Angiv indstillinger for Microsoft Defender for Endpoint på macOS-
Gælder for:
- Microsoft Defender for Endpoint på macOS
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
Vigtigt!
Denne artikel indeholder instruktioner til, hvordan du angiver indstillinger for Microsoft Defender for Endpoint på macOS i virksomhedsorganisationer. Hvis du vil konfigurere Microsoft Defender for Endpoint på macOS ved hjælp af kommandolinjegrænsefladen, skal du se Ressourcer.
Oversigt
I virksomhedsorganisationer kan Microsoft Defender for Endpoint på macOS administreres via en konfigurationsprofil, der udrulles ved hjælp af et af flere administrationsværktøjer. Indstillinger, der administreres af teamet for sikkerhedshandlinger, har forrang frem for indstillinger, der er angivet lokalt på enheden. Ændring af de indstillinger, der angives via konfigurationsprofilen, kræver eskalerede rettigheder og er ikke tilgængelig for brugere uden administrative tilladelser.
I denne artikel beskrives strukturen af konfigurationsprofilen, den indeholder en anbefalet profil, som du kan bruge til at komme i gang, og den indeholder instruktioner til, hvordan du installerer profilen.
Struktur for konfigurationsprofil
Konfigurationsprofilen er en .plist-fil , der består af poster, der er identificeret af en nøgle (som angiver navnet på præferencen) efterfulgt af en værdi, som afhænger af typen af præference. Værdier kan enten være enkle (f.eks. en numerisk værdi) eller komplekse, f.eks. en indlejret liste over indstillinger.
Forsigtighed
Layoutet af konfigurationsprofilen afhænger af den administrationskonsol, du bruger. Følgende afsnit indeholder eksempler på konfigurationsprofiler for JAMF og Intune.
Det øverste niveau i konfigurationsprofilen omfatter indstillinger for hele produktet og poster for underområder i Microsoft Defender for Endpoint, som forklares mere detaljeret i de næste afsnit.
Indstillinger for antivirusprogram
Afsnittet antivirusEngine i konfigurationsprofilen bruges til at administrere indstillingerne for antiviruskomponenten i Microsoft Defender for Endpoint.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | antivirusEngine |
| Datatype | Ordbog (indlejret indstilling) |
| Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Håndhævelsesniveau for antivirusprogram
Angiver, hvordan antivirusprogrammet gennemtvinges. Der er tre værdier til angivelse af håndhævelsesniveau:
- Realtid (
real_time): Beskyttelse i realtid (scanningsfiler, efterhånden som de tilgås) er aktiveret. - On-demand (
on_demand): Filer scannes kun efter behov. I denne:- Beskyttelse i realtid er slået fra.
- Passiv (
passive): Kører antivirusprogrammet i passiv tilstand. I denne:- Beskyttelse i realtid er slået fra.
- Scanning efter behov er slået til.
- Automatisk afhjælpning af trusler er slået fra.
- Opdateringer til sikkerhedsintelligens er slået til.
- Ikonet statusmenu er skjult.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | enforcementLevel |
| Datatype | String |
| Mulige værdier | real_time (standard) on_demand Passiv |
| Kommentarer | Tilgængelig i Microsoft Defender for Endpoint version 101.10.72 eller nyere. |
Aktivér/deaktiver overvågning af funktionsmåde
Bestemmer, om funktionsmådeovervågning og -blokering er aktiveret på enheden eller ej.
Bemærk!
