تعيين تفضيلات Microsoft Defender لنقطة النهاية على نظام التشغيل macOS

ينطبق على:

هام

تحتوي هذه المقالة على إرشادات حول كيفية تعيين تفضيلات Microsoft Defender لنقطة النهاية على macOS في مؤسسات المؤسسة. لتكوين Microsoft Defender لنقطة النهاية على macOS باستخدام واجهة سطر الأوامر، راجع الموارد.

الملخص

في مؤسسات المؤسسة، يمكن إدارة Microsoft Defender لنقطة النهاية على macOS من خلال ملف تعريف تكوين يتم نشره باستخدام إحدى أدوات الإدارة المتعددة. التفضيلات التي يديرها فريق عمليات الأمان لديك لها الأسبقية على التفضيلات التي تم تعيينها محليا على الجهاز. يتطلب تغيير التفضيلات التي تم تعيينها من خلال ملف تعريف التكوين امتيازات متصاعدة ولا يتوفر للمستخدمين الذين ليس لديهم أذونات إدارية.

توضح هذه المقالة بنية ملف تعريف التكوين، وتتضمن ملف تعريف موصى به يمكنك استخدامه للبدء، وتوفر إرشادات حول كيفية نشر ملف التعريف.

بنية ملف تعريف التكوين

ملف تعريف التكوين هو ملف .plist يتكون من إدخالات تم تحديدها بواسطة مفتاح (الذي يشير إلى اسم التفضيل)، متبوعا بقيمة، والتي تعتمد على طبيعة التفضيل. يمكن أن تكون القيم إما بسيطة (مثل قيمة رقمية) أو معقدة، مثل قائمة متداخلة من التفضيلات.

الحذر

يعتمد تخطيط ملف تعريف التكوين على وحدة تحكم الإدارة التي تستخدمها. تحتوي الأقسام التالية على أمثلة على ملفات تعريف التكوين ل JAMF وIntune.

يتضمن المستوى الأعلى لملف تعريف التكوين تفضيلات وإدخالات على مستوى المنتج للنقاط الفرعية ل Microsoft Defender لنقطة النهاية، والتي يتم شرحها بمزيد من التفصيل في الأقسام التالية.

تفضيلات محرك مكافحة الفيروسات

يتم استخدام قسم antivirusEngine في ملف تعريف التكوين لإدارة تفضيلات مكون مكافحة الفيروسات ل Microsoft Defender لنقطة النهاية.

قسم قيمه
المجال com.microsoft.wdav
المفتاح برنامج الحماية من الفيروساتEngine
نوع البيانات القاموس (التفضيل المتداخل)
تعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.

مستوى الإنفاذ لمحرك مكافحة الفيروسات

يحدد تفضيل فرض محرك مكافحة الفيروسات. هناك ثلاث قيم لتعيين مستوى الإنفاذ:

  • في الوقت الحقيقي (real_time): يتم تمكين الحماية في الوقت الحقيقي (فحص الملفات عند الوصول إليها).
  • عند الطلب (on_demand): يتم فحص الملفات فقط عند الطلب. في هذا:
    • تم إيقاف تشغيل الحماية في الوقت الحقيقي.
  • الخامل (passive): يشغل محرك مكافحة الفيروسات في الوضع السلبي. في هذا:
    • تم إيقاف تشغيل الحماية في الوقت الحقيقي.
    • يتم تشغيل الفحص عند الطلب.
    • تم إيقاف تشغيل المعالجة التلقائية للمخاطر.
    • يتم تشغيل تحديثات التحليل الذكي للأمان.
    • أيقونة قائمة الحالة مخفية.
قسم قيمه
المجال com.microsoft.wdav
المفتاح مستوى الإنفاذ
نوع البيانات سلسلة
القيم المحتملة real_time (افتراضي)

on_demand

السلبي

تعليقات متوفر في Microsoft Defender لنقطة النهاية الإصدار 101.10.72 أو أعلى.

تمكين/تعطيل مراقبة السلوك

تحديد ما إذا كانت إمكانية مراقبة السلوك والحظر ممكنة على الجهاز أم لا.

ملاحظة

تنطبق هذه الميزة فقط عند تمكين ميزة Real-Time Protection.

