Udostępnij za pośrednictwem


Ustaw preferencje dla ochrony punktu końcowego usługi Microsoft Defender w systemie macOS

Dotyczy:

Ważna

Ten artykuł zawiera instrukcje dotyczące ustawiania preferencji dla usługi Microsoft Defender dla punktu końcowego w systemie macOS w organizacjach przedsiębiorstwa. Aby skonfigurować usługę Microsoft Defender dla punktu końcowego w systemie macOS przy użyciu interfejsu wiersza polecenia, zobacz Zasoby.

Podsumowanie

W organizacjach przedsiębiorstwa usługą Microsoft Defender dla punktu końcowego w systemie macOS można zarządzać za pośrednictwem profilu konfiguracji wdrożonego przy użyciu jednego z kilku narzędzi do zarządzania. Preferencje zarządzane przez zespół ds. operacji zabezpieczeń mają pierwszeństwo przed preferencjami ustawionymi lokalnie na urządzeniu. Zmiana preferencji ustawionych za pośrednictwem profilu konfiguracji wymaga eskalowanych uprawnień i nie jest dostępna dla użytkowników bez uprawnień administracyjnych.

W tym artykule opisano strukturę profilu konfiguracji, zawiera zalecany profil, którego można użyć do rozpoczęcia pracy, i zawiera instrukcje dotyczące sposobu wdrażania profilu.

Struktura profilu konfiguracji

Profil konfiguracji to plik plist , który składa się z wpisów zidentyfikowanych przez klucz (co oznacza nazwę preferencji), a następnie wartość, która zależy od charakteru preferencji. Wartości mogą być proste (takie jak wartość liczbowa) lub złożone, takie jak zagnieżdżona lista preferencji.

Uwaga

Układ profilu konfiguracji zależy od używanej konsoli zarządzania. Poniższe sekcje zawierają przykłady profilów konfiguracji dla narzędzi JAMF i Intune.

Najwyższy poziom profilu konfiguracji obejmuje preferencje i wpisy dla całego produktu dla obszarów podrzędnych usługi Microsoft Defender dla punktu końcowego, co opisano bardziej szczegółowo w następnych sekcjach.

Preferencje aparatu antywirusowego

Sekcja antivirusEngine profilu konfiguracji służy do zarządzania preferencjami składnika antywirusowego programu Microsoft Defender for Endpoint.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz antivirusEngine
Typ danych Słownik (preferencja zagnieżdżona)
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach.

Poziom wymuszania dla aparatu antywirusowego

Określa preferencje wymuszania aparatu antywirusowego. Istnieją trzy wartości dotyczące ustawiania poziomu wymuszania:

  • W czasie rzeczywistym (real_time): włączono ochronę w czasie rzeczywistym (skanuj pliki w miarę uzyskiwania dostępu).
  • Na żądanie (on_demand): pliki są skanowane tylko na żądanie. W tym:
    • Ochrona w czasie rzeczywistym jest wyłączona.
  • Pasywne (passive): uruchamia aparat antywirusowy w trybie pasywnym. W tym:
    • Ochrona w czasie rzeczywistym jest wyłączona.
    • Skanowanie na żądanie jest włączone.
    • Automatyczne korygowanie zagrożeń jest wyłączone.
    • Aktualizacje analizy zabezpieczeń są włączone.
    • Ikona menu stanu jest ukryta.
Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz enforcementLevel
Typ danych Ciąg
Dopuszczalne wartości real_time (wartość domyślna)

on_demand

Pasywne

Komentarze Dostępne w usłudze Microsoft Defender dla punktu końcowego w wersji 101.10.72 lub nowszej.

Włączanie/wyłączanie monitorowania zachowania

Określa, czy funkcja monitorowania i blokowania zachowania jest włączona na urządzeniu, czy nie.

Uwaga

Ta funkcja ma zastosowanie tylko wtedy, gdy funkcja ochrony Real-Time jest włączona.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz behaviorMonitoring
Typ danych Ciąg
Dopuszczalne wartości Wyłączone

włączone (ustawienie domyślne)

Komentarze Dostępne w usłudze Microsoft Defender dla punktu końcowego w wersji 101.24042.0002 lub nowszej.

