Поставщик служб CSP политики — Defender
AllowArchiveScanning
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowArchiveScanning
Этот параметр политики позволяет настроить проверки вредоносных и нежелательных программ в архивных файлах, таких как . ZIP или . CAB-файлы.
Если этот параметр включен или не настроен, архивные файлы будут проверяться.
Если этот параметр отключен, архивные файлы не будут проверяться. Однако архивы всегда сканируются во время направленных проверок.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. Отключает проверку архивных файлов. |
| 1 (по умолчанию) | Разрешено. Сканирует архивные файлы. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_DisableArchiveScanning |
| Понятное имя | Проверять архивные файлы |
| Расположение | Конфигурация компьютера |
| Путь | Антивирусная > проверка компонентов > Windows в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя значения реестра | DisableArchiveScanning |
| Имя файла ADMX | WindowsDefender.admx |
AllowBehaviorMonitoring
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowBehaviorMonitoring
Этот параметр политики позволяет настроить мониторинг поведения.
Если этот параметр включен или не настроен, будет включен мониторинг поведения.
Если этот параметр отключен, мониторинг поведения будет отключен.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. Отключает мониторинг поведения. |
| 1 (по умолчанию) | Разрешено. Включает мониторинг поведения в режиме реального времени. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | RealtimeProtection_DisableBehaviorMonitoring |
| Понятное имя | Включить наблюдение за поведением |
| Расположение | Конфигурация компьютера |
| Путь | Защита от антивирусной программы > Microsoft Defender в реальном времени компонентов > Windows |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Имя значения реестра | DisableBehaviorMonitoring |
| Имя файла ADMX | WindowsDefender.admx |
AllowCloudProtection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1507 [10.0.10240] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowCloudProtection
Этот параметр политики позволяет присоединиться к Microsoft MAPS. Microsoft MAPS — это онлайн-сообщество, которое помогает вам выбрать способ реагирования на потенциальные угрозы. Сообщество также помогает остановить распространение новых вредоносных программных инфекций.
Вы можете отправить базовую или дополнительную информацию об обнаружении программного обеспечения. Дополнительные сведения помогут корпорации Майкрософт создать новую аналитику безопасности и помочь ей защитить компьютер. Эта информация может включать такие сведения, как расположение обнаруженных элементов на компьютере, если опасное программное обеспечение было удалено. Информация будет автоматически собираться и отправляться. В некоторых случаях личная информация может непреднамеренно отправляться в корпорацию Майкрософт. Однако корпорация Майкрософт не будет использовать эти сведения для идентификации вас или связи с вами.
Возможные варианты:
(0x0) Отключено (по умолчанию) (0x1) Базовое членство (0x2) Расширенное членство.
Базовое членство будет отправлять в корпорацию Майкрософт основную информацию об обнаружении программного обеспечения, в том числе о том, откуда поступило программное обеспечение, о действиях, которые вы применяете или которые применяются автоматически, а также о том, были ли выполнены эти действия.
Расширенное членство, помимо основных сведений, будет отправлять в корпорацию Майкрософт дополнительные сведения о вредоносных программах, шпионских программах и потенциально нежелательных программах, включая расположение программного обеспечения, имена файлов, принцип работы программного обеспечения и его влияние на ваш компьютер.
Если этот параметр включен, вы присоединитесь к Microsoft MAPS с указанным членством.
Если этот параметр отключен или не настроен, вы не будете присоединяться к Microsoft MAPS.
В Windows 10 членство уровня "Базовый" больше не доступно, поэтому при установке значения 1 или 2 устройство регистрируется в режиме расширенного членства.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. Отключает службу Microsoft Active Protection. |
| 1 (по умолчанию) | Разрешено. Включает службу Microsoft Active Protection. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | SpynetReporting |
| Понятное имя | Присоединиться к Microsoft MAPS |
| Имя элемента | Присоединяйтесь к Microsoft MAPS. |
| Расположение | Конфигурация компьютера |
| Путь | Компоненты > Windows— карты антивирусной программы > Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Spynet |
| Имя файла ADMX | WindowsDefender.admx |
AllowEmailScanning
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowEmailScanning
Этот параметр политики позволяет настроить проверку электронной почты. Если сканирование электронной почты включено, подсистема анализирует почтовый ящик и почтовые файлы в соответствии с их определенным форматом, чтобы проанализировать тексты и вложения почты. В настоящее время поддерживается несколько форматов электронной почты, например: pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Сканирование электронной почты не поддерживается в современных почтовых клиентах.
Если этот параметр включен, проверка электронной почты будет включена.
Если этот параметр отключен или не настроен, проверка электронной почты будет отключена.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не допускается. Отключает проверку электронной почты. |
| 1 | Разрешено. Включает проверку электронной почты. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_DisableEmailScanning |
| Понятное имя | Включить проверку электронной почты |
| Расположение | Конфигурация компьютера |
| Путь | Антивирусная > проверка компонентов > Windows в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя значения реестра | DisableEmailScanning |
| Имя файла ADMX | WindowsDefender.admx |
AllowFullScanOnMappedNetworkDrives
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanOnMappedNetworkDrives
Этот параметр политики позволяет настроить сканирование сопоставленных сетевых дисков.
Если этот параметр включен, будут проверяться сопоставленные сетевые диски.
Если этот параметр отключен или не настроен, сопоставленные сетевые диски не будут проверяться.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не допускается. Отключает сканирование на сопоставленных сетевых дисках. |
| 1 | Разрешено. Сканирует сопоставленные сетевые диски. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_DisableScanningMappedNetworkDrivesForFullScan |
| Понятное имя | Выполнять полную проверку на подключенных сетевых дисках |
| Расположение | Конфигурация компьютера |
| Путь | Антивирусная > проверка компонентов > Windows в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя значения реестра | DisableScanningMappedNetworkDrivesForFullScan |
| Имя файла ADMX | WindowsDefender.admx |
AllowFullScanRemovableDriveScanning
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanRemovableDriveScanning
Этот параметр политики позволяет управлять тем, следует ли проверять наличие вредоносных и нежелательных программ в содержимом съемных дисков, таких как USB-устройства флэш-памяти, при выполнении полной проверки.
