Przejrzyj lub edytuj zasady ochrony nowej generacji w Microsoft Defender dla Firm

  • Artykuł

W usłudze Defender dla firm ochrona nowej generacji obejmuje niezawodne oprogramowanie antywirusowe i ochronę przed złośliwym kodem dla komputerów i urządzeń przenośnych. Zasady domyślne z zalecanymi ustawieniami są uwzględniane w usłudze Defender dla firm. Zasady domyślne mają na celu ochronę urządzeń i użytkowników bez ograniczania produktywności. Można jednak dostosować zasady do własnych potrzeb biznesowych.

Możesz wybrać jedną z kilku opcji zarządzania zasadami ochrony nowej generacji:

  • Użyj portalu Microsoft Defender pod adresem https://security.microsoft.com (zalecane, jeśli używasz autonomicznej wersji usługi Defender dla Firm bez Intune); lub
  • Użyj centrum administracyjnego Microsoft Intune pod adresem https://intune.microsoft.com (dostępne, jeśli twoja subskrypcja obejmuje Intune)

  1. Przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się.

  2. W okienku nawigacji przejdź do pozycji Zarządzanie konfiguracją Konfiguracja>urządzenia. Zasady są zorganizowane według systemu operacyjnego i typu zasad.

  3. Wybierz kartę systemu operacyjnego (na przykład Windows).

  4. Rozwiń węzeł Ochrona następnej generacji , aby wyświetlić listę zasad. Na liście są wyświetlane co najmniej domyślne zasady korzystające z zalecanych ustawień. Te zasady domyślne są przypisywane do wszystkich dołączonych urządzeń z systemem operacyjnym wybranym w poprzednim kroku (na przykład w systemie Windows). Można:

    • Zachowaj domyślne zasady zgodnie z aktualnie skonfigurowaną konfiguracją.
    • Edytuj domyślne zasady, aby wprowadzić wymagane zmiany.
    • Twórca nowe zasady.

  5. Użyj jednej z procedur w poniższej tabeli:

    Zadanie Procedura
    Edytowanie domyślnych zasad 1. W sekcji Ochrona następnej generacji wybierz zasady domyślne, a następnie wybierz pozycję Edytuj.

    2. W kroku Ogólne informacje przejrzyj informacje. W razie potrzeby edytuj opis, a następnie wybierz przycisk Dalej.

    3. W kroku Grupy urządzeń użyj istniejącej grupy lub skonfiguruj nową grupę. Następnie wybierz pozycję Dalej.

    4. W kroku Ustawienia konfiguracji przejrzyj i w razie potrzeby edytuj ustawienia zabezpieczeń, a następnie wybierz pozycję Dalej. Aby uzyskać więcej informacji na temat ustawień, zobacz Ustawienia i opcje ochrony następnej generacji (w tym artykule).

    5. W kroku Przeglądanie zasad przejrzyj bieżące ustawienia. Wybierz pozycję Edytuj , aby wprowadzić wymagane zmiany. Następnie wybierz pozycję Aktualizuj zasady.
    Twórca nowe zasady 1. W sekcji Ochrona następnej generacji wybierz pozycję Dodaj.

    2. W kroku Informacje ogólne określ nazwę i opis zasad. Możesz również zachować lub zmienić kolejność zasad (zobacz Omówienie kolejności zasad w Microsoft Defender dla Firm). Następnie wybierz pozycję Dalej.

    3. W kroku Grupy urządzeń możesz użyć istniejącej grupy lub utworzyć nową grupę (zobacz Grupy urządzeń w Microsoft Defender dla Firm). Następnie wybierz pozycję Dalej.

    4. W kroku Ustawienia konfiguracji przejrzyj i edytuj ustawienia zabezpieczeń, a następnie wybierz pozycję Dalej. Aby uzyskać więcej informacji na temat ustawień, zobacz Ustawienia i opcje ochrony następnej generacji (w tym artykule).

    5. W kroku Przeglądanie zasad przejrzyj bieżące ustawienia. Wybierz pozycję Edytuj , aby wprowadzić wymagane zmiany. Następnie wybierz pozycję Twórca zasad.

