Nastavení předvoleb pro Microsoft Defender pro koncový bod v macOSu

Platí pro:

Důležité

Tento článek obsahuje pokyny, jak nastavit předvolby pro Microsoft Defender for Endpoint v systému macOS v podnikových organizacích. Informace o konfiguraci Microsoft Defender for Endpoint v systému macOS pomocí rozhraní příkazového řádku najdete v části Zdroje informací.

Souhrn

V podnikových organizacích je možné spravovat Microsoft Defender for Endpoint v systému macOS prostřednictvím konfiguračního profilu, který se nasazuje pomocí jednoho z několika nástrojů pro správu. Předvolby spravované vaším týmem pro operace zabezpečení mají přednost před předvolbmi nastavenými místně na zařízení. Změna předvoleb nastavených prostřednictvím konfiguračního profilu vyžaduje eskalovaná oprávnění a není dostupná pro uživatele bez oprávnění správce.

Tento článek popisuje strukturu konfiguračního profilu, obsahuje doporučený profil, který můžete použít k zahájení práce, a obsahuje pokyny k nasazení profilu.

Struktura konfiguračního profilu

Konfigurační profil je soubor .plist , který se skládá z položek identifikovaných klíčem (který označuje název předvolby) následovaných hodnotou, která závisí na povaze předvolby. Hodnoty můžou být buď jednoduché (například číselná hodnota), nebo složité, například vnořený seznam předvoleb.

Upozornění

Rozložení konfiguračního profilu závisí na konzole pro správu, kterou používáte. Následující části obsahují příklady konfiguračních profilů pro JAMF a Intune.

Nejvyšší úroveň konfiguračního profilu zahrnuje předvolby pro celý produkt a položky pro podoblasti Microsoft Defender for Endpoint, které jsou podrobněji vysvětleny v dalších částech.

Předvolby antivirového modulu

Část antivirusEngine konfiguračního profilu slouží ke správě předvoleb antivirové součásti Microsoft Defender for Endpoint.

Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč antivirusEngine
Datový typ Slovník (vnořená předvolba)
Komentáře Popis obsahu slovníku najdete v následujících částech.

Úroveň vynucování pro antivirový modul

Určuje předvolbu vynucení antivirového modulu. Pro nastavení úrovně vynucení existují tři hodnoty:

  • Ochrana v reálném čase (real_time): Ochrana v reálném čase (kontrola souborů při přístupu) je povolená.
  • Na vyžádání (on_demand): Soubory se kontrolují jenom na vyžádání. V tomto:
    • Ochrana v reálném čase je vypnutá.
  • Pasivní (passive): Spustí antivirový modul v pasivním režimu. V tomto:
    • Ochrana v reálném čase je vypnutá.
    • Kontrola na vyžádání je zapnutá.
    • Automatická náprava hrozeb je vypnutá.
    • Aktualizace bezpečnostních informací jsou zapnuté.
    • Ikona stavové nabídky je skrytá.


Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč enforcementLevel
Datový typ String
Možné hodnoty real_time (výchozí)

on_demand

Pasivní

Komentáře K dispozici ve verzi Microsoft Defender for Endpoint 101.10.72 nebo novější.

Konfigurace funkce výpočtu hodnoty hash souboru

Povolí nebo zakáže funkci výpočtu hodnoty hash souboru. Když je tato funkce povolená, Defender for Endpoint vypočítá hodnoty hash souborů, které kontroluje, aby bylo možné lépe porovnávat pravidla indikátorů. V systému macOS se pro tento výpočet hodnoty hash (od modulu verze 1.1.20000.2 nebo novější) uvažují pouze skript a soubory Mach-O (32bitová a 64bitová verze). Mějte na paměti, že povolení této funkce může mít vliv na výkon zařízení. Další podrobnosti najdete v tématu Vytvoření indikátorů pro soubory.

Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč enableFileHashComputation
Datový typ Boolean
Možné hodnoty false (výchozí)

Pravda

Komentáře K dispozici v Defenderu for Endpoint verze 101.86.81 nebo novější.

Po aktualizaci definic spusťte kontrolu.

Určuje, jestli se má spustit kontrola procesu po stažení nových aktualizací bezpečnostních informací do zařízení. Povolením tohoto nastavení se aktivuje antivirová kontrola spuštěných procesů zařízení.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč scanAfterDefinitionUpdate
Datový typ Boolean
Možné hodnoty true (výchozí)

False

Komentáře K dispozici ve verzi Microsoft Defender for Endpoint 101.41.10 nebo novější.

Prohledat archivy (jenom antivirové kontroly na vyžádání)

Určuje, zda se mají prohledávat archivy během antivirových kontrol na vyžádání.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč scanArchives
Datový typ Boolean
Možné hodnoty true (výchozí)

False

Komentáře K dispozici ve verzi Microsoft Defender for Endpoint 101.41.10 nebo novější.

Stupeň paralelismu pro kontroly na vyžádání

Určuje stupeň paralelismu pro kontroly na vyžádání. To odpovídá počtu vláken použitých k provedení kontroly a ovlivňuje využití procesoru a také dobu trvání kontroly na vyžádání.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč maximumOnDemandScanThreads
Datový typ Celé číslo
Možné hodnoty 2 (výchozí). Povolené hodnoty jsou celá čísla mezi 1 a 64.
Komentáře K dispozici ve verzi Microsoft Defender for Endpoint 101.41.10 nebo novější.

Zásady sloučení vyloučení

Zadejte zásadu sloučení pro vyloučení. Může se jednat o kombinaci vyloučení definovaných správcem a uživatelem (merge), nebo pouze vyloučení definovaná správcem (admin_only). Toto nastavení lze použít k omezení místních uživatelů v definování vlastních vyloučení.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč exclusionsMergePolicy
Datový typ String
Možné hodnoty sloučení (výchozí)

admin_only

Komentáře K dispozici ve verzi Microsoft Defender for Endpoint 100.83.73 nebo novější.

Vyloučení kontroly

Zadejte entity vyloučené z kontrol. Vyloučení mohou být určena úplnými cestami, příponami nebo názvy souborů. (Vyloučení se zadávají jako pole položek, správce může určit tolik prvků, kolik je potřeba, v libovolném pořadí.)



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč Vyloučení
Datový typ Slovník (vnořená předvolba)
Komentáře Popis obsahu slovníku najdete v následujících částech.
Typ vyloučení

Zadejte obsah vyloučený z vyhledávání podle typu.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč $type
Datový typ String
Možné hodnoty excludedPath

excludedFileExtension

excludedFileName

Cesta k vyloučenýmu obsahu

Zadejte obsah vyloučený z vyhledávání úplnou cestou k souboru.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč Cestu
Datový typ String
Možné hodnoty platné cesty
Komentáře Platí jenom v případě, že je $typevyloučenaPath.

Podporované typy vyloučení

Následující tabulka uvádí typy vyloučení podporované defenderem for Endpoint na Macu.



Vyloučení Vysvětlení Příklady
Přípona souboru Všechny soubory s příponou kdekoli na zařízení .test
Soubor Konkrétní soubor identifikovaný úplnou cestou /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Složka Všechny soubory v zadané složce (rekurzivně) /var/log/

/var/*/

Proces Konkrétní proces (zadaný úplnou cestou nebo názvem souboru) a všechny soubory, které otevřel /bin/cat

cat

c?t

Důležité

Výše uvedené cesty musí být pevné, nikoli symbolické odkazy, aby byly úspěšně vyloučeny. Spuštěním příkazu můžete zkontrolovat, jestli je cesta symbolickým odkazem file <path-name>.

Vyloučení souborů, složek a procesů podporují následující zástupné cardy:



Zástupný znak Popis Příklad Odpovídá Neodpovídá
* Odpovídá libovolnému počtu znaků včetně žádného (všimněte si, že pokud se tento zástupný znak použije v cestě, nahradí pouze jednu složku). /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? Odpovídá jakémukoli jednomu znaku. file?.log file1.log

file2.log

file123.log

Typ cesty (soubor nebo adresář)

Určuje, jestli vlastnost path odkazuje na soubor nebo adresář.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč isDirectory
Datový typ Boolean
Možné hodnoty false (výchozí)

Pravda

Komentáře Platí jenom v případě, že je $typevyloučenaPath.

Přípona souboru vyloučená z kontroly

Zadejte obsah vyloučený z kontrol pomocí přípony souboru.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč Rozšíření
Datový typ String
Možné hodnoty platné přípony souborů
Komentáře Platí pouze v případě, že je $typevyloučenoFileExtension.

Proces vyloučený z kontroly

Zadejte proces, pro který je z kontroly vyloučena veškerá aktivita souborů. Proces lze zadat buď názvem (například ) nebo catúplnou cestou (například /bin/cat).



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč Jméno
Datový typ String
Možné hodnoty libovolný řetězec
Komentáře Platí pouze v případě, že je $typevyloučenoFileName.

