Megosztás a következőn keresztül:


Végponthoz készült Microsoft Defender beállítása macOS rendszeren

Érintett szolgáltatás:

Fontos

Ez a cikk útmutatást tartalmaz a végponthoz készült Microsoft Defender beállításainak beállításához macOS rendszeren vállalati szervezetekben. A Végponthoz készült Microsoft Defender macOS rendszeren a parancssori felülettel történő konfigurálásához lásd: Erőforrások.

Összefoglalás

A nagyvállalati szervezetekben a végponthoz készült Microsoft Defender macOS rendszeren egy olyan konfigurációs profillal kezelhető, amely több felügyeleti eszköz egyikével van üzembe helyezve. A biztonsági üzemeltetési csapat által kezelt beállítások elsőbbséget élveznek az eszközön helyileg beállított beállításokkal szemben. A konfigurációs profilon keresztül megadott beállítások módosítása eszkalált jogosultságokat igényel, és nem érhető el rendszergazdai engedélyekkel nem rendelkező felhasználók számára.

Ez a cikk ismerteti a konfigurációs profil szerkezetét, tartalmaz egy ajánlott profilt, amelyet az első lépésekhez használhat, és útmutatást nyújt a profil üzembe helyezéséhez.

Konfigurációs profil struktúrája

A konfigurációs profil egy .plist fájl, amely egy kulcs által azonosított bejegyzésekből áll (amely a beállítás nevét jelöli), majd egy értékből, amely a beállítás természetétől függ. Az értékek lehetnek egyszerűek (például numerikus értékek) vagy összetettek, például a beállítások beágyazott listája.

Figyelem!

A konfigurációs profil elrendezése a használt felügyeleti konzoltól függ. Az alábbi szakaszok példákat tartalmaznak a JAMF és az Intune konfigurációs profiljaira.

A konfigurációs profil legfelső szintje termékszintű beállításokat és bejegyzéseket tartalmaz a Végponthoz készült Microsoft Defender alterületeihez, amelyeket a következő szakaszok részletesebben ismertetnek.

Víruskereső motor beállításai

A konfigurációs profil antivirusEngine szakasza a Végponthoz készült Microsoft Defender víruskereső összetevőjének beállításainak kezelésére szolgál.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs antivirusEngine
Adattípus Szótár (beágyazott beállítás)
Megjegyzések A szótár tartalmának leírását az alábbi szakaszokban találja.

A víruskereső motor kényszerítési szintje

Megadja a víruskereső motor kényszerítési beállítását. A kényszerítési szint beállításának három értéke van:

  • Valós idejű (real_time): A valós idejű védelem (a fájlok elérésekor történő beolvasása) engedélyezve van.
  • Igény szerinti (on_demand): A fájlok vizsgálata csak igény szerint lehetséges. Ebben:
    • A valós idejű védelem ki van kapcsolva.
  • Passzív (passive): Passzív módban futtatja a víruskereső motort. Ebben:
    • A valós idejű védelem ki van kapcsolva.
    • Az igény szerinti vizsgálat be van kapcsolva.
    • Az automatikus fenyegetés-szervizelés ki van kapcsolva.
    • A biztonságiintelligencia-frissítések be vannak kapcsolva.
    • Az Állapot menü ikonja rejtett.
Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs enforcementLevel
Adattípus Karakterlánc
Lehetséges értékek real_time (alapértelmezett)

on_demand

Passzív

Megjegyzések A Végponthoz készült Microsoft Defender 101.10.72-es vagy újabb verziójában érhető el.

Viselkedésfigyelés engedélyezése/letiltása

Meghatározza, hogy a viselkedésfigyelés és a blokkolási képesség engedélyezve van-e az eszközön.

Megjegyzés:

Ez a funkció csak akkor alkalmazható, ha a Real-Time Protection funkció engedélyezve van.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs behaviorMonitoring
Adattípus Karakterlánc
Lehetséges értékek Tiltva

engedélyezve (alapértelmezett)

Megjegyzések A Végponthoz készült Microsoft Defender 101.24042.0002-es vagy újabb verziójában érhető el.