قسم قيمه
المجال com.microsoft.wdav
المفتاح المراقبة السلوكية
نوع البيانات سلسلة
القيم المحتملة ذوي الاحتياجات الخاصه

ممكن (افتراضي)

تعليقات متوفر في Microsoft Defender لنقطة النهاية الإصدار 101.24042.0002 أو أعلى.

تكوين ميزة حساب تجزئة الملف

تمكين ميزة حساب تجزئة الملف أو تعطيلها. عند تمكين هذه الميزة، يحسب Defender لنقطة النهاية التجزئة للملفات التي يفحصها لتمكين مطابقة أفضل لقواعد المؤشر. على macOS، يتم النظر فقط في البرنامج النصي وملفات Mach-O (32 و64 بت) لحساب التجزئة هذا (من إصدار المحرك 1.1.20000.2 أو أعلى). لاحظ أن تمكين هذه الميزة قد يؤثر على أداء الجهاز. لمزيد من التفاصيل، يرجى الرجوع إلى: إنشاء مؤشرات للملفات.

قسم قيمه
المجال com.microsoft.wdav
المفتاح enableFileHashComputation
نوع البيانات منطقي
القيم المحتملة خطأ (افتراضي)

صحيح

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.86.81 أو أعلى.

تشغيل فحص بعد تحديث التعريفات

يحدد ما إذا كنت تريد بدء فحص العملية بعد تنزيل تحديثات معلومات الأمان الجديدة على الجهاز. يؤدي تمكين هذا الإعداد إلى تشغيل فحص مكافحة الفيروسات على عمليات تشغيل الجهاز.

قسم قيمه
المجال com.microsoft.wdav
المفتاح scanAfterDefinitionUpdate
نوع البيانات منطقي
القيم المحتملة true (افتراضي)

كاذبه

تعليقات متوفر في Microsoft Defender لنقطة النهاية الإصدار 101.41.10 أو أعلى.

مسح أرشيفات الفحص (عمليات فحص مكافحة الفيروسات عند الطلب فقط)

يحدد ما إذا كنت تريد مسح الأرشيفات ضوئيا أثناء عمليات فحص مكافحة الفيروسات عند الطلب.

قسم قيمه
المجال com.microsoft.wdav
المفتاح scanArchives
نوع البيانات منطقي
القيم المحتملة true (افتراضي)

كاذبه

تعليقات متوفر في Microsoft Defender لنقطة النهاية الإصدار 101.41.10 أو أعلى.

درجة التوازي للمسح الضوئي عند الطلب

يحدد درجة التوازي لإجراء عمليات الفحص عند الطلب. يتوافق هذا مع عدد مؤشرات الترابط المستخدمة لإجراء الفحص ويؤثر على استخدام وحدة المعالجة المركزية، بالإضافة إلى مدة الفحص عند الطلب.

قسم قيمه
المجال com.microsoft.wdav
المفتاح maximumOnDemandScanThreads
نوع البيانات صحيح
القيم المحتملة 2 (افتراضي). القيم المسموح بها هي أعداد صحيحة بين 1 و64.
تعليقات متوفر في Microsoft Defender لنقطة النهاية الإصدار 101.41.10 أو أعلى.

نهج دمج الاستبعاد

حدد نهج الدمج للاستبعادات. يمكن أن يكون هذا مزيجا من الاستثناءات المعرفة من قبل المسؤول والمعرفة من قبل المستخدم (merge)، أو الاستثناءات المعرفة من قبل المسؤول فقط (admin_only). يمكن استخدام هذا الإعداد لتقييد المستخدمين المحليين من تحديد استثناءاتهم.

قسم قيمه
المجال com.microsoft.wdav
المفتاح exclusionsMergePolicy
نوع البيانات سلسلة
القيم المحتملة دمج (افتراضي)

admin_only

تعليقات متوفر في Microsoft Defender لنقطة النهاية الإصدار 100.83.73 أو أعلى.

استثناءات الفحص

حدد الكيانات المستبعدة من الفحص. يمكن تحديد الاستثناءات بواسطة المسارات الكاملة أو الملحقات أو أسماء الملفات. (يتم تحديد الاستثناءات كصفيف من العناصر، يمكن للمسؤول تحديد العديد من العناصر حسب الضرورة، بأي ترتيب.)