Povolené hrozby

Zadejte hrozby podle názvu, které defender for Endpoint na Macu neblokuje. Tyto hrozby budou moci běžet.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč allowedThreats
Datový typ Pole řetězců

Nepovolené akce hrozeb

Omezuje akce, které může místní uživatel zařízení provést, když jsou zjištěny hrozby. Akce zahrnuté v tomto seznamu se v uživatelském rozhraní nezobrazují.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč disallowedThreatActions
Datový typ Pole řetězců
Možné hodnoty povolit (omezuje uživatele v povolování hrozeb)

obnovení (omezuje uživatele v obnovování hrozeb z karantény)

Komentáře K dispozici ve verzi Microsoft Defender for Endpoint 100.83.73 nebo novější.

Nastavení typu hrozby

Určete, jak budou Microsoft Defender for Endpoint v macOS zpracovávat určité typy hrozeb.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč threatTypeSettings
Datový typ Slovník (vnořená předvolba)
Komentáře Popis obsahu slovníku najdete v následujících částech.
Typ hrozby

Zadejte typy hrozeb.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč Klíč
Datový typ String
Možné hodnoty potentially_unwanted_application

archive_bomb

Akce, která se má provést

Určete, jakou akci se má provést při zjištění hrozby typu zadaného v předchozí části. Zvolte některou z následujících možností:

  • Audit: Vaše zařízení není chráněné před tímto typem hrozby, ale zaprotokoluje se záznam o hrozbě.
  • Blokovat: Vaše zařízení je chráněné před tímto typem hrozby a budete upozorněni v uživatelském rozhraní a v konzole zabezpečení.
  • Vypnuto: Vaše zařízení není chráněné před tímto typem hrozby a nic se nezaprotokoluje.


Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč Hodnotu
Datový typ String
Možné hodnoty audit (výchozí)

Blok

vypnuto

Zásady sloučení nastavení typu hrozby

Zadejte zásadu sloučení pro nastavení typu hrozby. Může se jednat o kombinaci nastavení definovaných správcem a uživatelem (merge) nebo pouze nastavení definovaných správcem (admin_only). Toto nastavení se dá použít k tomu, aby místní uživatelé mohli definovat vlastní nastavení pro různé typy hrozeb.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč threatTypeSettingsMergePolicy
Datový typ String
Možné hodnoty sloučení (výchozí)

admin_only

Komentáře K dispozici ve verzi Microsoft Defender for Endpoint 100.83.73 nebo novější.

Uchovávání historie kontrol antivirové ochrany (ve dnech)

Zadejte počet dnů, po který se výsledky zachovají v historii kontrol na zařízení. Staré výsledky kontroly se z historie odeberou. Staré soubory v karanténě, které jsou také odebrány z disku.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč scanResultsRetentionDays
Datový typ String
Možné hodnoty 90 (výchozí). Povolené hodnoty jsou od 1 do 180 dnů.
Komentáře K dispozici ve verzi Microsoft Defender for Endpoint 101.07.23 nebo novější.

Maximální počet položek v historii antivirových kontrol

Zadejte maximální počet položek, které se mají zachovat v historii kontrol. Položky zahrnují všechny kontroly na vyžádání provedené v minulosti a všechny antivirové detekce.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč scanHistoryMaximumItems
Datový typ String
Možné hodnoty 10000 (výchozí). Povolené hodnoty jsou od 5000 položek do 15 000 položek.
Komentáře K dispozici ve verzi Microsoft Defender for Endpoint 101.07.23 nebo novější.

Předvolby ochrany poskytované v cloudu

Nakonfigurujte funkce cloudové ochrany Microsoft Defender for Endpoint v systému macOS.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč cloudService
Datový typ Slovník (vnořená předvolba)
Komentáře Popis obsahu slovníku najdete v následujících částech.

Povolení nebo zakázání cloudové ochrany

Určete, jestli chcete povolit cloudovou ochranu zařízení nebo ne. Pokud chcete zlepšit zabezpečení vašich služeb, doporučujeme nechat tuto funkci zapnutou.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč Povoleno
Datový typ Boolean
Možné hodnoty true (výchozí)

False

Úroveň shromažďování diagnostických dat

Diagnostická data slouží k udržování Microsoft Defender for Endpoint zabezpečení a aktuáli, zjišťování, diagnostice a řešení problémů a také k vylepšování produktů. Toto nastavení určuje úroveň diagnostiky odesílané Microsoft Defender for Endpoint do Microsoftu.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč diagnosticLevel
Datový typ String
Možné hodnoty volitelné (výchozí)

Požadované

Konfigurace úrovně cloudového bloku

Toto nastavení určuje, jak agresivní bude Defender for Endpoint při blokování a kontrole podezřelých souborů. Pokud je toto nastavení zapnuté, bude Defender for Endpoint při identifikaci podezřelých souborů k blokování a kontrole agresivnější. jinak bude méně agresivní, a proto bude blokovat a skenovat s menší frekvencí. Pro nastavení úrovně cloudového bloku existuje pět hodnot:

  • Normal (normal): Výchozí úroveň blokování.
  • Střední (moderate): Poskytuje verdikt pouze pro detekce vysoké spolehlivosti.
  • Vysoká (high): Agresivně blokuje neznámé soubory při optimalizaci výkonu (větší pravděpodobnost blokování souborů, které nejsou škodlivé).
  • Vysoké plus (high_plus): Agresivně blokuje neznámé soubory a používá další ochranná opatření (může mít vliv na výkon klientského zařízení).
  • Nulová tolerance (zero_tolerance): Blokuje všechny neznámé programy.
Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč cloudBlockLevel
Datový typ String
Možné hodnoty normal (výchozí)

Střední

Vysoké

high_plus

zero_tolerance

Komentáře K dispozici v Defenderu for Endpoint verze 101.56.62 nebo novější.

Povolení nebo zakázání automatického odesílání vzorků

Určuje, jestli se microsoftu odesílají podezřelé vzorky (které pravděpodobně budou obsahovat hrozby). Zobrazí se výzva, pokud je pravděpodobné, že odeslaný soubor bude obsahovat osobní údaje.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč automaticSampleSubmission
Datový typ Boolean
Možné hodnoty true (výchozí)

False

Povolení nebo zakázání automatických aktualizací bezpečnostních informací

Určuje, jestli se aktualizace bezpečnostních funkcí instalují automaticky:



Oddíl Hodnota
Klíč automaticDefinitionUpdateEnabled
Datový typ Boolean
Možné hodnoty true (výchozí)

False

Předvolby uživatelského rozhraní

Umožňuje spravovat předvolby uživatelského rozhraní Microsoft Defender for Endpoint v systému macOS.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč userInterface
Datový typ Slovník (vnořená předvolba)
Komentáře Popis obsahu slovníku najdete v následujících částech.

Zobrazit nebo skrýt ikonu stavové nabídky

Určete, jestli se má ikona stavové nabídky zobrazit nebo skrýt v pravém horním rohu obrazovky.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč hideStatusMenuIcon
Datový typ Boolean
Možné hodnoty false (výchozí)

Pravda

Zobrazit nebo skrýt možnost odeslání zpětné vazby

Určete, jestli uživatelé můžou odeslat zpětnou vazbu do Microsoftu tak, že přejdou na Help>Send Feedback.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč userInitiatedFeedback
Datový typ String
Možné hodnoty povoleno (výchozí)

Zakázán

Komentáře K dispozici ve verzi Microsoft Defender for Endpoint 101.19.61 nebo novější.

Řízení přihlášení k uživatelské verzi Microsoft Defender

Určete, jestli se uživatelé můžou přihlásit k uživatelské verzi Microsoft Defender.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč consumerExperience
Datový typ String
Možné hodnoty povoleno (výchozí)

Zakázán

Komentáře K dispozici ve verzi Microsoft Defender for Endpoint 101.60.18 nebo novější.

Předvolby detekce a odezvy koncových bodů

Spravujte předvolby komponenty EDR (Detekce a odezva koncových bodů) Microsoft Defender for Endpoint v systému macOS.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč Edr
Datový typ Slovník (vnořená předvolba)
Komentáře Popis obsahu slovníku najdete v následujících částech.

Značky zařízení

Zadejte název značky a její hodnotu.

  • Značka GROUP označí zařízení zadanou hodnotou. Značka se projeví na portálu na stránce zařízení a dá se použít k filtrování a seskupování zařízení.


Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč Tagy
Datový typ Slovník (vnořená předvolba)
Komentáře Popis obsahu slovníku najdete v následujících částech.
Typ značky

Určuje typ značky.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč Klíč
Datový typ String
Možné hodnoty GROUP
Hodnota značky

Určuje hodnotu značky.



Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč Hodnotu
Datový typ String
Možné hodnoty libovolný řetězec

Důležité

  • Pro každý typ značky je možné nastavit pouze jednu hodnotu.
  • Typ značek je jedinečný a neměl by se opakovat ve stejném konfiguračním profilu.

Identifikátor skupiny

Identifikátory skupin EDR


Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč id skupiny
Datový typ String
Komentáře Identifikátor skupiny

Ochrana před falšováním

Spravujte předvolby komponenty Ochrana před falšováním Microsoft Defender for Endpoint v systému macOS.


Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč tamperProtection
Datový typ Slovník (vnořená předvolba)
Komentáře Popis obsahu slovníku najdete v následujících částech.

Úroveň vynucení

Jestli je povolená ochrana před falšováním a jestli je v přísném režimu


Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč enforcementLevel
Datový typ String
Komentáře Jeden z "disabled", 'audit' nebo 'block'

Možné hodnoty:

  • zakázáno – Ochrana před falšováním je vypnutá, žádná prevence útoků ani hlášení do cloudu
  • audit – ochrana před falšováním hlásí pokusy o manipulaci pouze do cloudu, ale neblokuje je
  • block – Ochrana proti falšování blokuje a hlásí útoky na cloud

Vyloučení

Definuje procesy, kterým je povoleno měnit prostředky Microsoft Defender, aniž by bylo nutné zvážit manipulaci. Musí být uvedena buď cesta, teamId, nebo signingId, případně jejich kombinace. Za účelem přesnějšího určení povoleného procesu je možné zadat argumenty args.


Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč Vyloučení
Datový typ Slovník (vnořená předvolba)
Komentáře Popis obsahu slovníku najdete v následujících částech.
Cesta

Přesná cesta spustitelného souboru procesu


Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč Cestu
Datový typ String
Komentáře V případě skriptu prostředí to bude přesná cesta ke binárnímu souboru interpretu, např. /bin/zsh. Nejsou povoleny žádné zástupné cardy.
ID týmu

"ID týmu" dodavatele společnosti Apple.


Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč id týmu
Datový typ String
Komentáře Například UBF8T346G9 pro Microsoft
PODPISOVÉ ID

Podpisové ID balíčku od společnosti Apple.


Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč signingId
Datový typ String
Komentáře Například com.apple.ruby pro interpret Ruby
Argumenty procesu

Používá se v kombinaci s dalšími parametry k identifikaci procesu.


Oddíl Hodnota
Domain (Doména) com.microsoft.wdav
Klíč signingId
Datový typ Pole řetězců
Komentáře Pokud je argument procesu zadaný, musí přesně odpovídat těmto argumentů a rozlišovat malá a velká písmena.

Pokud chcete začít, doporučujeme pro váš podnik následující konfiguraci, abyste mohli využívat všechny funkce ochrany, které Microsoft Defender for Endpoint poskytují.

Následující konfigurační profil (nebo v případě JAMF seznam vlastností, který by se dal nahrát do konfiguračního profilu vlastního nastavení) bude:

  • Povolení ochrany v reálném čase (RTP)
  • Určete, jak se budou zpracovávat následující typy hrozeb:
    • Potenciálně nežádoucí aplikace (PUA) jsou blokované
    • Archivní bomby (soubor s vysokou mírou komprese) se auditují za účelem Microsoft Defender for Endpoint protokolů.
  • Povolení automatických aktualizací bezpečnostních informací
  • Povolení cloudové ochrany
  • Povolení automatického odesílání vzorků
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>com.microsoft.wdav</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Příklad úplného konfiguračního profilu

Následující šablony obsahují položky pro všechna nastavení popsaná v tomto dokumentu a dají se použít pro pokročilejší scénáře, ve kterých potřebujete větší kontrolu nad Microsoft Defender for Endpoint v systému macOS.

Seznam vlastností pro úplný konfigurační profil JAMF

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>scanAfterDefinitionUpdate</key>
        <true/>
        <key>scanArchives</key>
        <true/>
        <key>maximumOnDemandScanThreads</key>
        <integer>2</integer>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/Users/*/git</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
        <key>cloudBlockLevel</key>
        <string>normal</string>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
        <key>exclusions</key>
        <array>
        <dict>
            <key>path</key>
            <string>/bin/zsh</string>
            <key>teamId</key>
            <string/>
            <key>signingId</key>
            <string>com.apple.zsh</string>
            <key>args</key>
            <array>
            <string>/usr/local/bin/test.sh</string>
            </array>
        </dict>
        <dict>
            <key>path</key>
            <string>/usr/local/jamf/bin/jamf</string>
            <key>teamId</key>
            <string>483DWKW443</string>
            <key>signingId</key>
            <string>com.jamfsoftware.jamf</string>
        </dict>
        </array>            
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
        <key>userInitiatedFeedback</key>
        <string>enabled</string>
    </dict>
</dict>
</plist>

