设置 macOS 上 Microsoft Defender for Endpoint 的首选项
适用于:
- macOS 上的 Microsoft Defender for Endpoint
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
重要
本文包含有关如何在企业组织中为 macOS 上的 Microsoft Defender for Endpoint 设置首选项的说明。 若要使用命令行界面在 macOS 上配置 Microsoft Defender for Endpoint,请参阅 资源。
摘要
在企业组织中,macOS 上的 Microsoft Defender for Endpoint 可以通过使用多种管理工具之一部署的配置文件进行管理。 安全运营团队管理的首选项优先于设备上本地设置的首选项。 更改通过配置文件设置的首选项需要升级的权限,并且对没有管理权限的用户不可用。
本文介绍配置文件的结构,包括可用于入门的建议配置文件,并提供有关如何部署配置文件的说明。
配置文件结构
配置文件是 一个 .plist 文件,其中包含由键 (标识的条目,该项表示首选项) 的名称,后跟一个值,该值取决于首选项的性质。 值可以是简单 ((如数值) )或复杂值(例如嵌套的首选项列表)。
警告
配置文件的布局取决于所使用的管理控制台。 以下部分包含 JAMF 和 Intune 的配置文件示例。
配置文件的顶层包括 Microsoft Defender for Endpoint 子区域的产品范围的首选项和条目,后续部分将更详细地介绍这些首选项。
防病毒引擎首选项
配置文件的 防病毒Engine 部分用于管理 Microsoft Defender for Endpoint 防病毒组件的首选项。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | 防病毒Engine |
| 数据类型 | 字典 (嵌套首选项) |
| 注释 | 有关字典内容的说明,请参阅以下部分。 |
防病毒引擎的强制级别
指定防病毒引擎的强制首选项。 设置强制级别有三个值:
- 实时 (
real_time) :启用实时保护 (访问文件时扫描文件) 。 - 按需 (
on_demand) :仅按需扫描文件。 在此中:- 实时保护已关闭。
- 被动 (
passive) :在被动模式下运行防病毒引擎。 在此中:- 实时保护已关闭。
- 按需扫描已打开。
- 自动威胁修正已关闭。
- 安全智能更新已打开。
- 状态菜单图标处于隐藏状态状态。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | enforcementLevel |
| 数据类型 | String |
| 可能的值 | real_time (默认) on_demand 被动 |
| 注释 | 在 Microsoft Defender for Endpoint 版本 101.10.72 或更高版本中可用。 |
启用/禁用行为监视
确定是否在设备上启用行为监视和阻止功能。
注意
仅当启用了 Real-Time 保护功能时,此功能才适用。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | behaviorMonitoring |
| 数据类型 | String |
| 可能的值 | 禁用 已启用 (默认) |
| 注释 | 在 Microsoft Defender for Endpoint 版本 101.24042.0002 或更高版本中可用。 |
配置文件哈希计算功能
启用或禁用文件哈希计算功能。 启用此功能后,Defender for Endpoint 会计算它扫描的文件的哈希,以便更好地匹配指示器规则。 在 macOS 上,只有脚本和 Mach-O (32 位和 64 位) 文件才会考虑此哈希计算 (引擎版本 1.1.20000.2 或更高版本) 。 请注意,启用此功能可能会影响设备性能。 有关更多详细信息,请参阅: 为文件创建指示器。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | enableFileHashComputation |
| 数据类型 | 布尔值 |
| 可能的值 | false(默认值) true |
| 注释 | 在 Defender for Endpoint 版本 101.86.81 或更高版本中可用。 |
更新定义后运行扫描
指定在设备上下载新的安全智能更新后是否启动进程扫描。 启用此设置会在设备的正在运行的进程上触发防病毒扫描。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | scanAfterDefinitionUpdate |
| 数据类型 | 布尔值 |
| 可能的值 | true (默认) false |
| 注释 | 在 Microsoft Defender for Endpoint 版本 101.41.10 或更高版本中可用。 |
仅扫描存档 (按需防病毒扫描)
指定是否在按需防病毒扫描期间扫描存档。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | scanArchives |
| 数据类型 | 布尔值 |
| 可能的值 | true (默认) false |
| 注释 | 在 Microsoft Defender for Endpoint 版本 101.41.10 或更高版本中可用。 |
按需扫描的并行度