Fájlkivonat számítási funkció konfigurálása

Engedélyezi vagy letiltja a fájlkivonat számítási funkcióját. Ha ez a funkció engedélyezve van, a Végponthoz készült Defender az általa beolvasott fájlok kivonatait számítja ki, hogy jobban illeszkedhessen a mutatószabályokhoz. MacOS rendszeren csak a szkript és a Mach-O (32 és 64 bites) fájlok számítanak a kivonatszámításhoz (a motor 1.1.20000.2-es vagy újabb verziójából). Vegye figyelembe, hogy a funkció engedélyezése hatással lehet az eszköz teljesítményére. További részletekért lásd: Jelzők létrehozása fájlokhoz.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs enableFileHashComputation
Adattípus Logikai
Lehetséges értékek false (alapértelmezett)

Igaz

Megjegyzések A Végponthoz készült Defender 101.86.81-es vagy újabb verziójában érhető el.

Vizsgálat futtatása a definíciók frissítése után

Meghatározza, hogy elindítsa-e a folyamatvizsgálatot az új biztonságiintelligencia-frissítések eszközre való letöltése után. Ennek a beállításnak az engedélyezése elindítja az eszköz futó folyamatainak víruskereső vizsgálatát.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs scanAfterDefinitionUpdate
Adattípus Logikai
Lehetséges értékek true (alapértelmezett)

Hamis

Megjegyzések A Végponthoz készült Microsoft Defender 101.41.10-es vagy újabb verziójában érhető el.

Archívumok vizsgálata (csak igény szerinti víruskereső vizsgálatok esetén)

Meghatározza, hogy az igény szerinti víruskereső vizsgálatok során beolvassa-e az archívumokat.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs scanArchives
Adattípus Logikai
Lehetséges értékek true (alapértelmezett)

Hamis

Megjegyzések A Végponthoz készült Microsoft Defender 101.41.10-es vagy újabb verziójában érhető el.

Párhuzamosság foka igény szerinti vizsgálatokhoz

Az igény szerinti vizsgálatok párhuzamossági fokát határozza meg. Ez megfelel a vizsgálat végrehajtásához használt szálak számának, és hatással van a processzorhasználatra, valamint az igény szerinti vizsgálat időtartamára.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs maximumOnDemandScanThreads
Adattípus Egész
Lehetséges értékek 2 (alapértelmezett). Az engedélyezett értékek 1 és 64 közötti egész számok.
Megjegyzések A Végponthoz készült Microsoft Defender 101.41.10-es vagy újabb verziójában érhető el.

Kizárási egyesítési szabályzat

Adja meg a kizárások egyesítési szabályzatát. Ez lehet a rendszergazda által definiált és a felhasználó által definiált kizárások (merge) kombinációja, vagy csak a rendszergazda által definiált kizárások (admin_only). Ezzel a beállítással korlátozhatja a helyi felhasználókat a saját kizárásuk meghatározásában.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs exclusionsMergePolicy
Adattípus Karakterlánc
Lehetséges értékek egyesítés (alapértelmezett)

admin_only

Megjegyzések A Végponthoz készült Microsoft Defender 100.83.73-es vagy újabb verziójában érhető el.

Kizárások vizsgálata

Adja meg a vizsgálatból kizárt entitásokat. A kizárások megadhatóak teljes elérési utakkal, kiterjesztésekkel vagy fájlnevekkel. (A kizárások elemtömbként vannak megadva, a rendszergazda tetszőleges sorrendben annyi elemet adhat meg, amennyi szükséges.)

