Udostępnij za pośrednictwem

Ustawienia zasad programu antywirusowego Microsoft Defender w usłudze Microsoft Intune dla urządzeń z systemem Windows

  • Artykuł

Wyświetl szczegółowe informacje o ustawieniach zasad ochrony antywirusowej zabezpieczeń punktu końcowego , które można skonfigurować dla profilu programu antywirusowego Microsoft Defender dla systemu Windows 10 lub nowszego w usłudze Microsoft Intune.

Uwaga

W tym artykule szczegółowo opisano ustawienia, które można znaleźć w profilach wykluczeń programu antywirusowego Microsoft Defender i programu antywirusowego Microsoft Defender utworzonych przed 5 kwietnia 2022 r. dla systemu Windows 10 i nowszej platformy dla zasad ochrony antywirusowej zabezpieczeń punktu końcowego. 5 kwietnia 2022 r. platforma windows 10 i nowsze zostały zastąpione przez platformę Windows 10, Windows 11 i Windows Server . Profile utworzone po tej dacie używają nowego formatu ustawień, jak można znaleźć w katalogu ustawień. Dzięki tej zmianie nie można już tworzyć nowych wersji starego profilu i nie są one już opracowywane. Mimo że nie można już tworzyć nowych wystąpień starszego profilu, możesz nadal edytować i używać utworzonych wcześniej wystąpień.

W przypadku profilów korzystających z nowego formatu ustawień usługa Intune nie obsługuje już listy poszczególnych ustawień według nazwy. Zamiast tego nazwa każdego ustawienia, jego opcje konfiguracji i tekst objaśniający widoczny w centrum administracyjnym usługi Microsoft Intune są pobierane bezpośrednio z zawartości autorytatywnej ustawień. Ta zawartość może dostarczyć więcej informacji na temat korzystania z ustawienia w jego odpowiednim kontekście. Podczas wyświetlania tekstu informacji o ustawieniach możesz użyć linku Dowiedz się więcej , aby otworzyć tę zawartość.

Poniższe szczegóły ustawień profilów systemu Windows dotyczą tych przestarzałych profilów.

Ochrona w chmurze

  • Włączanie ochrony dostarczanej w chmurze
    Zasady zabezpieczeń zawartości: AllowCloudProtection

    Domyślnie usługa Defender na urządzeniach stacjonarnych z systemem Windows 10/11 wysyła do firmy Microsoft informacje o wszelkich znalezionych problemach. Firma Microsoft analizuje te informacje, aby dowiedzieć się więcej o problemach mających wpływ na Ciebie i innych klientów, aby zaoferować ulepszone rozwiązania.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — ochrona dostarczana w chmurze jest włączona. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.

  • Poziom ochrony dostarczanej w chmurze
    Zasady zabezpieczeń zawartości: CloudBlockLevel

    Skonfiguruj, jak agresywny program antywirusowy Defender blokuje i skanuje podejrzane pliki.

    • Nie skonfigurowano (ustawienie domyślne) — domyślny poziom blokowania usługi Defender.
    • Wysoki — agresywne blokowanie niewiadomych podczas optymalizowania wydajności klienta, co obejmuje większą szansę na wyniki fałszywie dodatnie.
    • Wysoki plus — agresywne blokowanie niewiadomych i stosowanie dodatkowych środków ochrony, które mogą mieć wpływ na wydajność klienta.
    • Zero tolerancji — blokuj wszystkie nieznane pliki wykonywalne.

  • Rozszerzony limit czasu w chmurze usługi Defender w ciągu kilku sekund
    Dostawca usług kryptograficznych: CloudExtendedTimeout

    Program antywirusowy Defender automatycznie blokuje podejrzane pliki przez 10 sekund podczas skanowania ich w chmurze, aby upewnić się, że są bezpieczne. Do tego limitu czasu można dodać do 50 dodatkowych sekund.

