查看或编辑 Microsoft Defender for Business 中的下一代保护策略
在 Defender for Business 中,下一代保护包括针对计算机和移动设备的强大防病毒和反恶意软件保护。 具有建议设置的默认策略包含在 Defender for Business 中。 默认策略旨在在不妨碍工作效率的情况下保护设备和用户。 但是,可以自定义策略以满足业务需求。
可以从多个选项中进行选择,用于管理下一代保护策略:
- 如果在不使用 Intune) 的情况下使用独立版本的 Defender for Business, (建议使用 Microsoft Defender 门户 https://security.microsoft.com ;或者
- 如果订阅包含 Intune) ,请使用 Microsoft Intune 管理中心 https://intune.microsoft.com (可用
转到 Microsoft Defender 门户 (https://security.microsoft.com) ,然后登录。
在导航窗格中,转到 “终结点>配置管理>设备配置”。 策略按操作系统和策略类型进行组织。
选择操作系统选项卡 (,例如 Windows) 。
在 “下一代保护”下,查看策略列表。 至少会列出使用建议设置的默认策略。 此默认策略将分配给运行在上一步中选择 (操作系统的所有已载入设备,例如 Windows) 。 可以执行下列操作:
- 将默认策略保留为当前配置。
- 编辑默认策略以进行任何所需的调整。
- 创建新策略。
使用下表中的过程之一:
任务 Procedure 编辑默认策略 1. 在 “下一代保护 ”部分中,选择默认策略,然后选择 “编辑”。
2. 在 “常规信息” 步骤中,查看信息。 如有必要,请编辑说明,然后选择“ 下一步”。
3. 在 “设备组” 步骤中,使用现有组或设置新组。 然后选择“下一步”。
4. 在 “配置设置” 步骤中,查看 并根据需要编辑安全设置,然后选择“ 下一步”。 有关设置的详细信息,请参阅本文 () 中的 下一代保护设置和选项 。
5.在 “查看策略 ”步骤中,查看当前设置。 选择 “编辑” 以进行任何所需的更改。 然后选择“ 更新策略”。创建新策略 1. 在 “下一代保护 ”部分中,选择“ 添加”。
2. 在 “常规信息 ”步骤中,指定策略的名称和说明。 还可以保留或更改策略顺序 (请参阅 了解 Microsoft Defender for Business) 中的策略顺序 。 然后选择“下一步”。
3. 在 “设备组” 步骤中,可以使用现有组或创建新组, (请参阅 Microsoft Defender for Business) 中的设备组 。 然后选择“下一步”。
4.在 “配置设置” 步骤中,查看并编辑安全设置,然后选择“ 下一步”。 有关设置的详细信息,请参阅本文 () 中的 下一代保护设置和选项 。
5.在 “查看策略 ”步骤中,查看当前设置。 选择 “编辑” 以进行任何所需的更改。 然后选择“ 创建策略”。
下一代保护设置和选项
下表列出了 Defender for Business 中下一代保护的设置和选项。
| Setting | 说明 |
|---|---|
| 实时保护 | |
| 启用实时保护 | 默认情况下,实时保护会定位并阻止恶意软件在设备上运行。 建议保持启用实时保护。 启用实时保护后,它会配置以下设置: - (AllowBehaviorMonitoring) 启用行为监视。 - 将 (AllowIOAVProtection) 扫描所有下载的文件和附件。 - Microsoft浏览器中使用的脚本 (AllowScriptScanning) 进行扫描。 |
| 首次看到时阻止 | 默认情况下启用,在检测数秒内阻止第一次看到阻止恶意软件,增加 (的时间(以秒为单位),) 允许提交示例文件进行分析,并将检测级别设置为“高”。