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs Kizárások
Adattípus Szótár (beágyazott beállítás)
Megjegyzések A szótár tartalmának leírását az alábbi szakaszokban találja.
Kizárás típusa

Adja meg azokat a tartalmakat, amelyeket nem lehet típus szerint beolvasni.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs $type
Adattípus Karakterlánc
Lehetséges értékek excludedPath

excludedFileExtension

excludedFileName

Kizárt tartalom elérési útja

Adja meg a teljes fájlelérési út által nem vizsgált tartalmat.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs Elérési út
Adattípus Karakterlánc
Lehetséges értékek érvényes elérési utak
Megjegyzések Csak akkor alkalmazható, ha $typeexcludedPath

Támogatott kizárási típusok

Az alábbi táblázat a Végponthoz készült Defender által támogatott kizárási típusokat mutatja be Macen.

Kizárási Definíció Példák
Fájlkiterjesztés Az összes kiterjesztésű fájl, bárhol az eszközön .test
Fájl A teljes elérési út által azonosított konkrét fájl /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Mappa A megadott mappában lévő összes fájl (rekurzív módon) /var/log/

/var/*/

Folyamat Egy adott folyamat (amelyet a teljes elérési út vagy a fájlnév határoz meg) és az általa megnyitott összes fájl /bin/cat

cat

c?t

Fontos

A sikeres kizáráshoz a fenti elérési utaknak nem szimbolikus, hanem rögzített hivatkozásoknak kell lenniük. Az parancs futtatásával file <path-name>ellenőrizheti, hogy az elérési út szimbolikus hivatkozás-e.

A fájl-, mappa- és folyamatkizárások a következő helyettesítő karaktereket támogatják:

Helyettesítő Leírás Példa Egyezések Nem egyezik
* Tetszőleges számú karaktert tartalmaz, beleértve a egyiket sem (vegye figyelembe, hogy ha ezt a helyettesítő karaktert egy elérési úton belül használja, az csak egy mappát helyettesít) /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? Egyetlen karakterre illeszkedik file?.log file1.log

file2.log

file123.log

Elérési út típusa (fájl/könyvtár)

Jelezze, hogy az elérési út tulajdonság egy fájlra vagy könyvtárra hivatkozik-e.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs isDirectory
Adattípus Logikai
Lehetséges értékek false (alapértelmezett)

Igaz

Megjegyzések Csak akkor alkalmazható, ha $typeexcludedPath

A vizsgálatból kizárt fájlkiterjesztés

Adja meg a fájlkiterjesztés által nem vizsgált tartalmat.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs Kiterjesztés
Adattípus Karakterlánc
Lehetséges értékek érvényes fájlkiterjesztések
Megjegyzések Csak akkor alkalmazható, ha $type ki van zárvaFileExtension

A vizsgálatból kizárt folyamat

Adjon meg egy folyamatot, amelynek minden fájltevékenysége ki van zárva a vizsgálatból. A folyamat a neve (például cat) vagy teljes elérési útja (például : ) alapján adható meg. /bin/cat

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs név
Adattípus Karakterlánc
Lehetséges értékek bármely sztring
Megjegyzések Csak akkor alkalmazható, ha $typea excludedFileName

Engedélyezett fenyegetések

Adjon meg olyan fenyegetéseket név szerint, amelyeket a Végponthoz készült Defender nem blokkol Macen. Ezek a fenyegetések futni fognak.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs allowedThreats
Adattípus Sztringek tömbje

Letiltott fenyegetési műveletek

Korlátozza azokat a műveleteket, amelyeket az eszköz helyi felhasználója végrehajthat fenyegetések észlelésekor. A listában szereplő műveletek nem jelennek meg a felhasználói felületen.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs disallowedThreatActions
Adattípus Sztringek tömbje
Lehetséges értékek engedélyezés (korlátozza a felhasználókat a fenyegetések engedélyezésében)

visszaállítás (korlátozza a felhasználókat a fenyegetések karanténból való visszaállításában)

Megjegyzések A Végponthoz készült Microsoft Defender 100.83.73-es vagy újabb verziójában érhető el.

