Víruskereső szabályzat a végpontbiztonsághoz az Intune-ban

  • Cikk

Az Intune endpoint security víruskereső házirendjei segíthetnek a biztonsági rendszergazdáknak a felügyelt eszközök víruskereső beállításainak különálló csoportjának kezelésére összpontosítani.

A víruskereső szabályzat számos profilt tartalmaz. Minden profil csak azokat a beállításokat tartalmazza, amelyek a macOS- és Windows-eszközök Végponthoz készült Microsoft Defender víruskeresőhöz, illetve a windowsos eszközökön futó Windows biztonság alkalmazás felhasználói élményéhez szükségesek.

A víruskereső házirendeket a Kezelés területen találja a Microsoft Intune Felügyeleti központ Végpontbiztonsági csomópontjában.

A víruskereső házirendek ugyanazokat a beállításokat tartalmazzák, mint a talált végpontvédelmi vagy eszközkorlátozási sablonok az eszközkonfigurációs szabályzathoz. Ezek a szabályzattípusok azonban további beállításokat is tartalmaznak, amelyek nem kapcsolódnak a víruskeresőhöz. A további beállítások megnehezíthetik a víruskereső számítási feladatok konfigurálását. Emellett a macOS víruskereső szabályzatában található beállítások nem érhetők el a többi szabályzattípuson keresztül. A macOS víruskereső profil felülírja a beállítások fájlok használatával .plist történő konfigurálásának szükségességét.

Érintett szolgáltatás:

  • Linux
  • macOS
  • Windows 10/11

A víruskereső szabályzat előfeltételei

A Microsoft Intune (MDM) által regisztrált eszközök támogatása:

  • macOS

    • A macOS bármely támogatott verziója
    • Ahhoz, hogy az Intune kezelni tudja az eszközön a víruskereső beállításait, Végponthoz készült Microsoft Defender kell telepíteni az adott eszközön. Lásd: Végponthoz készült Microsoft Defender macOS rendszerhez (a Végponthoz készült Microsoft Defender dokumentációjában)

  • Windows 10, Windows 11 és Windows Server

    • Nincs szükség további előfeltételekre.

Configuration Manager-ügyfelek támogatása:

Ez a forgatókönyv előzetes verzióban érhető el, és Configuration Manager aktuális ág 2006-os vagy újabb verziójának használatát igényli.

  • Bérlői csatolás beállítása Configuration Manager eszközökhöz – A Configuration Manager által felügyelt eszközökre történő víruskereső szabályzat telepítésének támogatásához konfigurálja a bérlői csatolást. A bérlői csatolás beállítása magában foglalja Configuration Manager eszközgyűjtemények konfigurálását az Intune végpontbiztonsági szabályzatainak támogatásához.

    A bérlő csatolásának beállításához lásd: A bérlői csatolás konfigurálása végpontvédelmi szabályzatok támogatásához.

Végponthoz készült Microsoft Defender-ügyfelek támogatása:

  • Végponthoz készült Defender biztonsági beállításainak kezelése – A víruskereső szabályzatnak a Defender által felügyelt, de az Intune-ban nem regisztrált eszközökre történő telepítésének támogatásának konfigurálásához lásd: Végponthoz készült Microsoft Defender kezelése Microsoft Intune rendelkező eszközökön. Ez a cikk az e képesség által támogatott platformokról, valamint a platformok által támogatott szabályzatokról és profilokról is tartalmaz információkat.

Az illetéktelen hozzáférés elleni védelem előfeltételei

Az illetéktelen módosítás elleni védelem az alábbi operációs rendszerek egyikét futtató eszközök esetében érhető el:

  • macOS (bármely támogatott verzió)
  • Windows 10 és 11 (beleértve a nagyvállalati több munkamenetet is)
  • Windows Server 1803-es vagy újabb verzió, Windows Server 2019, Windows Server 2022
  • Windows Server 2012 R2 és Windows Server 2016 (a modern, egységesített megoldás használatával)

Megjegyzés:

Az eszközöket elő kell venni a Végponthoz készült Microsoft Defender (P1 vagy P2). Előfordulhat, hogy az eszközök késleltetik az illetéktelen módosítás elleni védelem engedélyezését, ha korábban nem regisztrálták az Végponthoz készült Microsoft Defender. Az illetéktelen módosítás elleni védelem a Végponthoz készült Microsoft Defender való előkészítést követően az első eszközbeadáskor engedélyezve lesz.

