Compartilhar via


Definir preferências para o Microsoft Defender para Ponto de Extremidade no macOS

Aplica-se a:

Importante

Este artigo contém instruções sobre como definir preferências para o Microsoft Defender para Endpoint no macOS em organizações empresariais. Para configurar o Microsoft Defender para Endpoint no macOS com a interface de linha de comandos, veja Recursos.

Resumo

Em organizações empresariais, o Microsoft Defender para Endpoint no macOS pode ser gerido através de um perfil de configuração implementado através de uma das várias ferramentas de gestão. As preferências geridas pela equipa de operações de segurança têm precedência sobre as preferências definidas localmente no dispositivo. Alterar as preferências definidas através do perfil de configuração requer privilégios escalados e não está disponível para utilizadores sem permissões administrativas.

Este artigo descreve a estrutura do perfil de configuração, inclui um perfil recomendado que pode utilizar para começar e fornece instruções sobre como implementar o perfil.

Estrutura do perfil de configuração

O perfil de configuração é um ficheiro .plist que consiste em entradas identificadas por uma chave (que indica o nome da preferência), seguido de um valor, que depende da natureza da preferência. Os valores podem ser simples (como um valor numérico) ou complexos, como uma lista aninhada de preferências.

Cuidado

O esquema do perfil de configuração depende da consola de gestão que está a utilizar. As secções seguintes contêm exemplos de perfis de configuração para JAMF e Intune.

O nível superior do perfil de configuração inclui preferências e entradas ao nível do produto para subáreas do Microsoft Defender para Endpoint, que são explicadas mais detalhadamente nas secções seguintes.

Preferências do motor antivírus

A secção antivírusEngine do perfil de configuração é utilizada para gerir as preferências do componente antivírus do Microsoft Defender para Endpoint.

Seção Valor
Domínio com.microsoft.wdav
Chave antivírusEngine
Tipo de dados Dicionário (preferência aninhada)
Comentários Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário.

Nível de imposição do motor antivírus

Especifica a preferência de imposição do motor antivírus. Existem três valores para definir o nível de imposição:

  • Em tempo real (real_time): a proteção em tempo real (analisar ficheiros à medida que são acedidos) está ativada.
  • A pedido (on_demand): os ficheiros são analisados apenas a pedido. Neste:
    • A proteção em tempo real está desativada.
  • Passivo (passive): executa o motor antivírus no modo passivo. Neste:
    • A proteção em tempo real está desativada.
    • A análise a pedido está ativada.
    • A remediação automática de ameaças está desativada.
    • As atualizações de informações de segurança estão ativadas.
    • O ícone do menu de estado está oculto.
Seção Valor
Domínio com.microsoft.wdav
Chave enforcementLevel
Tipo de dados Cadeia de caracteres
Valores possíveis real_time (predefinição)

on_demand

passivo

Comentários Disponível no Microsoft Defender para Endpoint versão 101.10.72 ou superior.

Ativar/desativar a monitorização de comportamento

Determina se a capacidade de monitorização e bloqueio de comportamento está ou não ativada no dispositivo.

Observação

Esta funcionalidade só é aplicável quando a funcionalidade proteção Real-Time está ativada.

Seção Valor
Domínio com.microsoft.wdav
Chave behaviorMonitoring
Tipo de dados Cadeia de caracteres
Valores possíveis desabilitadas

ativado (predefinição)

Comentários Disponível no Microsoft Defender para Endpoint versão 101.24042.0002 ou superior.

Configurar a funcionalidade de computação hash de ficheiros

Ativa ou desativa a funcionalidade de computação hash de ficheiros. Quando esta funcionalidade está ativada, o Defender para Endpoint calcula os hashes dos ficheiros que analisa para permitir uma melhor correspondência com as regras do indicador. No macOS, apenas os ficheiros de script e Mach-O (32 e 64 bits) são considerados para esta computação hash (a partir da versão do motor 1.1.20000.2 ou superior). Tenha em atenção que ativar esta funcionalidade pode afetar o desempenho do dispositivo. Para obter mais detalhes, veja: Criar indicadores para ficheiros.