Fenyegetéstípus beállításai

Adja meg, hogyan kezelje a végponthoz készült Microsoft Defender bizonyos fenyegetéstípusokat macOS rendszeren.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs threatTypeSettings
Adattípus Szótár (beágyazott beállítás)
Megjegyzések A szótár tartalmának leírását az alábbi szakaszokban találja.
Fenyegetés típusa

Adja meg a fenyegetéstípusokat.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs Kulcs
Adattípus Karakterlánc
Lehetséges értékek potentially_unwanted_application

archive_bomb

Végrehajtandó művelet

Adja meg, hogy milyen műveletet kell elvégezni az előző szakaszban megadott típusú fenyegetés észlelésekor. Válasszon az alábbi lehetőségek közül:

  • Naplózás: az eszköz nem védett az ilyen típusú fenyegetésekkel szemben, de a rendszer naplózza a fenyegetésről szóló bejegyzést.
  • Letiltás: az eszköz védve van az ilyen típusú fenyegetésekkel szemben, és értesítést kap a felhasználói felületen és a biztonsági konzolon.
  • Kikapcsolva: az eszköz nem védett az ilyen típusú fenyegetésekkel szemben, és a rendszer semmit sem naplóz.
Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs Érték
Adattípus Karakterlánc
Lehetséges értékek naplózás (alapértelmezett)

Blokk

Ki

Fenyegetéstípus beállításainak egyesítési szabályzata

Adja meg az egyesítési szabályzatot a fenyegetéstípus beállításaihoz. Ez lehet a rendszergazda által definiált és a felhasználó által definiált beállítások (merge) kombinációja, vagy csak a rendszergazda által megadott beállítások (admin_only). Ezzel a beállítással korlátozhatja, hogy a helyi felhasználók saját beállításokat határozzanak meg a különböző fenyegetéstípusokhoz.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs threatTypeSettingsMergePolicy
Adattípus Karakterlánc
Lehetséges értékek egyesítés (alapértelmezett)

admin_only

Megjegyzések A Végponthoz készült Microsoft Defender 100.83.73-es vagy újabb verziójában érhető el.

Víruskereső vizsgálati előzményeinek megőrzése (napokban)

Itt adhatja meg, hogy az eszköz vizsgálati előzményei hány napig őrzik meg az eredményeket. A régi vizsgálati eredmények törlődnek az előzményekből. Régi karanténba helyezett fájlok, amelyek szintén el lettek távolítva a lemezről.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs scanResultsRetentionDays
Adattípus Karakterlánc
Lehetséges értékek 90 (alapértelmezett). Az engedélyezett értékek 1 naptól 180 napig használhatók.
Megjegyzések A Végponthoz készült Microsoft Defender 101.07.23-es vagy újabb verziójában érhető el.

A víruskereső vizsgálati előzményeiben szereplő elemek maximális száma

Itt adhatja meg a vizsgálati előzményekben megtartani kívánt bejegyzések maximális számát. A bejegyzések közé tartozik a múltban végzett összes igény szerinti vizsgálat és az összes víruskereső-észlelés.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs scanHistoryMaximumItems
Adattípus Karakterlánc
Lehetséges értékek 10000 (alapértelmezett). Az engedélyezett értékek 5000 és 15000 elem között vannak.
Megjegyzések A Végponthoz készült Microsoft Defender 101.07.23-es vagy újabb verziójában érhető el.

A felhőben biztosított védelmi beállítások

Konfigurálja a végponthoz készült Microsoft Defender felhőalapú védelmi funkcióit macOS rendszeren.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs cloudService
Adattípus Szótár (beágyazott beállítás)
Megjegyzések A szótár tartalmának leírását az alábbi szakaszokban találja.

