原則 CSP - Defender
AllowArchiveScanning
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowArchiveScanning
此原則設定可讓您在封存盤案中設定惡意軟體和垃圾軟體的掃描,例如 .ZIP 或 .CAB 檔案。
如果您啟用或未設定此設定,將會掃描封存盤案。
如果您停用此設定,將不會掃描封存盤案。 不過,一律會在有導向的掃描期間掃描封存。
注意
啟用 竄改保護 時,不會套用此設定的變更。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 不允許。 關閉封存盤案的掃描。 |
1 (預設) | 已允許。 掃描封存盤案。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Scan_DisableArchiveScanning |
易記名稱 | 掃描封存檔案 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>掃描 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Scan |
登錄值名稱 | DisableArchiveScanning |
ADMX 檔案名稱 | WindowsDefender.admx |
AllowBehaviorMonitoring
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowBehaviorMonitoring
此原則設定可讓您設定行為監視。
如果您啟用或未設定此設定,將會啟用行為監視。
如果您停用此設定,將會停用行為監視。
注意
啟用 竄改保護 時,不會套用此設定的變更。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 不允許。 關閉行為監視。 |
1 (預設) | 已允許。 開啟實時行為監視。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | RealtimeProtection_DisableBehaviorMonitoring |
易記名稱 | 開啟行為監視 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>即時保護 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\實時保護 |
登錄值名稱 | DisableBehaviorMonitoring |
ADMX 檔案名稱 | WindowsDefender.admx |
AllowCloudProtection
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowCloudProtection
此原則設定可讓您加入 MAPS Microsoft。 Microsoft MAPS 是在線社群,可協助您選擇如何回應潛在威脅。 社群也有助於阻止新的惡意軟體感染散佈。
您可以選擇傳送有關偵測到之軟體的基本或其他資訊。 其他資訊可協助Microsoft建立新的安全性情報,並協助它保護您的計算機。 如果已移除有害的軟體,這項資訊可能包括計算機上偵測到的專案位置等專案。 資訊將會自動收集並傳送。 在某些情況下,個人資訊可能會無意中傳送至Microsoft。 不過,Microsoft不會使用此資訊來識別您或與您連絡。
可能的選項包括:
(0x0) 已停用 (預設) (0x1) 基本成員資格 (0x2) 進階成員資格。
基本成員資格會將已偵測到軟體的基本資訊傳送給Microsoft,包括軟體的來源、您套用或自動套用的動作,以及動作是否成功。
除了基本資訊之外,進階成員資格還會傳送更多資訊給Microsoft惡意軟體、間諜軟體和潛在垃圾軟體的相關信息,包括軟體的位置、檔名、軟體的運作方式,以及其如何影響您的計算機。
如果啟用此設定,您會將 Microsoft MAPS 與指定的成員資格聯結。
如果您停用或未設定此設定,則不會加入 Microsoft MAPS。
在 Windows 10 中,基本成員資格已無法再使用,因此將值設定為1或2會將裝置註冊為進階成員資格。
注意
啟用 竄改保護 時,不會套用此設定的變更。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 不允許。 關閉 Microsoft Active Protection Service。 |
1 (預設) | 已允許。 開啟 Microsoft Active Protection Service。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | SpynetReporting |
易記名稱 | 加入 Microsoft MAPS |
專案名稱 | 聯Microsoft MAPS。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體 > MAPS |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Spynet |
ADMX 檔案名稱 | WindowsDefender.admx |
AllowEmailScanning
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowEmailScanning
此原則設定可讓您設定電子郵件掃描。 啟用電子郵件掃描時,引擎會根據其特定格式剖析信箱和郵件檔案,以便分析郵件本文和附件。 目前支持數種電子郵件格式,例如:pst (Outlook) 、dbx、mbx、mime (Outlook Express) 、binhex (Mac) 。 新式電子郵件用戶端不支援 Email 掃描。
如果啟用此設定,將會啟用電子郵件掃描。
如果您停用或未設定此設定,將會停用電子郵件掃描。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 不允許。 關閉電子郵件掃描。 |
1 | 已允許。 開啟電子郵件掃描。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Scan_DisableEmailScanning |
易記名稱 | 開啟電子郵件掃描 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>掃描 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Scan |
登錄值名稱 | DisableEmailScanning |
ADMX 檔案名稱 | WindowsDefender.admx |
AllowFullScanOnMappedNetworkDrives
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanOnMappedNetworkDrives
此原則設定可讓您設定掃描對應的網路驅動器機。
如果您啟用此設定,將會掃描對應的網路驅動器機。
如果您停用或未設定此設定,則不會掃描對應的網路驅動器機。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 不允許。 停用對應網路驅動器機上的掃描。 |
1 | 已允許。 掃描對應的網路驅動器機。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Scan_DisableScanningMappedNetworkDrivesForFullScan |
易記名稱 | 在連線的網路磁碟機上執行完整掃描 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>掃描 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Scan |
