使用组策略设置配置和管理Microsoft Defender防病毒

适用于:

平台

  • Windows

建议使用 Microsoft Intune 来管理组织的Microsoft Defender防病毒设置。 但是,可以使用 组策略 配置和管理Microsoft Defender防病毒的某些设置。

重要

如果组织中启用了 篡改保护 ,则忽略对 防篡改设置 所做的任何更改。 此外,不能通过使用 组策略 关闭篡改保护。

如果必须对设备进行更改,并且篡改保护阻止了这些更改,我们建议使用 故障排除模式 在设备上暂时禁用篡改保护。 请注意,在故障排除模式结束后,对防篡改设置所做的任何更改都将还原到其配置状态。

使用 组策略 配置Microsoft Defender防病毒

通常,可以使用以下过程来配置或更改Microsoft Defender防病毒的某些设置。

  1. 在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象 (GPO) ,然后选择“编辑”。

  2. 使用组策略管理编辑器转到“计算机配置”。

  3. 选择“ 管理模板”。

  4. 将树展开到 Windows 组件>Microsoft Defender防病毒

  5. 展开本文 (表中称为 “位置” 的部分,) 包含要配置的设置,双击该设置将其打开,然后进行配置更改。

  6. 像平时一样部署更新的 GPO

组策略设置和资源

下表列出了 Windows 10 中常用的组策略设置。

提示

有关最新设置,请参阅获取中央存储中的最新 ADMX 文件以访问正确的策略选项。 请参阅如何在 Windows 中创建和管理 组策略 管理模板的中央存储并下载最新文件。

位置 Setting 文章
客户端接口 启用无外设 UI 模式 阻止用户查看Microsoft Defender防病毒用户界面或与之交互
客户端接口 在客户端需要执行操作时向客户端显示更多文本 配置终结点上显示的通知
客户端接口 禁止显示所有通知 配置终结点上显示的通知
客户端接口 禁止重新启动通知 配置终结点上显示的通知
排除项 扩展排除项 在防病毒扫描中配置和验证Microsoft Defender排除项
排除项 路径排除项 在防病毒扫描中配置和验证Microsoft Defender排除项
排除项 进程排除 在防病毒扫描中配置和验证Microsoft Defender排除项
排除项 关闭自动排除项 在防病毒扫描中配置和验证Microsoft Defender排除项
地图 配置“首次看到时阻止”功能 首次看到时启用块
地图 加入Microsoft MAPS 启用云保护
地图 需要进一步分析时发送文件样本 启用云保护
地图 配置本地设置替代,以便向 MAPS 报告Microsoft 阻止或允许用户在本地修改策略设置
MpEngine 配置扩展云检查 配置云块超时时间段
MpEngine 选择云保护级别 指定云传递的保护级别
网络检查系统 为网络流量检查指定更多定义集 未使用 (已弃用)
网络检查系统 启用定义停用 未使用 (已弃用)
网络检查系统 启用协议识别 未使用 (已弃用)
Quarantine 为从“隔离区”文件夹中删除项目配置本地设置替代 阻止或允许用户在本地修改策略设置
Quarantine 配置从“隔离”文件夹中删除项目 配置Microsoft Defender防病毒扫描的修正
实时保护 配置本地设置替代以监视计算机上的文件和程序活动 阻止或允许用户在本地修改策略设置
实时保护 配置本地设置替代以监视传入和传出文件活动 阻止或允许用户在本地修改策略设置
实时保护 配置本地设置替代以扫描所有下载的文件和附件 阻止或允许用户在本地修改策略设置
实时保护 配置本地设置替代以启用行为监视 阻止或允许用户在本地修改策略设置
实时保护 配置本地设置替代以启用实时保护 阻止或允许用户在本地修改策略设置
实时保护 定义要扫描的已下载文件和附件的最大大小 启用和配置Microsoft Defender防病毒始终启用保护和监视
实时保护 监视计算机上的文件和程序活动 启用和配置Microsoft Defender防病毒始终启用保护和监视
实时保护 扫描所有下载的文件和附件 启用和配置Microsoft Defender防病毒始终启用保护和监视
实时保护 关闭实时保护 启用和配置Microsoft Defender防病毒始终启用保护和监视
实时保护 启用行为监视 启用和配置Microsoft Defender防病毒始终启用保护和监视
实时保护 启用实时保护时启用进程扫描 启用和配置Microsoft Defender防病毒始终启用保护和监视
实时保护 启用原始卷写入通知 启用和配置Microsoft Defender防病毒始终启用保护和监视
实时保护 配置对传入和传出文件和程序活动的监视 启用和配置Microsoft Defender防病毒始终启用保护和监视
修复 配置一天中的时间的本地设置替代,以运行计划的完整扫描以完成修正 阻止或允许用户在本地修改策略设置
修复 指定要运行计划的完整扫描以完成修正的星期几 配置计划的Microsoft Defender防病毒扫描
修复 指定运行计划的完整扫描以完成修正的一天中的时间 配置计划的Microsoft Defender防病毒扫描
Reporting 关闭增强通知 配置终结点上显示的通知
关闭Microsoft Defender防病毒 未使用。 如果你正在使用或计划使用非Microsoft防病毒产品,请参阅Microsoft Defender防病毒与其他安全产品的兼容性
定义要绕过代理服务器的地址 配置设备代理和 Internet 连接设置
定义用于连接到网络的代理自动配置 (.pac) 配置设备代理和 Internet 连接设置
定义用于连接到网络的代理服务器 配置设备代理和 Internet 连接设置
为列表配置本地管理员合并行为 阻止或允许用户在本地修改策略设置
允许反恶意软件服务以正常优先级启动 配置Microsoft Defender防病毒扫描的修正
允许反恶意软件服务始终保持运行 配置Microsoft Defender防病毒扫描的修正
关闭例行修正 配置Microsoft Defender防病毒扫描的修正
随机化计划任务时间 为Microsoft Defender防病毒配置计划扫描
扫描 允许用户暂停扫描 阻止用户查看Microsoft Defender防病毒用户界面或与之交互 (不支持Windows 10)
扫描 运行计划扫描之前,请检查最新的病毒和间谍软件定义 管理基于事件的强制更新
扫描 定义强制执行赶超扫描的天数 管理过期终结点的更新
扫描 启用完全扫描 管理过期终结点的更新
扫描 启用赶上快速扫描 管理过期终结点的更新
扫描 为最大 CPU 使用率百分比配置本地设置替代 阻止或允许用户在本地修改策略设置
扫描 为计划扫描日配置本地设置替代 阻止或允许用户在本地修改策略设置
扫描 为计划的快速扫描时间配置本地设置替代 阻止或允许用户在本地修改策略设置
扫描 为计划的扫描时间配置本地设置替代 阻止或允许用户在本地修改策略设置
扫描 配置要用于计划扫描的扫描类型的本地设置替代 阻止或允许用户在本地修改策略设置
扫描 创建系统还原点 配置Microsoft Defender防病毒扫描的修正
扫描 启用从扫描历史记录文件夹中删除项目 配置Microsoft Defender防病毒扫描的修正
扫描 启用启发式 启用和配置Microsoft Defender防病毒始终启用保护和监视
扫描 启用电子邮件扫描 在 Microsoft Defender 防病毒中配置扫描选项
扫描 启用重新分析点扫描 在 Microsoft Defender 防病毒中配置扫描选项
扫描 在映射的网络驱动器上运行完全扫描 在 Microsoft Defender 防病毒中配置扫描选项
扫描 扫描存档文件 在 Microsoft Defender 防病毒中配置扫描选项
扫描 扫描网络文件 在 Microsoft Defender 防病毒中配置扫描选项
扫描 扫描打包的可执行文件 在 Microsoft Defender 防病毒中配置扫描选项
扫描 扫描脚本 在 Microsoft Defender 防病毒中配置扫描选项

另请参阅 Defender/AllowScriptScanning

扫描 扫描可移动驱动器 在 Microsoft Defender 防病毒中配置扫描选项
扫描 指定扫描存档文件的最大深度 在 Microsoft Defender 防病毒中配置扫描选项
扫描 指定扫描期间 CPU 使用率的最大百分比 在 Microsoft Defender 防病毒中配置扫描选项
扫描 指定要扫描的存档文件的最大大小 在 Microsoft Defender 防病毒中配置扫描选项
扫描 指定运行计划扫描的星期几 为Microsoft Defender防病毒配置计划扫描
扫描 指定每天运行快速扫描的间隔 为Microsoft Defender防病毒配置计划扫描
扫描 指定用于计划扫描的扫描类型 为Microsoft Defender防病毒配置计划扫描
扫描 指定每日快速扫描的时间 为Microsoft Defender防病毒配置计划扫描
扫描 指定一天中运行计划扫描的时间 为Microsoft Defender防病毒配置计划扫描
扫描 仅在计算机处于打开但未使用状态时才启动计划扫描 为Microsoft Defender防病毒配置计划扫描
安全智能更新 允许从 Microsoft 更新进行安全智能更新 管理移动设备和虚拟机 (VM) 的更新
安全智能更新 使用电池电源运行时允许安全智能更新 管理移动设备和虚拟机 (VM) 的更新
安全智能更新 允许通知禁用基于定义的报表以Microsoft MAPS 管理基于事件的强制更新
安全智能更新 允许基于报表的实时安全智能更新,以Microsoft MAPS 管理基于事件的强制更新
安全智能更新 在启动时检查最新的病毒和间谍软件定义 管理基于事件的强制更新
安全智能更新 定义用于下载安全智能更新的文件共享 管理Microsoft Defender防病毒防护和安全智能更新
安全智能更新 定义需要及时更新安全智能更新的天数 管理过期终结点的更新
安全智能更新 定义间谍软件定义被视为过期之前的天数 管理过期终结点的更新
安全智能更新 定义病毒定义被视为过期之前的天数 管理过期终结点的更新
安全智能更新 定义下载安全智能更新的源顺序 管理Microsoft Defender防病毒防护和安全智能更新
安全智能更新 启动时启动安全智能更新 管理基于事件的强制更新
安全智能更新 指定要为安全智能更新检查的星期几 管理何时应下载和应用保护更新
安全智能更新 指定要为安全智能更新检查的间隔 管理何时应下载和应用保护更新
安全智能更新 指定安全智能更新检查时间 管理何时应下载和应用保护更新
安全智能更新 安全智能更新后启用扫描 为Microsoft Defender防病毒配置计划扫描
威胁 指定检测到时不应采取默认操作的威胁警报级别 配置Microsoft Defender防病毒扫描的修正
威胁 指定检测到时不应对其执行默认操作的威胁 配置Microsoft Defender防病毒扫描的修正

提示

如果你有 Network-Attached 存储 (NAS) 或存储区域网络 (SAN) ,则可以使用 Internet 内容适应协议 (ICAP) 扫描Microsoft Defender防病毒引擎,而不是使用“在映射的网络驱动器上运行完全扫描”。 有关详细信息,请参阅技术社区博客:使用 Windows Defender 防病毒的 MetaDefender ICAP:混合环境的世界级安全性

提示

性能提示由于多种因素 (下面列出的示例) Microsoft Defender 防病毒和其他防病毒软件一样,可能会导致终结点设备上的性能问题。 在某些情况下,可能需要优化Microsoft Defender防病毒的性能,以缓解这些性能问题。 Microsoft 的性能分析器 是一种 PowerShell 命令行工具,可帮助确定哪些文件、文件路径、进程和文件扩展名可能导致性能问题;一些示例包括:

  • 影响扫描时间的首要路径
  • 影响扫描时间的热门文件
  • 影响扫描时间的顶级进程
  • 影响扫描时间的热门文件扩展名
  • 组合 - 例如:
    • 每个扩展名的排名靠前的文件数
    • 每个扩展的顶部路径
    • 每个路径的顶级进程数
    • 每个文件的顶级扫描数
    • 每个进程的每个文件扫描数

可以使用性能分析器收集的信息来更好地评估性能问题并应用修正操作。 请参阅:Microsoft Defender防病毒的性能分析器

另请参阅

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区