Az Intune segítségével kezelheti az illetéktelen módosítás elleni védelmet a Windows-eszközökön a Windows biztonság Experience profil (víruskereső szabályzat) részeként. Ez magában foglalja az Intune-nal kezelt eszközöket és a bérlő csatolási forgatókönyvén keresztül Configuration Manager kezelt eszközöket is. Az illetéktelen módosítás elleni védelem mostantól az Azure Virtual Desktophoz is elérhető.

Intune által felügyelt eszközök

Az Intune által felügyelt eszközök illetéktelen hozzáférés elleni védelmének támogatásának előfeltételei:

A Microsoft Intuneáltal felügyelt eszközök illetéktelen módosítás elleni védelmét támogató víruskereső szabályzat profiljai:

  • Platform: Windows 10, Windows 11 és Windows Server

    • Profil: Windows biztonság élmény

    Megjegyzés:

    2022. április 5-től a Windows 10 és újabb platformot a Windows 10, a Windows 11 és a Windows Server platform váltotta fel.

    A Windows 10, a Windows 11 és a Windows Server platform támogatja az Intune-nal Microsoft Intune vagy Végponthoz készült Microsoft Defender keresztül kommunikáló eszközöket. Ezek a profilok támogatják a Windows Server platformot is, amelyet nem támogatnak natív módon Microsoft Intune.

    Az új platform profiljai a Beállításkatalógusban található beállításformátumot használják. Az új platform minden új profilsablonja ugyanazokat a beállításokat tartalmazza, mint a korábbi profilsablon. Ezzel a módosítással már nem hozhatja létre a régi profilok új verzióit. A régi profil meglévő példányai továbbra is használhatók és szerkeszthetők maradnak.

Az Eszközkonfigurációs szabályzat végpontvédelmi profiljával is konfigurálhatja az Intune által felügyelt eszközök illetéktelen hozzáférés elleni védelmét.

Configuration Manager bérlő csatolási forgatókönyvével felügyelt ügyfelek

Az illetéktelen hozzáférés elleni védelem kezelésének előfeltételei a következő profilokkal:

  • A környezetnek meg kell felelnie az Intune illetéktelen módosítás elleni védelem kezelésének előfeltételeinek , a Windows dokumentációjában leírtak szerint.
  • A 2006-os vagy újabb Configuration Manager aktuális ágat kell használnia.
  • Konfigurálnia kell a bérlői csatolást a végpontvédelmi szabályzatok támogatásához. Ez magában foglalja Configuration Manager eszközgyűjtemények konfigurálását az Intune-nal való szinkronizáláshoz.
  • Az eszközök előkészítése Végponthoz készült Microsoft Defender (P1 vagy P2)

A Configuration Manageráltal felügyelt eszközök illetéktelen módosítás elleni védelmét támogató víruskereső szabályzat profiljai:

  • Platform: Windows 10, Windows 11 és Windows Server (ConfigMgr)
    • Profil: Windows biztonság felület (előzetes verzió)

Víruskereső profilok

A Microsoft Intune által felügyelt eszközök

Az Intune-nal felügyelt eszközök esetében a következő profilok támogatottak:

macOS:

Windows:

  • Platform: Windows 10, Windows 11 és Windows Server
    Az ehhez a platformhoz tartozó profilok az Intune-ban regisztrált eszközökhöz, valamint az Végponthoz készült Microsoft Defender biztonsági felügyeletén keresztül felügyelt eszközökhöz használhatók.

    Megjegyzés:

    2022. április 5-től a Windows 10 és újabb platformot a Windows 10, a Windows 11 és a Windows Server platform váltotta fel.

    A Windows 10, a Windows 11 és a Windows Server platform támogatja az Intune-nal Microsoft Intune vagy Végponthoz készült Microsoft Defender keresztül kommunikáló eszközöket. Ezek a profilok támogatják a Windows Server platformot is, amelyet nem támogatnak natív módon Microsoft Intune.

    Az új platform profiljai a Beállításkatalógusban található beállításformátumot használják. Az új platform minden új profilsablonja ugyanazokat a beállításokat tartalmazza, mint a korábbi profilsablon. Ezzel a módosítással már nem hozhatja létre a régi profilok új verzióit. A régi profil meglévő példányai továbbra is használhatók és szerkeszthetők maradnak.