登錄值名稱 | DisableScanningMappedNetworkDrivesForFullScan |
ADMX 檔案名稱 | WindowsDefender.admx |
AllowFullScanRemovableDriveScanning
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanRemovableDriveScanning
此原則設定可讓您在執行完整掃描時,管理是否要掃描卸載式磁碟驅動器內容中的惡意軟體和垃圾軟體,例如USB快閃磁碟驅動器。
如果啟用此設定,將會在任何類型的掃描期間掃描卸載式磁碟驅動器。
如果您停用或未設定此設定,在完整掃描期間將不會掃描抽取式磁碟驅動器。 在快速掃描和自定義掃描期間,可能仍會掃描卸載式磁碟驅動器。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 不允許。 關閉卸載式磁碟驅動器上的掃描。 |
1 | 已允許。 掃描卸載式磁碟驅動器。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Scan_DisableRemovableDriveScanning |
易記名稱 | 掃描抽取式磁碟機 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>掃描 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Scan |
登錄值名稱 | DisableRemovableDriveScanning |
ADMX 檔案名稱 | WindowsDefender.admx |
AllowIntrusionPreventionSystem
注意
此原則已被取代,並可能在未來的版本中移除。
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIntrusionPreventionSystem
允許或不允許 Windows Defender 入侵預防功能。
注意
啟用 竄改保護 時,不會套用此設定的變更。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 不允許。 |
1 (預設) | 已允許。 |
AllowIOAVProtection
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIOAVProtection
此原則設定可讓您設定所有已下載檔案和附件的掃描。
如果您啟用或未設定此設定,則會啟用掃描所有下載的檔案和附件。
如果您停用此設定,將會停用掃描所有下載的檔案和附件。
注意
啟用 竄改保護 時,不會套用此設定的變更。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 不允許。 |
1 (預設) | 已允許。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | RealtimeProtection_DisableIOAVProtection |
易記名稱 | 掃描所有下載檔案及附件 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>即時保護 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\實時保護 |
登錄值名稱 | DisableIOAVProtection |
ADMX 檔案名稱 | WindowsDefender.admx |
AllowOnAccessProtection
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowOnAccessProtection
此原則設定可讓您設定檔案和程式活動的監視。
如果您啟用或未設定此設定,將會啟用檔案和程式活動的監視。
如果您停用此設定,將會停用檔案和程式活動的監視。
注意
啟用 竄改保護 時,不會套用此設定的變更。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 不允許。 |
1 (預設) | 已允許。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | RealtimeProtection_DisableOnAccessProtection |
易記名稱 | 監視您電腦上的檔案和程式活動 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>即時保護 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\實時保護 |
登錄值名稱 | DisableOnAccessProtection |
ADMX 檔案名稱 | WindowsDefender.admx |
AllowRealtimeMonitoring
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowRealtimeMonitoring
允許或不允許 Windows Defender 即時監視功能。
注意
啟用 竄改保護 時,不會套用此設定的變更。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 不允許。 關閉即時監視服務。 |
1 (預設) | 已允許。 開啟並執行即時監視服務。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | DisableRealtimeMonitoring |
易記名稱 | 關閉即時保護 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>即時保護 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\實時保護 |
登錄值名稱 | DisableRealtimeMonitoring |
ADMX 檔案名稱 | WindowsDefender.admx |
AllowScanningNetworkFiles
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScanningNetworkFiles
此原則設定可讓您設定排程掃描和隨選 (手動起始) 掃描透過網路存取的檔案。 建議您啟用此設定。
注意
實時保護 (存取) 掃描不會受到此原則的影響。
- 如果您啟用此設定或未設定此設定,則會掃描網路檔案。
- 如果停用此設定,將不會掃描網路檔案。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 不允許。 關閉網路檔案的掃描。 |
1 | 已允許。 掃描網路檔案。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Scan_DisableScanningNetworkFiles |
易記名稱 | 設定網路檔案掃描 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>掃描 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Scan |
登錄值名稱 | DisableScanningNetworkFiles |
ADMX 檔案名稱 | WindowsDefender.admx |
AllowScriptScanning
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScriptScanning
允許或不允許 Windows Defender 腳本掃描功能。
注意
啟用 竄改保護 時,不會套用此設定的變更。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 不允許。 |