Если этот параметр включен, съемные диски будут проверяться во время проверки любого типа.
Если этот параметр отключен или не настроен, съемные диски не будут проверяться во время полной проверки. Съемные диски могут по-прежнему проверяться во время быстрой и пользовательской проверки.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не допускается. Отключает сканирование на съемных дисках. |
| 1 | Разрешено. Проверяет съемные диски. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_DisableRemovableDriveScanning |
| Понятное имя | Проверять съемные носители |
| Расположение | Конфигурация компьютера |
| Путь | Антивирусная > проверка компонентов > Windows в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя значения реестра | DisableRemovableDriveScanning |
| Имя файла ADMX | WindowsDefender.admx |
AllowIntrusionPreventionSystem
Примечание.
Эта политика является устаревшей и может быть удалена в будущем выпуске.
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIntrusionPreventionSystem
Разрешает или запрещает функции защиты от вторжений в Защитнике Windows.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. |
| 1 (по умолчанию) | Разрешено. |
AllowIOAVProtection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIOAVProtection
Этот параметр политики позволяет настроить проверку всех скачанных файлов и вложений.
Если этот параметр включен или не настроен, будет включена проверка на наличие всех скачанных файлов и вложений.
Если этот параметр отключен, проверка на наличие всех скачанных файлов и вложений будет отключена.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. |
| 1 (по умолчанию) | Разрешено. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | RealtimeProtection_DisableIOAVProtection |
| Понятное имя | Проверять все загруженные файлы и вложения |
| Расположение | Конфигурация компьютера |
| Путь | Защита от антивирусной программы > Microsoft Defender в реальном времени компонентов > Windows |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Имя значения реестра | DisableIOAVProtection |
| Имя файла ADMX | WindowsDefender.admx |
AllowOnAccessProtection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowOnAccessProtection
Этот параметр политики позволяет настроить мониторинг действий файлов и программ.
Если этот параметр включен или не настроен, будет включен мониторинг действий файлов и программ.
Если этот параметр отключен, мониторинг активности файлов и программ будет отключен.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. |
| 1 (по умолчанию) | Разрешено. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | RealtimeProtection_DisableOnAccessProtection |
| Понятное имя | Наблюдать за действиями файлов и программ на компьютере |
| Расположение | Конфигурация компьютера |
| Путь | Защита от антивирусной программы > Microsoft Defender в реальном времени компонентов > Windows |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Имя значения реестра | DisableOnAccessProtection |
| Имя файла ADMX | WindowsDefender.admx |
AllowRealtimeMonitoring
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowRealtimeMonitoring
Разрешает или запрещает функции мониторинга в реальном времени в Защитнике Windows.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. Отключает службу мониторинга в режиме реального времени. |
| 1 (по умолчанию) | Разрешено. Включает и запускает службу мониторинга в режиме реального времени. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | DisableRealtimeMonitoring |
| Понятное имя | Отключить защиту в реальном времени |
| Расположение | Конфигурация компьютера |
| Путь | Защита от антивирусной программы > Microsoft Defender в реальном времени компонентов > Windows |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Имя значения реестра | DisableRealtimeMonitoring |
| Имя файла ADMX | WindowsDefender.admx |
AllowScanningNetworkFiles
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScanningNetworkFiles
Этот параметр политики позволяет настроить запланированные проверки и проверки по запросу (инициированные вручную) для файлов, доступ к которым выполняется по сети. Рекомендуется включить этот параметр.
Примечание.
Эта политика не влияет на проверку защиты в режиме реального времени (при доступе).
- Если этот параметр включен или не настроен, будут проверяться сетевые файлы.
- Если этот параметр отключен, сетевые файлы не будут проверяться.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не допускается. Отключает сканирование сетевых файлов. |
| 1 | Разрешено. Сканирует сетевые файлы. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_DisableScanningNetworkFiles |
| Понятное имя | Проверять сетевые файлы |
| Расположение | Конфигурация компьютера |
| Путь | Антивирусная > проверка компонентов > Windows в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя значения реестра | DisableScanningNetworkFiles |
| Имя файла ADMX | WindowsDefender.admx |
AllowScriptScanning
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScriptScanning
Разрешает или запрещает функцию сканирования скриптов в Защитнике Windows.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. |
| 1 (по умолчанию) | Разрешено. |
AllowUserUIAccess
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1507 [10.0.10240] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowUserUIAccess
Этот параметр политики позволяет настроить, следует ли отображать пользовательский интерфейс AM для пользователей.
Если этот параметр включен, пользовательский интерфейс AM будет недоступен для пользователей.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. Запрещает пользователям доступ к пользовательскому интерфейсу. |
| 1 (по умолчанию) | Разрешено. Позволяет пользователям получать доступ к пользовательскому интерфейсу. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | UX_Configuration_UILockdown |
| Понятное имя | Включить режим пользовательского интерфейса без монитора |
| Расположение | Конфигурация компьютера |
| Путь | Клиентский > интерфейс антивирусной программы > "Компоненты Windows" в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\UX Configuration |
| Имя значения реестра | UILockdown |
| Имя файла ADMX | WindowsDefender.admx |
AttackSurfaceReductionOnlyExclusions
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1709 [10.0.16299] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Исключите файлы и пути из правил сокращения направлений атак (ASR).
Включен:
Укажите папки или файлы и ресурсы, которые должны быть исключены из правил ASR, в разделе Параметры.
Введите каждое правило в новой строке в виде пары "имя-значение":
- Столбец имен. Введите путь к папке или полное имя ресурса. Например, "C:\Windows" исключит все файлы в этом каталоге. "C:\Windows\App.exe" исключит только этот конкретный файл в этой конкретной папке.
- Столбец значений: введите "0" для каждого элемента.
Нетрудоспособный:
Исключения не будут применяться к правилам ASR.
Не настроено:
То же, что и Отключено.
Вы можете настроить правила ASR в параметре GP Configure Attack Surface Reduction rules (Настройка правил сокращения направлений атаки).
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: |) |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | ExploitGuard_ASR_ASROnlyExclusions |
| Понятное имя | Исключите файлы и пути из правил сокращения направлений атак |
| Имя элемента | Исключения из правил ASR. |
| Расположение | Конфигурация компьютера |
| Путь | Windows Components > Microsoft Defender Антивирусная программа > Microsoft Defender, сокращение контактной зоны атак Exploit Guard > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Exploit Guard\ASR |
| Имя файла ADMX | WindowsDefender.admx |
AttackSurfaceReductionRules
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1709 [10.0.16299] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Задайте состояние для каждого правила сокращения направлений атаки (ASR).
После включения этого параметра в разделе Параметры для каждого правила можно задать следующее:
- Блокировать: правило будет применено
- Режим аудита: если правило обычно вызывает событие, оно будет записано (хотя правило на самом деле не применяется).
- Выкл.: правило не будет применяться
- Не настроено: правило включено со значениями по умолчанию
- Предупреждение: правило будет применено, и у конечного пользователя будет возможность обойти блок.
Если правило ASR не отключено, для правил ASR собирается подсценка событий аудита со значением не настроено.
Включен:
Укажите состояние для каждого правила ASR в разделе Параметры для этого параметра.
Введите каждое правило в новой строке в виде пары "имя-значение":
- Столбец имен. Введите допустимый идентификатор правила ASR.
- Столбец значений. Введите идентификатор состояния, связанный с состоянием, которое требуется указать для связанного правила.
В столбце значения разрешены следующие идентификаторы состояния:
- 1 (блок)
- 0 (выкл.)
- 2 (аудит)
- 5 (не настроено)
- 6 (предупреждение)
Пример.
xxxxxxxxx-xxxx-xxxx-xxxx-xxxx 0 xxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xxxxx-xxxxx
Нетрудоспособный:
Правила ASR не будут настроены.
Не настроено:
То же, что и Отключено.
Папки или файлы можно исключить в параметре групповой политики "Исключить файлы и пути из правил сокращения направлений атак".
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | ExploitGuard_ASR_Rules |
| Понятное имя | Настройка правил сокращения направлений атаки |
| Имя элемента | Задайте состояние для каждого правила ASR. |
| Расположение | Конфигурация компьютера |
| Путь | Windows Components > Microsoft Defender Антивирусная программа > Microsoft Defender, сокращение контактной зоны атак Exploit Guard > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Exploit Guard\ASR |
| Имя файла ADMX | WindowsDefender.admx |
AvgCPULoadFactor
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/AvgCPULoadFactor
Этот параметр политики позволяет настроить максимальный процент загрузки ЦП, разрешенный во время проверки. Допустимые значения для этого параметра — это процент, представленный целыми числами от 5 до 100. Значение 0 указывает, что регулирование использования ЦП не должно быть. Значение по умолчанию — 50.
Если этот параметр включен, загрузка ЦП не превысит указанное процентное значение.
Если этот параметр отключен или не настроен, загрузка ЦП не превысит значение по умолчанию.
Примечание.
Если включить обе следующие политики, Windows игнорирует значение AvgCPULoadFactor:
- ScanOnlyIfIdle: указывает продукту проверять, только если компьютер не используется.
- DisableCpuThrottleOnIdleScans: указывает продукту отключить регулирование ЦП при простоях сканирования.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-100] |
| Значение по умолчанию | 50 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_AvgCPULoadFactor |
| Понятное имя | Задать максимальный процент использования ЦП во время проверки |
| Имя элемента | Укажите максимальный процент загрузки ЦП во время сканирования. |
| Расположение | Конфигурация компьютера |
| Путь | Антивирусная > проверка компонентов > Windows в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя файла ADMX | WindowsDefender.admx |
CheckForSignaturesBeforeRunningScan
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/CheckForSignaturesBeforeRunningScan
Этот параметр политики позволяет управлять тем, будет ли выполняться проверка на наличие новых вирусов и шпионских программ безопасности перед выполнением проверки.
Этот параметр применяется к запланированным проверкам, но он не влияет на проверки, инициированные вручную из пользовательского интерфейса, или на проверки, запущенные из командной строки с помощью mpcmdrun -Scan.
Если этот параметр включен, перед выполнением проверки будет выполняться проверка на наличие новой аналитики безопасности.
Если этот параметр отключен или не настроен, проверка начнет использовать существующую аналитику безопасности.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Служба отключена. |
| 1 | Включено. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | CheckForSignaturesBeforeRunningScan |
| Понятное имя | Проверьте наличие последних вирусов и шпионских программ безопасности перед выполнением запланированной проверки. |
| Расположение | Конфигурация компьютера |
| Путь | Антивирусная > проверка компонентов > Windows в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя файла ADMX | WindowsDefender.admx |
CloudBlockLevel
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1709 [10.0.16299] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/CloudBlockLevel
Этот параметр политики определяет, насколько агрессивной будет антивирусная программа Microsoft Defender при блокировке и проверке подозрительных файлов.
Если этот параметр включен, антивирусная программа Microsoft Defender будет более агрессивной при обнаружении подозрительных файлов для блокировки и сканирования. В противном случае он будет менее агрессивным и, следовательно, блокировать и сканировать с меньшей частотой.
Дополнительные сведения о поддерживаемых значениях см. на сайте документации по антивирусной программе в Microsoft Defender.
Примечание.
Для работы этой функции требуется включить параметр "Присоединиться к Microsoft MAPS".
