在 Microsoft Defender 商业版 中查看或编辑策略
在 Defender 商业版中,安全设置是通过应用于设备的策略配置的。 为了帮助简化安装和配置体验,Defender for Business 包括多个预配置策略,以帮助在公司设备载入后立即保护设备。 还可以创建其他类型的策略, (请参阅在Microsoft Defender 商业版) 中设置、查看和编辑安全策略和设置。
本文介绍如何在 Defender for Business 中查看、编辑和创建安全策略。
本文包括:
- Defender for Business (下一代保护和防火墙) 中包含的默认策略列表
- 可在 Defender for Business 中设置的其他策略 (Web 内容筛选、受控文件夹访问和攻击面减少规则)
- 如何查看现有策略
- 如何编辑现有策略
- 如何创建新策略
Defender for Business 中的默认策略
在 Defender for Business 中,有两种main类型的默认策略,这些策略旨在保护公司设备在载入后立即保护它们:
- 下一代保护策略,确定如何配置Microsoft Defender防病毒和其他威胁防护功能;以及
- 防火墙策略,确定允许哪些网络流量流入和流出公司设备。
下一代保护 包括针对计算机和移动设备的强大防病毒和反恶意软件保护。 默认策略旨在在不妨碍工作效率的情况下保护设备和用户。 但是,可以自定义策略以满足业务需求。 有关详细信息,请参阅 查看或编辑下一代保护策略。
防火墙策略 通过建立规则来帮助保护设备,这些规则确定允许哪些网络流量流入和流出设备。 可以使用防火墙保护来指定是允许还是阻止不同位置的设备上的连接。 例如,防火墙设置可以允许连接到公司内部网络的设备上的入站连接,但当设备位于具有不受信任的设备的网络上时,会阻止连接。 有关详细信息,请参阅 防火墙。
在 Defender for Business 中设置的策略
除了下一代保护和防火墙策略外,还有三种类型的策略需要配置,以便使用 Defender for Business 实现最佳保护:
- Web 内容筛选,这会为组织启用 Web 保护。
- 受控文件夹访问是勒索软件防护的重要组成部分, (Intune 需要设置和管理)
- 攻击面减少规则,帮助减少设备漏洞 (Intune 设置和管理)
Web 内容筛选,使安全团队能够根据内容类别跟踪和规范对网站的访问。 类别示例包括成人内容、高带宽内容和法律责任内容。 设置 Web 内容筛选策略时,会为组织启用 Web 保护。 有关详细信息,请参阅 Web 内容筛选。
受控文件夹访问权限 仅允许受信任的应用访问 Windows 设备上的受保护文件夹。 可将此功能视为勒索软件缓解。 可以在 Microsoft Intune 中设置或编辑受控文件夹访问策略。 有关详细信息,请参阅 设置或编辑受控文件夹访问策略。
攻击面减少规则 针对某些软件行为,这些行为通常被视为有风险,因为它们通常被攻击者通过恶意软件滥用。 此类行为的示例包括启动可执行文件和尝试下载或运行文件的脚本。 攻击面减少规则可以限制基于软件的风险行为,并帮助保护组织的安全。 建议至少配置标准保护规则,以帮助保护网络,而不会对用户造成干扰。 有关详细信息,请参阅在 Microsoft Defender 商业版 中启用攻击面减少规则。
查看现有策略
如果使用Intune) ,可以在Microsoft Defender门户 (https://security.microsoft.com) 或Intune管理中心 (https://intune.microsoft.com) (查看现有策略。
转到Microsoft Defender门户 (https://security.microsoft.com) ,然后登录。
在导航窗格中,选择 “配置管理>设备配置”。 策略按操作系统(如“Windows 客户端”)和策略类型(例如“下一代保护”和“防火墙”)进行组织。
选择操作系统选项卡 (例如 Windows 客户端) ,然后查看每个类别 (下的策略列表,例如下一代保护和防火墙) 。
若要查看有关策略的更多详细信息,请选择其名称。 将打开一个侧窗格,该窗格提供有关该策略的详细信息,例如哪些设备受该策略保护。
编辑现有策略
如果使用Intune) ,可以在Microsoft Defender门户 (https://security.microsoft.com) 或Intune管理中心 (https://intune.microsoft.com) (查看现有策略。
转到Microsoft Defender门户 (https://security.microsoft.com) ,然后登录。
在导航窗格中,选择“设备配置”。 策略按操作系统(如“Windows 客户端”)和策略类型(例如“下一代保护”和“防火墙”)进行组织。
选择一个操作系统选项卡(例如,“Windows 客户端”),然后查看“下一代保护”和“防火墙”类别下的策略列表。
若要编辑策略,请选择其名称,然后选择“编辑”。
在“常规信息”选项卡上,查看信息。 如有必要,可以编辑说明。 然后选择“下一步”。
在“设备组”选项卡上,确定应接收此策略的设备组。
- 若要保持所选设备组不变,请选择“下一步”。
- 若要从策略中删除设备组,请选择“删除”。
- 若要设置新的设备组,请选择“新建组”,然后设置设备组。 (若要获取有关此任务的帮助,请参阅 设备组。)
- 若要将策略应用到另一个设备组,请选择“使用现有组”。
指定哪些设备组应接收策略后,请选择“下一步”。
在“配置设置”选项卡上,查看设置。 如有必要,可以编辑策略的设置。 若要获取有关此任务的帮助,请参阅以下文章:
指定下一代保护设置后,请选择“下一步”。
在“查看策略”选项卡上,查看常规信息、目标设备和配置设置。
- 选择“编辑”进行任何所需的更改。
- 准备好继续时,请选择“ 更新策略”。
创建新策略
转到Microsoft Defender门户 (https://security.microsoft.com) ,然后登录。
在导航窗格中,选择“设备配置”。 策略按操作系统(如“Windows 客户端”)和策略类型(例如“下一代保护”和“防火墙”)进行组织。
选择一个操作系统选项卡(例如,“Windows 客户端”),然后查看“下一代保护”策略的列表。
在“下一代保护”或“防火墙”下,选择“+ 添加”。
在“常规信息”选项卡上,执行以下步骤:
- 指定名称和说明。 此信息将帮助你和你的团队稍后确定策略。
- 查看策略顺序,并在必要时对其进行编辑。 (有关详细信息,请参阅策略顺序。)
- 选择 下一步。
在“设备组”选项卡上,创建新的设备组,或使用现有组。 策略通过设备组分配给设备。 下面是需要记住的一些事项:
- 最初,你可能只有默认设备组,其中包括公司人员用于访问公司数据和电子邮件的设备。 可以保留和使用默认设备组。
- 创建新的设备组,以应用具有与默认策略不同的特定设置的策略。
- 设置设备组时,请指定某些条件,例如操作系统版本。 符合条件的设备包括在该设备组中,除非排除它们。
- 所有设备组(包括你定义的默认和自定义设备组)都存储在 Microsoft Entra ID 中。
若要了解有关设备组的详细信息,请参阅 设备组。
在“配置设置”选项卡上,指定策略的设置,然后选择“下一步”。 有关各个设置的详细信息,请参阅 Defender for Business 的配置设置。
在“查看策略”选项卡上,查看常规信息、目标设备和配置设置。
- 选择“编辑”进行任何所需的更改。
- 准备好继续操作时,请选择“Create策略”。