Поделиться через


Установка параметров Microsoft Defender для конечной точки в macOS

Область применения:

Важно!

В этой статье содержатся инструкции по настройке параметров Microsoft Defender для конечной точки в macOS в корпоративных организациях. Сведения о настройке Microsoft Defender для конечной точки в macOS с помощью интерфейса командной строки см. в разделе Ресурсы.

Сводка

В корпоративных организациях Microsoft Defender для конечной точки в macOS можно управлять с помощью профиля конфигурации, который развертывается с помощью одного из нескольких средств управления. Параметры, управляемые командой по операциям безопасности, имеют приоритет над параметрами, заданными локально на устройстве. Изменение настроек, заданных с помощью профиля конфигурации, требует повышения привилегий и недоступно для пользователей без административных разрешений.

В этой статье описывается структура профиля конфигурации, содержится рекомендуемый профиль, который можно использовать для начала работы, а также приводятся инструкции по развертыванию профиля.

Структура профиля конфигурации

Профиль конфигурации — это PLIST-файл , состоящий из записей, определенных ключом (который обозначает имя предпочтения), за которым следует значение, которое зависит от характера предпочтения. Значения могут быть простыми (например, числовым значением) или сложными, например вложенным списком параметров.

Предостережение

Макет профиля конфигурации зависит от используемой консоли управления. В следующих разделах приведены примеры профилей конфигурации для JAMF и Intune.

Верхний уровень профиля конфигурации включает в себя настройки и записи для дочерних элементов Microsoft Defender для конечной точки, которые более подробно описаны в следующих разделах.

Параметры антивирусного ядра

Раздел antivirusEngine профиля конфигурации используется для управления параметрами антивирусного компонента Microsoft Defender для конечной точки.

Раздел Значение
Домен com.microsoft.wdav
Ключ antivirusEngine
Тип данных Словарь (вложенный параметр)
Комментарии Описание содержимого словаря см. в следующих разделах.

Уровень принудительного применения для антивирусного ядра

Задает параметр принудительного применения антивирусного ядра. Существует три значения для установки уровня принудительного применения:

  • В режиме реального времени (real_time): включена защита в режиме реального времени (сканирование файлов при доступе к ним).
  • По запросу (on_demand): файлы сканируются только по запросу. В этом случае:
    • Защита в режиме реального времени отключена.
  • Пассивный (passive): запускает антивирусную программу в пассивном режиме. В этом случае:
    • Защита в режиме реального времени отключена.
    • Сканирование по запросу включено.
    • Автоматическое исправление угроз отключено.
    • Обновления аналитики безопасности включены.
    • Значок меню "Состояние" скрыт.
Раздел Значение
Домен com.microsoft.wdav
Ключ enforcementLevel
Тип данных String
Возможные значения real_time (по умолчанию)

on_demand

Пассивный

Comments Доступно в Microsoft Defender для конечной точки версии 101.10.72 или более поздней.

Включение и отключение мониторинга поведения

Определяет, включена ли на устройстве возможность мониторинга и блокировки поведения.

Примечание.

Эта функция применима, только если включена функция защиты Real-Time.

Раздел Значение
Домен com.microsoft.wdav
Ключ behaviorMonitoring
Тип данных String
Возможные значения отключено

включено (по умолчанию)

Комментарии Доступно в Microsoft Defender для конечной точки версии 101.24042.0002 или более поздней.

Настройка функции вычисления хэша файлов

Включает или отключает функцию вычисления хэша файлов. Если эта функция включена, Defender для конечной точки вычисляет хэши файлов, которые он сканирует, чтобы обеспечить лучшее сопоставление с правилами индикаторов. В macOS для этого хэш-вычисления учитываются только файлы скрипта и Mach-O (32 и 64-разрядные) (начиная с версии 1.1.20000.2 или более поздней). Обратите внимание, что включение этой функции может повлиять на производительность устройства. Дополнительные сведения см. в статье Создание индикаторов для файлов.