Konfigurowanie funkcji obliczania skrótów plików

Włącza lub wyłącza funkcję obliczania skrótów plików. Po włączeniu tej funkcji usługa Defender for Endpoint oblicza skróty skanowane plików, aby umożliwić lepsze dopasowanie do reguł wskaźnika. W systemie macOS tylko skrypt i pliki Mach-O (32 i 64-bitowe) są brane pod uwagę w przypadku tego obliczenia skrótu (z aparatu w wersji 1.1.20000.2 lub nowszej). Należy pamiętać, że włączenie tej funkcji może mieć wpływ na wydajność urządzenia. Aby uzyskać więcej informacji, zobacz: Tworzenie wskaźników dla plików.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz enableFileHashComputation
Typ danych Wartość logiczna
Dopuszczalne wartości false (wartość domyślna)

True

Komentarze Dostępne w usłudze Defender for Endpoint w wersji 101.86.81 lub nowszej.

Uruchamianie skanowania po zaktualizowaniu definicji

Określa, czy należy rozpocząć skanowanie procesu po pobraniu nowych aktualizacji analizy zabezpieczeń na urządzeniu. Włączenie tego ustawienia powoduje uruchomienie skanowania antywirusowego w uruchomionych procesach urządzenia.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz scanAfterDefinitionUpdate
Typ danych Wartość logiczna
Dopuszczalne wartości true (wartość domyślna)

False

Komentarze Dostępne w usłudze Microsoft Defender dla punktu końcowego w wersji 101.41.10 lub nowszej.

Skanuj archiwa (tylko skanowanie antywirusowe na żądanie)

Określa, czy skanować archiwa podczas skanowania antywirusowego na żądanie.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz scanArchives
Typ danych Wartość logiczna
Dopuszczalne wartości true (wartość domyślna)

False

Komentarze Dostępne w usłudze Microsoft Defender dla punktu końcowego w wersji 101.41.10 lub nowszej.

Stopień równoległości skanowania na żądanie

Określa stopień równoległości skanowania na żądanie. Odpowiada to liczbie wątków używanych do skanowania i wpływa na użycie procesora CPU, a także czas trwania skanowania na żądanie.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz maximumOnDemandScanThreads
Typ danych Liczba całkowita
Dopuszczalne wartości 2 (wartość domyślna). Dozwolone wartości to liczby całkowite z zakresu od 1 do 64.
Komentarze Dostępne w usłudze Microsoft Defender dla punktu końcowego w wersji 101.41.10 lub nowszej.

Zasady scalania wykluczeń

Określ zasady scalania dla wykluczeń. Może to być kombinacja wykluczeń zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge) lub tylko wykluczeń zdefiniowanych przez administratora (admin_only). To ustawienie może służyć do ograniczania użytkownikom lokalnym definiowania własnych wykluczeń.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz exclusionsMergePolicy
Typ danych Ciąg
Dopuszczalne wartości scalanie (domyślne)

admin_only

Komentarze Dostępne w usłudze Microsoft Defender dla punktu końcowego w wersji 100.83.73 lub nowszej.

Wykluczeń skanowania

Określ jednostki wykluczone ze skanowania. Wykluczenia można określić za pomocą pełnych ścieżek, rozszerzeń lub nazw plików. (Wykluczenia są określane jako tablica elementów, administrator może określić dowolną liczbę elementów w dowolnej kolejności).

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz Wykluczenia
Typ danych Słownik (preferencja zagnieżdżona)
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach.
Typ wykluczenia

Określ zawartość wykluczoną ze skanowania według typu.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz $type
Typ danych Ciąg
Dopuszczalne wartości excludedPath

excludedFileExtension

excludedFileName

Ścieżka do wykluczonej zawartości

Określ zawartość wykluczoną ze skanowania za pomocą pełnej ścieżki pliku.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz Ścieżka
Typ danych Ciąg
Dopuszczalne wartości prawidłowe ścieżki
Komentarze Dotyczy tylko wtedy, gdy $type jest excludedPath

Obsługiwane typy wykluczeń

W poniższej tabeli przedstawiono typy wykluczeń obsługiwane przez usługę Defender dla punktu końcowego na komputerze Mac.

Wykluczenia Definicja Przykłady
Formatem Wszystkie pliki z rozszerzeniem w dowolnym miejscu na urządzeniu .test
Plik Określony plik zidentyfikowany za pomocą pełnej ścieżki /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Folder Wszystkie pliki w określonym folderze (cyklicznie) /var/log/

/var/*/

Proces Określony proces (określony przez pełną ścieżkę lub nazwę pliku) i wszystkie otwarte przez niego pliki /bin/cat

cat

c?t

Ważna

Powyższe ścieżki muszą być twardymi linkami, a nie linkami symbolicznymi, aby można je było pomyślnie wykluczyć. Możesz sprawdzić, czy ścieżka jest linkiem symbolicznym, uruchamiając polecenie file <path-name>.

