Obs!
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Gjelder for:
- Microsoft Defender for endepunkt på macOS
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
Viktig
Denne artikkelen inneholder instruksjoner for hvordan du angir innstillinger for Microsoft Defender for endepunkt på macOS i bedriftsorganisasjoner. Hvis du vil konfigurere Microsoft Defender for endepunkt på macOS ved hjelp av kommandolinjegrensesnittet, kan du se Ressurser.
Sammendrag
I bedriftsorganisasjoner kan Microsoft Defender for endepunkt på macOS administreres gjennom en konfigurasjonsprofil som distribueres ved hjelp av ett av flere administrasjonsverktøy. Innstillinger som administreres av sikkerhetsoperasjonsteamet, prioriteres over preferanser som angis lokalt på enheten. Hvis du endrer innstillingene som er angitt gjennom konfigurasjonsprofilen, kreves utvidede rettigheter og er ikke tilgjengelig for brukere uten administrative tillatelser.
Denne artikkelen beskriver strukturen i konfigurasjonsprofilen, inneholder en anbefalt profil som du kan bruke til å komme i gang, og gir instruksjoner om hvordan du distribuerer profilen.
Struktur for konfigurasjonsprofil
Konfigurasjonsprofilen er en PLIST-fil som består av oppføringer som identifiseres av en nøkkel (som angir navnet på preferansen), etterfulgt av en verdi, som avhenger av hva preferansen er. Verdier kan enten være enkle (for eksempel en numerisk verdi) eller komplekse, for eksempel en nestet liste over innstillinger.
Forsiktig!
Oppsettet for konfigurasjonsprofilen avhenger av administrasjonskonsollen du bruker. Avsnittene nedenfor inneholder eksempler på konfigurasjonsprofiler for JAMF og Intune.
Det øverste nivået i konfigurasjonsprofilen inkluderer innstillinger for hele produktet og oppføringer for underområder i Microsoft Defender for endepunkt, som forklares mer detaljert i de neste avsnittene.
Innstillinger for antivirusmotor
Antivirusengine-delen av konfigurasjonsprofilen brukes til å administrere innstillingene for antiviruskomponenten i Microsoft Defender for endepunkt.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | antivirusengin |
| Datatype | Ordliste (nestet innstilling) |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Håndhevelsesnivå for antivirusmotor
Angir håndhevelsesinnstillingen for antivirusmotoren. Det finnes tre verdier for å angi håndhevelsesnivå:
- Sanntid (
real_time): Sanntidsbeskyttelse (skanne filer etter hvert som de åpnes) er aktivert. - Behovsbetingede (
on_demand): Filer skannes bare ved behov. I dette:- Sanntidsbeskyttelse er deaktivert.
- Passiv (
passive): Kjører antivirusmotoren i passiv modus. I dette:- Sanntidsbeskyttelse er deaktivert.
- Skanning ved behov er aktivert.
- Automatisk utbedring av trusler er deaktivert.
- Sikkerhetsanalyseoppdateringer er aktivert.
- Statusmenyikonet er skjult.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | håndhevelsesnivå |
| Datatype | Streng |
| Mulige verdier | real_time (standard) on_demand passiv |
| Kommentarer | Tilgjengelig i Microsoft Defender for endepunkt versjon 101.10.72 eller nyere. |
Aktiver/deaktiver overvåking av virkemåte
Bestemmer om virkemåteovervåking og blokkeringsfunksjonalitet er aktivert på enheten eller ikke.
Obs!
Denne funksjonen gjelder bare når Real-Time Protection-funksjonen er aktivert.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | behaviorMonitoring |
| Datatype | Streng |
| Mulige verdier | ufør aktivert (standard) |
| Kommentarer | Tilgjengelig i Microsoft Defender for endepunkt versjon 101.24042.0002 eller nyere. |
Konfigurer funksjonen for hash-kode for fil
Aktiverer eller deaktiverer funksjonen for hash-kode for fil. Når denne funksjonen er aktivert, beregner Defender for Endpoint hash-koder for filer den skanner for å muliggjøre bedre samsvar med indikatorreglene. På macOS vurderes bare skript- og Mach-O-filer (32-biters og 64-biters) for denne hash-beregningen (fra motorversjon 1.1.20000.2 eller nyere). Aktivering av denne funksjonen kan påvirke enhetsytelsen. Hvis du vil ha mer informasjon, kan du se: Opprette indikatorer for filer.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | enableFileHashComputation |
| Datatype | Boolsk |
| Mulige verdier | usann (standard) sann |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.86.81 eller nyere. |
Kjør en skanning etter at definisjoner er oppdatert
Angir om du vil starte en prosessskanning etter at nye sikkerhetsanalyseoppdateringer er lastet ned på enheten. Aktivering av denne innstillingen utløser en antivirusskanning på prosessene som kjører på enheten.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | scanAfterDefinitionUpdate |
| Datatype | Boolsk |
| Mulige verdier | sann (standard) falsk |
| Kommentarer | Tilgjengelig i Microsoft Defender for endepunkt versjon 101.41.10 eller nyere. |
Skanne arkiver (bare på forespørsel antivirusskanninger)
Angir om du vil skanne arkiver under behovsbetingede antivirusskanninger.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | scanArchives |
| Datatype | Boolsk |
| Mulige verdier | sann (standard) falsk |
| Kommentarer | Tilgjengelig i Microsoft Defender for endepunkt versjon 101.41.10 eller nyere. |
Graden av parallellitet for behovsbetingede skanninger
Angir graden av parallellitet for behovsbetingede skanninger. Dette tilsvarer antall tråder som brukes til å utføre skanningen og påvirker CPU-bruken, og varigheten av den behovsbetingede skanningen.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | maximumOnDemandScanThreads |
| Datatype | Heltall |
| Mulige verdier | 2 (standard). Tillatte verdier er heltall mellom 1 og 64. |
| Kommentarer | Tilgjengelig i Microsoft Defender for endepunkt versjon 101.41.10 eller nyere. |
Policy for utelukkelsesfletting
Angi flettepolicyen for utelatelser. Dette kan være en kombinasjon av administratordefinerte og brukerdefinerte utelukkelser (merge), eller bare administratordefinerte utelatelser (admin_only). Denne innstillingen kan brukes til å begrense lokale brukere fra å definere sine egne utelatelser.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | exclusionsMergePolicy |
| Datatype | Streng |
| Mulige verdier | fletting (standard) admin_only |
| Kommentarer | Tilgjengelig i Microsoft Defender for endepunkt versjon 100.83.73 eller nyere. |
Skann utelatelser
Angi enheter som er utelatt fra å bli skannet. Unntak kan angis med fullstendige baner, filtyper eller filnavn. (Unntak angis som en matrise med elementer, administrator kan angi så mange elementer som nødvendig, i hvilken som helst rekkefølge.)
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | Utelukkelser |
| Datatype | Ordliste (nestet innstilling) |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Type utelukkelse
Angi innhold som er utelatt fra å bli skannet etter type.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | $type |
| Datatype | Streng |
| Mulige verdier | excludedPath excludedFileExtension excludedFileName |
Bane til utelatt innhold
Angi innhold som er utelatt fra å bli skannet av fullstendig filbane.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | sti |
| Datatype | Streng |
| Mulige verdier | gyldige baner |
| Kommentarer | Gjelder bare hvis $type er ekskludertPath |
Støttede utelatelsestyper
Tabellen nedenfor viser utelatelsestypene som støttes av Defender for Endpoint på macOS.
| Utelukkelse | Definisjon | Eksempler |
|---|---|---|
| Filtype | Alle filer med utvidelsen, hvor som helst på enheten | .test |
| Fil | En bestemt fil identifisert av den fullstendige banen | /var/log/test.log |
| Mappe | Alle filer under den angitte mappen (rekursivt) | /var/log/ |
| Prosess | En bestemt prosess (angitt enten med fullstendig bane eller filnavn) og alle filer som åpnes av den | /bin/cat |
Viktig
Banene ovenfor må være harde koblinger, ikke symbolske koblinger, for å kunne utelukkes. Du kan kontrollere om en bane er en symbolsk kobling ved å kjøre file <path-name>.
Fil-, mappe- og prosessutelukkelse støtter følgende jokertegn:
| Jokertegn | Beskrivelse | Eksempel | Kamper | Samsvarer ikke |
|---|---|---|---|---|
| * | Samsvarer med et hvilket som helst antall tegn, inkludert ingen (vær oppmerksom på at når dette jokertegnet brukes i en bane, erstattes bare én mappe) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | Samsvarer med et hvilket som helst enkelttegn | file?.log |
file1.log |
file123.log |
Banetype (fil/katalog)
Angi om baneegenskapen refererer til en fil eller katalog.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | isDirectory |
| Datatype | Boolsk |
| Mulige verdier | usann (standard) sann |
| Kommentarer | Gjelder bare hvis $type er ekskludertPath |
Filtype utelatt fra skanningen
Angi innhold som ikke skal skannes av filtypen.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | forlengelse |
| Datatype | Streng |
| Mulige verdier | gyldige filtyper |
| Kommentarer | Gjelder bare hvis $type er utelattFileExtension |
Prosessen er utelatt fra skanningen
Angi en prosess der all filaktivitet utelates fra skanning. Prosessen kan angis enten med navnet (for eksempel cat) eller den fullstendige banen (for eksempel /bin/cat).
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | navn |
| Datatype | Streng |
| Mulige verdier | hvilken som helst streng |
| Kommentarer | Gjelder bare hvis $type er utelattFilnavn |
Tillatte trusler
Angi trusler etter navn som ikke blokkeres av Defender for endepunkt på macOS. Disse truslene har lov til å kjøre.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | allowedThreats |
| Datatype | Matrise med strenger |
Ikke tillatte trusselhandlinger
Begrenser handlingene som den lokale brukeren av en enhet kan utføre når trusler oppdages. Handlingene som er inkludert i denne listen, vises ikke i brukergrensesnittet.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | disallowedThreatActions |
| Datatype | Matrise med strenger |
| Mulige verdier | tillat (begrenser brukere fra å tillate trusler) gjenoppretting (begrenser brukere fra å gjenopprette trusler fra karantene) |
| Kommentarer | Tilgjengelig i Microsoft Defender for endepunkt versjon 100.83.73 eller nyere. |
Innstillinger for trusseltype
Angi hvordan visse trusseltyper håndteres av Microsoft Defender for endepunkt på macOS.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | threatTypeSettings |
| Datatype | Ordliste (nestet innstilling) |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Trusseltype
Angi trusseltyper.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | nøkkel |
| Datatype | Streng |
| Mulige verdier | potentially_unwanted_application archive_bomb |
Handling som skal utføres
Angi hvilken handling som skal utføres når en trussel av typen som er angitt i den foregående delen, oppdages. Velg blant følgende alternativer:
- Overvåking: Enheten er ikke beskyttet mot denne typen trussel, men en oppføring om trusselen logges.
- Blokk: Enheten er beskyttet mot denne typen trussel, og du blir varslet i brukergrensesnittet og Microsoft Defender-portalen.
- Av: Enheten er ikke beskyttet mot denne typen trussel, og ingenting logges.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | verdi |
| Datatype | Streng |
| Mulige verdier | overvåking (standard) sperre av |
Policy for sammenslåing av trusseltypeinnstillinger
Angi flettepolicyen for innstillinger for trusseltype. Dette kan være en kombinasjon av administratordefinerte og brukerdefinerte innstillinger (merge) eller bare administratordefinerte innstillinger (admin_only). Denne innstillingen kan brukes til å begrense lokale brukere fra å definere sine egne innstillinger for ulike trusseltyper.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | threatTypeSettingsMergePolicy |
| Datatype | Streng |
| Mulige verdier | fletting (standard) admin_only |
| Kommentarer | Tilgjengelig i Microsoft Defender for endepunkt versjon 100.83.73 eller nyere. |
Oppbevaring av antivirusskanningslogg (i dager)
Angi antall dager resultatene beholdes i skanneloggen på enheten. Gamle skanneresultater fjernes fra loggen. Gamle filer i karantene som også fjernes fra disken.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | scanResultsRetentionDays |
| Datatype | Streng |
| Mulige verdier | 90 (standard). Tillatte verdier er fra én dag til 180 dager. |
| Kommentarer | Tilgjengelig i Microsoft Defender for endepunkt versjon 101.07.23 eller nyere. |
Maksimalt antall elementer i loggen for antivirusskanning
Angi maksimalt antall oppføringer som skal beholdes i skanneloggen. Oppføringer omfatter alle behovsbetingede skanninger utført tidligere og alle antivirusregistreringer.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | scanHistoryMaximumItems |
| Datatype | Streng |
| Mulige verdier | 10000 (standard). Tillatte verdier er fra 5000 elementer til 15 000 elementer. |
| Kommentarer | Tilgjengelig i Microsoft Defender for endepunkt versjon 101.07.23 eller nyere. |
Skyleverte beskyttelsesinnstillinger
Konfigurer skydrevne beskyttelsesfunksjoner for Microsoft Defender for endepunkt på macOS.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | cloudService |
| Datatype | Ordliste (nestet innstilling) |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Aktiver/deaktiver skybasert beskyttelse
Angi om enheten skal aktiveres i skyen eller ikke. Hvis du vil forbedre sikkerheten til tjenestene, anbefaler vi at du holder denne funksjonen aktivert.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | Aktivert |
| Datatype | Boolsk |
| Mulige verdier | sann (standard) falsk |
Diagnosedatasamlingsnivå
Diagnosedata brukes til å holde Microsoft Defender for endepunkt sikker og oppdatert, oppdage, diagnostisere og løse problemer og også gjøre produktforbedringer. Denne innstillingen bestemmer diagnosenivået som sendes av Microsoft Defender for endepunkt til Microsoft.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | diagnosticLevel |
| Datatype | Streng |
| Mulige verdier | valgfritt (standard) påkrevd |
Konfigurer skyblokknivå
Denne innstillingen bestemmer hvor aggressiv Defender for Endpoint vil være når det gjelder blokkering og skanning av mistenkelige filer. Hvis denne innstillingen er aktivert, vil Defender for Endpoint være mer aggressiv når du identifiserer mistenkelige filer som skal blokkeres og skannes. Ellers er den mindre aggressiv og blokkerer og skanner derfor med mindre frekvens. Det finnes fem verdier for å angi skyblokknivå:
- Normal (
normal): Standard blokkeringsnivå. - Moderat (
moderate): Leverer dom bare for oppdagelser med høy konfidens. - Høy (
high): Blokkerer ukjente filer aggressivt mens du optimaliserer for ytelse (større sjanse for å blokkere ikke-harmful filer). - High Plus (
high_plus): Blokkerer ukjente filer aggressivt og bruker ekstra beskyttelsestiltak (kan påvirke klientens enhetsytelse). - Nulltoleranse (
zero_tolerance): Blokkerer alle ukjente programmer.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | cloudBlockLevel |
| Datatype | Streng |
| Mulige verdier | normal (standard) moderat høy high_plus zero_tolerance |
| Kommentarer | Tilgjengelig i Defender for Endpoint versjon 101.56.62 eller nyere. |
Aktiver/deaktiver automatiske eksempelinnsendinger
Bestemmer om mistenkelige eksempler (som sannsynligvis inneholder trusler) sendes til Microsoft. Det finnes tre nivåer for å kontrollere innsending av eksempler:
- Ingen: ingen mistenkelige eksempler sendes til Microsoft.
- Trygt: Bare mistenkelige eksempler som ikke inneholder personlige data (PII), sendes inn automatisk. Dette er standardverdien for denne innstillingen.
- Alle: alle mistenkelige eksempler sendes til Microsoft.
| Beskrivelse | Verdi |
|---|---|
| Nøkkel | automaticSampleSubmissionConsent |
| Datatype | Streng |
| Mulige verdier | Ingen sikker (standard) alt |
Aktiver/deaktiver automatiske sikkerhetsopplysninger
Bestemmer om sikkerhetsanalyseoppdateringer installeres automatisk:
| Seksjon | Verdi |
|---|---|
| Nøkkel | automaticDefinitionUpdateEnabled |
| Datatype | Boolsk |
| Mulige verdier | sann (standard) falsk |
Varighet for sikkerhetsanalyseoppdateringer som forfaller (i dager)
Bestemmer hvor mange dager de siste installerte oppdateringene for sikkerhetsintelligens anses som utdaterte.
| Seksjon | Verdi |
|---|---|
| Nøkkel | definitionUpdateDue |
| Datatype | Heltall |
| Mulige verdier | 7 (standard). Tillatte verdier er heltall mellom 1 og 30 |
Oppdateringsintervall for sikkerhetsintelligens (i sekunder)
Angir tidsintervallet (i sekunder) hvoretter sikkerhetsanalyseoppdateringer kontrolleres.
| Seksjon | Verdi |
|---|---|
| Nøkkel | definitionUpdatesInterval |
| Datatype | Heltall |
| Mulige verdier | 28800 (standard, 8 timer). Tillatte verdier er heltall mellom 60 (1 minutt) og 86400 (24 timer) |
| Kommentarer | Hvis du angir verdien for lav, kan det føre til gjentatte eller unødvendige oppdateringskontroller for sikkerhetsintelligens. |
Proxy for Defender for endepunktkommunikasjon
Konfigurer proxy for all Defender for endepunktskykommunikasjon. Hvis den ikke er angitt, brukes den systemomfattende proxyen.
| Seksjon | Verdi |
|---|---|
| Nøkkel | proxy |
| Datatype | Streng |
| Kommentarer | Format: "http://proxy.server:port" eller "https://proxy.server:port". |
Viktig
- Feil proxy-konfigurasjon kan forstyrre MDE funksjonalitet.
- Du kan kjøre «mdatp-tilkoblingstest» på endepunktet for å teste mde-tilkobling etter bruk av proxy-innstillinger.
Innstillinger for brukergrensesnitt
Administrer innstillingene for brukergrensesnittet for Microsoft Defender for endepunkt på macOS.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | userInterface |
| Datatype | Ordliste (nestet innstilling) |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Vis/skjul statusmenyikon
Angi om statusmenyikonet skal vises eller skjules øverst til høyre på skjermen.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | hideStatusMenuIcon |
| Datatype | Boolsk |
| Mulige verdier | usann (standard) sann |
Vis/skjul alternativ for å sende tilbakemelding
Angi om brukere kan sende tilbakemelding til Microsoft ved å gå til Help>Send Feedback.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | userInitiatedFeedback |
| Datatype | Streng |
| Mulige verdier | aktivert (standard) ufør |
| Kommentarer | Tilgjengelig i Microsoft Defender for endepunkt versjon 101.19.61 eller nyere. |
Kontroller pålogging til forbrukerversjonen av Microsoft Defender
Angi om brukere kan logge på forbrukerversjonen av Microsoft Defender.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | consumerExperience |
| Datatype | Streng |
| Mulige verdier | aktivert (standard) ufør |
| Kommentarer | Tilgjengelig i Microsoft Defender for endepunkt versjon 101.60.18 eller nyere. |
Gjenkjennings- og svarinnstillinger for endepunkt
Administrer innstillingene for gjenkjennings- og svarkomponenten for endepunkt (EDR) for Microsoft Defender for endepunkt på macOS.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | edr |
| Datatype | Ordliste (nestet innstilling) |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Enhetskoder
Angi et merkenavn og tilhørende verdi.
- GROUP-koden markerer enheten med den angitte verdien. Koden gjenspeiles i portalen under enhetssiden og kan brukes til filtrering og gruppering av enheter.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | Tags |
| Datatype | Ordliste (nestet innstilling) |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Type kode
Angir kodetypen
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | nøkkel |
| Datatype | Streng |
| Mulige verdier | GROUP |
Verdi for merke
Angir verdien for koden
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | verdi |
| Datatype | Streng |
| Mulige verdier | hvilken som helst streng |
Viktig
- Bare én verdi per kodetype kan angis.
- Kodetypen er unik, og bør ikke gjentas i samme konfigurasjonsprofil.
Gruppeidentifikator
EDR-gruppeidentifikatorer
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | groupIds |
| Datatype | Streng |
| Kommentarer | Gruppeidentifikator |
Manipuleringsbeskyttelse
Administrer innstillingene for manipuleringsbeskyttelseskomponenten for Microsoft Defender for endepunkt på macOS.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | tamperProtection |
| Datatype | Ordliste (nestet innstilling) |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Håndhevelsesnivå
Hvis Tamper Protection er aktivert, og hvis den er i streng modus
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | håndhevelsesnivå |
| Datatype | Streng |
| Kommentarer | Én av «deaktivert», «revisjon» eller «blokk» |
Mulige verdier:
- deaktivert – Manipuleringsbeskyttelse er deaktivert, ingen forebygging av angrep eller rapportering til skyen
- overvåking – Manipuleringsrapporter forsøker bare å gjøre endringer i skyen, men blokkerer dem ikke
- block – Tamper Protection både blokker og rapporter angrep til skyen
Utelatelser
Definerer prosesser som tillates å endre Microsoft Defender aktiva, uten å vurdere manipulering. Enten bane, teamId eller signerings-ID, eller kombinasjonen må angis. Argumenter kan gis i tillegg for å angi tillatt prosess mer presist.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | Utelukkelser |
| Datatype | Ordliste (nestet innstilling) |
| Kommentarer | Se avsnittene nedenfor for en beskrivelse av ordlisteinnholdet. |
Bane
Nøyaktig bane for den kjørbare prosessen.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | sti |
| Datatype | Streng |
| Kommentarer | Hvis et skallskript er det den nøyaktige banen til den binære tolken, for eksempel /bin/zsh. Ingen jokertegn er tillatt. |
Team-ID
Apples «Team-ID» til leverandøren.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | teamId |
| Datatype | Streng |
| Kommentarer | For Eksempel UBF8T346G9 for Microsoft |
Signerings-ID
Apples "Signerings-ID" av pakken.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | signingId |
| Datatype | Streng |
| Kommentarer | Eksempel: com.apple.ruby for Ruby-tolk |
Prosessargumenter
Brukes i kombinasjon med andre parametere for å identifisere prosessen.
| Seksjon | Verdi |
|---|---|
| Domene | com.microsoft.wdav |
| Nøkkel | signingId |
| Datatype | Matrise med strenger |
| Kommentarer | Hvis angitt, må prosessargumentet samsvare nøyaktig med disse argumentene, og skille mellom store og små bokstaver |
Anbefalt konfigurasjonsprofil
For å komme i gang anbefaler vi følgende konfigurasjon for virksomheten å dra nytte av alle beskyttelsesfunksjoner som Microsoft Defender for endepunkt gir.
Følgende konfigurasjonsprofil (eller, hvis det er JAMF, vil en egenskapsliste som kan lastes opp til konfigurasjonsprofilen for egendefinerte innstillinger) gjøre følgende:
- Aktiver sanntidsbeskyttelse (RTP)
- Angi hvordan følgende trusseltyper håndteres:
- Potensielt uønskede programmer (PUA) blokkeres
- Arkiv bomber (fil med høy komprimeringshastighet) overvåkes for å Microsoft Defender for endepunkt logger
- Aktiver automatiske sikkerhetsanalyseoppdateringer
- Aktiver skybasert beskyttelse
- Aktiver automatisk innsending av eksempel
Egenskapsliste for JAMF anbefalt konfigurasjonsprofil
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Intune anbefalt profil
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>definitionUpdateDue</key>
<integer>7</integer>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
Eksempel på fullstendig konfigurasjonsprofil
Følgende maler inneholder oppføringer for alle innstillingene som er beskrevet i dette dokumentet, og kan brukes til mer avanserte scenarioer der du vil ha mer kontroll over Microsoft Defender for endepunkt på macOS.
Egenskapsliste for full konfigurasjonsprofil for JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
<key>definitionUpdateDue</key>
<integer>7</integer>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Intune fullstendig profil
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>behaviorMonitoring</key>
<string>enabled</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
<key>definitionUpdateDue</key>
<integer>7</integer>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Validering av egenskapsliste
Egenskapslisten må være en gyldig PLIST-fil . Dette kan kontrolleres ved å kjøre:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Hvis filen er riktig utformet, sendes kommandoen ovenfor og returnerer en avslutningskode OK for 0. Ellers vises en feil som beskriver problemet, og kommandoen returnerer en avslutningskode for 1.
Distribusjon av konfigurasjonsprofil
Når du har bygget konfigurasjonsprofilen for virksomheten, kan du distribuere den via administrasjonskonsollen som virksomheten bruker. Avsnittene nedenfor gir instruksjoner om hvordan du distribuerer denne profilen ved hjelp av JAMF og Intune.
JAMF-distribusjon
ÅpneKonfigurasjonsprofiler for datamaskiner> fra JAMF-konsollen, naviger til konfigurasjonsprofilen du vil bruke, og velg deretter Egendefinerte innstillinger. Opprett en oppføring som com.microsoft.wdav innstillingsdomenet, og last opp PLIST-en som ble produsert tidligere.
Forsiktig!
Du må angi riktig innstillingsdomene (com.microsoft.wdav), ellers gjenkjennes ikke innstillingene av Microsoft Defender for endepunkt.
Intune distribusjon
Åpnekonfigurasjonsprofiler for enheter>. Velg Opprett profil.
Velg et navn for profilen. Endre Plattform=macOS til Profiltype=Maler , og velg Egendefinert i delen med malnavn. Velg Konfigurer.
Lagre PLIST-en som ble produsert tidligere som
com.microsoft.wdav.xml.Angi
com.microsoft.wdavsom profilnavn for egendefinert konfigurasjon.Åpne konfigurasjonsprofilen, og last opp
com.microsoft.wdav.xmlfilen. (Denne filen ble opprettet i trinn 3.)Velg OK.
Velg Behandle>oppgaver. Velg Tilordne til alle brukere & Alle enheter på Inkluder-fanen.
Forsiktig!
Du må angi riktig profilnavn for egendefinert konfigurasjon. Ellers gjenkjennes ikke disse innstillingene av Microsoft Defender for endepunkt.
Ressurser
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.