我们建议保持打开第一眼时阻止。 启用“首次看到时阻止”时,它会为 Microsoft Defender 防病毒配置以下设置: - 阻止和扫描可疑文件设置为“高阻止级别 (CloudBlockLevel) 。 - (CloudExtendedTimeout) ,阻止和检查文件的秒数设置为 50 秒。 重要 如果一见时阻止处于关闭状态,则会影响 CloudBlockLevel 和 CloudExtendedTimeout Microsoft Defender 防病毒。 |
| 启用网络保护功能 | 默认情况下,网络保护在“阻止”模式下启用,可帮助防范网络钓鱼欺诈、攻击托管网站和 Internet 上的恶意内容。 它还可以防止用户关闭网络保护。 网络保护可以设置为以下模式: - 阻止模式 是默认设置。 它可以防止用户访问被视为不安全的网站。 建议将网络保护设置为“阻止”模式。 - 审核模式 允许用户访问可能不安全的站点,并跟踪此类站点的来回网络活动。 - 禁用模式 既不阻止用户访问可能不安全的站点,也不会跟踪此类站点的网络活动。 |
| 修复 | |
| 对可能不需要的应用 (PUA) 执行的操作 | 默认情况下启用 PUA 保护会阻止被检测为 PUA 的项目。 PUA 可以包括广告软件;捆绑提供安装其他未签名软件的软件;和逃避试图逃避安全功能的软件。 尽管 PUA 不一定是病毒、恶意软件或其他类型的威胁,但它可能会影响设备性能。 可以将 PUA 保护设置为以下模式: - “已启用” 是默认设置。 它阻止设备上检测到 PUA 的项目。 建议保持启用 PUA 保护。 - 审核模式 对检测到为 PUA 的项不执行任何操作。 - Disabled 不会检测或对可能是 PUA 的项目执行操作。 |
| 扫描 | |
| 计划扫描类型 | 默认情况下,在快速扫描模式下启用,可以指定运行每周防病毒扫描的日期和时间。 以下扫描类型选项可用: - 快速扫描 会检查注册表项和启动文件夹等位置,其中恶意软件可以注册为随设备一起启动。 建议使用快速扫描选项。 - Fullscan 检查设备上的所有文件和文件夹。 - 禁用 意味着不会进行计划扫描。 用户仍然可以在自己的设备上运行扫描。 (通常,不建议禁用计划扫描。) 详细了解扫描类型。 |
| 运行计划扫描的星期几 | 选择一天进行常规的每周防病毒扫描以运行。 |
| 运行计划扫描的时间 | 选择要运行定期计划的防病毒扫描的时间。 |
| 使用低性能 | 默认情况下,此设置处于关闭状态。 建议保持此设置处于关闭状态。 但是,可以启用此设置以限制在计划扫描期间使用的设备内存和资源。
重要 如果启用 “使用低性能”,它将为 Microsoft Defender 防病毒配置以下设置: - 不会 (AllowArchiveScanning) 扫描存档文件。 - 为扫描分配低 CPU 优先级 (EnableLowCPUPriority) 。 - 如果错过完全防病毒扫描,则不会 (DisableCatchupFullScan) 运行任何追赶扫描。 - 如果错过快速防病毒扫描,则不会 (DisableCatchupQuickScan) 运行任何跟进扫描。 - 将防病毒扫描期间的平均 CPU 负载因子从 50% 降低到 20%, (AvgCPULoadFactor) 。 |
| 用户体验 | |
| 允许用户访问 Windows 安全应用 | 启用此设置可让用户在其设备上打开 Windows 安全中心应用。 用户无法覆盖你在 Defender for Business 中配置的设置,但他们可以运行快速扫描或查看任何检测到的威胁。 |
| 防病毒排除项 | 排除项是Microsoft Defender 防病毒扫描跳过的进程、文件或文件夹。 通常,不需要定义排除项。 Microsoft Defender 防病毒包括许多基于已知操作系统行为和典型管理文件的自动排除项。 每个排除都会降低保护级别,因此请务必仔细考虑要定义的排除项。 在添加任何排除项之前,请参阅 管理 Microsoft Defender for Endpoint 的排除项和 Microsoft Defender 防病毒。 |
| 进程排除 | 进程排除可防止特定进程打开的文件被 Microsoft Defender 防病毒扫描。 将进程添加到进程排除列表时,无论文件位于何处,Microsoft Defender 防病毒都不会扫描该进程打开的文件。 除非将进程添加到文件排除列表,否则会扫描该进程本身。 请参阅 配置进程打开的文件的排除项。 |