Wykluczenia plików, folderów i procesów obsługują następujące symbole wieloznaczne:

Symbol wieloznaczny Opis Przykład Dopasowania Nie pasuje
* Dopasowuje dowolną liczbę znaków, w tym brak (należy pamiętać, że gdy ten symbol wieloznaczny jest używany wewnątrz ścieżki, zastąpi tylko jeden folder) /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? Dopasowuje dowolny pojedynczy znak file?.log file1.log

file2.log

file123.log

Typ ścieżki (plik/katalog)

Określ, czy właściwość path odwołuje się do pliku lub katalogu.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz isDirectory
Typ danych Wartość logiczna
Dopuszczalne wartości false (wartość domyślna)

True

Komentarze Dotyczy tylko wtedy, gdy $type jest excludedPath

Rozszerzenie pliku wykluczone ze skanowania

Określ zawartość wykluczoną ze skanowania przez rozszerzenie pliku.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz Rozszerzenie
Typ danych Ciąg
Dopuszczalne wartości prawidłowe rozszerzenia plików
Komentarze Dotyczy tylko wtedy, gdy $type jest wykluczoneFileExtension

Proces wykluczony ze skanowania

Określ proces, dla którego wszystkie działania plików są wykluczone ze skanowania. Proces można określić za pomocą jego nazwy (na przykład cat) lub pełnej ścieżki (na przykład /bin/cat).

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz Nazwa
Typ danych Ciąg
Dopuszczalne wartości dowolny ciąg
Komentarze Dotyczy tylko wtedy, gdy $type jest wykluczoneFileName

Dozwolone zagrożenia

Określ zagrożenia według nazwy, które nie są blokowane przez usługę Defender dla punktu końcowego na komputerze Mac. Te zagrożenia będą mogły działać.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz allowedThreats
Typ danych Tablica ciągów

Niedozwolone akcje zagrożeń

Ogranicza akcje, które może wykonać lokalny użytkownik urządzenia po wykryciu zagrożeń. Akcje zawarte na tej liście nie są wyświetlane w interfejsie użytkownika.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz disallowedThreatActions
Typ danych Tablica ciągów
Dopuszczalne wartości zezwalaj (ogranicza użytkownikom możliwość zezwalania na zagrożenia)

przywracanie (ogranicza użytkownikom możliwość przywracania zagrożeń z kwarantanny)

Komentarze Dostępne w usłudze Microsoft Defender dla punktu końcowego w wersji 100.83.73 lub nowszej.

Ustawienia typu zagrożenia

Określ, jak niektóre typy zagrożeń są obsługiwane przez usługę Microsoft Defender dla punktu końcowego w systemie macOS.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz threatTypeSettings
Typ danych Słownik (preferencja zagnieżdżona)
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach.
Typ zagrożenia

Określ typy zagrożeń.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz Klucz
Typ danych Ciąg
Dopuszczalne wartości potentially_unwanted_application

archive_bomb

Akcja do wykonania

Określ, jaką akcję należy wykonać w przypadku wykrycia zagrożenia typu określonego w poprzedniej sekcji. Wybierz jedną z następujących opcji:

  • Inspekcja: urządzenie nie jest chronione przed tego typu zagrożeniem, ale wpis dotyczący zagrożenia jest rejestrowany.
  • Blokuj: urządzenie jest chronione przed tego typu zagrożeniem i otrzymasz powiadomienie w interfejsie użytkownika i konsoli zabezpieczeń.
  • Wyłączone: urządzenie nie jest chronione przed tego typu zagrożeniem i nic nie jest rejestrowane.
Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz Wartość
Typ danych Ciąg
Dopuszczalne wartości audit (wartość domyślna)

Bloku

wyłączone

Zasady scalania ustawień typu zagrożenia

Określ zasady scalania dla ustawień typu zagrożenia. Może to być kombinacja ustawień zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge) lub tylko ustawień zdefiniowanych przez administratora (admin_only). To ustawienie może służyć do ograniczania użytkownikom lokalnym możliwości definiowania własnych ustawień dla różnych typów zagrożeń.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz threatTypeSettingsMergePolicy
Typ danych Ciąg
Dopuszczalne wartości scalanie (domyślne)

admin_only

Komentarze Dostępne w usłudze Microsoft Defender dla punktu końcowego w wersji 100.83.73 lub nowszej.