Denne funktion er kun tilgængelig, når funktionen beskyttelse af Real-Time er aktiveret.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | behaviorMonitoring |
| Datatype | String |
| Mulige værdier | Deaktiveret aktiveret (standard) |
| Kommentarer | Tilgængelig i Microsoft Defender for Endpoint version 101.24042.0002 eller nyere. |
Konfigurer funktionen til beregning af filhash
Aktiverer eller deaktiverer funktionen til beregning af filhash. Når denne funktion er aktiveret, beregner Defender for Endpoint hashes for filer, den scanner for at muliggøre bedre matchning i forhold til indikatorreglerne. På macOS overvejes kun script- og Mach-O-filer (32- og 64-bit) til denne hash-beregning (fra programversion 1.1.20000.2 eller nyere). Bemærk, at aktivering af denne funktion kan påvirke enhedens ydeevne. Du kan finde flere oplysninger i: Opret indikatorer for filer.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | enableFileHashComputation |
| Datatype | Boolesk |
| Mulige værdier | false (standard) Sandt |
| Kommentarer | Tilgængelig i Defender for Endpoint version 101.86.81 eller nyere. |
Kør en scanning, når definitioner er opdateret
Angiver, om en processcanning skal startes, når nye sikkerhedsintelligensopdateringer er downloadet på enheden. Aktivering af denne indstilling udløser en antivirusscanning på de kørende processer på enheden.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | scanAfterDefinitionUpdate |
| Datatype | Boolesk |
| Mulige værdier | true (standard) Falsk |
| Kommentarer | Tilgængelig i Microsoft Defender for Endpoint version 101.41.10 eller nyere. |
Scan arkiver (kun antivirusscanninger efter behov)
Angiver, om arkiver skal scannes under antivirusscanninger efter behov.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | scanArchives |
| Datatype | Boolesk |
| Mulige værdier | true (standard) Falsk |
| Kommentarer | Tilgængelig i Microsoft Defender for Endpoint version 101.41.10 eller nyere. |
Graden af parallelitet for scanninger efter behov
Angiver graden af parallelitet for scanninger efter behov. Dette svarer til antallet af tråde, der bruges til at udføre scanningen, og påvirker CPU-forbruget samt varigheden af scanningen efter behov.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | maximumOnDemandScanThreads |
| Datatype | Heltal |
| Mulige værdier | 2 (standard). Tilladte værdier er heltal mellem 1 og 64. |
| Kommentarer | Tilgængelig i Microsoft Defender for Endpoint version 101.41.10 eller nyere. |
Politik for fletning af udeladelse
Angiv flettepolitikken for udeladelser. Dette kan være en kombination af administratordefinerede og brugerdefinerede udeladelser (merge) eller kun administratordefinerede udeladelser (admin_only). Denne indstilling kan bruges til at forhindre lokale brugere i at definere deres egne udeladelser.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | exclusionsMergePolicy |
| Datatype | String |
| Mulige værdier | flet (standard) admin_only |
| Kommentarer | Tilgængelig i Microsoft Defender for Endpoint version 100.83.73 eller nyere. |
Scan udeladelser
Angiv enheder, der ikke kan scannes. Udeladelser kan angives af fulde stier, filtypenavne eller filnavne. (Udeladelser er angivet som en matrix af elementer. administratoren kan angive lige så mange elementer, som det er nødvendigt, i vilkårlig rækkefølge).
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | Udelukkelser |
| Datatype | Ordbog (indlejret indstilling) |
| Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Type af udeladelse
Angiv det indhold, der ikke kan scannes efter type.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | $type |
| Datatype | String |
| Mulige værdier | excludedPath excludedFileExtension excludedFileName |
Sti til udeladt indhold
Angiv indhold, der ikke kan scannes af hele filstien.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | Sti |
| Datatype | String |
| Mulige værdier | gyldige stier |
| Kommentarer | Gælder kun, hvis $type er udeladtPath |
Understøttede udeladelsestyper
I følgende tabel vises de udeladelsestyper, der understøttes af Defender for Endpoint på Mac.
| Udelukkelse | Definition | Eksempler |
|---|---|---|
| Filtypenavn | Alle filer med udvidelsen, hvor som helst på enheden | .test |
| Filer | En bestemt fil, der er identificeret af den fulde sti | /var/log/test.log |
| Mappe | Alle filer under den angivne mappe (rekursivt) | /var/log/ |
| Proces | En bestemt proces (angivet enten af den fulde sti eller det fulde filnavn) og alle filer, der er åbnet af den | /bin/cat |
Vigtigt!
Stierne ovenfor skal være hårde links, ikke symbolske links, for at kunne udelukkes. Du kan kontrollere, om en sti er en symbolsk kæde, ved at køre file <path-name>.
