Definir preferências para o Microsoft Defender para Ponto de Extremidade no macOS
Aplica-se a:
- Microsoft Defender para Ponto de Extremidade no macOS
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
Importante
Este artigo contém instruções de como definir preferências para Microsoft Defender para Ponto de Extremidade no macOS em organizações empresariais. Para configurar Microsoft Defender para Ponto de Extremidade no macOS usando a interface de linha de comando, consulte Recursos.
Resumo
Em organizações empresariais, Microsoft Defender para Ponto de Extremidade no macOS pode ser gerenciado por meio de um perfil de configuração implantado usando uma das várias ferramentas de gerenciamento. As preferências gerenciadas pela equipe de operações de segurança têm precedência sobre as preferências definidas localmente no dispositivo. Alterar as preferências definidas por meio do perfil de configuração requer privilégios escalonados e não está disponível para usuários sem permissões administrativas.
Este artigo descreve a estrutura do perfil de configuração, inclui um perfil recomendado que você pode usar para começar e fornece instruções sobre como implantar o perfil.
Estrutura de perfil de configuração
O perfil de configuração é um arquivo .plist que consiste em entradas identificadas por uma chave (que denota o nome da preferência), seguida por um valor, que depende da natureza da preferência. Os valores podem ser simples (como um valor numérico) ou complexos, como uma lista aninhada de preferências.
Cuidado
O layout do perfil de configuração depende do console de gerenciamento que você está usando. As seções a seguir contêm exemplos de perfis de configuração para JAMF e Intune.
O nível superior do perfil de configuração inclui preferências e entradas em todo o produto para subáreas de Microsoft Defender para Ponto de Extremidade, que são explicadas com mais detalhes nas próximas seções.
Preferências do mecanismo antivírus
A seção antivírusEngine do perfil de configuração é usada para gerenciar as preferências do componente antivírus do Microsoft Defender para Ponto de Extremidade.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | antivírusEngine |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as seções a seguir para obter uma descrição do conteúdo do dicionário. |
Nível de imposição do mecanismo antivírus
Especifica a preferência de imposição do mecanismo antivírus. Há três valores para definir o nível de imposição:
- Em tempo real (
real_time): a proteção em tempo real (verificar arquivos conforme eles são acessados) está habilitada. - Sob demanda (
on_demand): os arquivos são verificados somente sob demanda. Neste:- A proteção em tempo real está desativada.
- Passivo (
passive): executa o mecanismo antivírus no modo passivo. Neste:- A proteção em tempo real está desativada.
- A verificação sob demanda está ativada.
- A correção automática de ameaças está desativada.
- As atualizações de inteligência de segurança estão ativadas.
- O ícone de menu status está oculto.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | enforcementLevel |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | real_time (padrão) on_demand Passiva |
| Comentários | Disponível em Microsoft Defender para Ponto de Extremidade versão 101.10.72 ou superior. |
Configurar o recurso de computação de hash de arquivo
Habilita ou desabilita o recurso de computação de hash do arquivo. Quando esse recurso está habilitado, o Defender para Ponto de Extremidade calcula hashes para arquivos que ele verifica para habilitar uma melhor correspondência com as regras de indicador. No macOS, somente o script e os arquivos Mach-O (32 e 64 bits) são considerados para essa computação de hash (da versão do mecanismo 1.1.20000.2 ou superior). Observe que habilitar esse recurso pode afetar o desempenho do dispositivo. Para obter mais detalhes, consulte: Criar indicadores para arquivos.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | enableFileHashComputation |
| Tipo de dados | Booliano |
| Valores possíveis | falso (padrão) verdadeiro |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.86.81 ou superior. |
Executar uma verificação depois que as definições forem atualizadas
Especifica se é necessário iniciar uma verificação de processo depois que novas atualizações de inteligência de segurança forem baixadas no dispositivo. Habilitar essa configuração dispara uma verificação antivírus nos processos em execução do dispositivo.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | scanAfterDefinitionUpdate |
| Tipo de dados | Booliano |
| Valores possíveis | true (padrão) falso |
| Comentários | Disponível no Microsoft Defender para Ponto de Extremidade versão 101.41.10 ou superior. |
Verificar arquivos (somente verificações antivírus sob demanda)
Especifica se é necessário verificar arquivos durante verificações de antivírus sob demanda.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | scanArchives |
| Tipo de dados | Booliano |
| Valores possíveis | true (padrão) falso |
| Comentários | Disponível no Microsoft Defender para Ponto de Extremidade versão 101.41.10 ou superior. |
Grau de paralelismo para exames sob demanda
Especifica o grau de paralelismo para exames sob demanda. Isso corresponde ao número de threads usados para executar a verificação e afeta o uso da CPU, bem como a duração da verificação sob demanda.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | maximumOnDemandScanThreads |
| Tipo de dados | Número inteiro |
| Valores possíveis | 2 (padrão). Os valores permitidos são inteiros entre 1 e 64. |
| Comentários | Disponível no Microsoft Defender para Ponto de Extremidade versão 101.41.10 ou superior. |
Política de mesclagem de exclusão
Especifique a política de mesclagem para exclusões. Isso pode ser uma combinação de exclusões definidas pelo administrador e definidas pelo usuário (merge) ou apenas exclusões definidas pelo administrador (admin_only). Essa configuração pode ser usada para restringir os usuários locais de definir suas próprias exclusões.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | excludesMergePolicy |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | mesclagem (padrão) admin_only |
| Comentários | Disponível no Microsoft Defender para Ponto de Extremidade versão 100.83.73 ou superior. |
Exclusões de verificação
Especifique entidades excluídas de serem examinadas. As exclusões podem ser especificadas por caminhos completos, extensões ou nomes de arquivo. (As exclusões são especificadas como uma matriz de itens, o administrador pode especificar quantos elementos forem necessários, em qualquer ordem.)