قسم قيمه
المجال com.microsoft.wdav
المفتاح الاستبعادات
نوع البيانات القاموس (التفضيل المتداخل)
تعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.
نوع الاستبعاد

حدد المحتوى المستبعد من أن يتم مسحه ضوئيا حسب النوع.

قسم قيمه
المجال com.microsoft.wdav
المفتاح $type
نوع البيانات سلسلة
القيم المحتملة مسار مستبعد

excludedFileExtension

excludedFileName

المسار إلى المحتوى المستبعد

حدد المحتوى المستبعد من أن يتم مسحه ضوئيا بواسطة مسار الملف الكامل.

قسم قيمه
المجال com.microsoft.wdav
المفتاح مسار
نوع البيانات سلسلة
القيم المحتملة مسارات صالحة
تعليقات ينطبق فقط إذا تم استبعاد $type Path

أنواع الاستبعاد المدعومة

يعرض الجدول التالي أنواع الاستبعاد التي يدعمها Defender لنقطة النهاية على Mac.

الاستبعاد التعريف أمثلة
ملحق الملف جميع الملفات ذات الملحق، في أي مكان على الجهاز .test
ملف ملف محدد تم تحديده بواسطة المسار الكامل /var/log/test.log

/var/log/*.log

/var/log/install.?.log

المجلد كافة الملفات ضمن المجلد المحدد (بشكل متكرر) /var/log/

/var/*/

عمليه عملية معينة (محددة إما بواسطة المسار الكامل أو اسم الملف) وجميع الملفات التي تم فتحها بواسطةها /bin/cat

cat

c?t

هام

يجب أن تكون المسارات أعلاه روابط ثابتة، وليست ارتباطات رمزية، حتى يتم استبعادها بنجاح. يمكنك التحقق مما إذا كان المسار ارتباطا رمزيا عن طريق تشغيل file <path-name>.

تدعم استثناءات الملفات والمجلدات والعملية أحرف البدل التالية:

بدل الوصف المثال مباريات لا يتطابق
* يطابق أي عدد من الأحرف بما في ذلك لا شيء (لاحظ أنه عند استخدام حرف البدل هذا داخل مسار، فإنه سيستبدل مجلدا واحدا فقط) /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? يطابق أي حرف واحد file?.log file1.log

file2.log

file123.log

نوع المسار (ملف / دليل)

الإشارة إلى ما إذا كانت خاصية المسار تشير إلى ملف أو دليل.

قسم قيمه
المجال com.microsoft.wdav
المفتاح isDirectory
نوع البيانات منطقي
القيم المحتملة خطأ (افتراضي)

صحيح

تعليقات ينطبق فقط إذا تم استبعاد $type Path

تم استبعاد ملحق الملف من الفحص

حدد المحتوى المستبعد من أن يتم مسحه ضوئيا بواسطة ملحق الملف.

قسم قيمه
المجال com.microsoft.wdav
المفتاح ملحق
نوع البيانات سلسلة
القيم المحتملة ملحقات الملفات الصالحة
تعليقات ينطبق فقط إذا تم استبعاد $type FileExtension

العملية المستبعدة من الفحص

حدد عملية يتم استبعاد جميع نشاط الملف من الفحص لها. يمكن تحديد العملية إما باسمها (على سبيل المثال، cat) أو المسار الكامل (على سبيل المثال، /bin/cat).

قسم قيمه
المجال com.microsoft.wdav
المفتاح اسم
نوع البيانات سلسلة
القيم المحتملة أي سلسلة
تعليقات ينطبق فقط إذا تم استبعاد $type FileName

التهديدات المسموح بها

حدد التهديدات حسب الاسم التي لم يتم حظرها بواسطة Defender لنقطة النهاية على Mac. سيتم السماح بتشغيل هذه التهديدات.

قسم قيمه
المجال com.microsoft.wdav
المفتاح التهديدات المسموح بها
نوع البيانات صفيف من السلاسل

إجراءات التهديد غير المسموح بها

يقيد الإجراءات التي يمكن للمستخدم المحلي للجهاز اتخاذها عند اكتشاف التهديدات. لا يتم عرض الإجراءات المضمنة في هذه القائمة في واجهة المستخدم.

قسم قيمه
المجال com.microsoft.wdav
المفتاح غير مسموح بهThreatActions
نوع البيانات صفيف من السلاسل
القيم المحتملة السماح (يقيد المستخدمين من السماح بالتهديدات)

استعادة (يقيد المستخدمين من استعادة التهديدات من العزل)

تعليقات متوفر في Microsoft Defender لنقطة النهاية الإصدار 100.83.73 أو أعلى.

إعدادات نوع التهديد

حدد كيفية معالجة أنواع تهديدات معينة بواسطة Microsoft Defender لنقطة النهاية على macOS.

قسم قيمه
المجال com.microsoft.wdav
المفتاح threatTypeSettings
نوع البيانات القاموس (التفضيل المتداخل)
تعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.
نوع التهديد

حدد أنواع التهديدات.

قسم قيمه
المجال com.microsoft.wdav
المفتاح مفتاح
نوع البيانات سلسلة
القيم المحتملة potentially_unwanted_application

archive_bomb

الإجراء الذي يجب اتخاذه

حدد الإجراء الذي يجب اتخاذه عند اكتشاف تهديد من النوع المحدد في القسم السابق. اختر من الخيارات التالية:

  • التدقيق: جهازك غير محمي من هذا النوع من التهديدات، ولكن يتم تسجيل إدخال حول التهديد.
  • الحظر: جهازك محمي من هذا النوع من التهديدات ويتم إعلامك في واجهة المستخدم ووحدة تحكم الأمان.
  • إيقاف التشغيل: جهازك غير محمي من هذا النوع من التهديدات ولا يتم تسجيل أي شيء.
قسم قيمه
المجال com.microsoft.wdav
المفتاح قيمه
نوع البيانات سلسلة
القيم المحتملة التدقيق (افتراضي)

كتله

قباله

نهج دمج إعدادات نوع التهديد

حدد نهج الدمج لإعدادات نوع التهديد. يمكن أن يكون هذا مزيجا من الإعدادات المعرفة من قبل المسؤول والمعرفة من قبل المستخدم (merge) أو الإعدادات المعرفة من قبل المسؤول فقط (admin_only). يمكن استخدام هذا الإعداد لتقييد المستخدمين المحليين من تحديد الإعدادات الخاصة بهم للأنوع المختلفة من التهديدات.

قسم قيمه
المجال com.microsoft.wdav
المفتاح threatTypeSettingsMergePolicy
نوع البيانات سلسلة
القيم المحتملة دمج (افتراضي)

admin_only

تعليقات متوفر في Microsoft Defender لنقطة النهاية الإصدار 100.83.73 أو أعلى.

استبقاء محفوظات فحص برنامج الحماية من الفيروسات (بالأيام)

حدد عدد الأيام التي يتم فيها الاحتفاظ بالنتائج في محفوظات الفحص على الجهاز. تتم إزالة نتائج الفحص القديمة من المحفوظات. الملفات المعزولة القديمة التي تتم إزالتها أيضا من القرص.

قسم قيمه
المجال com.microsoft.wdav
المفتاح scanResultsRetentionDays
نوع البيانات سلسلة
القيم المحتملة 90 (افتراضي). تتراوح القيم المسموح بها من يوم واحد إلى 180 يوما.
تعليقات متوفر في Microsoft Defender لنقطة النهاية الإصدار 101.07.23 أو أعلى.

الحد الأقصى لعدد العناصر في سجل فحص مكافحة الفيروسات

حدد الحد الأقصى لعدد الإدخالات التي يجب الاحتفاظ بها في محفوظات الفحص. تتضمن الإدخالات جميع عمليات الفحص عند الطلب التي تم إجراؤها في الماضي وجميع عمليات الكشف عن مكافحة الفيروسات.

قسم قيمه
المجال com.microsoft.wdav
المفتاح scanHistoryMaximumItems
نوع البيانات سلسلة
القيم المحتملة 10000 (افتراضي). القيم المسموح بها هي من 5000 عنصر إلى 15000 عنصر.
تعليقات متوفر في Microsoft Defender لنقطة النهاية الإصدار 101.07.23 أو أعلى.

تفضيلات الحماية المقدمة من السحابة

تكوين ميزات الحماية المستندة إلى السحابة ل Microsoft Defender لنقطة النهاية على macOS.

قسم قيمه
المجال com.microsoft.wdav
المفتاح خدمة السحابة
نوع البيانات القاموس (التفضيل المتداخل)
تعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.

تمكين / تعطيل الحماية المقدمة من السحابة

حدد ما إذا كنت تريد تمكين الحماية التي توفرها السحابة للجهاز أم لا. لتحسين أمان خدماتك، نوصي بالاحتفاظ بهذه الميزة قيد التشغيل.

قسم قيمه
المجال com.microsoft.wdav
المفتاح تمكين
نوع البيانات منطقي
القيم المحتملة true (افتراضي)

كاذبه

مستوى مجموعة التشخيص

يتم استخدام البيانات التشخيصية للحفاظ على أمان Microsoft Defender لنقطة النهاية وتحديثها، واكتشاف المشاكل وتشخيصها وإصلاحها، وكذلك إجراء تحسينات على المنتج. يحدد هذا الإعداد مستوى التشخيصات المرسلة بواسطة Microsoft Defender لنقطة النهاية إلى Microsoft.

قسم قيمه
المجال com.microsoft.wdav
المفتاح مستوى التشخيص
نوع البيانات سلسلة
القيم المحتملة اختياري (افتراضي)

مطلوب

تكوين مستوى كتلة السحابة

يحدد هذا الإعداد مدى قوة Defender لنقطة النهاية في حظر الملفات المشبوهة ومسحها ضوئيا. إذا كان هذا الإعداد قيد التشغيل، فسيكون Defender لنقطة النهاية أكثر عدوانية عند تحديد الملفات المشبوهة لحظرها ومسحها ضوئيا؛ وإلا، سيكون أقل عدوانية وبالتالي حظر ومسح ضوئي بتردد أقل. هناك خمس قيم لتعيين مستوى كتلة السحابة:

  • عادي (normal): مستوى الحظر الافتراضي.
  • معتدل (moderate): يصدر الحكم فقط للكشف عن الثقة العالية.
  • عالي (high): يحظر بشدة الملفات غير المعروفة أثناء التحسين للأداء (فرصة أكبر لحظر الملفات غير الضارة).
  • High Plus (high_plus): يحظر بشدة الملفات غير المعروفة ويطبق مقاييس حماية إضافية (قد يؤثر على أداء جهاز العميل).
  • عدم التسامح (zero_tolerance): حظر جميع البرامج غير المعروفة.
قسم قيمه
المجال com.microsoft.wdav
المفتاح cloudBlockLevel
نوع البيانات سلسلة
القيم المحتملة عادي (افتراضي)

معتدله

عاليه

high_plus

zero_tolerance

تعليقات متوفر في Defender لنقطة النهاية الإصدار 101.56.62 أو أعلى.

تمكين / تعطيل عمليات إرسال العينة التلقائية

تحديد ما إذا كانت العينات المشبوهة (التي من المحتمل أن تحتوي على تهديدات) يتم إرسالها إلى Microsoft. هناك ثلاثة مستويات للتحكم في إرسال العينة:

  • لا شيء: لا يتم إرسال أي عينات مريبة إلى Microsoft.
  • آمن: يتم إرسال العينات المشبوهة التي لا تحتوي على معلومات تعريف شخصية (PII) فقط تلقائيا. هذه هي القيمة الافتراضية لهذا الإعداد.
  • الكل: يتم إرسال جميع العينات المشبوهة إلى Microsoft.
الوصف قيمه
المفتاح automaticSampleSubmissionConsent
نوع البيانات سلسلة
القيم المحتملة اي

آمن (افتراضي)

جميع

تمكين / تعطيل تحديثات التحليل الذكي للأمان التلقائي

تحديد ما إذا كانت تحديثات التحليل الذكي للأمان مثبتة تلقائيا:

قسم قيمه
المفتاح automaticDefinitionUpdateEnabled
نوع البيانات منطقي
القيم المحتملة true (افتراضي)

كاذبه

تفضيلات واجهة المستخدم

إدارة تفضيلات واجهة المستخدم ل Microsoft Defender لنقطة النهاية على macOS.

قسم قيمه
المجال com.microsoft.wdav
المفتاح userInterface
نوع البيانات القاموس (التفضيل المتداخل)
تعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.

إظهار / إخفاء أيقونة قائمة الحالة

حدد ما إذا كنت تريد إظهار أيقونة قائمة الحالة أو إخفاؤها في الزاوية العلوية اليسرى من الشاشة.

قسم قيمه
المجال com.microsoft.wdav
المفتاح hideStatusMenuIcon
نوع البيانات منطقي
القيم المحتملة خطأ (افتراضي)

صحيح

إظهار / إخفاء الخيار لإرسال الملاحظات

حدد ما إذا كان يمكن للمستخدمين إرسال ملاحظاتهم إلى Microsoft بالانتقال إلى Help>Send Feedback.

قسم قيمه
المجال com.microsoft.wdav
المفتاح userInitiatedFeedback
نوع البيانات سلسلة
القيم المحتملة ممكن (افتراضي)

ذوي الاحتياجات الخاصه

تعليقات متوفر في Microsoft Defender لنقطة النهاية الإصدار 101.19.61 أو أعلى.

التحكم في تسجيل الدخول إلى إصدار المستهلك من Microsoft Defender

حدد ما إذا كان يمكن للمستخدمين تسجيل الدخول إلى إصدار المستهلك من Microsoft Defender.

قسم قيمه
المجال com.microsoft.wdav
المفتاح الخبرة الاستهلاكية
نوع البيانات سلسلة
القيم المحتملة ممكن (افتراضي)

ذوي الاحتياجات الخاصه

تعليقات متوفر في Microsoft Defender لنقطة النهاية الإصدار 101.60.18 أو أعلى.

تفضيلات الكشف عن نقطة النهاية والاستجابة لها

إدارة تفضيلات مكون الكشف عن نقطة النهاية والاستجابة لها (EDR) في Microsoft Defender لنقطة النهاية على macOS.

قسم قيمه
المجال com.microsoft.wdav
المفتاح يدر
نوع البيانات القاموس (التفضيل المتداخل)
تعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.

علامات الجهاز

حدد اسم علامة وقيمتها.

  • علامة GROUP تحدد الجهاز بالقيمة المحددة. تنعكس العلامة في المدخل ضمن صفحة الجهاز ويمكن استخدامها لتصفية الأجهزة وتجميعها.
قسم قيمه
المجال com.microsoft.wdav
المفتاح العلامات
نوع البيانات القاموس (التفضيل المتداخل)
تعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.
نوع العلامة

تحديد نوع العلامة

قسم قيمه
المجال com.microsoft.wdav
المفتاح مفتاح
نوع البيانات سلسلة
القيم المحتملة GROUP
قيمة العلامة

تحديد قيمة العلامة

قسم قيمه
المجال com.microsoft.wdav
المفتاح قيمه
نوع البيانات سلسلة
القيم المحتملة أي سلسلة

هام

  • يمكن تعيين قيمة واحدة فقط لكل نوع علامة.
  • نوع العلامات فريد، ويجب عدم تكراره في نفس ملف تعريف التكوين.

معرف المجموعة

معرفات مجموعة EDR

قسم قيمه
المجال com.microsoft.wdav
المفتاح معرفات المجموعة
نوع البيانات سلسلة
تعليقات معرف المجموعة

الحماية من العبث

إدارة تفضيلات مكون الحماية من العبث في Microsoft Defender لنقطة النهاية على macOS.

قسم قيمه
المجال com.microsoft.wdav
المفتاح الحماية من العبث
نوع البيانات القاموس (التفضيل المتداخل)
تعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.

مستوى الإنفاذ

إذا تم تمكين الحماية من العبث وإذا كان في الوضع الصارم

قسم قيمه
المجال com.microsoft.wdav
المفتاح مستوى الإنفاذ
نوع البيانات سلسلة
تعليقات واحد من "معطل" أو "تدقيق" أو "كتلة"

القيم المحتملة:

  • معطل - تم إيقاف تشغيل الحماية من العبث، ولا يتم منع الهجمات أو الإبلاغ إلى السحابة
  • التدقيق - تبلغ الحماية من العبث عن محاولات العبث بالسحابة فقط، ولكنها لا تحظرها
  • block - الحماية من العبث بكل من الكتل والتقارير عن الهجمات إلى السحابة

الاستثناءات

يحدد العمليات المسموح بها لتغيير أصل Microsoft Defender، دون التفكير في العبث. يجب توفير إما المسار أو teamId أو signingId أو تركيبتها. يمكن توفير Args بالإضافة إلى ذلك، لتحديد العملية المسموح بها بشكل أكثر دقة.

قسم قيمه
المجال com.microsoft.wdav
المفتاح الاستبعادات
نوع البيانات القاموس (التفضيل المتداخل)
تعليقات راجع الأقسام التالية للحصول على وصف لمحتويات القاموس.
مسار

المسار الدقيق للعملية القابلة للتنفيذ.

قسم قيمه
المجال com.microsoft.wdav
المفتاح مسار
نوع البيانات سلسلة
تعليقات في حالة وجود برنامج نصي shell، سيكون المسار الدقيق إلى ثنائي المترجم، على سبيل المثال. /bin/zsh لا يسمح باستخدام أحرف البدل.
معرف الفريق

Apple's "Team Id" للمورد.

قسم قيمه
المجال com.microsoft.wdav
المفتاح معرف الفريق
نوع البيانات سلسلة
تعليقات على سبيل المثال، UBF8T346G9 ل Microsoft
معرف التوقيع

Apple 's Signing Id' للحزمة.

قسم قيمه
المجال com.microsoft.wdav
المفتاح معرف التوقيع
نوع البيانات سلسلة
تعليقات على سبيل المثال، com.apple.ruby لمترجم Ruby
وسيطات المعالجة

يستخدم بالاشتراك مع معلمات أخرى لتحديد العملية.

قسم قيمه
المجال com.microsoft.wdav
المفتاح معرف التوقيع
نوع البيانات صفيف من السلاسل
تعليقات إذا تم تحديدها، يجب أن تتطابق وسيطة العملية مع هذه الوسيطات تماما، حساسة لحالة الأحرف

للبدء، نوصي بالتكوين التالي لمؤسستك للاستفادة من جميع ميزات الحماية التي يوفرها Microsoft Defender لنقطة النهاية.

سيقوم ملف تعريف التكوين التالي (أو، في حالة JAMF، قائمة خصائص يمكن تحميلها في ملف تعريف تكوين الإعدادات المخصصة) بما يلي:

  • تمكين الحماية في الوقت الحقيقي (RTP)
  • حدد كيفية معالجة أنواع التهديدات التالية:
    • يتم حظر التطبيقات غير المرغوب فيها (PUA)
    • يتم تدقيق قنابل الأرشيف (ملف بمعدل ضغط عال) إلى Microsoft Defender لسجلات نقطة النهاية
  • تمكين تحديثات التحليل الذكي للأمان التلقائي
  • تمكين الحماية المقدمة من السحابة
  • تمكين إرسال العينة التلقائي
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

مثال على ملف تعريف التكوين الكامل

تحتوي القوالب التالية على إدخالات لجميع الإعدادات الموضحة في هذا المستند ويمكن استخدامها لسيناريوهات أكثر تقدما حيث تريد المزيد من التحكم في Microsoft Defender لنقطة النهاية على macOS.

قائمة الخصائص لملف تعريف التكوين الكامل ل JAMF

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>scanAfterDefinitionUpdate</key>
        <true/>
        <key>scanArchives</key>
        <true/>
        <key>maximumOnDemandScanThreads</key>
        <integer>2</integer>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/Users/*/git</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
        <key>cloudBlockLevel</key>
        <string>normal</string>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
        <key>exclusions</key>
        <array>
        <dict>
            <key>path</key>
            <string>/bin/zsh</string>
            <key>teamId</key>
            <string/>
            <key>signingId</key>
            <string>com.apple.zsh</string>
            <key>args</key>
            <array>
            <string>/usr/local/bin/test.sh</string>
            </array>
        </dict>
        <dict>
            <key>path</key>
            <string>/usr/local/jamf/bin/jamf</string>
            <key>teamId</key>
            <string>483DWKW443</string>
            <key>signingId</key>
            <string>com.jamfsoftware.jamf</string>
        </dict>
        </array>            
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
        <key>userInitiatedFeedback</key>
        <string>enabled</string>
    </dict>
</dict>
</plist>