Wykluczenia programu antywirusowego Microsoft Defender

W profilu programu antywirusowego Microsoft Defender dostępne są następujące ustawienia:

  • Scalanie administratora lokalnego usługi Defender
    Zasady zabezpieczeń zawartości: Konfiguracja/DisableLocalAdminMerge

    To ustawienie określa, czy ustawienia listy wykluczeń skonfigurowane przez administratora lokalnego scalają się z ustawieniami zarządzanymi z zasad usługi Intune. To ustawienie dotyczy list, takich jak zagrożenia i wykluczenia.

    • Nie skonfigurowano(ustawienie domyślne) — unikatowe elementy zdefiniowane w ustawieniach preferencji skonfigurowanych przez administratora lokalnego scalają się z wynikowymi skutecznymi zasadami. W przypadku konfliktów ustawienia zarządzania z zasad usługi Intune zastępują ustawienia preferencji lokalnych.
    • Nie — zachowanie jest takie samo jak Nie skonfigurowano.
    • Tak — w wynikowych skutecznych zasadach są używane tylko elementy zdefiniowane przez zarządzanie. Ustawienia zarządzane zastępują ustawienia preferencji skonfigurowane przez administratora lokalnego.

Następujące ustawienia są dostępne w następujących profilach:

  • Program antywirusowy Microsoft Defender
  • Wykluczenia programu antywirusowego Microsoft Defender

Dla każdego ustawienia w tej grupie można rozwinąć to ustawienie, wybrać pozycję Dodaj, a następnie określić wartość wykluczenia.

  • Procesy usługi Defender do wykluczenia
    Dostawca usług kryptograficznych: ExcludedProcesses

    Określ listę plików otwartych przez procesy do zignorowania podczas skanowania. Sam proces nie jest wykluczony ze skanowania.

  • Rozszerzenia plików do wykluczenia ze skanowania i ochrony w czasie rzeczywistym
    Zasady zabezpieczeń zawartości: ExcludedExtensions

    Określ listę rozszerzeń typu pliku do zignorowania podczas skanowania.

  • Pliki i foldery usługi Defender do wykluczenia
    Zasady zabezpieczeń zawartości: ExcludedPaths

    Określ listę plików i ścieżek katalogów do zignorowania podczas skanowania.

Ochrona w czasie rzeczywistym

Te ustawienia są dostępne w następujących profilach:

  • Program antywirusowy Microsoft Defender

Ustawienia:

  • Włączanie ochrony w czasie rzeczywistym
    Zasady zabezpieczeń zawartości: AllowRealtimeMonitoring

    Wymagaj, aby usługa Defender na urządzeniach stacjonarnych z systemem Windows 10/11 korzystała z funkcji monitorowania w czasie rzeczywistym.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — wymuszanie korzystania z monitorowania w czasie rzeczywistym. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.

  • Włączanie ochrony dostępu
    Zasady zabezpieczeń zawartości: AllowOnAccessProtection Skonfiguruj ochronę przed wirusami, która jest stale aktywna, a nie na żądanie.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
    • Nie — blokuj ochronę dostępu na urządzeniach. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — ochrona dostępu jest aktywna na urządzeniach.

  • Monitorowanie plików przychodzących i wychodzących
    Zasady zabezpieczeń zawartości: Defender/RealTimeScanDirection

    Skonfiguruj to ustawienie, aby określić, które działania plików NTFS i programu są monitorowane.

    • Monitorowanie wszystkich plików (domyślne)
    • Monitorowanie tylko plików przychodzących
    • Monitorowanie tylko plików wychodzących

  • Włączanie monitorowania zachowania
    Zasady zabezpieczeń zawartości: AllowBehaviorMonitoring

    Domyślnie usługa Defender na urządzeniach stacjonarnych z systemem Windows 10/11 używa funkcji monitorowania zachowania.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — wymuszanie korzystania z monitorowania zachowania w czasie rzeczywistym. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.

  • Wyłącz ochronę sieci
    Zasady zabezpieczeń zawartości: EnableNetworkProtection

    Ochrona użytkowników urządzeń korzystających z dowolnej aplikacji przed uzyskiwaniem dostępu do wyłudzania informacji, witryn hostujących luki w zabezpieczeniach i złośliwej zawartości w Internecie. Ochrona obejmuje zapobieganie nawiązywaniu połączeń przez przeglądarki innych firm z niebezpiecznymi witrynami.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — ochrona sieci jest włączona. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.

