Voorkeuren instellen voor Microsoft Defender voor Eindpunt in macOS
Van toepassing op:
- Microsoft Defender voor Eindpunt op macOS
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
Belangrijk
Dit artikel bevat instructies voor het instellen van voorkeuren voor Microsoft Defender voor Eindpunt in macOS in ondernemingen. Zie Resources voor informatie over het configureren van Microsoft Defender voor Eindpunt in macOS met behulp van de opdrachtregelinterface.
Samenvatting
In bedrijfsorganisaties kan Microsoft Defender voor Eindpunt op macOS worden beheerd via een configuratieprofiel dat wordt geïmplementeerd met behulp van een van de verschillende beheerhulpprogramma's. Voorkeuren die worden beheerd door uw beveiligingsteam hebben voorrang op voorkeuren die lokaal op het apparaat zijn ingesteld. Voor het wijzigen van de voorkeuren die via het configuratieprofiel zijn ingesteld, zijn geëscaleerde bevoegdheden vereist en deze zijn niet beschikbaar voor gebruikers zonder beheerdersmachtigingen.
Dit artikel beschrijft de structuur van het configuratieprofiel, bevat een aanbevolen profiel dat u kunt gebruiken om aan de slag te gaan en bevat instructies voor het implementeren van het profiel.
Configuratieprofielstructuur
Het configuratieprofiel is een .plist-bestand dat bestaat uit vermeldingen die worden geïdentificeerd door een sleutel (die de naam van de voorkeur aangeeft), gevolgd door een waarde, die afhankelijk is van de aard van de voorkeur. Waarden kunnen eenvoudig (zoals een numerieke waarde) of complex zijn, zoals een geneste lijst met voorkeuren.
Voorzichtigheid
De indeling van het configuratieprofiel is afhankelijk van de beheerconsole die u gebruikt. De volgende secties bevatten voorbeelden van configuratieprofielen voor JAMF en Intune.
Het hoogste niveau van het configuratieprofiel bevat productbrede voorkeuren en vermeldingen voor subgebieden van Microsoft Defender voor Eindpunt, die in meer detail worden uitgelegd in de volgende secties.
Voorkeuren voor antivirusprogramma's
De sectie antivirusEngine van het configuratieprofiel wordt gebruikt voor het beheren van de voorkeuren van het antivirusonderdeel van Microsoft Defender voor Eindpunt.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | antivirusEngine |
| Gegevenstype | Woordenlijst (geneste voorkeur) |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Afdwingingsniveau voor antivirusengine
Hiermee geeft u de afdwingingsvoorkeur van antivirus-engine op. Er zijn drie waarden voor het instellen van afdwingingsniveau:
- Realtime (
real_time): Realtime-beveiliging (bestanden scannen wanneer ze worden geopend) is ingeschakeld. - Op aanvraag (
on_demand): bestanden worden alleen op aanvraag gescand. In dit:- Realtime-beveiliging is uitgeschakeld.
- Passief (
passive): hiermee wordt de antivirus-engine uitgevoerd in de passieve modus. In dit:- Realtime-beveiliging is uitgeschakeld.
- Scannen op aanvraag is ingeschakeld.
- Automatisch herstel van bedreigingen is uitgeschakeld.
- Updates voor beveiligingsinformatie zijn ingeschakeld.
- Het pictogram van het statusmenu is verborgen.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | enforcementLevel |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | real_time (standaard) on_demand Passieve |
| Opmerkingen | Beschikbaar in Microsoft Defender voor Eindpunt versie 101.10.72 of hoger. |
Gedragscontrole in-/uitschakelen
Bepaalt of gedragscontrole en blokkeringsfunctie is ingeschakeld op het apparaat of niet.