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | Exclusões |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as seções a seguir para obter uma descrição do conteúdo do dicionário. |
Tipo de exclusão
Especifique o conteúdo excluído de ser verificado por tipo.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | $type |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | excludeedPath excludeedFileExtension excludeedFileName |
Caminho para conteúdo excluído
Especifique o conteúdo excluído de ser verificado pelo caminho completo do arquivo.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | caminho |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | caminhos válidos |
| Comentários | Aplicável somente se $type for excluídoPath |
Tipos de exclusão com suporte
A tabela a seguir mostra os tipos de exclusão compatíveis com o Defender para Ponto de Extremidade no Mac.
| Exclusão | Definição | Exemplos |
|---|---|---|
| Extensão de arquivo | Todos os arquivos com a extensão, em qualquer lugar do dispositivo | .test |
| Arquivo | Um arquivo específico identificado pelo caminho completo | /var/log/test.log |
| Pasta | Todos os arquivos na pasta especificada (recursivamente) | /var/log/ |
| Processo | Um processo específico (especificado pelo caminho completo ou pelo nome do arquivo) e todos os arquivos abertos por ele | /bin/cat |
Importante
Os caminhos acima devem ser links rígidos, não links simbólicos, para serem excluídos com êxito. Você pode marcar se um caminho for um link simbólico executando file <path-name>.
As exclusões de arquivo, pasta e processo dão suporte aos seguintes curingas:
| Curinga | Descrição | Exemplo | Correspondências | Não corresponde |
|---|---|---|---|---|
| * | Corresponde a qualquer número de caracteres, incluindo nenhum (observe que quando esse curinga for usado dentro de um caminho, ele substituirá apenas uma pasta) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | Corresponde a qualquer caractere único | file?.log |
file1.log |
file123.log |
Tipo de caminho (arquivo/diretório)
Indique se a propriedade path se refere a um arquivo ou diretório.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | Isdirectory |
| Tipo de dados | Booliano |
| Valores possíveis | falso (padrão) verdadeiro |
| Comentários | Aplicável somente se $type for excluídoPath |
Extensão de arquivo excluída da verificação
Especifique o conteúdo excluído de ser verificado por extensão de arquivo.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | Extensão |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | extensões de arquivo válidas |
| Comentários | Aplicável somente se $type for excluídoFileExtension |
Processo excluído da verificação
Especifique um processo para o qual todas as atividades de arquivo são excluídas da verificação. O processo pode ser especificado pelo nome (por exemplo, cat) ou pelo caminho completo (por exemplo, /bin/cat).
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | nome |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | qualquer cadeia de caracteres |
| Comentários | Aplicável somente se $type for excluídoFileName |
Ameaças permitidas
Especifique ameaças por nome que não sejam bloqueadas pelo Defender para Ponto de Extremidade no Mac. Essas ameaças poderão ser executadas.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | allowedThreats |
| Tipo de dados | Matriz de cadeias de caracteres |
Ações de ameaça não permitidas
Restringe as ações que o usuário local de um dispositivo pode executar quando as ameaças são detectadas. As ações incluídas nesta lista não são exibidas na interface do usuário.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | disallowedThreatActions |
| Tipo de dados | Matriz de cadeias de caracteres |
| Valores possíveis | permitir (restringe os usuários de permitir ameaças) restauração (restringe os usuários de restaurar ameaças da quarentena) |
| Comentários | Disponível no Microsoft Defender para Ponto de Extremidade versão 100.83.73 ou superior. |
Configurações do tipo de ameaça
Especifique como determinados tipos de ameaça são tratados por Microsoft Defender para Ponto de Extremidade no macOS.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | threatTypeSettings |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as seções a seguir para obter uma descrição do conteúdo do dicionário. |
Tipo de ameaça
Especifique tipos de ameaça.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | chave |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | potentially_unwanted_application archive_bomb |
O que fazer
Especifique qual ação tomar quando uma ameaça do tipo especificada na seção anterior for detectada. Escolha dentre as seguintes opções:
- Auditoria: seu dispositivo não está protegido contra esse tipo de ameaça, mas uma entrada sobre a ameaça é registrada.
- Bloquear: seu dispositivo está protegido contra esse tipo de ameaça e você é notificado na interface do usuário e no console de segurança.
- Desativado: seu dispositivo não está protegido contra esse tipo de ameaça e nada é registrado.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | valor |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | auditoria (padrão) Bloco desativado |
Política de mesclagem de configurações de tipo de ameaça
Especifique a política de mesclagem para configurações de tipo de ameaça. Isso pode ser uma combinação de configurações definidas pelo administrador e definidas pelo usuário (merge) ou apenas configurações definidas pelo administrador (admin_only). Essa configuração pode ser usada para restringir os usuários locais de definir suas próprias configurações para diferentes tipos de ameaça.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | threatTypeSettingsMergePolicy |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | mesclagem (padrão) admin_only |
| Comentários | Disponível no Microsoft Defender para Ponto de Extremidade versão 100.83.73 ou superior. |
Retenção de histórico de verificação de antivírus (em dias)
Especifique o número de dias em que os resultados são mantidos no histórico de verificação no dispositivo. Os resultados da verificação antiga são removidos do histórico. Arquivos antigos em quarentena que também são removidos do disco.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | scanResultsRetentionDays |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | 90 (padrão). Os valores permitidos são de 1 dia a 180 dias. |
| Comentários | Disponível no Microsoft Defender para Ponto de Extremidade versão 101.07.23 ou superior. |
Número máximo de itens no histórico de verificação de antivírus
Especifique o número máximo de entradas a serem mantidas no histórico de verificação. As entradas incluem todos os exames sob demanda realizados no passado e todas as detecções de antivírus.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | scanHistoryMaximumItems |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | 10000 (padrão). Os valores permitidos são de 5.000 itens a 15.000 itens. |
| Comentários | Disponível no Microsoft Defender para Ponto de Extremidade versão 101.07.23 ou superior. |
Preferências de proteção entregues pela nuvem
Configure os recursos de proteção controlados pela nuvem do Microsoft Defender para Ponto de Extremidade no macOS.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | cloudService |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as seções a seguir para obter uma descrição do conteúdo do dicionário. |
Habilitar/desabilitar a proteção fornecida pela nuvem
Especifique se deseja habilitar a proteção fornecida pela nuvem ou não. Para melhorar a segurança de seus serviços, recomendamos manter esse recurso ativado.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | habilitadas |
| Tipo de dados | Booliano |
| Valores possíveis | true (padrão) falso |
Nível de coleção de diagnóstico
Os dados de diagnóstico são usados para manter Microsoft Defender para Ponto de Extremidade seguros e atualizados, detectar, diagnosticar e corrigir problemas e também fazer melhorias no produto. Essa configuração determina o nível de diagnóstico enviado por Microsoft Defender para Ponto de Extremidade para a Microsoft.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | Diagnosticlevel |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | opcional (padrão) obrigatório |
Configurar o nível do bloco de nuvem
Essa configuração determina o quão agressivo o Defender para Ponto de Extremidade será no bloqueio e verificação de arquivos suspeitos. Se essa configuração estiver ativada, o Defender para Ponto de Extremidade será mais agressivo ao identificar arquivos suspeitos para bloquear e examinar; caso contrário, ele será menos agressivo e, portanto, bloqueará e examinará com menos frequência. Há cinco valores para definir o nível do bloco de nuvem:
- Normal (
normal): o nível de bloqueio padrão. - Moderado (
moderate): fornece veredicto apenas para detecções de alta confiança. - Alto (
high): bloqueia agressivamente arquivos desconhecidos ao otimizar para o desempenho (maior chance de bloquear arquivos não prejudiciais). - High Plus (
high_plus): bloqueia agressivamente arquivos desconhecidos e aplica medidas de proteção adicionais (pode afetar o desempenho do dispositivo cliente). - Tolerância zero (