Fil-, mappe- og procesudeladelser understøtter følgende jokertegn:
| Wildcard | Beskrivelse | Eksempel | Kampe | Stemmer ikke overens |
|---|---|---|---|---|
| * | Matcher et vilkårligt antal tegn, herunder ingen (bemærk, at når jokertegnet bruges i en sti, erstatter det kun én mappe) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | Matcher et vilkårligt tegn | file?.log |
file1.log |
file123.log |
Stitype (fil/mappe)
Angiv, om stiegenskaben refererer til en fil eller mappe.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | isDirectory |
| Datatype | Boolesk |
| Mulige værdier | false (standard) Sandt |
| Kommentarer | Gælder kun, hvis $type er udeladtPath |
Filtypenavnet blev udelukket fra scanningen
Angiv indhold, der ikke kan scannes af filtypenavnet.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | Udvidelse |
| Datatype | String |
| Mulige værdier | gyldige filtypenavne |
| Kommentarer | Gælder kun, hvis $type er udeladtFileExtension |
Processen er udelukket fra scanningen
Angiv en proces, hvor al filaktivitet udelades fra scanning. Processen kan angives enten ved hjælp af dens navn (f.eks. cat) eller hele stien (f.eks. /bin/cat).
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | Navn |
| Datatype | String |
| Mulige værdier | en hvilken som helst streng |
| Kommentarer | Gælder kun, hvis $type er udeladtFileName |
Tilladte trusler
Angiv trusler efter navn, der ikke er blokeret af Defender for Endpoint på Mac. Disse trusler vil få lov til at køre.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | allowedThreats |
| Datatype | Matrix af strenge |
Ikke-tilladte trusselshandlinger
Begrænser de handlinger, som den lokale bruger af en enhed kan foretage, når der registreres trusler. De handlinger, der er inkluderet på denne liste, vises ikke i brugergrænsefladen.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | disallowedThreatActions |
| Datatype | Matrix af strenge |
| Mulige værdier | allow (begrænser brugernes mulighed for at tillade trusler) gendannelse (begrænser brugere i at gendanne trusler fra karantænen) |
| Kommentarer | Tilgængelig i Microsoft Defender for Endpoint version 100.83.73 eller nyere. |
Indstillinger for trusselstype
Angiv, hvordan visse trusselstyper skal håndteres af Microsoft Defender for Endpoint på macOS.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | threatTypeSettings |
| Datatype | Ordbog (indlejret indstilling) |
| Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Trusselstype
Angiv trusselstyper.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | Nøglen |
| Datatype | String |
| Mulige værdier | potentially_unwanted_application archive_bomb |
Handling, der skal udføres
Angiv, hvilken handling der skal udføres, når der registreres en trussel af den type, der er angivet i foregående afsnit. Vælg mellem følgende indstillinger:
- Overvågning: Din enhed er ikke beskyttet mod denne type trussel, men der logføres en post om truslen.
- Blok: Enheden er beskyttet mod denne type trussel, og du får besked i brugergrænsefladen og i sikkerhedskonsollen.