Возможные варианты:
(0x0) Уровень блокировки антивирусной программы в Microsoft Defender по умолчанию (0x1) Умеренный уровень блокировки антивирусной программы в Microsoft Defender, выставляет вердикт только для обнаружения высокой достоверности (0x2) Высокий уровень блокировки — агрессивно блокируют неизвестные при оптимизации производительности клиента (больше вероятность ложноположительных результатов) (0x4) Высокий уровень блокировки — агрессивно блокируют неизвестные и применяют дополнительные меры защиты (может повлиять на производительность клиента) (0x6) Уровень блокировки нулевой допустимости — блокирует все неизвестные исполняемые файлы.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | NotConfigured. |
| 2 | Высокий. |
| 4 | HighPlus. |
| 6 | ZeroTolerance. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | MpEngine_MpCloudBlockLevel |
| Понятное имя | Выбор уровня защиты в облаке |
| Имя элемента | Выберите уровень блокировки облака. |
| Расположение | Конфигурация компьютера |
| Путь | Компоненты > Windows Антивирусная программа > MpEngine в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\MpEngine |
| Имя файла ADMX | WindowsDefender.admx |
CloudExtendedTimeout
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1709 [10.0.16299] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/CloudExtendedTimeout
Эта функция позволяет антивирусной программе Microsoft Defender блокировать подозрительный файл на срок до 60 секунд и сканировать его в облаке, чтобы убедиться, что он в безопасности.
Обычное время ожидания облачной проверки составляет 10 секунд. Чтобы включить функцию расширенной облачной проверки, укажите дополнительное время в секундах до дополнительных 50 секунд.
Например, если требуемое время ожидания равно 60 секундам, укажите в этом параметре 50 секунд, что позволит включить функцию расширенной облачной проверки и увеличить общее время до 60 секунд.
Примечание.
Эта функция зависит от трех других параметров MAPS: "Настройка функции "Блокировать при первом взгляде"; " Присоединиться к Microsoft MAPS"; "Отправлять примеры файлов, когда требуется дальнейший анализ", все необходимо включить.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-50] |
| Значение по умолчанию | 0 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | MpEngine_MpBafsExtendedTimeout |
| Понятное имя | Настройка расширенной проверки облака |
| Имя элемента | Укажите время расширенной облачной проверки в секундах. |
| Расположение | Конфигурация компьютера |
| Путь | Компоненты > Windows Антивирусная программа > MpEngine в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\MpEngine |
| Имя файла ADMX | WindowsDefender.admx |
ControlledFolderAccessAllowedApplications
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1709 [10.0.16299] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications
Добавьте дополнительные приложения, которые должны считаться доверенными при управляемом доступе к папкам.
Этим приложениям разрешено изменять или удалять файлы в управляемых папках доступа к папкам.
Антивирусная программа Microsoft Defender автоматически определяет, каким приложениям следует доверять. Этот параметр можно настроить для добавления дополнительных приложений.
Включен:
Укажите дополнительные разрешенные приложения в разделе Параметры.
Нетрудоспособный:
Дополнительные приложения не будут добавлены в список доверенных.
Не настроено:
То же, что и Отключено.
Вы можете включить управляемый доступ к папкам в параметре GP Настройка управляемого доступа к папкам.
Системные папки по умолчанию автоматически защищаются, но вы можете добавить папки в параметре настроить защищенные папки GP.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: |) |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | ExploitGuard_ControlledFolderAccess_AllowedApplications |
| Понятное имя | Настройка разрешенных приложений |
| Имя элемента | Введите приложения, которые должны быть доверенными. |
| Расположение | Конфигурация компьютера |
| Путь | Компоненты > Windows Антивирусная программа > Microsoft Defender, контролируемый доступ к папкам Exploit Guard > в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access |
| Имя файла ADMX | WindowsDefender.admx |
ControlledFolderAccessProtectedFolders
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1709 [10.0.16299] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessProtectedFolders
Укажите дополнительные папки, которые должны быть защищены с помощью функции управляемого доступа к папкам.
Файлы в этих папках не могут быть изменены или удалены ненадежными приложениями.
Системные папки по умолчанию автоматически защищаются. Этот параметр можно настроить для добавления дополнительных папок.
Список системных папок по умолчанию, которые защищены, отображается в разделе Безопасность Windows.
Включен:
Укажите дополнительные папки, которые должны быть защищены, в разделе Параметры.
Нетрудоспособный:
Дополнительные папки не будут защищены.
Не настроено:
То же, что и Отключено.
Вы можете включить управляемый доступ к папкам в параметре GP Настройка управляемого доступа к папкам.
Антивирусная программа Microsoft Defender автоматически определяет, каким приложениям можно доверять. Вы можете добавить дополнительные доверенные приложения в параметре Настройка разрешенных приложений групповой политики.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: |) |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | ExploitGuard_ControlledFolderAccess_ProtectedFolders |
| Понятное имя | Настройка защищенных папок |
| Имя элемента | Введите папки, которые должны быть защищены. |
| Расположение | Конфигурация компьютера |
| Путь | Компоненты > Windows Антивирусная программа > Microsoft Defender, контролируемый доступ к папкам Exploit Guard > в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access |
| Имя файла ADMX | WindowsDefender.admx |
DaysToRetainCleanedMalware
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1507 [10.0.10240] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/DaysToRetainCleanedMalware
Этот параметр политики определяет количество дней, в течение которых элементы должны храниться в папке Карантин перед удалением.
Если этот параметр включен, элементы будут удалены из папки Карантин по истечении указанного количества дней.
Если этот параметр отключен или не настроен, элементы будут храниться в папке карантина на неопределенный срок и не будут автоматически удалены.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-90] |
| Значение по умолчанию | 0 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Quarantine_PurgeItemsAfterDelay |
| Понятное имя | Настроить удаление элементов из папки "Карантин" |
| Имя элемента | Настройте удаление элементов из папки карантина. |
| Расположение | Конфигурация компьютера |
| Путь | Карантин антивирусной программы > Microsoft Defender для > компонентов Windows |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Quarantine |
| Имя файла ADMX | WindowsDefender.admx |
DisableCatchupFullScan
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupFullScan
Этот параметр политики позволяет настроить догоняющий просмотр для запланированных полных проверок. Проверка наверстку — это проверка, которая инициируется из-за пропуска регулярно запланированной проверки. Обычно эти запланированные проверки пропускаются, так как компьютер был выключен в запланированное время.
Если этот параметр отключен или не настроен, проверка наверстает на наличие запланированных полных проверок. Если компьютер находится в автономном режиме для двух последовательных запланированных проверок, проверка наверста запускается при следующем входе на компьютер. Если запланированное сканирование не настроено, проверка наверста не будет выполнена.
Если этот параметр включен, проверки на догоня для запланированных полных проверок будут отключены.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Включено. |
| 1 (по умолчанию) | Служба отключена. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_DisableCatchupFullScan |
| Понятное имя | Включение полной проверки наверстку |
| Расположение | Конфигурация компьютера |
| Путь | Антивирусная > проверка компонентов > Windows в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя файла ADMX | WindowsDefender.admx |
DisableCatchupQuickScan
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupQuickScan
Этот параметр политики позволяет настроить проверку наверх для запланированных быстрых проверок. Проверка наверстку — это проверка, которая инициируется из-за пропуска регулярно запланированной проверки. Обычно эти запланированные проверки пропускаются, так как компьютер был выключен в запланированное время.
Если вы отключите или не настроите этот параметр, проверка наверстку для запланированных быстрых проверок будет включена. Если компьютер находится в автономном режиме для двух последовательных запланированных проверок, проверка наверста запускается при следующем входе на компьютер. Если запланированное сканирование не настроено, проверка наверста не будет выполнена.
Если этот параметр включен, проверка наверх для запланированных быстрых проверок будет отключена.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Включено. |
| 1 (по умолчанию) | Служба отключена. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_DisableCatchupQuickScan |
| Понятное имя | Включение быстрой проверки наверстку |
| Расположение | Конфигурация компьютера |
| Путь | Антивирусная > проверка компонентов > Windows в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя файла ADMX | WindowsDefender.admx |
EnableControlledFolderAccess
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1709 [10.0.16299] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableControlledFolderAccess
Включение или отключение управляемого доступа к папкам для ненадежных приложений. Вы можете заблокировать, провести аудит или разрешить попытки со стороны ненадежных приложений:
- Изменение или удаление файлов в защищенных папках, таких как папка "Документы"
- Запись в секторы диска.
Вы также можете блокировать или аудит записи в секторы диска, разрешая при этом изменение или удаление файлов в защищенных папках.
Антивирусная программа Microsoft Defender автоматически определяет, каким приложениям можно доверять. Вы можете добавить дополнительные доверенные приложения в параметре Настройка разрешенных приложений групповой политики.
Системные папки по умолчанию автоматически защищаются, но вы можете добавить папки в параметр Настроить защищенные папки групповой политики.
Блок:
Следующие действия будут заблокированы:
- Попытки ненадежных приложений изменить или удалить файлы в защищенных папках
- Попытки ненадежных приложений выполнить запись в секторы диска.
Журнал событий Windows будет записывать эти блоки в разделе Журналы > приложений и служб Microsoft > Windows > Defender > Операционный > идентификатор 1123.
Нетрудоспособный:
Следующие действия не будут заблокированы и будут разрешены к выполнению:
- Попытки ненадежных приложений изменить или удалить файлы в защищенных папках
- Попытки ненадежных приложений выполнить запись в секторы диска.
Эти попытки не записываются в журнал событий Windows.
Режим аудита:
Следующие действия не будут заблокированы и будут разрешены к выполнению:
- Попытки ненадежных приложений изменить или удалить файлы в защищенных папках
- Попытки ненадежных приложений выполнить запись в секторы диска.
Журнал событий Windows запишет эти попытки в разделе Журналы > приложений и служб Microsoft > Windows > Defender > Операционный > идентификатор 1124.
Только блокировать изменение диска:
Следующие действия будут заблокированы:
- Попытки ненадежных приложений выполнить запись в секторы диска.
Журнал событий Windows запишет эти попытки в разделе Журналы > приложений и служб Microsoft > Windows > Defender > Операционный > идентификатор 1123.
Следующие действия не будут заблокированы и будут разрешены к выполнению:
- Попытки ненадежных приложений изменить или удалить файлы в защищенных папках.
Эти попытки не записываются в журнал событий Windows.
Аудит только изменения диска:
Следующие действия не будут заблокированы и будут разрешены к выполнению:
- Попытки ненадежных приложений записывать данные в секторы диска
- Попытки ненадежных приложений изменить или удалить файлы в защищенных папках.
В журнале событий Windows будут записываться только попытки записи в секторы защищенного диска (в разделе Журналы > приложений и служб Microsoft > Windows > Defender > Operational > ID 1124).
Попытки изменения или удаления файлов в защищенных папках не записываются.
Не настроено:
То же, что и Отключено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Служба отключена. |
| 1 | Включено. |
| 2 | Режим аудита. |
| 3 | Блокировать только изменение диска. |
| 4 | Аудит только изменения диска. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | ExploitGuard_ControlledFolderAccess_EnableControlledFolderAccess |
| Понятное имя | Настройка управляемого доступа к папкам |
| Имя элемента | Настройте функцию защиты папок. |
| Расположение | Конфигурация компьютера |
| Путь | Компоненты > Windows Антивирусная программа > Microsoft Defender, контролируемый доступ к папкам Exploit Guard > в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access |
| Имя файла ADMX | WindowsDefender.admx |
EnableLowCPUPriority
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableLowCPUPriority
Этот параметр политики позволяет включить или отключить низкий приоритет ЦП для запланированных проверок.
Если этот параметр включен, во время запланированных проверок будет использоваться низкий приоритет ЦП.