Раздел Значение
Домен com.microsoft.wdav
Ключ enableFileHashComputation
Тип данных Логический
Возможные значения false (по умолчанию)

true

Комментарии Доступно в Defender для конечной точки версии 101.86.81 или более поздней.

Запуск проверки после обновления определений

Указывает, следует ли запускать проверку процесса после загрузки на устройство новых обновлений аналитики безопасности. Включение этого параметра запускает антивирусную проверку запущенных процессов устройства.

Раздел Значение
Домен com.microsoft.wdav
Ключ scanAfterDefinitionUpdate
Тип данных Логический
Возможные значения true (по умолчанию)

false

Комментарии Доступно в Microsoft Defender для конечной точки версии 101.41.10 или более поздней.

Сканирование архивов (только антивирусная проверка по запросу)

Указывает, следует ли сканировать архивы во время проверки антивирусной программы по запросу.

Раздел Значение
Домен com.microsoft.wdav
Ключ scanArchives
Тип данных Логический
Возможные значения true (по умолчанию)

false

Комментарии Доступно в Microsoft Defender для конечной точки версии 101.41.10 или более поздней.

Степень параллелизма при сканировании по запросу

Указывает степень параллелизма для проверок по запросу. Это соответствует количеству потоков, используемых для проверки, и влияет на загрузку ЦП, а также на длительность проверки по запросу.

Раздел Значение
Домен com.microsoft.wdav
Ключ maximumOnDemandScanThreads
Тип данных Integer
Возможные значения 2 (по умолчанию). Допустимые значения — это целые числа от 1 до 64.
Комментарии Доступно в Microsoft Defender для конечной точки версии 101.41.10 или более поздней.

Политика слияния исключений

Укажите политику слияния для исключений. Это может быть сочетание исключений, определяемых администратором и пользователем (merge), или только исключений, определенных администратором (admin_only). Этот параметр можно использовать, чтобы запретить локальным пользователям определять собственные исключения.

Раздел Значение
Домен com.microsoft.wdav
Ключ exclusionsMergePolicy
Тип данных String
Возможные значения merge (по умолчанию)

admin_only

Комментарии Доступно в Microsoft Defender для конечной точки версии 100.83.73 или более поздней.

исключения сканирования;

Укажите сущности, исключенные из сканирования. Исключения можно указать полными путями, расширениями или именами файлов. (Исключения указываются в виде массива элементов. Администратор может указать любое необходимое количество элементов в любом порядке.)

Раздел Значение
Домен com.microsoft.wdav
Ключ Исключения
Тип данных Словарь (вложенный параметр)
Комментарии Описание содержимого словаря см. в следующих разделах.
Тип исключения

Укажите содержимое, исключенное из проверки по типу.

Раздел Значение
Домен com.microsoft.wdav
Ключ $type
Тип данных String
Возможные значения excludedPath

excludedFileExtension

excludedFileName

Путь к исключенным содержимому

Укажите содержимое, исключенное из проверки по полному пути к файлу.

Раздел Значение
Домен com.microsoft.wdav
Ключ path
Тип данных String
Возможные значения допустимые пути
Комментарии Применимо только в том случае , если $typeисключеныPath

Поддерживаемые типы исключений

В следующей таблице показаны типы исключений, поддерживаемые Defender для конечной точки на Mac.

Исключения Определение Примеры
Расширение файла Все файлы с расширением в любом месте устройства .test
File Конкретный файл, определенный по полному пути /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Folder Все файлы в указанной папке (рекурсивно) /var/log/

/var/*/

Процесс Определенный процесс (указывается полным путем или именем файла) и все файлы, открытые им. /bin/cat

cat

c?t

Важно!

Для успешного исключения указанные выше пути должны быть жесткими, а не символическими ссылками. Чтобы проверить, является ли путь символьной ссылкой, выполните команду file <path-name>.

