Wyświetlanie lub edytowanie zasad w Microsoft Defender dla Firm

W usłudze Defender dla firm ustawienia zabezpieczeń są konfigurowane za pomocą zasad stosowanych do urządzeń. Aby uprościć konfigurację i środowisko konfiguracji, usługa Defender dla firm zawiera kilka wstępnie skonfigurowanych zasad, które ułatwiają ochronę urządzeń firmy zaraz po ich dołączeniu. Istnieją również inne typy zasad, które można utworzyć (zobacz Konfigurowanie, przeglądanie i edytowanie zasad zabezpieczeń i ustawień w Microsoft Defender dla Firm).

W tym artykule opisano sposób wyświetlania, edytowania i tworzenia zasad zabezpieczeń w usłudze Defender dla firm.

Ten artykuł zawiera:

• Lista domyślnych zasad uwzględnionych w usłudze Defender dla Firm (ochrona następnej generacji i zapora)
• Dodatkowe zasady, które można skonfigurować w usłudze Defender for Business (filtrowanie zawartości sieci Web, kontrolowany dostęp do folderów i reguły zmniejszania obszaru podatnego na ataki)
• Jak wyświetlić istniejące zasady
• Jak edytować istniejące zasady
• Jak utworzyć nowe zasady

Zasady domyślne w usłudze Defender dla Firm

W usłudze Defender dla firm istnieją dwa główne typy domyślnych zasad, które mają na celu ochronę urządzeń firmy zaraz po ich dołączeniu:

• Zasady ochrony nowej generacji, które określają sposób konfigurowania programu antywirusowego Microsoft Defender i innych funkcji ochrony przed zagrożeniami; i
• Zasady zapory, które określają, jaki ruch sieciowy może przepływać do i z urządzeń firmy.

Ochrona nowej generacji obejmuje niezawodne oprogramowanie antywirusowe i ochronę przed złośliwym kodem dla komputerów i urządzeń przenośnych. Zasady domyślne mają na celu ochronę urządzeń i użytkowników bez ograniczania produktywności. Można jednak dostosować zasady do własnych potrzeb biznesowych. Aby uzyskać więcej informacji, zobacz Przeglądanie lub edytowanie zasad ochrony nowej generacji.

Zasady zapory pomagają zabezpieczyć urządzenia, ustanawiając reguły określające, jaki ruch sieciowy może przepływać do i z urządzeń. Za pomocą ochrony zapory można określić, czy zezwalać na połączenia na urządzeniach w różnych lokalizacjach, czy blokować je. Na przykład ustawienia zapory mogą zezwalać na połączenia przychodzące na urządzeniach połączonych z siecią wewnętrzną firmy, ale uniemożliwiają nawiązywanie połączeń, gdy urządzenie znajduje się w sieci z niezaufanymi urządzeniami. Aby uzyskać więcej informacji, zobacz Zapora.

Zasady do skonfigurowania w usłudze Defender dla Firm

Oprócz zasad ochrony i zapory nowej generacji istnieją trzy inne typy zasad, które umożliwiają skonfigurowanie najlepszej ochrony za pomocą usługi Defender dla firm:

• Filtrowanie zawartości internetowej, które włącza ochronę sieci Web w organizacji.
• Kontrolowany dostęp do folderów, który jest ważną częścią ochrony przed oprogramowaniem wymuszającym okup (usługa Intune jest wymagana do skonfigurowania i zarządzania)
• Reguły zmniejszania obszaru ataków, które pomagają zmniejszyć lukę w zabezpieczeniach urządzenia (usługa Intune jest wymagana do skonfigurowania i zarządzania)

Filtrowanie zawartości internetowej, które umożliwia zespołowi ds. zabezpieczeń śledzenie i regulowanie dostępu do witryn internetowych na podstawie kategorii zawartości. Przykłady kategorii obejmują zawartość dla dorosłych, zawartość o wysokiej przepustowości i zawartość odpowiedzialności prawnej. Podczas konfigurowania zasad filtrowania zawartości internetowej włączasz ochronę sieci Web dla swojej organizacji. Aby uzyskać więcej informacji, zobacz Filtrowanie zawartości sieci Web.

Kontrolowany dostęp do folderów umożliwia tylko zaufanym aplikacjom dostęp do chronionych folderów na urządzeniach z systemem Windows. Tę możliwość należy traktować jako ograniczenie ryzyka wymuszania okupu. Zasady dostępu do kontrolowanych folderów można skonfigurować lub edytować w Microsoft Intune. Aby uzyskać więcej informacji, zobacz Konfigurowanie lub edytowanie zasad dostępu do kontrolowanych folderów.

Reguły zmniejszania obszaru ataków dotyczą pewnych zachowań oprogramowania, które są często uważane za ryzykowne, ponieważ są często nadużywane przez osoby atakujące za pośrednictwem złośliwego oprogramowania. Przykłady takich zachowań obejmują uruchamianie plików wykonywalnych i skryptów, które próbują pobrać lub uruchomić pliki. Reguły zmniejszania obszaru podatnego na ataki mogą ograniczać ryzykowne zachowania oparte na oprogramowaniu i pomagać w zachowaniu bezpieczeństwa organizacji. Zalecamy co najmniej skonfigurowanie standardowych reguł ochrony w celu ochrony sieci bez powodowania zakłóceń dla użytkowników. Aby uzyskać więcej informacji, zobacz Włączanie reguł zmniejszania obszaru ataków w Microsoft Defender dla Firm.

Uwaga

Usługa Intune jest wymagana do skonfigurowania reguł kontrolowanego dostępu do folderów i zmniejszania obszaru podatnego na ataki. Usługa Intune nie jest uwzględniona w autonomicznej wersji usługi Defender dla Firm, ale można ją dodać do subskrypcji.

Wyświetlanie istniejących zasad

Istniejące zasady można wyświetlić w portalu Microsoft Defender (https://security.microsoft.com) lub w centrum administracyjnym usługi Intune (https://intune.microsoft.com) (jeśli używasz usługi Intune).

portal Microsoft Defender

1. Przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się.

2. W okienku nawigacji wybierz pozycję Zarządzanie konfiguracją Konfiguracja>urządzenia. Zasady są zorganizowane według systemu operacyjnego (takiego jak klient systemu Windows) i typu zasad (takich jak ochrona następnej generacji i zapora).

3. Wybierz kartę systemu operacyjnego (na przykład klienci systemu Windows), a następnie przejrzyj listę zasad w każdej kategorii (na przykład ochrona następnej generacji i zapora).

4. Aby wyświetlić więcej szczegółów dotyczących zasad, wybierz jej nazwę. Zostanie otwarte okienko boczne, które zawiera więcej informacji o tych zasadach, takich jak urządzenia chronione przez te zasady.

Centrum administracyjne usługi Intune

1. Przejdź do centrum administracyjnego usługi Intune (https://intune.microsoft.com/) i zaloguj się.

2. W okienku nawigacji wybierz pozycję Zabezpieczenia punktu końcowego, a następnie wybierz kategorię, taką jak Oprogramowanie antywirusowe, Zapora. lub zmniejszanie obszaru podatnego na ataki.

3. Wszystkie istniejące zasady są wyświetlane dla wybranej kategorii. Aby wyświetlić więcej szczegółów dotyczących zasad, wybierz jej nazwę.

Edytowanie istniejących zasad

Istniejące zasady można wyświetlić w portalu Microsoft Defender (https://security.microsoft.com) lub w centrum administracyjnym usługi Intune (https://intune.microsoft.com) (jeśli używasz usługi Intune).

portal Microsoft Defender

1. Przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się.

2. W okienku nawigacji wybierz pozycję Konfiguracja urządzenia. Zasady są zorganizowane według systemu operacyjnego (takiego jak klient systemu Windows) i typu zasad (takich jak ochrona następnej generacji i zapora).

3. Wybierz kartę systemu operacyjnego (na przykład klienci systemu Windows), a następnie przejrzyj listę zasad w kategoriach Ochrona następnej generacji i Zapora .

4. Aby edytować zasady, wybierz jej nazwę, a następnie wybierz pozycję Edytuj.

5. Na karcie Informacje ogólne przejrzyj informacje. W razie potrzeby możesz edytować opis. Następnie wybierz pozycję Dalej.

6. Na karcie Grupy urządzeń określ, które grupy urządzeń powinny otrzymywać te zasady.

   • Aby zachować wybraną grupę urządzeń w następującym stanie, wybierz pozycję Dalej.
   • Aby usunąć grupę urządzeń z zasad, wybierz pozycję Usuń.
   • Aby skonfigurować nową grupę urządzeń, wybierz pozycję Utwórz nową grupę, a następnie skonfiguruj grupę urządzeń. (Aby uzyskać pomoc dotyczącą tego zadania, zobacz Grupy urządzeń).
   • Aby zastosować zasady do innej grupy urządzeń, wybierz pozycję Użyj istniejącej grupy.

   Po określeniu, które grupy urządzeń powinny otrzymywać zasady, wybierz pozycję Dalej.

7. Na karcie Ustawienia konfiguracji przejrzyj ustawienia. W razie potrzeby można edytować ustawienia zasad. Aby uzyskać pomoc dotyczącą tego zadania, zobacz następujące artykuły:

   • Omówienie ustawień konfiguracji następnej generacji
   • Ustawienia zapory

   Po określeniu ustawień ochrony nowej generacji wybierz pozycję Dalej.

8. Na karcie Przeglądanie zasad zapoznaj się z ogólnymi informacjami, urządzeniami docelowymi i ustawieniami konfiguracji.

   • Wprowadź wszelkie wymagane zmiany, wybierając pozycję Edytuj.
   • Gdy wszystko będzie gotowe do kontynuowania, wybierz pozycję Aktualizuj zasady.

Centrum administracyjne usługi Intune

1. Przejdź do centrum administracyjnego usługi Intune (https://intune.microsoft.com/) i zaloguj się.

2. W okienku nawigacji wybierz pozycję Zabezpieczenia punktu końcowego, a następnie wybierz kategorię, taką jak Oprogramowanie antywirusowe, Zapora. lub zmniejszanie obszaru podatnego na ataki.

3. Na liście znajdują się istniejące zasady. Wybierz zasady, aby wyświetlić więcej szczegółów na ten temat.

4. Obok pozycji Ustawienia konfiguracji wybierz pozycję Edytuj.

   Aby uzyskać pomoc dotyczącą tego zadania, zobacz Edytowanie zasad w usłudze Intune.

Tworzenie nowych zasad

portal Microsoft Defender

1. Przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się.

2. W okienku nawigacji wybierz pozycję Konfiguracja urządzenia. Zasady są zorganizowane według systemu operacyjnego (takiego jak klient systemu Windows) i typu zasad (takich jak ochrona następnej generacji i zapora).

3. Wybierz kartę systemu operacyjnego (na przykład klienci systemu Windows), a następnie przejrzyj listę zasad ochrony następnej generacji .

4. W obszarze Ochrona następnej generacji lub Zapora wybierz pozycję + Dodaj.

5. Na karcie Informacje ogólne wykonaj następujące kroki:

   1. Określ nazwę i opis. Te informacje pomogą Tobie i Twojej drużynie zidentyfikować zasady później.
   2. Przejrzyj kolejność zasad i w razie potrzeby edytuj ją. (Aby uzyskać więcej informacji, zobacz Kolejność zasad).
   3. Wybierz przycisk Dalej.

6. Na karcie Grupy urządzeń utwórz nową grupę urządzeń lub użyj istniejącej grupy. Zasady są przypisywane do urządzeń za pośrednictwem grup urządzeń. Oto kilka kwestii, o których należy pamiętać:

   • Początkowo możesz mieć tylko domyślną grupę urządzeń, która obejmuje urządzenia używane przez osoby w firmie do uzyskiwania dostępu do danych firmowych i poczty e-mail. Możesz zachować domyślną grupę urządzeń i korzystać z niej.
   • Utwórz nową grupę urządzeń, aby zastosować zasady z określonymi ustawieniami, które różnią się od zasad domyślnych.
   • Podczas konfigurowania grupy urządzeń należy określić pewne kryteria, takie jak wersja systemu operacyjnego. Urządzenia spełniające kryteria są uwzględniane w tej grupie urządzeń, chyba że zostaną wykluczone.
   • Wszystkie grupy urządzeń, w tym zdefiniowane domyślne i niestandardowe grupy urządzeń, są przechowywane w Microsoft Entra identyfikatorze.

   Aby dowiedzieć się więcej o grupach urządzeń, zobacz Grupy urządzeń.

7. Na karcie Ustawienia konfiguracji określ ustawienia zasad, a następnie wybierz pozycję Dalej. Aby uzyskać więcej informacji na temat poszczególnych ustawień, zobacz Ustawienia konfiguracji dla usługi Defender dla firm.

8. Na karcie Przeglądanie zasad zapoznaj się z ogólnymi informacjami, urządzeniami docelowymi i ustawieniami konfiguracji.

   • Wprowadź wszelkie wymagane zmiany, wybierając pozycję Edytuj.
   • Gdy wszystko będzie gotowe do kontynuowania, wybierz pozycję Utwórz zasady.

Centrum administracyjne usługi Intune

1. Przejdź do centrum administracyjnego usługi Intune (https://intune.microsoft.com/) i zaloguj się.

2. W okienku nawigacji wybierz pozycję Zabezpieczenia punktu końcowego, a następnie wybierz kategorię, taką jak Oprogramowanie antywirusowe, Zapora. lub zmniejszanie obszaru podatnego na ataki.

3. Wybierz pozycję + Utwórz zasady.

   • Jeśli zasady są przeznaczone dla urządzeń z systemem Windows, na liście Platforma wybierz pozycje Windows 10, Windows 11 i Windows Server.
   • Jeśli twoje zasady są przeznaczone dla komputerów Mac, na liście Platforma wybierz pozycję macOS.

4. Na liście Profil wybierz profil, a następnie wybierz pozycję Utwórz.

   Lista Profil różni się w zależności od tego, co wybrano dla platformy, jak podsumowano w poniższej tabeli:

   Platforma	Profil	Opis
   Windows 10, Windows 11 i Windows Server	Wykluczenia programu antywirusowego Microsoft Defender	Wybierz ten szablon, aby zdefiniować wykluczenia dla programu antywirusowego Microsoft Defender.
   Windows 10, Windows 11 i Windows Server	Program antywirusowy Microsoft Defender	Wybierz ten szablon, aby skonfigurować zasady ochrony nowej generacji.
   Windows 10, Windows 11 i Windows Server	środowisko Zabezpieczenia Windows	Wybierz ten szablon, aby włączyć ochronę przed naruszeniami i skonfigurować, co użytkownicy mogą zobaczyć lub zrobić z aplikacją Zabezpieczenia Windows na swoim komputerze.
   macOS	Antivirus	Wybierz ten szablon, aby skonfigurować zasady ochrony nowej generacji dla urządzeń z systemem macOS.
   Windows 10, Windows 11 i Windows Server	zapora Microsoft Defender	Wybierz ten szablon, aby skonfigurować zasady ochrony zapory.
   Windows 10, Windows 11 i Windows Server	reguły zapory Microsoft Defender	Wybierz ten szablon, aby skonfigurować wyjątki od zasad zapory. Te wyjątki są definiowane za pomocą reguł niestandardowych.
   Windows 10, Windows 11 i Windows Server	Reguły zmniejszania obszaru ataków	Wybierz ten szablon, aby skonfigurować reguły zmniejszania obszaru ataków lub kontrolowany dostęp do folderów.

5. Użyj kreatora, aby skonfigurować zasady. Aby uzyskać pomoc, zobacz Zarządzanie zabezpieczeniami urządzeń przy użyciu zasad zabezpieczeń punktu końcowego w Microsoft Intune.

Zobacz też

• Omówienie kolejności zasad
• Konfigurowanie zasad i ustawień zabezpieczeń