Ustaw preferencje dla ochrony punktu końcowego usługi Microsoft Defender w systemie macOS
Dotyczy:
- Usługa ochrony punktu końcowego w usłudze Microsoft Defender w systemie macOS
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
Ważna
Ten artykuł zawiera instrukcje dotyczące ustawiania preferencji dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS w organizacjach przedsiębiorstwa. Aby skonfigurować Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS przy użyciu interfejsu wiersza polecenia, zobacz Zasoby.
Podsumowanie
W organizacjach przedsiębiorstwa Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS można zarządzać za pomocą profilu konfiguracji wdrożonego przy użyciu jednego z kilku narzędzi do zarządzania. Preferencje zarządzane przez zespół ds. operacji zabezpieczeń mają pierwszeństwo przed preferencjami ustawionymi lokalnie na urządzeniu. Zmiana preferencji ustawionych za pośrednictwem profilu konfiguracji wymaga eskalowanych uprawnień i nie jest dostępna dla użytkowników bez uprawnień administracyjnych.
W tym artykule opisano strukturę profilu konfiguracji, zawiera zalecany profil, którego można użyć do rozpoczęcia pracy, i zawiera instrukcje dotyczące sposobu wdrażania profilu.
Struktura profilu konfiguracji
Profil konfiguracji to plik plist , który składa się z wpisów zidentyfikowanych przez klucz (co oznacza nazwę preferencji), a następnie wartość, która zależy od charakteru preferencji. Wartości mogą być proste (takie jak wartość liczbowa) lub złożone, takie jak zagnieżdżona lista preferencji.
Uwaga
Układ profilu konfiguracji zależy od używanej konsoli zarządzania. Poniższe sekcje zawierają przykłady profilów konfiguracji dla narzędzi JAMF i Intune.
Najwyższy poziom profilu konfiguracji zawiera preferencje dla całego produktu i wpisy dla obszarów podrzędnych Ochrona punktu końcowego w usłudze Microsoft Defender, które zostały szczegółowo wyjaśnione w następnych sekcjach.
Preferencje aparatu antywirusowego
Sekcja antivirusEngine profilu konfiguracji służy do zarządzania preferencjami składnika antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | antivirusEngine |
| Typ danych | Słownik (preferencja zagnieżdżona) |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Poziom wymuszania dla aparatu antywirusowego
Określa preferencje wymuszania aparatu antywirusowego. Istnieją trzy wartości dotyczące ustawiania poziomu wymuszania:
- W czasie rzeczywistym (
real_time): włączono ochronę w czasie rzeczywistym (skanuj pliki w miarę uzyskiwania dostępu). - Na żądanie (
on_demand): pliki są skanowane tylko na żądanie. W tym:- Ochrona w czasie rzeczywistym jest wyłączona.
- Pasywne (
passive): uruchamia aparat antywirusowy w trybie pasywnym. W tym:- Ochrona w czasie rzeczywistym jest wyłączona.
- Skanowanie na żądanie jest włączone.
- Automatyczne korygowanie zagrożeń jest wyłączone.
- Aktualizacje analizy zabezpieczeń są włączone.
