowanie plików przychodzących i wychodzących
    Zasady zabezpieczeń zawartości: Defender/RealTimeScanDirection

    Skonfiguruj to ustawienie, aby określić, które działania plików NTFS i programu są monitorowane.

    • Monitorowanie wszystkich plików (domyślne)
    • Monitorowanie tylko plików przychodzących
    • Monitorowanie tylko plików wychodzących
  • Włączanie monitorowania zachowania
    Zasady zabezpieczeń zawartości: AllowBehaviorMonitoring

    Domyślnie usługa Defender na urządzeniach stacjonarnych Windows 10/11 korzysta z funkcji monitorowania zachowania.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — wymuszanie korzystania z monitorowania zachowania w czasie rzeczywistym. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
  • Wyłącz ochronę sieci
    Zasady zabezpieczeń zawartości: EnableNetworkProtection

    Ochrona użytkowników urządzeń korzystających z dowolnej aplikacji przed uzyskiwaniem dostępu do wyłudzania informacji, witryn hostujących luki w zabezpieczeniach i złośliwej zawartości w Internecie. Ochrona obejmuje zapobieganie nawiązywaniu połączeń przez przeglądarki innych firm z niebezpiecznymi witrynami.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — ochrona sieci jest włączona. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
  • Skanuj wszystkie pobrane pliki i załączniki
    Zasady zabezpieczeń zawartości: AllowIOAVProtection

    Skonfiguruj usługę Defender do skanowania wszystkich pobranych plików i załączników.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — usługa Defender skanuje wszystkie pobrane pliki i załączniki. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
  • Skanuj skrypty używane w przeglądarkach firmy Microsoft
    Zasady zabezpieczeń zawartości: AllowScriptScanning

    Skonfiguruj usługę Defender do skanowania skryptów.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — usługa Defender skanuje skrypty. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
  • Skanowanie plików sieciowych
    Zasady zabezpieczeń zawartości: AllowScanningNetworkFiles

    Skonfiguruj usługę Defender do skanowania plików sieciowych.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — włącz skanowanie plików sieciowych. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
  • Skanowanie wiadomości e-mail
    Zasady zabezpieczeń zawartości: AllowEmailScanning

    Skonfiguruj usługę Defender do skanowania przychodzących wiadomości e-mail.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — włącz skanowanie poczty e-mail. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.

Korygowania

Te ustawienia są dostępne w następujących profilach:

  • Program antywirusowy Microsoft Defender

Ustawienia:

  • Liczba dni (0–90) do przechowywania złośliwego oprogramowania poddanej kwarantannie
    Zasady zabezpieczeń zawartości: DaysToRetainCleanedMalware

    Określ liczbę dni od zera do 90, w których system przechowuje elementy poddane kwarantannie przed ich automatycznym usunięciem. Wartość zero utrzymuje elementy w kwarantannie i nie usuwa ich automatycznie.

  • Zgoda na przesyłanie przykładów

    • Nie skonfigurowano (wartość domyślna)
    • Automatyczne wysyłanie bezpiecznych próbek
    • Zawsze monituj
    • Nigdy nie wysyłaj
    • Automatycznie wysyłaj wszystkie przykłady
  • Akcja do podjęcia w sprawie potencjalnie niechcianych aplikacji
    Zasady zabezpieczeń zawartości: PUAProtection

    Określ poziom wykrywania potencjalnie niechcianych aplikacji (PUA). Usługa Defender ostrzega użytkowników, gdy potencjalnie niechciane oprogramowanie jest pobierane lub próbuje zainstalować je na urządzeniu.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnej wartości systemowej, czyli PUA Protection OFF.
    • Wyłączać
    • Włącz — wykryte elementy są blokowane i wyświetlane w historii wraz z innymi zagrożeniami.
    • Tryb inspekcji — usługa Defender wykrywa potencjalnie niechciane aplikacje, ale nie podejmuje żadnych działań. Możesz przejrzeć informacje o aplikacjach, przeciwko których usługa Defender podjęłaby akcję, wyszukując zdarzenia utworzone przez usługę Defender w Podgląd zdarzeń.
  • Akcje dotyczące wykrytych zagrożeń
    Zasady zabezpieczeń zawartości: ThreatSeverityDefaultAction

    Określ akcję wykonywaną przez usługę Defender w przypadku wykrytego złośliwego oprogramowania na podstawie poziomu zagrożenia złośliwego oprogramowania.

