Ange inställningar för Microsoft Defender för Endpoint på macOS
Gäller för:
- Microsoft Defender för Endpoint för macOS
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
Viktigt
Den här artikeln innehåller instruktioner för hur du anger inställningar för Microsoft Defender för Endpoint på macOS i företagsorganisationer. Information om hur du konfigurerar Microsoft Defender för Endpoint på macOS med hjälp av kommandoradsgränssnittet finns i Resurser.
Sammanfattning
I företagsorganisationer kan Microsoft Defender för Endpoint på macOS hanteras via en konfigurationsprofil som distribueras med hjälp av något av flera hanteringsverktyg. Inställningar som hanteras av ditt säkerhetsåtgärdsteam har företräde framför inställningar som anges lokalt på enheten. Att ändra de inställningar som anges via konfigurationsprofilen kräver eskalerade privilegier och är inte tillgängligt för användare utan administratörsbehörighet.
Den här artikeln beskriver konfigurationsprofilens struktur, innehåller en rekommenderad profil som du kan använda för att komma igång och innehåller instruktioner om hur du distribuerar profilen.
Konfigurationsprofilstruktur
Konfigurationsprofilen är en .plist-fil som består av poster som identifieras med en nyckel (som anger namnet på preferensen), följt av ett värde som beror på typen av inställning. Värden kan antingen vara enkla (till exempel ett numeriskt värde) eller komplexa, till exempel en kapslad lista med inställningar.
Försiktighet
Konfigurationsprofilens layout beror på vilken hanteringskonsol du använder. Följande avsnitt innehåller exempel på konfigurationsprofiler för JAMF och Intune.
Den översta nivån i konfigurationsprofilen innehåller produktomfattande inställningar och poster för underområden i Microsoft Defender för Endpoint, som beskrivs mer detaljerat i nästa avsnitt.
Inställningar för antivirusmotorn
Avsnittet antivirusEngine i konfigurationsprofilen används för att hantera inställningarna för antiviruskomponenten i Microsoft Defender för Endpoint.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | antivirusEngine |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av ordlisteinnehållet. |
Tillämpningsnivå för antivirusmotor
Anger tvingande inställningar för antivirusmotorn. Det finns tre värden för att ange tvingande nivå:
- Realtid (
real_time): Realtidsskydd (genomsökningsfiler när de används) är aktiverat. - På begäran (
on_demand): Filer genomsöks endast på begäran. I det här:- Realtidsskydd är inaktiverat.
- Passiv (
passive): Kör antivirusmotorn i passivt läge. I det här:- Realtidsskydd är inaktiverat.
- Genomsökning på begäran är aktiverat.
- Automatisk hotreparation är inaktiverat.
- Uppdateringar av säkerhetsinformation är aktiverade.
- Statusmenyikonen är dold.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | enforcementLevel |
| Datatyp | Sträng |
| Möjliga värden | real_time (standard) on_demand Passiv |
| Kommentarer | Finns i Microsoft Defender för Endpoint version 101.10.72 eller senare. |
Aktivera/inaktivera beteendeövervakning
Avgör om funktionen för beteendeövervakning och blockering är aktiverad på enheten eller inte.
Obs!
Den här funktionen gäller endast när Real-Time Protection-funktionen är aktiverad.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | behaviorMonitoring |
| Datatyp | Sträng |
| Möjliga värden | Inaktiverad aktiverad (standard) |
| Kommentarer | Finns i Microsoft Defender för Endpoint version 101.24042.0002 eller senare. |
Konfigurera funktionen för beräkning av filhash
Aktiverar eller inaktiverar funktionen för beräkning av filhash. När den här funktionen är aktiverad beräknar Defender för Endpoint hashvärden för filer som den söker igenom för att möjliggöra bättre matchning mot indikatorreglerna. På macOS beaktas endast skript- och Mach-O-filer (32 och 64 bitar) för den här hashberäkningen (från motorversion 1.1.20000.2 eller senare). Observera att aktivering av den här funktionen kan påverka enhetens prestanda. Mer information finns i: Skapa indikatorer för filer.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | enableFileHashComputation |
| Datatyp | Boolesk |
| Möjliga värden | false (standard) Sant |
| Kommentarer | Finns i Defender för Endpoint version 101.86.81 eller senare. |
Köra en genomsökning när definitionerna har uppdaterats
Anger om du vill starta en processgenomsökning när nya uppdateringar av säkerhetsinformation har laddats ned på enheten. Om du aktiverar den här inställningen utlöses en antivirusgenomsökning på enhetens processer som körs.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | scanAfterDefinitionUpdate |
| Datatyp | Boolesk |
| Möjliga värden | true (standard) Falska |
| Kommentarer | Tillgänglig i Microsoft Defender för Endpoint version 101.41.10 eller senare. |
Sök igenom arkiv (endast antivirusgenomsökningar på begäran)
Anger om du vill genomsöka arkiv under antivirusgenomsökningar på begäran.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | scanArchives |
| Datatyp | Boolesk |
| Möjliga värden | true (standard) Falska |
| Kommentarer | Tillgänglig i Microsoft Defender för Endpoint version 101.41.10 eller senare. |
Grad av parallellitet för genomsökningar på begäran
Anger graden av parallellitet för genomsökningar på begäran. Detta motsvarar antalet trådar som används för att utföra genomsökningen och påverkar CPU-användningen samt varaktigheten för genomsökningen på begäran.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | maximumOnDemandScanThreads |
| Datatyp | Heltal |
| Möjliga värden | 2 (standard). Tillåtna värden är heltal mellan 1 och 64. |
| Kommentarer | Tillgänglig i Microsoft Defender för Endpoint version 101.41.10 eller senare. |
Princip för undantagssammanslagning
Ange sammanslagningsprincipen för undantag. Detta kan vara en kombination av administratörsdefinierade och användardefinierade undantag (merge), eller endast administratörsdefinierade undantag (admin_only). Den här inställningen kan användas för att hindra lokala användare från att definiera sina egna undantag.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | exclusionsMergePolicy |
| Datatyp | Sträng |
| Möjliga värden | merge (standard) admin_only |
| Kommentarer | Finns i Microsoft Defender för Endpoint version 100.83.73 eller senare. |
Genomsökningsundantag
Ange entiteter som inte ska genomsökas. Undantag kan anges av fullständiga sökvägar, tillägg eller filnamn. (Undantag anges som en matris med objekt, administratören kan ange så många element som behövs i valfri ordning.)
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | Undantag |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av ordlisteinnehållet. |
Typ av undantag
Ange innehåll som inte ska genomsökas efter typ.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | $type |
| Datatyp | Sträng |
| Möjliga värden | excludedPath excludedFileExtension excludedFileName |
Sökväg till exkluderat innehåll
Ange innehåll som inte ska genomsökas av en fullständig filsökväg.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | Sökvägen |
| Datatyp | Sträng |
| Möjliga värden | giltiga sökvägar |
| Kommentarer | Gäller endast om $typeär excludedPath |
Undantagstyper som stöds
I följande tabell visas de undantagstyper som stöds av Defender för Endpoint på Mac.
| Uteslutning | Definition | Exempel |
|---|---|---|
| Filnamnstillägg | Alla filer med tillägget, var som helst på enheten | .test |
| Fil | En specifik fil som identifieras av den fullständiga sökvägen | /var/log/test.log |
| Mapp | Alla filer under den angivna mappen (rekursivt) | /var/log/ |
| Process | En specifik process (anges antingen av den fullständiga sökvägen eller filnamnet) och alla filer som öppnas av den | /bin/cat |
Viktigt
Sökvägarna ovan måste vara hårda länkar, inte symboliska länkar, för att kunna uteslutas. Du kan kontrollera om en sökväg är en symbolisk länk genom att köra file <path-name>.
Fil-, mapp- och processundantag stöder följande jokertecken:
| Jokertecken | Beskrivning | Exempel | Matcher | Matchar inte |
|---|---|---|---|---|
| * | Matchar valfritt antal tecken, inklusive inget (observera att när det här jokertecknet används i en sökväg ersätter det bara en mapp) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | Matchar ett enskilt tecken | file?.log |
file1.log |
file123.log |
Sökvägstyp (fil/katalog)
Ange om sökvägsegenskapen refererar till en fil eller katalog.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | isDirectory |
| Datatyp | Boolesk |
| Möjliga värden | false (standard) Sant |
| Kommentarer | Gäller endast om $typeär excludedPath |
Filnamnstillägget undantas från genomsökningen
Ange innehåll som inte ska genomsökas av filnamnstillägget.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | Förlängning |
| Datatyp | Sträng |
| Möjliga värden | giltiga filnamnstillägg |
| Kommentarer | Gäller endast om $typeär excludedFileExtension |
Processen exkluderas från genomsökningen
Ange en process för vilken all filaktivitet undantas från genomsökning. Processen kan anges antingen med dess namn (till exempel cat) eller en fullständig sökväg (till exempel /bin/cat).
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | Namn |
| Datatyp | Sträng |
| Möjliga värden | valfri sträng |
| Kommentarer | Gäller endast om $typeär excludedFileName |
Tillåtna hot
Ange hot efter namn som inte blockeras av Defender för Endpoint på Mac. Dessa hot kommer att tillåtas att köras.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | allowedThreats |
| Datatyp | Matris med strängar |
Otillåtna hotåtgärder
Begränsar de åtgärder som den lokala användaren av en enhet kan vidta när hot identifieras. Åtgärderna som ingår i den här listan visas inte i användargränssnittet.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | disallowedThreatActions |
| Datatyp | Matris med strängar |
| Möjliga värden | tillåt (hindrar användare från att tillåta hot) återställa (hindrar användare från att återställa hot från karantänen) |
| Kommentarer | Finns i Microsoft Defender för Endpoint version 100.83.73 eller senare. |
Inställningar för hottyp
Ange hur vissa hottyper hanteras av Microsoft Defender för Endpoint på macOS.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | threatTypeSettings |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av ordlisteinnehållet. |
Hottyp
Ange hottyper.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | Nyckel |
| Datatyp | Sträng |
| Möjliga värden | potentially_unwanted_application archive_bomb |
Åtgärd att vidta
Ange vilken åtgärd som ska vidtas när ett hot av den typ som anges i föregående avsnitt identifieras. Välj bland följande alternativ:
- Granskning: enheten är inte skyddad mot den här typen av hot, men en post om hotet loggas.
- Blockera: enheten skyddas mot den här typen av hot och du meddelas i användargränssnittet och säkerhetskonsolen.
- Av: enheten är inte skyddad mot den här typen av hot och ingenting loggas.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | värde |
| Datatyp | Sträng |
| Möjliga värden | granskning (standard) blockera Av |
Princip för sammanslagning av hottypsinställningar
Ange sammanslagningsprincipen för inställningar för hottyp. Detta kan vara en kombination av administratörsdefinierade och användardefinierade inställningar (merge) eller endast administratörsdefinierade inställningar (admin_only). Den här inställningen kan användas för att hindra lokala användare från att definiera sina egna inställningar för olika hottyper.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | threatTypeSettingsMergePolicy |
| Datatyp | Sträng |
| Möjliga värden | merge (standard) admin_only |
| Kommentarer | Finns i Microsoft Defender för Endpoint version 100.83.73 eller senare. |
Kvarhållning av antivirusgenomsökningshistorik (i dagar)
Ange hur många dagar resultatet ska behållas i genomsökningshistoriken på enheten. Gamla genomsökningsresultat tas bort från historiken. Gamla filer i karantän som också tas bort från disken.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | scanResultsRetentionDays |
| Datatyp | Sträng |
| Möjliga värden | 90 (standard). Tillåtna värden är från 1 dag till 180 dagar. |
| Kommentarer | Finns i Microsoft Defender för Endpoint version 101.07.23 eller senare. |
Maximalt antal objekt i antivirusgenomsökningshistoriken
Ange det maximala antalet poster som ska behållas i genomsökningshistoriken. Bland posterna finns alla genomsökningar på begäran som utförts tidigare och alla antivirusidentifieringar.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | scanHistoryMaximumItems |
| Datatyp | Sträng |
| Möjliga värden | 10000 (standard). Tillåtna värden är från 5 000 objekt till 1 5 000 objekt. |
| Kommentarer | Finns i Microsoft Defender för Endpoint version 101.07.23 eller senare. |
Molnlevererad skyddsinställningar
Konfigurera de molndrivna skyddsfunktionerna i Microsoft Defender för Endpoint på macOS.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | cloudService |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av ordlisteinnehållet. |
Aktivera/inaktivera molnlevererad skydd
Ange om du vill aktivera molnlevererade skydd på enheten eller inte. För att förbättra säkerheten för dina tjänster rekommenderar vi att du behåller den här funktionen aktiverad.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | Aktiverat |
| Datatyp | Boolesk |
| Möjliga värden | true (standard) Falska |
Diagnostiksamlingsnivå
Diagnostikdata används för att hålla Microsoft Defender för Endpoint säkert och uppdaterat, identifiera, diagnostisera och åtgärda problem och även göra produktförbättringar. Den här inställningen bestämmer diagnostiknivån som skickas av Microsoft Defender för Endpoint till Microsoft.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | diagnosticLevel |
| Datatyp | Sträng |
| Möjliga värden | valfritt (standard) Krävs |
Konfigurera molnblockeringsnivå
Den här inställningen bestämmer hur aggressiv Defender för Endpoint kommer att vara när det gäller att blockera och genomsöka misstänkta filer. Om den här inställningen är aktiverad blir Defender för Endpoint mer aggressivt när du identifierar misstänkta filer som ska blockeras och genomsökas. Annars blir det mindre aggressivt och blockerar därför och skannar med mindre frekvens. Det finns fem värden för att ange molnblocknivå:
- Normal (
normal): Standardblockeringsnivån. - Måttlig (
moderate): Ger endast bedömning för identifiering av hög konfidens. - Hög (
high): Blockerar aggressivt okända filer samtidigt som prestandaoptimering optimeras (större risk att blockera icke-skadliga filer). - High Plus (
high_plus): Blockerar okända filer aggressivt och tillämpar ytterligare skyddsåtgärder (kan påverka klientens enhetsprestanda). - Nolltolerans (
zero_tolerance): Blockerar alla okända program.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | cloudBlockLevel |
| Datatyp | Sträng |
| Möjliga värden | normal (standard) Måttlig Hög high_plus zero_tolerance |
| Kommentarer | Finns i Defender för Endpoint version 101.56.62 eller senare. |
Aktivera/inaktivera automatiska exempelöverföringar
Avgör om misstänkta exempel (som sannolikt kommer att innehålla hot) skickas till Microsoft. Det finns tre nivåer för att kontrollera sändning av exempel:
- Ingen: inga misstänkta exempel skickas till Microsoft.
- Säker: endast misstänkta exempel som inte innehåller personligt identifierbar information (PII) skickas automatiskt. Det här är standardvärdet för den här inställningen.
- Alla: alla misstänkta exempel skickas till Microsoft.
| Beskrivning | Värde |
|---|---|
| Nyckel | automaticSampleSubmissionConsent |
| Datatyp | Sträng |
| Möjliga värden | none (ingen) säker (standard) Alla |
Aktivera/inaktivera automatiska uppdateringar av säkerhetsinformation
Avgör om uppdateringar av säkerhetsinformation installeras automatiskt:
| Avsnitt | Värde |
|---|---|
| Nyckel | automaticDefinitionUpdateEnabled |
| Datatyp | Boolesk |
| Möjliga värden | true (standard) Falska |
Användargränssnittsinställningar
Hantera inställningarna för användargränssnittet för Microsoft Defender för Endpoint på macOS.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | userInterface |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av ordlisteinnehållet. |
Visa/dölj statusmenyikonen
Ange om statusmenyikonen ska visas eller döljas i det övre högra hörnet på skärmen.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | hideStatusMenuIcon |
| Datatyp | Boolesk |
| Möjliga värden | false (standard) Sant |
Visa/dölj alternativet för att skicka feedback
Ange om användare kan skicka feedback till Microsoft genom att gå till Help>Send Feedback.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | userInitiatedFeedback |
| Datatyp | Sträng |
| Möjliga värden | aktiverad (standard) Inaktiverad |
| Kommentarer | Finns i Microsoft Defender för Endpoint version 101.19.61 eller senare. |
Kontrollera inloggningen till konsumentversionen av Microsoft Defender
Ange om användare kan logga in på konsumentversionen av Microsoft Defender.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | consumerExperience |
| Datatyp | Sträng |
| Möjliga värden | aktiverad (standard) Inaktiverad |
| Kommentarer | Finns i Microsoft Defender för Endpoint version 101.60.18 eller senare. |
Inställningar för slutpunktsidentifiering och svar
Hantera inställningarna för komponenten slutpunktsidentifiering och svar (EDR) i Microsoft Defender för Endpoint på macOS.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | Edr |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av ordlisteinnehållet. |
Enhetstaggar
Ange ett taggnamn och dess värde.
- GRUPP-taggen markerar enheten med det angivna värdet. Taggen visas i portalen under enhetssidan och kan användas för filtrering och gruppering av enheter.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | Taggar |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av ordlisteinnehållet. |
Typ av tagg
Anger typ av tagg
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | Nyckel |
| Datatyp | Sträng |
| Möjliga värden | GROUP |
Taggens värde
Anger värdet för taggen
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | värde |
| Datatyp | Sträng |
| Möjliga värden | valfri sträng |
Viktigt
- Endast ett värde per taggtyp kan anges.
- Typ av taggar är unika och bör inte upprepas i samma konfigurationsprofil.
Gruppidentifierare
EDR-gruppidentifierare
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | groupIds |
| Datatyp | Sträng |
| Kommentarer | Gruppidentifierare |
Manipulationsskydd
Hantera inställningarna för manipulationsskyddskomponenten i Microsoft Defender för Endpoint på macOS.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | manipulationSkydd |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av ordlisteinnehållet. |
Tillämpningsnivå
Om manipulationsskydd är aktiverat och om det är i strikt läge
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | enforcementLevel |
| Datatyp | Sträng |
| Kommentarer | En av "inaktiverade", "granskning" eller "blockera" |
Möjliga värden:
- inaktiverad – Manipuleringsskydd är inaktiverat, inget skydd mot attacker eller rapportering till molnet
- audit – Manipulationsskydd rapporterar manipuleringsförsök till molnet, men blockerar dem inte
- block – Manipulationsskydd både blockerar och rapporterar attacker till molnet
Undantag
Definierar processer som tillåts ändra Microsoft Defender-tillgången, utan att överväga manipulering. Antingen sökväg, teamId eller signingId, eller så måste deras kombination anges. Args kan dessutom tillhandahållas för att ange tillåten process mer exakt.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | Undantag |
| Datatyp | Ordlista (kapslad inställning) |
| Kommentarer | I följande avsnitt finns en beskrivning av ordlisteinnehållet. |
Sökväg
Exakt sökväg till den körbara processen.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | Sökvägen |
| Datatyp | Sträng |
| Kommentarer | När det gäller ett shell-skript är det den exakta sökvägen till tolkens binärfil, t.ex. /bin/zsh. Inga jokertecken tillåts. |
Team-ID
Apples "team-ID" för leverantören.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | teamId |
| Datatyp | Sträng |
| Kommentarer | Till exempel UBF8T346G9 för Microsoft |
Signerings-ID
Apples "signerings-ID" för paketet.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | signingId |
| Datatyp | Sträng |
| Kommentarer | Till exempel com.apple.ruby för Ruby-tolken |
Processargument
Används i kombination med andra parametrar för att identifiera processen.
| Avsnitt | Värde |
|---|---|
| Domän | com.microsoft.wdav |
| Nyckel | signingId |
| Datatyp | Matris med strängar |
| Kommentarer | Om det anges måste processargumentet matcha dessa argument exakt, skiftlägeskänsliga |
Rekommenderad konfigurationsprofil
För att komma igång rekommenderar vi följande konfiguration för ditt företag för att dra nytta av alla skyddsfunktioner som Microsoft Defender för Endpoint tillhandahåller.
Följande konfigurationsprofil (eller, om det gäller JAMF, en egenskapslista som kan laddas upp till konfigurationsprofilen för anpassade inställningar) kommer att:
- Aktivera realtidsskydd (RTP)
- Ange hur följande hottyper ska hanteras:
- Potentiellt oönskade program (PUA) blockeras
- Arkivbomber (fil med hög komprimeringshastighet) granskas i Microsoft Defender för Endpoint-loggar
- Aktivera automatiska uppdateringar av säkerhetsinformation
- Aktivera molnbaserat skydd
- Aktivera automatisk sändning av exempel
Egenskapslista för rekommenderad JAMF-konfigurationsprofil
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Rekommenderad Intune-profil
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
Exempel på fullständig konfigurationsprofil
Följande mallar innehåller poster för alla inställningar som beskrivs i det här dokumentet och kan användas för mer avancerade scenarier där du vill ha mer kontroll över Microsoft Defender för Endpoint på macOS.
Egenskapslista för fullständig JAMF-konfigurationsprofil
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Fullständig intune-profil
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Verifiering av egenskapslista
Egenskapslistan måste vara en giltig .plist-fil . Detta kan kontrolleras genom att köra:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Om filen är välformulerad matar ovanstående kommando ut OK och returnerar slutkoden 0. Annars visas ett fel som beskriver problemet och kommandot returnerar slutkoden 1.
Distribution av konfigurationsprofil
När du har skapat konfigurationsprofilen för ditt företag kan du distribuera den via hanteringskonsolen som företaget använder. Följande avsnitt innehåller instruktioner om hur du distribuerar den här profilen med JAMF och Intune.
JAMF-distribution
Från JAMF-konsolen öppnar du Konfigurationsprofiler för datorer>, navigerar till den konfigurationsprofil som du vill använda och väljer sedan Anpassade inställningar. Skapa en post med com.microsoft.wdav som inställningsdomän och ladda upp den .plist som skapades tidigare.
Försiktighet
Du måste ange rätt inställningsdomän (com.microsoft.wdav), annars kommer inställningarna inte att identifieras av Microsoft Defender för Endpoint.
Intune-distribution
Öppna Enhetskonfigurationsprofiler>. Välj Skapa profil.
Välj ett namn för profilen. Ändra Platform=macOS till Profiltyp=Mallar och välj Anpassad i avsnittet med mallnamn. Välj Konfigurera.
Spara den .plist som skapades tidigare som
com.microsoft.wdav.xml.Ange
com.microsoft.wdavsom namn på den anpassade konfigurationsprofilen.Öppna konfigurationsprofilen och ladda upp
com.microsoft.wdav.xmlfilen. (Den här filen skapades i steg 3.)Välj OK.
Välj Hantera>tilldelningar. På fliken Inkludera väljer du Tilldela till alla användare & Alla enheter.
Försiktighet
Du måste ange rätt namn på den anpassade konfigurationsprofilen. Annars kommer dessa inställningar inte att identifieras av Microsoft Defender för Endpoint.
Resurser
Tips
Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.