1 (預設) | 已允許。 |
AllowUserUIAccess
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowUserUIAccess
此原則設定可讓您設定是否要向使用者顯示AM UI。
如果您啟用此設定,使用者將無法使用AM UI。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 不允許。 防止使用者存取UI。 |
1 (預設) | 已允許。 可讓使用者存取UI。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | UX_Configuration_UILockdown |
易記名稱 | 啟用無周邊的 UI 模式 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>用戶端介面 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\UX 設定 |
登錄值名稱 | UILockdown |
ADMX 檔案名稱 | WindowsDefender.admx |
AttackSurfaceReductionOnlyExclusions
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
從受攻擊面縮小 (ASR) 規則排除檔案和路徑。
開啟:
在 [選項] 區段中,指定應該從 ASR 規則中排除的資料夾或檔案和資源。
在新行輸入每個規則作為名稱/值群組:
- 名稱數據行:輸入資料夾路徑或完整資源名稱。 例如,“C:\Windows” 會排除該目錄中的所有檔案。 “C:\Windows\App.exe” 只會排除該特定資料夾中的特定檔案
- 值數據行:針對每個項目輸入 「0」。
關閉:
ASR 規則不會套用任何排除專案。
未設定:
與 Disabled 相同。
您可以在 [設定受攻擊面縮小規則 GP] 設定中設定 ASR 規則。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 列出 (分隔符: | ) |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | ExploitGuard_ASR_ASROnlyExclusions |
易記名稱 | 從受攻擊面縮小規則排除檔案和路徑 |
專案名稱 | ASR 規則的排除專案。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體 > Microsoft Defender 惡意探索防護>攻擊面縮小 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Windows Defender 惡意探索防護\ASR |
ADMX 檔案名稱 | WindowsDefender.admx |
AttackSurfaceReductionRules
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
設定 ASR) 規則 (每個受攻擊面縮小的狀態。
啟用此設定之後,您可以在 [選項] 區段中將每個規則設定為下列專案:
- 封鎖:將套用規則
- 稽核模式:如果規則通常會造成事件,則會 (記錄,但實際上不會套用規則)
- 關閉:不會套用規則
- 未設定:已啟用具有預設值的規則
- 警告:將會套用規則,而且用戶可以選擇略過區塊。
除非停用 ASR 規則,否則會針對值為 未設定的 ASR 規則收集稽核事件的子集。
開啟:
在這裡設定的 [選項] 區段下,指定每個 ASR 規則的狀態。
在新行輸入每個規則作為名稱/值群組:
- 名稱數據行:輸入有效的 ASR 規則識別碼
- 值數據行:輸入與您要為相關聯規則指定之狀態相關的狀態標識碼。
值資料列下允許下列狀態識別碼:
- 1 (區塊)
- 0 (關閉)
- 2 (稽核)
- 5 (未設定)
- 6 (警告)
範例:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 0 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx 1 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 2
關閉:
不會設定任何 ASR 規則。
未設定:
與 Disabled 相同。
您可以在 [從受攻擊面縮小規則排除檔案和路徑] GP 設定中排除資料夾或檔案。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | ExploitGuard_ASR_Rules |
易記名稱 | 設定受攻擊面縮小規則 |
專案名稱 | 設定每個 ASR 規則的狀態。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體 > Microsoft Defender 惡意探索防護>攻擊面縮小 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Windows Defender 惡意探索防護\ASR |
ADMX 檔案名稱 | WindowsDefender.admx |
AvgCPULoadFactor
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AvgCPULoadFactor
此原則設定可讓您設定掃描期間允許的最大 CPU 使用率百分比。 此設定的有效值是以整數 5 到 100 表示的百分比。 值為 0 表示 CPU 使用率不應節流。 預設值為 50。
如果您啟用此設定,CPU 使用率不會超過指定的百分比。
如果您停用或未設定此設定,CPU 使用率不會超過預設值。
注意
如果您啟用下列兩個原則,則 Windows 會忽略 AvgCPULoadFactor 的值:
- ScanOnlyIfIdle:指示產品只在電腦未使用時才進行掃描。
- DisableCpuThrottleOnIdleScans:指示產品在閑置掃描時停用 CPU 節流。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-100] |
預設值 | 50 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Scan_AvgCPULoadFactor |
易記名稱 | 指定掃描期間的 CPU 使用率百分比上限 |
專案名稱 | 指定掃描期間 CPU 使用率的最大百分比。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>掃描 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX 檔案名稱 | WindowsDefender.admx |
CheckForSignaturesBeforeRunningScan
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/CheckForSignaturesBeforeRunningScan
此原則設定可讓您管理是否要先檢查是否有新的病毒和間諜軟體安全情報,再執行掃描。
此設定適用於排程掃描,但不會影響從使用者介面手動起始的掃描,或是使用 「mpcmdrun -Scan」 從命令行啟動的掃描。
如果您啟用此設定,在執行掃描之前,將會檢查新的安全情報。
如果您停用此設定或未設定此設定,掃描將會開始使用現有的安全情報。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 已停用。 |
1 | 啟用。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | CheckForSignaturesBeforeRunningScan |