Felhőben biztosított védelem engedélyezése/letiltása

Adja meg, hogy engedélyezi-e a felhőben biztosított védelmet az eszközön. A szolgáltatások biztonságának javítása érdekében javasoljuk, hogy kapcsolja be ezt a funkciót.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs Engedélyezve
Adattípus Logikai
Lehetséges értékek true (alapértelmezett)

Hamis

Diagnosztikai gyűjtemény szintje

A diagnosztikai adatok a Végponthoz készült Microsoft Defender biztonságának és naprakész állapotának megőrzésére, a problémák észlelésére, diagnosztizálására és megoldására, valamint a termékek fejlesztésére szolgálnak. Ez a beállítás határozza meg a Végponthoz készült Microsoft Defender által a Microsoftnak küldött diagnosztika szintjét.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs diagnosticLevel
Adattípus Karakterlánc
Lehetséges értékek nem kötelező (alapértelmezett)

Szükséges

A felhőblokk szintjének konfigurálása

Ez a beállítás határozza meg, hogy a Végponthoz készült Defender mennyire lesz agresszív a gyanús fájlok blokkolásában és vizsgálatában. Ha ez a beállítás be van kapcsolva, a Végponthoz készült Defender agresszívebb lesz a blokkolni és megvizsgálni kívánt gyanús fájlok azonosításakor; ellenkező esetben kevésbé agresszív lesz, ezért kisebb gyakorisággal blokkolja és szkenneli. A felhőblokkok szintjének beállításához öt érték érhető el:

  • Normál (normal): Az alapértelmezett blokkolási szint.
  • Mérsékelt (moderate): Csak a nagy megbízhatósági észlelések esetén kézbesíti az ítéletet.
  • Magas (high): Agresszíven blokkolja az ismeretlen fájlokat, miközben optimalizálja a teljesítményt (nagyobb eséllyel blokkolja a nem káros fájlokat).
  • High Plus (high_plus): Agresszíven blokkolja az ismeretlen fájlokat, és további védelmi intézkedéseket alkalmaz (ez hatással lehet az ügyféleszköz teljesítményére).
  • Zéró tolerancia (zero_tolerance): Blokkolja az összes ismeretlen programot.
Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs cloudBlockLevel
Adattípus Karakterlánc
Lehetséges értékek normál (alapértelmezett)

Mérsékelt

Magas

high_plus

zero_tolerance

Megjegyzések A Végponthoz készült Defender 101.56.62-es vagy újabb verziójában érhető el.

Automatikus mintabeküldések engedélyezése/letiltása

Meghatározza, hogy a rendszer elküldi-e a gyanús mintákat (amelyek valószínűleg fenyegetést tartalmaznak) a Microsoftnak. A mintaküldés szabályozásának három szintje van:

  • Nincs: a rendszer nem küld gyanús mintákat a Microsoftnak.
  • Biztonságos: a rendszer csak a személyazonosításra alkalmas adatokat (PII) nem tartalmazó gyanús mintákat küldi el automatikusan. Ez a beállítás alapértelmezett értéke.
  • Minden: minden gyanús minta elküldve a Microsoftnak.
Leírás Érték
Kulcs automaticSampleSubmissionConsent
Adattípus Karakterlánc
Lehetséges értékek nincs

safe (alapértelmezett)

Minden

Automatikus biztonságiintelligencia-frissítések engedélyezése/letiltása

Meghatározza, hogy a rendszer automatikusan telepíti-e a biztonságiintelligencia-frissítéseket:

Szakasz Érték
Kulcs automaticDefinitionUpdateEnabled
Adattípus Logikai
Lehetséges értékek true (alapértelmezett)

Hamis

Felhasználói felület beállításai

A végponthoz készült Microsoft Defender felhasználói felületének beállításainak kezelése macOS rendszeren.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs userInterface
Adattípus Szótár (beágyazott beállítás)
Megjegyzések A szótár tartalmának leírását az alábbi szakaszokban találja.

Állapot menü ikon megjelenítése/elrejtése

Itt adhatja meg, hogy meg szeretné-e jeleníteni vagy elrejteni az állapotmenü ikonját a képernyő jobb felső sarkában.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs hideStatusMenuIcon
Adattípus Logikai
Lehetséges értékek false (alapértelmezett)

Igaz

Visszajelzés küldésére vonatkozó lehetőség megjelenítése/elrejtése

Itt adhatja meg, hogy a felhasználók küldhetnek-e visszajelzést a Microsoftnak.Help>Send Feedback

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs userInitiatedFeedback
Adattípus Karakterlánc
Lehetséges értékek engedélyezve (alapértelmezett)

Tiltva

Megjegyzések A Végponthoz készült Microsoft Defender 101.19.61-es vagy újabb verziójában érhető el.