指定按需扫描的并行度。 这对应于用于执行扫描并影响 CPU 使用率的线程数,以及按需扫描的持续时间。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | maximumOnDemandScanThreads |
| 数据类型 | 整数 |
| 可能的值 | 2 (默认) 。 允许的值是介于 1 和 64 之间的整数。 |
| 注释 | 在 Microsoft Defender for Endpoint 版本 101.41.10 或更高版本中可用。 |
排除合并策略
指定排除项的合并策略。 这可以是管理员定义的排除项和用户定义的排除项 () merge 的组合,也可以是管理员定义的排除项 (admin_only) 。 此设置可用于限制本地用户定义其自己的排除项。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | exclusionsMergePolicy |
| 数据类型 | String |
| 可能的值 | 合并 (默认) admin_only |
| 注释 | 在 Microsoft Defender for Endpoint 版本 100.83.73 或更高版本中可用。 |
扫描排除项
指定从扫描中排除的实体。 排除项可以由完整路径、扩展名或文件名指定。 (排除项指定为项数组,管理员可以根据需要指定任意数量的元素,按任意顺序。)
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | 排除 |
| 数据类型 | 字典 (嵌套首选项) |
| 注释 | 有关字典内容的说明,请参阅以下部分。 |
排除类型
指定按类型扫描中排除的内容。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | $type |
| 数据类型 | String |
| 可能的值 | excludedPath excludedFileExtension excludedFileName |
已排除内容的路径
指定完整文件路径从扫描中排除的内容。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | path |
| 数据类型 | String |
| 可能的值 | 有效路径 |
| 注释 | 仅当排除$type时适用Path |
支持的排除类型
下表显示了 Mac 上的 Defender for Endpoint 支持的排除类型。
| 排除 | 定义 | 示例 |
|---|---|---|
| 文件扩展名 | 设备上任何位置具有 扩展名的所有文件 | .test |
| 文件 | 由完整路径标识的特定文件 | /var/log/test.log |
| Folder | 指定文件夹下的所有文件 (递归) | /var/log/ |
| 流程 | 特定进程 (由) 的完整路径或文件名指定,以及它打开的所有文件 | /bin/cat |
重要
上述路径必须是硬链接,而不是符号链接,才能成功排除。 可以通过运行 file <path-name>来检查路径是否为符号链接。
文件、文件夹和进程排除项支持以下通配符:
| 通配符 | 说明 | 示例 | 匹配 | 不匹配 |
|---|---|---|---|---|
| * | 匹配任意数量的任意字符,包括无 (请注意,当此通配符在路径中使用时,它将仅替换一个文件夹) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | 匹配任何单个字符 | file?.log |
file1.log |
file123.log |
路径类型 (文件/目录)
指示 路径 属性是否引用文件或目录。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | isDirectory |
| 数据类型 | 布尔值 |
| 可能的值 | false(默认值) true |
| 注释 | 仅当排除$type时适用Path |
从扫描中排除的文件扩展名
指定按文件扩展名扫描时排除的内容。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | 扩展 |
| 数据类型 | String |
| 可能的值 | 有效的文件扩展名 |
| 注释 | 仅当排除$typeFileExtension 时才适用 |
从扫描中排除的进程
指定从扫描中排除所有文件活动的进程。 可以按进程的名称 ((例如, cat) )或完整路径 (指定, /bin/cat 例如) 。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | name |
| 数据类型 | String |
| 可能的值 | 任何字符串 |
| 注释 | 仅当排除$typeFileName 时适用 |
允许的威胁
按名称指定不受 Mac 上的 Defender for Endpoint 阻止的威胁。 将允许运行这些威胁。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | allowedThreats |
| 数据类型 | 字符串数组 |
不允许的威胁操作
限制设备本地用户在检测到威胁时可以执行的操作。 此列表中包含的操作不会显示在用户界面中。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | disallowedThreatActions |
| 数据类型 | 字符串数组 |
| 可能的值 | 允许 (限制用户允许威胁) 还原 (限制用户从隔离) 还原威胁 |