易記名稱 | 執行排程掃描之前,請先檢查最新的病毒和間諜軟體安全情報 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>掃描 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX 檔案名稱 | WindowsDefender.admx |
CloudBlockLevel
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/CloudBlockLevel
此原則設定可決定防病毒軟體在封鎖和掃描可疑檔案時的積極 Microsoft Defender。
如果此設定已開啟,Microsoft Defender 在識別要封鎖和掃描的可疑檔案時,防病毒軟體會更積極;否則會較不積極,因此會以較少的頻率封鎖和掃描。
如需所支援特定值的詳細資訊,請參閱 Microsoft Defender 防病毒軟體文件網站。
注意
此功能需要啟用 [聯結Microsoft MAPS] 設定,才能運作。
可能的選項包括:
(0x0) 預設 Microsoft Defender 防病毒軟體封鎖層級 (0x1) 中等 Microsoft Defender 防病毒軟體封鎖層級,僅針對高信賴度偵測 (0x2) 高封鎖層級提供決策 - 積極封鎖未知,同時優化用戶端效能 (較高的誤判機率) (0x4) 高+ 封鎖層級 - 積極封鎖未知和套用額外的保護措施 (可能會影響用戶端效能) (0x6) 零容錯封鎖層級 - 封鎖所有未知的可執行檔。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | NotConfigured。 |
2 | 高。 |
4 | HighPlus。 |
6 | ZeroTolerance。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | MpEngine_MpCloudBlockLevel |
易記名稱 | 選取雲端保護層級 |
專案名稱 | 選取雲端封鎖層級。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體 > MpEngine |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\MpEngine |
ADMX 檔案名稱 | WindowsDefender.admx |
CloudExtendedTimeout
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/CloudExtendedTimeout
這項功能可讓 Microsoft Defender 防病毒軟體封鎖可疑的檔案長達 60 秒,並在雲端中進行掃描以確保其安全。
典型的雲端檢查逾時為10秒。 若要啟用擴充雲端檢查功能,請指定以秒為單位的延長時間,最多 50 秒。
例如,如果所需的逾時為 60 秒,請在此設定中指定 50 秒,這會啟用延伸雲端檢查功能,並將總時間提升至 60 秒。
注意
此功能相依於其他三個MAPS設定 - 「設定「第一次看見時封鎖」功能;聯結Microsoft MAPS“;「需要進一步分析時傳送檔案範例」都必須啟用。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-50] |
預設值 | 0 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | MpEngine_MpBafsExtendedTimeout |
易記名稱 | 設定延長雲端檢查 |
專案名稱 | 指定以秒為單位的延伸雲端檢查時間。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體 > MpEngine |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\MpEngine |
ADMX 檔案名稱 | WindowsDefender.admx |
ControlledFolderAccessAllowedApplications
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications
新增應由受控制資料夾存取視為「受信任」的其他應用程式。
這些應用程式可以修改或刪除受控制資料夾存取資料夾中的檔案。
Microsoft Defender 防病毒軟體會自動判斷應該信任哪些應用程式。 您可以設定此設定以新增其他應用程式。
開啟:
在 [選項] 區段中指定其他允許的應用程式。
關閉:
不會將其他應用程式新增至信任的清單。
未設定:
與 Disabled 相同。
您可以在 [設定受控制的資料夾存取 GP] 設定中啟用受控資料夾存取權。
默認系統資料夾會自動受到防護,但您可以在設定受保護的資料夾 GP 設定中新增資料夾。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 列出 (分隔符: | ) |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | ExploitGuard_ControlledFolderAccess_AllowedApplications |
易記名稱 | 設定允許的應用程式 |
專案名稱 | 輸入應該信任的應用程式。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體 > Microsoft Defender 惡意探索受控>資料夾存取 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Windows Defender 惡意探索防護\受控資料夾存取 |
ADMX 檔案名稱 | WindowsDefender.admx |
ControlledFolderAccessProtectedFolders
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessProtectedFolders
指定受控資料夾存取功能應保護的其他資料夾。
不受信任的應用程式無法修改或刪除這些資料夾中的檔案。
默認系統資料夾會自動受到保護。 您可以設定此設定來新增其他資料夾。
Windows 安全性 中會顯示受保護的預設系統資料夾清單。
開啟:
在 [選項] 區段中指定應保護的其他資料夾。
關閉:
不會保護其他資料夾。
未設定:
與 Disabled 相同。
您可以在 [設定受控制的資料夾存取 GP] 設定中啟用受控資料夾存取權。
Microsoft Defender 防病毒軟體會自動判斷哪些應用程式可以信任。 您可以在 [設定允許的應用程式 GP] 設定中新增其他受信任的應用程式。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 列出 (分隔符: | ) |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | ExploitGuard_ControlledFolderAccess_ProtectedFolders |
易記名稱 | 設定受保護的資料夾 |
專案名稱 | 輸入應保護的資料夾。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體 > Microsoft Defender 惡意探索受控>資料夾存取 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Windows Defender 惡意探索防護\受控資料夾存取 |
ADMX 檔案名稱 | WindowsDefender.admx |
DaysToRetainCleanedMalware
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/DaysToRetainCleanedMalware