Opmerking
Deze functie is alleen van toepassing wanneer Real-Time-beveiligingsfunctie is ingeschakeld.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | behaviorMonitoring |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | Handicap ingeschakeld (standaard) |
| Opmerkingen | Beschikbaar in Microsoft Defender voor Eindpunt versie 101.24042.0002 of hoger. |
Rekenfunctie voor bestands-hash configureren
Hiermee schakelt u de rekenfunctie voor bestands-hashs in of uit. Wanneer deze functie is ingeschakeld, rekent Defender voor Eindpunt hashes uit voor bestanden die worden gescand om betere afstemming op de indicatorregels mogelijk te maken. In macOS worden alleen de script- en Mach-O-bestanden (32- en 64-bits) in aanmerking genomen voor deze hash-berekening (van engineversie 1.1.20000.2 of hoger). Houd er rekening mee dat het inschakelen van deze functie van invloed kan zijn op de prestaties van het apparaat. Raadpleeg voor meer informatie: Indicatoren voor bestanden maken.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | enableFileHashComputation |
| Gegevenstype | Booleaanse waarde |
| Mogelijke waarden | false (standaard) Waar |
| Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.86.81 of hoger. |
Een scan uitvoeren nadat definities zijn bijgewerkt
Hiermee geeft u op of een processcan moet worden gestart nadat nieuwe updates voor beveiligingsupdates op het apparaat zijn gedownload. Als u deze instelling inschakelt, wordt een antivirusscan geactiveerd op de actieve processen van het apparaat.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | scanAfterDefinitionUpdate |
| Gegevenstype | Booleaanse waarde |
| Mogelijke waarden | true (standaard) Valse |
| Opmerkingen | Beschikbaar in Microsoft Defender voor Eindpunt versie 101.41.10 of hoger. |
Archieven scannen (alleen antivirusscans op aanvraag)
Hiermee geeft u op of archieven moeten worden gescand tijdens antivirusscans op aanvraag.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | scanArchives |
| Gegevenstype | Booleaanse waarde |
| Mogelijke waarden | true (standaard) Valse |
| Opmerkingen | Beschikbaar in Microsoft Defender voor Eindpunt versie 101.41.10 of hoger. |
Mate van parallelle uitvoering van scans op aanvraag
Hiermee geeft u de mate van parallellisme voor scans op aanvraag op. Dit komt overeen met het aantal threads dat wordt gebruikt om de scan uit te voeren en heeft invloed op het CPU-gebruik, evenals de duur van de scan op aanvraag.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | maximumOnDemandScanThreads |
| Gegevenstype | Geheel getal |
| Mogelijke waarden | 2 (standaard). Toegestane waarden zijn gehele getallen tussen 1 en 64. |
| Opmerkingen | Beschikbaar in Microsoft Defender voor Eindpunt versie 101.41.10 of hoger. |
Beleid voor samenvoeging van uitsluitingen
Geef het samenvoegbeleid voor uitsluitingen op. Dit kan een combinatie zijn van door de beheerder gedefinieerde en door de gebruiker gedefinieerde uitsluitingen (merge), of alleen door de beheerder gedefinieerde uitsluitingen (admin_only). Deze instelling kan worden gebruikt om te voorkomen dat lokale gebruikers hun eigen uitsluitingen definiëren.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | exclusionsMergePolicy |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | samenvoegen (standaard) admin_only |
| Opmerkingen | Beschikbaar in Microsoft Defender voor Eindpunt versie 100.83.73 of hoger. |
Scanuitsluitingen
Geef entiteiten op die niet worden gescand. Uitsluitingen kunnen worden opgegeven door volledige paden, extensies of bestandsnamen. (Uitsluitingen worden opgegeven als een matrix met items, de beheerder kan zoveel elementen opgeven als nodig is, in elke volgorde.)
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | Uitsluitingen |
| Gegevenstype | Woordenlijst (geneste voorkeur) |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Type uitsluiting
Geef inhoud op die niet kan worden gescand per type.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | $type |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | excludedPath excludedFileExtension excludedFileName |
Pad naar uitgesloten inhoud
Geef inhoud op die niet wordt gescand door het volledige bestandspad.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | Pad |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | geldige paden |
| Opmerkingen | Alleen van toepassing als $type is uitgeslotendPath |
Ondersteunde uitsluitingstypen
In de volgende tabel ziet u de uitsluitingstypen die worden ondersteund door Defender voor Eindpunt op Mac.
| Uitsluiting | Definitie | Voorbeelden |
|---|---|---|
| Bestandsextensie | Alle bestanden met de extensie, waar dan ook op het apparaat | .test |
| Bestand | Een specifiek bestand dat wordt geïdentificeerd door het volledige pad | /var/log/test.log |
| Map | Alle bestanden in de opgegeven map (recursief) | /var/log/ |
| Proces | Een specifiek proces (opgegeven door het volledige pad of de bestandsnaam) en alle bestanden die door het proces zijn geopend | /bin/cat |
Belangrijk
De bovenstaande paden moeten harde koppelingen zijn, geen symbolische koppelingen, om met succes te kunnen worden uitgesloten. U kunt controleren of een pad een symbolische koppeling is door file <path-name> uit te voeren.