    Usługa Defender klasyfikuje wykryte złośliwe oprogramowanie jako jeden z następujących poziomów ważności:

    • Niska ważność
    • Umiarkowana ważność
    • Wysoka ważność
    • Ciężka ważność

    Dla każdego poziomu określ akcję do wykonania. Wartość domyślna dla każdego poziomu ważności to Nie skonfigurowano.

    • Nie skonfigurowano
    • Czyszczenie — usługa próbuje odzyskać pliki i spróbować zdezynfekować.
    • Kwarantanna — przenosi pliki do kwarantanny.
    • Usuń — usuwa pliki z urządzenia.
    • Zezwalaj — zezwala na plik i nie wykonuje innych akcji.
    • Zdefiniowane przez użytkownika — użytkownik urządzenia podejmuje decyzję o podjęciu akcji.
    • Blokuj — blokuje wykonywanie pliku.

Skanować

Te ustawienia są dostępne w następujących profilach:

  • Program antywirusowy Microsoft Defender

Ustawienia:

  • Skanowanie plików archiwum
    Zasady zabezpieczeń zawartości: AllowArchiveScanning

    Skonfiguruj usługę Defender do skanowania plików archiwum, takich jak pliki ZIP lub CAB.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej klienta, czyli skanowania zarchiwizowanych plików, jednak użytkownik może wyłączyć ustawienie. Dowiedz się więcej
    • Nie — archiwa plików nie są skanowane. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — włącza skanowanie plików archiwum. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
  • Używanie niskiego priorytetu procesora CPU w przypadku zaplanowanych skanów
    Zasady zabezpieczeń zawartości: EnableLowCPUPriority

    Skonfiguruj priorytet procesora CPU dla zaplanowanych skanów.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej systemu, w której nie są wprowadzane żadne zmiany priorytetu procesora CPU.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — podczas zaplanowanych skanowania będzie używany niski priorytet procesora CPU. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
  • Wyłączanie pełnego skanowania nadrabiania zaległości
    Zasady zabezpieczeń zawartości: DisableCatchupFullScan

    Konfigurowanie skanowania nadrabiania zaległości pod kątem zaplanowanych pełnych skanów. Skanowanie uzupełniające to skanowanie, które jest uruchamiane z powodu pominięcia regularnie zaplanowanego skanowania. Zazwyczaj te zaplanowane skanowania są pomijane, ponieważ komputer został wyłączony w zaplanowanym czasie.

    • Nieskonfigurowane (ustawienie domyślne) — ustawienie jest zwracane do wartości domyślnej klienta, czyli wyłączania skanowania uzupełniającego w celu pełnego skanowania.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — skanowania uzupełniające dla zaplanowanych pełnych skanów są wymuszane i użytkownik nie może ich wyłączyć. Jeśli komputer jest w trybie offline dla dwóch kolejnych zaplanowanych skanowania, skanowanie catch-up jest uruchamiany przy następnym zalogowaniu się do komputera. Jeśli nie skonfigurowano zaplanowanego skanowania, nie będzie przebiegu skanowania catch-up. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
  • Wyłączanie szybkiego skanowania nadrabiania zaległości
    Zasady zabezpieczeń zawartości: DisableCatchupQuickScan

    Konfigurowanie skanowania nadrabiania zaległości pod kątem zaplanowanych szybkich skanów. Skanowanie uzupełniające to skanowanie, które jest uruchamiane z powodu pominięcia regularnie zaplanowanego skanowania. Zazwyczaj te zaplanowane skanowania są pomijane, ponieważ komputer został wyłączony w zaplanowanym czasie.

    • Nieskonfigurowane (ustawienie domyślne) — ustawienie jest zwracane do wartości domyślnej klienta, czyli wyłączania skanowania uzupełniającego w celu pełnego skanowania.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — skanowanie uzupełniające dla zaplanowanych szybkich skanów jest wymuszane i użytkownik nie może ich wyłączyć. Jeśli komputer jest w trybie offline dla dwóch kolejnych zaplanowanych skanowania, skanowanie catch-up jest uruchamiany przy następnym zalogowaniu się do komputera. Jeśli nie skonfigurowano zaplanowanego skanowania, nie będzie przebiegu skanowania catch-up. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
  • Limit użycia procesora CPU na skanowanie
    Dostawca usług kryptograficznych: AvgCPULoadFactor

    Określ procent od zera do 100 średni współczynnik obciążenia procesora CPU dla skanowania usługi Defender.