此原則設定會定義移除之前,項目應該保留在 [隔離] 資料夾中的天數。
如果啟用此設定,專案將會在指定的天數之後,從 [隔離] 資料夾中移除。
如果停用或未設定此設定,專案會無限期地保留在隔離資料夾中,而且不會自動移除。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-90] |
預設值 | 0 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Quarantine_PurgeItemsAfterDelay |
易記名稱 | 設定從隔離資料夾移除項目 |
專案名稱 | 設定從隔離資料夾移除專案。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>隔離 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Quarantine |
ADMX 檔案名稱 | WindowsDefender.admx |
DisableCatchupFullScan
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupFullScan
此原則設定可讓您設定排程完整掃描的追補掃描。 追補掃描是因為錯過定期排程掃描而起始的掃描。 通常會遺漏這些排程掃描,因為計算機已在排程的時間關閉。
如果您停用或未設定此設定,將會開啟排程完整掃描的追補掃描。 如果計算機已離線進行兩次連續排程掃描,則下次有人登入計算機時,就會啟動追補掃描。 如果未設定排程掃描,將不會執行追補掃描。
如果您啟用此設定,將會停用排程完整掃描的追補掃描。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 啟用。 |
1 (預設) | 已停用。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Scan_DisableCatchupFullScan |
易記名稱 | 開啟追補完整掃描 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>掃描 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX 檔案名稱 | WindowsDefender.admx |
DisableCatchupQuickScan
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupQuickScan
此原則設定可讓您設定排程快速掃描的追補掃描。 追補掃描是因為錯過定期排程掃描而起始的掃描。 通常會遺漏這些排程掃描,因為計算機已在排程的時間關閉。
如果您停用或未設定此設定,將會開啟排程快速掃描的追補掃描。 如果計算機已離線進行兩次連續排程掃描,則下次有人登入計算機時,就會啟動追補掃描。 如果未設定排程掃描,將不會執行追補掃描。
如果您啟用此設定,將會停用排程快速掃描的追補掃描。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 啟用。 |
1 (預設) | 已停用。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Scan_DisableCatchupQuickScan |
易記名稱 | 開啟追補快速掃描 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>掃描 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX 檔案名稱 | WindowsDefender.admx |
EnableControlledFolderAccess
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableControlledFolderAccess
啟用或停用不受信任應用程式的受控資料夾存取權。 您可以選擇封鎖、稽核或允許不受信任的應用程式嘗試:
- 修改或刪除受保護資料夾中的檔案,例如 Documents 資料夾
- 寫入磁碟扇區。
您也可以選擇只封鎖或稽核磁碟扇區的寫入,同時仍允許修改或刪除受保護資料夾中的檔案。
Microsoft Defender 防病毒軟體會自動判斷哪些應用程式可以信任。 您可以在 [設定允許的應用程式 GP] 設定中新增其他受信任的應用程式。
默認系統資料夾會自動受到保護,但您可以在 [設定受保護的資料夾 GP] 設定中新增資料夾。
塊:
將會封鎖下列專案:
- 不受信任的應用程式嘗試修改或刪除受保護資料夾中的檔案
- 不受信任的應用程式嘗試寫入磁碟扇區。
Windows 事件記錄檔會在 [應用程式和服務記錄 > ] 底下記錄這些區塊Microsoft > Windows > Defender > 操作 > 標識碼 1123。
關閉:
下列專案將不會遭到封鎖,且會允許執行:
- 不受信任的應用程式嘗試修改或刪除受保護資料夾中的檔案
- 不受信任的應用程式嘗試寫入磁碟扇區。
這些嘗試不會記錄在 Windows 事件記錄檔中。
稽核模式:
下列專案將不會遭到封鎖,且會允許執行:
- 不受信任的應用程式嘗試修改或刪除受保護資料夾中的檔案
- 不受信任的應用程式嘗試寫入磁碟扇區。
Windows 事件記錄檔會在 Windows Defender 作業>標識碼 1124 Microsoft >>> [應用程式和服務記錄>] 底下記錄這些嘗試。
只封鎖磁碟修改:
將會封鎖下列專案:
- 不受信任的應用程式嘗試寫入磁碟扇區。
Windows 事件記錄檔會在 [應用程式和服務記錄 > ] 底下記錄這些嘗試Microsoft > Windows > Defender > 操作 > 識別碼 1123。
下列專案將不會遭到封鎖,且會允許執行:
- 不受信任的應用程式嘗試修改或刪除受保護資料夾中的檔案。
這些嘗試不會記錄在 Windows 事件記錄檔中。
僅稽核磁碟修改:
下列專案將不會遭到封鎖,且會允許執行:
- 不受信任的應用程式嘗試寫入磁碟扇區
- 不受信任的應用程式嘗試修改或刪除受保護資料夾中的檔案。
只有嘗試寫入受保護的磁碟扇區,才會記錄在 Windows 事件記錄檔 (的 [應用程式和服務記錄 > ] 底下,Microsoft > Windows > Defender > 操作 > 標識符 1124) 。
不會記錄修改或刪除受保護資料夾中檔案的嘗試。
未設定:
與 Disabled 相同。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 已停用。 |
1 | 啟用。 |
2 | 稽核模式。 |
3 | 僅封鎖磁碟修改。 |
4 | 僅稽核磁碟修改。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | ExploitGuard_ControlledFolderAccess_EnableControlledFolderAccess |
易記名稱 | 設定受控資料夾存取 |
專案名稱 | 設定保護我的資料夾功能。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體 > Microsoft Defender 惡意探索受控>資料夾存取 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Windows Defender 惡意探索防護\受控資料夾存取 |
ADMX 檔案名稱 | WindowsDefender.admx |
EnableLowCPUPriority
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableLowCPUPriority
此原則設定可讓您啟用或停用排程掃描的低 CPU 優先順序。
如果啟用此設定,則會在排程掃描期間使用低 CPU 優先順序。
如果您停用或未設定此設定,則不會變更排程掃描的CPU優先順序。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 已停用。 |
1 | 啟用。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Scan_LowCpuPriority |
易記名稱 | 設定排程掃描的低 CPU 優先順序 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>掃描 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX 檔案名稱 | WindowsDefender.admx |
EnableNetworkProtection
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableNetworkProtection
啟用或停用 Microsoft Defender 惡意探索防護網路保護,以防止員工使用任何應用程式來存取可能在因特網上裝載網路釣魚詐騙、惡意探索裝載網站和其他惡意內容的危險的網域。
開啟:
在 [選項] 區段中指定模式:
-封鎖:使用者和應用程式將無法存取危險的網域 -稽核模式:使用者和應用程式可以連線到危險的網域,不過,如果此功能設定為 [封鎖],則會封鎖存取,則事件記錄會在事件記錄檔中。
關閉:
不會封鎖使用者和應用程式連線到危險的網域。
未設定:
與 Disabled 相同。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 已停用。 |
1 | 啟用 (區塊模式) 。 |
2 | 啟用 (稽核模式) 。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | ExploitGuard_EnableNetworkProtection |
易記名稱 | 防止使用者和應用程式存取危險的網站 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 惡意探索防護>網路保護 Microsoft Defender 防病毒軟體> |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Windows Defender 惡意探索防護\網络保護 |
ADMX 檔案名稱 | WindowsDefender.admx |
ExcludedExtensions
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedExtensions
允許系統管理員指定要在掃描期間忽略的檔案類型擴展名清單。 清單中的每個文件類型都必須以 |分隔。 例如 lib|obj。
注意
若要防止對排除項目進行未經授權的變更,請套用竄改保護。 只有在符合 特定條件 時,才能對排除專案進行竄改保護。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 列出 (分隔符: | ) |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Exclusions_Extensions |
易記名稱 | 副檔名排除 |
專案名稱 | 延伸模組排除專案。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>排除專案 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Exclusions |
ADMX 檔案名稱 | WindowsDefender.admx |
ExcludedPaths
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedPaths
允許系統管理員指定要在掃描期間忽略的目錄路徑清單。 清單中的每個路徑都必須以 |分隔。 例如,C:\Example|C:\Example1。
注意
若要防止對排除項目進行未經授權的變更,請套用竄改保護。 只有在符合 特定條件 時,才能對排除專案進行竄改保護。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 列出 (分隔符: | ) |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Exclusions_Paths |
易記名稱 | 路徑排除 |
專案名稱 | 路徑排除專案。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>排除專案 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Exclusions |
ADMX 檔案名稱 | WindowsDefender.admx |
ExcludedProcesses
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedProcesses
允許系統管理員指定由進程開啟的檔案清單,以便在掃描期間忽略。
重要
進程本身不會從掃描中排除,但可以使用Defender/ExcludedPaths原則來排除其路徑。 每個文件類型都必須以 |分隔。 例如,C:\Example。 exe|C:\Example1.exe。
注意
若要防止對排除項目進行未經授權的變更,請套用竄改保護。 只有在符合 特定條件 時,才能對排除專案進行竄改保護。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 列出 (分隔符: | ) |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Exclusions_Processes |
易記名稱 | 處理程序排除 |
專案名稱 | 進程排除專案。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>排除專案 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Exclusions |
ADMX 檔案名稱 | WindowsDefender.admx |
PUAProtection
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/PUAProtection
啟用或停用潛在垃圾應用程式的偵測。 您可以選擇封鎖、稽核或允許下載潛在的垃圾軟體,或嘗試在您的電腦上安裝本身。
開啟:
在 [選項] 區段中指定模式:
-Block:將會封鎖潛在的垃圾軟體。
-稽核模式:潛在垃圾軟體不會遭到封鎖,但如果此功能設定為 [封鎖],則此功能會封鎖存取,則事件記錄會在事件記錄檔中。
關閉:
潛在的垃圾軟體將不會遭到封鎖。
未設定:
與 Disabled 相同。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | PUA 保護關閉。 Windows Defender 不會防範潛在的垃圾應用程式。 |
1 | PUA 保護開啟。 已封鎖偵測到的專案。 它們會與其他威脅一起顯示在歷程記錄中。 |
2 | 稽核模式。 Windows Defender 會偵測潛在的垃圾應用程式,但不會採取任何動作。 您可以藉由搜尋 Windows Defender 在 事件檢視器 中建立的事件,來檢閱 Windows Defender 所採取動作之應用程式的相關信息。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Root_PUAProtection |
易記名稱 | 設定潛在垃圾應用程式的偵測 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender |
ADMX 檔案名稱 | WindowsDefender.admx |
RealTimeScanDirection
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/RealTimeScanDirection
此原則設定可讓您設定傳入和傳出檔案的監視,而不需要完全關閉監視。 建議您在有許多傳入和傳出檔案活動的伺服器上使用,但基於效能考慮,需要針對特定掃描方向停用掃描。 應根據伺服器角色評估適當的組態。
請注意,此設定僅適用於NTFS磁碟區。 對於任何其他文件系統類型,這些磁碟區上都會有檔案和程式活動的完整監視。
這個設定的選項互斥:
0 = 掃描傳入和傳出檔案 (預設) 1 = 僅掃描傳入檔案 2 = 僅掃描傳出檔案。
任何其他值,或如果該值不存在,則會解析為預設 (0) 。
如果啟用此設定,將會啟用指定的監視類型。
如果您停用或未設定此設定,將會啟用傳入和傳出檔案的監視。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | (雙向) 監視所有檔案。 |
1 | 監視傳入檔案。 |
2 | 監視傳出檔案。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | RealtimeProtection_RealtimeScanDirection |
易記名稱 | 設定監視傳入和傳出檔案及程式活動 |
專案名稱 | 設定傳入和傳出檔案和程式活動的監視。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>即時保護 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\實時保護 |
ADMX 檔案名稱 | WindowsDefender.admx |
ScanParameter
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ScanParameter
此原則設定可讓您指定要在排程掃描期間使用的掃描類型。 掃描類型選項如下:
1 = 快速掃描 (預設) 2 = 完整掃描。
如果啟用此設定,掃描類型會設定為指定的值。
如果您停用或未設定此設定,則會使用預設掃描類型。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 描述 |
---|---|
1 (預設) | 快速掃描。 |
2 | 完整掃描。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Scan_ScanParameters |
易記名稱 | 指定排定的掃描所使用的掃描類型 |
專案名稱 | 指定要用於排程掃描的掃描類型。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>掃描 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX 檔案名稱 | WindowsDefender.admx |
ScheduleQuickScanTime
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleQuickScanTime
此原則設定可讓您指定每天執行每日快速掃描的時間。 時間值會以午夜 (00:00) 的分鐘數表示。 例如,120 (0x78) 相當於上午 02:00。 根據預設,此設定會設定為停用。 排程是以執行掃描之電腦上的當地時間為基礎。
如果啟用此設定,每日快速掃描會在指定的一天中執行。
如果您停用或未設定此設定,將不會執行由此設定所控制的每日快速掃描。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-1380] |
預設值 | 120 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Scan_ScheduleQuickScantime |
易記名稱 | 指定一天中執行快速掃描的時間 |
專案名稱 | 指定每日快速掃描的時間。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>掃描 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX 檔案名稱 | WindowsDefender.admx |
ScheduleScanDay
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanDay
此原則設定可讓您指定要執行排程掃描的星期幾。 掃描也可以設定為每天執行,或永遠不執行。
這個設定可以使用下列序數值進行設定:
(0x0) (0x1) 星期一 (0x2) 星期一 (0x3) 星期二 (0x4) 星期三 (0x5) 星期四 (0x6) 星期五 (0x7) 星期六 (0x8) 永不 (預設)
如果啟用此設定,排定的掃描會以指定的頻率執行。
如果您停用或未設定此設定,排定的掃描會以預設頻率執行。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 每天。 |
1 | 星期日。 |
2 | 星期一。 |
3 | 星期二。 |
4 | 星期三。 |
5 | 星期四。 |
6 | 星期五。 |
7 | 星期六。 |
8 | 沒有排程的掃描。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Scan_ScheduleDay |
易記名稱 | 指定星期幾執行排定的掃描 |
專案名稱 | 指定一周中執行排程掃描的日期。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>掃描 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX 檔案名稱 | WindowsDefender.admx |
ScheduleScanTime
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanTime
此原則設定可讓您指定一天中執行排程掃描的時間。 時間值會以午夜 (00:00) 的分鐘數表示。 例如,120 (0x78) 相當於上午 02:00。 根據預設,此設定會設定為上午 2:00 的時間值。 排程是以執行掃描之電腦上的當地時間為基礎。
如果啟用此設定,排定的掃描會在指定的一天中執行。
如果您停用或未設定此設定,排定的掃描會在默認時間執行。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-1380] |
預設值 | 120 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Scan_ScheduleTime |
易記名稱 | 指定執行排定的掃描的時間 |
專案名稱 | 指定一天中執行排程掃描的時間。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>掃描 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX 檔案名稱 | WindowsDefender.admx |
SecurityIntelligenceLocation
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/SecurityIntelligenceLocation
此原則設定可讓您定義 VDI 設定電腦的安全情報位置。
如果您停用或未設定此設定,則會從預設本機來源參考安全性情報。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | SignatureUpdate_SharedSignaturesLocation |
易記名稱 | 定義 VDI 用戶端的安全情報位置。 |