    • Profil: Microsoft Defender Víruskereső – A Windows-eszközök víruskereső házirend-beállításainak kezelése.

      A Defender víruskereső a Végponthoz készült Microsoft Defender következő generációs védelmi összetevője. A következő generációs védelem egyesíti az olyan technológiákat, mint a gépi tanulás és a felhőinfrastruktúra a vállalati szervezet eszközeinek védelme érdekében.

      A Microsoft Defender víruskereső profil az eszközkonfigurációs szabályzat eszközkorlátozási profiljában található víruskereső-beállítások külön példánya.

      Az eszközkorlátozási profilok víruskereső beállításaitól eltérően ezeket a beállításokat közösen felügyelt eszközökkel is használhatja. Ezeknek a beállításoknak a használatához az Endpoint Protection megosztott felügyeleti számítási feladatok csúszkájának Intune-ra kell állítania.

    • Profil: Microsoft Defender víruskereső kizárásai – Csak a víruskereső kizárására vonatkozó szabályzatbeállítások kezelése.

      Ezzel a szabályzattal az alábbi Microsoft Defender víruskereső konfigurációs szolgáltatók (CSP-k) beállításait kezelheti, amelyek vírusvédelmi kizárásokat határoznak meg:

      • Defender/ExcludedPaths
      • Defender/ExcludedExtensions
      • Defender/ExcludedProcesses

      Ezeket a csP-ket a víruskereső kizárására is Microsoft Defender víruskereső szabályzat kezeli, amely a kizárások azonos beállításait tartalmazza. Mindkét szabályzattípus (víruskereső és víruskereső kizárása) beállításaira a szabályzatok egyesítése vonatkozik, és a vonatkozó eszközök és felhasználók számára létrehozza a kizárások szuperkészletét.

    • Profil: Windows biztonság élmény – Kezelheti a végfelhasználók által a Microsoft Defender Security Centerben megtekinthető Windows biztonság alkalmazásbeállításokat és a kapott értesítéseket.

      A Windows biztonsági alkalmazást számos Windows biztonsági funkció használja a gép állapotával és biztonságával kapcsolatos értesítések küldéséhez. A biztonsági alkalmazás értesítései közé tartoznak a tűzfalak, a víruskereső termékek, a Windows Defender a SmartScreen és egyebek.

    • Profil: Defender Update-vezérlők – A Microsoft Defender frissítési beállításainak kezelése, beleértve a közvetlenül a Defender CSP-ből származó alábbi beállításokat:

A Configuration Manager által felügyelt eszközök

Vírusölő

A bérlői csatolás használatakor kezelheti Configuration Manager eszközök víruskereső beállításait.

Szabályzat elérési útja:

  • Végpontbiztonsági > víruskereső > Windows 10, Windows 11 és Windows Server (ConfigMgr)

Profilok:

  • Microsoft Defender víruskereső (előzetes verzió)
  • Windows biztonság felület (előzetes verzió)

A Configuration Manager szükséges verziója:

  • az aktuális ág 2006-os vagy újabb verziójának Configuration Manager

Támogatott Configuration Manager eszközplatformok:

  • Windows 8.1 (x86, x64), Configuration Manager 2010-es verziótól kezdve
  • Windows 10 újabb (x86, x64, ARM64)
  • Windows 11 és újabb verziók (x86, x64, ARM64)
  • Windows Server 2012 R2 (x64), Configuration Manager 2010-es verziótól kezdve
  • Windows Server 2016 és újabb verziók (x64)

Fontos

2022. október 22-én Microsoft Intune megszüntette a Windows 8.1-et futtató eszközök támogatását. Ezeken az eszközökön nem érhető el technikai segítség és automatikus frissítés.

Ha jelenleg a Windows 8.1-et használja, javasoljuk, hogy lépjen Windows 10/11-eszközökre. Microsoft Intune beépített biztonsági és eszközfunkciókkal rendelkezik, amelyek a Windows 10/11 ügyféleszközöket kezelik.

Szabályzategyesítés a beállításokhoz

Egyes víruskereső házirend-beállítások támogatják a szabályzategyesítést. A szabályzategyesítés segít elkerülni az ütközéseket, ha több szabályzat vonatkozik ugyanarra az eszközre, és ugyanazt a beállítást konfigurálja. Az Intune kiértékeli a szabályzategyesítés által támogatott beállításokat minden felhasználóra vagy eszközre vonatkozóan az összes vonatkozó szabályzat alapján. Ezek a beállítások ezután egyetlen szabályzat-szuperhalmazba lesznek egyesítve.

Létrehozhat például három különálló víruskereső-szabályzatot, amelyek különböző víruskeresési fájlelérési utakat határoznak meg. Végül mindhárom szabályzat ugyanahhoz a felhasználóhoz lesz rendelve. Mivel a Microsoft Defender fájlelérési út kizárása CSP támogatja a szabályzategyesítést, az Intune kiértékeli és egyesíti a felhasználó összes vonatkozó szabályzatának fájlkivételeit. A kizárások egy szuperhalmazhoz lesznek hozzáadva, és a kizárások egyetlen listája a felhasználók eszközére kerül.

Ha egy beállítás nem támogatja a szabályzategyesítést, ütközés léphet fel. Az ütközések azt eredményezhetik, hogy a felhasználó vagy az eszköz nem kap házirendet a beállításhoz. A szabályzategyesítés például nem támogatja a CSP-t a megfelelő eszközazonosítók (PreventInstallationOfMatchingDeviceIDs) telepítésének megakadályozásához. A CSP konfigurációi nem egyesülnek, és külön vannak feldolgozva.

Külön feldolgozás esetén a szabályzatütközések az alábbiak szerint oldódnak fel:

  1. A legbiztonságosabb szabályzat érvényes.
  2. Ha két szabályzat ugyanolyan biztonságos, az utolsó módosított szabályzat lesz érvényes.
  3. Ha az utolsó módosított szabályzat nem tudja feloldani az ütközést, a rendszer nem kézbesít házirendet az eszközre.

Szabályzategyesítést támogató beállítások és CSP-k

A következő beállítások támogatják a szabályzategyesítést:

Vírusvédelmi szabályzatok jelentései

A víruskereső szabályzat jelentései a végpontbiztonság vírusvédelmi szabályzataival és eszközállapotaival kapcsolatos állapotadatokat jelenítik meg. Ezek a jelentések a Microsoft Intune Felügyeleti központ Végpontbiztonsági csomópontjában érhetők el.

A jelentések megtekintéséhez a Microsoft Intune Felügyeleti központban lépjen a Végpontbiztonság elemre, és válassza a Víruskereső lehetőséget. A Víruskereső kiválasztásakor megnyílik az Összefoglalás lap. További jelentés- és állapotnézetek érhetők el további oldalakként.

A következő szakaszokban részletezett jelentések mellett a Microsoft Defender Víruskereső további jelentései is megtalálhatók a Microsoft Intune Felügyeleti központ Jelentések csomópontjában, az Intune-jelentések című cikkben leírtak szerint:

Összefoglalás

Az Összefoglalás lapon létrehozhat új szabályzatokat , és megtekintheti a korábban létrehozott szabályzatok listáját. A lista tartalmazza a szabályzat által tartalmazott profil magas szintű adatait (Házirend típusa), valamint azt, hogy a szabályzat ki van-e rendelve.

A víruskereső szabályzat összegzési lapja

Amikor kiválaszt egy szabályzatot a listából, megnyílik a szabályzatpéldány Áttekintés lapja, és további információkat jelenít meg. Miután kiválasztott egy csempét ebből a nézetből, az Intune további részleteket jelenít meg az adott profilról, ha elérhetők.

A víruskereső szabályzat áttekintési oldala

Nem kifogástalan állapotú végpontok

A Nem kifogástalan végpontok lapon megtekintheti az MDM által felügyelt Windows-eszközök víruskereső állapotával kapcsolatos információkat. Ezt az információt az eszközön futó Windows Defender víruskereső adja vissza Fenyegetésügynök állapotaként. Ezen a lapon válassza az Oszlopok lehetőséget a jelentésben elérhető részletek teljes listájának megtekintéséhez.

Ebben a nézetben csak az észlelt problémákkal rendelkező eszközök jelennek meg. Ez a nézet nem jeleníti meg a tisztaként azonosított eszközök részleteit.

A jelentés információi a következő CSP-k által elérhető részleteken alapulnak, amelyek a Windows ügyfélfelügyeleti dokumentációjában vannak dokumentálva:

Képernyőkép a Nem kifogástalan állapotú végpontok jelentésről.

Következő lépések

Végpontbiztonsági szabályzatok konfigurálása

A Windows-beállítások részleteinek megtekintése a Windows 10 és újabb platform elavult profiljaiban: