MacOS'ta Uç Nokta için Microsoft Defender tercihlerini ayarlayın
Şunlar için geçerlidir:
- macOS üzerinde Uç Nokta için Microsoft Defender
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
Önemli
Bu makale, kurumsal kuruluşlarda macOS'ta Uç Nokta için Microsoft Defender için tercihleri ayarlama yönergelerini içerir. komut satırı arabirimini kullanarak macOS'ta Uç Nokta için Microsoft Defender yapılandırmak için bkz. Kaynaklar.
Özet
Kurumsal kuruluşlarda, macOS üzerindeki Uç Nokta için Microsoft Defender çeşitli yönetim araçlarından biri kullanılarak dağıtılan bir yapılandırma profili aracılığıyla yönetilebilir. Güvenlik operasyonları ekibiniz tarafından yönetilen tercihler, cihazda yerel olarak ayarlanan tercihlerden önceliklidir. Yapılandırma profili aracılığıyla ayarlanan tercihlerin değiştirilmesi, yükseltilmiş ayrıcalıklar gerektirir ve yönetici izinleri olmayan kullanıcılar için kullanılamaz.
Bu makalede yapılandırma profilinin yapısı açıklanır, başlamak için kullanabileceğiniz önerilen bir profil bulunur ve profilin nasıl dağıtılacağına ilişkin yönergeler sağlanır.
Yapılandırma profili yapısı
Yapılandırma profili, bir anahtar tarafından tanımlanan girdilerden (tercihin adını belirtir) ve ardından tercihin yapısına bağlı olarak bir değerden oluşan bir .plist dosyasıdır. Değerler basit (sayısal değer gibi) veya iç içe yerleştirilmiş tercih listesi gibi karmaşık olabilir.
Dikkat
Yapılandırma profilinin düzeni, kullandığınız yönetim konsoluna bağlıdır. Aşağıdaki bölümlerde JAMF ve Intune için yapılandırma profilleri örnekleri yer almaktadır.
Yapılandırma profilinin en üst düzeyi, ürün genelindeki tercihleri ve Uç Nokta için Microsoft Defender alt alanları için girişleri içerir ve bunlar sonraki bölümlerde daha ayrıntılı olarak açıklanmıştır.
Virüsten koruma altyapısı tercihleri
Yapılandırma profilinin antivirusEngine bölümü, Uç Nokta için Microsoft Defender virüsten koruma bileşeninin tercihlerini yönetmek için kullanılır.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | antivirusEngine |
| Veri türü | Sözlük (iç içe tercih) |
| Açıklamalar | Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. |
Virüsten koruma altyapısı için zorlama düzeyi
Virüsten koruma altyapısının zorlama tercihini belirtir. Zorlama düzeyini ayarlamak için üç değer vardır:
- Gerçek zamanlı (
real_time): Gerçek zamanlı koruma (erişilen dosyaları tara) etkinleştirilir. - İsteğe bağlı (
on_demand): Dosyalar yalnızca isteğe bağlı olarak taranır. Burada:- Gerçek zamanlı koruma kapalıdır.
- Pasif (
passive): Virüsten koruma altyapısını pasif modda çalıştırır. Burada:- Gerçek zamanlı koruma kapalıdır.
- İsteğe bağlı tarama açıktır.
- Otomatik tehdit düzeltme kapalı.
- Güvenlik bilgileri güncelleştirmeleri açıktır.