| 文件扩展名排除项 | 文件扩展名排除可防止Microsoft Defender 防病毒扫描具有特定扩展名的文件。 请参阅 基于文件扩展名和文件夹位置配置和验证排除项。 |
| 文件和文件夹排除项 | 文件和文件夹排除可防止特定文件夹中的文件被 Microsoft Defender 防病毒扫描。 请参阅 上下文文件和文件夹排除项。 |
Defender for Business 中的其他预配置设置
以下安全设置在 Defender for Business 中预配置:
- (AllowFullScanRemovableDriveScanning) 启用可移动驱动器扫描。
- 每日快速扫描没有预设时间 (ScheduleQuickScanTime) 。
- 在防病毒扫描 (CheckForSignaturesBeforeRunningScan) 运行之前,会检查安全智能更新。
- 安全智能检查每四小时 (SignatureUpdateInterval) 进行一次。
Defender for Business 中的默认设置如何与 Microsoft Intune 中的设置相对应
下表介绍了为 Defender for Business 预配置的设置,以及这些设置与 Intune 中可能看到的内容的对应方式。 如果在 Defender for Business 中使用简化的配置过程,则无需编辑这些设置。
| Setting | 说明 |
|---|---|
| 云保护 | 云保护有时称为云提供的保护或Microsoft高级保护服务 (MAPS) ,云保护可与 Microsoft Defender 防病毒和Microsoft云配合使用,以识别新威胁,有时甚至在单个设备受到影响之前。 默认情况下, AllowCloudProtection 处于打开状态。 详细了解云保护。 |
| 监视传入和传出文件 | 若要监视传入和传出文件, 将 RealTimeScanDirection 设置为监视所有文件。 |
| 扫描网络文件 | 默认情况下, 未启用 AllowScanningNetworkFiles ,并且不会扫描网络文件。 |
| 扫描电子邮件 | 默认情况下, 未启用 AllowEmailScanning ,并且不会扫描电子邮件。 |
| 保留隔离恶意软件的天数 (0-90) | 默认情况下, DaysToRetainCleanedMalware 设置设置为零 (0) 天。 处于隔离状态的项目不会自动删除。 |
| 提交示例同意 | 默认情况下, SubmitSamplesConsent 设置为自动发送安全示例。 安全示例的示例包括 .bat、 .scr、 .dll和 .exe 不包含个人身份信息 (PII) 的文件。 如果文件确实包含 PII,则用户会收到一个请求,以允许示例提交继续进行。
详细了解云保护和示例提交。 |
| 扫描可移动驱动器 | 默认情况下, AllowFullScanRemovableDriveScanning 配置为扫描可移动驱动器,例如设备上的 U 盘。 详细了解反恶意软件策略设置。 |
| 运行每日快速扫描时间 | 默认情况下, ScheduleQuickScanTime 设置为凌晨 2:00。 详细了解扫描设置。 |
| 在运行扫描之前检查签名更新 | 默认情况下, CheckForSignaturesBeforeRunningScan 配置为在运行防病毒/反恶意软件扫描之前检查安全智能更新。 详细了解扫描设置和安全智能更新。 |
| ) 0-24 小时 (检查安全智能更新的频率 | 默认情况下, SignatureUpdateInterval 配置为每四小时检查一次安全智能更新。 详细了解扫描设置和安全智能更新。 |
后续步骤
- 为防火墙策略设置防火墙策略 和 自定义规则。
- 设置 Web 内容筛选策略 并自动启用 Web 保护。
- 设置受控文件夹访问策略 以防范勒索软件。
- 启用攻击面减少规则。
- 查看高级功能和 Microsoft Defender 门户的设置。
- 在 Microsoft Defender for Business 中使用漏洞管理仪表板