Uitsluitingen van bestanden, mappen en processen ondersteunen de volgende jokertekens:
| Jokerteken | Beschrijving | Voorbeeld | Overeenkomsten | Komt niet overeen |
|---|---|---|---|---|
| * | Komt overeen met een willekeurig aantal tekens, inclusief geen (houd er rekening mee dat wanneer dit jokerteken binnen een pad wordt gebruikt, slechts één map wordt vervangen) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | Komt overeen met een enkel teken | file?.log |
file1.log |
file123.log |
Padtype (bestand/map)
Geef aan of de padeigenschap verwijst naar een bestand of map.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | isDirectory |
| Gegevenstype | Booleaanse waarde |
| Mogelijke waarden | false (standaard) Waar |
| Opmerkingen | Alleen van toepassing als $type is uitgeslotendPath |
Bestandsextensie uitgesloten van de scan
Geef inhoud op die niet wordt gescand door de bestandsextensie.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | Extensie |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | geldige bestandsextensies |
| Opmerkingen | Alleen van toepassing als $type is uitgeslotenFileExtension |
Proces dat is uitgesloten van de scan
Geef een proces op waarvoor alle bestandsactiviteit wordt uitgesloten van scannen. Het proces kan worden opgegeven met de naam (bijvoorbeeld cat) of het volledige pad (bijvoorbeeld /bin/cat).
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | Naam |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | elke tekenreeks |
| Opmerkingen | Alleen van toepassing als $typeis uitgeslotenFileName |
Toegestane bedreigingen
Geef bedreigingen op met een naam die niet worden geblokkeerd door Defender voor Eindpunt op Mac. Deze bedreigingen mogen worden uitgevoerd.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | allowedThreats |
| Gegevenstype | Matrix van tekenreeksen |
Niet-toegestane bedreigingsacties
Hiermee worden de acties beperkt die de lokale gebruiker van een apparaat kan uitvoeren wanneer bedreigingen worden gedetecteerd. De acties in deze lijst worden niet weergegeven in de gebruikersinterface.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | disallowedThreatActions |
| Gegevenstype | Matrix van tekenreeksen |
| Mogelijke waarden | toestaan (hiermee wordt voorkomen dat gebruikers bedreigingen toestaan) herstellen (hiermee wordt voorkomen dat gebruikers bedreigingen uit de quarantaine kunnen herstellen) |
| Opmerkingen | Beschikbaar in Microsoft Defender voor Eindpunt versie 100.83.73 of hoger. |
Instellingen voor bedreigingstype
Geef op hoe bepaalde typen bedreigingen worden verwerkt door Microsoft Defender voor Eindpunt in macOS.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | threatTypeSettings |
| Gegevenstype | Woordenlijst (geneste voorkeur) |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Bedreigingstype
Geef bedreigingstypen op.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | Sleutel |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | potentially_unwanted_application archive_bomb |
Te ondernemen actie
Geef op welke actie moet worden uitgevoerd wanneer een bedreiging van het type dat in de vorige sectie is opgegeven, wordt gedetecteerd. Kies uit de volgende opties:
- Controleren: uw apparaat is niet beveiligd tegen dit type bedreiging, maar er wordt een vermelding over de bedreiging geregistreerd.
- Blokkeren: uw apparaat is beveiligd tegen dit type bedreiging en u krijgt een melding in de gebruikersinterface en de beveiligingsconsole.