Ustawienia i opcje ochrony następnej generacji

W poniższej tabeli wymieniono ustawienia i opcje ochrony nowej generacji w usłudze Defender dla firm.

Ustawienie Opis
Ochrona w czasie rzeczywistym
Włączanie ochrony w czasie rzeczywistym Domyślnie włączona ochrona w czasie rzeczywistym lokalizuje i uniemożliwia uruchamianie złośliwego oprogramowania na urządzeniach. Zalecamy włączenie ochrony w czasie rzeczywistym. Po włączeniu ochrony w czasie rzeczywistym konfiguruje ona następujące ustawienia:
- Monitorowanie zachowania jest włączone (AllowBehaviorMonitoring).
— Wszystkie pobrane pliki i załączniki są skanowane (AllowIOAVProtection).
— Skrypty używane w przeglądarkach firmy Microsoft są skanowane (AllowScriptScanning).
Blokuj od pierwszego wejrzenia Domyślnie opcja blokuj od pierwszego wejrzenia blokuje złośliwe oprogramowanie w ciągu kilku sekund od wykrycia, wydłuża czas (w sekundach) na przesyłanie przykładowych plików do analizy i ustawia poziom wykrywania na wysoki. Zalecamy włączenie blokady od pierwszego wejrzenia.

Gdy blok od pierwszego wejrzenia jest włączony, konfiguruje następujące ustawienia dla programu antywirusowego Microsoft Defender:
— Blokowanie i skanowanie podejrzanych plików jest ustawione na wysoki poziom blokowania (CloudBlockLevel).
— Liczba sekund zablokowania i sprawdzenia pliku jest ustawiona na 50 sekund (CloudExtendedTimeout).
Ważne Jeśli blok od pierwszego wejrzenia jest wyłączony, ma wpływ na CloudBlockLevel program antywirusowy Microsoft Defender i CloudExtendedTimeout dla niego.
Wyłącz ochronę sieci Domyślnie włączona w trybie bloku ochrona sieci pomaga chronić przed wyłudzaniem informacji, witrynami hostującym luki w zabezpieczeniach i złośliwą zawartością w Internecie. Zapobiega to również wyłączaniu ochrony sieci przez użytkowników.