Исключения файлов, папок и процессов поддерживают следующие подстановочные знаки:

Подстановочный знак Описание Пример Совпадения Не соответствует
* Соответствует любому количеству символов, включая ни один (обратите внимание, что если этот подстановочный знак используется внутри пути, он будет заменять только одну папку). /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? Соответствует любому отдельному символу file?.log file1.log

file2.log

file123.log

Тип пути (файл или каталог)

Укажите, относится ли свойство path к файлу или каталогу.

Раздел Значение
Домен com.microsoft.wdav
Ключ isDirectory
Тип данных Логический
Возможные значения false (по умолчанию)

true

Комментарии Применимо только в том случае , если $typeисключеныPath

Расширение файла, исключенное из сканирования

Укажите содержимое, исключенное из проверки расширением файла.

Раздел Значение
Домен com.microsoft.wdav
Ключ Расширение
Тип данных String
Возможные значения допустимые расширения файлов
Комментарии Применимо, только если $typeисключеноFileExtension

Процесс, исключенный из сканирования

Укажите процесс, для которого все действия файлов исключаются из сканирования. Процесс можно указать по его имени (например, cat) или по полному пути (например, /bin/cat).

Раздел Значение
Домен com.microsoft.wdav
Ключ name
Тип данных String
Возможные значения любая строка
Комментарии Применимо только в том случае, если $typeисключеноFileName

разрешенные угрозы;

Укажите угрозы по имени, которые не заблокированы Defender для конечной точки на Mac. Эти угрозы будут разрешены.

Раздел Значение
Домен com.microsoft.wdav
Ключ allowedThreats
Тип данных Массив строк

Disallowed threat actions (Запрещенные действия в отношении угроз);

Ограничивает действия, которые может выполнять локальный пользователь устройства при обнаружении угроз. Действия, включенные в этот список, не отображаются в пользовательском интерфейсе.

Раздел Значение
Домен com.microsoft.wdav
Ключ disallowedThreatActions
Тип данных Массив строк
Возможные значения разрешить (запрещает пользователям разрешать угрозы)

restore (запрещает пользователям восстанавливать угрозы из карантина)

Комментарии Доступно в Microsoft Defender для конечной точки версии 100.83.73 или более поздней.

параметры типа угрозы.

Укажите, как определенные типы угроз обрабатываются Microsoft Defender для конечной точки в macOS.

Раздел Значение
Домен com.microsoft.wdav
Ключ threatTypeSettings
Тип данных Словарь (вложенный параметр)
Комментарии Описание содержимого словаря см. в следующих разделах.
Тип угрозы

Укажите типы угроз.

Раздел Значение
Домен com.microsoft.wdav
Ключ ключа
Тип данных String
Возможные значения potentially_unwanted_application

archive_bomb

Действие

Укажите, какие действия следует предпринять при обнаружении угрозы типа, указанного в предыдущем разделе. Выберите из следующих вариантов.

  • Аудит: устройство не защищено от этой угрозы, но запись об угрозе регистрируется.
  • Блокировать: устройство защищено от угроз этого типа, и вы получите уведомление в пользовательском интерфейсе и консоли безопасности.
  • Выкл. Устройство не защищено от угрозы этого типа, и ничего не регистрируется.
Раздел Значение
Домен com.microsoft.wdav
Ключ значение
Тип данных String
Возможные значения audit (по умолчанию)

Блок

выключено

Политика слияния параметров типа угроз

Укажите политику слияния для параметров типа угрозы. Это может быть сочетание определяемых администратором и пользователем параметров (merge) или только параметров, определенных администратором (admin_only). Этот параметр можно использовать, чтобы запретить локальным пользователям определять собственные параметры для различных типов угроз.

Раздел Значение
Домен com.microsoft.wdav
Ключ threatTypeSettingsMergePolicy
Тип данных String
Возможные значения merge (по умолчанию)

admin_only

Comments Доступно в Microsoft Defender для конечной точки версии 100.83.73 или более поздней.