- Uit: uw apparaat is niet beveiligd tegen dit type bedreiging en er wordt niets geregistreerd.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | waarde |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | audit (standaard) Blok Uit |
Beleid voor het samenvoegen van instellingen voor bedreigingstypen
Geef het samenvoegbeleid op voor instellingen voor bedreigingstypen. Dit kan een combinatie zijn van door de beheerder gedefinieerde en door de gebruiker gedefinieerde instellingen (merge) of alleen door de beheerder gedefinieerde instellingen (admin_only). Deze instelling kan worden gebruikt om te voorkomen dat lokale gebruikers hun eigen instellingen definiëren voor verschillende bedreigingstypen.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | threatTypeSettingsMergePolicy |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | samenvoegen (standaard) admin_only |
| Opmerkingen | Beschikbaar in Microsoft Defender voor Eindpunt versie 100.83.73 of hoger. |
Retentie van antivirusscangeschiedenis (in dagen)
Geef het aantal dagen op dat de resultaten worden bewaard in de scangeschiedenis op het apparaat. Oude scanresultaten worden uit de geschiedenis verwijderd. Oude in quarantaine geplaatste bestanden die ook van de schijf worden verwijderd.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | scanResultsRetentionDays |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | 90 (standaard). Toegestane waarden liggen tussen 1 dag en 180 dagen. |
| Opmerkingen | Beschikbaar in Microsoft Defender voor Eindpunt versie 101.07.23 of hoger. |
Maximum aantal items in de antivirusscangeschiedenis
Geef het maximum aantal vermeldingen op dat in de scangeschiedenis moet worden bewaard. Vermeldingen omvatten alle scans op aanvraag die in het verleden zijn uitgevoerd en alle antivirusdetecties.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | scanHistoryMaximumItems |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | 10000 (standaard). Toegestane waarden variëren van 5000 items tot 15000 items. |
| Opmerkingen | Beschikbaar in Microsoft Defender voor Eindpunt versie 101.07.23 of hoger. |
Cloudbeveiligingsvoorkeuren
Configureer de cloudgestuurde beveiligingsfuncties van Microsoft Defender voor Eindpunt in macOS.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | cloudService |
| Gegevenstype | Woordenlijst (geneste voorkeur) |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Cloudbeveiliging in- of uitschakelen
Geef op of u cloudbeveiliging op het apparaat wilt inschakelen of niet. Om de beveiliging van uw services te verbeteren, raden we u aan deze functie ingeschakeld te houden.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | Ingeschakeld |
| Gegevenstype | Booleaanse waarde |
| Mogelijke waarden | true (standaard) Valse |
Niveau van diagnostische verzameling
Diagnostische gegevens worden gebruikt om Microsoft Defender voor Eindpunt veilig en up-to-date te houden, problemen te detecteren, vast te stellen en op te lossen, en om ook productverbeteringen aan te brengen. Deze instelling bepaalt het niveau van diagnostische gegevens die door Microsoft Defender voor Eindpunt naar Microsoft worden verzonden.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | diagnosticLevel |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | optioneel (standaard) Vereist |
Cloudblokniveau configureren
Deze instelling bepaalt hoe agressief Defender voor Eindpunt verdachte bestanden blokkeert en scant. Als deze instelling is ingeschakeld, is Defender voor Eindpunt agressiever bij het identificeren van verdachte bestanden die moeten worden geblokkeerd en gescand. anders zal het minder agressief zijn en daarom blokkeren en scannen met minder frequentie. Er zijn vijf waarden voor het instellen van cloudblokniveau:
- Normaal (
normal): het standaardblokkeringsniveau. - Gemiddeld (
moderate): levert alleen een oordeel voor detecties met hoge betrouwbaarheid. - Hoog (
high): Onbekende bestanden worden agressief geblokkeerd terwijl ze worden geoptimaliseerd voor prestaties (grotere kans op het blokkeren van niet-schadelijke bestanden). - Hoog pluspunt (
high_plus): onbekende bestanden worden agressief geblokkeerd en aanvullende beveiligingsmaatregelen toegepast (mogelijk van invloed op de prestaties van clientapparaten). - Nultolerantie (
zero_tolerance): blokkeert alle onbekende programma's.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | cloudBlockLevel |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | normaal (standaard) Matige Hoge high_plus zero_tolerance |
| Opmerkingen | Beschikbaar in Defender voor Eindpunt versie 101.56.62 of hoger. |
Automatische voorbeeldinzendingen in- of uitschakelen
Bepaalt of verdachte voorbeelden (die waarschijnlijk bedreigingen bevatten) naar Microsoft worden verzonden. Er zijn drie niveaus voor het beheren van het indienen van voorbeelden:
- Geen: er worden geen verdachte voorbeelden naar Microsoft verzonden.
- Veilig: alleen verdachte steekproeven die geen persoonlijk identificeerbare informatie (PII) bevatten, worden automatisch verzonden. Dit is de standaardwaarde voor deze instelling.
