Nastavení předvoleb pro Microsoft Defender pro koncový bod v macOSu
Platí pro:
- Microsoft Defender for Endpoint v macOS
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
Důležité
Tento článek obsahuje pokyny, jak nastavit předvolby pro Microsoft Defender for Endpoint v macOS v podnikových organizacích. Informace o konfiguraci Microsoft Defenderu for Endpoint v systému macOS pomocí rozhraní příkazového řádku najdete v části Zdroje informací.
Souhrn
V podnikových organizacích je možné spravovat Microsoft Defender for Endpoint v systému macOS prostřednictvím konfiguračního profilu, který se nasazuje pomocí jednoho z několika nástrojů pro správu. Předvolby spravované vaším týmem pro operace zabezpečení mají přednost před předvolbmi nastavenými místně na zařízení. Změna předvoleb nastavených prostřednictvím konfiguračního profilu vyžaduje eskalovaná oprávnění a není dostupná pro uživatele bez oprávnění správce.
Tento článek popisuje strukturu konfiguračního profilu, obsahuje doporučený profil, který můžete použít k zahájení práce, a obsahuje pokyny k nasazení profilu.
Struktura konfiguračního profilu
Konfigurační profil je soubor .plist , který se skládá z položek identifikovaných klíčem (který označuje název předvolby) následovaných hodnotou, která závisí na povaze předvolby. Hodnoty můžou být buď jednoduché (například číselná hodnota), nebo složité, například vnořený seznam předvoleb.
Upozornění
Rozložení konfiguračního profilu závisí na konzole pro správu, kterou používáte. Následující části obsahují příklady konfiguračních profilů pro JAMF a Intune.
Nejvyšší úroveň konfiguračního profilu zahrnuje předvolby pro celý produkt a položky pro podoblasti Microsoft Defenderu for Endpoint, které jsou podrobněji vysvětleny v dalších částech.
Předvolby antivirového modulu
Část antivirusEngine konfiguračního profilu slouží ke správě předvoleb antivirové součásti microsoft defenderu for Endpoint.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | antivirusEngine |
| Datový typ | Slovník (vnořená předvolba) |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Úroveň vynucování pro antivirový modul
Určuje předvolbu vynucení antivirového modulu. Pro nastavení úrovně vynucení existují tři hodnoty:
- Ochrana v reálném čase (
real_time): Ochrana v reálném čase (kontrola souborů při přístupu) je povolená. - Na vyžádání (
on_demand): Soubory se kontrolují jenom na vyžádání. V tomto:- Ochrana v reálném čase je vypnutá.
- Pasivní (
passive): Spustí antivirový modul v pasivním režimu. V tomto:- Ochrana v reálném čase je vypnutá.
- Kontrola na vyžádání je zapnutá.
- Automatická náprava hrozeb je vypnutá.
- Aktualizace bezpečnostních informací jsou zapnuté.
- Ikona stavové nabídky je skrytá.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | enforcementLevel |
| Datový typ | String |
| Možné hodnoty | real_time (výchozí) on_demand Pasivní |
| Komentáře | K dispozici v Programu Microsoft Defender for Endpoint verze 101.10.72 nebo novější. |
Povolení nebo zakázání monitorování chování
Určuje, jestli je na zařízení povolené monitorování a blokování chování.
Poznámka
Tato funkce je použitelná jenom v případě, že je povolená funkce Real-Time Protection.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | behaviorMonitoring |
| Datový typ | String |
| Možné hodnoty | Zakázán povoleno (výchozí) |
| Komentáře | K dispozici v Microsoft Defenderu for Endpoint verze 101.24042.0002 nebo novější. |
Konfigurace funkce výpočtu hodnoty hash souboru
Povolí nebo zakáže funkci výpočtu hodnoty hash souboru. Když je tato funkce povolená, Defender for Endpoint vypočítá hodnoty hash souborů, které kontroluje, aby bylo možné lépe porovnávat pravidla indikátorů. V systému macOS se pro tento výpočet hodnoty hash (od modulu verze 1.1.20000.2 nebo novější) uvažují pouze skript a soubory Mach-O (32bitová a 64bitová verze). Mějte na paměti, že povolení této funkce může mít vliv na výkon zařízení. Další podrobnosti najdete v tématu Vytvoření indikátorů pro soubory.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | enableFileHashComputation |
| Datový typ | Boolean |
| Možné hodnoty | false (výchozí) Pravda |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.86.81 nebo novější. |
Po aktualizaci definic spusťte kontrolu.