- Ikona menu stanu jest ukryta.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | enforcementLevel |
| Typ danych | Ciąg |
| Dopuszczalne wartości | real_time (wartość domyślna) on_demand Pasywne |
| Komentarze | Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji 101.10.72 lub nowszej. |
Konfigurowanie funkcji obliczania skrótów plików
Włącza lub wyłącza funkcję obliczania skrótów plików. Po włączeniu tej funkcji usługa Defender for Endpoint oblicza skróty skanowane plików, aby umożliwić lepsze dopasowanie do reguł wskaźnika. W systemie macOS tylko skrypt i pliki Mach-O (32 i 64-bitowe) są brane pod uwagę w przypadku tego obliczenia skrótu (z aparatu w wersji 1.1.20000.2 lub nowszej). Należy pamiętać, że włączenie tej funkcji może mieć wpływ na wydajność urządzenia. Aby uzyskać więcej informacji, zobacz: Twórca wskaźniki dla plików.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | enableFileHashComputation |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości | false (wartość domyślna) True |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.86.81 lub nowszej. |
Uruchamianie skanowania po zaktualizowaniu definicji
Określa, czy należy rozpocząć skanowanie procesu po pobraniu nowych aktualizacji analizy zabezpieczeń na urządzeniu. Włączenie tego ustawienia powoduje uruchomienie skanowania antywirusowego w uruchomionych procesach urządzenia.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | scanAfterDefinitionUpdate |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości | true (wartość domyślna) False |
| Komentarze | Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji 101.41.10 lub nowszej. |
Skanuj archiwa (tylko skanowanie antywirusowe na żądanie)
Określa, czy skanować archiwa podczas skanowania antywirusowego na żądanie.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | scanArchives |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości | true (wartość domyślna) False |
| Komentarze | Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji 101.41.10 lub nowszej. |
Stopień równoległości skanowania na żądanie
Określa stopień równoległości skanowania na żądanie. Odpowiada to liczbie wątków używanych do skanowania i wpływa na użycie procesora CPU, a także czas trwania skanowania na żądanie.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | maximumOnDemandScanThreads |
| Typ danych | Liczba całkowita |
| Dopuszczalne wartości | 2 (wartość domyślna). Dozwolone wartości to liczby całkowite z zakresu od 1 do 64. |
| Komentarze | Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji 101.41.10 lub nowszej. |
Zasady scalania wykluczeń
Określ zasady scalania dla wykluczeń. Może to być kombinacja wykluczeń zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge) lub tylko wykluczeń zdefiniowanych przez administratora (admin_only). To ustawienie może służyć do ograniczania użytkownikom lokalnym definiowania własnych wykluczeń.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | exclusionsMergePolicy |
| Typ danych | Ciąg |
| Dopuszczalne wartości | scalanie (domyślne) admin_only |
| Komentarze | Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji 100.83.73 lub nowszej. |
Wykluczeń skanowania
Określ jednostki wykluczone ze skanowania. Wykluczenia można określić za pomocą pełnych ścieżek, rozszerzeń lub nazw plików. (Wykluczenia są określane jako tablica elementów, administrator może określić dowolną liczbę elementów w dowolnej kolejności).
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | Wykluczenia |
| Typ danych | Słownik (preferencja zagnieżdżona) |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Typ wykluczenia
Określ zawartość wykluczoną ze skanowania według typu.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | $type |
| Typ danych | Ciąg |
| Dopuszczalne wartości | excludedPath excludedFileExtension excludedFileName |
Ścieżka do wykluczonej zawartości
Określ zawartość wykluczoną ze skanowania za pomocą pełnej ścieżki pliku.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | Ścieżka |
| Typ danych | Ciąg |
| Dopuszczalne wartości | prawidłowe ścieżki |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest excludedPath |
Obsługiwane typy wykluczeń
W poniższej tabeli przedstawiono typy wykluczeń obsługiwane przez usługę Defender dla punktu końcowego na komputerze Mac.
| Wykluczenia | Definicja | Przykłady |
|---|---|---|
| Formatem | Wszystkie pliki z rozszerzeniem w dowolnym miejscu na urządzeniu | .test |
| Plik | Określony plik zidentyfikowany za pomocą pełnej ścieżki | /var/log/test.log |
| Folder | Wszystkie pliki w określonym folderze (cyklicznie) | /var/log/ |
| Proces | Określony proces (określony przez pełną ścieżkę lub nazwę pliku) i wszystkie otwarte przez niego pliki | /bin/cat |
Ważna
Powyższe ścieżki muszą być twardymi linkami, a nie linkami symbolicznymi, aby można je było pomyślnie wykluczyć. Możesz sprawdzić, czy ścieżka jest linkiem symbolicznym, uruchamiając polecenie file <path-name>.