  • Skanuj wszystkie pobrane pliki i załączniki
    Zasady zabezpieczeń zawartości: AllowIOAVProtection

    Skonfiguruj usługę Defender do skanowania wszystkich pobranych plików i załączników.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — usługa Defender skanuje wszystkie pobrane pliki i załączniki. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.

  • Skanuj skrypty używane w przeglądarkach firmy Microsoft
    Zasady zabezpieczeń zawartości: AllowScriptScanning

    Skonfiguruj usługę Defender do skanowania skryptów.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — usługa Defender skanuje skrypty. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.

  • Skanowanie plików sieciowych
    Zasady zabezpieczeń zawartości: AllowScanningNetworkFiles

    Skonfiguruj usługę Defender do skanowania plików sieciowych.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — włącz skanowanie plików sieciowych. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.

  • Skanowanie wiadomości e-mail
    Zasady zabezpieczeń zawartości: AllowEmailScanning

    Skonfiguruj usługę Defender do skanowania przychodzących wiadomości e-mail.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — włącz skanowanie poczty e-mail. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.

Korygowania

Te ustawienia są dostępne w następujących profilach:

  • Program antywirusowy Microsoft Defender

Ustawienia:

  • Liczba dni (0–90) do przechowywania złośliwego oprogramowania poddanej kwarantannie
    Zasady zabezpieczeń zawartości: DaysToRetainCleanedMalware

    Określ liczbę dni od zera do 90, w których system przechowuje elementy poddane kwarantannie przed ich automatycznym usunięciem. Wartość zero utrzymuje elementy w kwarantannie i nie usuwa ich automatycznie.

  • Zgoda na przesyłanie przykładów

    • Nie skonfigurowano (wartość domyślna)
    • Automatyczne wysyłanie bezpiecznych próbek
    • Zawsze monituj
    • Nigdy nie wysyłaj
    • Automatycznie wysyłaj wszystkie przykłady

  • Akcja do podjęcia w sprawie potencjalnie niechcianych aplikacji
    Zasady zabezpieczeń zawartości: PUAProtection

    Określ poziom wykrywania potencjalnie niechcianych aplikacji (PUA). Usługa Defender ostrzega użytkowników, gdy potencjalnie niechciane oprogramowanie jest pobierane lub próbuje zainstalować je na urządzeniu.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnej wartości systemowej, czyli PUA Protection OFF.
    • Wyłączać
    • Włącz — wykryte elementy są blokowane i wyświetlane w historii wraz z innymi zagrożeniami.
    • Tryb inspekcji — usługa Defender wykrywa potencjalnie niechciane aplikacje, ale nie podejmuje żadnych działań. Możesz przejrzeć informacje o aplikacjach, przeciwko których usługa Defender podjęłaby akcję, wyszukując zdarzenia utworzone przez usługę Defender w Podglądzie zdarzeń.

  • Akcje dotyczące wykrytych zagrożeń
    Zasady zabezpieczeń zawartości: ThreatSeverityDefaultAction

    Określ akcję wykonywaną przez usługę Defender w przypadku wykrytego złośliwego oprogramowania na podstawie poziomu zagrożenia złośliwego oprogramowania.

    Usługa Defender klasyfikuje wykryte złośliwe oprogramowanie jako jeden z następujących poziomów ważności:

    • Niska ważność
    • Umiarkowana ważność
    • Wysoka ważność
    • Ciężka ważność

    Dla każdego poziomu określ akcję do wykonania. Wartość domyślna dla każdego poziomu ważności to Nie skonfigurowano.

    • Nie skonfigurowano
    • Czyszczenie — usługa próbuje odzyskać pliki i spróbować zdezynfekować.
    • Kwarantanna — przenosi pliki do kwarantanny.
    • Usuń — usuwa pliki z urządzenia.
    • Zezwalaj — zezwala na plik i nie wykonuje innych akcji.
    • Zdefiniowane przez użytkownika — użytkownik urządzenia podejmuje decyzję o podjęciu akcji.
    • Blokuj — blokuje wykonywanie pliku.

Skanować

Te ustawienia są dostępne w następujących profilach:

  • Program antywirusowy Microsoft Defender

Ustawienia:

  • Skanowanie plików archiwum
    Zasady zabezpieczeń zawartości: AllowArchiveScanning

    Skonfiguruj usługę Defender do skanowania plików archiwum, takich jak pliki ZIP lub CAB.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej klienta, czyli skanowania zarchiwizowanych plików, jednak użytkownik może wyłączyć ustawienie. Dowiedz się więcej
    • Nie — archiwa plików nie są skanowane. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — włącza skanowanie plików archiwum. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.

  • Używanie niskiego priorytetu procesora CPU w przypadku zaplanowanych skanów
    Zasady zabezpieczeń zawartości: EnableLowCPUPriority

    Skonfiguruj priorytet procesora CPU dla zaplanowanych skanów.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej systemu, w której nie są wprowadzane żadne zmiany priorytetu procesora CPU.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — podczas zaplanowanych skanowania będzie używany niski priorytet procesora CPU. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.

  • Wyłączanie pełnego skanowania nadrabiania zaległości
    Zasady zabezpieczeń zawartości: DisableCatchupFullScan

    Konfigurowanie skanowania nadrabiania zaległości pod kątem zaplanowanych pełnych skanów. Skanowanie uzupełniające to skanowanie, które jest uruchamiane z powodu pominięcia regularnie zaplanowanego skanowania. Zazwyczaj te zaplanowane skanowania są pomijane, ponieważ komputer został wyłączony w zaplanowanym czasie.

    • Nieskonfigurowane (ustawienie domyślne) — ustawienie jest zwracane do wartości domyślnej klienta, czyli wyłączania skanowania uzupełniającego w celu pełnego skanowania.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — skanowania uzupełniające dla zaplanowanych pełnych skanów są wymuszane i użytkownik nie może ich wyłączyć. Jeśli komputer jest w trybie offline dla dwóch kolejnych zaplanowanych skanowania, skanowanie catch-up jest uruchamiany przy następnym zalogowaniu się do komputera. Jeśli nie skonfigurowano zaplanowanego skanowania, nie będzie przebiegu skanowania catch-up. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.

  • Wyłączanie szybkiego skanowania nadrabiania zaległości
    Zasady zabezpieczeń zawartości: DisableCatchupQuickScan

    Konfigurowanie skanowania nadrabiania zaległości pod kątem zaplanowanych szybkich skanów. Skanowanie uzupełniające to skanowanie, które jest uruchamiane z powodu pominięcia regularnie zaplanowanego skanowania. Zazwyczaj te zaplanowane skanowania są pomijane, ponieważ komputer został wyłączony w zaplanowanym czasie.

    • Nieskonfigurowane (ustawienie domyślne) — ustawienie jest zwracane do wartości domyślnej klienta, czyli wyłączania skanowania uzupełniającego w celu pełnego skanowania.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
    • Tak — skanowanie uzupełniające dla zaplanowanych szybkich skanów jest wymuszane i użytkownik nie może ich wyłączyć. Jeśli komputer jest w trybie offline dla dwóch kolejnych zaplanowanych skanowania, skanowanie catch-up jest uruchamiany przy następnym zalogowaniu się do komputera. Jeśli nie skonfigurowano zaplanowanego skanowania, nie będzie przebiegu skanowania catch-up. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.

  • Limit użycia procesora CPU na skanowanie
    Dostawca usług kryptograficznych: AvgCPULoadFactor

    Określ procent od zera do 100 średni współczynnik obciążenia procesora CPU dla skanowania usługi Defender.

  • Skanowanie zamapowanych dysków sieciowych podczas pełnego skanowania
    Zasady zabezpieczeń zawartości: AllowFullScanOnMappedNetworkDrives

    Skonfiguruj usługę Defender do skanowania zamapowanych dysków sieciowych.

    • Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnej wartości systemowej, co wyłącza skanowanie na zamapowanych dyskach sieciowych.
    • Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić ustawienia.
    • Tak — włącza skanowanie zamapowanych dysków sieciowych. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.

  • Uruchom codzienne szybkie skanowanie pod adresem
    Zasady zabezpieczeń zawartości: ScheduleQuickScanTime

    Wybierz godzinę uruchomienia szybkiego skanowania usługi Defender. To ustawienie ma zastosowanie tylko wtedy, gdy urządzenie uruchamia szybkie skanowanie i nie wchodzi w interakcje z następującymi trzema ustawieniami:

    • Typ skanowania
    • Dzień tygodnia na uruchomienie zaplanowanego skanowania
    • Godzina uruchomienia zaplanowanego skanowania

    Domyślnie polecenie Uruchom codzienne szybkie skanowanie pod adresem ma wartość Nieskonfigurowane.

  • Typ skanowania
    Dostawca usług kryptograficznych: ScanParameter

    Wybierz typ skanowania uruchamianego przez usługę Defender. To ustawienie współdziała z ustawieniami Dzień tygodnia w celu uruchomienia zaplanowanego skanowania i godziny w celu uruchomienia zaplanowanego skanowania.

    • Nie skonfigurowano (wartość domyślna)
    • Szybkie skanowanie
    • Pełne skanowanie

  • Dzień tygodnia na uruchomienie zaplanowanego skanowania

    • Nie skonfigurowano (wartość domyślna)

  • Godzina uruchomienia zaplanowanego skanowania

    • Nie skonfigurowano (wartość domyślna)

  • Sprawdzanie dostępności aktualizacji podpisu przed uruchomieniem skanowania

    • Nie skonfigurowano (wartość domyślna)
    • Nie
    • Tak

Aktualizacje

Te ustawienia są dostępne w następujących profilach:

  • Program antywirusowy Microsoft Defender

Ustawienia:

  • Wprowadź częstotliwość (0–24 godziny) sprawdzania dostępności aktualizacji analizy zabezpieczeń
    Zasady zabezpieczeń zawartości: SignatureUpdateInterval

    Określ interwał od zera do 24 (w godzinach), który jest używany do sprawdzania pod kątem podpisów. Wartość zero powoduje brak sprawdzania nowych podpisów. Wartość 2 będzie sprawdzana co dwie godziny itd.

  • Definiowanie udziałów plików na potrzeby pobierania aktualizacji definicji
    Zasady zabezpieczeń zawartości: SignatureUpdateFallbackOrder

    Zarządzaj lokalizacjami, takimi jak udział plików UNC, jako lokalizacją źródłową pobierania, aby uzyskać aktualizacje definicji. Po pomyślnym pobraniu aktualizacji definicji z określonego źródła nie będzie można skontaktować się z pozostałymi źródłami na liście.

    Możesz dodać pojedyncze lokalizacje lub zaimportować listę lokalizacji jako plik .csv.

  • Definiowanie kolejności źródeł pobierania aktualizacji definicji
    Zasady zabezpieczeń zawartości: SignatureUpdateFileSharesSources

    Określ, w której kolejności należy skontaktować się z określonymi lokalizacjami źródłowymi, aby uzyskać aktualizacje definicji. Po pomyślnym pobraniu aktualizacji definicji z jednego określonego źródła nie będzie można skontaktować się z pozostałymi źródłami na liście.

Środowisko użytkownika

Te ustawienia są dostępne w następujących profilach:

  • Program antywirusowy Microsoft Defender

Ustawienia:

  • Zezwalaj użytkownikowi na dostęp do aplikacji Microsoft Defender
    Zasady zabezpieczeń zawartości: AllowUserUIAccess

  • Nieskonfigurowane (ustawienie domyślne) — ustawienie zwraca wartość domyślną klienta, w której interfejs użytkownika i powiadomienia są dozwolone.

  • Nie — interfejs użytkownika usługi Defender jest niedostępny, a powiadomienia są pomijane.

  • Tak