使用 適用於端點的 Microsoft Defender 安全性設定管理來管理 Microsoft Defender 防病毒軟體
適用於:
平台
- Windows
- Windows Server
- macOS
- Linux
使用 適用於端點的 Microsoft Defender 安全性設定管理來管理裝置上的 Microsoft Defender 防病毒軟體安全策略。
必要條件:
請 檢閱這裡的必要條件。
注意事項
Microsoft Defender 入口網站中的 [端點安全策略] 頁面僅適用於已指派安全性系統管理員角色的使用者。 任何其他使用者角色,例如安全性讀取者,都無法存取入口網站。 當使用者具有在 Microsoft Defender 入口網站中檢視原則的必要許可權時,數據會根據 Intune 許可權來呈現。 如果使用者在 Intune 角色型訪問控制的範圍內,則會套用至 Microsoft Defender 入口網站中顯示的原則清單。 建議您授與 Intune 內建角色「端點安全性管理員」的安全性系統管理員,以有效調整 Intune 與 Microsoft Defender 入口網站之間的許可權層級。
身為安全性系統管理員,您可以在 Microsoft Defender 入口網站中設定不同的 Microsoft Defender 防病毒軟體安全策略設定。
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
您會在 [端點設定管理>端點>安全策略] 下找到端點安全策略。
下列清單提供每個端點安全策略類型的簡短描述:
防病毒軟體 - 防病毒軟體原則可協助安全性系統管理員專注於管理受管理裝置的個別防病毒軟體設定群組。
磁碟加密 - 端點安全性磁碟加密配置檔只著重於與裝置內建加密方法相關的設定,例如 FileVault 或 BitLocker。 此焦點可讓安全性系統管理員輕鬆管理磁碟加密設定,而不需要流覽主機的不相關設定。
防火牆 - 使用 Intune 中的端點安全性防火牆原則,為執行 macOS 和 Windows 10/11 的裝置設定內建防火牆。
端點偵測和回應 - 當您將 適用於端點的 Microsoft Defender 與 Intune 整合時,請使用端點偵測和回應 (EDR) 端點安全策略來管理 EDR 設定,並將裝置上線以 適用於端點的 Microsoft Defender。
受攻擊面縮小 - 當 Microsoft Defender Windows 10/11 裝置上使用防病毒軟體時,請使用受攻擊面縮小的 Intune 端點安全策略來管理裝置的這些設定。
建立端點安全策略
至少使用安全性系統管理員角色登入 Microsoft Defender 入口網站。
選 取 [端點設定>管理>端點安全策略] ,然後選取 [建立新原則]。
從下拉式清單中選取平臺。
選取範本,然後選取 [ 建立原則]。
在 [基本] 頁面上,輸入新設定檔的名稱與描述,然後選擇 [下一步]。
在 [ 設定] 頁面上,展開每個設定群組,並使用此配置檔設定您要管理的設定。
完成設定後,請選取 [下一步]。
在 [ 指派] 頁面上,選取接收此配置檔的群組。
選取 [下一步]。
在 [ 檢閱 + 建立] 頁面上,當您完成時,選取 [ 儲存]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。
注意事項
若要編輯範圍標籤,您必須移至 Microsoft Intune 系統管理中心。
編輯端點安全策略
選取新的原則,然後選取 [ 編輯]。
選取 [設定],以展開原則中的組態設定清單。 您無法修改此檢視中的設定,但可以檢閱其設定方式。
若要修改原則,請針對您要變更的每個類別選取 [編輯]:
- 基本功能
- 設定
- 作業
進行變更之後,請選取 [ 儲存 ] 以儲存您的編輯。 您必須先儲存一個類別的編輯,才能導入更多類別的編輯。
驗證端點安全策略
若要確認您已成功建立原則,請從端點安全策略清單中選取原則名稱。
注意事項
原則最多可能需要 90 分鐘的時間才能觸達裝置。 若要加速此程式,針對適用於端點的 Defender 所管理的裝置,您可以從 [動作] 選單中選取 [原則 同步 處理],使其在大約 10 分鐘內套用。
原則頁面會顯示摘要說明原則狀態的詳細數據。 您可以檢視原則的狀態、套用原則的裝置,以及指派的群組。
在調查期間,您也可以檢視裝置頁面中的 [ 安全 策略] 索引標籤,以檢視套用至特定裝置的原則清單。 如需詳細資訊,請 參閱調查裝置。