Určuje, jestli se má spustit kontrola procesu po stažení nových aktualizací bezpečnostních informací do zařízení. Povolením tohoto nastavení se aktivuje antivirová kontrola spuštěných procesů zařízení.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | scanAfterDefinitionUpdate |
| Datový typ | Boolean |
| Možné hodnoty | true (výchozí) False |
| Komentáře | K dispozici v Microsoft Defenderu for Endpoint verze 101.41.10 nebo novější. |
Prohledat archivy (jenom antivirové kontroly na vyžádání)
Určuje, zda se mají prohledávat archivy během antivirových kontrol na vyžádání.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | scanArchives |
| Datový typ | Boolean |
| Možné hodnoty | true (výchozí) False |
| Komentáře | K dispozici v Microsoft Defenderu for Endpoint verze 101.41.10 nebo novější. |
Stupeň paralelismu pro kontroly na vyžádání
Určuje stupeň paralelismu pro kontroly na vyžádání. To odpovídá počtu vláken použitých k provedení kontroly a ovlivňuje využití procesoru a také dobu trvání kontroly na vyžádání.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | maximumOnDemandScanThreads |
| Datový typ | Celé číslo |
| Možné hodnoty | 2 (výchozí). Povolené hodnoty jsou celá čísla mezi 1 a 64. |
| Komentáře | K dispozici v Microsoft Defenderu for Endpoint verze 101.41.10 nebo novější. |
Zásady sloučení vyloučení
Zadejte zásadu sloučení pro vyloučení. Může se jednat o kombinaci vyloučení definovaných správcem a uživatelem (merge), nebo pouze vyloučení definovaná správcem (admin_only). Toto nastavení lze použít k omezení místních uživatelů v definování vlastních vyloučení.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | exclusionsMergePolicy |
| Datový typ | String |
| Možné hodnoty | sloučení (výchozí) admin_only |
| Komentáře | K dispozici v Microsoft Defenderu for Endpoint verze 100.83.73 nebo novější. |
Vyloučení kontroly
Zadejte entity vyloučené z kontrol. Vyloučení mohou být určena úplnými cestami, příponami nebo názvy souborů. (Vyloučení se zadávají jako pole položek, správce může určit tolik prvků, kolik je potřeba, v libovolném pořadí.)
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | Vyloučení |
| Datový typ | Slovník (vnořená předvolba) |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Typ vyloučení
Zadejte obsah vyloučený z vyhledávání podle typu.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | $type |
| Datový typ | String |
| Možné hodnoty | excludedPath excludedFileExtension excludedFileName |
Cesta k vyloučenýmu obsahu
Zadejte obsah vyloučený z vyhledávání úplnou cestou k souboru.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | Cestu |
| Datový typ | String |
| Možné hodnoty | platné cesty |
| Komentáře | Platí jenom v případě, že je $typevyloučenaPath. |
Podporované typy vyloučení
Následující tabulka uvádí typy vyloučení podporované defenderem for Endpoint na Macu.
| Vyloučení | Vysvětlení | Příklady |
|---|---|---|
| Přípona souboru | Všechny soubory s příponou kdekoli na zařízení | .test |
| Soubor | Konkrétní soubor identifikovaný úplnou cestou | /var/log/test.log |
| Složka | Všechny soubory v zadané složce (rekurzivně) | /var/log/ |
| Proces | Konkrétní proces (zadaný úplnou cestou nebo názvem souboru) a všechny soubory, které otevřel | /bin/cat |
Důležité
Výše uvedené cesty musí být pevné, nikoli symbolické odkazy, aby byly úspěšně vyloučeny. Spuštěním příkazu můžete zkontrolovat, jestli je cesta symbolickým odkazem file <path-name>.
