Поставщик служб конфигурации Defender
Примечание.
ControlPolicyConflict (MDMWinsOverGP) не применим к поставщику CSP Defender. При использовании MDM удалите текущие параметры групповой политики Defender, чтобы избежать конфликтов с параметрами MDM.
В следующем списке показаны узлы поставщика службы конфигурации Defender:
- ./Device/Vendor/MSFT/Defender
-
Конфигурация
- AllowDatagramProcessingOnWinServer
- AllowNetworkProtectionDownLevel
- AllowNetworkProtectionOnWinServer
- AllowSwitchToAsyncInspection
- ArchiveMaxDepth
- ArchiveMaxSize
- ASROnlyPerRuleExclusions
- BehavioralNetworkBlocks
- DataDuplicationDirectory
- DataDuplicationLocalRetentionPeriod
- DataDuplicationMaximumQuota
- DataDuplicationRemoteLocation
- DaysUntilAggressiveCatchupQuickScan
- DefaultEnforcement
- DeviceControl
- DeviceControlEnabled
- DisableCacheMaintenance
- DisableCoreServiceECSIntegration
- DisableCoreServiceTelemetry
- DisableCpuThrottleOnIdleScans
- DisableDatagramProcessing
- DisableDnsOverTcpParsing
- DisableDnsParsing
- DisableFtpParsing
- DisableGradualRelease
- ОтключитьHttpParsing
- DisableInboundConnectionFiltering
- DisableLocalAdminMerge
- DisableNetworkProtectionPerfTelemetry
- DisableQuicParsing
- DisableRdpParsing
- DisableSmtpParsing
- DisableSshParsing
- DisableTlsParsing
- EnableConvertWarnToBlock
- EnableDnsSinkhole
- EnableFileHashComputation
- EnableUdpReceiveOffload
- EnableUdpSegmentationOffload
- EngineUpdatesChannel
- ExcludedIpAddresses
- HideExclusionsFromLocalAdmins
- HideExclusionsFromLocalUsers
- IntelTDTEnabled
- MeteredConnectionUpdates
- NetworkProtectionReputationMode
- OobeEnableRtpAndSigUpdate
- PassiveRemediation
- PerformanceModeStatus
- PlatformUpdatesChannel
- QuickScanIncludeExclusions
- RandomizeScheduleTaskTimes
- ScanOnlyIfIdleEnabled
- SchedulerRandomizationTime
- ScheduleSecurityIntelligenceUpdateDay
- ScheduleSecurityIntelligenceUpdateTime
- SecuredDevicesConfiguration
- SecurityIntelligenceLocationUpdateAtScheduledTimeOnly
- SecurityIntelligenceUpdatesChannel
- SupportLogLocation
- TamperProtection
- ThrottleForScheduledScanOnly
- Обнаружения
-
Health
- ComputerState
- DefenderEnabled
- DefenderVersion
- DeviceControl
- EngineVersion
- FullScanOverdue
- FullScanRequired
- FullScanSigVersion
- FullScanTime
- IsVirtualMachine
- NisEnabled
- ProductStatus
- QuickScanOverdue
- QuickScanSigVersion
- QuickScanTime
- RebootRequired
- RtpEnabled
- SignatureOutOfDate
- SignatureVersion
- TamperProtectionEnabled
- OfflineScan
- RollbackEngine
- RollbackPlatform
- Scan
- UpdateSignature
-
Конфигурация
Конфигурация
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1903 [10.0.18362] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration
Внутренний узел для группировки сведений о конфигурации Защитника Windows.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | node |
| Тип доступа | Получите |
Configuration/AllowDatagramProcessingOnWinServer
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/AllowDatagramProcessingOnWinServer
Этот параметр определяет, разрешена ли защита сети для включения обработки датаграмм в Windows Server. Если задано значение false, значение DisableDatagramProcessing будет игнорироваться и по умолчанию отключать проверку датаграмм.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Обработка датаграмм в Windows Server включена. |
| 0 (по умолчанию) | Обработка датаграмм в Windows Server отключена. |
Configuration/AllowNetworkProtectionDownLevel
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/AllowNetworkProtectionDownLevel
Этот параметр определяет, разрешено ли настроить защиту сети в режиме блокировки или аудита в windows нижнего уровня RS3. Если значение равно false, значение EnableNetworkProtection будет игнорироваться.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Защита сети будет включена в нижнем уровневом режиме. |
| 0 (по умолчанию) | Защита сети будет отключена по нижнему плану. |
Configuration/AllowNetworkProtectionOnWinServer
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/AllowNetworkProtectionOnWinServer
Этот параметр определяет, разрешено ли настроить защиту сети в режиме блокировки или аудита на Windows Server. Если значение равно false, значение EnableNetworkProtection будет игнорироваться.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Разрешить |
| 0 | Отвергать. |
Configuration/AllowSwitchToAsyncInspection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/AllowSwitchToAsyncInspection
Определите, может ли защита сети повысить производительность, переключившись с проверки в режиме реального времени на асинхронную проверку.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Разрешить переключение на асинхронную проверку. |
| 0 (по умолчанию) | Не разрешайте асинхронную проверку. |
Configuration/ArchiveMaxDepth
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/ArchiveMaxDepth
Укажите максимальную глубину папки, извлекаемой из архивных файлов для сканирования. Если эта конфигурация отключена или не задана, применяется значение по умолчанию (0), а все архивы извлекаются в самую глубокую папку для сканирования.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-4294967295] |
| Значение по умолчанию | 0 |
Configuration/ArchiveMaxSize
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/ArchiveMaxSize
Укажите максимальный размер архивных файлов для извлечения и сканирования (в КБ). Если эта конфигурация отключена или не задана, применяется значение по умолчанию (0), а все архивы извлекаются и сканируются независимо от размера.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-4294967295] |
| Значение по умолчанию | 0 |
Configuration/ASROnlyPerRuleExclusions
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/ASROnlyPerRuleExclusions
Применяйте ASR только для исключений правил.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Configuration/BehavioralNetworkBlocks
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | node |
| Тип доступа | Получите |
Configuration/BehavioralNetworkBlocks/BruteForceProtection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | node |
| Тип доступа | Получите |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionAggressiveness
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionAggressiveness
Задайте условия, когда защита Brute-Force блокирует IP-адреса.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Низкий: только IP-адреса, которые являются вредоносными со 100 % достоверностью (по умолчанию). |
| 1 | Средний. Используйте облачную агрегацию, чтобы блокировать IP-адреса, которые более 99 % являются вредоносными. |
| 2 | Высокий. Блокировка IP-адресов, определенных с помощью логики клиента и контекста, чтобы блокировать IP-адреса, которые более 90 % являются вредоносными. |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionConfiguredState
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionConfiguredState
защита Brute-Force в Microsoft Defender Антивирусная программа обнаруживает и блокирует попытки принудительного входа и запуска сеансов.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не настроено. Применяйте значения по умолчанию, заданные антивирусной подсистемой и платформой. |
| 1 | Блокировать. Предотвращение подозрительного и вредоносного поведения. |
| 2 | Аудит. Создание обнаружения EDR без блокировки. |
| 4 | Выкл. Функция отключена без влияния на производительность. |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionExclusions
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionExclusions
Укажите IP-адреса, подсети или имена рабочих станций, чтобы исключить блокировку Brute-Force Protection. Обратите внимание, что злоумышленники могут подделать исключенные адреса и имена для обхода защиты.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: |) |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionMaxBlockTime
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionMaxBlockTime
Задайте максимальное время блокировки IP-адреса Brute-Force Protection. По истечении этого времени заблокированные IP-адреса смогут выполнять вход и инициировать сеансы. Если задано значение 0, внутренняя логика компонента будет определять время блокировки.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-4294967295] |
| Значение по умолчанию | 0 |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | node |
| Тип доступа | Получите |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionLocalNetworkBlocking
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionLocalNetworkBlocking
Расширьте охват защиты методом подбора в антивирусной программе Microsoft Defender, чтобы заблокировать локальные сетевые адреса.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Защита методом подбора не блокирует локальные сетевые адреса. |
| 1 | Защита методом подбора блокирует адреса локальной сети. |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionSkipLearningPeriod
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionSkipLearningPeriod
Пропустите 2-недельный начальный период обучения, чтобы защита методом подбора в Microsoft Defender Антивирусная программа могла немедленно начать блокировку.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Защита методом подбора блокирует угрозы только после завершения двухнедельного периода обучения. |
| 1 | Защита методом подбора немедленно начинает блокировать угрозы. |
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | node |
| Тип доступа | Получите |
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionAggressiveness
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionAggressiveness
Задайте условия, когда защита от удаленного шифрования блокирует IP-адреса.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Низкий: блокировать, только если уровень достоверности равен 100 % (по умолчанию). |
| 1 | Средний: используйте облачную агрегацию и блокируйте, если уровень достоверности превышает 99 %. |
| 2 | Высокий: используйте облачную intel и контекст, а также блокируйте, если уровень достоверности превышает 90 %. |
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionConfiguredState
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionConfiguredState
Защита от удаленного шифрования в Microsoft Defender Антивирусная программа обнаруживает и блокирует попытки замены локальных файлов зашифрованными версиями с другого устройства.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не настроено. Применение установленных по умолчанию значений для антивирусной подсистемы и платформы. |
| 1 | Блокировать. Предотвращение подозрительного и вредоносного поведения. |
| 2 | Аудит. Создание обнаружения EDR без блокировки. |
| 4 | Выкл. Функция отключена без влияния на производительность. |
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionExclusions
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionExclusions
Укажите IP-адреса, подсети или имена рабочих станций, которые будут исключены из блокировки с помощью защиты удаленного шифрования. Обратите внимание, что злоумышленники могут подделать исключенные адреса и имена для обхода защиты.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: |) |
| Значение по умолчанию | 0 |
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionMaxBlockTime
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionMaxBlockTime
Задайте максимальное время блокировки IP-адреса с помощью удаленной защиты шифрования. По истечении этого времени заблокированные IP-адреса смогут повторно инициировать подключения. Если задано значение 0, внутренняя логика компонента будет определять время блокировки.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-4294967295] |
| Значение по умолчанию | 0 |
Configuration/DataDuplicationDirectory
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationDirectory
Определите каталог дублирования данных для управления устройствами.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Configuration/DataDuplicationLocalRetentionPeriod
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationLocalRetentionPeriod
Определите период хранения в днях, сколько времени данные доказательств будут храниться на клиентском компьютере, если произойдет какая-либо передача в удаленные расположения.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [1-120] |
| Значение по умолчанию | 60 |
Configuration/DataDuplicationMaximumQuota
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationMaximumQuota
Определяет максимальную квоту дублирования данных в МБ, которую можно собрать. Когда квота достигнута, фильтр перестанет дублировать любые данные, пока служба не сможет отправить существующие собранные данные, тем самым уменьшая квоту ниже максимальной. Допустимый интервал — [5–5000] МБ. По умолчанию максимальная квота составляет 500 МБ.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [5-5000] |
| Значение по умолчанию | 500 |
Configuration/DataDuplicationRemoteLocation
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocation
Определите удаленное расположение дублирования данных для управления устройствами. При настройке этого параметра убедитесь, что управление устройствами включено, а предоставленный путь является удаленным путем, к которому пользователь может получить доступ.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Configuration/DaysUntilAggressiveCatchupQuickScan
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/DaysUntilAggressiveCatchupQuickScan
Настройте, сколько дней может пройти до запуска агрессивной быстрой проверки. Допустимый интервал — [7–60] дней. Если настройка не настроена, агрессивные быстрые проверки будут отключены. По умолчанию значение задается в 30 дней при включении.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [7-60] |
| Значение по умолчанию | 30 |
Configuration/DefaultEnforcement
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Configuration/DefaultEnforcement
Контроль управления устройствами принудительное применение по умолчанию. Это применение применяется, если правила политики отсутствуют или в конце оценки правил политики не были сопоставлены.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Разрешить принудительное применение по умолчанию. |
| 2 | Запрет принудительного применения по умолчанию. |
Configuration/DeviceControl
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | node |
| Тип доступа | Получите |
Configuration/DeviceControl/PolicyGroups
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | node |
| Тип доступа | Получите |
Configuration/DeviceControl/PolicyGroups/{GroupId}
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/{GroupId}
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | node |
| Тип доступа | Добавить, удалить, получить, заменить |
Configuration/DeviceControl/PolicyGroups/{GroupId}/GroupData
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/{GroupId}/GroupData
Дополнительные сведения см. в статье Microsoft Defender для конечной точки контроль доступа съемных носителей управления устройствами.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Configuration/DeviceControl/PolicyRules
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | node |
| Тип доступа | Получите |
Configuration/DeviceControl/PolicyRules/{RuleId}
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/{RuleId}
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | node |
| Тип доступа | Добавить, удалить, получить, заменить |
Configuration/DeviceControl/PolicyRules/{RuleId}/RuleData
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/{RuleId}/RuleData
Дополнительные сведения см. в статье Microsoft Defender для конечной точки контроль доступа съемных носителей управления устройствами.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Configuration/DeviceControlEnabled
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControlEnabled
Функция управления устройствами.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Управление устройствами включено. |
| 0 (по умолчанию) | Управление устройствами отключено. |
Configuration/DisableCacheMaintenance
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Configuration/DisableCacheMaintenance
Определяет, будет ли задача бездействия обслуживания кэша выполнять обслуживание кэша.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Обслуживание кэша отключено. |
| 0 (по умолчанию) | Обслуживание кэша включено (по умолчанию). |
Configuration/DisableCoreServiceECSIntegration
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/DisableCoreServiceECSIntegration
Отключите интеграцию ECS для основной службы Defender.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0x0 |
Допустимые значения:
| Flag | Описание |
|---|---|
| 0x0 (по умолчанию) | Базовая служба Defender будет использовать службу экспериментирования и конфигурации (ECS) для быстрой доставки критически важных исправлений для конкретной организации. |
| 0x1 | Базовая служба Defender перестает использовать службу экспериментирования и конфигурации (ECS). Исправления будут по-прежнему поставляться с помощью обновлений аналитики безопасности. |
Configuration/DisableCoreServiceTelemetry
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/DisableCoreServiceTelemetry
Отключите телеметрия OneDsCollector для основной службы Defender.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0x0 |
Допустимые значения:
| Flag | Описание |
|---|---|
| 0x0 (по умолчанию) | Базовая служба Defender будет использовать платформу OneDsCollector для быстрого сбора данных телеметрии. |
| 0x1 | Базовая служба Defender перестает использовать платформу OneDsCollector для быстрого сбора данных телеметрии, что влияет на способность корпорации Майкрософт быстро распознавать и устранять проблемы с низкой производительностью, ложными срабатываниями и другими проблемами. |
Configuration/DisableCpuThrottleOnIdleScans
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/DisableCpuThrottleOnIdleScans
Указывает, будет ли ЦП регулироваться для запланированных проверок во время простоя устройства. Эта функция включена по умолчанию и не будет регулировать ЦП для запланированных проверок, выполняемых, когда устройство в противном случае простаивает, независимо от того, для чего задано значение ScanAvgCPULoadFactor. Для всех остальных запланированных проверок этот флаг не будет влиять, и будет выполняться нормальное регулирование.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Отключите регулирование ЦП при сканировании в режиме простоя. |
| 0 | Включите регулирование ЦП при сканировании в режиме простоя. |
Configuration/DisableDatagramProcessing
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/DisableDatagramProcessing
Контроль того, проверяет ли защита сети трафик UDP.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Проверка UDP отключена. |
| 0 (по умолчанию) | Проверка UDP включена. |
Configuration/DisableDnsOverTcpParsing
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/DisableDnsOverTcpParsing
Этот параметр отключает синтаксический анализ DNS через TCP для защиты сети.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Синтаксический анализ DNS через TCP отключен. |
| 0 (по умолчанию) | Синтаксический анализ DNS через TCP включен. |
Configuration/DisableDnsParsing
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/DisableDnsParsing
Этот параметр отключает синтаксический анализ DNS для защиты сети.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Синтаксический анализ DNS отключен. |
| 0 (по умолчанию) | Синтаксический анализ DNS включен. |
Configuration/DisableFtpParsing
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/DisableFtpParsing
Этот параметр отключает анализ FTP для защиты сети.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Синтаксический анализ FTP отключен. |
| 0 (по умолчанию) | Синтаксический анализ FTP включен. |
Configuration/DisableGradualRelease
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/DisableGradualRelease
Включите эту политику, чтобы отключить постепенное развертывание обновлений Defender.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Постепенное освобождение отключено. |
| 0 (по умолчанию) | Включено постепенное освобождение. |
Настройка и отключениеHttpParsing
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/DisableHttpParsing
Этот параметр отключает анализ HTTP для защиты сети.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Синтаксический анализ HTTP отключен. |
| 0 (по умолчанию) | Синтаксический анализ HTTP включен. |
Configuration/DisableInboundConnectionFiltering
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/DisableInboundConnectionFiltering
Этот параметр отключает фильтрацию входящих подключений для защиты сети.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Фильтрация входящих подключений отключена. |
| 0 (по умолчанию) | Фильтрация входящих подключений включена. |
Configuration/DisableLocalAdminMerge
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/DisableLocalAdminMerge
Если для этого значения задано значение "Нет", локальный администратор может указать некоторые параметры для сложного типа списка, который затем объединит /переопределит параметры предпочтения с параметрами политики.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Да. |
| 0 (по умолчанию) | Нет. |
Configuration/DisableNetworkProtectionPerfTelemetry
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/DisableNetworkProtectionPerfTelemetry
Этот параметр отключает сбор и отправку данных телеметрии производительности из защиты сети.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Телеметрия защиты сети отключена. |
| 0 (по умолчанию) | Телеметрия защиты сети включена. |
Configuration/DisableQuicParsing
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/DisableQuicParsing
Этот параметр отключает синтаксический анализ QUIC для защиты сети.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Синтаксический анализ QUIC отключен. |
| 0 (по умолчанию) | Синтаксический анализ QUIC включен. |
Configuration/DisableRdpParsing
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/DisableRdpParsing
Этот параметр отключает синтаксический анализ RDP для защиты сети.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Синтаксический анализ RDP отключен. |
| 0 (по умолчанию) | Синтаксический анализ RDP включен. |
Configuration/DisableSmtpParsing
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/DisableSmtpParsing
Этот параметр отключает синтаксический анализ SMTP для защиты сети.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Синтаксический анализ SMTP отключен. |
| 0 (по умолчанию) | Синтаксический анализ SMTP включен. |
Настройка и отключениеSshParsing
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/DisableSshParsing
Этот параметр отключает синтаксический анализ SSH для защиты сети.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Синтаксический анализ SSH отключен. |
| 0 (по умолчанию) | Синтаксический анализ SSH включен. |
Configuration/DisableTlsParsing
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/DisableTlsParsing
Этот параметр отключает синтаксический анализ TLS для защиты сети.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Синтаксический анализ TLS отключен. |
| 0 (по умолчанию) | Синтаксический анализ TLS включен. |
Configuration/EnableConvertWarnToBlock
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/EnableConvertWarnToBlock
Этот параметр определяет, блокирует ли защита сети сетевой трафик вместо отображения предупреждения.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Предупреждать, что вердикты преобразуются в блок. |
| 0 (по умолчанию) | Предупреждать, что вердикты не преобразуются в блок. |
Configuration/EnableDnsSinkhole
Примечание.