Если этот параметр отключен или не настроен, приоритет ЦП для запланированных проверок вноситься не будет.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Служба отключена. |
| 1 | Включено. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_LowCpuPriority |
| Понятное имя | Настройка низкого приоритета ЦП для запланированных проверок |
| Расположение | Конфигурация компьютера |
| Путь | Антивирусная > проверка компонентов > Windows в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя файла ADMX | WindowsDefender.admx |
EnableNetworkProtection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1709 [10.0.16299] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableNetworkProtection
Включите или отключите защиту сети Exploit Guard в Microsoft Defender, чтобы предотвратить использование сотрудниками любого приложения для доступа к опасным доменам, в которых могут размещаться фишинговые аферы, сайты размещения эксплойтов и другое вредоносное содержимое в Интернете.
Включен:
Укажите режим в разделе Параметры:
-Block: пользователи и приложения не смогут получить доступ к опасным доменам . Режим аудита: пользователи и приложения могут подключаться к опасным доменам, однако если эта функция заблокировала бы доступ, если бы она была настроена на Блокировать, запись события будет находиться в журналах событий.
Нетрудоспособный:
Пользователям и приложениям не будет запрещено подключаться к опасным доменам.
Не настроено:
То же, что и Отключено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Служба отключена. |
| 1 | Включено (блочный режим). |
| 2 | Включено (режим аудита). |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | ExploitGuard_EnableNetworkProtection |
| Понятное имя | Запрет доступа пользователей и приложений к опасным веб-сайтам |
| Расположение | Конфигурация компьютера |
| Путь | Компоненты > Windows Антивирусная программа > Microsoft Defender Microsoft Defender Защита сети Exploit Guard > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Exploit Guard\Network Protection |
| Имя файла ADMX | WindowsDefender.admx |
ExcludedExtensions
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedExtensions
Позволяет администратору указать список расширений типов файлов, которые следует игнорировать во время проверки. Каждый тип файлов в списке должен быть разделен |. Например, lib|obj.
Примечание.
Чтобы предотвратить несанкционированные изменения исключений, примените защиту от незаконного изменения. Защита от незаконного изменения для исключений работает только при соблюдении определенных условий .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: |) |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Exclusions_Extensions |
| Понятное имя | Исключения расширений |
| Имя элемента | Исключения расширений. |
| Расположение | Конфигурация компьютера |
| Путь | Исключения антивирусной программы > Microsoft Defender для компонентов > Windows |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Exclusions |
| Имя файла ADMX | WindowsDefender.admx |
ExcludedPaths
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedPaths
Позволяет администратору указать список путей к каталогам, которые следует игнорировать во время проверки. Каждый путь в списке должен быть разделен |. Например, C:\Example|C:\Example1.
Примечание.
Чтобы предотвратить несанкционированные изменения исключений, примените защиту от незаконного изменения. Защита от незаконного изменения для исключений работает только при соблюдении определенных условий .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: |) |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Exclusions_Paths |
| Понятное имя | Исключения пути |
| Имя элемента | Исключения путей. |
| Расположение | Конфигурация компьютера |
| Путь | Исключения антивирусной программы > Microsoft Defender для компонентов > Windows |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Exclusions |
| Имя файла ADMX | WindowsDefender.admx |
ExcludedProcesses
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedProcesses
Позволяет администратору указать список файлов, открытых процессами, которые следует игнорировать во время проверки.
Важно.
Сам процесс не исключается из сканирования, но может быть исключен с помощью политики Defender/ExcludeedPaths. Каждый тип файла должен быть разделен |. Например, C:\Example. exe|C:\Example1.exe.
Примечание.
Чтобы предотвратить несанкционированные изменения исключений, примените защиту от незаконного изменения. Защита от незаконного изменения для исключений работает только при соблюдении определенных условий .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: |) |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Exclusions_Processes |
| Понятное имя | Исключения процессов |
| Имя элемента | Исключения обработки. |
| Расположение | Конфигурация компьютера |
| Путь | Исключения антивирусной программы > Microsoft Defender для компонентов > Windows |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Exclusions |
| Имя файла ADMX | WindowsDefender.admx |
PUAProtection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/PUAProtection
Включение или отключение обнаружения потенциально нежелательных приложений. Вы можете заблокировать, провести аудит или разрешить, если потенциально нежелательное программное обеспечение скачивается или пытается установить себя на компьютере.
Включен:
Укажите режим в разделе Параметры:
-Block: потенциально нежелательное программное обеспечение будет заблокировано.
Режим аудита: потенциально нежелательное программное обеспечение не будет заблокировано, однако если эта функция заблокировала бы доступ, если бы она была настроена на Блокировать, то запись события будет находиться в журналах событий.
Нетрудоспособный:
Потенциально нежелательное программное обеспечение не будет заблокировано.
Не настроено:
То же, что и Отключено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Защита от pua отключена. Защитник Windows не защищает от потенциально нежелательных приложений. |
| 1 | Защита от pua включено. Обнаруженные элементы блокируются. Они будут отображаться в истории вместе с другими угрозами. |
| 2 | Режим аудита. Защитник Windows будет обнаруживать потенциально нежелательные приложения, но не предпринимать никаких действий. Вы можете просмотреть сведения о приложениях, с которыми Защитник Windows выполнил бы действия, выполнив поиск событий, созданных Защитником Windows, в средстве просмотра событий. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Root_PUAProtection |
| Понятное имя | Настройка обнаружения для потенциально нежелательных приложений |
| Расположение | Конфигурация компьютера |
| Путь | Компоненты > Windows Антивирусная программа Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender |
| Имя файла ADMX | WindowsDefender.admx |
RealTimeScanDirection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1507 [10.0.10240] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/RealTimeScanDirection
Этот параметр политики позволяет настроить мониторинг входящих и исходящих файлов без необходимости полностью отключать мониторинг. Его рекомендуется использовать на серверах, где выполняется много операций с входящими и исходящими файлами, но для повышения производительности необходимо отключить сканирование для определенного направления сканирования. Соответствующая конфигурация должна оцениваться на основе роли сервера.
Обратите внимание, что эта конфигурация учитывается только для томов NTFS. Для любого другого типа файловой системы на этих томах будет присутствовать полный мониторинг активности файлов и программ.
Параметры этого параметра являются взаимоисключающими:
0 = сканирование входящих и исходящих файлов (по умолчанию) 1 = сканирование только входящих файлов 2 = сканирование только исходящих файлов.
Любое другое значение или, если значение не существует, разрешается в значение по умолчанию (0).
Если этот параметр включен, будет включен указанный тип мониторинга.
Если этот параметр отключен или не настроен, будет включен мониторинг входящих и исходящих файлов.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Мониторинг всех файлов (двунаправленный). |
| 1 | Мониторинг входящих файлов. |
| 2 | Мониторинг исходящих файлов. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | RealtimeProtection_RealtimeScanDirection |
| Понятное имя | Настроить отслеживание активности входящих и исходящих файлов и программ |
| Имя элемента | Настройте мониторинг входящих и исходящих файлов и действий программ. |
| Расположение | Конфигурация компьютера |
| Путь | Защита от антивирусной программы > Microsoft Defender в реальном времени компонентов > Windows |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Имя файла ADMX | WindowsDefender.admx |
ScanParameter
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1507 [10.0.10240] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/ScanParameter
Этот параметр политики позволяет указать тип сканирования, используемый во время запланированной проверки. Параметры типа сканирования:
1 = быстрая проверка (по умолчанию) 2 = полная проверка.
Если этот параметр включен, для типа сканирования будет задано указанное значение.
Если этот параметр отключен или не настроен, будет использоваться тип сканирования по умолчанию.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Быстрая проверка. |
| 2 | Полная проверка. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_ScanParameters |
| Понятное имя | Укажите тип проверки для запланированной проверки |
| Имя элемента | Укажите тип сканирования, используемый для запланированной проверки. |
| Расположение | Конфигурация компьютера |
| Путь | Антивирусная > проверка компонентов > Windows в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя файла ADMX | WindowsDefender.admx |
ScheduleQuickScanTime
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1507 [10.0.10240] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleQuickScanTime
Этот параметр политики позволяет указать время суток, в течение которого выполняется ежедневная быстрая проверка. Значение времени представляется в виде количества минут после полуночи (00:00). Например, 120 (0x78) эквивалентно 02:00. По умолчанию для этого параметра задано значение Отключено. Расписание основано на местном времени на компьютере, где выполняется сканирование.
Если этот параметр включен, в указанное время будет выполняться ежедневная быстрая проверка.
Если этот параметр отключен или не настроен, ежедневная быстрая проверка, контролируемая этой конфигурацией, не будет выполняться.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1380] |
| Значение по умолчанию | 120 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_ScheduleQuickScantime |
| Понятное имя | Задать время для ежедневной быстрой проверки |
| Имя элемента | Укажите время для ежедневной быстрой проверки. |
| Расположение | Конфигурация компьютера |
| Путь | Антивирусная > проверка компонентов > Windows в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя файла ADMX | WindowsDefender.admx |
ScheduleScanDay
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1507 [10.0.10240] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanDay
Этот параметр политики позволяет указать день недели, в который будет выполняться запланированное сканирование. Проверку также можно настроить так, чтобы она выполнялись каждый день или никогда не выполнялись вообще.
Этот параметр можно настроить со следующими порядковыми значениями:
(0x0) Каждый день (0x1) воскресенье (0x2) понедельник (0x3) вторник (0x4) среда (0x5) четверг (0x6) пятница (0x7) суббота (0x8) Никогда (по умолчанию)
Если этот параметр включен, запланированная проверка будет выполняться с указанной частотой.
Если этот параметр отключен или не настроен, запланированная проверка будет выполняться с частотой по умолчанию.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Каждый день. |
| 1 | Воскресенье. |
| 2 | Понедельник. |
| 3 | Вторник. |
| 4 | Среда. |
| 5 | Четверг. |
| 6 | Пятница. |
| 7 | Суббота. |
| 8 | Запланированное сканирование отсутствует. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_ScheduleDay |
| Понятное имя | Задать день недели для запуска запланированной проверки |
| Имя элемента | Укажите день недели для выполнения запланированной проверки. |
| Расположение | Конфигурация компьютера |
| Путь | Антивирусная > проверка компонентов > Windows в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя файла ADMX | WindowsDefender.admx |
ScheduleScanTime
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1507 [10.0.10240] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanTime
Этот параметр политики позволяет указать время суток для выполнения запланированной проверки. Значение времени представляется в виде количества минут после полуночи (00:00). Например, 120 (0x78) эквивалентно 02:00. По умолчанию для этого параметра задано значение времени 2:00. Расписание основано на местном времени на компьютере, где выполняется сканирование.
Если этот параметр включен, запланированная проверка будет выполняться в указанное время суток.
Если этот параметр отключен или не настроен, запланированная проверка будет выполняться по умолчанию.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1380] |
| Значение по умолчанию | 120 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_ScheduleTime |
| Понятное имя | Задать время дня для запуска запланированной проверки |
| Имя элемента | Укажите время суток для выполнения запланированной проверки. |
| Расположение | Конфигурация компьютера |
| Путь | Антивирусная > проверка компонентов > Windows в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя файла ADMX | WindowsDefender.admx |
SecurityIntelligenceLocation
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1903 [10.0.18362] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/SecurityIntelligenceLocation
Этот параметр политики позволяет определить расположение аналитики безопасности для компьютеров, настроенных VDI.
Если этот параметр отключен или не настроен, аналитика безопасности будет ссылаться из локального источника по умолчанию.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | SignatureUpdate_SharedSignaturesLocation |
| Понятное имя | Определение расположения аналитики безопасности для клиентов VDI. |
| Имя элемента | Определите общую папку для скачивания обновлений аналитики безопасности в виртуальных средах. |
| Расположение | Конфигурация компьютера |
| Путь | Обновления аналитики > безопасности антивирусной программы > в Microsoft Defender для компонентов Windows |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Signature Updates |
| Имя файла ADMX | WindowsDefender.admx |
SignatureUpdateFallbackOrder
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder
Этот параметр политики позволяет определить порядок связи с различными источниками обновлений аналитики безопасности. Значение этого параметра должно быть введено в виде разделенной по каналу строки, перечисляющей источники обновлений аналитики безопасности по порядку. Возможные значения: InternalDefinitionUpdateServer, MicrosoftUpdateServer, MMPC и FileShares.
Например: { InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC }
Если этот параметр включен, с источниками обновлений аналитики безопасности будут обращаться в указанном порядке. После успешного скачивания обновлений аналитики безопасности из одного указанного источника с остальными источниками в списке не будет связываться.
Если этот параметр отключен или не настроен, источники обновлений аналитики безопасности будут обращаться в порядке по умолчанию.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: |) |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | SignatureUpdate_FallbackOrder |
| Понятное имя | Определение порядка источников для скачивания обновлений аналитики безопасности |
| Имя элемента | Определите порядок источников для скачивания обновлений аналитики безопасности. |
| Расположение | Конфигурация компьютера |
| Путь | Обновления аналитики > безопасности антивирусной программы > в Microsoft Defender для компонентов Windows |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Signature Updates |
| Имя файла ADMX | WindowsDefender.admx |
SignatureUpdateFileSharesSources
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFileSharesSources
Этот параметр политики позволяет настроить источники файлового ресурса UNC для скачивания обновлений аналитики безопасности. Связь с источниками будет осуществляться в указанном порядке. Значение этого параметра должно быть введено в виде строки с разделителями по каналу, перечисляющей источники обновлений аналитики безопасности. Например: "{\\unc1 | \\unc2 }". Список по умолчанию пуст.
Если этот параметр включен, с указанными источниками будут обращаться для получения обновлений аналитики безопасности. После успешного скачивания обновлений аналитики безопасности из одного указанного источника с остальными источниками в списке не будет связываться.
Если этот параметр отключен или не настроен, список по умолчанию останется пустым и с источниками не будет обращаться.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: |) |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | SignatureUpdate_DefinitionUpdateFileSharesSources |
| Понятное имя | Определение общих папок для скачивания обновлений аналитики безопасности |
| Имя элемента | Определение общих папок для скачивания обновлений аналитики безопасности. |
| Расположение | Конфигурация компьютера |
| Путь | Обновления аналитики > безопасности антивирусной программы > в Microsoft Defender для компонентов Windows |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Signature Updates |
| Имя файла ADMX | WindowsDefender.admx |
SignatureUpdateInterval
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1507 [10.0.10240] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateInterval
Этот параметр политики позволяет указать интервал проверки наличия обновлений аналитики безопасности. Значение времени представляется в виде количества часов между проверками обновления. Допустимые значения варьируются от 1 (каждый час) до 24 (один раз в день).
Если этот параметр включен, проверки наличия обновлений аналитики безопасности будут выполняться через указанный интервал.
Если этот параметр отключен или не настроен, проверки на наличие обновлений аналитики безопасности будут выполняться через интервал по умолчанию.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-24] |
| Значение по умолчанию | 8 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | SignatureUpdate_SignatureUpdateInterval |
| Понятное имя | Указание интервала для проверки наличия обновлений аналитики безопасности |
| Имя элемента | Укажите интервал для проверки наличия обновлений аналитики безопасности. |
| Расположение | Конфигурация компьютера |
| Путь | Обновления аналитики > безопасности антивирусной программы > в Microsoft Defender для компонентов Windows |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Signature Updates |
| Имя файла ADMX | WindowsDefender.admx |
SubmitSamplesConsent
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1507 [10.0.10240] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/SubmitSamplesConsent
Этот параметр политики настраивает поведение отправки примеров при настройке согласия на телеметрия MAPS.
Возможные варианты:
(0x0) Всегда запрашивать (0x1) Отправлять безопасные примеры автоматически (0x2) Никогда не отправлять (0x3) Отправлять все образцы автоматически.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Всегда спрашивать. |
| 1 (по умолчанию) | Автоматическая отправка безопасных примеров. |
| 2 | Никогда не отправлять. |
| 3 | Отправлять все образцы автоматически. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | SubmitSamplesConsent |
| Понятное имя | Отправлять образцы файлов, если требуется дальнейший анализ |
| Имя элемента | Отправка примеров файлов при необходимости дальнейшего анализа. |
| Расположение | Конфигурация компьютера |
| Путь | Компоненты > Windows— карты антивирусной программы > Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Spynet |
| Имя файла ADMX | WindowsDefender.admx |
ThreatSeverityDefaultAction
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/ThreatSeverityDefaultAction
Этот параметр политики позволяет настроить автоматическое исправление для каждого уровня оповещений об угрозах. Уровни оповещений об угрозах должны быть добавлены в разделе Параметры для этого параметра. Каждая запись должна быть указана как пара значений имени. Имя определяет уровень оповещения об угрозах. Значение содержит идентификатор действия для действия по исправлению, которое должно быть предприняно.
Допустимые уровни оповещений об угрозах:
1 = низкий 2 = средний 4 = высокий 5 = тяжелый.
Допустимые значения действий по исправлению:
2 = карантин 3 = удалить 6 = игнорировать.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Threats_ThreatSeverityDefaultAction |
| Понятное имя | Задать уровни оповещения об обнаруженных угрозах, при которых не нужно выполнять действие по умолчанию |
| Имя элемента | Укажите уровни оповещений об угрозах, при которых действие по умолчанию не должно выполняться при обнаружении. |
| Расположение | Конфигурация компьютера |
| Путь | Компоненты Windows— > угрозы антивирусной программы > в Microsoft Defender |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Threat |
| Имя файла ADMX | WindowsDefender.admx |
Связанные статьи
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по