Vyloučení souborů, složek a procesů podporují následující zástupné cardy:
| Zástupný znak | Popis | Příklad | Odpovídá | Neodpovídá |
|---|---|---|---|---|
| * | Odpovídá libovolnému počtu znaků včetně žádného (všimněte si, že pokud se tento zástupný znak použije v cestě, nahradí pouze jednu složku). | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | Odpovídá jakémukoli jednomu znaku. | file?.log |
file1.log |
file123.log |
Typ cesty (soubor nebo adresář)
Určuje, jestli vlastnost path odkazuje na soubor nebo adresář.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | isDirectory |
| Datový typ | Boolean |
| Možné hodnoty | false (výchozí) Pravda |
| Komentáře | Platí jenom v případě, že je $typevyloučenaPath. |
Přípona souboru vyloučená z kontroly
Zadejte obsah vyloučený z kontrol pomocí přípony souboru.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | Rozšíření |
| Datový typ | String |
| Možné hodnoty | platné přípony souborů |
| Komentáře | Platí pouze v případě, že je $typevyloučenoFileExtension. |
Proces vyloučený z kontroly
Zadejte proces, pro který je z kontroly vyloučena veškerá aktivita souborů. Proces lze zadat buď názvem (například ) nebo catúplnou cestou (například /bin/cat).
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | Jméno |
| Datový typ | String |
| Možné hodnoty | libovolný řetězec |
| Komentáře | Platí pouze v případě, že je $typevyloučenoFileName. |
Povolené hrozby
Zadejte hrozby podle názvu, které defender for Endpoint na Macu neblokuje. Tyto hrozby budou moci běžet.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | allowedThreats |
| Datový typ | Pole řetězců |
Nepovolené akce hrozeb
Omezuje akce, které může místní uživatel zařízení provést, když jsou zjištěny hrozby. Akce zahrnuté v tomto seznamu se v uživatelském rozhraní nezobrazují.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | disallowedThreatActions |
| Datový typ | Pole řetězců |
| Možné hodnoty | povolit (omezuje uživatele v povolování hrozeb) obnovení (omezuje uživatele v obnovování hrozeb z karantény) |
| Komentáře | K dispozici v Microsoft Defenderu for Endpoint verze 100.83.73 nebo novější. |
Nastavení typu hrozby
Určete, jak bude Microsoft Defender for Endpoint v macOS zpracovávat určité typy hrozeb.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | threatTypeSettings |
| Datový typ | Slovník (vnořená předvolba) |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Typ hrozby
Zadejte typy hrozeb.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | Klíč |
| Datový typ | String |
| Možné hodnoty | potentially_unwanted_application archive_bomb |
Akce, která se má provést
Určete, jakou akci se má provést při zjištění hrozby typu zadaného v předchozí části. Zvolte některou z následujících možností:
- Audit: Vaše zařízení není chráněné před tímto typem hrozby, ale zaprotokoluje se záznam o hrozbě.
- Blokovat: Vaše zařízení je chráněné před tímto typem hrozby a budete upozorněni v uživatelském rozhraní a v konzole zabezpečení.