Эта политика является устаревшей и может быть удалена в будущем выпуске.
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/EnableDnsSinkhole
Этот параметр включает функцию приемника DNS для защиты сети, учитывая значение EnableNetworkProtection для блока и аудита, ничего не делает в режиме проверки.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Воронка DNS отключена. |
| 1 (по умолчанию) | Включена воронка DNS. |
Configuration/EnableFileHashComputation
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1903 [10.0.18362] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/EnableFileHashComputation
Включает или отключает функцию вычисления хэша файлов. Если эта функция включена, Защитник Windows будет вычислять хэши для файлов, которые он сканирует.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Отключить. |
| 1 | Включить. |
Configuration/EnableUdpReceiveOffload
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/EnableUdpReceiveOffload
Этот параметр включает Udp Receive Offload Network Protection.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Разгрузка получения UDP отключена. |
| 1 | Включена разгрузка получения UDP. |
Configuration/EnableUdpSegmentationOffload
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/EnableUdpSegmentationOffload
Этот параметр включает защиту сетевой разгрузки сегментации Udp.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Разгрузка сегментации UDP отключена. |
| 1 | Включена разгрузка сегментации UDP. |
Configuration/EngineUpdatesChannel
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/EngineUpdatesChannel
Включите эту политику, чтобы указать, когда устройства получают обновления ядра Microsoft Defender во время ежемесячного постепенного развертывания.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не настроено (по умолчанию). Устройство будет оставаться в актуальном состоянии автоматически в течение цикла постепенного выпуска. Подходит для большинства устройств. |
| 2 | Бета-канал. Устройства, заданные для этого канала, будут первыми получать новые обновления. Выберите Канал бета-версии, чтобы принять участие в выявлении проблем и сообщать о проблемах в корпорацию Майкрософт. Устройства в программе предварительной оценки Windows по умолчанию подписаны на этот канал. Для использования в (ручных) тестовых средах и ограниченном числе устройств. |
| 3 | Текущий канал (предварительная версия). Устройствам, заданным для этого канала, будут предлагаться обновления как можно раньше в течение ежемесячного цикла постепенного выпуска. Рекомендуется для предварительных и проверочных сред. |
| 4 | Current Channel (Staged). Устройствам будут предложены обновления после ежемесячного цикла постепенного выпуска. Рекомендуется применять к небольшой, репрезентативной части производственного населения (~10%). |
| 5 | Текущий канал (широкий). Устройствам будут предложены обновления только после завершения цикла постепенного выпуска. Рекомендуется применять к широкому набору устройств в рабочей среде (~10–100%). |
| 6 | Критический — задержка по времени. Устройствам будут предлагаться обновления с задержкой в 48 часов. Рекомендуется только для критических сред. |
Configuration/ExcludedIpAddresses
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/ExcludedIpAddresses
Позволяет администратору явно отключить проверку сетевых пакетов, выполненную wdnisdrv для определенного набора IP-адресов.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Регулярное выражение: ^(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$|^(?:[0-9a-fA-F]{1,4}:){7}[0-9a-fA-F]{1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,6}:[0-9a-fA-F]{1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,5}(?::[0-9a-fA-F]{1,4}){1,2}$|^(?:[0-9a-fA-F]{1,4}:){1,4}(?::[0-9a-fA-F]{1,4}){1,3}$|^(?:[0-9a-fA-F]{1,4}:){1,3}(?::[0-9a-fA-F]{1,4}){1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,2}(?::[0-9a-fA-F]{1,4}){1,5}$|^[0-9a-fA-F]{1,4}(?::[0-9a-fA-F]{1,4}){1,6}$|^::1$|^::$ |
Configuration/HideExclusionsFromLocalAdmins
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Configuration/HideExclusionsFromLocalAdmins
Этот параметр политики определяет, видны ли исключения локальным администраторам. Для управления видимостью исключений локальных пользователей используйте HideExclusionsFromLocalUsers. Если параметр HideExclusionsFromLocalAdmins задан, неявно будет задан параметр HideExclusionsFromLocalUsers.
Примечание.
Применение этого параметра не приведет к удалению исключений из реестра устройств, а только предотвратит их применение и использование. Это отражено в Get-MpPreference.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Если этот параметр включен, локальные администраторы больше не смогут просматривать список исключений в приложении Безопасность Windows или с помощью PowerShell. |
| 0 (по умолчанию) | Если этот параметр отключен или не настроен, локальные администраторы смогут видеть исключения в приложении Безопасность Windows и с помощью PowerShell. |
Configuration/HideExclusionsFromLocalUsers
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Configuration/HideExclusionsFromLocalUsers
Этот параметр политики определяет, видны ли исключения локальным пользователям. Если параметр HideExclusionsFromLocalAdmins задан, эта политика будет неявно задана.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Если этот параметр включен, локальные пользователи больше не смогут просматривать список исключений в приложении Безопасность Windows или с помощью PowerShell. |
| 0 (по умолчанию) | Если этот параметр отключен или не настроен, локальные пользователи смогут видеть исключения в приложении Безопасность Windows и с помощью PowerShell. |
Configuration/IntelTDTEnabled
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 2004 [10.0.19041] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/IntelTDTEnabled
Этот параметр политики настраивает уровень интеграции Intel TDT для устройств с поддержкой Intel TDT.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Если этот параметр не настроен, будет применено значение по умолчанию. Значение по умолчанию управляется обновлениями аналитики безопасности Майкрософт. Корпорация Майкрософт включит Intel TDT, если существует известная угроза. |
| 1 | Если этот параметр включен, интеграция Intel TDT будет включена. |
| 2 | Если этот параметр отключен, интеграция Intel TDT отключится. |
Configuration/MeteredConnectionUpdates
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/MeteredConnectionUpdates
Разрешить управляемым устройствам обновляться через лимитные подключения. Значение по умолчанию : 0 — запрещено, 1 — разрешено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Разрешено. |
| 0 (по умолчанию) | Запрещено. |
Configuration/NetworkProtectionReputationMode
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/NetworkProtectionReputationMode
Это задает подсистему режима репутации для защиты сети.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Используйте стандартный механизм репутации. |
| 1 | Используйте подсистему репутации ESP. |
Configuration/OobeEnableRtpAndSigUpdate
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/OobeEnableRtpAndSigUpdate
Этот параметр позволяет настроить, включены ли защита в режиме реального времени и Обновления аналитики безопасности во время запуска OOBE (встроенный интерфейс).
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Если этот параметр включен, во время запуска запуска будут включены защита в режиме реального времени и Обновления аналитики безопасности. |
| 0 (по умолчанию) | Если этот параметр отключен или не настроен, защита в режиме реального времени и аналитика безопасности Обновления во время запуска запуска не будут включены. |
Configuration/PassiveRemediation
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/PassiveRemediation
Параметр для управления автоматическим исправлением для проверок sense.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0x0 |
Допустимые значения:
| Flag | Описание |
|---|---|
| 0x0 (по умолчанию) | Пассивное исправление отключено (по умолчанию). |
| 0x1 | PASSIVE_REMEDIATION_FLAG_SENSE_AUTO_REMEDIATION: пассивное автоматическое восстановление. |
| 0x2 | PASSIVE_REMEDIATION_FLAG_RTP_AUDIT: пассивный аудит защиты в реальном времени. |
| 0x4 | PASSIVE_REMEDIATION_FLAG_RTP_REMEDIATION: пассивное исправление в режиме реального времени. |
Configuration/PerformanceModeStatus
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/PerformanceModeStatus
Этот параметр позволяет ИТ-администраторам настраивать режим производительности в режиме включения или отключения для управляемых устройств.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Режим производительности включен (по умолчанию). |
| 1 | Режим производительности отключен. |
Configuration/PlatformUpdatesChannel
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/PlatformUpdatesChannel
Включите эту политику, чтобы указать, когда устройства получают обновления Microsoft Defender платформы во время ежемесячного постепенного развертывания.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не настроено (по умолчанию). Устройство будет оставаться в актуальном состоянии автоматически в течение цикла постепенного выпуска. Подходит для большинства устройств. |
| 2 | Бета-канал. Устройства, заданные для этого канала, будут первыми получать новые обновления. Выберите Канал бета-версии, чтобы принять участие в выявлении проблем и сообщать о проблемах в корпорацию Майкрософт. Устройства в программе предварительной оценки Windows по умолчанию подписаны на этот канал. Для использования в (ручных) тестовых средах и ограниченном числе устройств. |
| 3 | Текущий канал (предварительная версия). Устройствам, заданным для этого канала, будут предлагаться обновления как можно раньше в течение ежемесячного цикла постепенного выпуска. Рекомендуется для предварительных и проверочных сред. |
| 4 | Current Channel (Staged). Устройствам будут предложены обновления после ежемесячного цикла постепенного выпуска. Рекомендуется применять к небольшой, репрезентативной части производственного населения (~10%). |
| 5 | Текущий канал (широкий). Устройствам будут предложены обновления только после завершения цикла постепенного выпуска. Рекомендуется применять к широкому набору устройств в рабочей среде (~10–100%). |
| 6 | Критический — задержка по времени. Устройствам будут предлагаться обновления с задержкой в 48 часов. Рекомендуется только для критических сред. |
Configuration/QuickScanIncludeExclusions
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/QuickScanIncludeExclusions
Этот параметр позволяет сканировать исключенные файлы и каталоги во время быстрых проверок.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Если задать для этого параметра значение 0 или не настроить его, исключения не проверяются во время быстрых проверок. |
| 1 | Если для этого параметра задано значение 1, все файлы и каталоги, исключенные из защиты в режиме реального времени с помощью контекстных исключений, проверяются во время быстрой проверки. |
Configuration/RandomizeScheduleTaskTimes
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/RandomizeScheduleTaskTimes
В Microsoft Defender Антивирусная программа рандомизируйте время начала сканирования до любого интервала от 0 до 23 часов. Это может быть полезно для виртуальных машин или развертываний VDI.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Расширение или сужение периода рандомизации для запланированных проверок. Укажите окно рандомизации от 1 до 23 часов с помощью параметра SchedulerRandomizationTime. |
| 0 | Запланированные задачи не будут случайными. |
Configuration/ScanOnlyIfIdleEnabled
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/ScanOnlyIfIdleEnabled
В Microsoft Defender антивирусная программа выполняет запланированные проверки только в том случае, если система простаивает.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Выполняет запланированные проверки, только если система простаивает. |
| 0 | Выполняет запланированные проверки независимо от того, простаивает ли система. |
Configuration/SchedulerRandomizationTime
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/SchedulerRandomizationTime
Этот параметр позволяет настроить рандомизацию планировщика в часах. Интервал рандомизации — [1–23] часов. Дополнительные сведения о эффекте рандомизации проверка параметр RandomizeScheduleTaskTimes.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [1-23] |
| Значение по умолчанию | 4 |
Configuration/ScheduleSecurityIntelligenceUpdateDay
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/ScheduleSecurityIntelligenceUpdateDay
Этот параметр позволяет указать день недели, в который следует проверка для обновлений аналитики безопасности. По умолчанию этот параметр настроен так, чтобы никогда не проверка обновлений аналитики безопасности.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 8 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Ежедневный. |
| 1 | Воскресенье. |
| 2 | Понедельник. |
| 3 | Вторник. |
| 4 | Среда. |
| 5 | Четверг. |
| 6 | Пятница. |
| 7 | Суббота. |
| 8 (по умолчанию) | "Никогда". |
Configuration/ScheduleSecurityIntelligenceUpdateTime
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/ScheduleSecurityIntelligenceUpdateTime
Этот параметр позволяет указать время суток, в которое необходимо проверка для обновлений аналитики безопасности. Значение времени представляется в виде количества минут после полуночи (00:00). Например, значение 120 эквивалентно 02:00. По умолчанию этот параметр настроен для проверка обновлений аналитики безопасности за 15 минут до запланированного времени сканирования. Расписание основано на местном времени на компьютере, где происходит проверка.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1439] |
| Значение по умолчанию | 105 |
Configuration/SecuredDevicesConfiguration
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration
Определяет основные идентификаторы устройства, которые должны быть защищены с помощью элемента управления устройством Defender. Значения первичного идентификатора должны быть разделены по каналу (|). Пример: RemovableMediaDevices|CdRomDevices. Если эта конфигурация не задана, будет применено значение по умолчанию, то есть все поддерживаемые устройства будут защищены. В настоящее время поддерживаются основные идентификаторы: RemovableMediaDevices, CdRomDevices, WpdDevices, PrinterDevices.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Допустимые значения:
| Значение | Описание |
|---|---|
| Съемные MediaDevices | Съемные MediaDevices. |
| CdRomDevices | CdRomDevices. |
| WpdDevices | WpdDevices. |
| PrinterDevices | PrinterDevices. |
Configuration/SecurityIntelligenceLocationUpdateAtScheduledTimeOnly
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1903 [10.0.18362] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/SecurityIntelligenceLocationUpdateAtScheduledTimeOnly
Этот параметр позволяет настроить обновления аналитики безопасности в соответствии с планировщиком компьютеров, настроенных VDI. Он используется вместе с общим расположением аналитики безопасности (SecurityIntelligenceLocation).
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Если этот параметр включен и настроен SecurityIntelligenceLocation, обновления из настроенного расположения происходят только в ранее настроенное время запланированного обновления. |
| 0 (по умолчанию) | Если этот параметр отключен или не настроен, обновления происходят при каждом обнаружении нового обновления аналитики безопасности в расположении, указанном в securityIntelligenceLocation. |
Configuration/SecurityIntelligenceUpdatesChannel
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/SecurityIntelligenceUpdatesChannel
Включите эту политику, чтобы указать, когда устройства получают обновления Microsoft Defender аналитики безопасности во время ежедневного постепенного развертывания.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не настроено (по умолчанию). Устройство будет оставаться в актуальном состоянии автоматически в течение цикла постепенного выпуска. Подходит для большинства устройств. |
| 4 | Current Channel (Staged). Устройствам будут предложены обновления после цикла выпуска. Рекомендуется применять к небольшой репрезентативной части производственного населения (~10%). |
| 5 | Текущий канал (широкий). Устройствам будут предложены обновления только после завершения цикла постепенного выпуска. Рекомендуется применять к широкому набору устройств в рабочей среде (~10–100%). |
Configuration/SupportLogLocation
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/SupportLogLocation
Параметр расположения журнала поддержки позволяет администратору указать, где средство сбора диагностических данных Microsoft Defender антивирусной программы (MpCmdRun.exe) будет сохранять полученные файлы журнала. Этот параметр настраивается с помощью решения MDM, например Intune, и доступен для Windows 10 Корпоративная.
Пользовательский интерфейс Intune поддержки расположения журнала поддерживает три состояния:
- Не настроено (по умолчанию) — не влияет на состояние устройства по умолчанию.
- 1 - включено. Включает функцию расположения журнала поддержки. Администратор должен задать пользовательский путь к файлу.
- 0 — отключено. Отключает функцию расположения журнала поддержки.
Если параметр включен или отключен на клиенте, а администратор переместит параметр на не настроенное, это не повлияет на состояние устройства. Чтобы изменить состояние на включено или отключено, необходимо явно задать значение .
Дополнительные сведения:
- диагностические данные антивирусной программы Microsoft Defender
- Сбор пакета исследования с устройств
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Конфигурация или изменение защиты
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1903 [10.0.18362] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/TamperProtection
Защита от незаконного изменения помогает защитить важные функции безопасности от нежелательных изменений и помех. Это включает защиту в режиме реального времени, мониторинг поведения и многое другое. Принимает подписанную строку, чтобы включить или отключить функцию. Параметры настраиваются с помощью решения MDM, например Intune и доступны в Windows 10 Корпоративная E5 или эквивалентных подписках. Отправьте blob-объект на устройство, чтобы сбросить состояние защиты от незаконного изменения, прежде чем задать для этой конфигурации значение "не настроено" или "не назначено" в Intune. Типом данных является большой двоичный объект с подписью.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Configuration/ThrottleForScheduledScanOnly
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Defender/Configuration/ThrottleForScheduledScanOnly
Ограничение использования ЦП можно применить только к запланированным сканированиям или к запланированным и настраиваемым проверкам. Значение по умолчанию применяет ограничение использования ЦП только к запланированным проверкам.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Если этот параметр включен, регулирование ЦП будет применяться только к запланированным проверкам. |
| 0 | Если этот параметр отключен, регулирование ЦП будет применяться к запланированным и настраиваемым проверкам. |
Обнаружения
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Detections
Внутренний узел для группировки всех угроз, обнаруженных Защитником Windows.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | node |
| Тип доступа | Получите |
Обнаружения/{ThreatId}
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}
Идентификатор угрозы, обнаруженной Защитником Windows.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | node |
| Тип доступа | Получите |
| Динамическое именование узлов | ClientInventory |
Обнаружения/{ThreatId}/Category
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Category
Идентификатор категории угроз. Поддерживаемые значения:
| Значение | Описание |.
|:--|:--|.
| 0 | Недопустимый |.
| 1 | Рекламное ПО |.
| 2 | Шпионское ПО |.
| 3 | Средство кражи паролей |.
| 4 | Троянский загрузчик |.
| 5 | Червь |.
| 6 | Backdoor |.
| 7 | Троянец удаленного доступа |.
| 8 | Троянец |.
| 9 | Email наводнение |.
| 10 | Keylogger |.
| 11 | Абонент |.
| 12 | Программное обеспечение для мониторинга |.
| 13 | Модификатор браузера |.
| 14 | Файл cookie |.
| 15 | Подключаемый модуль браузера |.
| 16 | Эксплойт AOL |.
| 17 | Нукер |.
| 18 | Отключение безопасности |.
| 19 | Шутка программа |.
| 20 | Враждебный элемент ActiveX |.
| 21 | Пакет программного обеспечения |.
| 22 | Модификатор стелс-стелс |.
| 23 | Модификатор параметров |.
| 24 | Панель инструментов |.
| 25 | Программное обеспечение для удаленного управления |.
| 26 | Ftp-троянец |.
| 27 | Потенциально нежелательное программное обеспечение |.
| 28 | Эксплойт ICQ |.
| 29 | Троянский telnet |.
| 30 | Эксплойт |.
| 31 | Программа общего доступа к файлам |.
| 32 | Средство создания вредоносных программ |.
| 33 | Программное обеспечение для удаленного управления |.
| 34 | Инструмент |.
| 36 | Отказ в обслуживании трояна |.
| 37 | Троянская капельницы |.
| 38 | Троянская массовая рассылка |.
| 39 | Программное обеспечение для мониторинга троянов |.
| 40 | Троянский прокси-сервер |.
| 42 | Вирус |.
| 43 | Известный |.
| 44 | Неизвестно |.
| 45 | SPP |.
| 46 | Поведение |.
| 47 | Уязвимость |.
| 48 | Политика |.
| 49 | EUS (корпоративное нежелательное программное обеспечение) |.
| 50 | Программа-шантажист |.
| 51 | Правило ASR |
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Получите |
Обнаружения/{ThreatId}/CurrentStatus
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/CurrentStatus
Сведения о текущем состоянии угрозы. В следующем списке показаны поддерживаемые значения:
| Значение | Описание |.
|:--|:--|.
| 0 | Активный |.
| 1 | Сбой действия |.
| 2 | Требуется выполнить действия вручную |.
| 3 | Требуется полная проверка |.
| 4 | Требуется перезагрузка |.
| 5 | Исправлены некритические сбои |.
| 6 | В карантине |.
| 7 | Удалено |.
| 8 | Очищено |.
| 9 | Разрешено |.
| 10 | Нет состояния ( снято) |
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Получите |
Detections/{ThreatId}/ExecutionStatus
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/ExecutionStatus
Сведения о состоянии выполнения угрозы.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Получите |
Detections/{ThreatId}/InitialDetectionTime
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/InitialDetectionTime
При первом обнаружении этой конкретной угрозы.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Получите |
Detections/{ThreatId}/LastThreatStatusChangeTime
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/LastThreatStatusChangeTime
В последний раз, когда эта конкретная угроза была изменена.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Получите |
Detections/{ThreatId}/Name
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Name
Имя конкретной угрозы.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Получите |
Обнаружения/{ThreatId}/NumberOfDetections
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/NumberOfDetections
Количество случаев обнаружения этой угрозы на конкретном клиенте.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Получите |
Обнаружения/{ThreatId}/Серьезность
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Severity
Идентификатор серьезности угрозы. В следующем списке показаны поддерживаемые значения:
| Значение | Описание |.
|:--|:--|.
| 0 | Неизвестно |.
| 1 | Низкий |.
| 2 | Средний |.
| 4 | Высокий |.
| 5 | Серьезное |
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Получите |
Обнаружения/{ThreatId}/URL-адрес
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/URL
ССЫЛКА НА URL-адрес для получения дополнительных сведений об угрозах.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Получите |
Health
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Health
Внутренний узел для группировки сведений о состоянии работоспособности Защитника Windows.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | node |
| Тип доступа | Получите |
Работоспособности и состояния компьютера
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Health/ComputerState
Укажите текущее состояние устройства. В следующем списке показаны поддерживаемые значения:
| Значение | Описание |.
|:--|:--|.
| 0 | Очистить |.
| 1 | Ожидается полная проверка |.
| 2 | Ожидание перезагрузки |.
| 4 | Ожидающие действия вручную (Защитник Windows ожидает выполнения пользователем некоторых действий, таких как перезагрузка компьютера или запуск полной проверки) |.
| 8 | Ожидается проверка в автономном режиме |.
| 16 | Ожидается критический сбой (сбой Защитника Windows произошел критически, и администратору необходимо исследовать и предпринять некоторые действия, такие как перезагрузка компьютера или переустановка Защитника Windows) |
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Получите |
Health/DefenderEnabled
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Health/DefenderEnabled
Указывает, запущена ли служба Защитника Windows.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | bool |
| Тип доступа | Получите |
Работоспособности и DefenderVersion
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Health/DefenderVersion
Номер версии Защитника Windows на устройстве.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Получите |
Health/DeviceControl
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Health/DeviceControl
Внутренний узел для группирования сведений о состоянии работоспособности Устройства Cotrol.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Получите |
Работоспособности, deviceControl/State
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Health/DeviceControl/State
Укажите текущее состояние элемента управления устройствами.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Получите |
Health/EngineVersion
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Health/EngineVersion
Номер версии текущего обработчика Защитника Windows на устройстве.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Получите |
Health/FullScanOverdue
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Health/FullScanOverdue
Указывает, просрочена ли полная проверка в Защитнике Windows для устройства. Полная проверка просрочена, если запланированная полная проверка не завершилась успешно в течение 2 недель, а перехват Полные проверки отключены (по умолчанию).
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | bool |
| Тип доступа | Получите |
Health/FullScanRequired
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Health/FullScanRequired
Указывает, требуется ли полная проверка в Защитнике Windows.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | bool |
| Тип доступа | Получите |
Health/FullScanSigVersion
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Health/FullScanSigVersion
Версия сигнатуры, используемая для последнего полного сканирования устройства.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Получите |
Health/FullScanTime
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Health/FullScanTime
Время последней полной проверки устройства в Защитнике Windows.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Получите |
Health/IsVirtualMachine
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1903 [10.0.18362] и более поздние |
./Device/Vendor/MSFT/Defender/Health/IsVirtualMachine
Указывает, является ли устройство виртуальной машиной.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | bool |
| Тип доступа | Получите |
Health/NisEnabled
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Health/NisEnabled
Указывает, запущена ли защита сети.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | bool |
| Тип доступа | Получите |
Health/ProductStatus
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Defender/Health/ProductStatus
Укажите текущее состояние продукта. Это значение флага битовой маски, которое может представлять одно или несколько состояний продукта из приведенного ниже списка. Поддерживаемые значения состояния продукта:
| Значение | Описание |.
|:--|:--|.
| 0 | Нет состояния |.
| 1 (1 << 0) | Служба не запущена |.
| 2 (1 << 1) | Служба запущена без механизма защиты от вредоносных программ |.
| 4 (1 << 2) | Ожидается полная проверка из-за действия угрозы |.
| 8 (1 << 3) | Ожидание перезагрузки из-за действия угрозы |.
| 16 (1 << 4) | завершение действий вручную из-за действия угрозы |.
| 32 (1 << 5) | Устаревшие подписи AV |.
| 64 (1 << 6) | Устаревшие подписи AS |.
| 128 (1 << 7) | Быстрая проверка за указанный период времени |не выполнена.
| 256 (1 << 8) | Полное сканирование за указанный период |не выполнено.
| 512 (1 << 9) | Выполняется проверка, инициированная системой |.
| 1024 (1 << 10) | Выполняется очистка, инициированная системой |.
| 2048 (1 << 11) | Есть примеры, ожидающие отправки |.
| 4096 (1 << 12) | Продукт, работающий в режиме оценки |.
| 8192 (1 << 13) | Продукт, работающий в режиме Windows, не является подлинным |.
| 16384 (1 << 14) | Срок действия продукта истек |.
| 32768 (1 << 15) | Требуется внестрочное сканирование |.
| 65536 (1 << 16) | Служба завершает работу в рамках завершения работы системы |.
| 131072 (1 << 17) | Исправление угроз завершилось критическим сбоем |.
| 262144 (1 << 18) | Исправление угроз завершилось некритичным сбоем |.
| 524288 (1 << 19) | Флаги состояния не заданы (хорошо инициализированное состояние) |.
| 1048576 (1 << 20) | Платформа устарела |.
| 2097152 (1 << 21) | Выполняется обновление платформы |.
| 4194304 (1 << 22) | Платформа устареет |.
| 8388608 (1 << 23) | Сигнатура или платформа истекли или надвигаются |.
| 16777216 (1 << 24) | Подписи Windows SMode по-прежнему используются при установке, отличной от Win10S |
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Получите |
Пример:
<SyncML xmlns="SYNCML:SYNCML1.1">
<SyncBody>
<Get>
<CmdID>1</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/Defender/Health/ProductStatus</LocURI>
</Target>
</Item>
</Get>
<Final/>
</SyncBody>
</SyncML>
Health/QuickScanOverdue
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Health/QuickScanOverdue
Указывает, просрочена ли быстрая проверка в Защитнике Windows для устройства. Быстрая проверка просрочена, если запланированная быстрая проверка не завершилась успешно в течение 2 недель, а быстрые проверки отключаются (по умолчанию).
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | bool |
| Тип доступа | Получите |
Health/QuickScanSigVersion
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Health/QuickScanSigVersion
Версия сигнатуры, используемая для последней быстрой проверки устройства.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Получите |
Health/QuickScanTime
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Health/QuickScanTime
Время последней быстрой проверки устройства в Защитнике Windows.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Получите |
Работоспособности и перезагрузки
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Health/RebootRequired
Указывает, требуется ли перезагрузка устройства.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | bool |
| Тип доступа | Получите |
Health/RtpEnabled
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Health/RtpEnabled
Указывает, запущена ли защита в режиме реального времени.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | bool |
| Тип доступа | Получите |
Health/SignatureOutOfDate
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Health/SignatureOutOfDate
Указывает, устарела ли подпись Защитника Windows.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | bool |
| Тип доступа | Получите |
Работоспособности и сигнатуры
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Health/SignatureVersion
Номер версии текущих подписей Защитника Windows на устройстве.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Получите |
Health/TamperProtectionEnabled
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1903 [10.0.18362] и более поздние |
./Device/Vendor/MSFT/Defender/Health/TamperProtectionEnabled
Указывает, включена ли функция защиты от незаконного изменения в Защитнике Windows.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | bool |
| Тип доступа | Получите |
OfflineScan
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Defender/OfflineScan
Действие OfflineScan запускает проверку Microsoft Defender в автономном режиме на компьютере, где выполняется команда. После следующей перезагрузки ОС устройство запустится в Microsoft Defender автономном режиме, чтобы начать сканирование.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Exec, Get |
| Поведение перезагрузки | ServerInitiated |
RollbackEngine
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Defender/RollbackEngine
Действие RollbackEngine выполняет откат Microsoft Defender подсистемы до последней известной хорошей сохраненной версии на компьютере, где выполняется команда.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Exec, Get |
| Поведение перезагрузки | ServerInitiated |
RollbackPlatform
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Defender/RollbackPlatform
Действие RollbackPlatform выполняет откат Microsoft Defender до последнего известного расположения установки на компьютере, где выполняется команда.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Exec, Get |
| Поведение перезагрузки | ServerInitiated |
Scan
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/Scan
Узел, который можно использовать для запуска проверки в Защитнике Windows на устройстве.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Exec, Get |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Быстрая проверка. |
| 2 | Полная проверка. |
UpdateSignature
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии |
./Device/Vendor/MSFT/Defender/UpdateSignature
Узел, который можно использовать для обновления сигнатур для Защитника Windows.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Exec, Get |