- Fra: Enheden er ikke beskyttet mod denne type trussel, og der logføres intet.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | Værdi |
| Datatype | String |
| Mulige værdier | audit (standard) Blok Ud |
Politik for fletning af indstillinger for trusselstype
Angiv flettepolitikken for indstillinger for trusselstyper. Dette kan være en kombination af administratordefinerede og brugerdefinerede indstillinger (merge) eller kun administratordefinerede indstillinger (admin_only). Denne indstilling kan bruges til at begrænse lokale brugere fra at definere deres egne indstillinger for forskellige trusselstyper.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | threatTypeSettingsMergePolicy |
| Datatype | String |
| Mulige værdier | flet (standard) admin_only |
| Kommentarer | Tilgængelig i Microsoft Defender for Endpoint version 100.83.73 eller nyere. |
Opbevaring af antivirusscanningshistorik (i dage)
Angiv det antal dage, resultaterne bevares i scanningshistorikken på enheden. Gamle scanningsresultater fjernes fra oversigten. Gamle filer i karantæne, der også er fjernet fra disken.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | scanResultsRetentionDays |
| Datatype | String |
| Mulige værdier | 90 (standard). Tilladte værdier er fra 1 dag til 180 dage. |
| Kommentarer | Tilgængelig i Microsoft Defender for Endpoint version 101.07.23 eller nyere. |
Maksimalt antal elementer i historikken for antivirusscanning
Angiv det maksimale antal poster, der skal bevares i scanningsoversigten. Poster omfatter alle scanninger efter behov, der er udført tidligere, og alle antivirusregistreringer.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | scanHistoryMaximumItems |
| Datatype | String |
| Mulige værdier | 10000 (standard). Tilladte værdier er fra 5000 elementer til 15000 elementer. |
| Kommentarer | Tilgængelig i Microsoft Defender for Endpoint version 101.07.23 eller nyere. |
Indstillinger for skybaseret beskyttelse
Konfigurer de skybaserede beskyttelsesfunktioner i Microsoft Defender for Endpoint på macOS.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | cloudService |
| Datatype | Ordbog (indlejret indstilling) |
| Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Aktivér/deaktiver skybaseret beskyttelse
Angiv, om enheden skal aktivere skybaseret beskyttelse. Hvis du vil forbedre sikkerheden for dine tjenester, anbefaler vi, at du holder denne funktion aktiveret.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | Aktiveret |
| Datatype | Boolesk |
| Mulige værdier | true (standard) Falsk |
Niveau for indsamling af diagnosticering
Diagnosticeringsdata bruges til at holde Microsoft Defender for Endpoint sikker og opdateret, registrere, diagnosticere og løse problemer og også foretage produktforbedringer. Denne indstilling bestemmer niveauet af diagnosticering, der sendes af Microsoft Defender for Endpoint til Microsoft.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | diagnosticLevel |
| Datatype | String |
| Mulige værdier | valgfri (standard) Kræves |
Konfigurer niveau for skyblokering
Denne indstilling bestemmer, hvor aggressiv Defender for Endpoint vil være i forbindelse med blokering og scanning af mistænkelige filer. Hvis denne indstilling er slået til, vil Defender for Endpoint være mere aggressiv, når du identificerer mistænkelige filer, der skal blokeres og scannes. ellers vil det være mindre aggressivt og derfor blokere og scanne med mindre hyppighed. Der er fem værdier til angivelse af skyblokeringsniveau:
- Normal (
normal): Standardblokeringsniveauet. - Moderat (
moderate): Leverer kun dom for registreringer med høj genkendelsessikkerhed. - Høj (
high): Blokerer aggressivt ukendte filer, mens den optimeres til ydeevne (større chance for at blokere ikke-skadelige filer). - High Plus (
high_plus): Blokerer ukendte filer aggressivt og anvender yderligere beskyttelsesforanstaltninger (kan påvirke klientens enheds ydeevne). - Nultolerance (
zero_tolerance): Blokerer alle ukendte programmer.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | cloudBlockLevel |
| Datatype | String |
| Mulige værdier | normal (standard) Moderat Høj high_plus zero_tolerance |
| Kommentarer | Tilgængelig i Defender for Endpoint version 101.56.62 eller nyere. |
Aktivér/deaktiver automatiske eksempelindsendelser
Bestemmer, om mistænkelige eksempler (der sandsynligvis indeholder trusler) sendes til Microsoft. Der er tre niveauer til styring af indsendelse af eksempler:
- Ingen: Der sendes ingen mistænkelige eksempler til Microsoft.
- Sikkert: Det er kun mistænkelige eksempler, der ikke indeholder personidentificerbare oplysninger, der sendes automatisk. Dette er standardværdien for denne indstilling.