適用於 Windows 和 Windows Server 的防病毒軟體原則
即時保護 (Always-on 保護、實時掃描) :
| 描述 | 設定 |
|---|---|
| 允許即時監視 | 允許 |
| 實時掃描方向 | (雙向) 監視所有檔案 |
| 允許行為監視 | 允許 |
| 允許存取保護 | 允許 |
| PUA 保護 | PUA 保護開啟 |
如需詳細資訊,請參閱:
- Microsoft Defender 防病毒軟體核心的進階技術
- 啟用和設定 Microsoft Defender 防病毒軟體永遠開啟保護
- Microsoft Defender 防病毒軟體中的行為監視
- 偵測並封鎖潛在的垃圾應用程式
- 雲端保護功能:
| 描述 | 設定 |
|---|---|
| 允許雲端保護 | 允許 |
| 雲端封鎖層級 | 高 |
| 雲端擴充逾時 | 已設定,50 |
| 提交範例同意 | 自動傳送所有範例 |
Standard 安全性情報更新可能需要數小時的時間來準備和傳遞;我們的雲端式保護服務會在數秒內提供這項保護。 如需詳細資訊,請參閱在透過雲端提供的保護 Microsoft Defender 防病毒軟體中使用新一代技術。
掃描:
| 描述 | 設定 |
|---|---|
| 允許 Email 掃描 | 允許 |
| 允許掃描所有下載的檔案和附件 | 允許 |
| 允許文稿掃描 | 允許 |
| 允許 封存 掃描 | 允許 |
| 允許掃描網路檔案 | 允許 |
| 允許完整掃描卸載式磁碟驅動器掃描 | 允許 |
| 允許對應的網路驅動器機進行完整掃描 | 不允許 |
| 封存 最大深度 | 尚未設定 |
| 封存 大小上限 | 尚未設定 |
如需詳細資訊,請參閱設定 Microsoft Defender 防病毒軟體掃描選項。
安全性情報更新:
| 描述 | 設定 |
|---|---|
| 簽章更新間隔 | 已設定,4 |
| 簽章更新後援順序 | InternalDefinitionUpdateServer |
| MicrosoftUpdateServer | MMPC |
| 簽章更新檔案共享來源 | 尚未設定 |
| 計量付費連線 匯報 | 不允許 (預設) |
| 安全性情報 匯報 通道 | 尚未設定 |
注意事項
其中:'InternalDefinitionUpdateServer' 是允許 Microsoft Defender 防病毒軟體更新的 WSUS。 'MicrosoftUpdateServer' Microsoft Update (先前 Windows Update) 。 'MMPC' 是 Microsoft Defender 資訊安全情報中心, (WDSI 先前 Microsoft 惡意程式碼防護中心) https://www.microsoft.com/en-us/wdsi/definitions。
如需詳細資訊,請參閱:
引擎更新:
| 描述 | 設定 |
|---|---|
| 引擎 匯報 通道 | 尚未設定 |
如需詳細資訊,請參閱管理 Microsoft Defender 更新的漸進式推出程式。
平臺更新:
| 描述 | 設定 |
|---|---|
| 平臺 匯報 通道 | 尚未設定 |
如需詳細資訊,請參閱管理 Microsoft Defender 更新的漸進式推出程式。
排程掃描和隨選掃描:
排程掃描和隨選掃描的一般設定
| 描述 | 設定 |
|---|---|
| 在執行掃描之前檢查簽章 | 停用 (預設) |
| 隨機排程工作時間 | 尚未設定 |
| 排程器隨機化時間 | 排程的工作不會隨機化 |
| 平均CPU載入因數 | 未設定 (預設值,50) |
| 啟用低 CPU 優先順序 | 停用 (預設) |
| 停用追補完整掃描 | 啟用 (預設) |
| 停用追補快速掃描 | 啟用 (預設) |
每日快速掃描
| 描述 | 設定 |
|---|---|
| 排程快速掃描時間 | 720 |
注意事項
在此範例中,每天下午 12:00 在 Windows 用戶端上執行快速掃描。 (720) 。 在此範例中,我們會使用午餐時間,因為許多裝置在下班后都會關閉 (例如膝上型電腦) 。
每周快速掃描或完整掃描
| 描述 | 設定 |
|---|---|
| 掃描參數 | 快速掃描 (預設) |
| 排程掃描日 | Windows 用戶端:星期三 Windows Server:星期六 |
| 排程掃描時間 | Windows 用戶端:1020 Windows Server:60 |
注意事項
