Partager via

Paramètres de la stratégie antivirus Microsoft Defender pour les appareils attachés au locataire dans Microsoft Intune

  • Article

Affichez les paramètres antivirus Microsoft Defender que vous pouvez gérer avec le profil de stratégie antivirus Microsoft Defender (ConfigMgr) à partir de Intune. Le profil est disponible lorsque vous configurez Intune stratégie antivirus de sécurité de point de terminaison et que la stratégie est déployée sur les appareils que vous gérez avec Configuration Manager lorsque vous avez configuré le scénario d’attachement de locataire. (Chemin dans le centre d’administration Microsoft Intune :Antivirus>sécurité> des points de terminaison+ Créer une plateforme de> stratégie = Windows (ConfigMgr)> Profil = antivirus Microsoft Defender.)

Protection cloud

  • Activer la protection par le cloud
    CSP : AllowCloudProtection

    Par défaut, Defender sur les appareils de bureau Windows 10/11 envoie à Microsoft des informations sur les problèmes qu’il détecte. Microsoft analyse ces informations pour en savoir plus sur les problèmes affectant vous et d’autres clients, afin d’offrir des solutions améliorées.

    • Non configuré (par défaut) : le paramètre est restauré sur la valeur par défaut du système.
    • Non Désactive le service Microsoft Active Protection.
    • Oui Active le service Microsoft Active Protection.

  • Niveau de protection fourni par le cloud
    CSP : CloudBlockLevel

    Configurez l’agressivité Defender Antivirus dans le blocage et l’analyse des fichiers suspects.

    • Non configuré (par défaut) : niveau de blocage Defender par défaut.
    • Élevé : bloquez de manière agressive les inconnus tout en optimisant les performances du client, ce qui inclut une plus grande probabilité de faux positifs.
    • High Plus : bloquez de manière agressive les inconnus et appliquez des mesures de protection supplémentaires susceptibles d’avoir un impact sur les performances du client.
    • Tolérance zéro : bloquer tous les fichiers exécutables inconnus.

  • Délai d’expiration étendu de Defender Cloud en secondes
    CSP : CloudExtendedTimeout

    Defender Antivirus bloque automatiquement les fichiers suspects pendant 10 secondes afin de pouvoir analyser les fichiers dans le cloud pour s’assurer qu’ils sont sécurisés. Avec ce paramètre, vous pouvez ajouter jusqu’à 50 secondes de plus à ce délai d’expiration.

Exclusions de l’antivirus Microsoft Defender

Avertissement

La définition d’exclusions réduit la protection offerte par Microsoft Defender Antivirus. Évaluez toujours les risques associés à l’implémentation des exclusions. Excluez uniquement les fichiers que vous savez ne sont pas malveillants.

Pour plus d’informations, consultez Vue d’ensemble des exclusions dans la documentation Microsoft Defender.

Pour chaque paramètre de ce groupe, vous pouvez développer le paramètre, sélectionner Ajouter, puis spécifier une valeur pour l’exclusion.

  • Processus Defender à exclure
    CSP : ExcludedProcesses

    Spécifiez une liste de fichiers ouverts par les processus à ignorer pendant une analyse. Le processus lui-même n’est pas exclu de l’analyse.

  • Extensions de fichier à exclure des analyses et protection en temps réel
    CSP : ExcludedExtensions

    Spécifiez une liste d’extensions de type de fichier à ignorer lors d’une analyse.

  • Fichiers et dossiers Defender à exclure
    CSP : ExcludedPaths

    Spécifiez une liste de fichiers et de chemins d’accès de répertoire à ignorer pendant une analyse.

Protection en temps réel

  • Activer la protection en temps réel
    CSP : AllowRealtimeMonitoring

    Exiger defender sur les appareils de bureau Windows 10/11 pour utiliser la fonctionnalité de surveillance en temps réel.

    • Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système
    • Non Désactive le service de surveillance en temps réel.
    • Oui Active et exécute le service de surveillance en temps réel.

  • Activer la protection de l’accès
    CSP : AllowOnAccessProtection

    Configurez une protection antivirus active en permanence, par opposition à la demande.

    • Non configuré (par défaut) : cette stratégie ne modifie pas l’état de ce paramètre sur un appareil. L’état existant sur l’appareil reste inchangé.
    • Non Désactive le service de surveillance en temps réel.
    • Oui

  • Surveillance des fichiers entrants et sortants
    CSP : Defender/RealTimeScanDirection

    Configurez ce paramètre pour déterminer le fichier NTFS et l’activité du programme surveillés.

    • Surveiller tous les fichiers (bidirectionnels) (par défaut)
    • Surveiller les fichiers entrants
    • Surveiller les fichiers sortants

  • Activer la surveillance du comportement
    CSP : AllowBehaviorMonitoring

    Par défaut, Defender sur les appareils de bureau Windows 10/11 utilise la fonctionnalité d’analyse du comportement.

    • Non configuré (par défaut) : le paramètre est restauré sur la valeur par défaut du système.
    • Non Désactive la surveillance du comportement.
    • Oui Active la surveillance du comportement en temps réel.

  • Autoriser le système de prévention des intrusions

    Configurez Defender pour autoriser ou interdire la fonctionnalité de prévention des intrusions.

    • Non configuré (par défaut) : le paramètre est restauré sur la valeur par défaut du système.
    • Non : le système de prévention des intrusions n’est pas autorisé.
    • Oui - Le système de prévention des intrusions est autorisé.

  • Analyser tous les fichiers et pièces jointes téléchargés
    CSP : EnableNetworkProtection

    Configurez Defender pour analyser tous les fichiers et pièces jointes téléchargés.

    • Non configuré (par défaut) : le paramètre est restauré sur la valeur par défaut du système.
    • Non
    • Oui

  • Analyser les scripts utilisés dans les navigateurs Microsoft
    CSP : AllowScriptScanning

    Configurez Defender pour analyser les scripts.

    • Non configuré (par défaut) : le paramètre est restauré sur la valeur par défaut du système.
    • Non
    • Oui

  • Analyser les fichiers réseau
    CSP : AllowScanningNetworkFiles

    Configurez Defender pour analyser les fichiers réseau.

    • Non configuré (par défaut) : le paramètre est restauré sur la valeur par défaut du système.
    • Non Désactive l’analyse des fichiers réseau.
    • Oui Analyse les fichiers réseau.

  • Analyser les e-mails
    CSP : AllowEmailScanning

    Configurez Defender pour analyser les e-mails entrants.

    • Non configuré (par défaut) : le paramètre est restauré sur la valeur par défaut du système.
    • Non Désactive l’analyse des e-mails.
    • Oui Active l’analyse des e-mails.

Remédiation

  • Nombre de jours (0-90) pour conserver les programmes malveillants mis en quarantaine
    CSP : DaysToRetainCleanedMalware

    Spécifiez un nombre de jours compris entre zéro et 90 jours pendant lesquels le système stocke les éléments mis en quarantaine avant qu’ils ne soient automatiquement supprimés. La valeur zéro maintient les éléments en quarantaine et ne les supprime pas automatiquement.

  • Envoyer des exemples de consentement

    • Non configuré (par défaut)
    • Toujours l’invite
    • Envoyer automatiquement des exemples sécurisés
    • Ne jamais envoyer
    • Envoyer automatiquement tous les exemples

  • Action à entreprendre sur les applications potentiellement indésirables
    CSP : PUAProtection

    Spécifiez le niveau de détection des applications potentiellement indésirables (PUA). Defender avertit les utilisateurs en cas de téléchargement de logiciels potentiellement indésirables ou de tentatives d’installation sur un appareil.

    • Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système, qui est PROTECTION PUA DÉSACTIVÉE.
    • Désactivé : Windows Defender ne protège pas contre les applications potentiellement indésirables.
    • Activé : les éléments détectés sont bloqués. Ils apparaîtront dans l’histoire avec d’autres menaces.
    • Mode Audit : Defender détecte les applications potentiellement indésirables, mais n’effectue aucune action. Vous pouvez consulter des informations sur les applications contre lesquelles Defender aurait pris des mesures en recherchant les événements créés par Defender dans le observateur d'événements.

  • Créer un point de restauration système avant le nettoyage des ordinateurs

    • Non configuré (par défaut)
    • Non
    • Oui

  • Actions pour les menaces détectées
    CSP : ThreatSeverityDefaultAction

    Spécifiez l’action que Defender effectue pour les programmes malveillants détectés en fonction du niveau de menace du programme malveillant.

    Defender classe les programmes malveillants qu’il détecte comme l’un des niveaux de gravité suivants :

    • Faible menace
    • Menace modérée
    • Menace élevée
    • Menace grave

    Pour chaque niveau, spécifiez l’action à effectuer. La valeur par défaut pour chaque niveau de gravité est Non configuré.

    • Non configuré (par défaut)
    • Nettoyer : le service tente de récupérer des fichiers et d’essayer de désinfecter.
    • Quarantaine : déplace les fichiers en quarantaine.
    • Supprimer : supprime les fichiers de l’appareil.
    • Autoriser : autorise le fichier et n’effectue pas d’autres actions.
    • Défini par l’utilisateur : l’utilisateur de l’appareil prend la décision sur l’action à entreprendre.
    • Bloquer : bloque l’exécution du fichier.

Analyser

  • Analyser les fichiers d’archive
    CSP : AllowArchiveScanning

    Configurez Defender pour analyser les fichiers d’archive, tels que les fichiers ZIP ou CAB.