Wykluczenia plików, folderów i procesów obsługują następujące symbole wieloznaczne:
| Symbol wieloznaczny | Opis | Przykład | Dopasowania | Nie pasuje |
|---|---|---|---|---|
| * | Dopasowuje dowolną liczbę znaków, w tym brak (należy pamiętać, że gdy ten symbol wieloznaczny jest używany wewnątrz ścieżki, zastąpi tylko jeden folder) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | Dopasowuje dowolny pojedynczy znak | file?.log |
file1.log |
file123.log |
Typ ścieżki (plik/katalog)
Określ, czy właściwość path odwołuje się do pliku lub katalogu.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | isDirectory |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości | false (wartość domyślna) True |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest excludedPath |
Rozszerzenie pliku wykluczone ze skanowania
Określ zawartość wykluczoną ze skanowania przez rozszerzenie pliku.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | Rozszerzenie |
| Typ danych | Ciąg |
| Dopuszczalne wartości | prawidłowe rozszerzenia plików |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest wykluczoneFileExtension |
Proces wykluczony ze skanowania
Określ proces, dla którego wszystkie działania plików są wykluczone ze skanowania. Proces można określić za pomocą jego nazwy (na przykład cat) lub pełnej ścieżki (na przykład /bin/cat).
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | Nazwa |
| Typ danych | Ciąg |
| Dopuszczalne wartości | dowolny ciąg |
| Komentarze | Dotyczy tylko wtedy, gdy $type jest wykluczoneFileName |
Dozwolone zagrożenia
Określ zagrożenia według nazwy, które nie są blokowane przez usługę Defender dla punktu końcowego na komputerze Mac. Te zagrożenia będą mogły działać.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | allowedThreats |
| Typ danych | Tablica ciągów |
Niedozwolone akcje zagrożeń
Ogranicza akcje, które może wykonać lokalny użytkownik urządzenia po wykryciu zagrożeń. Akcje zawarte na tej liście nie są wyświetlane w interfejsie użytkownika.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | disallowedThreatActions |
| Typ danych | Tablica ciągów |
| Dopuszczalne wartości | zezwalaj (ogranicza użytkownikom możliwość zezwalania na zagrożenia) przywracanie (ogranicza użytkownikom możliwość przywracania zagrożeń z kwarantanny) |
| Komentarze | Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji 100.83.73 lub nowszej. |
Ustawienia typu zagrożenia
Określ, jak niektóre typy zagrożeń są obsługiwane przez Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | threatTypeSettings |
| Typ danych | Słownik (preferencja zagnieżdżona) |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Typ zagrożenia
Określ typy zagrożeń.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | Klucz |
| Typ danych | Ciąg |
| Dopuszczalne wartości | potentially_unwanted_application archive_bomb |
Akcja do wykonania
Określ, jaką akcję należy wykonać w przypadku wykrycia zagrożenia typu określonego w poprzedniej sekcji. Wybierz jedną z następujących opcji:
- Inspekcja: urządzenie nie jest chronione przed tego typu zagrożeniem, ale wpis dotyczący zagrożenia jest rejestrowany.
- Blokuj: urządzenie jest chronione przed tego typu zagrożeniem i otrzymasz powiadomienie w interfejsie użytkownika i konsoli zabezpieczeń.
- Wyłączone: urządzenie nie jest chronione przed tego typu zagrożeniem i nic nie jest rejestrowane.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | Wartość |
| Typ danych | Ciąg |
| Dopuszczalne wartości | audit (wartość domyślna) Bloku wyłączone |
Zasady scalania ustawień typu zagrożenia
Określ zasady scalania dla ustawień typu zagrożenia. Może to być kombinacja ustawień zdefiniowanych przez administratora i zdefiniowanych przez użytkownika (merge) lub tylko ustawień zdefiniowanych przez administratora (admin_only). To ustawienie może służyć do ograniczania użytkownikom lokalnym możliwości definiowania własnych ustawień dla różnych typów zagrożeń.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | threatTypeSettingsMergePolicy |
| Typ danych | Ciąg |
| Dopuszczalne wartości | scalanie (domyślne) admin_only |
| Komentarze | Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji 100.83.73 lub nowszej. |
Przechowywanie historii skanowania antywirusowego (w dniach)
Określ liczbę dni przechowywania wyników w historii skanowania na urządzeniu. Stare wyniki skanowania są usuwane z historii. Stare pliki poddane kwarantannie, które również są usuwane z dysku.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | scanResultsRetentionDays |
| Typ danych | Ciąg |
| Dopuszczalne wartości | 90 (wartość domyślna). Dozwolone wartości to od 1 dnia do 180 dni. |
| Komentarze | Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji 101.07.23 lub nowszej. |
Maksymalna liczba elementów w historii skanowania antywirusowego
Określ maksymalną liczbę wpisów do zachowania w historii skanowania. Wpisy obejmują wszystkie skany na żądanie wykonywane w przeszłości i wszystkie wykrycia antywirusowe.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | scanHistoryMaximumItems |
| Typ danych | Ciąg |