| 注释 | 在 Microsoft Defender for Endpoint 版本 100.83.73 或更高版本中可用。 |
威胁类型设置
指定 macOS 上的 Microsoft Defender for Endpoint 如何处理某些威胁类型。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | threatTypeSettings |
| 数据类型 | 字典 (嵌套首选项) |
| 注释 | 有关字典内容的说明,请参阅以下部分。 |
威胁类型
指定威胁类型。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | 注册表项 |
| 数据类型 | String |
| 可能的值 | potentially_unwanted_application archive_bomb |
要采取的措施
指定在检测到上一部分中指定的类型威胁时要执行的操作。 从以下选项中选择:
- 审核:设备不受此类威胁的保护,但会记录有关威胁的条目。
- 阻止:设备受到保护,免受此类威胁的侵害,并在用户界面和安全控制台中收到通知。
- 关闭:你的设备不受此类威胁的保护,并且不会记录任何内容。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | 值 |
| 数据类型 | String |
| 可能的值 | 审核 (默认) 块 关 |
威胁类型设置合并策略
指定威胁类型设置的合并策略。 这可以是管理员定义的设置和用户定义的设置 () merge 的组合,也可以是管理员定义的设置 () admin_only 。 此设置可用于限制本地用户为不同的威胁类型定义自己的设置。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | threatTypeSettingsMergePolicy |
| 数据类型 | String |
| 可能的值 | 合并 (默认) admin_only |
| 注释 | 在 Microsoft Defender for Endpoint 版本 100.83.73 或更高版本中可用。 |
防病毒扫描历史记录保留期 (天)
指定结果在设备上的扫描历史记录中保留的天数。 旧扫描结果将从历史记录中删除。 也从磁盘中删除的旧隔离文件。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | scanResultsRetentionDays |
| 数据类型 | String |
| 可能的值 | 90 (默认) 。 允许的值为 1 天到 180 天。 |
| 注释 | 在 Microsoft Defender for Endpoint 版本 101.07.23 或更高版本中可用。 |
防病毒扫描历史记录中的最大项目数
指定要在扫描历史记录中保留的最大条目数。 条目包括过去执行的所有按需扫描和所有防病毒检测。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | scanHistoryMaximumItems |
| 数据类型 | String |
| 可能的值 | 10000 (默认) 。 允许的值为 5000 到 15000 项。 |
| 注释 | 在 Microsoft Defender for Endpoint 版本 101.07.23 或更高版本中可用。 |
云提供的保护首选项
在 macOS 上配置 Microsoft Defender for Endpoint 的云驱动保护功能。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | cloudService |
| 数据类型 | 字典 (嵌套首选项) |
| 注释 | 有关字典内容的说明,请参阅以下部分。 |
启用/禁用云提供的保护
指定是否对设备启用云提供的保护。 为了提高服务的安全性,我们建议保持此功能的打开状态。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | enabled |
| 数据类型 | 布尔值 |
| 可能的值 | true (默认) false |
诊断集合级别
诊断数据用于保持 Microsoft Defender for Endpoint 的安全和最新、检测、诊断和修复问题,以及进行产品改进。 此设置确定 Microsoft Defender for Endpoint 向 Microsoft 发送的诊断级别。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | diagnosticLevel |
| 数据类型 | String |
| 可能的值 | 可选 (默认) 必需 |
配置云块级别
此设置确定 Defender for Endpoint 在阻止和扫描可疑文件时的积极程度。 如果此设置处于打开状态,则 Defender for Endpoint 在识别要阻止和扫描的可疑文件时会更加主动;否则,它将不太积极,因此阻止和扫描的频率较低。 有五个值用于设置云块级别:
- 普通 (
normal) :默认阻止级别。 - 中等 (
moderate) :仅针对高置信度检测提供判决。 - 高 (
high) :主动阻止未知文件,同时优化性能 (阻止非有害文件) 的可能性更大。 - 高加 (
high_plus) :主动阻止未知文件并应用其他保护措施, (可能会影响客户端设备性能) 。 - 零容忍 (
