通过

Microsoft Intune中租户附加设备的Microsoft Defender防病毒策略设置

  • 项目

从Intune查看可以使用Microsoft Defender防病毒策略 (ConfigMgr) 配置文件管理的Microsoft Defender防病毒设置。 配置 Intune Endpoint security 防病毒策略时,配置文件可用,并且该策略部署到配置租户附加方案时使用 Configuration Manager 管理的设备。 Microsoft Intune管理中心中的 (路径:Endpoint security>防病毒>+ 创建策略>平台 = Windows (ConfigMgr) > 配置文件 = Microsoft Defender 防病毒.)

云保护

  • 打开云传递保护
    CSP: AllowCloudProtection

    默认情况下,Windows 10/11 桌面设备上的 Defender 会向Microsoft发送有关它发现的任何问题的信息。 Microsoft分析该信息,以了解有关影响你和其他客户的问题的详细信息,以提供改进的解决方案。

    • 未配置 (默认) - 设置将还原为系统默认值。
    • 关闭Microsoft Active Protection 服务。
    • 是的 打开Microsoft Active Protection 服务。

  • 云提供的保护级别
    CSP: CloudBlockLevel

    配置Defender 防病毒在阻止和扫描可疑文件时的积极程度。

    • 未配置 (默认) - 默认 Defender 阻止级别。
    • - 在优化客户端性能时主动阻止未知项,包括误报的可能性更大。
    • 高加号 - 主动阻止未知项并应用可能影响客户端性能的额外保护措施。
    • 零容忍 - 阻止所有未知的可执行文件。

  • Defender Cloud 延期超时(秒)
    CSP: CloudExtendedTimeout

    Defender 防病毒自动阻止可疑文件 10 秒钟,以便扫描云中的文件,确保它们安全。 使用此设置,最多可以为此超时再加 50 秒。

Microsoft Defender防病毒排除项

警告

定义排除项会降低Microsoft Defender防病毒提供的保护。 始终评估与实现排除项相关的风险。 仅排除已知不是恶意的文件。

有关详细信息,请参阅Microsoft Defender文档中的排除项概述

对于此组中的每个设置,可以展开设置,选择“ 添加”,然后指定排除项的值。

  • 要排除的 Defender 进程
    CSP: ExcludedProcesses

    指定进程在扫描期间要忽略的文件列表。 进程本身不会从扫描中排除。

  • 要从扫描和实时保护中排除的文件扩展名
    CSP: ExcludedExtensions

    指定要在扫描期间忽略的文件类型扩展的列表。

  • 要排除的 Defender 文件和文件夹
    CSP: ExcludedPaths

    指定要在扫描期间忽略的文件和目录路径的列表。

实时保护

  • 启用实时保护
    CSP: AllowRealtimeMonitoring

    要求 Windows 10/11 桌面设备上的 Defender 使用实时监视功能。

    • 未配置 (默认) - 设置还原为系统默认值
    • 关闭实时监视服务。
    • 是的 打开并运行实时监视服务。

  • 启用访问保护
    CSP: AllowOnAccessProtection

    配置持续处于活动状态(而不是按需)的病毒防护。

    • 未配置 (默认) - 此策略不会更改设备上此设置的状态。 设备上的现有状态保持不变。
    • 关闭实时监视服务。

  • 监视传入和传出文件
    CSP: Defender/RealTimeScanDirection

    配置此设置以确定要监视的 NTFS 文件和程序活动。

    • (默认) (双向) 监视所有文件
    • 监视传入文件
    • 监视传出文件

  • 启用行为监视
    CSP: AllowBehaviorMonitoring

    默认情况下,Windows 10/11 桌面设备上的 Defender 使用行为监视功能。

    • 未配置 (默认) - 设置将还原为系统默认值。
    • 关闭行为监视。
    • 是的 启用实时行为监视。

  • 允许入侵防护系统

    配置 Defender 以允许或禁止入侵防护功能。

    • 未配置 (默认) - 设置将还原为系统默认值。
    • - 不允许入侵防护系统。
    • - 允许入侵防护系统。

  • 扫描所有下载的文件和附件
    CSP: EnableNetworkProtection

    配置 Defender 以扫描所有下载的文件和附件。

    • 未配置 (默认) - 设置将还原为系统默认值。

  • 扫描Microsoft浏览器中使用的脚本
    CSP: AllowScriptScanning

    将 Defender 配置为扫描脚本。

    • 未配置 (默认) - 设置将还原为系统默认值。

  • 扫描网络文件
    CSP: AllowScanningNetworkFiles

    配置 Defender 以扫描网络文件。

    • 未配置 (默认) - 设置将还原为系统默认值。
    • 关闭网络文件的扫描。
    • 是的 扫描网络文件。

  • 扫描电子邮件
    CSP: AllowEmailScanning

    将 Defender 配置为扫描传入电子邮件。

    • 未配置 (默认) - 设置将还原为系统默认值。
    • 关闭电子邮件扫描。
    • 是的 启用电子邮件扫描。

修复

  • 保留隔离恶意软件的天数 (0-90)
    CSP: DaysToRetainCleanedMalware

    指定系统在自动删除隔离项之前存储隔离项的天数(从零到 90)。 如果值为零,则会将项目保留在隔离区中,并且不会自动删除它们。

  • 提交示例同意

    • 未配置 (默认)
    • 始终提示
    • 自动发送安全示例
    • 从不发送
    • 自动发送所有示例

  • 对可能不需要的应用执行的操作
    CSP: PUAProtection

    指定可能不需要的应用程序的检测级别, (PUA) 。 当下载可能不需要的软件或尝试在设备上安装时,Defender 会向用户发出警报。

    • 未配置 (默认) - 设置将还原到系统默认值,即 PUA 保护关闭。
    • 已禁用 - Windows Defender 不会防范可能不需要的应用程序。
    • 已启用 - 检测到的项目被阻止。 它们将与其他威胁一起出现在历史记录中。
    • 审核模式 - Defender 检测可能不需要的应用程序,但不执行任何操作。 可以通过在事件查看器中搜索 Defender 创建的事件来查看 Defender 将对其执行操作的应用程序的相关信息。

  • 在清理计算机之前创建系统还原点

    • 未配置 (默认)

  • 针对检测到的威胁的操作
    CSP: ThreatSeverityDefaultAction

    根据恶意软件的威胁级别指定 Defender 针对检测到的恶意软件执行的操作。

    Defender 将检测到的恶意软件分类为以下严重级别之一:

    • 低威胁
    • 中等威胁
    • 高威胁
    • 严重威胁

    对于每个级别,指定要执行的操作。 每个严重性级别的默认值为 “未配置”。

    • 未配置 (默认)
    • 清理 - 服务尝试恢复文件并尝试消毒。
    • 隔离 - 将文件移动到隔离区。
    • 删除 - 从设备中删除文件。
    • 允许 - 允许文件且不执行其他操作。
    • 用户定义 - 设备用户决定要执行的操作。
    • 阻止 - 阻止文件执行。

扫描

  • 扫描存档文件
    CSP: AllowArchiveScanning

    将 Defender 配置为扫描存档文件,例如 ZIP 或 CAB 文件。

    • 未配置 (默认) - 设置将返回到客户端默认值,即扫描存档的文件,但用户可以禁用扫描。 了解详细信息
    • 关闭对存档文件的扫描。
    • 是的 扫描存档文件。

  • 为计划扫描启用低 CPU 优先级
    CSP: EnableLowCPUPriority

    为计划扫描配置 CPU 优先级。

    • 未配置 (默认) - 设置将返回到系统默认值,其中不会更改 CPU 优先级。

  • 禁用追赶完全扫描
    CSP: DisableCatchupFullScan

    为计划的完整扫描配置追赶扫描。 跟进扫描是由于错过了定期计划的扫描而开始的扫描。 通常,由于计算机在计划时间关闭,因此会错过这些计划的扫描。

    • 未配置 (默认) - 设置将返回到客户端默认值,即启用完全扫描的追赶扫描,但用户可以将其关闭。

  • 禁用 Catchup 快速扫描
    CSP: DisableCatchupQuickScan

    为计划的快速扫描配置赶上扫描。 跟进扫描是由于错过了定期计划的扫描而开始的扫描。 通常,由于计算机在计划时间关闭,因此会错过这些计划的扫描。

    • 未配置 (默认) - 设置将返回到客户端默认值,即启用赶上快速扫描,但用户可以将其关闭。

  • 每次扫描的 CPU 使用率限制 (0-100%)
    CSP: AvgCPULoadFactor

    将 Defender 扫描的平均 CPU 负载系数指定为从 0 到 100 的百分比。

  • 启用在完全扫描期间扫描映射的网络驱动器
    CSP: AllowFullScanOnMappedNetworkDrives

    配置 Defender 以扫描映射的网络驱动器。

    • 未配置 (默认) - 设置将还原到系统默认值,这会禁用映射网络驱动器上的扫描。
    • 不允许 在映射的网络驱动器上禁用扫描。
    • 允许 扫描映射的网络驱动器。

  • 运行每日快速扫描
    CSP: ScheduleQuickScanTime

    选择 Defender 快速扫描运行的时间。 默认情况下,此选项为 “未配置”

  • 扫描类型
    CSP: ScanParameter

    选择 Defender 运行的扫描类型。

    • 未配置 (默认)
    • 快速扫描
    • 完全扫描

  • 运行计划扫描的星期几

    • 未配置 (默认)

  • 运行计划扫描的时间

    • 未配置 (默认)

  • 在运行扫描 (设备) 之前检查签名汇报

    • 未配置 (默认)

  • 随机化计划的扫描和安全智能更新开始时间
    - 未配置 (默认) - -

  • 在完全扫描期间扫描可移动驱动器

    • 未配置 (默认)
    • 关闭可移动驱动器上的扫描。
    • 是的 扫描可移动驱动器。

更新

  • 输入) 0-24 小时 (检查安全智能更新的频率
    CSP: SignatureUpdateInterval

    指定用于检查签名) 从零到 24 (的间隔(以小时为单位)。 如果值为零,则不会为新签名检查。 值 2 将每隔两小时检查,依此而过。

    • 设备) (签名更新回退顺序

    • 签名更新文件共享源 (设备)

  • 安全智能位置 (设备)

用户体验

  • 阻止用户访问Microsoft Defender应用

    • 未配置 (默认)
    • 不允许 阻止用户访问 UI。
    • 允许 允许用户访问 UI。

  • 允许用户查看完整的历史记录结果

    • 未配置 (默认)