- Vypnuto: Vaše zařízení není chráněné před tímto typem hrozby a nic se nezaprotokoluje.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | Hodnotu |
| Datový typ | String |
| Možné hodnoty | audit (výchozí) Blok vypnuto |
Zásady sloučení nastavení typu hrozby
Zadejte zásadu sloučení pro nastavení typu hrozby. Může se jednat o kombinaci nastavení definovaných správcem a uživatelem (merge) nebo pouze nastavení definovaných správcem (admin_only). Toto nastavení se dá použít k tomu, aby místní uživatelé mohli definovat vlastní nastavení pro různé typy hrozeb.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | threatTypeSettingsMergePolicy |
| Datový typ | String |
| Možné hodnoty | sloučení (výchozí) admin_only |
| Komentáře | K dispozici v Microsoft Defenderu for Endpoint verze 100.83.73 nebo novější. |
Uchovávání historie kontrol antivirové ochrany (ve dnech)
Zadejte počet dnů, po který se výsledky zachovají v historii kontrol na zařízení. Staré výsledky kontroly se z historie odeberou. Staré soubory v karanténě, které jsou také odebrány z disku.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | scanResultsRetentionDays |
| Datový typ | String |
| Možné hodnoty | 90 (výchozí). Povolené hodnoty jsou od 1 do 180 dnů. |
| Komentáře | K dispozici v Microsoft Defenderu for Endpoint verze 101.07.23 nebo novější. |
Maximální počet položek v historii antivirových kontrol
Zadejte maximální počet položek, které se mají zachovat v historii kontrol. Položky zahrnují všechny kontroly na vyžádání provedené v minulosti a všechny antivirové detekce.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | scanHistoryMaximumItems |
| Datový typ | String |
| Možné hodnoty | 10000 (výchozí). Povolené hodnoty jsou od 5000 položek do 15 000 položek. |
| Komentáře | K dispozici v Microsoft Defenderu for Endpoint verze 101.07.23 nebo novější. |
Předvolby ochrany poskytované v cloudu
Nakonfigurujte funkce cloudové ochrany Microsoft Defenderu for Endpoint v systému macOS.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | cloudService |
| Datový typ | Slovník (vnořená předvolba) |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Povolení nebo zakázání cloudové ochrany
Určete, jestli chcete povolit cloudovou ochranu zařízení nebo ne. Pokud chcete zlepšit zabezpečení vašich služeb, doporučujeme nechat tuto funkci zapnutou.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | Povoleno |
| Datový typ | Boolean |
| Možné hodnoty | true (výchozí) False |
Úroveň shromažďování diagnostických dat
Diagnostická data slouží k udržování Microsoft Defenderu for Endpoint v zabezpečeném a aktualizovaném stavu, zjišťování, diagnostice a řešení problémů a také k vylepšování produktů. Toto nastavení určuje úroveň diagnostiky odesílané Microsoft Defenderem for Endpoint do Microsoftu.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | diagnosticLevel |
| Datový typ | String |
| Možné hodnoty | volitelné (výchozí) Požadované |
Konfigurace úrovně cloudového bloku
Toto nastavení určuje, jak agresivní bude Defender for Endpoint při blokování a kontrole podezřelých souborů. Pokud je toto nastavení zapnuté, bude Defender for Endpoint při identifikaci podezřelých souborů k blokování a kontrole agresivnější. jinak bude méně agresivní, a proto bude blokovat a skenovat s menší frekvencí. Pro nastavení úrovně cloudového bloku existuje pět hodnot:
- Normal (
normal): Výchozí úroveň blokování. - Střední (
moderate): Poskytuje verdikt pouze pro detekce vysoké spolehlivosti. - Vysoká (
high): Agresivně blokuje neznámé soubory při optimalizaci výkonu (větší pravděpodobnost blokování souborů, které nejsou škodlivé). - Vysoké plus (
high_plus): Agresivně blokuje neznámé soubory a používá další ochranná opatření (může mít vliv na výkon klientského zařízení). - Nulová tolerance (
zero_tolerance): Blokuje všechny neznámé programy.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | cloudBlockLevel |
| Datový typ | String |
| Možné hodnoty | normal (výchozí) Střední Vysoké high_plus zero_tolerance |
| Komentáře | K dispozici v Defenderu for Endpoint verze 101.56.62 nebo novější. |
Povolení nebo zakázání automatického odesílání vzorků
Určuje, jestli se microsoftu odesílají podezřelé vzorky (které pravděpodobně budou obsahovat hrozby). Existují tři úrovně řízení odesílání vzorků:
- Žádné: Microsoftu se neposílají žádné podezřelé vzorky.
- Bezpečné: Automaticky se odesílají jenom podezřelé vzorky, které neobsahují identifikovatelné osobní údaje. Toto je výchozí hodnota pro toto nastavení.
