Антивирусная политика для безопасности конечных точек в Intune

Политики антивирусной программы для безопасности конечных точек Intune могут помочь администраторам безопасности сосредоточиться на управлении дискретной группой параметров антивирусной программы для управляемых устройств.

Антивирусная политика включает несколько профилей. Каждый профиль содержит только параметры, относящиеся к Microsoft Defender для конечной точки антивирусной программы для устройств macOS и Windows или для взаимодействия с пользователем в приложении Безопасность Windows на устройствах Windows.

Политики антивирусной программы находятся в разделе Управление в узле Безопасность конечных точек Центра администрирования Microsoft Intune.

Политики антивирусной программы включают те же параметры, что и найденные шаблоны защиты конечных точек или шаблоны ограничений устройств для политики конфигурации устройств . Однако эти типы политик включают дополнительные категории параметров, которые не связаны с антивирусной программой. Дополнительные параметры могут усложнить задачу настройки рабочей нагрузки антивирусной программы. Кроме того, параметры, доступные в политике антивирусной программы для macOS, недоступны в других типах политик. Профиль антивирусной программы macOS заменяет необходимость настройки параметров с помощью .plist файлов.

Применимо к:

• Linux
• macOS
• Windows 10/11

Предварительные требования для политики антивирусной программы

Поддержка устройств, зарегистрированных Microsoft Intune (MDM):

• macOS

  • Любая поддерживаемая версия macOS
  • Чтобы Intune управляла параметрами антивирусной программы на устройстве, на этом устройстве должна быть установлена Microsoft Defender для конечной точки. Видеть. Microsoft Defender для конечной точки для macOS (в документации по Microsoft Defender для конечной точки)

• Windows 10, Windows 11, и Windows Server

  • Никаких дополнительных предварительных требований не требуется.

Поддержка клиентов Configuration Manager:

Этот сценарий находится в предварительной версии и требует использования Configuration Manager текущей версии ветви 2006 или более поздней.

• Настройка подключения клиента для устройств Configuration Manager. Чтобы поддерживать развертывание политики антивирусной защиты на устройствах, управляемых Configuration Manager, настройте подключение клиента. Настройка подключения клиента включает настройку Configuration Manager коллекций устройств для поддержки политик безопасности конечных точек из Intune.

  Сведения о настройке подключения клиента см. в статье Настройка подключения клиента для поддержки политик защиты конечных точек.

Поддержка клиентов Microsoft Defender для конечной точки:

• Управление параметрами безопасности Defender для конечной точки. Чтобы настроить поддержку развертывания антивирусной политики на устройствах, управляемых Defender, но не зарегистрированных в Intune, см. статью Управление Microsoft Defender для конечной точки на устройствах с Microsoft Intune. В этой статье также содержатся сведения о платформах, поддерживаемых этой возможностью, а также о политиках и профилях, поддерживаемых этими платформами.

Предварительные требования для защиты от незаконного изменения

Защита от незаконного изменения доступна для устройств под управлением одной из следующих операционных систем:

• macOS (любая поддерживаемая версия)
• Windows 10 и 11 (включая корпоративный многосеансовый режим)
• Windows Server версии 1803 или более поздней, Windows Server 2019, Windows Server 2022
• Windows Server 2012 R2 и Windows Server 2016 (с использованием современного унифицированного решения)

Примечание.

Устройства должны быть подключены к Microsoft Defender для конечной точки (P1 или P2). Устройства могут столкнуться с задержкой включения защиты от незаконного изменения, если ранее не подключались к Microsoft Defender для конечной точки. Защита от незаконного изменения будет включена на первом устройстве, проверка после подключения к Microsoft Defender для конечной точки.

Intune можно использовать для управления защитой от незаконного изменения на устройствах Windows в рамках Безопасность Windows профиля взаимодействия (политика антивирусной программы). Сюда входят устройства, которыми вы управляете с помощью Intune, и устройства, которыми вы управляете с помощью Configuration Manager в сценарии подключения клиента. Защита от незаконного изменения теперь также доступна для Виртуального рабочего стола Azure.

Управляемые устройства Intune

Необходимые условия для поддержки защиты от незаконного изменения для устройств, управляемых Intune:

• Ваша среда должна соответствовать предварительным требованиям для управления защитой от незаконного изменения с помощью Intune.
• Устройства подключены к Microsoft Defender для конечной точки (P1 или P2)

Профили для политики антивирусной программы, которые поддерживают защиту от незаконного изменения для устройств, управляемых Microsoft Intune:

• Платформа: Windows 10, Windows 11 и Windows Server

  • Профиль: интерфейс Безопасность Windows

  Примечание.

  Начиная с 5 апреля 2022 г. платформа Windows 10 и более поздних версий была заменена платформой Windows 10, Windows 11 и Windows Server.

  Платформа Windows 10, Windows 11 и Windows Server поддерживает устройства, взаимодействующие с Intune через Microsoft Intune или Microsoft Defender для конечной точки. Эти профили также добавляют поддержку платформы Windows Server, которая не поддерживается через Microsoft Intune в собственном коде.

  Профили для этой новой платформы используют формат параметров, приведенный в каталоге параметров. Каждый новый шаблон профиля для этой новой платформы содержит те же параметры, что и старый шаблон профиля, который он заменяет. Благодаря этому изменению вы больше не сможете создавать новые версии старых профилей. Существующие экземпляры старого профиля остаются доступными для использования и редактирования.

Вы также можете использовать политику конфигурации конечной точки для политики конфигурации устройств , чтобы настроить защиту от незаконного изменения для устройств, управляемых Intune.

Configuration Manager клиентов, управляемых с помощью сценария присоединения клиента

Необходимые условия для поддержки управления защитой от незаконного изменения с помощью следующих профилей:

• Ваша среда должна соответствовать предварительным требованиям для управления защитой от незаконного изменения с помощью Intune , как описано в документации по Windows.
• Необходимо использовать Configuration Manager current branch 2006 или более поздней версии.
• Необходимо настроить подключение клиента для поддержки политик защиты конечных точек. Сюда входит настройка Configuration Manager коллекций устройств для синхронизации с Intune.
• Устройства подключены к Microsoft Defender для конечной точки (P1 или P2)

Профили для политики антивирусной программы, которая поддерживает защиту от незаконного изменения для устройств, управляемых Configuration Manager:

• Платформа: Windows 10, Windows 11 и Windows Server (ConfigMgr)
  • Профиль: интерфейс Безопасность Windows (предварительная версия)

Профили антивирусной программы

Устройства, управляемые Microsoft Intune

Для устройств, которыми вы управляете с помощью Intune, поддерживаются следующие профили:

macOS

• Платформа: macOS

  • Профиль: антивирусная программа — управление параметрами политики антивирусной программы для macOS.

    При использовании Microsoft Defender для конечной точки для Mac можно настроить и развернуть параметры антивирусной программы на управляемых устройствах macOS с помощью Intune, а не с помощью .plist файлов.

Windows:

• Платформа: Windows 10, Windows 11 и Windows Server
  Профили для этой платформы можно использовать с устройствами, зарегистрированными в Intune, и устройствами, управляемыми с помощью управления безопасностью для Microsoft Defender для конечной точки.

  Примечание.

  Начиная с 5 апреля 2022 г. платформа Windows 10 и более поздних версий была заменена платформой Windows 10, Windows 11 и Windows Server.

  Платформа Windows 10, Windows 11 и Windows Server поддерживает устройства, взаимодействующие с Intune через Microsoft Intune или Microsoft Defender для конечной точки. Эти профили также добавляют поддержку платформы Windows Server, которая не поддерживается через Microsoft Intune в собственном коде.

  Профили для этой новой платформы используют формат параметров, приведенный в каталоге параметров. Каждый новый шаблон профиля для этой новой платформы содержит те же параметры, что и старый шаблон профиля, который он заменяет. Благодаря этому изменению вы больше не сможете создавать новые версии старых профилей. Существующие экземпляры старого профиля остаются доступными для использования и редактирования.

  • Профиль: антивирусная программа Microsoft Defender— управление параметрами политики антивирусной программы для устройств Windows.

    Антивирусная программа Defender — это компонент защиты нового поколения Microsoft Defender для конечной точки. Защита нового поколения объединяет такие технологии, как машинное обучение и облачная инфраструктура, для защиты устройств в организации.

    Профиль антивирусной программы Microsoft Defender — это отдельный экземпляр параметров антивирусной программы, которые находятся в профиле ограничения устройств для политики "Конфигурация устройств".

    В отличие от параметров антивирусной программы в профиле ограничения устройств, эти параметры можно использовать на совместно управляемых устройствах. Чтобы использовать эти параметры, ползунок рабочей нагрузки совместного управления для Endpoint Protection должен иметь значение Intune.

  • Профиль: Microsoft Defender исключения антивирусной программы. Управление параметрами политики только для исключения антивирусной программы.

    С помощью этой политики можно управлять параметрами для следующих Microsoft Defender поставщиков служб конфигурации антивирусной программы , которые определяют исключения антивирусной программы:

    • Defender/ExcludedPaths
    • Defender/ExcludedExtensions
    • Defender/ExcludedProcesses

    Эти CSP для исключения антивирусной программы также управляются политикой Microsoft Defender антивирусной программы, которая включает идентичные параметры для исключений. Параметры обоих типов политик (исключения антивирусной иантивирусной программ) подлежат слиянию политик и создают супер набор исключений для применимых устройств и пользователей.

  • Профиль: Безопасность Windows интерфейс. Управление параметрами приложения Безопасность Windows, которые пользователи могут просматривать в центре безопасности Microsoft Defender, а также получаемые уведомления.

    Приложение безопасности Windows используется рядом функций безопасности Windows для предоставления уведомлений о работоспособности и безопасности компьютера. Уведомления приложений безопасности включают брандмауэры, антивирусные продукты, Защитник Windows SmartScreen и другие.

  • Профиль: элементы управления обновлением Defender. Управление параметрами обновления для Microsoft Defender, включая следующие параметры, которые принимаются непосредственно из CSP Defender:

    • Канал Обновления движка
    • Канал Обновления платформы
    • Канал Обновления аналитики безопасности

Устройства, управляемые Configuration Manager

антивирусная программа

Управление параметрами антивирусной программы для Configuration Manager устройств при использовании подключения клиента.

Путь к политике:

• > Антивирусная > Windows 10 безопасности конечных точек, Windows 11 и Windows Server (ConfigMgr)

Профили:

• Антивирусная программа Microsoft Defender (предварительная версия)
• интерфейс Безопасность Windows (предварительная версия)

Требуемая версия Configuration Manager:

• Configuration Manager текущей версии ветви 2006 или более поздней

Поддерживаемые платформы устройств Configuration Manager:

• Windows 8.1 (x86, x64), начиная с Configuration Manager версии 2010
• Windows 10 и более поздних версий (x86, x64, ARM64)
• Windows 11 и более поздних версий (x86, x64, ARM64)
• Windows Server 2012 R2 (x64), начиная с Configuration Manager версии 2010
• Windows Server 2016 и более поздних версий (x64)

Важно!

22 октября 2022 г. Microsoft Intune прекращена поддержка устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.

Если в настоящее время вы используете Windows 8.1, рекомендуется перейти на устройства Windows 10/11. Microsoft Intune имеет встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.

Слияние политик для параметров

Некоторые параметры политики антивирусной программы поддерживают слияние политик. Слияние политик помогает избежать конфликтов, если несколько политик применяются к одному устройству и настраивают один и тот же параметр. Intune оценивает параметры, поддерживаемые слиянием политик, для каждого пользователя или устройства в соответствии со всеми применимыми политиками. Затем эти параметры объединяются в один надмножество политики.

Например, вы создадите три отдельные политики антивирусной программы, которые определяют разные исключения пути к файлам антивирусной программы. В конечном итоге все три политики назначаются одному и тому же пользователю. Так как CSP исключения Microsoft Defender пути к файлу поддерживает слияние политик, Intune оценивает и объединяет исключения файлов из всех применимых политик для пользователя. Исключения добавляются в надмножество, а единый список исключений доставляется на устройство пользователей.

Если для параметра не поддерживается слияние политик, может возникнуть конфликт. Конфликты могут привести к тому, что пользователь или устройство не получают политику для параметра. Например, слияние политик не поддерживает CSP для предотвращения установки соответствующих идентификаторов устройств (PreventInstallationOfMatchingDeviceID). Конфигурации для этого CSP не объединяются и обрабатываются отдельно.

При отдельной обработке конфликты политик разрешаются следующим образом:

1. Применяется наиболее безопасная политика.
2. Если две политики одинаково безопасны, применяется последняя измененная политика.
3. Если последней измененной политике не удается устранить конфликт, политика не будет доставлена на устройство.

Параметры и поставщики служб конфигурации, поддерживающие слияние политик

Следующие параметры поддерживают слияние политик:

• Исключенные процессы — CSP: Defender/ExcludedProcesses
• Исключенные расширения — CSP: Defender/ExcludedExtensions
• Исключенные пути — CSP: Defender/ExcludedPaths

Отчеты о политике антивирусной программы

В отчетах о политике антивирусной программы отображаются сведения о состоянии безопасности конечных точек Политики антивирусной программы и состояние устройства. Эти отчеты доступны в узле Безопасность конечных точек Центра администрирования Microsoft Intune.

Чтобы просмотреть отчеты, в Центре администрирования Microsoft Intune перейдите в раздел Безопасность конечных точек и выберите Антивирусная программа. При выборе антивирусной программы откроется страница Сводка. Дополнительные представления отчетов и состояния доступны в виде дополнительных страниц.

Помимо отчетов, описанных в следующих разделах, дополнительные отчеты для Microsoft Defender антивирусной программы находятся в узле Отчеты Центра администрирования Microsoft Intune, как описано в статье Отчеты Intune:

• Отчет о состоянии антивирусного агента (организационный)
• Отчет об обнаруженных вредоносных программах (организационный)

Сводка

На странице Сводка можно создать новые политики и просмотреть список ранее созданных политик. Список содержит общие сведения о профиле, который включает политика (тип политики), а также о том, назначена ли политика.

При выборе политики из списка откроется страница Обзор для этого экземпляра политики, на котором отображаются дополнительные сведения. После выбора плитки в этом представлении Intune отображает дополнительные сведения для этого профиля, если они доступны.

Неработоспособные конечные точки

На странице Неработоспособные конечные точки можно просмотреть сведения о состоянии антивирусной программы на управляемых MDM устройствах Windows. Эти сведения возвращаются из Защитник Windows антивирусной программы, которая работает на устройстве, как состояние агента угрозы. На этой странице выберите Столбцы , чтобы просмотреть полный список сведений, доступных в отчете.

В этом представлении отображаются только устройства с обнаруженными проблемами. В этом представлении не отображаются сведения об устройствах, которые определены как чистые.

Данные для этого отчета основаны на сведениях, которые можно получить от следующих CSP и которые описаны в документации по управлению клиентами Windows:

• CSP Защитника
• CSP WindowsAdvancedThreatProtection.

Дальнейшие действия

Настройка политик безопасности конечных точек

Просмотрите сведения о параметрах Windows в устаревших профилях для платформы Windows 10 и более поздних версий:

• Параметры политики антивирусной программы
• Исключения антивирусной программы
• параметры приложения Безопасность Windows