- Alle: Alle mistænkelige eksempler sendes til Microsoft.
| Beskrivelse | Værdi |
|---|---|
| Tast | automaticSampleSubmissionConsent |
| Datatype | String |
| Mulige værdier | Ingen safe (standard) Alle |
Aktivér/deaktiver automatiske sikkerhedsintelligensopdateringer
Bestemmer, om sikkerhedsintelligensopdateringer installeres automatisk:
| Afsnit | Værdi |
|---|---|
| Tast | automaticDefinitionUpdateEnabled |
| Datatype | Boolesk |
| Mulige værdier | true (standard) Falsk |
Indstillinger for brugergrænseflade
Administrer indstillingerne for brugergrænsefladen i Microsoft Defender for Endpoint på macOS.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | userInterface |
| Datatype | Ordbog (indlejret indstilling) |
| Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Vis/skjul ikonet for statusmenu
Angiv, om ikonet for statusmenuen skal vises eller skjules i øverste højre hjørne af skærmen.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | hideStatusMenuIcon |
| Datatype | Boolesk |
| Mulige værdier | false (standard) Sandt |
Vis/skjul muligheden for at sende feedback
Angiv, om brugerne kan sende feedback til Microsoft ved at gå til Help>Send Feedback.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | userInitiatedFeedback |
| Datatype | String |
| Mulige værdier | aktiveret (standard) Deaktiveret |
| Kommentarer | Tilgængelig i Microsoft Defender for Endpoint version 101.19.61 eller nyere. |
Kontrollér logon til forbrugerversionen af Microsoft Defender
Angiv, om brugerne kan logge på forbrugerversionen af Microsoft Defender.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | consumerExperience |
| Datatype | String |
| Mulige værdier | aktiveret (standard) Deaktiveret |
| Kommentarer | Tilgængelig i Microsoft Defender for Endpoint version 101.60.18 eller nyere. |
Indstillinger for registrering af slutpunkter og svar
Administrer INDSTILLINGERNE for EDR-komponenten (Endpoint Detection and Response) i Microsoft Defender for Endpoint på macOS.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | Edr |
| Datatype | Ordbog (indlejret indstilling) |
| Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Enhedstags
Angiv et kodenavn og dets værdi.
- GROUP-mærket markerer enheden med den angivne værdi. Koden afspejles på portalen under enhedssiden og kan bruges til filtrering og gruppering af enheder.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | Tags |
| Datatype | Ordbog (indlejret indstilling) |
| Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Mærketype
Angiver kodetypen
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | Nøglen |
| Datatype | String |
| Mulige værdier | GROUP |
Kodeværdi
Angiver kodens værdi
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | Værdi |
| Datatype | String |
| Mulige værdier | en hvilken som helst streng |
Vigtigt!
- Der kan kun angives én værdi pr. kodetype.
- Kodetypen er entydig og må ikke gentages i den samme konfigurationsprofil.
Gruppe-id
EDR-gruppe-id'er
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | groupIds |
| Datatype | String |
| Kommentarer | Gruppe-id |
Ændringsbeskyttelse
Administrer indstillingerne for komponenten Tamper Protection i Microsoft Defender for Endpoint på macOS.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | tamperProtection |
| Datatype | Ordbog (indlejret indstilling) |
| Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Håndhævelsesniveau
Hvis Tamper Protection er aktiveret, og hvis den er i streng tilstand
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | enforcementLevel |
| Datatype | String |
| Kommentarer | En af 'disabled', 'audit' eller 'block' |
Mulige værdier:
- disabled – Tamper Protection er slået fra, ingen forebyggelse af angreb eller rapportering til cloudmiljøet
- audit – Tamper Protection rapporterer kun forsøg på at ændre skyen, men blokerer dem ikke
- block – Tamper Protection både blokerer og rapporterer angreb på cloudmiljøet
Udeladelser
Definerer processer, der må ændre Microsoft Defenders aktiv, uden at det er i betragtning af manipulation. Enten sti, teamId eller signerings-id eller deres kombination skal angives. Args kan leveres derudover for at angive tilladt proces mere præcist.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | Udelukkelser |
| Datatype | Ordbog (indlejret indstilling) |
| Kommentarer | Se følgende afsnit for at få en beskrivelse af indholdet i ordbogen. |
Sti
Nøjagtig sti til processens eksekverbare fil.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | Sti |
| Datatype | String |
| Kommentarer | Hvis der er tale om et shellscript, er det den nøjagtige sti til tolkens binære fil, f.eks. /bin/zsh. Jokertegn er ikke tilladt. |
Team-id
Apples "Team Id" for leverandøren.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | teamId |
| Datatype | String |
| Kommentarer | F.eks. UBF8T346G9 for Microsoft |
Signatur-id
Apples "Signerings-id" for pakken.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | signingId |
| Datatype | String |
| Kommentarer | For eksempel com.apple.ruby til Ruby-tolk |
Procesargumenter
Bruges sammen med andre parametre til at identificere processen.