Przechowywanie historii skanowania antywirusowego (w dniach)

Określ liczbę dni przechowywania wyników w historii skanowania na urządzeniu. Stare wyniki skanowania są usuwane z historii. Stare pliki poddane kwarantannie, które również są usuwane z dysku.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz scanResultsRetentionDays
Typ danych Ciąg
Dopuszczalne wartości 90 (wartość domyślna). Dozwolone wartości to od 1 dnia do 180 dni.
Komentarze Dostępne w usłudze Microsoft Defender dla punktu końcowego w wersji 101.07.23 lub nowszej.

Maksymalna liczba elementów w historii skanowania antywirusowego

Określ maksymalną liczbę wpisów do zachowania w historii skanowania. Wpisy obejmują wszystkie skany na żądanie wykonywane w przeszłości i wszystkie wykrycia antywirusowe.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz scanHistoryMaximumItems
Typ danych Ciąg
Dopuszczalne wartości 10000 (wartość domyślna). Dozwolone wartości to od 5000 do 15000 elementów.
Komentarze Dostępne w usłudze Microsoft Defender dla punktu końcowego w wersji 101.07.23 lub nowszej.

Preferencje ochrony dostarczanej w chmurze

Skonfiguruj funkcje ochrony opartej na chmurze w usłudze Microsoft Defender for Endpoint w systemie macOS.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz cloudService
Typ danych Słownik (preferencja zagnieżdżona)
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach.

Włączanie/wyłączanie ochrony dostarczanej w chmurze

Określ, czy należy włączyć ochronę dostarczaną przez chmurę na urządzeniu, czy też nie. Aby zwiększyć bezpieczeństwo usług, zalecamy włączenie tej funkcji.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz Włączone
Typ danych Wartość logiczna
Dopuszczalne wartości true (wartość domyślna)

False

Poziom kolekcji diagnostycznej

Dane diagnostyczne służą do zapewnienia bezpieczeństwa i aktualności usługi Microsoft Defender for Endpoint, wykrywania, diagnozowania i rozwiązywania problemów, a także wprowadzania ulepszeń produktu. To ustawienie określa poziom diagnostyki wysyłanej przez usługę Microsoft Defender for Endpoint do firmy Microsoft.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz diagnosticLevel
Typ danych Ciąg
Dopuszczalne wartości opcjonalne (domyślne)

Wymagane

Konfigurowanie poziomu bloku chmury

To ustawienie określa, jak agresywna usługa Defender dla punktu końcowego będzie blokować i skanować podejrzane pliki. Jeśli to ustawienie jest włączone, usługa Defender dla punktu końcowego będzie bardziej agresywna podczas identyfikowania podejrzanych plików do zablokowania i skanowania; w przeciwnym razie będzie mniej agresywny, a zatem blokuj i skanuj z mniejszą częstotliwością. Istnieje pięć wartości dotyczących ustawiania poziomu bloku chmury:

  • Normalny (normal): domyślny poziom blokowania.
  • Umiarkowane (moderate): Dostarcza werdykt tylko w przypadku wykrywania wysokiej ufności.
  • Wysoka (high): Agresywnie blokuje nieznane pliki, optymalizując pod kątem wydajności (większe prawdopodobieństwo zablokowania nie szkodliwych plików).
  • Wysoki plus (high_plus): agresywnie blokuje nieznane pliki i stosuje dodatkowe środki ochrony (może mieć wpływ na wydajność urządzenia klienckiego).
  • Zero tolerancji (zero_tolerance): blokuje wszystkie nieznane programy.
Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz cloudBlockLevel
Typ danych Ciąg
Dopuszczalne wartości normalny (domyślny)

Umiarkowane

Wysokiej

high_plus

zero_tolerance

Komentarze Dostępne w usłudze Defender for Endpoint w wersji 101.56.62 lub nowszej.

Włączanie/wyłączanie automatycznych przesyłania przykładów

Określa, czy podejrzane próbki (które mogą zawierać zagrożenia) są wysyłane do firmy Microsoft. Istnieją trzy poziomy kontroli przesyłania przykładów:

  • Brak: firma Microsoft nie przesyła żadnych podejrzanych przykładów.
  • Bezpieczne: tylko podejrzane próbki, które nie zawierają danych osobowych, są przesyłane automatycznie. Jest to wartość domyślna dla tego ustawienia.
  • Wszystkie: wszystkie podejrzane przykłady są przesyłane do firmy Microsoft.
Opis Value
Klucz automaticSampleSubmissionConsent
Typ danych Ciąg
Dopuszczalne wartości brak

safe (wartość domyślna)

Wszystkie

Włączanie/wyłączanie automatycznych aktualizacji analizy zabezpieczeń

Określa, czy aktualizacje analizy zabezpieczeń są instalowane automatycznie:

Sekcji Value
Klucz automaticDefinitionUpdateEnabled
Typ danych Wartość logiczna
Dopuszczalne wartości true (wartość domyślna)

False

Preferencje interfejsu użytkownika

Zarządzaj preferencjami interfejsu użytkownika usługi Microsoft Defender dla punktu końcowego w systemie macOS.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz userInterface
Typ danych Słownik (preferencja zagnieżdżona)
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach.

Ikona menu Pokaż/ukryj stan

Określ, czy ma być wyświetlana lub ukrywana ikona menu stanu w prawym górnym rogu ekranu.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz hideStatusMenuIcon
Typ danych Wartość logiczna
Dopuszczalne wartości false (wartość domyślna)

True

Pokaż/ukryj opcję wysyłania opinii

Określ, czy użytkownicy mogą przesyłać opinie do firmy Microsoft, przechodząc do pozycji Help>Send Feedback.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz userInitiatedFeedback
Typ danych Ciąg
Dopuszczalne wartości włączone (ustawienie domyślne)

Wyłączone

Komentarze Dostępne w usłudze Microsoft Defender dla punktu końcowego w wersji 101.19.61 lub nowszej.

Kontrolowanie logowania do wersji konsumenckiej usługi Microsoft Defender

Określ, czy użytkownicy mogą logować się do wersji konsumenta usługi Microsoft Defender.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz consumerExperience
Typ danych Ciąg
Dopuszczalne wartości włączone (ustawienie domyślne)

Wyłączone

Komentarze Dostępne w usłudze Microsoft Defender dla punktu końcowego w wersji 101.60.18 lub nowszej.

Preferencje wykrywania i reagowania punktów końcowych

Zarządzaj preferencjami składnika wykrywania i reagowania punktów końcowych (EDR) w usłudze Microsoft Defender for Endpoint w systemie macOS.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz Edr
Typ danych Słownik (preferencja zagnieżdżona)
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach.

Tagi urządzeń

Określ nazwę tagu i jego wartość.

  • Tag GROUP oznacza urządzenie z określoną wartością. Tag jest odzwierciedlany w portalu pod stroną urządzenia i może służyć do filtrowania i grupowania urządzeń.
Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz Tagi
Typ danych Słownik (preferencja zagnieżdżona)
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach.
Typ tagu

Określa typ tagu

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz Klucz
Typ danych Ciąg
Dopuszczalne wartości GROUP
Wartość tagu

Określa wartość tagu

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz Wartość
Typ danych Ciąg
Dopuszczalne wartości dowolny ciąg

Ważna

  • Można ustawić tylko jedną wartość na typ tagu.
  • Typ tagów jest unikatowy i nie powinien być powtarzany w tym samym profilu konfiguracji.

Identyfikator grupy

Identyfikatory grupy EDR

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz identyfikatory grup
Typ danych Ciąg
Komentarze Identyfikator grupy

Ochrona przed naruszeniami

Zarządzaj preferencjami składnika Ochrona przed naruszeniami w usłudze Microsoft Defender dla punktu końcowego w systemie macOS.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz tamperProtection
Typ danych Słownik (preferencja zagnieżdżona)
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach.