專案名稱 | 定義檔案共用,以在虛擬環境中下載安全性情報更新。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防毒>安全性情報 匯報 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Signature 匯報 |
ADMX 檔案名稱 | WindowsDefender.admx |
SignatureUpdateFallbackOrder
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder
此原則設定可讓您定義應該連絡不同安全情報更新來源的順序。 此設定的值應該輸入為以管道分隔的字串,依序列舉安全性情報更新來源。 可能的值為:“InternalDefinitionUpdateServer”、“MicrosoftUpdateServer”、“MMPC” 和 “FileShares”。
例如: { InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC }
如果啟用此設定,將會以指定的順序連絡安全情報更新來源。 從一個指定的來源成功下載安全情報更新之後,將不會連絡清單中的其餘來源。
如果您停用或未設定此設定,則會以預設順序連絡安全性情報更新來源。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 列出 (分隔符: | ) |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | SignatureUpdate_FallbackOrder |
易記名稱 | 定義下載安全性情報更新的來源順序 |
專案名稱 | 定義下載安全性情報更新的來源順序。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防毒>安全性情報 匯報 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Signature 匯報 |
ADMX 檔案名稱 | WindowsDefender.admx |
SignatureUpdateFileSharesSources
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFileSharesSources
此原則設定可讓您設定 UNC 檔案共用來源,以下載安全性情報更新。 將會依指定的順序連絡來源。 此設定的值應該輸入為以管線分隔的字串,列舉安全性情報更新來源。 例如:“{\\unc1 | \\unc2 }
”。 清單預設為空白。
如果啟用此設定,則會連絡指定的來源以取得安全性情報更新。 從一個指定的來源成功下載安全情報更新之後,將不會連絡清單中的其餘來源。
如果您停用或未設定此設定,清單預設會保持空白,且不會連絡任何來源。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 列出 (分隔符: | ) |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | SignatureUpdate_DefinitionUpdateFileSharesSources |
易記名稱 | 定義用於下載安全性情報更新的檔案共用 |
專案名稱 | 定義用於下載安全性情報更新的檔案共用。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防毒>安全性情報 匯報 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Signature 匯報 |
ADMX 檔案名稱 | WindowsDefender.admx |
SignatureUpdateInterval
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateInterval
此原則設定可讓您指定檢查安全性情報更新的間隔。 時間值會以更新檢查之間的時數表示。 有效值的範圍從每小時 1 () 到每天 24 (一次) 。
如果啟用此設定,將會在指定的間隔內檢查安全性情報更新。
如果您停用或未設定此設定,則會在預設間隔內檢查安全性情報更新。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 範圍: [0-24] |
預設值 | 8 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | SignatureUpdate_SignatureUpdateInterval |
易記名稱 | 指定檢查安全情報更新的間隔 |
專案名稱 | 指定檢查安全性情報更新的間隔。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防毒>安全性情報 匯報 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Signature 匯報 |
ADMX 檔案名稱 | WindowsDefender.admx |
SubmitSamplesConsent
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/SubmitSamplesConsent
此原則設定會在設定選擇加入MAPS遙測時,設定範例提交的行為。
可能的選項包括:
(0x0) 永遠提示 (0x1) 自動傳送安全範例 (0x2) 永不傳送 (0x3) 自動傳送所有範例。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 1 |
允許的值:
值 | 說明 |
---|---|
0 | 永遠要求確認。 |
1 (預設) | 自動傳送安全範例。 |
2 | 永遠不傳送。 |
3 | 自動傳送所有樣本。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | SubmitSamplesConsent |
易記名稱 | 需要進一步分析時發送檔案樣本 |
專案名稱 | 需要進一步分析時傳送檔案範例。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體 > MAPS |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Spynet |
ADMX 檔案名稱 | WindowsDefender.admx |
ThreatSeverityDefaultAction
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ThreatSeverityDefaultAction
此原則設定可讓您自定義將針對每個威脅警示層級採取的自動補救動作。 此設定的 [選項] 下應新增威脅警示層級。 每個項目都必須列為名稱值組。 名稱會定義威脅警示層級。 值包含應採取之補救動作的動作標識碼。
有效的威脅警示層級為:
1 = 低 2 = 中 4 = 高 5 = 嚴重。
有效的補救動作值為:
2 = 隔離 3 = 移除 6 = 忽略。
注意
啟用 竄改保護 時,不會套用此設定的變更。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | Threats_ThreatSeverityDefaultAction |
易記名稱 | 指定偵測到威脅時,不應採取預設動作的威脅警示等級 |
專案名稱 | 指定偵測到時不應採取預設動作的威脅警示層級。 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 防病毒軟體>威脅 |
登錄機碼名稱 | Software\Policies\Microsoft\Windows Defender\Threats |
ADMX 檔案名稱 | WindowsDefender.admx |