Ochronę sieci można ustawić na następujące tryby:
- Tryb bloku jest ustawieniem domyślnym. Uniemożliwia to użytkownikom odwiedzanie witryn, które są uważane za niebezpieczne. Zalecamy ustawienie ochrony sieci w trybie bloku.
- Tryb inspekcji umożliwia użytkownikom odwiedzanie witryn, które mogą być niebezpieczne, i śledzi aktywność sieci do/z takich witryn.
- Tryb wyłączony nie blokuje użytkownikom odwiedzania witryn, które mogą być niebezpieczne, ani nie śledzi aktywności sieciowej do/z takich witryn.
Korygowania
Akcja do podjęcia w sprawie potencjalnie niechcianych aplikacji (PUA) Domyślnie włączona ochrona pua blokuje elementy, które są wykrywane jako pua. Pua może zawierać oprogramowanie reklamowe; pakiet oprogramowania, które oferuje instalację innego, niepodpisanego oprogramowania; i oprogramowanie do uchylania się od płacenia podatków, które próbuje uniknąć funkcji zabezpieczeń. Chociaż pua nie musi być wirusem, złośliwym oprogramowaniem lub innym typem zagrożenia, może mieć wpływ na wydajność urządzenia. Ochronę pua można ustawić na następujące tryby:
- Włączone jest ustawieniem domyślnym. Blokuje elementy wykryte jako pua na urządzeniach. Zalecamy włączenie ochrony pua.
- Tryb inspekcji nie wykonuje żadnych akcji w przypadku elementów wykrytych jako pua.
- Wyłączone nie wykrywa ani nie podejmuje akcji w przypadku elementów, które mogą być pua.
Skanowania
Typ zaplanowanego skanowania Domyślnie włączone w trybie Quickscan można określić dzień i godzinę uruchamiania cotygodniowych skanowania antywirusowego. Dostępne są następujące opcje typu skanowania:
- Quickscan sprawdza lokalizacje, takie jak klucze rejestru i foldery uruchamiania, w których można zarejestrować złośliwe oprogramowanie w celu uruchomienia wraz z urządzeniem. Zalecamy użycie opcji Quickscan.
- Narzędzie Fullscan sprawdza wszystkie pliki i foldery na urządzeniu.
- Wyłączone oznacza, że zaplanowane skanowanie nie będzie odbywać się. Użytkownicy nadal mogą uruchamiać skanowania na własnych urządzeniach. (Ogólnie rzecz biorąc, nie zalecamy wyłączania zaplanowanych skanów).
Dowiedz się więcej o typach skanowania.
Dzień tygodnia na uruchomienie zaplanowanego skanowania Wybierz dzień, w którym będą uruchamiane regularne, cotygodniowe skanowanie antywirusowe.
Godzina uruchomienia zaplanowanego skanowania Wybierz czas uruchamiania regularnie zaplanowanych skanowania antywirusowego do uruchomienia.
Korzystanie z niskiej wydajności To ustawienie jest domyślnie wyłączone. Zalecamy wyłączenie tego ustawienia. Można jednak włączyć to ustawienie, aby ograniczyć pamięć urządzenia i zasoby używane podczas zaplanowanych skanowania. Ważne Jeśli włączysz opcję Użyj niskiej wydajności, skonfiguruje następujące ustawienia programu antywirusowego Microsoft Defender:
— Pliki archiwum nie są skanowane (AllowArchiveScanning).
— Skanowanie ma niski priorytet procesora CPU (EnableLowCPUPriority).
- W przypadku pominięcia pełnego skanowania antywirusowego nie zostanie uruchomione żadne skanowanie catch-up (DisableCatchupFullScan).
- Jeśli szybkie skanowanie antywirusowe zostanie pominięte, nie zostanie uruchomione żadne skanowanie catch-up (DisableCatchupQuickScan).
- Zmniejsza średni współczynnik obciążenia procesora CPU podczas skanowania antywirusowego z 50 procent do 20 procent (AvgCPULoadFactor).
Środowisko użytkownika
Zezwalanie użytkownikom na dostęp do aplikacji Zabezpieczenia Windows Włącz to ustawienie, aby umożliwić użytkownikom otwieranie aplikacji Zabezpieczenia Windows na swoich urządzeniach. Użytkownicy nie będą mogli zastąpić ustawień skonfigurowanych w usłudze Defender dla Firm, ale będą mogli uruchomić szybkie skanowanie lub wyświetlić wykryte zagrożenia.
Wykluczenia programu antywirusowego Wykluczenia to procesy, pliki lub foldery pomijane przez Microsoft Defender skanowanie antywirusowe. Ogólnie rzecz biorąc, nie należy definiować wykluczeń. program antywirusowy Microsoft Defender zawiera wiele automatycznych wykluczeń opartych na znanym zachowaniu systemu operacyjnego i typowych plikach zarządzania. Każde wykluczenie zmniejsza poziom ochrony, dlatego ważne jest, aby dokładnie rozważyć, jakie wykluczenia należy zdefiniować. Przed dodaniem jakichkolwiek wykluczeń zobacz Manage exclusions for Ochrona punktu końcowego w usłudze Microsoft Defender and Microsoft Defender Antivirus (Zarządzanie wykluczeniami dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i programu antywirusowego Microsoft Defender).
Wykluczenia procesów Wykluczenia procesów uniemożliwiają skanowanie plików otwieranych przez określone procesy za pomocą programu antywirusowego Microsoft Defender. Po dodaniu procesu do listy wykluczeń procesu program antywirusowy Microsoft Defender nie będzie skanować plików otwieranych przez ten proces, niezależnie od tego, gdzie znajdują się pliki. Sam proces jest skanowany, chyba że zostanie dodany do listy wykluczeń plików. Zobacz Konfigurowanie wykluczeń dla plików otwieranych przez procesy.
Wykluczenia rozszerzenia pliku Wykluczenia rozszerzeń plików uniemożliwiają skanowanie plików z określonymi rozszerzeniami za pomocą programu antywirusowego Microsoft Defender. Zobacz Konfigurowanie i weryfikowanie wykluczeń na podstawie rozszerzenia pliku i lokalizacji folderu.
Wykluczenia plików i folderów Wykluczenia plików i folderów uniemożliwiają skanowanie plików znajdujących się w określonych folderach za pomocą programu antywirusowego Microsoft Defender. Zobacz Kontekstowe wykluczenia plików i folderów.