Хранение журнала антивирусной проверки (в днях)

Укажите количество дней, в течение которых результаты хранятся в журнале сканирования на устройстве. Старые результаты сканирования удаляются из журнала. Старые файлы, помещенные в карантин, которые также удаляются с диска.

Раздел Значение
Домен com.microsoft.wdav
Ключ scanResultsRetentionDays
Тип данных String
Возможные значения 90 (по умолчанию). Допустимые значения: от 1 дня до 180 дней.
Комментарии Доступно в Microsoft Defender для конечной точки версии 101.07.23 или более поздней.

Максимальное число элементов в журнале антивирусной проверки

Укажите максимальное количество записей, которые будут храниться в журнале сканирования. Записи включают все проверки по запросу, выполненные в прошлом, и все обнаружения антивирусной программы.

Раздел Значение
Домен com.microsoft.wdav
Ключ scanHistoryMaximumItems
Тип данных String
Возможные значения 10000 (по умолчанию). Допустимые значения: от 5000 до 15000 элементов.
Комментарии Доступно в Microsoft Defender для конечной точки версии 101.07.23 или более поздней.

Параметры защиты, предоставляемые облаком

Настройте функции облачной защиты Microsoft Defender для конечной точки в macOS.

Раздел Значение
Домен com.microsoft.wdav
Ключ cloudService
Тип данных Словарь (вложенный параметр)
Комментарии Описание содержимого словаря см. в следующих разделах.

Включение и отключение облачной защиты

Укажите, следует ли включить облачную защиту устройства. Чтобы повысить безопасность служб, рекомендуется оставить эту функцию включенной.

Раздел Значение
Домен com.microsoft.wdav
Ключ включено
Тип данных Логический
Возможные значения true (по умолчанию)

false

уровень сбора данных диагностики

Диагностические данные используются для обеспечения безопасности и актуальности Microsoft Defender для конечной точки, обнаружения, диагностики и устранения проблем, а также улучшения продукта. Этот параметр определяет уровень диагностики, отправляемой Microsoft Defender для конечной точки в Корпорацию Майкрософт.

Раздел Значение
Домен com.microsoft.wdav
Ключ diagnosticLevel
Тип данных String
Возможные значения необязательный (по умолчанию)

обязательно

Настройка уровня облачного блока

Этот параметр определяет, насколько агрессивным будет Defender для конечной точки блокировать и сканировать подозрительные файлы. Если этот параметр включен, Defender для конечной точки будет более агрессивным при обнаружении подозрительных файлов для блокировки и сканирования. В противном случае он будет менее агрессивным и, следовательно, блокировать и сканировать с меньшей частотой. Существует пять значений для настройки уровня блока облака:

  • Обычный (normal): уровень блокировки по умолчанию.
  • Умеренный (moderate): выставляет вердикт только для обнаружения высокой достоверности.
  • Высокий (high): агрессивно блокирует неизвестные файлы, оптимизируя производительность (больше вероятность блокировки невредных файлов).
  • Высокий плюс (high_plus): агрессивно блокирует неизвестные файлы и применяет дополнительные меры защиты (может повлиять на производительность клиентского устройства).
  • Нулевое отклонение (zero_tolerance): блокирует все неизвестные программы.
Раздел Значение
Домен com.microsoft.wdav
Ключ cloudBlockLevel
Тип данных String
Возможные значения обычный (по умолчанию)

Умеренной

Высокой

high_plus

zero_tolerance

Comments Доступно в Defender для конечной точки версии 101.56.62 или более поздней.

Включение и отключение автоматической отправки примеров

Определяет, отправляются ли в корпорацию Майкрософт подозрительные образцы (которые могут содержать угрозы). Существует три уровня управления отправкой примеров:

  • Нет: подозрительные примеры не отправляются в корпорацию Майкрософт.
  • Безопасно: автоматически отправляются только подозрительные примеры, не содержащие персональных данных. Это значение по умолчанию для этого параметра.
  • Все: все подозрительные примеры отправляются в корпорацию Майкрософт.
Описание Значение
Ключ automaticSampleSubmissionConsent
Тип данных String
Возможные значения none

safe (по умолчанию)

все

Включение и отключение автоматических обновлений аналитики безопасности

Определяет, устанавливаются ли обновления аналитики безопасности автоматически.