| Dopuszczalne wartości | 10000 (wartość domyślna). Dozwolone wartości to od 5000 do 15000 elementów. |
| Komentarze | Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji 101.07.23 lub nowszej. |
Preferencje ochrony dostarczanej w chmurze
Konfigurowanie funkcji ochrony opartej na chmurze Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | cloudService |
| Typ danych | Słownik (preferencja zagnieżdżona) |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Włączanie/wyłączanie ochrony dostarczanej w chmurze
Określ, czy należy włączyć ochronę dostarczaną przez chmurę na urządzeniu, czy też nie. Aby zwiększyć bezpieczeństwo usług, zalecamy włączenie tej funkcji.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | Włączone |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości | true (wartość domyślna) False |
Poziom kolekcji diagnostycznej
Dane diagnostyczne służą do zapewniania Ochrona punktu końcowego w usłudze Microsoft Defender bezpieczeństwa i aktualności, wykrywania, diagnozowania i rozwiązywania problemów, a także wprowadzania ulepszeń produktu. To ustawienie określa poziom diagnostyki wysyłanej przez Ochrona punktu końcowego w usłudze Microsoft Defender do firmy Microsoft.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | diagnosticLevel |
| Typ danych | Ciąg |
| Dopuszczalne wartości | opcjonalne (domyślne) Wymagane |
Konfigurowanie poziomu bloku chmury
To ustawienie określa, jak agresywna usługa Defender dla punktu końcowego będzie blokować i skanować podejrzane pliki. Jeśli to ustawienie jest włączone, usługa Defender dla punktu końcowego będzie bardziej agresywna podczas identyfikowania podejrzanych plików do zablokowania i skanowania; w przeciwnym razie będzie mniej agresywny, a zatem blokuj i skanuj z mniejszą częstotliwością. Istnieje pięć wartości dotyczących ustawiania poziomu bloku chmury:
- Normalny (
normal): domyślny poziom blokowania. - Umiarkowane (
moderate): Dostarcza werdykt tylko w przypadku wykrywania wysokiej ufności. - Wysoka (
high): Agresywnie blokuje nieznane pliki, optymalizując pod kątem wydajności (większe prawdopodobieństwo zablokowania nie szkodliwych plików). - Wysoki plus (
high_plus): agresywnie blokuje nieznane pliki i stosuje dodatkowe środki ochrony (może mieć wpływ na wydajność urządzenia klienckiego). - Zero tolerancji (
zero_tolerance): blokuje wszystkie nieznane programy.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | cloudBlockLevel |
| Typ danych | Ciąg |
| Dopuszczalne wartości | normalny (domyślny) Umiarkowane Wysokiej high_plus zero_tolerance |
| Komentarze | Dostępne w usłudze Defender for Endpoint w wersji 101.56.62 lub nowszej. |
Włączanie/wyłączanie automatycznych przesyłania przykładów
Określa, czy podejrzane próbki (które mogą zawierać zagrożenia) są wysyłane do firmy Microsoft. Zostanie wyświetlony monit, jeśli przesłany plik prawdopodobnie będzie zawierać dane osobowe.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | automaticSampleSubmission |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości | true (wartość domyślna) False |
Włączanie/wyłączanie automatycznych aktualizacji analizy zabezpieczeń
Określa, czy aktualizacje analizy zabezpieczeń są instalowane automatycznie:
| Sekcji | Value |
|---|---|
| Klucz | automaticDefinitionUpdateEnabled |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości | true (wartość domyślna) False |
Preferencje interfejsu użytkownika
Zarządzaj preferencjami interfejsu użytkownika Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | userInterface |
| Typ danych | Słownik (preferencja zagnieżdżona) |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Ikona menu Pokaż/ukryj stan
Określ, czy ma być wyświetlana lub ukrywana ikona menu stanu w prawym górnym rogu ekranu.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | hideStatusMenuIcon |
| Typ danych | Wartość logiczna |
| Dopuszczalne wartości | false (wartość domyślna) True |
Pokaż/ukryj opcję wysyłania opinii
Określ, czy użytkownicy mogą przesyłać opinie do firmy Microsoft, przechodząc do pozycji Help>Send Feedback.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | userInitiatedFeedback |
| Typ danych | Ciąg |
| Dopuszczalne wartości | włączone (ustawienie domyślne) Wyłączone |
| Komentarze | Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji 101.19.61 lub nowszej. |
Kontrolowanie logowania do wersji użytkownika Microsoft Defender
Określ, czy użytkownicy mogą zalogować się do wersji konsumenta Microsoft Defender.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | consumerExperience |
| Typ danych | Ciąg |
| Dopuszczalne wartości | włączone (ustawienie domyślne) Wyłączone |
| Komentarze | Dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender wersji 101.60.18 lub nowszej. |
Preferencje wykrywania i reagowania punktów końcowych
Zarządzaj preferencjami składnika wykrywania i reagowania punktu końcowego (EDR) Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | Edr |
| Typ danych | Słownik (preferencja zagnieżdżona) |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Tagi urządzeń
Określ nazwę tagu i jego wartość.