Seção Valor
Domínio com.microsoft.wdav
Chave enableFileHashComputation
Tipo de dados Booliano
Valores possíveis falso (padrão)

verdadeiro

Comentários Disponível no Defender para Endpoint versão 101.86.81 ou superior.

Executar uma análise após a atualização das definições

Especifica se pretende iniciar uma análise de processo após a transferência de novas atualizações de informações de segurança no dispositivo. Ativar esta definição aciona uma análise antivírus nos processos em execução do dispositivo.

Seção Valor
Domínio com.microsoft.wdav
Chave scanAfterDefinitionUpdate
Tipo de dados Booliano
Valores possíveis true (predefinição)

falso

Comentários Disponível no Microsoft Defender para Endpoint versão 101.41.10 ou superior.

Analisar arquivos (apenas análises antivírus a pedido)

Especifica se pretende analisar arquivos durante análises antivírus a pedido.

Seção Valor
Domínio com.microsoft.wdav
Chave scanArchives
Tipo de dados Booliano
Valores possíveis true (predefinição)

falso

Comentários Disponível no Microsoft Defender para Endpoint versão 101.41.10 ou superior.

Grau de paralelismo para análises a pedido

Especifica o grau de paralelismo para análises a pedido. Isto corresponde ao número de threads utilizados para efetuar a análise e afeta a utilização da CPU, bem como a duração da análise a pedido.

Seção Valor
Domínio com.microsoft.wdav
Chave maximumOnDemandScanThreads
Tipo de dados Número inteiro
Valores possíveis 2 (predefinição). Os valores permitidos são números inteiros entre 1 e 64.
Comentários Disponível no Microsoft Defender para Endpoint versão 101.41.10 ou superior.

Política de intercalação de exclusão

Especifique a política de intercalação para exclusões. Pode ser uma combinação de exclusões definidas pelo administrador e definidas pelo utilizador (merge) ou apenas exclusões definidas pelo administrador (admin_only). Esta definição pode ser utilizada para impedir que os utilizadores locais definam as suas próprias exclusões.

Seção Valor
Domínio com.microsoft.wdav
Chave exclusionsMergePolicy
Tipo de dados Cadeia de caracteres
Valores possíveis intercalação (predefinição)

admin_only

Comentários Disponível no Microsoft Defender para Endpoint versão 100.83.73 ou superior.

Exclusões de verificação

Especifique as entidades excluídas de serem analisadas. As exclusões podem ser especificadas por caminhos completos, extensões ou nomes de ficheiros. (As exclusões são especificadas como uma matriz de itens, o administrador pode especificar o número de elementos necessários, por qualquer ordem.)

Seção Valor
Domínio com.microsoft.wdav
Chave exclusões
Tipo de dados Dicionário (preferência aninhada)
Comentários Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário.
Tipo de exclusão

Especifique o conteúdo excluído de ser analisado por tipo.

Seção Valor
Domínio com.microsoft.wdav
Chave $type
Tipo de dados Cadeia de caracteres
Valores possíveis excludedPath

excludedFileExtension

excludedFileName

Caminho para conteúdo excluído

Especifique o conteúdo excluído de ser analisado pelo caminho completo do ficheiro.

Seção Valor
Domínio com.microsoft.wdav
Chave caminho
Tipo de dados Cadeia de caracteres
Valores possíveis caminhos válidos
Comentários Aplicável apenas se $type for excluídoPath

Tipos de exclusão suportados

A tabela seguinte mostra os tipos de exclusão suportados pelo Defender para Endpoint no Mac.

Exclusão Definição Exemplos
Extensão de arquivo Todos os ficheiros com a extensão, em qualquer lugar no dispositivo .test
Arquivo Um ficheiro específico identificado pelo caminho completo /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Pasta Todos os ficheiros na pasta especificada (recursivamente) /var/log/

/var/*/

Processo Um processo específico (especificado pelo caminho completo ou nome do ficheiro) e todos os ficheiros abertos pelo mesmo /bin/cat

cat

c?t

Importante

Os caminhos acima têm de ser ligações fixas, não ligações simbólicas, para serem excluídos com êxito. Pode verificar se um caminho é uma ligação simbólica ao executar file <path-name>.

As exclusões de ficheiros, pastas e processos suportam os seguintes carateres universais:

Curinga Descrição Exemplo Correspondências Não corresponde
* Corresponde a qualquer número de carateres, incluindo nenhum (tenha em atenção que, quando este caráter universal é utilizado dentro de um caminho, irá substituir apenas uma pasta) /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? Corresponde a qualquer caráter individual file?.log file1.log

file2.log

file123.log

Tipo de caminho (ficheiro/diretório)

Indique se a propriedade path se refere a um ficheiro ou diretório.

Seção Valor
Domínio com.microsoft.wdav
Chave isDirectory
Tipo de dados Booliano
Valores possíveis falso (padrão)

verdadeiro

Comentários Aplicável apenas se $type for excluídoPath

Extensão de ficheiro excluída da análise

Especifique o conteúdo excluído de ser analisado pela extensão de ficheiro.

Seção Valor
Domínio com.microsoft.wdav
Chave extensão
Tipo de dados Cadeia de caracteres
Valores possíveis extensões de ficheiro válidas
Comentários Aplicável apenas se $type for excluídoFileExtension

Processo excluído da análise

Especifique um processo para o qual toda a atividade de ficheiro é excluída da análise. O processo pode ser especificado pelo respetivo nome (por exemplo, cat) ou caminho completo (por exemplo, /bin/cat).

Seção Valor
Domínio com.microsoft.wdav
Chave nome
Tipo de dados Cadeia de caracteres
Valores possíveis qualquer cadeia
Comentários Aplicável apenas se $type for excluídoFileName

Ameaças permitidas

Especifique ameaças por nome que não sejam bloqueadas pelo Defender para Endpoint no Mac. Estas ameaças serão autorizadas a ser executadas.

Seção Valor
Domínio com.microsoft.wdav
Chave allowedThreats
Tipo de dados Matriz de cadeias de caracteres

Ações de ameaça não permitidas

Restringe as ações que o utilizador local de um dispositivo pode efetuar quando são detetadas ameaças. As ações incluídas nesta lista não são apresentadas na interface de utilizador.

Seção Valor
Domínio com.microsoft.wdav
Chave disallowedThreatActions
Tipo de dados Matriz de cadeias de caracteres
Valores possíveis permitir (impede os utilizadores de permitir ameaças)

restaurar (impede os utilizadores de restaurar ameaças a partir da quarentena)

Comentários Disponível no Microsoft Defender para Endpoint versão 100.83.73 ou superior.

Configurações do tipo de ameaça

Especifique a forma como determinados tipos de ameaças são processados pelo Microsoft Defender para Endpoint no macOS.

Seção Valor
Domínio com.microsoft.wdav
Chave threatTypeSettings
Tipo de dados Dicionário (preferência aninhada)
Comentários Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário.
Tipo de ameaça

Especifique tipos de ameaças.

Seção Valor
Domínio com.microsoft.wdav
Chave chave
Tipo de dados Cadeia de caracteres
Valores possíveis potentially_unwanted_application

archive_bomb

O que fazer

Especifique a ação a efetuar quando for detetada uma ameaça do tipo especificado na secção anterior. Escolha dentre as seguintes opções:

  • Auditoria: o dispositivo não está protegido contra este tipo de ameaça, mas é registada uma entrada sobre a ameaça.
  • Bloco: o seu dispositivo está protegido contra este tipo de ameaça e é notificado na interface de utilizador e na consola de segurança.
  • Desativado: o seu dispositivo não está protegido contra este tipo de ameaça e nada é registado.
Seção Valor
Domínio com.microsoft.wdav
Chave valor
Tipo de dados Cadeia de caracteres
Valores possíveis auditoria (predefinição)

bloquear

desativado

Política de intercalação de definições de tipo de ameaça

Especifique a política de intercalação para definições de tipo de ameaça. Pode ser uma combinação de definições definidas pelo administrador e definidas pelo utilizador (merge) ou apenas definições definidas pelo administrador (admin_only). Esta definição pode ser utilizada para impedir que os utilizadores locais definam as suas próprias definições para diferentes tipos de ameaças.

Seção Valor
Domínio com.microsoft.wdav
Chave threatTypeSettingsMergePolicy
Tipo de dados Cadeia de caracteres
Valores possíveis intercalação (predefinição)

admin_only

Comentários Disponível no Microsoft Defender para Endpoint versão 100.83.73 ou superior.

Retenção do histórico de análises de antivírus (em dias)

Especifique o número de dias que os resultados são retidos no histórico de análises no dispositivo. Os resultados da análise antigos são removidos do histórico. Ficheiros antigos em quarentena que também são removidos do disco.

Seção Valor
Domínio com.microsoft.wdav
Chave scanResultsRetentionDays
Tipo de dados Cadeia de caracteres
Valores possíveis 90 (predefinição). Os valores permitidos são de 1 dia a 180 dias.
Comentários Disponível no Microsoft Defender para Endpoint versão 101.07.23 ou superior.

Número máximo de itens no histórico de análise de antivírus

Especifique o número máximo de entradas a manter no histórico de análises. As entradas incluem todas as análises a pedido realizadas no passado e todas as deteções de antivírus.

Seção Valor
Domínio com.microsoft.wdav
Chave scanHistoryMaximumItems
Tipo de dados Cadeia de caracteres
Valores possíveis 10000 (predefinição). Os valores permitidos são de 5000 itens a 15000 itens.
Comentários Disponível no Microsoft Defender para Endpoint versão 101.07.23 ou superior.

Preferências de proteção fornecidas pela cloud

Configure as funcionalidades de proteção baseada na cloud do Microsoft Defender para Endpoint no macOS.

Seção Valor
Domínio com.microsoft.wdav
Chave cloudService
Tipo de dados Dicionário (preferência aninhada)
Comentários Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário.

Ativar/desativar a proteção fornecida pela cloud

Especifique se pretende ativar ou não a proteção fornecida pela cloud no dispositivo. Para melhorar a segurança dos seus serviços, recomendamos que mantenha esta funcionalidade ativada.

Seção Valor
Domínio com.microsoft.wdav
Chave habilitadas
Tipo de dados Booliano
Valores possíveis true (predefinição)

falso

Nível de coleção de diagnóstico

Os dados de diagnóstico são utilizados para manter o Microsoft Defender para Endpoint seguro e atualizado, detetar, diagnosticar e corrigir problemas e também melhorar o produto. Esta definição determina o nível de diagnóstico enviado pelo Microsoft Defender para Endpoint à Microsoft.

Seção Valor
Domínio com.microsoft.wdav
Chave diagnosticLevel
Tipo de dados Cadeia de caracteres
Valores possíveis opcional (predefinição)

obrigatório

Configurar o nível de bloco da cloud

Esta definição determina o quão agressivo será o Defender para Endpoint ao bloquear e analisar ficheiros suspeitos. Se esta definição estiver ativada, o Defender para Endpoint será mais agressivo ao identificar ficheiros suspeitos para bloquear e analisar; caso contrário, será menos agressivo e, portanto, bloqueará e analisará com menos frequência. Existem cinco valores para definir o nível de bloco da cloud:

  • Normal (normal): o nível de bloqueio predefinido.
  • Moderado (moderate): dá um veredicto apenas para deteções de alta confiança.
  • Alto (high): bloqueia agressivamente ficheiros desconhecidos ao otimizar o desempenho (maior probabilidade de bloquear ficheiros não prejudiciais).
  • High Plus (high_plus): bloqueia agressivamente ficheiros desconhecidos e aplica medidas de proteção adicionais (podem afetar o desempenho do dispositivo cliente).
  • Tolerância Zero (zero_tolerance): bloqueia todos os programas desconhecidos.
Seção Valor
Domínio com.microsoft.wdav
Chave cloudBlockLevel
Tipo de dados Cadeia de caracteres
Valores possíveis normal (predefinição)

moderado

high

high_plus

zero_tolerance

Comentários Disponível no Defender para Endpoint versão 101.56.62 ou superior.