A Microsoft Defender fogyasztói verziójába való bejelentkezés szabályozása

Adja meg, hogy a felhasználók bejelentkezhetnek-e a Microsoft Defender fogyasztói verziójába.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs consumerExperience
Adattípus Karakterlánc
Lehetséges értékek engedélyezve (alapértelmezett)

Tiltva

Megjegyzések A Végponthoz készült Microsoft Defender 101.60.18-es vagy újabb verziójában érhető el.

Végpontészlelési és válaszbeállítások

A végponthoz készült Microsoft Defender végponthoz készült összetevőjének végpontészlelési és -válasz (EDR) beállításainak kezelése macOS rendszeren.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs Edr
Adattípus Szótár (beágyazott beállítás)
Megjegyzések A szótár tartalmának leírását az alábbi szakaszokban találja.

Eszközcímkék

Adjon meg egy címkenevet és annak értékét.

  • A GROUP címke a megadott értékkel jelöli meg az eszközt. A címke az eszközoldal alatt jelenik meg a portálon, és az eszközök szűréséhez és csoportosításához használható.
Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs Címkék
Adattípus Szótár (beágyazott beállítás)
Megjegyzések A szótár tartalmának leírását az alábbi szakaszokban találja.
Címke típusa

A címke típusát határozza meg

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs Kulcs
Adattípus Karakterlánc
Lehetséges értékek GROUP
Címke értéke

A címke értékét adja meg

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs Érték
Adattípus Karakterlánc
Lehetséges értékek bármely sztring

Fontos

  • Címketípusonként csak egy érték állítható be.
  • A címkék típusa egyedi, és nem ismétlődhet ugyanabban a konfigurációs profilban.

Csoportazonosító

EDR-csoportazonosítók

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs groupIds
Adattípus Karakterlánc
Megjegyzések Csoportazonosító

Illetéktelen módosítás elleni védelem

A végponthoz készült Microsoft Defender Tamper Protection összetevőjének beállításainak kezelése macOS rendszeren.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs tamperProtection
Adattípus Szótár (beágyazott beállítás)
Megjegyzések A szótár tartalmának leírását az alábbi szakaszokban találja.

Kényszerítési szint

Ha az illetéktelen módosítás elleni védelem engedélyezve van, és szigorú módban van

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs enforcementLevel
Adattípus Karakterlánc
Megjegyzések Az egyik "letiltott", "audit" vagy "blokk"

Lehetséges értékek:

  • letiltva – Az illetéktelen módosítás elleni védelem ki van kapcsolva, nincs megelőzés a felhőbe irányuló támadások vagy jelentéskészítés során
  • audit – Az illetéktelen módosítás elleni védelem csak a felhőbe irányuló illetéktelen módosítási kísérleteket jelenti, de nem blokkolja őket
  • block – Az illetéktelen módosítás elleni védelem blokkolja és jelenti a felhőbe irányuló támadásokat

Kizárások

Olyan folyamatokat határoz meg, amelyek lehetővé teszi a Microsoft Defender objektumának módosítását anélkül, hogy illetéktelen módosítást fontolgatnak. Meg kell adni az elérési utat, a teamId-t vagy az aláíróazonosítót, vagy a kombinációjukat. Args is megadható, hogy az engedélyezett folyamat pontosabban.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs Kizárások
Adattípus Szótár (beágyazott beállítás)
Megjegyzések A szótár tartalmának leírását az alábbi szakaszokban találja.
Elérési út

A végrehajtható folyamat pontos elérési útja.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs Elérési út
Adattípus Karakterlánc
Megjegyzések Rendszerhéjszkript esetén ez lesz az értelmező bináris fájl pontos elérési útja, például . /bin/zsh Helyettesítő karakterek használata nem engedélyezett.
Csapatazonosító