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut du client, qui consiste à analyser les fichiers archivés, mais l’utilisateur peut désactiver l’analyse. En savoir plus
    • Non Désactive l’analyse des fichiers archivés.
    • Oui Analyse les fichiers d’archive.

  • Activer une faible priorité processeur pour les analyses planifiées
    CSP : EnableLowCPUPriority

    Configurez la priorité du processeur pour les analyses planifiées.

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut du système, dans laquelle aucune modification de la priorité du processeur n’est apportée.
    • Non
    • Oui

  • Désactiver l’analyse complète de rattrapage
    CSP : DisableCatchupFullScan

    Configurez des analyses de rattrapage pour les analyses complètes planifiées. Une analyse de rattrapage est une analyse qui démarre parce qu’une analyse planifiée régulièrement a été manquée. En règle générale, ces analyses planifiées sont manquées, car l’ordinateur a été éteint à l’heure planifiée.

    • Non configuré (valeur par défaut) : le paramètre est retourné à la valeur par défaut du client, qui consiste à activer les analyses de rattrapage pour les analyses complètes, mais l’utilisateur peut les désactiver.
    • Non
    • Oui

  • Désactiver l’analyse rapide de rattrapage
    CSP : DisableCatchupQuickScan

    Configurez des analyses de rattrapage pour les analyses rapides planifiées. Une analyse de rattrapage est une analyse qui démarre parce qu’une analyse planifiée régulièrement a été manquée. En règle générale, ces analyses planifiées sont manquées, car l’ordinateur a été éteint à l’heure planifiée.

    • Non configuré (valeur par défaut) : le paramètre est retourné à la valeur par défaut du client, qui consiste à activer les analyses rapides de rattrapage, mais l’utilisateur peut les désactiver.
    • Non
    • Oui

  • Limite d’utilisation du processeur (0-100 %) par analyse
    CSP : AvgCPULoadFactor

    Spécifiez sous la forme d’un pourcentage compris entre zéro et 100, le facteur de charge processeur moyen pour l’analyse Defender.

  • Activer l’analyse des lecteurs réseau mappés pendant une analyse complète
    CSP : AllowFullScanOnMappedNetworkDrives

    Configurez Defender pour analyser les lecteurs réseau mappés.

    • Non configuré (valeur par défaut) : le paramètre est restauré sur la valeur par défaut du système, ce qui désactive l’analyse sur les lecteurs réseau mappés.
    • Non autorisé Désactive l’analyse sur les lecteurs réseau mappés.
    • Autorisé Analyse les lecteurs réseau mappés.

  • Exécutez l’analyse rapide quotidienne sur
    CSP : ScheduleQuickScanTime

    Sélectionnez l’heure d’exécution des analyses rapides Defender. Par défaut, cette option n’est pas configurée

  • Type d’analyse
    CSP : ScanParameter

    Sélectionnez le type d’analyse exécuté par Defender.

    • Non configuré (par défaut)
    • Analyse rapide
    • Analyse complète

  • Jour de la semaine pour exécuter une analyse planifiée

    • Non configuré (par défaut)

  • Heure de la journée pour exécuter une analyse planifiée

    • Non configuré (par défaut)

  • Rechercher les Mises à jour de signature avant d’exécuter l’analyse (appareil)

    • Non configuré (par défaut)
    • Non
    • Oui

  • Heure de début de la mise à jour de l’analyse planifiée aléatoire et de la veille de sécurité
    - Non configuré (par défaut) - Oui -Non

  • Analyser les lecteurs amovibles pendant l’analyse complète

    • Non configuré (par défaut)
    • Non Désactive l’analyse sur les lecteurs amovibles.
    • Oui Analyse les lecteurs amovibles.

Updates

  • Entrez la fréquence (0-24 heures) à laquelle case activée pour les mises à jour du renseignement de sécurité
    CSP : SignatureUpdateInterval

    Spécifiez l’intervalle de zéro à 24 (en heures) utilisé pour case activée pour les signatures. La valeur zéro n’entraîne aucune case activée pour les nouvelles signatures. La valeur 2 case activée toutes les deux heures, etc.

    • Ordre de secours de mise à jour de signature (appareil)

    • Sources de partages de fichiers de mise à jour de signature (appareil)

  • Emplacement du renseignement de sécurité (appareil)

Expérience utilisateur

  • Bloquer l’accès utilisateur à Microsoft Defender application

    • Non configuré (par défaut)
    • Non autorisé Empêche les utilisateurs d’accéder à l’interface utilisateur.
    • Autorisé Permet aux utilisateurs d’accéder à l’interface utilisateur.

  • Autoriser les utilisateurs à afficher les résultats complets de l’historique

    • Non configuré (par défaut)
    • Oui
    • Non