Ativar/desativar submissões automáticas de exemplo

Determina se as amostras suspeitas (que são susceptíveis de conter ameaças) são enviadas para a Microsoft. Existem três níveis para controlar a submissão de amostras:

  • Nenhum: não são submetidos exemplos suspeitos à Microsoft.
  • Seguro: apenas os exemplos suspeitos que não contenham informações pessoais (PII) são submetidos automaticamente. Este é o valor predefinido para esta definição.
  • Todos: todos os exemplos suspeitos são submetidos à Microsoft.
Descrição Valor
Chave automaticSampleSubmissionConsent
Tipo de dados Cadeia de caracteres
Valores possíveis none

seguro (predefinição)

tudo

Ativar/desativar atualizações automáticas de informações de segurança

Determina se as atualizações de informações de segurança são instaladas automaticamente:

Seção Valor
Chave automaticDefinitionUpdateEnabled
Tipo de dados Booliano
Valores possíveis true (predefinição)

falso

Preferências de interface de utilizador

Faça a gestão das preferências da interface de utilizador do Microsoft Defender para Endpoint no macOS.

Seção Valor
Domínio com.microsoft.wdav
Chave userInterface
Tipo de dados Dicionário (preferência aninhada)
Comentários Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário.

Mostrar/ocultar ícone do menu de estado

Especifique se pretende mostrar ou ocultar o ícone do menu de estado no canto superior direito do ecrã.

Seção Valor
Domínio com.microsoft.wdav
Chave hideStatusMenuIcon
Tipo de dados Booliano
Valores possíveis falso (padrão)

verdadeiro

Mostrar/ocultar opção para enviar comentários

Especifique se os utilizadores podem submeter comentários à Microsoft acedendo a Help>Send Feedback.

Seção Valor
Domínio com.microsoft.wdav
Chave userInitiatedFeedback
Tipo de dados Cadeia de caracteres
Valores possíveis ativado (predefinição)

desabilitadas

Comentários Disponível no Microsoft Defender para Endpoint versão 101.19.61 ou superior.

Controlar o início de sessão na versão de consumidor do Microsoft Defender

Especifique se os utilizadores podem iniciar sessão na versão de consumidor do Microsoft Defender.

Seção Valor
Domínio com.microsoft.wdav
Chave consumerExperience
Tipo de dados Cadeia de caracteres
Valores possíveis ativado (predefinição)

desabilitadas

Comentários Disponível no Microsoft Defender para Endpoint versão 101.60.18 ou superior.

Deteção de pontos finais e preferências de resposta

Gerir as preferências do componente de deteção e resposta de pontos finais (EDR) do Microsoft Defender para Endpoint no macOS.

Seção Valor
Domínio com.microsoft.wdav
Chave edr
Tipo de dados Dicionário (preferência aninhada)
Comentários Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário.

Marcas de dispositivo

Especifique um nome de etiqueta e o respetivo valor.

  • A etiqueta GROUP marca o dispositivo com o valor especificado. A etiqueta é refletida no portal na página do dispositivo e pode ser utilizada para filtrar e agrupar dispositivos.
Seção Valor
Domínio com.microsoft.wdav
Chave tags
Tipo de dados Dicionário (preferência aninhada)
Comentários Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário.
Tipo de etiqueta

Especifica o tipo de etiqueta

Seção Valor
Domínio com.microsoft.wdav
Chave chave
Tipo de dados Cadeia de caracteres
Valores possíveis GROUP
Valor da etiqueta

Especifica o valor da etiqueta

Seção Valor
Domínio com.microsoft.wdav
Chave valor
Tipo de dados Cadeia de caracteres
Valores possíveis qualquer cadeia

Importante

  • Só é possível definir um valor por tipo de etiqueta.
  • Os tipos de etiquetas são exclusivos e não devem ser repetidos no mesmo perfil de configuração.

Identificador de grupo

Identificadores do Grupo EDR

Seção Valor
Domínio com.microsoft.wdav
Chave groupIds
Tipo de dados Cadeia de caracteres
Comentários Identificador de grupo

Proteção contra Adulteração

Faça a gestão das preferências do componente Proteção contra Adulteração do Microsoft Defender para Endpoint no macOS.

Seção Valor
Domínio com.microsoft.wdav
Chave tamperProtection
Tipo de dados Dicionário (preferência aninhada)
Comentários Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário.