Az Apple "Csapatazonosítója" a szállítótól.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs teamId
Adattípus Karakterlánc
Megjegyzések Például a UBF8T346G9 Microsoft esetében
Aláírási azonosító

Az Apple "aláírási azonosítója" a csomagban.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs aláíró azonosító
Adattípus Karakterlánc
Megjegyzések Például Ruby-értelmező com.apple.ruby esetén
Folyamatargumentumok

Más paraméterekkel együtt használva azonosítja a folyamatot.

Szakasz Érték
Domain (Tartomány) com.microsoft.wdav
Kulcs aláíró azonosító
Adattípus Sztringek tömbje
Megjegyzések Ha meg van adva, a folyamatargumentumnak pontosan meg kell egyeznie az argumentumokkal, a kis- és nagybetűk megkülönböztetésével

Elsőként a következő konfigurációt javasoljuk a vállalat számára, hogy kihasználja a Végponthoz készült Microsoft Defender összes védelmi funkciójának előnyeit.

A következő konfigurációs profil (JAMF esetén az egyéni beállításkonfigurációs profilba feltölthető tulajdonságlista) lesz:

  • Valós idejű védelem (RTP) engedélyezése
  • Adja meg a következő fenyegetéstípusok kezelési módját:
    • A potenciálisan nemkívánatos alkalmazások (PUA) le vannak tiltva
    • A rendszer naplózza az archív bombákat (magas tömörítési sebességgel rendelkező fájlt) a Végponthoz készült Microsoft Defender naplóiban
  • Automatikus biztonságiintelligencia-frissítések engedélyezése
  • Felhőben nyújtott védelem engedélyezése
  • Automatikus mintaküldés engedélyezése
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Példa teljes konfigurációs profilra

Az alábbi sablonok az ebben a dokumentumban ismertetett összes beállításhoz tartalmaznak bejegyzéseket, és olyan speciálisabb forgatókönyvekhez használhatók, ahol a végponthoz készült Microsoft Defendert macOS rendszeren szeretné jobban szabályozni.

A JAMF teljes konfigurációs profiljának tulajdonságlistája

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>scanAfterDefinitionUpdate</key>
        <true/>
        <key>scanArchives</key>
        <true/>
        <key>maximumOnDemandScanThreads</key>
        <integer>2</integer>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/Users/*/git</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
        <key>cloudBlockLevel</key>
        <string>normal</string>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
        <key>exclusions</key>
        <array>
        <dict>
            <key>path</key>
            <string>/bin/zsh</string>
            <key>teamId</key>
            <string/>
            <key>signingId</key>
            <string>com.apple.zsh</string>
            <key>args</key>
            <array>
            <string>/usr/local/bin/test.sh</string>
            </array>
        </dict>
        <dict>
            <key>path</key>
            <string>/usr/local/jamf/bin/jamf</string>
            <key>teamId</key>
            <string>483DWKW443</string>
            <key>signingId</key>
            <string>com.jamfsoftware.jamf</string>
        </dict>
        </array>            
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
        <key>userInitiatedFeedback</key>
        <string>enabled</string>
    </dict>
</dict>
</plist>

Intune teljes profil

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>scanAfterDefinitionUpdate</key>
                    <true/>
                    <key>scanArchives</key>
                    <true/>
                    <key>maximumOnDemandScanThreads</key>
                    <integer>1</integer>
                    <key>exclusions</key>
                    <array>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <false/>
                            <key>path</key>
                            <string>/var/log/system.log</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/home</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/Users/*/git</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileExtension</string>
                            <key>extension</key>
                            <string>pdf</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileName</string>
                            <key>name</key>
                            <string>cat</string>
                        </dict>
                    </array>
                    <key>exclusionsMergePolicy</key>
                    <string>merge</string>
                    <key>allowedThreats</key>
                    <array>
                        <string>EICAR-Test-File (not a virus)</string>
                    </array>
                    <key>disallowedThreatActions</key>
                    <array>
                        <string>allow</string>
                        <string>restore</string>
                    </array>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                    <key>threatTypeSettingsMergePolicy</key>
                    <string>merge</string>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>diagnosticLevel</key>
                    <string>optional</string>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                    <key>cloudBlockLevel</key>
                    <string>normal</string>
                </dict>
                <key>edr</key>
                <dict>
                    <key>tags</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>GROUP</string>
                            <key>value</key>
                            <string>ExampleTag</string>
                        </dict>
                    </array>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                    <key>exclusions</key>
                    <array>
                    <dict>
                        <key>path</key>
                        <string>/bin/zsh</string>
                        <key>teamId</key>
                        <string/>
                        <key>signingId</key>
                        <string>com.apple.zsh</string>
                        <key>args</key>
                        <array>
                        <string>/usr/local/bin/test.sh</string>
                        </array>
                    </dict>
                    <dict>
                        <key>path</key>
                        <string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
                        <key>teamId</key>
                        <string>UBF8T346G9</string>
                        <key>signingId</key>
                        <string>IntuneMdmDaemon</string>
                    </dict>
                    </array>            
                </dict>
                <key>userInterface</key>
                <dict>
                    <key>hideStatusMenuIcon</key>
                    <false/>
                    <key>userInitiatedFeedback</key>
                    <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Tulajdonságlista érvényesítése

A tulajdonságlistának érvényes .plist fájlnak kell lennie. Ezt a következő parancs végrehajtásával ellenőrizheti:

plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK

Ha a fájl jól formázott, a fenti parancs kimenete OK és kilépési kódja lesz 0. Ellenkező esetben megjelenik egy hiba, amely leírja a problémát, és a parancs a kilépési kódját 1adja vissza.

Konfigurációs profil üzembe helyezése

Miután elkészítette a vállalati konfigurációs profilt, üzembe helyezheti a vállalat által használt felügyeleti konzolon keresztül. A következő szakaszok útmutatást nyújtanak a profil JAMF és Intune használatával történő üzembe helyezéséhez.

JAMF üzembe helyezése

A JAMF-konzolon nyissa meg a Számítógépek>konfigurációs profiljait, keresse meg a használni kívánt konfigurációs profilt, majd válassza az Egyéni beállítások lehetőséget. Hozzon létre egy bejegyzést a beállítástartományként, com.microsoft.wdav és töltse fel a korábban létrehozott .plist fájlt.

Figyelem!

Meg kell adnia a megfelelő beállítástartományt (com.microsoft.wdav); ellenkező esetben a végponthoz készült Microsoft Defender nem ismeri fel a beállításokat.

Intune üzembe helyezése

  1. Nyissa meg az Eszközök>konfigurációs profiljait. Válassza a Profil létrehozása lehetőséget.

  2. Válassza ki a profil nevét. Módosítsa a Platform=macOS értéket Profiltípus=Sablonok értékre, és válassza az Egyéni lehetőséget a sablon neve szakaszban. Válassza a Konfigurálás lehetőséget.

  3. Mentse a korábban létrehozott .plist fájlt néven com.microsoft.wdav.xml.

  4. Adja meg com.microsoft.wdav az egyéni konfigurációs profil nevét.

  5. Nyissa meg a konfigurációs profilt, és töltse fel a com.microsoft.wdav.xml fájlt. (Ez a fájl a 3. lépésben lett létrehozva.)

  6. Kattintson az OK gombra.

  7. Válassza aHozzárendelésekkezelése> lehetőséget. A Belefoglalás lapon válassza a Hozzárendelés minden felhasználóhoz & Minden eszköz lehetőséget.

Figyelem!

Meg kell adnia a megfelelő egyéni konfigurációs profilnevet; ellenkező esetben ezeket a beállításokat a Végponthoz készült Microsoft Defender nem ismeri fel.

Források

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.