Просмотр или изменение политик в Microsoft Defender для бизнеса

Статья
04/27/2024

В Defender для бизнеса параметры безопасности настраиваются с помощью политик, применяемых к устройствам. Чтобы упростить настройку и настройку, Defender для бизнеса включает несколько предварительно настроенных политик, которые помогают защитить устройства вашей компании сразу после их подключения. Существуют и другие типы политик, которые можно создать (см. статью Настройка, проверка и изменение политик безопасности и параметров в Microsoft Defender для бизнеса).

В этой статье описывается, как просматривать, изменять и создавать политики безопасности в Defender для бизнеса.

Эта статья включает в себя следующее:

Список политик по умолчанию, включенных в Defender для бизнеса (защита и брандмауэр нового поколения)
Дополнительные политики, которые можно настроить в Defender для бизнеса (правила фильтрации веб-содержимого, управляемого доступа к папкам и сокращения направлений атак)
Просмотр существующих политик
Изменение существующей политики
Создание новой политики

Политики по умолчанию в Defender для бизнеса

В Defender для бизнеса существует два main типа политик по умолчанию, которые предназначены для защиты устройств вашей компании сразу после их подключения:

Политики защиты следующего поколения, определяющие настройку Microsoft Defender антивирусной программы и других функций защиты от угроз; и
Политики брандмауэра, определяющие, какой сетевой трафик может поступать на устройства вашей компании и с нее.

Защита нового поколения включает надежную антивирусную и антивредоносную защиту для компьютеров и мобильных устройств. Политики по умолчанию предназначены для защиты устройств и пользователей без ущерба для производительности. Однако вы можете настроить политики в соответствии с бизнес-потребностями. Дополнительные сведения см. в статье Проверка или изменение политик защиты следующего поколения.

Политики брандмауэра помогают защитить устройства, устанавливая правила, определяющие, какой сетевой трафик разрешено поступать на устройства и с устройств. Вы можете использовать защиту брандмауэра, чтобы указать, следует ли разрешать или блокировать подключения на устройствах в различных расположениях. Например, параметры брандмауэра могут разрешать входящие подключения на устройствах, подключенных к внутренней сети вашей компании, но предотвращать подключения, когда устройство находится в сети с ненадежными устройствами. Дополнительные сведения см. в разделе Брандмауэр.

Политики для настройки в Defender для бизнеса

В дополнение к политикам защиты нового поколения и брандмауэра существуют три других типа политик, которые можно настроить для оптимальной защиты с помощью Defender для бизнеса:

Фильтрация веб-содержимого, которая включает защиту веб-сайтов для вашей организации.
Контролируемый доступ к папкам, который является важной частью защиты от программ-шантажистов (Intune требуется для настройки и управления ими).
Правила сокращения направлений атак, которые помогают уменьшить уязвимость устройства (Intune требуется для настройки и управления ими).

Фильтрация веб-содержимого, которая позволяет группе безопасности отслеживать и регулировать доступ к веб-сайтам на основе категорий контента. Примеры категорий включают содержимое для взрослых, содержимое с высокой пропускной способностью и содержимое с юридической ответственностью. При настройке политики фильтрации веб-содержимого вы включаете веб-защиту для своей организации. Дополнительные сведения см. в разделе Фильтрация веб-содержимого.

Управляемый доступ к папкам позволяет только доверенным приложениям получать доступ к защищенным папкам на устройствах Windows. Эту возможность можно рассматривать как защиту от программ-шантажистов. Вы можете настроить или изменить политику управляемого доступа к папкам в Microsoft Intune. Дополнительные сведения см. в статье Настройка или изменение политики управляемого доступа к папкам.

Правила сокращения направлений атаки нацелены на определенное поведение программного обеспечения, которое часто считается рискованным, так как злоумышленники часто злоупотребляют вредоносными программами. Примерами такого поведения являются запуск исполняемых файлов и скриптов, которые пытаются скачать или запустить файлы. Правила сокращения направлений атак могут ограничивать рискованное поведение на основе программного обеспечения и помогают обеспечить безопасность вашей организации. Как минимум рекомендуется настроить стандартные правила защиты, которые помогут защитить сеть без прерывания работы пользователей. Дополнительные сведения см. в статье Включение правил сокращения направлений атак в Microsoft Defender для бизнеса.

Примечание.

Intune требуется для настройки правил управляемого доступа к папкам и сокращения направлений атак. Intune не входит в автономную версию Defender для бизнеса, но может быть добавлена в подписку.

Просмотр существующих политик

Существующие политики можно просмотреть на портале Microsoft Defender (https://security.microsoft.com) или в Центре администрирования Intune () (https://intune.microsoft.comесли вы используете Intune).

Портал Microsoft Defender
Центр администрирования Intune

Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.
В области навигации выберите Конфигурация управление устройством>. Политики организованы по операционной системе (например,клиент Windows) и типу политики (например, Защита следующего поколения и брандмауэр).
Выберите вкладку операционной системы (например, клиенты Windows), а затем просмотрите список политик в каждой категории (например, Защита следующего поколения и Брандмауэр).
Чтобы просмотреть дополнительные сведения о политике, выберите ее имя. Откроется боковая панель с дополнительной информацией об этой политике, например о том, какие устройства защищены этой политикой.

Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.
В области навигации выберите Конфигурация устройства. Политики организованы по операционной системе (например,клиент Windows) и типу политики (например, Защита следующего поколения и брандмауэр).
Выберите вкладку операционной системы (например, клиенты Windows), а затем просмотрите список политик в категорияхЗащита следующего поколения и Брандмауэр.
Чтобы изменить политику, выберите ее имя, а затем нажмите Изменить.
Просмотрите информацию на вкладке Общие сведения. При необходимости вы можете отредактировать описание. Затем нажмите кнопку Далее.
На вкладке Группы устройств определите, какие группы устройств должны получить эту политику.
- Чтобы сохранить выбранную группу устройств как есть, нажмитеДалее.
- Чтобы удалить группу устройств из политики, выберите Удалить.
- Чтобы настроить новую группу устройств, выберитеСоздать новую группу, а затем настройте свою группу устройств. (Чтобы получить справку по этой задаче, см. раздел Группы устройств.)
- Чтобы применить политику к другой группе устройств, выберите Использовать существующую группу.
После того как вы указали, какие группы устройств должны получить политику, нажмите кнопку Далее.
На вкладке Параметры конфигурации проверьте параметры. При необходимости вы можете отредактировать параметры своей политики. Чтобы получить справку по этой задаче, см. следующие статьи:
- Понимание параметров конфигурации следующего поколения
- Параметры брандмауэра
После того, как вы указали параметры защиты следующего поколения, нажмитеДалее.
На вкладке Проверка политики просмотрите общую информацию, целевые устройства и параметры конфигурации.
- Внесите необходимые изменения, выбрав Изменить.
- Когда вы будете готовы продолжить, выберите Обновить политику.

Создание новой политики

Портал Microsoft Defender
Центр администрирования Intune

Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.
В области навигации выберите Конфигурация устройства. Политики организованы по операционной системе (например,клиент Windows) и типу политики (например, Защита следующего поколения и брандмауэр).
Выберите вкладку операционной системы (например, клиенты Windows), а затем просмотрите список политик Защиты следующего поколения.
В разделе Защита следующего поколения или Брандмауэр выберите + Добавить.
На вкладке Общие сведения выполните следующие действия:
1. Укажите имя и описание. Эта информация поможет вам и вашей команде определить политику позже.
2. Просмотрите порядок политики и при необходимости отредактируйте его. (Подробнее см. Порядок политики.)
3. Нажмите кнопку Далее.
На вкладке Группы устройств создайте новую группу устройств или используйте существующую группу. Политики назначаются устройствам через группы устройств. Моменты, о которых следует помнить:
- Изначально у вас может быть только группа устройств по умолчанию, которая включает устройства, которые пользователи в вашей компании используют для доступа к корпоративным данным и электронной почте. Вы можете сохранить и использовать группу устройств по умолчанию.
- Создайте новую группу устройств, чтобы применить политику с определенными параметрами, отличными от политики по умолчанию.
- При настройке группы устройств указываются определенные критерии, например версия операционной системы. Устройства, соответствующие критериям, включаются в эту группу устройств, если вы не исключите их.
- Все группы устройств, включая определяемые по умолчанию и пользовательские группы устройств, хранятся в Microsoft Entra ID.
Дополнительные сведения о группах устройств см. в разделе Группы устройств.
На вкладке Параметры конфигурации укажите параметры политики, а затем нажмите Далее. Дополнительные сведения об отдельных параметрах см. в разделе Параметры конфигурации для Defender для бизнеса.
На вкладке Проверка политики просмотрите общую информацию, целевые устройства и параметры конфигурации.
- Внесите необходимые изменения, выбрав Изменить.
- Когда вы будете готовы продолжить, выберите политику Create.

Перейдите в центр администрирования Intune (https://intune.microsoft.com/) и выполните вход.
В области навигации выберите Безопасность конечных точек, а затем выберите категорию, например Антивирусная программа, Брандмауэр. или сокращение направлений атаки.
Выберите + Create Политика.
- Если политика настроена для устройств Windows, в списке Платформа выберите Windows 10, Windows 11 и Windows Server.
- Если ваша политика настроена для Mac, в списке Платформа выберите macOS.

В списке Профиль выберите профиль, а затем выберите Create.

Список Профиль зависит от того, что вы выбрали для параметра Платформа, как показано в следующей таблице:

Платформа	Профиль	Описание
Windows 10, Windows 11, и Windows Server	Исключения антивирусной программы в Microsoft Defender	Выберите этот шаблон, чтобы определить исключения для антивирусной программы Microsoft Defender.
Windows 10, Windows 11, и Windows Server	Антивирусная программа в Microsoft Defender	Выберите этот шаблон, чтобы настроить политику защиты следующего поколения.
Windows 10, Windows 11, и Windows Server	интерфейс Безопасность Windows	Выберите этот шаблон, чтобы включить защиту от незаконного изменения и настроить, что пользователи могут видеть или делать с приложением Безопасность Windows на своем компьютере.
macOS	антивирусная программа	Выберите этот шаблон, чтобы настроить политику защиты следующего поколения для устройств под управлением macOS.
Windows 10, Windows 11, и Windows Server	Брандмауэр в Microsoft Defender	Выберите этот шаблон, чтобы настроить политику защиты брандмауэра.
Windows 10, Windows 11, и Windows Server	Правила брандмауэра Microsoft Defender.	Выберите этот шаблон, чтобы настроить исключения для политики брандмауэра. Эти исключения определяются с помощью пользовательских правил.
Windows 10, Windows 11, и Windows Server	Правила сокращения направлений атак	Выберите этот шаблон, чтобы настроить правила сокращения направлений атак или контролируемый доступ к папкам.

Используйте мастер для настройки политики. Дополнительные сведения см. в статье Управление безопасностью устройств с помощью политик безопасности конечных точек в Microsoft Intune.