ملف تعريف Intune الكامل

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>scanAfterDefinitionUpdate</key>
                    <true/>
                    <key>scanArchives</key>
                    <true/>
                    <key>maximumOnDemandScanThreads</key>
                    <integer>1</integer>
                    <key>exclusions</key>
                    <array>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <false/>
                            <key>path</key>
                            <string>/var/log/system.log</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/home</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/Users/*/git</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileExtension</string>
                            <key>extension</key>
                            <string>pdf</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileName</string>
                            <key>name</key>
                            <string>cat</string>
                        </dict>
                    </array>
                    <key>exclusionsMergePolicy</key>
                    <string>merge</string>
                    <key>allowedThreats</key>
                    <array>
                        <string>EICAR-Test-File (not a virus)</string>
                    </array>
                    <key>disallowedThreatActions</key>
                    <array>
                        <string>allow</string>
                        <string>restore</string>
                    </array>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                    <key>threatTypeSettingsMergePolicy</key>
                    <string>merge</string>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>diagnosticLevel</key>
                    <string>optional</string>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                    <key>cloudBlockLevel</key>
                    <string>normal</string>
                </dict>
                <key>edr</key>
                <dict>
                    <key>tags</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>GROUP</string>
                            <key>value</key>
                            <string>ExampleTag</string>
                        </dict>
                    </array>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                    <key>exclusions</key>
                    <array>
                    <dict>
                        <key>path</key>
                        <string>/bin/zsh</string>
                        <key>teamId</key>
                        <string/>
                        <key>signingId</key>
                        <string>com.apple.zsh</string>
                        <key>args</key>
                        <array>
                        <string>/usr/local/bin/test.sh</string>
                        </array>
                    </dict>
                    <dict>
                        <key>path</key>
                        <string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
                        <key>teamId</key>
                        <string>UBF8T346G9</string>
                        <key>signingId</key>
                        <string>IntuneMdmDaemon</string>
                    </dict>
                    </array>            
                </dict>
                <key>userInterface</key>
                <dict>
                    <key>hideStatusMenuIcon</key>
                    <false/>
                    <key>userInitiatedFeedback</key>
                    <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

التحقق من صحة قائمة الخصائص

يجب أن تكون قائمة الخصائص ملف .plist صالحا. يمكن التحقق من ذلك عن طريق تنفيذ:

plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK

إذا كان الملف جيد التكوين، يقوم الأمر أعلاه بإخراج OK وإرجاع رمز خروج من 0. وإلا، يتم عرض خطأ يصف المشكلة ويعيد الأمر رمز خروج من 1.

توزيع ملف تعريف التكوين

بمجرد إنشاء ملف تعريف التكوين لمؤسستك، يمكنك توزيعه من خلال وحدة تحكم الإدارة التي تستخدمها مؤسستك. توفر الأقسام التالية إرشادات حول كيفية نشر ملف التعريف هذا باستخدام JAMF وIntune.

توزيع JAMF

من وحدة تحكم JAMF، افتحملفات تعريف تكوينأجهزة الكمبيوتر>، وانتقل إلى ملف تعريف التكوين الذي تريد استخدامه، ثم حدد إعدادات مخصصة. قم بإنشاء إدخال باستخدام com.microsoft.wdav كمجال التفضيل وقم بتحميل .plist الذي تم إنتاجه سابقا.

الحذر

يجب إدخال مجال التفضيل الصحيح (com.microsoft.wdav)؛ وإلا، لن يتم التعرف على التفضيلات من قبل Microsoft Defender لنقطة النهاية.

توزيع Intune

  1. افتحملفات تعريف تكوينالأجهزة>. حدد إنشاء ملف تعريف.

  2. اختر اسما لملف التعريف. قم بتغيير Platform=macOS إلى Profile type=Templates واختر Custom في قسم template name. حدد تكوين.

  3. احفظ .plist الذي تم إنتاجه سابقا باسم com.microsoft.wdav.xml.

  4. أدخل com.microsoft.wdavكاسم ملف تعريف التكوين المخصص.

  5. افتح ملف تعريف التكوين وقم بتحميل com.microsoft.wdav.xml الملف. (تم إنشاء هذا الملف في الخطوة 3.)

  6. حدد موافق.

  7. حدد إدارة>التعيينات. في علامة التبويب Include ، حدد Assign to All Users & All devices.

الحذر

يجب إدخال اسم ملف تعريف التكوين المخصص الصحيح؛ وإلا، لن يتم التعرف على هذه التفضيلات من قبل Microsoft Defender لنقطة النهاية.

الموارد

تلميح

هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.