Inställningar för Microsoft Defender antivirusprincip i Microsoft Intune för Windows-enheter
Visa information om de inställningar för antivirusprinciper för slutpunktssäkerhet som du kan konfigurera för Microsoft Defender Antivirus-profilen för Windows 10 och senare i Microsoft Intune.
Obs!
Den här artikeln beskriver de inställningar som du hittar i Microsoft Defender Antivirus- och Microsoft Defender Antivirus-undantagsprofiler som skapats före den 5 april 2022 för Windows 10 och senare plattform för endpoint security Antivirus-princip. Den 5 april 2022 ersattes plattformen Windows 10 och senare av plattformen Windows 10, Windows 11 och Windows Server. Profiler som skapats efter det datumet använder ett nytt inställningsformat som finns i inställningskatalogen. Med den här ändringen kan du inte längre skapa nya versioner av den gamla profilen och de utvecklas inte längre. Även om du inte längre kan skapa nya instanser av den äldre profilen kan du fortsätta att redigera och använda instanser av den som du skapade tidigare.
För profiler som använder det nya inställningsformatet behåller Intune inte längre en lista över varje inställning efter namn. I stället tas namnet på varje inställning, dess konfigurationsalternativ och dess förklarande text som visas i Microsoft Intune administrationscenter direkt från inställningarnas auktoritativa innehåll. Innehållet kan ge mer information om användningen av inställningen i rätt kontext. När du visar en inställningsinformationstext kan du använda länken Läs mer för att öppna innehållet.
Följande inställningsinformation för Windows-profiler gäller för de inaktuella profilerna.
Molnskydd
Aktivera molnbaserat skydd
CSP: AllowCloudProtectionSom standard skickar Defender på Windows 10/11-skrivbordsenheter information till Microsoft om eventuella problem som hittas. Microsoft analyserar den informationen för att lära sig mer om problem som påverkar dig och andra kunder för att erbjuda förbättrade lösningar.
- Inte konfigurerad (standard) – Inställningen återställs till systemets standardinställning.
- Nej – Inställningen är inaktiverad. Enhetsanvändare kan inte ändra den här inställningen.
- Ja – Molnlevererad skydd är aktiverat. Enhetsanvändare kan inte ändra den här inställningen.
Molnlevererad skyddsnivå
CSP: CloudBlockLevelKonfigurera hur aggressiva Defender Antivirus är när det gäller att blockera och genomsöka misstänkta filer.
- Inte konfigurerad (standard) – Standardnivå för Defender-blockering.
- Hög – Blockera okända värden aggressivt samtidigt som klientprestanda optimeras, vilket ger större risk för falska positiva identifieringar.
- Högt plus – Blockera okända program aggressivt och tillämpa ytterligare skyddsåtgärder som kan påverka klientprestanda.
- Nolltolerans – Blockera alla okända körbara filer.
Utökad tidsgräns för Defender-molnet på några sekunder
CSP: CloudExtendedTimeoutDefender Antivirus blockerar automatiskt misstänkta filer i 10 sekunder medan de genomsöks i molnet för att se till att de är säkra. Du kan lägga till upp till 50 ytterligare sekunder till den här tidsgränsen.
Microsoft Defender antivirusundantag
Varning
Genom att definiera undantag sänks det skydd som erbjuds av Microsoft Defender Antivirus. Utvärdera alltid de risker som är associerade med implementering av undantag. Undanta endast filer som du vet inte är skadliga.
Mer information finns i Undantagsöversikten i Microsoft Defender dokumentationen.
Följande inställningar är tillgängliga i profilen Microsoft Defender Antivirus:
Lokal defender-administratörssammanslagning
CSP: Configuration/DisableLocalAdminMergeDen här inställningen styr om inställningar för undantagslistor som konfigureras av en lokal administratör slås samman med hanterade inställningar från Intune princip. Den här inställningen gäller för listor som hot och undantag.
- Inte konfigurerad(standard) – Unika objekt som definierats i inställningsinställningar som konfigureras av en lokal administratör sammanfogas med den resulterande effektiva principen. Om det uppstår konflikter åsidosätter hanteringsinställningar från Intune princip inställningar för lokala inställningar.
- Nej – Beteendet är detsamma som Inte konfigurerat.
- Ja – Endast objekt som definierats av hanteringen används i den resulterande effektiva principen. Hanterade inställningar åsidosätter inställningsinställningar som konfigureras av den lokala administratören.
Följande inställningar är tillgängliga i följande profiler:
- Microsoft Defender Antivirus
- Microsoft Defender antivirusundantag
För varje inställning i den här gruppen kan du expandera inställningen, välja Lägg till och sedan ange ett värde för undantaget.
Defender-processer som ska undantas
CSP: ExcludedProcessesAnge en lista över filer som öppnas av processer som ska ignoreras under en genomsökning. Själva processen undantas inte från genomsökningen.
Filnamnstillägg som ska undantas från genomsökningar och realtidsskydd
CSP: ExcludedExtensionsAnge en lista över filtypstillägg som ska ignoreras under en genomsökning.
Defender-filer och -mappar att exkludera
CSP: ExcludedPathsAnge en lista över filer och katalogsökvägar som ska ignoreras under en genomsökning.
Realtidsskydd
De här inställningarna är tillgängliga i följande profiler:
- Microsoft Defender Antivirus
Inställningar:
Aktivera realtidsskydd
CSP: AllowRealtimeMonitoringKräv att Defender på Windows 10/11 desktop-enheter använder funktionen övervakning i realtid.
- Inte konfigurerad (standard) – Inställningen återställs till systemets standardvärde
- Nej – Inställningen är inaktiverad. Enhetsanvändare kan inte ändra den här inställningen.
- Ja – Framtvinga användning av realtidsövervakning. Enhetsanvändare kan inte ändra den här inställningen.
Aktivera vid åtkomstskydd
CSP: AllowOnAccessProtection Konfigurera virusskydd som är kontinuerligt aktivt, till skillnad från på begäran.- Inte konfigurerad (standard) – Inställningen återställs till systemets standardinställning.
- Nej – Blockera åtkomstskydd på enheter. Enhetsanvändare kan inte ändra den här inställningen.
- Ja – Åtkomstskydd är aktivt på enheter.
Övervakning av inkommande och utgående filer
CSP: Defender/RealTimeScanDirectionKonfigurera den här inställningen för att avgöra vilken NTFS-fil- och programaktivitet som övervakas.
- Övervaka alla filer (standard)
- Övervaka endast inkommande filer
- Övervaka endast utgående filer
Aktivera beteendeövervakning
CSP: AllowBehaviorMonitoringSom standard använder Defender på Windows 10/11 stationära enheter funktionen Beteendeövervakning.
- Inte konfigurerad (standard) – Inställningen återställs till systemets standardinställning.
- Nej – Inställningen är inaktiverad. Enhetsanvändare kan inte ändra den här inställningen.
- Ja – Framtvinga användning av beteendeövervakning i realtid. Enhetsanvändare kan inte ändra den här inställningen.
Aktivera nätverksskydd
CSP: EnableNetworkProtectionSkydda enhetsanvändare som använder alla appar från att komma åt nätfiskebedrägerier, webbplatser för exploatering och skadligt innehåll på Internet. Skydd omfattar att förhindra att webbläsare från tredje part ansluter till farliga platser.
- Inte konfigurerad (standard) – Inställningen återställs till systemets standardinställning.
- Nej – Inställningen är inaktiverad. Enhetsanvändare kan inte ändra den här inställningen.
- Ja – Nätverksskyddet är aktiverat. Enhetsanvändare kan inte ändra den här inställningen.
Sök igenom alla nedladdade filer och bifogade filer
CSP: AllowIOAVProtectionKonfigurera Defender för att genomsöka alla nedladdade filer och bifogade filer.
- Inte konfigurerad (standard) – Inställningen återställs till systemets standardinställning.
- Nej – Inställningen är inaktiverad. Enhetsanvändare kan inte ändra den här inställningen.
- Ja – Defender söker igenom alla nedladdade filer och bifogade filer. Enhetsanvändare kan inte ändra den här inställningen.
Sök igenom skript som används i Microsoft-webbläsare
CSP: AllowScriptScanningKonfigurera Defender för genomsökning av skript.
- Inte konfigurerad (standard) – Inställningen återställs till systemets standardinställning.
- Nej – Inställningen är inaktiverad. Enhetsanvändare kan inte ändra den här inställningen.
- Ja – Defender söker igenom skript. Enhetsanvändare kan inte ändra den här inställningen.
Sök igenom nätverksfiler
CSP: AllowScanningNetworkFilesKonfigurera Defender för att söka igenom nätverksfiler.
- Inte konfigurerad (standard) – Inställningen återställs till systemets standardinställning.
- Nej – Inställningen är inaktiverad. Enhetsanvändare kan inte ändra den här inställningen.
- Ja – Aktivera genomsökning av nätverksfiler. Enhetsanvändare kan inte ändra den här inställningen.
Skanna e-postmeddelanden
CSP: AllowEmailScanningKonfigurera Defender för att skanna inkommande e-post.
- Inte konfigurerad (standard) – Inställningen återställs till systemets standardinställning.
- Nej – Inställningen är inaktiverad. Enhetsanvändare kan inte ändra den här inställningen.
- Ja – Aktivera e-postgenomsökning. Enhetsanvändare kan inte ändra den här inställningen.
Åtgärda
De här inställningarna är tillgängliga i följande profiler:
- Microsoft Defender Antivirus
Inställningar:
Antal dagar (0–90) för att behålla skadlig kod i karantän
CSP: DaysToRetainCleanedMalwareAnge antalet dagar från noll till 90 som systemet lagrar objekt i karantän innan de tas bort automatiskt. Värdet noll håller objekten i karantän och tar inte bort dem automatiskt.
Skicka medgivande för exempel
- Inte konfigurerad (standard)
- Skicka säkra exempel automatiskt
- Fråga alltid
- Skicka aldrig
- Skicka alla exempel automatiskt
Åtgärder som ska vidtas för potentiellt oönskade appar
CSP: PUAProtectionAnge identifieringsnivån för potentiellt oönskade program (PUA). Defender varnar användare när potentiellt oönskad programvara laddas ned eller försöker installera på en enhet.
- Inte konfigurerad (standard) – Inställningen återställs till systemets standardvärde, vilket är PUA Protection OFF.
- Inaktivera
- Aktivera – Identifierade objekt blockeras och visas i historiken tillsammans med andra hot.
- Granskningsläge – Defender identifierar potentiellt oönskade program, men vidtar inga åtgärder. Du kan granska information om de program som Defender skulle ha vidtagit åtgärder mot genom att söka efter händelser som skapas av Defender i Loggboken.
Åtgärder för identifierade hot
CSP: ThreatSeverityDefaultActionAnge den åtgärd som Defender vidtar för identifierad skadlig kod baserat på den skadliga kodens hotnivå.
Defender klassificerar skadlig kod som identifieras som en av följande allvarlighetsnivåer:
- Låg allvarlighetsgrad
- Måttlig allvarlighetsgrad
- Hög allvarlighetsgrad
- Allvarlig allvarlighetsgrad
För varje nivå anger du vilken åtgärd som ska vidtas. Standardvärdet för varje allvarlighetsgrad är Inte konfigurerat.
- Inte konfigurerad
- Rensa – Tjänsten försöker återställa filer och försöka desinficera.
- Karantän – Flyttar filer till karantän.
- Ta bort – tar bort filer från enheten.
- Tillåt – Tillåter filen och vidtar inte andra åtgärder.
- Användardefinierad – Enhetsanvändaren fattar beslut om vilken åtgärd som ska vidtas.
- Blockera – blockerar filkörning.
Avsöka
De här inställningarna är tillgängliga i följande profiler:
- Microsoft Defender Antivirus
Inställningar:
Sök igenom arkivfiler
CSP: AllowArchiveScanningKonfigurera Defender för att skanna arkivfiler, till exempel ZIP- eller CAB-filer.
- Inte konfigurerad (standard) – Inställningen återgår till klientens standardvärde, som är att genomsöka arkiverade filer, men användaren kan inaktivera inställningen. Mer information
- Nej – Filarkiv genomsöks inte. Enhetsanvändare kan inte ändra den här inställningen.
- Ja – Aktivera genomsökningar av arkivfiler. Enhetsanvändare kan inte ändra den här inställningen.
Använda låg CPU-prioritet för schemalagda genomsökningar
CSP: EnableLowCPUPriorityKonfigurera CPU-prioritet för schemalagda genomsökningar.
- Inte konfigurerad (standard) – Inställningen återgår till systemets standardvärde, där inga ändringar av CPU-prioriteten görs.
- Nej – Inställningen är inaktiverad. Enhetsanvändare kan inte ändra den här inställningen.
- Ja – Låg CPU-prioritet används under schemalagda genomsökningar. Enhetsanvändare kan inte ändra den här inställningen.
Inaktivera fullständig genomsökning för att komma ikapp
CSP: DisableCatchupFullScanKonfigurera catch-up-genomsökningar för schemalagda fullständiga genomsökningar. En catch-up-genomsökning är en genomsökning som körs eftersom en regelbundet schemalagd genomsökning missades. Vanligtvis missas dessa schemalagda genomsökningar eftersom datorn stängdes av vid den schemalagda tiden.
- Inte konfigurerad (standard) – Inställningen returneras till klientens standardvärde, vilket är att inaktivera upphämtningsgenomsökningar för fullständiga genomsökningar.
- Nej – Inställningen är inaktiverad. Enhetsanvändare kan inte ändra den här inställningen.
- Ja – Genomsökningar för schemalagda fullständiga genomsökningar framtvingas och användaren kan inte inaktivera dem. Om en dator är offline för två på varandra följande schemalagda genomsökningar startas en catch-up-genomsökning nästa gång någon loggar in på datorn. Om ingen schemalagd genomsökning har konfigurerats körs ingen genomsökning. Enhetsanvändare kan inte ändra den här inställningen.
Inaktivera snabbsökning för att komma ikapp
CSP: DisableCatchupQuickScanKonfigurera catch-up-genomsökningar för schemalagda snabbgenomsökningar. En catch-up-genomsökning är en genomsökning som körs eftersom en regelbundet schemalagd genomsökning missades. Vanligtvis missas dessa schemalagda genomsökningar eftersom datorn stängdes av vid den schemalagda tiden.
- Inte konfigurerad (standard) – Inställningen returneras till klientens standardvärde, vilket är att inaktivera upphämtningsgenomsökningar för fullständiga genomsökningar.
- Nej – Inställningen är inaktiverad. Enhetsanvändare kan inte ändra den här inställningen.
- Ja – Genomsökningar för schemalagda snabbgenomsökningar tillämpas och användaren kan inte inaktivera dem. Om en dator är offline för två på varandra följande schemalagda genomsökningar startas en catch-up-genomsökning nästa gång någon loggar in på datorn. Om ingen schemalagd genomsökning har konfigurerats körs ingen genomsökning. Enhetsanvändare kan inte ändra den här inställningen.
Cpu-användningsgräns per genomsökning
CSP: AvgCPULoadFactorAnge som en procent från noll till 100, den genomsnittliga CPU-belastningsfaktorn för Defender-genomsökningen.
Sök igenom mappade nätverksenheter vid fullständig genomsökning
CSP: AllowFullScanOnMappedNetworkDrivesKonfigurera Defender för genomsökning av mappade nätverksenheter.
- Inte konfigurerad (standard) – Inställningen återställs till systemets standardvärde, vilket inaktiverar genomsökning på mappade nätverksenheter.
- Nej – Inställningen är inaktiverad. Enhetsanvändare kan inte ändra inställningen.
- Ja – Aktivera genomsökningar av mappade nätverksenheter. Enhetsanvändare kan inte ändra den här inställningen.
Köra daglig snabbsökning på
CSP: ScheduleQuickScanTimeVälj den tid på dagen som Snabbsökningar i Defender körs. Den här inställningen gäller endast när en enhet kör en snabbsökning och inte interagerar med följande tre inställningar:
- Genomsökningstyp
- Veckodag för att köra en schemalagd genomsökning
- Tid på dagen för att köra en schemalagd genomsökning
Som standard är Run daily quick scan at (Kör daglig snabbsökning på ) inställt på Inte konfigurerat.
Genomsökningstyp
CSP: ScanParameterVälj den typ av genomsökning som Defender kör. Den här inställningen interagerar med inställningarna Dag i veckan för att köra en schemalagd genomsökning och Tid på dagen för att köra en schemalagd genomsökning.
- Inte konfigurerad (standard)
- Snabbsökning
- Fullständig genomsökning
Veckodag för att köra en schemalagd genomsökning
- Inte konfigurerad (standard)
Tid på dagen för att köra en schemalagd genomsökning
- Inte konfigurerad (standard)
Sök efter signaturuppdateringar innan du kör genomsökningen
- Inte konfigurerad (standard)
- Nej
- Ja
Uppdateringar
De här inställningarna är tillgängliga i följande profiler:
- Microsoft Defender Antivirus
Inställningar:
Ange hur ofta (0–24 timmar) du vill söka efter säkerhetsinformationsuppdateringar
CSP: SignatureUpdateIntervalAnge intervallet från noll till 24 (i timmar) som används för att söka efter signaturer. Ett värde på noll resulterar i ingen kontroll av nya signaturer. Värdet 2 kontrollerar varannan timme och så vidare.
Definiera filresurser för nedladdning av definitionsuppdateringar
CSP: SignatureUpdateFallbackOrderHantera platser, till exempel en UNC-filresurs, som en plats för nedladdningskälla för att hämta definitionsuppdateringar. När definitionsuppdateringarna har laddats ned från en angiven källa kommer de återstående källorna i listan inte att kontaktas.
Du kan lägga till enskilda platser eller importera en lista över platser som en .csv fil.
Definiera ordningen på källor för nedladdning av definitionsuppdateringar
CSP: SignatureUpdateFileSharesSourcesAnge i vilken ordning du vill kontakta källplatser som du har angett för att hämta definitionsuppdateringar. När definitionsuppdateringarna har laddats ned från en angiven källa kommer de återstående källorna i listan inte att kontaktas.
Användarupplevelse
De här inställningarna är tillgängliga i följande profiler:
- Microsoft Defender Antivirus
Inställningar:
Tillåt användaråtkomst till Microsoft Defender app
CSP: AllowUserUIAccessInte konfigurerad (standard) – Inställningen återgår till klientens standardvärde där användargränssnitt och meddelanden tillåts.
Nej – Användargränssnittet i Defender är otillgängligt och meddelandena ignoreras.
Ja