Раздел Значение
Ключ automaticDefinitionUpdateEnabled
Тип данных Логический
Возможные значения true (по умолчанию)

false

Параметры пользовательского интерфейса

Управление настройками пользовательского интерфейса Microsoft Defender для конечной точки в macOS.

Раздел Значение
Домен com.microsoft.wdav
Ключ userInterface
Тип данных Словарь (вложенный параметр)
Комментарии Описание содержимого словаря см. в следующих разделах.

Значок меню "Показать/ скрыть состояние"

Укажите, следует ли отображать или скрывать значок меню состояния в правом верхнем углу экрана.

Раздел Значение
Домен com.microsoft.wdav
Ключ hideStatusMenuIcon
Тип данных Логический
Возможные значения false (по умолчанию)

true

Параметр "Показать/ скрыть" для отправки отзывов

Укажите, могут ли пользователи отправлять отзывы в Корпорацию Майкрософт, перейдя по адресу Help>Send Feedback.

Раздел Значение
Домен com.microsoft.wdav
Ключ userInitiatedFeedback
Тип данных String
Возможные значения включено (по умолчанию)

отключено

Комментарии Доступно в Microsoft Defender для конечной точки версии 101.19.61 или более поздней.

Контроль входа в потребительскую версию Microsoft Defender

Укажите, могут ли пользователи входить в потребительскую версию Microsoft Defender.

Раздел Значение
Домен com.microsoft.wdav
Ключ consumerExperience
Тип данных String
Возможные значения включено (по умолчанию)

отключено

Комментарии Доступно в Microsoft Defender для конечной точки версии 101.60.18 или более поздней.

Параметры обнаружения конечных точек и ответа

Управление настройками компонента обнаружения и реагирования на конечные точки (EDR) Microsoft Defender для конечной точки в macOS.

Раздел Значение
Домен com.microsoft.wdav
Ключ Edr
Тип данных Словарь (вложенный параметр)
Comments Описание содержимого словаря см. в следующих разделах.

теги устройств;

Укажите имя тега и его значение.

  • Тег GROUP помечает устройство указанным значением. Тег отображается на портале на странице устройства и может использоваться для фильтрации и группировки устройств.
Раздел Значение
Домен com.microsoft.wdav
Ключ tags
Тип данных Словарь (вложенный параметр)
Comments Описание содержимого словаря см. в следующих разделах.
Тип тега

Указывает тип тега.

Раздел Значение
Домен com.microsoft.wdav
Ключ ключа
Тип данных String
Возможные значения GROUP
Значение тега

Задает значение тега.

Раздел Значение
Домен com.microsoft.wdav
Ключ значение
Тип данных String
Возможные значения любая строка

Важно!

  • Можно задать только одно значение для каждого типа тега.
  • Типы тегов уникальны и не должны повторяться в одном профиле конфигурации.

Идентификатор группы

Идентификаторы групп EDR

Раздел Значение
Домен com.microsoft.wdav
Ключ groupIds
Тип данных String
Комментарии Идентификатор группы

Защита от незаконного изменения

Управление настройками компонента Защиты от незаконного изменения Microsoft Defender для конечной точки в macOS.

Раздел Значение
Домен com.microsoft.wdav
Ключ tamperProtection
Тип данных Словарь (вложенный параметр)
Комментарии Описание содержимого словаря см. в следующих разделах.

Enforcement level (Уровень принудительного применения).