Inne wstępnie skonfigurowane ustawienia w usłudze Defender dla Firm

Następujące ustawienia zabezpieczeń są wstępnie skonfigurowane w usłudze Defender dla Firm:

Jak ustawienia domyślne w usłudze Defender dla Firm odpowiadają ustawień w Microsoft Intune

W poniższej tabeli opisano ustawienia wstępnie skonfigurowane dla usługi Defender dla firm oraz sposób, w jaki te ustawienia odpowiadają temu, co można zobaczyć w Intune. Jeśli używasz uproszczonego procesu konfiguracji w usłudze Defender dla firm, nie musisz edytować tych ustawień.

Ustawienie Opis
Ochrona w chmurze Czasami nazywana ochroną dostarczaną przez chmurę lub usługą Microsoft Advanced Protection Service (MAPS), ochrona w chmurze współpracuje z programem antywirusowym Microsoft Defender i chmurą firmy Microsoft w celu identyfikowania nowych zagrożeń, czasami nawet przed wystąpieniem jednego urządzenia. Domyślnie opcja AllowCloudProtection jest włączona. Dowiedz się więcej o ochronie chmury.
Monitorowanie plików przychodzących i wychodzących Aby monitorować pliki przychodzące i wychodzące, właściwość RealTimeScanDirection jest ustawiona na monitorowanie wszystkich plików.
Skanowanie plików sieciowych Domyślnie pozycja AllowScanningNetworkFiles nie jest włączona, a pliki sieciowe nie są skanowane.
Skanowanie wiadomości e-mail Domyślnie funkcja AllowEmailScanning nie jest włączona i wiadomości e-mail nie są skanowane.
Liczba dni (0–90) do przechowywania złośliwego oprogramowania poddanej kwarantannie Domyślnie ustawienie DaysToRetainCleanedMalware jest ustawione na zero (0) dni. Artefakty znajdujące się w kwarantannie nie są usuwane automatycznie.
Zgoda na przesyłanie przykładów Domyślnie właściwość SubmitSamplesConsent jest ustawiona na automatyczne wysyłanie bezpiecznych próbek. Przykłady bezpiecznych przykładów obejmują .batpliki , .scr, .dlli .exe , które nie zawierają danych osobowych (PII). Jeśli plik zawiera identyfikator PII, użytkownik otrzymuje żądanie zezwalania na kontynuowanie przesyłania przykładowego. Dowiedz się więcej na temat ochrony w chmurze i przykładowego przesyłania.
Skanowanie dysków wymiennych Domyślnie funkcja AllowFullScanRemovableDriveScanning jest skonfigurowana do skanowania dysków wymiennych, takich jak dyski USB na urządzeniach. Dowiedz się więcej o ustawieniach zasad ochrony przed złośliwym kodem.
Uruchamianie dziennego czasu szybkiego skanowania Domyślnie wartość ScheduleQuickScanTime jest ustawiona na 2:00. Dowiedz się więcej o ustawieniach skanowania.
Sprawdzanie dostępności aktualizacji podpisu przed uruchomieniem skanowania Domyślnie funkcja CheckForSignaturesBeforeRunningScan jest skonfigurowana do sprawdzania dostępności aktualizacji analizy zabezpieczeń przed uruchomieniem skanowania antywirusowego/chroniącego przed złośliwym kodem. Dowiedz się więcej o ustawieniach skanowania i aktualizacjach analizy zabezpieczeń.
Jak często (0–24 godziny) sprawdzać aktualizacje analizy zabezpieczeń Domyślnie funkcja SignatureUpdateInterval jest skonfigurowana do sprawdzania dostępności aktualizacji analizy zabezpieczeń co cztery godziny. Dowiedz się więcej o ustawieniach skanowania i aktualizacjach analizy zabezpieczeń.

Następne kroki