zero_tolerance) :阻止所有未知程序。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | cloudBlockLevel |
| 数据类型 | String |
| 可能的值 | 正常 (默认) 温和 高 high_plus zero_tolerance |
| 注释 | 在 Defender for Endpoint 版本 101.56.62 或更高版本中可用。 |
启用/禁用自动示例提交
确定是否将可疑样本 (可能包含威胁) 发送到 Microsoft。 有三个级别用于控制示例提交:
- 无:不会向 Microsoft 提交任何可疑样本。
- 安全:仅自动提交不包含个人身份信息的可疑样本 (PII) 。 这是此设置的默认值。
- 全部:所有可疑样本均提交到 Microsoft。
| 说明 | 值 |
|---|---|
| 键 | automaticSampleSubmissionConsent |
| 数据类型 | String |
| 可能的值 | 无 安全 (默认) 全部 |
启用/禁用自动安全智能更新
确定是否自动安装安全智能更新:
| 节 | 值 |
|---|---|
| 键 | automaticDefinitionUpdateEnabled |
| 数据类型 | 布尔值 |
| 可能的值 | true (默认) false |
用户界面首选项
管理 macOS 上 Microsoft Defender for Endpoint 用户界面的首选项。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | userInterface |
| 数据类型 | 字典 (嵌套首选项) |
| 注释 | 有关字典内容的说明,请参阅以下部分。 |
显示/隐藏状态菜单图标
指定是显示还是隐藏屏幕右上角的状态菜单图标。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | hideStatusMenuIcon |
| 数据类型 | 布尔值 |
| 可能的值 | false(默认值) true |
显示/隐藏用于发送反馈的选项
指定用户是否可以通过转到 Help>Send Feedback向 Microsoft 提交反馈。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | userInitiatedFeedback |
| 数据类型 | String |
| 可能的值 | 已启用 (默认) 禁用 |
| 注释 | 在 Microsoft Defender for Endpoint 版本 101.19.61 或更高版本中可用。 |
控制 Microsoft Defender 使用者版本的登录
指定用户是否可以登录到 Microsoft Defender 的使用者版本。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | consumerExperience |
| 数据类型 | String |
| 可能的值 | 已启用 (默认) 禁用 |
| 注释 | 在 Microsoft Defender for Endpoint 版本 101.60.18 或更高版本中可用。 |
终结点检测和响应首选项
管理 macOS 上 Microsoft Defender for Endpoint (EDR) 组件的终结点检测和响应首选项。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | edr |
| 数据类型 | 字典 (嵌套首选项) |
| 注释 | 有关字典内容的说明,请参阅以下部分。 |
设备标记
指定标记名称及其值。
- GROUP 标记使用指定的值标记设备。 标记反映在门户的设备页下,可用于筛选和分组设备。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | tags |
| 数据类型 | 字典 (嵌套首选项) |
| 注释 | 有关字典内容的说明,请参阅以下部分。 |
标记的类型
指定标记的类型
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | 注册表项 |
| 数据类型 | String |
| 可能的值 | GROUP |
标记的值
指定标记的值
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | 值 |
| 数据类型 | String |
| 可能的值 | 任何字符串 |
重要
- 每个标记类型只能设置一个值。
- 标记类型是唯一的,不应在同一配置文件中重复。
组标识符
EDR 组标识符
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | groupIds |
| 数据类型 | String |
| 注释 | 组标识符 |
篡改防护
在 macOS 上管理 Microsoft Defender for Endpoint 的篡改防护组件的首选项。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | 篡改保护 |
| 数据类型 | 字典 (嵌套首选项) |
| 注释 | 有关字典内容的说明,请参阅以下部分。 |
强制级别
如果启用了篡改防护,并且处于严格模式
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | enforcementLevel |
| 数据类型 | String |
| 注释 | “disabled”、“audit”或“block”之一 |
可能的值:
- 已禁用 - 篡改防护已关闭,无法阻止攻击或向云报告
- audit - 篡改防护仅报告对云的篡改尝试,但不阻止它们
- 阻止 - 篡改防护同时阻止和报告对云的攻击
排除项
定义允许更改 Microsoft Defender 资产的进程,而无需考虑篡改。 必须提供 path、teamId、signingId 或其组合。 还可以提供 Args,以更准确地指定允许的进程。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | 排除 |
| 数据类型 | 字典 (嵌套首选项) |
| 注释 | 有关字典内容的说明,请参阅以下部分。 |
Path
进程可执行文件的确切路径。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | path |
| 数据类型 | String |
| 注释 | 对于 shell 脚本,它将是解释器二进制文件的确切路径,例如 /bin/zsh。 不允许使用通配符。 |
团队 ID
苹果供应商的“团队 ID”。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | teamId |
| 数据类型 | String |
| 注释 | 例如, UBF8T346G9 对于 Microsoft |
签名 ID
苹果的包的“签名 ID”。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | signingId |
| 数据类型 | String |
| 注释 | 例如, com.apple.ruby 对于 Ruby 解释器 |
进程参数
与其他参数结合使用以标识进程。
| 节 | 值 |
|---|---|
| 域 | com.microsoft.wdav |
| 键 | signingId |
| 数据类型 | 字符串数组 |
| 注释 | 如果指定,则进程参数必须与这些参数完全匹配,区分大小写 |
建议的配置文件
若要开始,我们建议企业使用以下配置,以利用 Microsoft Defender for Endpoint 提供的所有保护功能。
以下配置文件 (,或者对于 JAMF,可以上传到自定义设置配置文件的属性列表) 将:
- (RTP) 启用实时保护
- 指定如何处理以下威胁类型:
- 阻止了可能不需要的应用程序 (PUA)
- 存档炸弹 (具有较高压缩率) 的文件将审核到 Microsoft Defender for Endpoint 日志
- 启用自动安全智能更新
- 启用云保护
- 启用自动示例提交
JAMF 建议的配置文件的属性列表
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Intune 建议的配置文件
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
完整配置文件示例
以下模板包含本文档中所述的所有设置的条目,可用于更高级的方案,在这些方案中,你希望对 macOS 上的 Microsoft Defender for Endpoint 进行更多控制。
JAMF 完整配置文件的属性列表
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Intune 完整配置文件
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
属性列表验证
属性列表必须是有效的 .plist 文件。 可以通过执行以下代码来检查这一点:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
如果文件格式正确,则上述命令将输出 OK 并返回退出代码 0。 否则,将显示描述问题的错误,命令返回退出代码 1。
配置文件部署
为企业生成配置文件后,可以通过企业正在使用的管理控制台进行部署。 以下部分提供了有关如何使用 JAMF 和 Intune 部署此配置文件的说明。
JAMF 部署
在 JAMF 控制台中,打开“计算机>配置配置文件”,导航到要使用的配置文件,然后选择“自定义设置”。 使用 创建一个条目 com.microsoft.wdav 作为首选项域,并上传前面生成的 .plist 。
警告
必须输入正确的首选项域 (com.microsoft.wdav) ;否则,Microsoft Defender for Endpoint 无法识别首选项。
Intune 部署
打开 “设备>配置文件”。 选择“创建配置文件”。
为配置文件选择名称。 将 Platform=macOS 更改为 “配置文件类型=模板” ,然后在模板名称部分选择 “自定义 ”。 选择“配置”。
将前面生成的 .plist 保存为
com.microsoft.wdav.xml。输入
com.microsoft.wdav作为 自定义配置文件名称。打开配置文件并上传
com.microsoft.wdav.xml文件。 (此文件是在步骤 3.) 中创建的选择“确定”。
选择“ 管理>分配”。 在“ 包括 ”选项卡中,选择“ 分配给所有用户 & 所有设备”。
警告
必须输入正确的自定义配置文件名称;否则,Microsoft Defender for Endpoint 无法识别这些首选项。
资源
提示
想要了解更多信息? 在技术社区:Microsoft Defender for Endpoint 技术社区中与 Microsoft 安全社区互动。