Poziom wymuszania

Jeśli ochrona przed naruszeniami jest włączona i jeśli jest w trybie ścisłym

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz enforcementLevel
Typ danych Ciąg
Komentarze Jeden z "wyłączonych", "inspekcji" lub "bloku"

Możliwe wartości:

  • disabled — ochrona przed naruszeniami jest wyłączona, nie ma możliwości zapobiegania atakom ani zgłaszania do chmury
  • audit — usługa Tamper Protection zgłasza próby naruszenia tylko chmury, ale nie blokuje ich
  • block — ochrona przed naruszeniami blokuje i zgłasza ataki na chmurę

Wykluczenia

Definiuje procesy, które mogą zmieniać zasób usługi Microsoft Defender bez rozważania naruszenia. Należy podać ścieżkę, identyfikator zespołu lub identyfikator signingId albo ich kombinację. Ponadto można podać usługę Args, aby dokładniej określić dozwolony proces.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz Wykluczenia
Typ danych Słownik (preferencja zagnieżdżona)
Komentarze Opis zawartości słownika można znaleźć w poniższych sekcjach.
Ścieżka

Dokładna ścieżka pliku wykonywalnego procesu.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz Ścieżka
Typ danych Ciąg
Komentarze W przypadku skryptu powłoki będzie to dokładna ścieżka do pliku binarnego interpretera, np. /bin/zsh. Brak dozwolonych symboli wieloznacznych.
Identyfikator zespołu

"Identyfikator zespołu" dostawcy firmy Apple.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz teamId
Typ danych Ciąg
Komentarze Na przykład UBF8T346G9 w przypadku firmy Microsoft
Identyfikator podpisywania

"Identyfikator podpisywania" pakietu firmy Apple.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz signingId
Typ danych Ciąg
Komentarze Na przykład com.apple.ruby dla interpretera języka Ruby
Argumenty procesu

Używany w połączeniu z innymi parametrami w celu zidentyfikowania procesu.

Sekcji Value
Domain (Domena) com.microsoft.wdav
Klucz signingId
Typ danych Tablica ciągów
Komentarze Jeśli zostanie określony, argument procesu musi dokładnie odpowiadać tym argumentom, uwzględniając wielkość liter

Aby rozpocząć pracę, zalecamy poniższą konfigurację dla przedsiębiorstwa, aby korzystać ze wszystkich funkcji ochrony udostępnianych przez usługę Microsoft Defender for Endpoint.

Następujący profil konfiguracji (lub w przypadku narzędzia JAMF lista właściwości, którą można przekazać do profilu konfiguracji ustawień niestandardowych) będzie następująca:

  • Włączanie ochrony w czasie rzeczywistym (RTP)
  • Określ sposób obsługi następujących typów zagrożeń:
    • Potencjalnie niechciane aplikacje (PUA) są blokowane
    • Bomby archiwalne (plik o wysokiej szybkości kompresji) są poddawane inspekcji w usłudze Microsoft Defender dla dzienników punktów końcowych
  • Włączanie automatycznych aktualizacji analizy zabezpieczeń
  • Włączanie ochrony dostarczanej w chmurze
  • Włączanie automatycznego przesyłania przykładów
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Przykład pełnego profilu konfiguracji

Poniższe szablony zawierają wpisy dla wszystkich ustawień opisanych w tym dokumencie i mogą być używane w bardziej zaawansowanych scenariuszach, w których chcesz mieć większą kontrolę nad usługą Microsoft Defender for Endpoint w systemie macOS.

Lista właściwości dla pełnego profilu konfiguracji JAMF

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>scanAfterDefinitionUpdate</key>
        <true/>
        <key>scanArchives</key>
        <true/>
        <key>maximumOnDemandScanThreads</key>
        <integer>2</integer>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/Users/*/git</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
        <key>cloudBlockLevel</key>
        <string>normal</string>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
        <key>exclusions</key>
        <array>
        <dict>
            <key>path</key>
            <string>/bin/zsh</string>
            <key>teamId</key>
            <string/>
            <key>signingId</key>
            <string>com.apple.zsh</string>
            <key>args</key>
            <array>
            <string>/usr/local/bin/test.sh</string>
            </array>
        </dict>
        <dict>
            <key>path</key>
            <string>/usr/local/jamf/bin/jamf</string>
            <key>teamId</key>
            <string>483DWKW443</string>
            <key>signingId</key>
            <string>com.jamfsoftware.jamf</string>
        </dict>
        </array>            
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
        <key>userInitiatedFeedback</key>
        <string>enabled</string>
    </dict>
</dict>
</plist>

Pełny profil usługi Intune

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>scanAfterDefinitionUpdate</key>
                    <true/>
                    <key>scanArchives</key>
                    <true/>
                    <key>maximumOnDemandScanThreads</key>
                    <integer>1</integer>
                    <key>exclusions</key>
                    <array>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <false/>
                            <key>path</key>
                            <string>/var/log/system.log</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/home</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/Users/*/git</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileExtension</string>
                            <key>extension</key>
                            <string>pdf</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileName</string>
                            <key>name</key>
                            <string>cat</string>
                        </dict>
                    </array>
                    <key>exclusionsMergePolicy</key>
                    <string>merge</string>
                    <key>allowedThreats</key>
                    <array>
                        <string>EICAR-Test-File (not a virus)</string>
                    </array>
                    <key>disallowedThreatActions</key>
                    <array>
                        <string>allow</string>
                        <string>restore</string>
                    </array>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                    <key>threatTypeSettingsMergePolicy</key>
                    <string>merge</string>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>diagnosticLevel</key>
                    <string>optional</string>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                    <key>cloudBlockLevel</key>
                    <string>normal</string>
                </dict>
                <key>edr</key>
                <dict>
                    <key>tags</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>GROUP</string>
                            <key>value</key>
                            <string>ExampleTag</string>
                        </dict>
                    </array>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                    <key>exclusions</key>
                    <array>
                    <dict>
                        <key>path</key>
                        <string>/bin/zsh</string>
                        <key>teamId</key>
                        <string/>
                        <key>signingId</key>
                        <string>com.apple.zsh</string>
                        <key>args</key>
                        <array>
                        <string>/usr/local/bin/test.sh</string>
                        </array>
                    </dict>
                    <dict>
                        <key>path</key>
                        <string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
                        <key>teamId</key>
                        <string>UBF8T346G9</string>
                        <key>signingId</key>
                        <string>IntuneMdmDaemon</string>
                    </dict>
                    </array>            
                </dict>
                <key>userInterface</key>
                <dict>
                    <key>hideStatusMenuIcon</key>
                    <false/>
                    <key>userInitiatedFeedback</key>
                    <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Sprawdzanie poprawności listy właściwości

Lista właściwości musi być prawidłowym plikiem plist . Można to sprawdzić, wykonując następujące czynności:

plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK

Jeśli plik jest dobrze sformułowany, powyższe polecenie generuje dane wyjściowe OK i zwraca kod zakończenia .0 W przeciwnym razie zostanie wyświetlony błąd opisujący problem, a polecenie zwróci kod zakończenia .1

Wdrażanie profilu konfiguracji

Po utworzeniu profilu konfiguracji dla przedsiębiorstwa można go wdrożyć za pośrednictwem konsoli zarządzania używanej przez przedsiębiorstwo. Poniższe sekcje zawierają instrukcje dotyczące wdrażania tego profilu przy użyciu narzędzi JAMF i Intune.

Wdrożenie JAMF

W konsoli JAMF otwórz pozycjęProfile konfiguracjikomputerów>, przejdź do profilu konfiguracji, którego chcesz użyć, a następnie wybierz pozycję Ustawienia niestandardowe. Utwórz wpis z elementem com.microsoft.wdav jako domeną preferencji i przekaż utworzony wcześniej plik plist .

Uwaga

Musisz wprowadzić poprawną domenę preferencji (com.microsoft.wdav); w przeciwnym razie preferencje nie zostaną rozpoznane przez usługę Microsoft Defender dla punktu końcowego.

Wdrażanie usługi Intune

  1. Otwórzprofile konfiguracjiurządzeń>. Wybierz pozycję Utwórz profil.

  2. Wybierz nazwę profilu. Zmień wartość Platform=macOS na Typ profilu=Szablony i wybierz pozycję Niestandardowe w sekcji nazwa szablonu. Wybierz pozycję Konfiguruj.

  3. Zapisz plik plist utworzony wcześniej jako com.microsoft.wdav.xml.

  4. Wprowadź com.microsoft.wdav jako niestandardową nazwę profilu konfiguracji.

  5. Otwórz profil konfiguracji i przekaż com.microsoft.wdav.xml plik. (Ten plik został utworzony w kroku 3).

  6. Wybierz przycisk OK.

  7. Wybierz pozycję Zarządzaj>przydziałami. Na karcie Dołączanie wybierz pozycję Przypisz do wszystkich użytkowników & wszystkie urządzenia.

Uwaga

Musisz wprowadzić poprawną niestandardową nazwę profilu konfiguracji; W przeciwnym razie te preferencje nie zostaną rozpoznane przez usługę Microsoft Defender dla punktu końcowego.

Zasoby

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.