- Vše: Microsoftu se odesílají všechny podezřelé vzorky.
| Popis | Hodnota |
|---|---|
| Klíč | automaticSampleSubmissionConsent |
| Datový typ | String |
| Možné hodnoty | žádné bezpečné (výchozí) Všechny |
Povolení nebo zakázání automatických aktualizací bezpečnostních informací
Určuje, jestli se aktualizace bezpečnostních funkcí instalují automaticky:
| Oddíl | Hodnota |
|---|---|
| Klíč | automaticDefinitionUpdateEnabled |
| Datový typ | Boolean |
| Možné hodnoty | true (výchozí) False |
Předvolby uživatelského rozhraní
Spravujte předvolby uživatelského rozhraní Microsoft Defenderu for Endpoint v systému macOS.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | userInterface |
| Datový typ | Slovník (vnořená předvolba) |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Zobrazit nebo skrýt ikonu stavové nabídky
Určete, jestli se má ikona stavové nabídky zobrazit nebo skrýt v pravém horním rohu obrazovky.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | hideStatusMenuIcon |
| Datový typ | Boolean |
| Možné hodnoty | false (výchozí) Pravda |
Zobrazit nebo skrýt možnost odeslání zpětné vazby
Určete, jestli uživatelé můžou odeslat zpětnou vazbu do Microsoftu tak, že přejdou na Help>Send Feedback.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | userInitiatedFeedback |
| Datový typ | String |
| Možné hodnoty | povoleno (výchozí) Zakázán |
| Komentáře | K dispozici v Microsoft Defenderu for Endpoint verze 101.19.61 nebo novější. |
Řízení přihlášení k uživatelské verzi Microsoft Defenderu
Určete, jestli se uživatelé můžou přihlásit k uživatelské verzi Microsoft Defenderu.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | consumerExperience |
| Datový typ | String |
| Možné hodnoty | povoleno (výchozí) Zakázán |
| Komentáře | K dispozici v Microsoft Defenderu for Endpoint verze 101.60.18 nebo novější. |
Předvolby detekce a odezvy koncových bodů
Správa předvoleb komponenty detekce a odezvy koncových bodů (EDR) v Microsoft Defenderu for Endpoint v systému macOS
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | Edr |
| Datový typ | Slovník (vnořená předvolba) |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Značky zařízení
Zadejte název značky a její hodnotu.
- Značka GROUP označí zařízení zadanou hodnotou. Značka se projeví na portálu na stránce zařízení a dá se použít k filtrování a seskupování zařízení.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | Tagy |
| Datový typ | Slovník (vnořená předvolba) |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Typ značky
Určuje typ značky.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | Klíč |
| Datový typ | String |
| Možné hodnoty | GROUP |
Hodnota značky
Určuje hodnotu značky.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | Hodnotu |
| Datový typ | String |
| Možné hodnoty | libovolný řetězec |
Důležité
- Pro každý typ značky je možné nastavit pouze jednu hodnotu.
- Typ značek je jedinečný a neměl by se opakovat ve stejném konfiguračním profilu.
Identifikátor skupiny
Identifikátory skupin EDR
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | id skupiny |
| Datový typ | String |
| Komentáře | Identifikátor skupiny |
Ochrana před falšováním
Spravujte předvolby komponenty Ochrana před falšováním v Microsoft Defenderu for Endpoint v systému macOS.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | tamperProtection |
| Datový typ | Slovník (vnořená předvolba) |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Úroveň vynucení
Jestli je povolená ochrana před falšováním a jestli je v přísném režimu
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | enforcementLevel |
| Datový typ | String |
| Komentáře | Jeden z "disabled", 'audit' nebo 'block' |
Možné hodnoty:
- zakázáno – Ochrana před falšováním je vypnutá, žádná prevence útoků ani hlášení do cloudu
- audit – ochrana před falšováním hlásí pokusy o manipulaci pouze do cloudu, ale neblokuje je
- block – Ochrana proti falšování blokuje a hlásí útoky na cloud
Vyloučení
Definuje procesy, kterým je povoleno měnit prostředky programu Microsoft Defender, aniž by bylo nutné zvážit manipulaci. Musí být uvedena buď cesta, teamId, nebo signingId, případně jejich kombinace. Za účelem přesnějšího určení povoleného procesu je možné zadat argumenty args.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | Vyloučení |
| Datový typ | Slovník (vnořená předvolba) |
| Komentáře | Popis obsahu slovníku najdete v následujících částech. |
Cesta
Přesná cesta spustitelného souboru procesu
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | Cestu |
| Datový typ | String |
| Komentáře | V případě skriptu prostředí to bude přesná cesta ke binárnímu souboru interpretu, např. /bin/zsh. Nejsou povoleny žádné zástupné cardy. |
ID týmu
"ID týmu" dodavatele společnosti Apple.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | id týmu |
| Datový typ | String |
| Komentáře | Například UBF8T346G9 pro Microsoft |
PODPISOVÉ ID
Podpisové ID balíčku od společnosti Apple.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | signingId |
| Datový typ | String |
| Komentáře | Například com.apple.ruby pro interpret Ruby |
Argumenty procesu
Používá se v kombinaci s dalšími parametry k identifikaci procesu.
| Oddíl | Hodnota |
|---|---|
| Domain (Doména) | com.microsoft.wdav |
| Klíč | signingId |
| Datový typ | Pole řetězců |
| Komentáře | Pokud je argument procesu zadaný, musí přesně odpovídat těmto argumentů a rozlišovat malá a velká písmena. |
Doporučený konfigurační profil
Pokud chcete začít, doporučujeme pro váš podnik následující konfiguraci, abyste mohli využívat všechny funkce ochrany, které poskytuje Microsoft Defender for Endpoint.
Následující konfigurační profil (nebo v případě JAMF seznam vlastností, který by se dal nahrát do konfiguračního profilu vlastního nastavení) bude:
- Povolení ochrany v reálném čase (RTP)
- Určete, jak se budou zpracovávat následující typy hrozeb:
- Potenciálně nežádoucí aplikace (PUA) jsou blokované
- Archivní bomby (soubor s vysokou mírou komprese) se auditují do protokolů Microsoft Defenderu for Endpoint.
- Povolení automatických aktualizací bezpečnostních informací
- Povolení cloudové ochrany
- Povolení automatického odesílání vzorků
Seznam vlastností pro doporučený konfigurační profil JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Doporučený profil Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
Příklad úplného konfiguračního profilu
Následující šablony obsahují položky pro všechna nastavení popsaná v tomto dokumentu a dají se použít pro pokročilejší scénáře, ve kterých potřebujete větší kontrolu nad Microsoft Defenderem for Endpoint v systému macOS.
Seznam vlastností pro úplný konfigurační profil JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Úplný profil Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Ověření seznamu vlastností
Seznam vlastností musí být platný soubor .plist . To je možné zkontrolovat spuštěním:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Pokud je soubor ve správném formátu, výše uvedený příkaz vypíše OK výstup a vrátí ukončovací kód .0 V opačném případě se zobrazí chyba popisující problém a příkaz vrátí ukončovací kód .1
Nasazení konfiguračního profilu
Po vytvoření konfiguračního profilu pro váš podnik ho můžete nasadit prostřednictvím konzoly pro správu, kterou používá váš podnik. Následující části obsahují pokyny k nasazení tohoto profilu pomocí JAMF a Intune.
Nasazení JAMF
V konzole JAMF otevřeteprofily konfiguracepočítačů>, přejděte na konfigurační profil, který chcete použít, a pak vyberte Vlastní nastavení. Vytvořte položku s com.microsoft.wdav doménou předvolby a nahrajte soubor .plist vytvořený dříve.
Upozornění
Musíte zadat správnou doménu předvoleb (com.microsoft.wdav). Jinak microsoft Defender for Endpoint předvolby nerozpozná.
Nasazení Intune
OtevřeteProfily konfiguracezařízení>. Vyberte Vytvořit profil.
Zvolte název profilu. Změňte Platform=macOS na Profile type=Templates a v části Název šablony zvolte Vlastní . Vyberte Konfigurovat.
Soubor .plist vytvořený dříve uložte jako
com.microsoft.wdav.xml.Jako název vlastního konfiguračního profilu zadejte
com.microsoft.wdav.Otevřete konfigurační profil a nahrajte
com.microsoft.wdav.xmlsoubor. (Tento soubor byl vytvořen v kroku 3.)Vyberte OK.
Vyberte Spravovat>přiřazení. Na kartě Zahrnout vyberte Přiřadit všem uživatelům & Všechna zařízení.
Upozornění
Musíte zadat správný název vlastního konfiguračního profilu. jinak microsoft Defender for Endpoint tyto předvolby nerozpozná.
Zdroje
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.