zero_tolerance): bloqueia todos os programas desconhecidos.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | cloudBlockLevel |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | normal (padrão) Moderada high high_plus zero_tolerance |
| Comentários | Disponível no Defender para Ponto de Extremidade versão 101.56.62 ou superior. |
Habilitar/desabilitar envios automáticos de exemplo
Determina se exemplos suspeitos (que provavelmente contêm ameaças) são enviados à Microsoft. Você será solicitado se o arquivo enviado provavelmente conterá informações pessoais.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | automaticSampleSubmission |
| Tipo de dados | Booliano |
| Valores possíveis | true (padrão) falso |
Habilitar/desabilitar atualizações automáticas de inteligência de segurança
Determina se as atualizações de inteligência de segurança são instaladas automaticamente:
| Seção | Valor |
|---|---|
| Chave | automaticDefinitionUpdateEnabled |
| Tipo de dados | Booliano |
| Valores possíveis | true (padrão) falso |
Preferências de interface do usuário
Gerencie as preferências para a interface do usuário de Microsoft Defender para Ponto de Extremidade no macOS.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | userInterface |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as seções a seguir para obter uma descrição do conteúdo do dicionário. |
Mostrar/ocultar o ícone do menu status
Especifique se deve mostrar ou ocultar o ícone do menu status no canto superior direito da tela.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | hideStatusMenuIcon |
| Tipo de dados | Booliano |
| Valores possíveis | falso (padrão) verdadeiro |
Mostrar/ocultar opção para enviar comentários
Especifique se os usuários podem enviar comentários para a Microsoft acessando Help>Send Feedback.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | userInitiatedFeedback |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | habilitado (padrão) desabilitadas |
| Comentários | Disponível no Microsoft Defender para Ponto de Extremidade versão 101.19.61 ou superior. |
Controlar a entrada na versão do consumidor do Microsoft Defender
Especifique se os usuários podem entrar na versão do consumidor do Microsoft Defender.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | consumerExperience |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | habilitado (padrão) desabilitadas |
| Comentários | Disponível em Microsoft Defender para Ponto de Extremidade versão 101.60.18 ou superior. |
Preferências de detecção e resposta de ponto de extremidade
Gerencie as preferências do componente EDR (detecção e resposta) do ponto de extremidade do Microsoft Defender para Ponto de Extremidade no macOS.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | Edr |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as seções a seguir para obter uma descrição do conteúdo do dicionário. |
Marcas de dispositivo
Especifique um nome de marca e seu valor.
- A marca GROUP marca o dispositivo com o valor especificado. A marca é refletida no portal na página do dispositivo e pode ser usada para filtrar e agrupar dispositivos.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | tags |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as seções a seguir para obter uma descrição do conteúdo do dicionário. |
Tipo de marca
Especifica o tipo de marca
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | chave |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | GROUP |
Valor da marca
Especifica o valor da marca
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | valor |
| Tipo de dados | Cadeia de caracteres |
| Valores possíveis | qualquer cadeia de caracteres |
Importante
- Somente um valor por tipo de marca pode ser definido.
- O tipo de marcas é exclusivo e não deve ser repetido no mesmo perfil de configuração.
Identificador de grupo
Identificadores do grupo EDR
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | groupIds |
| Tipo de dados | Cadeia de caracteres |
| Comentários | Identificador de grupo |
Proteção contra adulteração
Gerencie as preferências do componente Proteção contra Adulteração de Microsoft Defender para Ponto de Extremidade no macOS.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | tamperProtection |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as seções a seguir para obter uma descrição do conteúdo do dicionário. |
Nível de imposição
Se a Proteção contra Adulteração estiver habilitada e se estiver no modo estrito
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | enforcementLevel |
| Tipo de dados | Cadeia de caracteres |
| Comentários | Um dos 'desabilitados', 'audit' ou 'block' |
Valores possíveis:
- desabilitado – a Proteção contra Adulterações está desativada, sem prevenção de ataques ou relatórios para a Nuvem
- auditoria – A Proteção contra Adulteração relata tentativas de adulteração apenas na Nuvem, mas não as bloqueia
- block - Proteção contra adulteração de blocos e relata ataques à Nuvem
Exclusões
Define processos que são permitidos alterando o ativo do Microsoft Defender, sem considerar a adulteração. O caminho ou teamId ou signingId ou sua combinação devem ser fornecidos. Além disso, o Args pode ser fornecido para especificar o processo permitido com mais precisão.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | Exclusões |
| Tipo de dados | Dicionário (preferência aninhada) |
| Comentários | Consulte as seções a seguir para obter uma descrição do conteúdo do dicionário. |
Caminho
Caminho exato do executável do processo.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | caminho |
| Tipo de dados | Cadeia de caracteres |
| Comentários | No caso de um script de shell, ele será o caminho exato para o binário do intérprete, por exemplo. . /bin/zsh Não é permitido curinga. |
ID da equipe
A "ID da Equipe" do fornecedor da Apple.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | teamId |
| Tipo de dados | Cadeia de caracteres |
| Comentários | Por exemplo, UBF8T346G9 para a Microsoft |
ID de assinatura
A "ID de Assinatura" do pacote da Apple.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | signingId |
| Tipo de dados | Cadeia de caracteres |
| Comentários | Por exemplo, com.apple.ruby para o intérprete do Ruby |
Argumentos de processo
Usado em combinação com outros parâmetros para identificar o processo.