Úplný profil Intune

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>scanAfterDefinitionUpdate</key>
                    <true/>
                    <key>scanArchives</key>
                    <true/>
                    <key>maximumOnDemandScanThreads</key>
                    <integer>1</integer>
                    <key>exclusions</key>
                    <array>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <false/>
                            <key>path</key>
                            <string>/var/log/system.log</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/home</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/Users/*/git</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileExtension</string>
                            <key>extension</key>
                            <string>pdf</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileName</string>
                            <key>name</key>
                            <string>cat</string>
                        </dict>
                    </array>
                    <key>exclusionsMergePolicy</key>
                    <string>merge</string>
                    <key>allowedThreats</key>
                    <array>
                        <string>EICAR-Test-File (not a virus)</string>
                    </array>
                    <key>disallowedThreatActions</key>
                    <array>
                        <string>allow</string>
                        <string>restore</string>
                    </array>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                    <key>threatTypeSettingsMergePolicy</key>
                    <string>merge</string>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>diagnosticLevel</key>
                    <string>optional</string>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                    <key>cloudBlockLevel</key>
                    <string>normal</string>
                </dict>
                <key>edr</key>
                <dict>
                    <key>tags</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>GROUP</string>
                            <key>value</key>
                            <string>ExampleTag</string>
                        </dict>
                    </array>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                    <key>exclusions</key>
                    <array>
                    <dict>
                        <key>path</key>
                        <string>/bin/zsh</string>
                        <key>teamId</key>
                        <string/>
                        <key>signingId</key>
                        <string>com.apple.zsh</string>
                        <key>args</key>
                        <array>
                        <string>/usr/local/bin/test.sh</string>
                        </array>
                    </dict>
                    <dict>
                        <key>path</key>
                        <string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
                        <key>teamId</key>
                        <string>UBF8T346G9</string>
                        <key>signingId</key>
                        <string>IntuneMdmDaemon</string>
                    </dict>
                    </array>            
                </dict>
                <key>userInterface</key>
                <dict>
                    <key>hideStatusMenuIcon</key>
                    <false/>
                    <key>userInitiatedFeedback</key>
                    <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Ověření seznamu vlastností

Seznam vlastností musí být platný soubor .plist . To je možné zkontrolovat spuštěním:

plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK

Pokud je soubor ve správném formátu, výše uvedený příkaz vypíše OK výstup a vrátí ukončovací kód .0 V opačném případě se zobrazí chyba popisující problém a příkaz vrátí ukončovací kód .1

Nasazení konfiguračního profilu

Po vytvoření konfiguračního profilu pro váš podnik ho můžete nasadit prostřednictvím konzoly pro správu, kterou používá váš podnik. Následující části obsahují pokyny k nasazení tohoto profilu pomocí JAMF a Intune.

Nasazení JAMF

V konzole JAMF otevřeteprofily konfiguracepočítačů>, přejděte na konfigurační profil, který chcete použít, a pak vyberte Vlastní nastavení. Vytvořte položku s com.microsoft.wdav doménou předvolby a nahrajte soubor .plist vytvořený dříve.

Upozornění

Musíte zadat správnou doménu předvoleb (com.microsoft.wdav); jinak Microsoft Defender for Endpoint předvolby nerozpozná.

Nasazení Intune

  1. OtevřeteProfily konfiguracezařízení>. Vyberte Vytvořit profil.

  2. Zvolte název profilu. Změňte Platform=macOS na Profile type=Templates a v části Název šablony zvolte Vlastní . Vyberte Konfigurovat.

  3. Soubor .plist vytvořený dříve uložte jako com.microsoft.wdav.xml.

  4. Jako název vlastního konfiguračního profilu zadejtecom.microsoft.wdav.

  5. Otevřete konfigurační profil a nahrajte com.microsoft.wdav.xml soubor. (Tento soubor byl vytvořen v kroku 3.)

  6. Vyberte OK.

  7. Vyberte Spravovat>přiřazení. Na kartě Zahrnout vyberte Přiřadit všem uživatelům & Všechna zařízení.

Upozornění

Musíte zadat správný název vlastního konfiguračního profilu. jinak Microsoft Defender for Endpoint tyto předvolby nerozpozná.

Zdroje

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.