- Durum menüsü simgesi gizlenir.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | enforcementLevel |
| Veri türü | Dize |
| Olası değerler | real_time (varsayılan) on_demand Pasif |
| Açıklamalar | Uç Nokta için Microsoft Defender sürüm 101.10.72 veya üzeri sürümlerde kullanılabilir. |
Dosya karması hesaplama özelliğini yapılandırma
Dosya karması hesaplama özelliğini etkinleştirir veya devre dışı bırakır. Bu özellik etkinleştirildiğinde Uç Nokta için Defender, gösterge kurallarıyla daha iyi eşleşme sağlamak için taramış olduğu dosyaların karmalarını hesaplar. macOS'ta, bu karma hesaplama için yalnızca betik ve Mach-O (32 ve 64 bit) dosyaları dikkate alınır (altyapı sürümü 1.1.20000.2 veya üzeri). Bu özelliğin etkinleştirilmesi cihaz performansını etkileyebilir. Daha fazla ayrıntı için bkz. Dosyalar için İçerik Oluşturucu göstergeleri.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | enableFileHashComputation |
| Veri türü | Boole |
| Olası değerler | false (varsayılan) True |
| Açıklamalar | Uç Nokta için Defender sürüm 101.86.81 veya sonraki sürümlerde kullanılabilir. |
Tanımlar güncelleştirildikten sonra tarama çalıştırma
Cihaza yeni güvenlik bilgileri güncelleştirmeleri indirildikten sonra işlem taraması başlatılıp başlatılmayacağını belirtir. Bu ayarın etkinleştirilmesi, cihazın çalışan işlemlerinde bir virüsten koruma taraması tetikler.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | scanAfterDefinitionUpdate |
| Veri türü | Boole |
| Olası değerler | true (varsayılan) False |
| Açıklamalar | Uç Nokta için Microsoft Defender sürüm 101.41.10 veya üzeri sürümlerde kullanılabilir. |
Arşivleri tara (yalnızca isteğe bağlı virüsten koruma taramaları)
İsteğe bağlı virüsten koruma taramaları sırasında arşivlerin taranıp taranmayacağını belirtir.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | scanArchives |
| Veri türü | Boole |
| Olası değerler | true (varsayılan) False |
| Açıklamalar | Uç Nokta için Microsoft Defender sürüm 101.41.10 veya üzeri sürümlerde kullanılabilir. |
İsteğe bağlı taramalar için paralellik derecesi
İsteğe bağlı taramalar için paralellik derecesini belirtir. Bu, taramayı gerçekleştirmek için kullanılan iş parçacığı sayısına karşılık gelir ve CPU kullanımını ve isteğe bağlı tarama süresini etkiler.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | maximumOnDemandScanThreads |
| Veri türü | Tamsayı |
| Olası değerler | 2 (varsayılan). İzin verilen değerler 1 ile 64 arasındaki tamsayılardır. |
| Açıklamalar | Uç Nokta için Microsoft Defender sürüm 101.41.10 veya üzeri sürümlerde kullanılabilir. |
Dışlama birleştirme ilkesi
Dışlamalar için birleştirme ilkesini belirtin. Bu, yönetici tanımlı ve kullanıcı tanımlı dışlamaların (merge) veya yalnızca yönetici tanımlı dışlamaların (admin_only) birleşimi olabilir. Bu ayar, yerel kullanıcıların kendi dışlamalarını tanımlamasını kısıtlamak için kullanılabilir.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | exclusionsMergePolicy |
| Veri türü | Dize |
| Olası değerler | merge (varsayılan) admin_only |
| Açıklamalar | Uç Nokta için Microsoft Defender sürüm 100.83.73 veya üzeri sürümlerde kullanılabilir. |
Tarama dışlamaları
Taranmayan varlıkları belirtin. Dışlamalar tam yollar, uzantılar veya dosya adlarıyla belirtilebilir. (Dışlamalar bir öğe dizisi olarak belirtilir, yönetici gerektiği kadar öğeyi herhangi bir sırada belirtebilir.)