| Seção | Valor |
|---|---|
| Domínio | com.microsoft.wdav |
| Chave | signingId |
| Tipo de dados | Matriz de cadeias de caracteres |
| Comentários | Se especificado, o argumento do processo deve corresponder exatamente a esses argumentos, sensíveis a casos |
Perfil de configuração recomendado
Para começar, recomendamos que a configuração a seguir para sua empresa aproveite todos os recursos de proteção que Microsoft Defender para Ponto de Extremidade fornece.
O seguinte perfil de configuração (ou, no caso do JAMF, uma lista de propriedades que pode ser carregada no perfil de configuração de configurações personalizadas) será:
- Habilitar a proteção em tempo real (RTP)
- Especifique como os seguintes tipos de ameaça são tratados:
- Aplicativos potencialmente indesejados (PUA) são bloqueados
- Bombas de arquivo (arquivo com alta taxa de compactação) são auditadas para Microsoft Defender para Ponto de Extremidade logs
- Habilitar atualizações automáticas de inteligência de segurança
- Ativar proteção fornecida pela nuvem
- Habilitar o envio automático de exemplo
Lista de propriedades para o perfil de configuração recomendado por JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Perfil recomendado do Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
Exemplo de perfil de configuração completo
Os modelos a seguir contêm entradas para todas as configurações descritas neste documento e podem ser usados para cenários mais avançados em que você deseja mais controle sobre Microsoft Defender para Ponto de Extremidade no macOS.
Lista de propriedades para o perfil de configuração completo do JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Perfil completo do Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Validação da lista de propriedades
A lista de propriedades deve ser um arquivo .plist válido. Isso pode ser verificado executando:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Se o arquivo estiver bem formado, o comando acima sairá OK e retornará um código de saída de 0. Caso contrário, um erro que descreve o problema é exibido e o comando retorna um código de saída de 1.
Implantação do perfil de configuração
Depois de criar o perfil de configuração para sua empresa, você pode implantá-lo por meio do console de gerenciamento que sua empresa está usando. As seções a seguir fornecem instruções sobre como implantar esse perfil usando JAMF e Intune.
Implantação do JAMF
No console JAMF, abraPerfis de Configuração de Computadores>, navegue até o perfil de configuração que você gostaria de usar e selecione Configurações Personalizadas. Crie uma entrada com com.microsoft.wdav como o domínio de preferência e carregue a .plist produzida anteriormente.
Cuidado
com.microsoft.wdavCaso contrário, as preferências não serão reconhecidas por Microsoft Defender para Ponto de Extremidade.
Implantação do Intune
Abra perfis>de configuração de dispositivos. Selecione Criar Perfil.
Escolha um nome para o perfil. Altere Platform=macOS para Profile type=Templates e escolha Personalizado na seção nome do modelo. Selecione Configurar.
Salve a .plist produzida anteriormente como
com.microsoft.wdav.xml.Insira
com.microsoft.wdavcomo o nome do perfil de configuração personalizado.Abra o perfil de configuração e carregue o
com.microsoft.wdav.xmlarquivo. (Esse arquivo foi criado na etapa 3.)Selecione OK.
Selecione Gerenciar>Atribuições. Na guia Incluir , selecione Atribuir a todos os usuários & todos os dispositivos.
Cuidado
Você deve inserir o nome do perfil de configuração personalizado correto; caso contrário, essas preferências não serão reconhecidas por Microsoft Defender para Ponto de Extremidade.
Recursos
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de