Если включена защита от незаконного изменения и если она находится в строгом режиме

Раздел Значение
Домен com.microsoft.wdav
Ключ enforcementLevel
Тип данных String
Комментарии Одно из значений "disabled", "audit" или "block"

Возможные значения:

  • отключено — защита от незаконного изменения отключена, предотвращение атак или предоставление отчетов в облако
  • audit — защита от незаконного изменения сообщает о попытках изменения только в облаке, но не блокирует их
  • block — защита от незаконного изменения блокирует и сообщает об атаках в облако

Исключения

Определяет процессы, которым разрешено изменять ресурс Microsoft Defender, не рассматривая возможность незаконного изменения. Необходимо указать либо путь, либо teamId, либо идентификатор подписи, либо их сочетание. Для более точного указания разрешенного процесса можно указать аргументы args.

Раздел Значение
Домен com.microsoft.wdav
Ключ Исключения
Тип данных Словарь (вложенный параметр)
Комментарии Описание содержимого словаря см. в следующих разделах.
Path

Точный путь к исполняемому файлу процесса.

Раздел Значение
Домен com.microsoft.wdav
Ключ path
Тип данных String
Комментарии В случае скрипта оболочки это будет точный путь к двоичному коду интерпретатора, например /bin/zsh. Подстановочные знаки не допускаются.
Идентификатор команды

Apple Team Id поставщика.

Раздел Значение
Домен com.microsoft.wdav
Ключ teamId
Тип данных String
Комментарии Например, UBF8T346G9 для Майкрософт
Идентификатор подписывания

Apple's Signing Id( Идентификатор подписи) пакета.

Раздел Значение
Домен com.microsoft.wdav
Ключ signingId
Тип данных String
Комментарии Например, com.apple.ruby для интерпретатора Ruby
Аргументы обработки

Используется в сочетании с другими параметрами для идентификации процесса.

Раздел Значение
Домен com.microsoft.wdav
Ключ signingId
Тип данных Массив строк
Комментарии Если этот аргумент задан, аргумент process должен точно соответствовать этим аргументам с учетом регистра.

Чтобы приступить к работе, мы рекомендуем использовать для вашего предприятия следующую конфигурацию, чтобы воспользоваться всеми функциями защиты, предоставляемыми Microsoft Defender для конечной точки.

Следующий профиль конфигурации (или, в случае JAMF, список свойств, который можно отправить в профиль конфигурации пользовательских параметров) будет:

  • Включение защиты в режиме реального времени (RTP)
  • Укажите способ обработки следующих типов угроз:
    • Потенциально нежелательные приложения блокируются
    • Архивные бомбы (файл с высокой скоростью сжатия) проверяются в журналах Microsoft Defender для конечной точки
  • Включение автоматических обновлений аналитики безопасности
  • Включение облачной защиты
  • Включение автоматической отправки образцов
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Пример полного профиля конфигурации

Следующие шаблоны содержат записи для всех параметров, описанных в этом документе, и могут использоваться для более сложных сценариев, в которых требуется больший контроль над Microsoft Defender для конечной точки в macOS.

Список свойств для полного профиля конфигурации JAMF

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>scanAfterDefinitionUpdate</key>
        <true/>
        <key>scanArchives</key>
        <true/>
        <key>maximumOnDemandScanThreads</key>
        <integer>2</integer>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/Users/*/git</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
        <key>cloudBlockLevel</key>
        <string>normal</string>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
        <key>exclusions</key>
        <array>
        <dict>
            <key>path</key>
            <string>/bin/zsh</string>
            <key>teamId</key>
            <string/>
            <key>signingId</key>
            <string>com.apple.zsh</string>
            <key>args</key>
            <array>
            <string>/usr/local/bin/test.sh</string>
            </array>
        </dict>
        <dict>
            <key>path</key>
            <string>/usr/local/jamf/bin/jamf</string>
            <key>teamId</key>
            <string>483DWKW443</string>
            <key>signingId</key>
            <string>com.jamfsoftware.jamf</string>
        </dict>
        </array>            
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
        <key>userInitiatedFeedback</key>
        <string>enabled</string>
    </dict>
</dict>
</plist>

Полный профиль Intune

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>scanAfterDefinitionUpdate</key>
                    <true/>
                    <key>scanArchives</key>
                    <true/>
                    <key>maximumOnDemandScanThreads</key>
                    <integer>1</integer>
                    <key>exclusions</key>
                    <array>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <false/>
                            <key>path</key>
                            <string>/var/log/system.log</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/home</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/Users/*/git</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileExtension</string>
                            <key>extension</key>
                            <string>pdf</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileName</string>
                            <key>name</key>
                            <string>cat</string>
                        </dict>
                    </array>
                    <key>exclusionsMergePolicy</key>
                    <string>merge</string>
                    <key>allowedThreats</key>
                    <array>
                        <string>EICAR-Test-File (not a virus)</string>
                    </array>
                    <key>disallowedThreatActions</key>
                    <array>
                        <string>allow</string>
                        <string>restore</string>
                    </array>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                    <key>threatTypeSettingsMergePolicy</key>
                    <string>merge</string>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>diagnosticLevel</key>
                    <string>optional</string>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                    <key>cloudBlockLevel</key>
                    <string>normal</string>
                </dict>
                <key>edr</key>
                <dict>
                    <key>tags</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>GROUP</string>
                            <key>value</key>
                            <string>ExampleTag</string>
                        </dict>
                    </array>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                    <key>exclusions</key>
                    <array>
                    <dict>
                        <key>path</key>
                        <string>/bin/zsh</string>
                        <key>teamId</key>
                        <string/>
                        <key>signingId</key>
                        <string>com.apple.zsh</string>
                        <key>args</key>
                        <array>
                        <string>/usr/local/bin/test.sh</string>
                        </array>
                    </dict>
                    <dict>
                        <key>path</key>
                        <string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
                        <key>teamId</key>
                        <string>UBF8T346G9</string>
                        <key>signingId</key>
                        <string>IntuneMdmDaemon</string>
                    </dict>
                    </array>            
                </dict>
                <key>userInterface</key>
                <dict>
                    <key>hideStatusMenuIcon</key>
                    <false/>
                    <key>userInitiatedFeedback</key>
                    <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Проверка списка свойств

Список свойств должен быть допустимым PLIST-файлом . Это можно проверить, выполнив:

plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK

Если файл имеет правильный формат, приведенная выше команда выводит OK и возвращает код выхода .0 В противном случае отображается ошибка, описывающая проблему, и команда возвращает код 1выхода .

Развертывание профиля конфигурации

После создания профиля конфигурации для предприятия его можно развернуть с помощью консоли управления, используемой предприятием. В следующих разделах содержатся инструкции по развертыванию этого профиля с помощью JAMF и Intune.

Развертывание JAMF

В консоли JAMF откройтеПрофили конфигурациикомпьютеров>, перейдите к профилю конфигурации, который вы хотите использовать, а затем выберите Настраиваемые параметры. Создайте запись с com.microsoft.wdav в качестве предпочтительного домена и отправьте созданный ранее PLIST-файл .

Предостережение

Необходимо ввести правильный домен предпочтения (com.microsoft.wdav); в противном случае параметры не будут распознаны Microsoft Defender для конечной точки.

Развертывание Intune

  1. Откройтепрофили конфигурацииустройств>. Нажмите Создать профиль.

  2. Выберите имя профиля. Измените Platform=macOS на Тип профиля=Шаблоны и выберите Настраиваемый в разделе имя шаблона. Нажмите Настроить.

  3. Сохраните созданный ранее PLIST как com.microsoft.wdav.xml.

  4. Введите com.microsoft.wdavв качестве имени пользовательского профиля конфигурации.

  5. Откройте профиль конфигурации и отправьте com.microsoft.wdav.xml файл. (Этот файл был создан на шаге 3.)

  6. Нажмите кнопку ОК.

  7. Выберите Управление>назначениями. На вкладке Включить выберите Назначить всем пользователям & все устройства.

Предостережение

Необходимо ввести правильное имя пользовательского профиля конфигурации; В противном случае эти параметры не будут распознаны Microsoft Defender для конечной точки.

Ресурсы

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.