| Afsnit | Værdi |
|---|---|
| Domæne | com.microsoft.wdav |
| Tast | signingId |
| Datatype | Matrix af strenge |
| Kommentarer | Hvis det er angivet, skal procesargumentet stemme nøjagtigt overens med disse argumenter, hvor der skelnes mellem store og små bogstaver |
Anbefalet konfigurationsprofil
For at komme i gang anbefaler vi følgende konfiguration, så din virksomhed kan drage fordel af alle de beskyttelsesfunktioner, som Microsoft Defender for Endpoint indeholder.
Følgende konfigurationsprofil (eller i tilfælde af JAMF en egenskabsliste, der kan uploades til konfigurationsprofilen for brugerdefinerede indstillinger) vil:
- Aktivér beskyttelse i realtid (RTP)
- Angiv, hvordan følgende trusselstyper skal håndteres:
- Potentielt uønskede programmer (PUA) er blokeret
- Arkivbomber (fil med en høj komprimeringshastighed) overvåges til Microsoft Defender for Endpoint-logge
- Aktivér automatiske sikkerhedsintelligensopdateringer
- Aktivér skybaseret beskyttelse
- Aktivér automatisk afsendelse af eksempel
Egenskabsliste for den anbefalede konfigurationsprofil JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Anbefalet profil i Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
Eksempel på profil med fuld konfiguration
Følgende skabeloner indeholder poster til alle de indstillinger, der er beskrevet i dette dokument, og kan bruges til mere avancerede scenarier, hvor du vil have mere kontrol over Microsoft Defender for Endpoint på macOS.
Egenskabsliste for fuld JAMF-konfigurationsprofil
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Komplet Intune-profil
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Validering af egenskabsliste
Egenskabslisten skal være en gyldig .plist-fil . Dette kan kontrolleres ved at udføre:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Hvis filen er korrekt udformet, oprettes ovenstående kommando, og der returneres OK en afslutningskode for 0. Ellers vises en fejl, der beskriver problemet, og kommandoen returnerer en afslutningskode for 1.
Udrulning af konfigurationsprofil
Når du har bygget konfigurationsprofilen for din virksomhed, kan du udrulle den via den administrationskonsol, som din virksomhed bruger. Følgende afsnit indeholder instruktioner om, hvordan du installerer denne profil ved hjælp af JAMF og Intune.
JAMF-udrulning
Åbn Computers>Configuration Profiles i JAMF-konsollen, naviger til den konfigurationsprofil, du vil bruge, og vælg derefter Brugerdefinerede indstillinger. Opret en post med com.microsoft.wdav som det foretrukne domæne, og upload den .plist , der blev oprettet tidligere.
Forsigtighed
Du skal angive det korrekte præferencedomæne (com.microsoft.wdav). Ellers genkendes indstillingerne ikke af Microsoft Defender for Endpoint.
Intune-installation
> Åbnenhedskonfigurationsprofiler. Vælg Opret profil.
Vælg et navn til profilen. Skift Platform=macOS til Profiltype=Skabeloner, og vælg Brugerdefineret i afsnittet Skabelonnavn. Vælg Konfigurer.
Gem den .plist, der blev oprettet tidligere som
com.microsoft.wdav.xml.Angiv
com.microsoft.wdavsom navnet på den brugerdefinerede konfigurationsprofil.Åbn konfigurationsprofilen, og upload
com.microsoft.wdav.xmlfilen. Denne fil blev oprettet i trin 3.Vælg OK.
Vælg Administrer>tildelinger. Under fanen Medtag skal du vælge Tildel til alle brugere & Alle enheder.
Forsigtighed
Du skal angive det korrekte navn på den brugerdefinerede konfigurationsprofil. Ellers genkendes disse indstillinger ikke af Microsoft Defender for Endpoint.
Ressourcer
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.