  • Skanowanie zamapowanych dysków sieciowych podczas pełnego skanowania
    Zasady zabezpieczeń zawartości: AllowFullScanOnMappedNetworkDrives

    Skonfiguruj usługę Defender do skanowania zamapowanych dysków sieciowych.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnej wartości systemowej, co wyłącza skanowanie na zamapowanych dyskach sieciowych.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić ustawienia.
    • Tak — włącza skanowanie zamapowanych dysków sieciowych. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
  • Uruchom codzienne szybkie skanowanie pod adresem
    Zasady zabezpieczeń zawartości: ScheduleQuickScanTime

    Wybierz godzinę uruchomienia szybkiego skanowania usługi Defender. To ustawienie ma zastosowanie tylko wtedy, gdy urządzenie uruchamia szybkie skanowanie i nie wchodzi w interakcje z następującymi trzema ustawieniami:

    • Typ skanowania
    • Dzień tygodnia na uruchomienie zaplanowanego skanowania
    • Godzina uruchomienia zaplanowanego skanowania

    Domyślnie polecenie Uruchom codzienne szybkie skanowanie pod adresem ma wartość Nieskonfigurowane.

  • Typ skanowania
    Dostawca usług kryptograficznych: ScanParameter

    Wybierz typ skanowania uruchamianego przez usługę Defender. To ustawienie współdziała z ustawieniami Dzień tygodnia w celu uruchomienia zaplanowanego skanowania i godziny w celu uruchomienia zaplanowanego skanowania.

    • Nie skonfigurowano (wartość domyślna)
    • Szybkie skanowanie
    • Pełne skanowanie
  • Dzień tygodnia na uruchomienie zaplanowanego skanowania

    • Nie skonfigurowano (wartość domyślna)
  • Godzina uruchomienia zaplanowanego skanowania

    • Nie skonfigurowano (wartość domyślna)
  • Sprawdzanie dostępności aktualizacji podpisu przed uruchomieniem skanowania

    • Nie skonfigurowano (wartość domyślna)
    • Nie
    • Tak

Aktualizacje

Te ustawienia są dostępne w następujących profilach:

  • Program antywirusowy Microsoft Defender

Ustawienia:

  • Wprowadź częstotliwość (0–24 godziny) sprawdzania dostępności aktualizacji analizy zabezpieczeń
    Zasady zabezpieczeń zawartości: SignatureUpdateInterval

    Określ interwał od zera do 24 (w godzinach), który jest używany do sprawdzania pod kątem podpisów. Wartość zero powoduje brak sprawdzania nowych podpisów. Wartość 2 będzie sprawdzana co dwie godziny itd.

  • Definiowanie udziałów plików na potrzeby pobierania aktualizacji definicji
    Zasady zabezpieczeń zawartości: SignatureUpdateFallbackOrder

    Zarządzaj lokalizacjami, takimi jak udział plików UNC, jako lokalizacją źródłową pobierania, aby uzyskać aktualizacje definicji. Po pomyślnym pobraniu aktualizacji definicji z określonego źródła nie będzie można skontaktować się z pozostałymi źródłami na liście.

    Możesz dodać pojedyncze lokalizacje lub zaimportować listę lokalizacji jako plik .csv.

  • Definiowanie kolejności źródeł pobierania aktualizacji definicji
    Zasady zabezpieczeń zawartości: SignatureUpdateFileSharesSources

    Określ, w której kolejności należy skontaktować się z określonymi lokalizacjami źródłowymi, aby uzyskać aktualizacje definicji. Po pomyślnym pobraniu aktualizacji definicji z jednego określonego źródła nie będzie można skontaktować się z pozostałymi źródłami na liście.

Środowisko użytkownika

Te ustawienia są dostępne w następujących profilach:

  • Program antywirusowy Microsoft Defender

Ustawienia:

  • Zezwalanie użytkownikowi na dostęp do aplikacji Microsoft Defender
    Zasady zabezpieczeń zawartości: AllowUserUIAccess

  • Nieskonfigurowane (ustawienie domyślne) — ustawienie zwraca wartość domyślną klienta, w której interfejs użytkownika i powiadomienia są dozwolone.

  • Nie — interfejs użytkownika usługi Defender jest niedostępny, a powiadomienia są pomijane.

  • Tak