Nível de imposição

Se a Proteção contra Adulteração estiver ativada e estiver no modo restrito

Seção Valor
Domínio com.microsoft.wdav
Chave enforcementLevel
Tipo de dados Cadeia de caracteres
Comentários Um de "desativado", "auditoria" ou "bloco"

Valores possíveis:

  • desativado – a Proteção contra Adulteração está desativada, sem prevenção de ataques ou comunicação à Cloud
  • auditoria – a Proteção contra Adulteração comunica tentativas de adulteração apenas para a Cloud, mas não as bloqueia
  • block - Proteção contra Adulteração bloqueia e reporta ataques à Cloud

Exclusões

Define processos que são permitidos para alterar o recurso do Microsoft Defender, sem considerar a adulteração. O caminho, o teamId, o signingId ou a respetiva combinação têm de ser fornecidos. Os args podem ser fornecidos adicionalmente, para especificar o processo permitido com mais precisão.

Seção Valor
Domínio com.microsoft.wdav
Chave exclusões
Tipo de dados Dicionário (preferência aninhada)
Comentários Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário.
Caminho

Caminho exato do executável do processo.

Seção Valor
Domínio com.microsoft.wdav
Chave caminho
Tipo de dados Cadeia de caracteres
Comentários No caso de um script de shell, será o caminho exato para o binário do intérprete, por exemplo, /bin/zsh. Não são permitidos carateres universais.
ID da Equipa

O "Team Id" da Apple do fornecedor.

Seção Valor
Domínio com.microsoft.wdav
Chave teamId
Tipo de dados Cadeia de caracteres
Comentários Por exemplo, UBF8T346G9 para a Microsoft
ID de Assinatura

O "ID de Assinatura" da Apple do pacote.

Seção Valor
Domínio com.microsoft.wdav
Chave signingId
Tipo de dados Cadeia de caracteres
Comentários Por exemplo, com.apple.ruby para o interpretador Ruby
Argumentos do processo

Utilizado em combinação com outros parâmetros para identificar o processo.

Seção Valor
Domínio com.microsoft.wdav
Chave signingId
Tipo de dados Matriz de cadeias de caracteres
Comentários Se especificado, o argumento do processo tem de corresponder exatamente a esses argumentos, sensíveis às maiúsculas e minúsculas

Para começar, recomendamos a seguinte configuração para a sua empresa para tirar partido de todas as funcionalidades de proteção fornecidas pelo Microsoft Defender para Endpoint.

O seguinte perfil de configuração (ou, no caso do JAMF, uma lista de propriedades que pode ser carregada para o perfil de configuração de definições personalizadas) irá:

  • Ativar a proteção em tempo real (RTP)
  • Especifique a forma como os seguintes tipos de ameaças são processados:
    • As aplicações potencialmente indesejadas (PUA) estão bloqueadas
    • As bombas de arquivo (ficheiro com uma taxa de compressão elevada) são auditadas aos registos do Microsoft Defender para Endpoint
  • Ativar atualizações automáticas de informações de segurança
  • Ativar proteção fornecida pela nuvem
  • Ativar a submissão automática de exemplo
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Exemplo de perfil de configuração completo

Os seguintes modelos contêm entradas para todas as definições descritas neste documento e podem ser utilizados para cenários mais avançados em que pretende ter mais controlo sobre o Microsoft Defender para Endpoint no macOS.

Lista de propriedades do perfil de configuração completo JAMF

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>scanAfterDefinitionUpdate</key>
        <true/>
        <key>scanArchives</key>
        <true/>
        <key>maximumOnDemandScanThreads</key>
        <integer>2</integer>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/Users/*/git</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
        <key>cloudBlockLevel</key>
        <string>normal</string>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
        <key>exclusions</key>
        <array>
        <dict>
            <key>path</key>
            <string>/bin/zsh</string>
            <key>teamId</key>
            <string/>
            <key>signingId</key>
            <string>com.apple.zsh</string>
            <key>args</key>
            <array>
            <string>/usr/local/bin/test.sh</string>
            </array>
        </dict>
        <dict>
            <key>path</key>
            <string>/usr/local/jamf/bin/jamf</string>
            <key>teamId</key>
            <string>483DWKW443</string>
            <key>signingId</key>
            <string>com.jamfsoftware.jamf</string>
        </dict>
        </array>            
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
        <key>userInitiatedFeedback</key>
        <string>enabled</string>
    </dict>
</dict>
</plist>