- Alle: alle verdachte voorbeelden worden verzonden naar Microsoft.
| Beschrijving | Waarde |
|---|---|
| Sleutel | automaticSampleSubmissionConsent |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | geen veilig (standaard) Alle |
Automatische updates voor beveiligingsinformatie in- of uitschakelen
Bepaalt of updates voor beveiligingsinformatie automatisch worden geïnstalleerd:
| Sectie | Waarde |
|---|---|
| Sleutel | automaticDefinitionUpdateEnabled |
| Gegevenstype | Booleaanse waarde |
| Mogelijke waarden | true (standaard) Valse |
Voorkeuren voor gebruikersinterface
Beheer de voorkeuren voor de gebruikersinterface van Microsoft Defender voor Eindpunt in macOS.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | userInterface |
| Gegevenstype | Woordenlijst (geneste voorkeur) |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Pictogram statusmenu weergeven/verbergen
Geef op of u het pictogram van het statusmenu in de rechterbovenhoek van het scherm wilt weergeven of verbergen.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | hideStatusMenuIcon |
| Gegevenstype | Booleaanse waarde |
| Mogelijke waarden | false (standaard) Waar |
Optie voor het verzenden van feedback weergeven/verbergen
Geef op of gebruikers feedback kunnen verzenden naar Microsoft door naar te Help>Send Feedbackgaan.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | userInitiatedFeedback |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | ingeschakeld (standaard) Handicap |
| Opmerkingen | Beschikbaar in Microsoft Defender voor Eindpunt versie 101.19.61 of hoger. |
Aanmelden bij consumentenversie van Microsoft Defender beheren
Geef op of gebruikers zich kunnen aanmelden bij de consumentenversie van Microsoft Defender.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | consumerExperience |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | ingeschakeld (standaard) Handicap |
| Opmerkingen | Beschikbaar in Microsoft Defender voor Eindpunt versie 101.60.18 of hoger. |
Voorkeuren voor eindpuntdetectie en -respons
Beheer de voorkeuren van het EDR-onderdeel (Endpoint Detection and Response) van Microsoft Defender voor Eindpunt in macOS.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | Edr |
| Gegevenstype | Woordenlijst (geneste voorkeur) |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Apparaattags
Geef een tagnaam en de bijbehorende waarde op.
- De tag GROUP markeert het apparaat met de opgegeven waarde. De tag wordt weergegeven in de portal op de apparaatpagina en kan worden gebruikt voor het filteren en groeperen van apparaten.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | Tags |
| Gegevenstype | Woordenlijst (geneste voorkeur) |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Type tag
Hiermee geeft u het type tag op
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | Sleutel |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | GROUP |
Waarde van tag
Hiermee geeft u de waarde van tag op
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | waarde |
| Gegevenstype | Tekenreeks |
| Mogelijke waarden | elke tekenreeks |
Belangrijk
- Er kan slechts één waarde per tagtype worden ingesteld.
- Het type tags is uniek en mag niet worden herhaald in hetzelfde configuratieprofiel.
Groeps-id
EDR-groeps-id's
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | groupIds |
| Gegevenstype | Tekenreeks |
| Opmerkingen | Groeps-id |
Manipulatiebeveiliging
Beheer de voorkeuren van het onderdeel Manipulatiebeveiliging van Microsoft Defender voor Eindpunt in macOS.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | tamperProtection |
| Gegevenstype | Woordenlijst (geneste voorkeur) |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Afdwingingsniveau
Als Manipulatiebeveiliging is ingeschakeld en als deze zich in de strikte modus bevindt
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | enforcementLevel |
| Gegevenstype | Tekenreeks |
| Opmerkingen | Een van 'uitgeschakeld', 'audit' of 'blok' |
Mogelijke waarden:
- uitgeschakeld- Manipulatiebeveiliging is uitgeschakeld, geen preventie van aanvallen of rapportage aan de cloud
- audit- Manipulatiebeveiliging rapporteert pogingen tot manipulatie alleen aan de cloud, maar blokkeert ze niet
- blokkeren- Manipulatiebeveiliging blokkeert en rapporteert aanvallen aan de cloud
Uitsluitingen
Definieert processen die zijn toegestaan om de asset van Microsoft Defender te wijzigen, zonder te overwegen om te knoeien. Pad, teamId of signingId, of hun combinatie moet worden opgegeven. Args kan bovendien worden opgegeven om het toegestane proces nauwkeuriger op te geven.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | Uitsluitingen |
| Gegevenstype | Woordenlijst (geneste voorkeur) |
| Opmerkingen | Zie de volgende secties voor een beschrijving van de inhoud van de woordenlijst. |
Pad
Exact pad van het uitvoerbare proces.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | Pad |
| Gegevenstype | Tekenreeks |
| Opmerkingen | In het geval van een shellscript is dit het exacte pad naar het binaire interpreterbestand, bijvoorbeeld /bin/zsh. Geen jokertekens toegestaan. |
Team-id
De 'Team-id' van Apple van de leverancier.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | teamId |
| Gegevenstype | Tekenreeks |
| Opmerkingen | Bijvoorbeeld UBF8T346G9 voor Microsoft |
Ondertekenings-id
Apple's 'Ondertekenings-id' van het pakket.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | signingId |
| Gegevenstype | Tekenreeks |
| Opmerkingen | Bijvoorbeeld com.apple.ruby voor Ruby interpreter |
Procesargumenten
Wordt gebruikt in combinatie met andere parameters om het proces te identificeren.
| Sectie | Waarde |
|---|---|
| Domein | com.microsoft.wdav |
| Sleutel | signingId |
| Gegevenstype | Matrix van tekenreeksen |
| Opmerkingen | Indien opgegeven, moet het procesargument exact overeenkomen met deze argumenten, hoofdlettergevoelig |
Aanbevolen configuratieprofiel
Om aan de slag te gaan, raden we u aan de volgende configuratie voor uw bedrijf te gebruiken om te profiteren van alle beveiligingsfuncties die Microsoft Defender voor Eindpunt biedt.
Het volgende configuratieprofiel (of, in het geval van JAMF, een eigenschappenlijst die kan worden geüpload naar het configuratieprofiel voor aangepaste instellingen) is:
- Realtime-beveiliging (RTP) inschakelen
- Geef op hoe de volgende bedreigingstypen worden verwerkt:
- Mogelijk ongewenste toepassingen (PUA) worden geblokkeerd
- Archiefbommen (bestand met een hoge compressiesnelheid) worden gecontroleerd naar Microsoft Defender voor Eindpunt-logboeken
- Automatische updates voor beveiligingsinformatie inschakelen
- Cloudbeveiliging inschakelen
- Automatische indiening van voorbeelden inschakelen
Eigenschappenlijst voor aanbevolen JAMF-configuratieprofiel
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Aanbevolen Intune-profiel
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
Voorbeeld van volledig configuratieprofiel
De volgende sjablonen bevatten vermeldingen voor alle instellingen die in dit document worden beschreven en kunnen worden gebruikt voor meer geavanceerde scenario's waarin u meer controle wilt over Microsoft Defender voor Eindpunt in macOS.
Eigenschappenlijst voor het volledige JAMF-configuratieprofiel
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Volledig Intune-profiel
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Validatie van eigenschappenlijst
De eigenschappenlijst moet een geldig .plist-bestand zijn. Dit kan worden gecontroleerd door het volgende uit te voeren:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Als het bestand goed is opgemaakt, voert de bovenstaande opdracht OK uit en retourneert de afsluitcode van 0. Anders wordt een fout weergegeven die het probleem beschrijft en retourneert de opdracht een afsluitcode van 1.
Implementatie van configuratieprofiel
Zodra u het configuratieprofiel voor uw onderneming hebt gemaakt, kunt u het implementeren via de beheerconsole die uw onderneming gebruikt. De volgende secties bevatten instructies voor het implementeren van dit profiel met behulp van JAMF en Intune.
JAMF-implementatie
Open inde JAMF-consoleComputerconfiguratieprofielen>, navigeer naar het configuratieprofiel dat u wilt gebruiken en selecteer vervolgens Aangepaste instellingen. Maak een vermelding met com.microsoft.wdav als voorkeursdomein en upload de eerder geproduceerde .plist .
Voorzichtigheid
U moet het juiste voorkeursdomein invoeren (com.microsoft.wdav). Anders worden de voorkeuren niet herkend door Microsoft Defender voor Eindpunt.
Intune-implementatie
Open Configuratieprofielen voor apparaten>. Selecteer Profiel maken.
Kies een naam voor het profiel. Wijzig Platform=macOS in Profieltype=Sjablonen en kies Aangepast in de sectie sjabloonnaam. Selecteer Configureren.
Sla de eerder geproduceerde .plist op als
com.microsoft.wdav.xml.Voer in
com.microsoft.wdavals de naam van het aangepaste configuratieprofiel.Open het configuratieprofiel en upload het
com.microsoft.wdav.xmlbestand. (Dit bestand is gemaakt in stap 3.)Selecteer OK.
Selecteer Toewijzingen beheren>. Selecteer op het tabblad Opnemende optie Toewijzen aan alle gebruikers & Alle apparaten.
Voorzichtigheid
U moet de juiste naam van het aangepaste configuratieprofiel invoeren; anders worden deze voorkeuren niet herkend door Microsoft Defender voor Eindpunt.
Middelen
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.