在此範例中,Windows 用戶端會在星期三的下午 5:00 執行快速掃描。 (1020) 。 而針對 Windows Server,則在星期六上午 1:00。 (60)
如需詳細資訊,請參閱:
威脅嚴重性預設動作:
| 描述 | 設定 |
|---|---|
| 高嚴重性威脅的補救動作 | 隔離 |
| 嚴重威脅的補救動作 | 隔離 |
| 低嚴重性威脅的補救動作 | 隔離 |
| 中等嚴重性威脅的補救動作 | 隔離 |
| 描述 | 設定 |
|---|---|
| 保留已清除惡意代碼的天數 | 已設定,60 |
| 允許使用者 UI 存取 | 允許。 讓使用者存取UI。 |
如需詳細資訊,請參閱設定 Microsoft Defender 防病毒軟體偵測的補救。
防病毒軟體排除專案:
本機系統管理員合併行為:
停用本機系統管理員AV設定,例如排除專案,並從 適用於端點的 Microsoft Defender 安全性設定管理設定原則,如下表所述:
| 描述 | 設定 |
|---|---|
| 停用本機 管理員 合併 | 停用本機 管理員 合併 |
| 描述 | 設定 |
|---|---|
| 排除的延伸模組 | 視需要新增 以解決誤判 (FP) 和/或針對 MsMpEng.exe 中高 cpu 使用率進行疑難解答 |
| 排除的路徑 | 視需要新增 以解決誤判 (FP) 和/或針對 MsMpEng.exe 中高 cpu 使用率進行疑難解答 |
| 排除的進程 | 視需要新增 以解決誤判 (FP) 和/或針對 MsMpEng.exe 中高 cpu 使用率進行疑難解答 |
如需詳細資訊,請參閱:
Microsoft Defender 核心服務:
| 描述 | 設定 |
|---|---|
| 停用核心服務 ECS 整合 | Defender 核心服務會使用測試和設定服務 (ECS) 來快速提供關鍵且組織特有的修正。 |
| 停用核心服務遙測 | Defender 核心服務會使用 OneDsCollector 架構來快速收集遙測。 |
如需詳細資訊,請參閱 Microsoft Defender Core 服務概觀。
網路保護:
| 描述 | 設定 |
|---|---|
| 啟用網路保護 | 啟用 (區塊模式) |
| 允許網路保護向下層級 | 網路保護會向下層啟用。 |
| 允許在 Win Server 上處理數據報 | 已啟用 Windows Server 上的數據報處理。 |
| 停用透過 TCP 剖析的 DNS | 已啟用透過 TCP 剖析的 DNS。 |
| 停用 HTTP 剖析 | 已啟用 HTTP 剖析。 |
| 停用 SSH 剖析 | 已啟用 SSH 剖析。 |
| 停用 TLS 剖析 | 已啟用 TLS 剖析。 |
| 啟用 DNS 接收洞 | 已啟用 DNS 接收洞。 |
如需詳細資訊,請 參閱使用網路保護來協助防止連線到惡意或可疑的網站。
- 完成設定後,請選取 [下一步]。
- 在 [ 指派] 索引標籤 上,選取 [ 裝置群組 ] 或 [ 使用者群組 ] 或 [ 所有裝置 ] 或 [ 所有使用者]。
- 選取 [下一步]。
- 在 [ 檢閱 + 建立] 索引 標籤上,檢閱您的原則設定,然後選取 [ 儲存]。
受攻擊面縮小規則
若要使用端點安全策略啟用受攻擊面縮小 (ASR) 規則,請執行下列步驟:
移至 [端點設定 > 管理 > ] [端點安全策略 > ][Windows 原則 > ][建立新原則]。
從 [選取平臺] 下拉式清單中選取 [Windows 10]、[Windows 11] 和 [Windows Server]。
從 [選取範本] 下拉式清單中選取 [受攻擊面縮小規則]。
選取 [建立原則]。
在 [ 基本] 頁面上,輸入配置檔的名稱和描述;然後,選擇 [下一步]。
在 [ 組態設定 ] 頁面上,展開設定群組,並使用此配置檔設定您想要管理的設定。
根據下列建議設定來設定原則:
描述 設定 封鎖來自電子郵件用戶端及網路郵件的可執行內容 封鎖 封鎖 Adobe Reader 使其無法建立子程序 封鎖 封鎖可能經過模糊化的指令碼的執行 封鎖 在裝置) (封鎖惡意探索易受攻擊的已簽署驅動程序濫用 封鎖 封鎖來自 Office 巨集的 Win32 API 呼叫 封鎖 除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行 封鎖 封鎖 Office 通訊應用程式使其無法建立子程序 封鎖 封鎖所有 Office 應用程式使其無法建立子程序 封鎖 [預覽]封鎖使用複製或仿真的系統工具 封鎖 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 封鎖 封鎖從 Windows 本機安全性授權子系統竊取認證 封鎖 封鎖建立伺服器的 Web 殼層 封鎖 封鎖 Office 應用程式使其無法建立可執行的內容 封鎖 封鎖從 USB 執行的未受信任與未簽署程序 封鎖 封鎖 Office 應用程式使其無法將程式碼插入其他程序 封鎖 透過 WMI 事件訂閱封鎖持續性 封鎖 對惡意勒索軟體使用進階保護 封鎖 封鎖源自 PSExec 與 WMI 命令的程序建立 封鎖 (如果您先前 Configuration Manager (SCCM) 或其他使用 WMI 的管理工具,您可能需要將此設定為 [稽核],而不是 [封鎖) [預覽]在安全模式中封鎖重新啟動機器 封鎖 啟用受控資料夾存取 Enabled
提示
任何規則都可能會封鎖您在組織中可接受的行為。 在這些情況下,請新增名為「僅限受攻擊面縮小排除」的個別規則排除專案。此外,將規則從 [已啟用 ] 變更為 [稽核 ],以防止不必要的區塊。
如需詳細資訊,請 參閱受攻擊面縮小規則部署概觀。
- 選取 [下一步]。
- 在 [ 指派] 索引標籤 上,選取 [ 裝置群組 ] 或 [ 使用者群組 ] 或 [ 所有裝置 ] 或 [ 所有使用者]。
- 選取 [下一步]。
- 在 [ 檢閱 + 建立] 索引 標籤上,檢閱您的原則設定,然後選取 [ 儲存]。
啟用竄改保護
移至 [端點設定 > 管理 > ] [端點安全策略 > ][Windows 原則 > ][建立新原則]。
從 [選取平臺] 下拉式清單中選取 [Windows 10]、[Windows 11] 和 [Windows Server]。
從 [選取範本] 下拉式清單中選取 [安全性體驗]。
選取 [建立原則]。 [ 建立新原則] 頁面隨即出現。
在 [ 基本概念] 頁面上,分別在 [名稱] 和 [描述] 字段中輸入配置檔的 名稱 和 描述 。
選取 [下一步]。
在 [ 組態設定] 頁面上,展開設定群組。
從這些群組中,選取您要使用此設定檔管理的設定。
設定所選設定群組的原則,如下表所述:
描述 設定 TamperProtection (裝置) 開啟
如需詳細資訊,請 參閱使用竄改保護來保護安全性設定。
檢查雲端保護網路連線能力
請務必檢查雲端保護網路連線是否可在滲透測試期間運作。
CMD (以系統管理員身分執行)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
如需詳細資訊,請 參閱使用 Cmdline 工具來驗證雲端提供的保護。
檢查平臺更新版本
MICROSOFT更新 類別目錄中提供最新的「平臺更新」版本生產通道 (GA) 。
若要檢查您已安裝的「平臺更新」版本,請使用系統管理員的許可權在 PowerShell 中執行下列命令:
Get-MPComputerStatus | Format-Table AMProductVersion
檢查安全性情報更新版本
Microsoft Defender 防病毒軟體和其他Microsoft反惡意代碼 - Microsoft 安全情報 的最新安全性情報更新提供最新的「安全情報更新」版本。
若要檢查您已安裝的「安全情報更新」版本,請使用系統管理員的許可權在 PowerShell 中執行下列命令:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
檢查引擎更新版本
最新的掃描「引擎更新」版本可在 Microsoft Defender 防病毒軟體和其他Microsoft反惡意代碼的最新安全性情報更新中取得 - Microsoft 安全情報。
若要檢查您已安裝的「引擎更新」版本,請使用系統管理員的許可權在 PowerShell 中執行下列命令:
Get-MPComputerStatus | Format-Table AMEngineVersion
如果您發現您的設定未生效,您可能會發生衝突。 如需如何解決衝突的詳細資訊,請參閱針對 Microsoft Defender 防病毒軟體設定進行疑難解答。
若為 False 負 (FN) 提交
如需如何將 False 負值 (FN) 提交的資訊,請參閱:
- 如果您有Microsoft XDR、適用於端點的 Microsoft Defender P2/P1 或 適用於企業的 Microsoft Defender,請在 適用於端點的 Microsoft Defender 中提交檔案。
- 如果您 Microsoft Defender 防病毒軟體,請提交檔案以進行分析。