Perfil completo do Intune

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>scanAfterDefinitionUpdate</key>
                    <true/>
                    <key>scanArchives</key>
                    <true/>
                    <key>maximumOnDemandScanThreads</key>
                    <integer>1</integer>
                    <key>exclusions</key>
                    <array>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <false/>
                            <key>path</key>
                            <string>/var/log/system.log</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/home</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/Users/*/git</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileExtension</string>
                            <key>extension</key>
                            <string>pdf</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileName</string>
                            <key>name</key>
                            <string>cat</string>
                        </dict>
                    </array>
                    <key>exclusionsMergePolicy</key>
                    <string>merge</string>
                    <key>allowedThreats</key>
                    <array>
                        <string>EICAR-Test-File (not a virus)</string>
                    </array>
                    <key>disallowedThreatActions</key>
                    <array>
                        <string>allow</string>
                        <string>restore</string>
                    </array>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                    <key>threatTypeSettingsMergePolicy</key>
                    <string>merge</string>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>diagnosticLevel</key>
                    <string>optional</string>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                    <key>cloudBlockLevel</key>
                    <string>normal</string>
                </dict>
                <key>edr</key>
                <dict>
                    <key>tags</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>GROUP</string>
                            <key>value</key>
                            <string>ExampleTag</string>
                        </dict>
                    </array>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                    <key>exclusions</key>
                    <array>
                    <dict>
                        <key>path</key>
                        <string>/bin/zsh</string>
                        <key>teamId</key>
                        <string/>
                        <key>signingId</key>
                        <string>com.apple.zsh</string>
                        <key>args</key>
                        <array>
                        <string>/usr/local/bin/test.sh</string>
                        </array>
                    </dict>
                    <dict>
                        <key>path</key>
                        <string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
                        <key>teamId</key>
                        <string>UBF8T346G9</string>
                        <key>signingId</key>
                        <string>IntuneMdmDaemon</string>
                    </dict>
                    </array>            
                </dict>
                <key>userInterface</key>
                <dict>
                    <key>hideStatusMenuIcon</key>
                    <false/>
                    <key>userInitiatedFeedback</key>
                    <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Validação da lista de propriedades

A lista de propriedades tem de ser um ficheiro .plist válido. Isto pode ser verificado ao executar:

plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK

Se o ficheiro estiver bem formado, o comando acima será exportado OK e devolverá um código de saída de 0. Caso contrário, é apresentado um erro que descreve o problema e o comando devolve um código de saída de 1.

Implementação do perfil de configuração

Depois de criar o perfil de configuração para a sua empresa, pode implementá-lo através da consola de gestão que a sua empresa está a utilizar. As secções seguintes fornecem instruções sobre como implementar este perfil com o JAMF e o Intune.

Implementação do JAMF

Na consola JAMF, abraPerfis de Configuração de Computadores>, navegue para o perfil de configuração que pretende utilizar e, em seguida, selecione Definições Personalizadas. Crie uma entrada com com.microsoft.wdav como o domínio de preferência e carregue o .plist produzido anteriormente.

Cuidado

Tem de introduzir o domínio de preferência correto (com.microsoft.wdav); caso contrário, as preferências não serão reconhecidas pelo Microsoft Defender para Endpoint.

Implementação do Intune

  1. AbraPerfis de Configuração de Dispositivos>. Selecione Criar Perfil.

  2. Escolha um nome para o perfil. Altere Platform=macOS para Profile type=Templates e selecione Personalizar na secção nome do modelo. Selecione Configurar.

  3. Guarde o .plist produzido anteriormente como com.microsoft.wdav.xml.

  4. Introduza com.microsoft.wdav como o nome do perfil de configuração personalizada.

  5. Abra o perfil de configuração e carregue o com.microsoft.wdav.xml ficheiro. (Este ficheiro foi criado no passo 3.)

  6. Selecione OK.

  7. Selecione Gerir>Atribuições. No separador Incluir , selecione Atribuir a Todos os Utilizadores & Todos os dispositivos.

Cuidado

Tem de introduzir o nome de perfil de configuração personalizado correto; caso contrário, estas preferências não serão reconhecidas pelo Microsoft Defender para Endpoint.

Recursos

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.