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | Dışlamalar |
| Veri türü | Sözlük (iç içe tercih) |
| Açıklamalar | Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. |
Dışlama türü
Türe göre taranmayan içeriği belirtin.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | $type |
| Veri türü | Dize |
| Olası değerler | excludedPath excludedFileExtension excludedFileName |
Dışlanan içeriğin yolu
Tam dosya yolu tarafından taranmayan içeriği belirtin.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | Yolu |
| Veri türü | Dize |
| Olası değerler | geçerli yollar |
| Açıklamalar | Yalnızca $typeexcludedPath olduğunda uygulanabilir |
Desteklenen dışlama türleri
Aşağıdaki tabloda, Mac'te Uç Nokta için Defender tarafından desteklenen dışlama türleri gösterilmektedir.
| Dışlama | Tanım | Örnekler |
|---|---|---|
| Dosya uzantısı | Uzantılı tüm dosyalar, cihazın herhangi bir yerinde | .test |
| Dosya | Tam yol tarafından tanımlanan belirli bir dosya | /var/log/test.log |
| Klasör | Belirtilen klasör altındaki tüm dosyalar (özyinelemeli olarak) | /var/log/ |
| Işlem | Belirli bir işlem (tam yol veya dosya adıyla belirtilir) ve tarafından açılan tüm dosyalar | /bin/cat |
Önemli
Yukarıdaki yolların başarıyla dışlanması için sembolik bağlantılar değil sabit bağlantılar olması gerekir. komutunu çalıştırarak file <path-name>yolun sembolik bir bağlantı olup olmadığını de kontrol edebilirsiniz.
Dosya, klasör ve işlem dışlamaları aşağıdaki joker karakterleri destekler:
| Joker | Açıklama | Örnek | Eşleşir | Eşleşmiyor |
|---|---|---|---|---|
| * | Hiçbiri dahil olmak üzere herhangi bir sayıda karakterle eşleşir (bu joker karakter bir yolun içinde kullanıldığında yalnızca bir klasörü değiştireceğini unutmayın) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | Herhangi bir tek karakterle eşleşir | file?.log |
file1.log |
file123.log |
Yol türü (dosya / dizin)
path özelliğinin bir dosyaya veya dizine başvurup başvurmadığını belirtin.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | isDirectory |
| Veri türü | Boole |
| Olası değerler | false (varsayılan) True |
| Açıklamalar | Yalnızca $typeexcludedPath olduğunda uygulanabilir |
Dosya uzantısı taramanın dışında bırakıldı
Dosya uzantısı tarafından taranmayan içeriği belirtin.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | Uzantısı |
| Veri türü | Dize |
| Olası değerler | geçerli dosya uzantıları |
| Açıklamalar | Yalnızca $typeexcludedFileExtension olduğunda geçerlidir |
Taramanın dışında tutulan işlem
Tüm dosya etkinliğinin taramanın dışında tutulacağını bir işlem belirtin. İşlem adıyla (örneğin, cat) veya tam yoluyla (örneğin, /bin/cat) belirtilebilir.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | Adı |
| Veri türü | Dize |
| Olası değerler | herhangi bir dize |
| Açıklamalar | Yalnızca $typeexcludedFileName olduğunda geçerlidir |
İzin verilen tehditler
Mac'te Uç Nokta için Defender tarafından engellenmeyen tehditleri ada göre belirtin. Bu tehditlerin çalışmasına izin verilir.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | allowedThreats |
| Veri türü | Dize dizisi |
İzin verilmeyen tehdit eylemleri
Bir cihazın yerel kullanıcısının tehdit algılandığında gerçekleştirebileceği eylemleri kısıtlar. Bu listede yer alan eylemler kullanıcı arabiriminde görüntülenmez.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | disallowedThreatActions |
| Veri türü | Dize dizisi |
| Olası değerler | allow (kullanıcıların tehditlere izin vermelerini kısıtlar) geri yükleme (kullanıcıların karantinadan tehditleri geri yüklemesini kısıtlar) |
| Açıklamalar | Uç Nokta için Microsoft Defender sürüm 100.83.73 veya üzeri sürümlerde kullanılabilir. |
Tehdit türü ayarları
MacOS'ta belirli tehdit türlerinin Uç Nokta için Microsoft Defender tarafından nasıl işleneceğini belirtin.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | threatTypeSettings |
| Veri türü | Sözlük (iç içe tercih) |
| Açıklamalar | Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. |
Tehdit türü
Tehdit türlerini belirtin.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | Anahtar |
| Veri türü | Dize |
| Olası değerler | potentially_unwanted_application archive_bomb |
Gerçekleştirecek eylem
Önceki bölümde belirtilen türde bir tehdit algılandığında hangi eylemin gerçekleştirileceğini belirtin. Aşağıdaki seçeneklerden birini belirleyin:
- Denetim: Cihazınız bu tür tehditlere karşı korunmaz, ancak tehditle ilgili bir giriş günlüğe kaydedilir.
- Engelle: Cihazınız bu tür tehditlere karşı korunur ve kullanıcı arabiriminde ve güvenlik konsolunda size bildirilir.
- Kapalı: Cihazınız bu tür tehditlere karşı korunmaz ve hiçbir şey günlüğe kaydedilmez.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | Değer |
| Veri türü | Dize |
| Olası değerler | denetim (varsayılan) Blok kapalı |
Tehdit türü ayarları birleştirme ilkesi
Tehdit türü ayarları için birleştirme ilkesini belirtin. Bu, yönetici tanımlı ve kullanıcı tanımlı ayarların () veya yalnızca yönetici tanımlı ayarların (mergeadmin_only) bir birleşimi olabilir. Bu ayar, yerel kullanıcıların farklı tehdit türleri için kendi ayarlarını tanımlamasını kısıtlamak için kullanılabilir.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | threatTypeSettingsMergePolicy |
| Veri türü | Dize |
| Olası değerler | merge (varsayılan) admin_only |
| Açıklamalar | Uç Nokta için Microsoft Defender sürüm 100.83.73 veya üzeri sürümlerde kullanılabilir. |
Virüsten koruma tarama geçmişi saklama (gün olarak)
Sonuçların cihazdaki tarama geçmişinde tutulacağını gün sayısını belirtin. Eski tarama sonuçları geçmişten kaldırılır. Diskten de kaldırılan eski karantinaya alınan dosyalar.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | scanResultsRetentionDays |
| Veri türü | Dize |
| Olası değerler | 90 (varsayılan). İzin verilen değerler 1 günden 180 güne kadardır. |
| Açıklamalar | Uç Nokta için Microsoft Defender sürüm 101.07.23 veya üzeri sürümlerde kullanılabilir. |
Virüsten koruma tarama geçmişindeki en fazla öğe sayısı
Tarama geçmişinde tutulacak en fazla girdi sayısını belirtin. Girişler, geçmişte gerçekleştirilen tüm isteğe bağlı taramaları ve tüm virüsten koruma algılamalarını içerir.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | scanHistoryMaximumItems |
| Veri türü | Dize |
| Olası değerler | 10000 (varsayılan). İzin verilen değerler 5000 öğeden 15000 öğeye kadardır. |
| Açıklamalar | Uç Nokta için Microsoft Defender sürüm 101.07.23 veya üzeri sürümlerde kullanılabilir. |
Bulut tabanlı koruma tercihleri
macOS üzerinde Uç Nokta için Microsoft Defender bulut tabanlı koruma özelliklerini yapılandırın.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | cloudService |
| Veri türü | Sözlük (iç içe tercih) |
| Açıklamalar | Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. |
Bulut tabanlı korumayı etkinleştirme/devre dışı bırakma
Cihazda bulut tabanlı korumanın etkinleştirilip etkinleştirilmeyeceğini belirtin. Hizmetlerinizin güvenliğini artırmak için bu özelliği açık tutmanızı öneririz.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | Etkin |
| Veri türü | Boole |
| Olası değerler | true (varsayılan) False |
Tanılama toplama düzeyi
Tanılama verileri, Uç Nokta için Microsoft Defender güvenli ve güncel tutmak, sorunları algılamak, tanılamak ve düzeltmek ve ayrıca ürün geliştirmeleri yapmak için kullanılır. Bu ayar, Uç Nokta için Microsoft Defender tarafından Microsoft'a gönderilen tanılama düzeyini belirler.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | diagnosticLevel |
| Veri türü | Dize |
| Olası değerler | isteğe bağlı (varsayılan) Gerekli |
Bulut bloğu düzeyini yapılandırma
Bu ayar, Uç Nokta için Defender'ın şüpheli dosyaları engelleme ve tarama konusunda ne kadar agresif olacağını belirler. Bu ayar açıksa, engellenecek ve taranacak şüpheli dosyaları tanımlarken Uç Nokta için Defender daha agresif olacaktır; aksi takdirde, daha az agresif olur ve bu nedenle daha az sıklıkta blok ve tarama olur. Bulut bloğu düzeyini ayarlamak için beş değer vardır:
- Normal (
normal): Varsayılan engelleme düzeyi. - Orta (
moderate): Yalnızca yüksek güvenilirlik algılamaları için karar verir. - Yüksek (
high): Performansı iyileştirirken bilinmeyen dosyaları agresif bir şekilde engeller (zararlı olmayan dosyaları engelleme olasılığı daha yüksektir). - High Plus (
high_plus): Bilinmeyen dosyaları agresif bir şekilde engeller ve ek koruma önlemleri uygular (istemci cihaz performansını etkileyebilir). - Sıfır Tolerans (
zero_tolerance): Tüm bilinmeyen programları engeller.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | cloudBlockLevel |
| Veri türü | Dize |
| Olası değerler | normal (varsayılan) Orta Yüksek high_plus zero_tolerance |
| Açıklamalar | Uç Nokta için Defender sürüm 101.56.62 veya sonraki sürümlerde kullanılabilir. |
Otomatik örnek gönderimlerini etkinleştirme/devre dışı bırakma
Şüpheli örneklerin (tehdit içerme olasılığı yüksek) Microsoft'a gönderilip gönderilmeyeceğini belirler. Gönderilen dosyanın kişisel bilgiler içerme olasılığının olup olmadığını sorarsınız.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | automaticSampleSubmission |
| Veri türü | Boole |
| Olası değerler | true (varsayılan) False |
Otomatik güvenlik bilgileri güncelleştirmelerini etkinleştirme/devre dışı bırakma
Güvenlik zekası güncelleştirmelerinin otomatik olarak yüklenip yüklenmediğini belirler:
| Bölüm | Değer |
|---|---|
| Anahtar | automaticDefinitionUpdateEnabled |
| Veri türü | Boole |
| Olası değerler | true (varsayılan) False |
Kullanıcı arabirimi tercihleri
macOS'ta Uç Nokta için Microsoft Defender kullanıcı arabiriminin tercihlerini yönetin.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | userInterface |
| Veri türü | Sözlük (iç içe tercih) |
| Açıklamalar | Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. |
Durum menüsü simgesini göster / gizle
Ekranın sağ üst köşesindeki durum menüsü simgesinin gösterilip gösterilmeyeceğini veya gizleneceğini belirtin.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | hideStatusMenuIcon |
| Veri türü | Boole |
| Olası değerler | false (varsayılan) True |
Geri bildirim göndermek için göster /gizle seçeneği
Kullanıcıların adresine giderek Help>Send FeedbackMicrosoft'a geri bildirim gönderip gönderemeyeceğini belirtin.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | userInitiatedFeedback |
| Veri türü | Dize |
| Olası değerler | etkin (varsayılan) Devre dışı |
| Açıklamalar | Uç Nokta için Microsoft Defender sürüm 101.19.61 veya üzeri sürümlerde kullanılabilir. |
Microsoft Defender tüketici sürümünde oturum açmayı denetleme
Kullanıcıların Microsoft Defender tüketici sürümünde oturum açıp açamayacağını belirtin.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | consumerExperience |
| Veri türü | Dize |
| Olası değerler | etkin (varsayılan) Devre dışı |
| Açıklamalar | Uç Nokta için Microsoft Defender sürüm 101.60.18 veya üzeri sürümlerde kullanılabilir. |
Uç nokta algılama ve yanıt tercihleri
macOS üzerinde Uç Nokta için Microsoft Defender uç nokta algılama ve yanıt (EDR) bileşeninin tercihlerini yönetin.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | Edr |
| Veri türü | Sözlük (iç içe tercih) |
| Açıklamalar | Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. |
Cihaz etiketleri
Bir etiket adı ve değerini belirtin.
- GROUP etiketi, cihazı belirtilen değerle işaretler. Etiket portalda cihaz sayfasının altında yansıtılır ve cihazları filtrelemek ve gruplandırma için kullanılabilir.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | Etiketler |
| Veri türü | Sözlük (iç içe tercih) |
| Açıklamalar | Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. |
Etiket türü
Etiket türünü belirtir
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | Anahtar |
| Veri türü | Dize |
| Olası değerler | GROUP |
Etiketin değeri
Etiketin değerini belirtir
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | Değer |
| Veri türü | Dize |
| Olası değerler | herhangi bir dize |
Önemli
- Etiket türü başına yalnızca bir değer ayarlanabilir.
- Etiketlerin türü benzersizdir ve aynı yapılandırma profilinde tekrarlanmamalıdır.
Grup tanımlayıcısı
EDR Grubu tanımlayıcıları
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | groupId'ler |
| Veri türü | Dize |
| Açıklamalar | Grup tanımlayıcısı |
Kurcalama Koruması
macOS'ta Uç Nokta için Microsoft Defender Kurcalama Koruması bileşeninin tercihlerini yönetin.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | kurcalama Koruması |
| Veri türü | Sözlük (iç içe tercih) |
| Açıklamalar | Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. |
Zorlama düzeyi
Kurcalama Koruması etkinse ve katı moddaysa
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | enforcementLevel |
| Veri türü | Dize |
| Açıklamalar | 'Devre dışı', 'denetim' veya 'blok' türünden biri |
Olası değerler:
- devre dışı - Kurcalama Koruması kapalı, saldırıları önleme veya Buluta raporlama yok
- audit - Kurcalama Koruması yalnızca Bulut'ta yapılan kurcalama girişimlerini bildirir, ancak engellemez
- block - Kurcalama Koruması hem blokları hem de buluta yapılan saldırıları bildirir
Dışlamalar
Microsoft Defender üzerinde değişiklik yapmayı göz önünde bulundurmadan varlığında değişiklik yapmaya izin verilen işlemleri tanımlar. Yol veya teamId ya da signingId ya da bunların birleşimi sağlanmalıdır. İzin verilen işlemi daha hassas bir şekilde belirtmek için ek olarak bağımsız değişkenler de sağlanabilir.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | Dışlamalar |
| Veri türü | Sözlük (iç içe tercih) |
| Açıklamalar | Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın. |
Yol
İşlemin yürütülebilir dosyasının tam yolu.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | Yolu |
| Veri türü | Dize |
| Açıklamalar | Kabuk betiği söz konusu olduğunda yorumlayıcı ikili dosyasının tam yolu olacaktır; örneğin. /bin/zsh Joker karaktere izin verilmez. |
Ekip Kimliği
Apple'ın satıcının "Ekip Kimliği".
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | teamId |
| Veri türü | Dize |
| Açıklamalar | Örneğin, UBF8T346G9 Microsoft için |
İmzalama Kimliği
Apple'ın paketin "İmzalama Kimliği".
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | signingId |
| Veri türü | Dize |
| Açıklamalar | Örneğin, com.apple.ruby Ruby yorumlayıcısı için |
İşlem bağımsız değişkenleri
İşlemi tanımlamak için diğer parametrelerle birlikte kullanılır.
| Bölüm | Değer |
|---|---|
| Etki alanı | com.microsoft.wdav |
| Anahtar | signingId |
| Veri türü | Dize dizisi |
| Açıklamalar | Belirtilirse, işlem bağımsız değişkeni bu bağımsız değişkenlerle tam olarak eşleşmelidir, büyük/küçük harfe duyarlı |
Önerilen yapılandırma profili
Başlamak için, kuruluşunuzun Uç Nokta için Microsoft Defender sağladığı tüm koruma özelliklerinden yararlanması için aşağıdaki yapılandırmayı öneririz.
Aşağıdaki yapılandırma profili (veya JAMF durumunda, özel ayarlar yapılandırma profiline yüklenebilen bir özellik listesi) şunları yapar:
- Gerçek zamanlı korumayı etkinleştirme (RTP)
- Aşağıdaki tehdit türlerinin nasıl işleneceğini belirtin:
- İstenmeyebilecek uygulamalar (PUA) engellendi
- Arşiv bombaları (yüksek sıkıştırma oranına sahip dosya) Uç Nokta için Microsoft Defender günlüklerde denetleniyor
- Otomatik güvenlik bilgileri güncelleştirmelerini etkinleştirme
- Bulut tabanlı korumayı etkinleştirme
- Otomatik örnek göndermeyi etkinleştirme
JAMF önerilen yapılandırma profili için özellik listesi
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Önerilen profili Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
Tam yapılandırma profili örneği
Aşağıdaki şablonlar, bu belgede açıklanan tüm ayarların girdilerini içerir ve macOS'ta Uç Nokta için Microsoft Defender üzerinde daha fazla denetime ihtiyacınız olan daha gelişmiş senaryolar için kullanılabilir.
JAMF tam yapılandırma profili için özellik listesi
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Tam profil Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Özellik listesi doğrulama
Özellik listesi geçerli bir .plist dosyası olmalıdır. Bu, yürütülerek denetlenebilir:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Dosya iyi biçimlendirilmişse, yukarıdaki komut çıkışını alır OK ve çıkış kodunu 0döndürür. Aksi takdirde, sorunu açıklayan bir hata görüntülenir ve komutu çıkış 1kodunu döndürür.
Yapılandırma profili dağıtımı
Kuruluşunuz için yapılandırma profilini derledikten sonra, kuruluşunuzun kullandığı yönetim konsolu aracılığıyla dağıtabilirsiniz. Aşağıdaki bölümlerde JAMF ve Intune kullanarak bu profilin nasıl dağıtılacağına ilişkin yönergeler sağlanmaktadır.
JAMF dağıtımı
JAMF konsolundan Bilgisayar>Yapılandırma Profilleri'ni açın, kullanmak istediğiniz yapılandırma profiline gidin ve Özel Ayarlar'ı seçin. tercih etki alanı olarak ile com.microsoft.wdav bir giriş İçerik Oluşturucu ve daha önce üretilen .plist dosyasını karşıya yükleyin.
Dikkat
Doğru tercih etki alanını (com.microsoft.wdav) girmeniz gerekir; aksi takdirde, tercihler Uç Nokta için Microsoft Defender tarafından tanınmaz.
Intune dağıtımı
Cihaz>Yapılandırma Profillerini açın. İçerik Oluşturucu Profili'ne tıklayın.
Profil için bir ad seçin. Platform=macOS'uProfil türü=Şablonlar olarak değiştirin ve şablon adı bölümünde Özel'i seçin. Yapılandır'ı seçin.
Daha önce üretilen .plist dosyasını olarak
com.microsoft.wdav.xmlkaydedin.Özel yapılandırma profili adı olarak girin
com.microsoft.wdav.Yapılandırma profilini açın ve dosyayı karşıya yükleyin
com.microsoft.wdav.xml. (Bu dosya 3. adımda oluşturulmuştur.)Tamam'ı seçin.
AtamalarıYönet'i> seçin. Ekle sekmesinde Tüm Kullanıcılara Ata & Tüm cihazlar'ı seçin.
Dikkat
Doğru özel yapılandırma profili adını girmeniz gerekir; aksi takdirde, bu tercihler Uç Nokta için Microsoft Defender tarafından tanınmaz.
Kaynaklar
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin