阻止或允许用户在本地修改Microsoft Defender 防病毒策略设置
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 防病毒
平台
- Windows
默认情况下,Microsoft通过组策略对象部署到网络中终结点的 Defender 防病毒设置将阻止用户在本地更改设置。 在某些情况下,可以更改此配置。 例如,可能需要允许某些用户组(例如安全研究人员和威胁调查人员)进一步控制其使用的终结点上的单个设置。
为 Microsoft Defender 防病毒设置配置本地替代
这些本地替代策略的默认设置为 “禁用”。
如果策略设置为 “已启用”,则用户可以根据需要) 使用 Windows 安全 应用、本地组策略设置或 PowerShell cmdlet (更改其设备上的关联设置。
设置表部分列出了替代策略设置和配置说明。
配置这些设置:
在组策略管理计算机上,打开 组策略管理控制台,右键单击要配置的组策略对象,然后选择 “编辑”。
在 策略管理编辑器中,转到 计算机配置 并选择 管理模板。
将树展开到 Windows 组件>Microsoft Defender 防病毒,然后将本文 ( (设置表中指定的位置) 。
双击下表中指定的策略 “设置 ”,并将 选项设置为所需的配置。 选择“ 确定”,并针对任何其他设置重复。
照常部署组策略对象。
设置表
| 位置 | Setting | 文章 |
|---|---|---|
| 地图 | 配置本地设置替代,以便向 MAPS 报告Microsoft | 启用云保护 |
| Quarantine | 为从“隔离区”文件夹中删除项目配置本地设置替代 | 配置扫描修正 |
| 实时保护 | 配置本地设置替代以监视计算机上的文件和程序活动 | 启用和配置 Microsoft Defender 防病毒始终启用保护和监视 |
| 实时保护 | 配置本地设置替代以监视传入和传出文件活动 | 启用和配置 Microsoft Defender 防病毒始终启用保护和监视 |
| 实时保护 | 配置本地设置替代以扫描所有下载的文件和附件 | 启用和配置 Microsoft Defender 防病毒始终启用保护和监视 |
| 实时保护 | 为启用行为监视配置本地设置替代 | 启用和配置 Microsoft Defender 防病毒始终启用保护和监视 |
| 实时保护 | 配置本地设置替代以启用实时保护 | 启用和配置 Microsoft Defender 防病毒始终启用保护和监视 |
| 修复 | 配置一天中的时间的本地设置替代,以运行计划的完整扫描以完成修正 | 配置扫描修正 |
| 扫描 | 为最大 CPU 使用率百分比配置本地设置替代 | 配置和运行扫描 |
| 扫描 | 为计划扫描日配置本地设置替代 | 配置计划的扫描 |
| 扫描 | 为计划的快速扫描时间配置本地设置替代 | 配置计划的扫描 |
| 扫描 | 为计划的扫描时间配置本地设置替代 | 配置计划的扫描 |
| 扫描 | 配置要用于计划扫描的扫描类型的本地设置替代 | 配置计划的扫描 |
配置如何合并本地和全局定义的威胁修正和排除列表
还可以配置如何将本地定义的列表与全局定义的列表合并或合并。 此设置适用于 排除列表、 指定的修正列表和 攻击面减少。
默认情况下,已在本地组策略和 Windows 安全应用中配置的列表与你在网络上部署的相应组策略对象定义的列表合并。 如果存在冲突,则全局定义的列表优先。 可以禁用此设置,以确保仅使用全局定义的列表 (,例如来自任何已部署 GPO) 的列表。
使用组策略禁用本地列表合并
在组策略管理计算机上,打开 组策略管理控制台,右键单击要配置的组策略对象,然后单击“ 编辑”。
在 策略管理编辑器中,转到 计算机配置 并选择 管理模板。
将树展开到 Windows 组件>Microsoft Defender 防病毒。
双击“ 配置列表的本地管理员合并行为 ”,并将选项设置为 “禁用”。 然后,选择“确定”。
注意
对于“管理模板 (.admx) for Windows 11 2022 Update (22H2) ”和“管理模板 (.admx) for Windows 10 2021 年 11 月更新 (21H2) ”模板,请将 “配置列表的本地管理员合并行为 ”设置为 “启用” 以禁用本地管理员合并行为。
使用 Microsoft Intune 禁用本地列表合并
在 Intune 管理中心Microsoft,选择“ 终结点安全性>防病毒”。
选择 “创建策略”,或修改现有的 Microsoft Defender 防病毒策略。
在 “配置设置”下,选择 “禁用本地管理员合并 ”旁边的下拉列表,然后选择“ 禁用本地管理员合并”。
注意
如果禁用本地列表合并,它将覆盖受控的文件夹访问设置。 它还会覆盖本地管理员设置的任何受保护的文件夹或允许的应用。 有关受控文件夹访问设置的详细信息,请参阅 在 Windows 安全中心中允许阻止的应用。
提示
如果要查找其他平台的防病毒相关信息,请参阅:
- 设置 macOS 上 Microsoft Defender for Endpoint 的首选项
- Mac 上的 Microsoft Defender for Endpoint
- 适用于 Intune 的 Microsoft Defender 防病毒软件的 macOS 防病毒程序策略设置
- 设置 Linux 上 Microsoft Defender for Endpoint 的首选项
- Microsoft Defender for Endpoint on Linux
- 在 Android 功能上配置 Defender for Endpoint
- 在 iOS 功能上配置 Microsoft Defender for Endpoint
相关主题
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。