- Tag GROUP oznacza urządzenie z określoną wartością. Tag jest odzwierciedlany w portalu pod stroną urządzenia i może służyć do filtrowania i grupowania urządzeń.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | Tagi |
| Typ danych | Słownik (preferencja zagnieżdżona) |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Typ tagu
Określa typ tagu
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | Klucz |
| Typ danych | Ciąg |
| Dopuszczalne wartości | GROUP |
Wartość tagu
Określa wartość tagu
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | Wartość |
| Typ danych | Ciąg |
| Dopuszczalne wartości | dowolny ciąg |
Ważna
- Można ustawić tylko jedną wartość na typ tagu.
- Typ tagów jest unikatowy i nie powinien być powtarzany w tym samym profilu konfiguracji.
Identyfikator grupy
Identyfikatory grupy EDR
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | identyfikatory grup |
| Typ danych | Ciąg |
| Komentarze | Identyfikator grupy |
Ochrona przed naruszeniami
Zarządzaj preferencjami składnika ochrony przed naruszeniami Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | tamperProtection |
| Typ danych | Słownik (preferencja zagnieżdżona) |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Poziom wymuszania
Jeśli ochrona przed naruszeniami jest włączona i jeśli jest w trybie ścisłym
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | enforcementLevel |
| Typ danych | Ciąg |
| Komentarze | Jeden z "wyłączonych", "inspekcji" lub "bloku" |
Możliwe wartości:
- disabled — ochrona przed naruszeniami jest wyłączona, nie ma możliwości zapobiegania atakom ani zgłaszania do chmury
- audit — usługa Tamper Protection zgłasza próby naruszenia tylko chmury, ale nie blokuje ich
- block — ochrona przed naruszeniami blokuje i zgłasza ataki na chmurę
Wykluczenia
Definiuje procesy, które mogą zmieniać zasób Microsoft Defender bez rozważania naruszenia. Należy podać ścieżkę, identyfikator zespołu lub identyfikator signingId albo ich kombinację. Ponadto można podać usługę Args, aby dokładniej określić dozwolony proces.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | Wykluczenia |
| Typ danych | Słownik (preferencja zagnieżdżona) |
| Komentarze | Opis zawartości słownika można znaleźć w poniższych sekcjach. |
Ścieżka
Dokładna ścieżka pliku wykonywalnego procesu.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | Ścieżka |
| Typ danych | Ciąg |
| Komentarze | W przypadku skryptu powłoki będzie to dokładna ścieżka do pliku binarnego interpretera, np. /bin/zsh. Brak dozwolonych symboli wieloznacznych. |
Identyfikator zespołu
"Identyfikator zespołu" dostawcy firmy Apple.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | teamId |
| Typ danych | Ciąg |
| Komentarze | Na przykład UBF8T346G9 w przypadku firmy Microsoft |
Identyfikator podpisywania
"Identyfikator podpisywania" pakietu firmy Apple.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | signingId |
| Typ danych | Ciąg |
| Komentarze | Na przykład com.apple.ruby dla interpretera języka Ruby |
Argumenty procesu
Używany w połączeniu z innymi parametrami w celu zidentyfikowania procesu.
| Sekcji | Value |
|---|---|
| Domain (Domena) | com.microsoft.wdav |
| Klucz | signingId |
| Typ danych | Tablica ciągów |
| Komentarze | Jeśli zostanie określony, argument procesu musi dokładnie odpowiadać tym argumentom, uwzględniając wielkość liter |
Zalecany profil konfiguracji
Aby rozpocząć pracę, zalecamy poniższą konfigurację dla przedsiębiorstwa, aby korzystać ze wszystkich funkcji ochrony, które Ochrona punktu końcowego w usłudze Microsoft Defender zapewnia.
Następujący profil konfiguracji (lub w przypadku narzędzia JAMF lista właściwości, którą można przekazać do profilu konfiguracji ustawień niestandardowych) będzie następująca:
- Włączanie ochrony w czasie rzeczywistym (RTP)
- Określ sposób obsługi następujących typów zagrożeń:
- Potencjalnie niechciane aplikacje (PUA) są blokowane
- Bomby archiwalne (plik o wysokiej szybkości kompresji) są poddawane inspekcji w celu Ochrona punktu końcowego w usłudze Microsoft Defender dzienników
- Włączanie automatycznych aktualizacji analizy zabezpieczeń
- Włączanie ochrony dostarczanej w chmurze
- Włączanie automatycznego przesyłania przykładów
Lista właściwości zalecanego profilu konfiguracji JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Intune zalecany profil
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
Przykład pełnego profilu konfiguracji
Poniższe szablony zawierają wpisy dla wszystkich ustawień opisanych w tym dokumencie i mogą być używane w bardziej zaawansowanych scenariuszach, w których chcesz mieć większą kontrolę nad Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.
Lista właściwości dla pełnego profilu konfiguracji JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Intune pełny profil
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Sprawdzanie poprawności listy właściwości
Lista właściwości musi być prawidłowym plikiem plist . Można to sprawdzić, wykonując następujące czynności:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Jeśli plik jest dobrze sformułowany, powyższe polecenie generuje dane wyjściowe OK i zwraca kod zakończenia .0 W przeciwnym razie zostanie wyświetlony błąd opisujący problem, a polecenie zwróci kod zakończenia .1
Wdrażanie profilu konfiguracji
Po utworzeniu profilu konfiguracji dla przedsiębiorstwa można go wdrożyć za pośrednictwem konsoli zarządzania używanej przez przedsiębiorstwo. Poniższe sekcje zawierają instrukcje dotyczące wdrażania tego profilu przy użyciu narzędzia JAMF i Intune.
Wdrożenie JAMF
W konsoli JAMF otwórz pozycjęProfile konfiguracjikomputerów>, przejdź do profilu konfiguracji, którego chcesz użyć, a następnie wybierz pozycję Ustawienia niestandardowe. Twórca wpis jako com.microsoft.wdav domenę preferencji i przekaż utworzony wcześniej plik plist.
Uwaga
Musisz wprowadzić poprawną domenę preferencji (com.microsoft.wdav); w przeciwnym razie preferencje nie zostaną rozpoznane przez Ochrona punktu końcowego w usłudze Microsoft Defender.
wdrożenie Intune
Otwórzprofile konfiguracjiurządzeń>. Wybierz pozycję Twórca Profil.
Wybierz nazwę profilu. Zmień wartość Platform=macOS na Typ profilu=Szablony i wybierz pozycję Niestandardowe w sekcji nazwa szablonu. Wybierz pozycję Konfiguruj.
Zapisz plik plist utworzony wcześniej jako
com.microsoft.wdav.xml.Wprowadź
com.microsoft.wdavjako niestandardową nazwę profilu konfiguracji.Otwórz profil konfiguracji i przekaż
com.microsoft.wdav.xmlplik. (Ten plik został utworzony w kroku 3).Wybierz przycisk OK.
Wybierz pozycję Zarządzaj>przydziałami. Na karcie Dołączanie wybierz pozycję Przypisz do wszystkich użytkowników & wszystkie urządzenia.
Uwaga
Musisz wprowadzić poprawną niestandardową nazwę profilu konfiguracji; W przeciwnym razie te preferencje nie zostaną rozpoznane przez Ochrona punktu końcowego w usłudze Microsoft Defender.
Zasoby
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla