在 Microsoft 商務用 Defender 中檢閱或編輯新一代保護原則
在商務用Defender中,新一代保護包含計算機和行動裝置的強固防病毒軟體和反惡意代碼防護。 具有建議設定的默認原則會包含在商務用Defender中。 默認原則的設計目的是要保護您的裝置和使用者,而不會妨礙生產力。 不過,您可以自定義原則以符合您的商務需求。
您可以從數個管理新一代保護原則的選項中選擇:
- 如果您使用不含 Intune) 的獨立商務用 Defender https://security.microsoft.com 版本,請在建議 (使用 Microsoft Defender 入口網站; 或
- 如果您的訂用帳戶包含 Intune) ,請在可用 (使用 Microsoft Intune 系統管理中心https://intune.microsoft.com
移至 Microsoft Defender 入口網站 () https://security.microsoft.com ,然後登入。
在瀏覽窗格中,移至 [端點設定>管理>裝置設定]。 系統會根據作業系統和原則類型來組織原則。
選取操作系統索引標籤 (,例如 Windows) 。
在 [ 新一代保護] 下,檢視您的原則清單。 至少會列出使用建議設定的默認原則。 此默認原則會指派給您在上一個步驟中選取的所有已上線裝置, (例如 Windows) 。 您可以:
- 保留您目前設定的默認原則。
- 編輯默認原則以進行任何必要的調整。
- 建立新的原則。
使用下表中的其中一個程式:
工作 程序 編輯默認原則 1.在 [ 新一代保護 ] 區段中,選取您的默認原則,然後選擇 [ 編輯]。
2.在 [ 一般資訊] 步驟中,檢閱資訊。 如有必要,請編輯描述,然後選取 [ 下一步]。
3.在 [ 裝置群組 ] 步驟中,使用現有的群組,或設定新的群組。 接著選擇 [下一步]。
4.在 [組態 設定 ] 步驟上,檢視需要編輯您的安全性設定,然後選擇 [ 下一步]。 如需設定的詳細資訊,請參閱本文) 中 (的新一代保護設定和選項 。
5.在 [ 檢閱原則 ] 步驟中,檢閱您目前的設定。 選 取 [編輯 ] 以進行任何必要的變更。 然後選 取 [更新原則]。建立新的原則 1.在 [ 新一代保護 ] 區段中,選取 [ 新增]。
2.在 [一 般資訊 ] 步驟中,指定原則的名稱和描述。 您也可以保留或變更原則順序 (請參閱 瞭解 Microsoft Defender for Business) 中的原則順序。 然後選取 [下一步]。
3.在 [ 裝置群組 ] 步驟中,您可以使用現有的群組,或建立新的群組 (請參閱 Microsoft Defender for Business) 中的裝置群組 。 接著選擇 [下一步]。
4.在 [ 組態設定] 步驟上,檢閱並編輯您的安全性設定,然後選擇 [ 下一步]。 如需設定的詳細資訊,請參閱本文) 中 (的新一代保護設定和選項 。
5.在 [ 檢閱原則 ] 步驟中,檢閱您目前的設定。 選 取 [編輯 ] 以進行任何必要的變更。 然後選取 [建立原則]。
新一代保護設定和選項
下表列出商務用Defender中新一代保護的設定和選項。
| 設定 | 描述 |
|---|---|
| 即時保護 | |
| 開啟即時保護 | 預設啟用即時保護, 會找出並阻止惡意軟體在裝置上執行。 我們建議持續開啟即時保護。 當即時保護開啟時, 會設定下列設定: - (AllowBehaviorMonitoring) 開啟行為監視。 - 所有下載的檔案和附件都會掃描 (AllowIOAVProtection) 。 - Microsoft瀏覽器中使用的腳本會掃描 (AllowScriptScanning) 。 |
| 第一次看見時封鎖 | 預設啟用 [第一次看見時封鎖], 會在秒數內封鎖偵測到的惡意程式碼、增加允許提交樣本檔案以進行分析的時間 (以秒數顯示), 以及將偵測等級設定為高。
建議保持開啟 [第一次看見時封鎖]。 開啟 [第一次看見時封鎖] 時, 它會為 Microsoft Defender 防毒軟體設定下列設定: - 封鎖和掃描可疑檔案會設定為 CloudBlockLevel (高封鎖層級) 。 - (CloudExtendedTimeout) ,要封鎖和檢查檔案的秒數設定為 50 秒。 重要 如果第一次看見時封鎖已關閉,則會影響 CloudBlockLevel 和 CloudExtendedTimeout Microsoft Defender 防病毒軟體。 |
| 開啟網路保護 | 依預設在封鎖模式中啟用,網路保護有助於防範網路釣魚詐騙、惡意探索裝載網站和因特網上的惡意內容。 也可防止使用者關閉網路保護。 網路保護可以設定為下列模式: - 封鎖模式 是預設設定。 它可防止用戶造訪被視為不安全的網站。 建議您將網路保護設定為封鎖模式。 - 稽核模式 可讓使用者造訪可能不安全的網站,並追蹤這類網站的網路活動。 - 停用模式 不會封鎖使用者造訪可能不安全的網站,也不會追蹤這類網站的網路活動。 |
| 補救 | |
| 對潛在的垃圾應用程式 (PUA) 採取的動作 | 根據預設,PUA 保護會封鎖偵測為PUA的專案。 PUA 可以包含廣告軟體;統合軟體,以安裝其他未簽署的軟體;以及嘗試規避安全性功能的規避軟體。 雖然 PUA 不一定是病毒、惡意代碼或其他類型的威脅,但可能會影響裝置效能。 您可以將 PUA 保護設定為下列模式: - [已啟用 ] 是預設設定。 它會封鎖在裝置上偵測到為PUA的專案。 我們建議持續開啟 PUA 保護。 - 稽核模式 不會對偵測到 PUA 的項目採取任何動作。 - 停用 不會偵測到可能為 PUA 的項目或採取動作。 |
| 掃描 | |
| 已排程的掃描類型 | 預設會在快速掃描模式中啟用,您可以指定執行每周防病毒軟體掃描的日期和時間。 您可以使用下列掃描類型選項: - 快速掃描會 檢查登錄機碼和啟動資料夾等位置,其中惡意代碼可以註冊為與裝置一起啟動。 建議使用快速掃描選項。 - Fullscan 會 檢查裝置上的所有檔案和資料夾。 - 停用 表示不會進行已排程掃描。 使用者仍然可以在自己的裝置上執行掃描。 (一般而言,我們不建議停用排程掃描。) 深入了解掃描類型。 |
| 一週中要執行已排程掃描的日子 | 選取要執行定期、每週防毒軟體掃描的日子。 |
| 一天內要執行已排程掃描的時間 | 請選取要執行已排程的定期掃描的時間。 |
| 使用低效能 | 此設定預設為關閉。 建議您保持關閉此設定。 不過,您可以開啟此設定,以限制在排程掃描期間使用的裝置記憶體和資源。
重要 如果您開啟 [使用低效能],它會針對 Microsoft Defender 防病毒軟體設定下列設定: - (AllowArchiveScanning) 不會掃描封存盤案。 - 掃描會指派低 CPU 優先順序 (EnableLowCPUPriority) 。 - 如果遺漏完整的防病毒軟體掃描,則不會在 DisableCatchupFullScan) (執行追補掃描。 - 如果遺漏快速防病毒軟體掃描,則不會執行任何追補掃描 (DisableCatchupQuickScan) 。 - (AvgCPULoadFactor) ,將防病毒軟體掃描期間的平均 CPU 載入因數從 50% 降低為 20%。 |
| 使用者體驗 | |
| 允許使用者存取 Windows 安全性應用程式 | 開啟此設定可讓使用者在其裝置上開啟 Windows 安全性應用程式。 用戶無法覆寫您在商務用Defender中設定的設定,但他們可以執行快速掃描或檢視任何偵測到的威脅。 |
| 防毒軟體排除項目 | 排除項目為 Microsoft Defender 防毒軟體掃描略過的程序、檔案或資料夾。 一般而言, 您不需要定義排除項目。 Microsoft Defender 防病毒軟體包含許多以已知操作系統行為和一般管理檔案為基礎的自動排除專案。 每個排除都會降低您的保護層級,因此請務必仔細考慮要定義的排除專案。 新增任何排除專案之前,請參閱 管理適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除專案。 |
| 處理程序排除 | 處理程序排除可防止 Microsoft Defender 防毒軟體掃描由特定處理程序開啟的檔案。 當您將進程新增至進程排除清單時,Microsoft Defender 防病毒軟體不會掃描該進程所開啟的檔案,不論檔案位於何處。 除非將進程新增至檔案排除清單,否則會掃描進程本身。 請 參閱設定由進程開啟之檔案的排除範圍。 |
| 副檔名排除 | 副檔名排除可防止 Microsoft Defender 防毒軟體掃描有特定副檔名的檔案。 請參閱 根據擴展名和資料夾位置設定和驗證排除專案。 |
| 檔案和資料夾排除 | 檔案和資料夾排除可防止 Microsoft Defender 防毒軟體掃描特定資料夾內的檔案。 請參閱 關係型檔案和資料夾排除專案。 |
適用於企業的 Defender (預覽版) 的其他預設的設定
下列安全性設定已在商務用Defender中預先設定:
- (AllowFullScanRemovableDriveScanning) 會開啟抽取式磁碟驅動器掃描。
- 每日快速掃描沒有默認時間 (ScheduleQuickScanTime) 。
- 在執行防病毒軟體掃描之前,會先檢查安全性情報更新 (CheckForSignaturesBeforeRunningScan) 。
- (SignatureUpdateInterval) ,每四小時會進行一次安全性情報檢查。
商務用Defender中的預設設定如何對應至 Microsoft Intune 中的設定
下表描述為商務用 Defender 預先設定的設定,以及這些設定如何對應至您在 Intune 中可能會看到的內容。 如果您在 商務用Defender中使用簡化的設定程式,則不需要編輯這些設定。
| 設定 | 描述 |
|---|---|
| 雲端保護 | 雲端保護有時稱為雲端提供的保護或 Microsoft 進階防護服務 (MAPS),它可與 Microsoft Defender 防毒軟體和 Microsoft 雲端一起運作以識別新的威脅,有時候甚至在單一裝置受到影響之前就能識別。 根據預設,系統已開啟 AllowCloudProtection。 深入了解雲端保護。 |
| 監視傳入和傳出檔案 | 若要監視傳入和傳出檔案, RealTimeScanDirection 會設定為監視所有檔案。 |
| 掃描網路檔案 | 根據預設,不會啟用 AllowScanningNetworkFiles,而且不會掃描網路檔案。 |
| 掃描電子郵件訊息 | 根據預設,不會啟用 AllowEmailScanning,而且不會掃描電子郵件訊息。 |
| 隔離的惡意郵件的保留天數 (0-90) | 根據預設, DaysToRetainCleanedMalware 設定設為零 (0) 天。 隔離中的成品不會自動移除。 |
| 提交樣本同意 | 根據預設, SubmitSamplesConsent 會設定為自動傳送安全的範例。 安全樣本的範例包括 .bat、 .scr、 .dll,和 .exe 個不包含個人識別資訊 (PII) 的檔案。 如果檔案確實包含 PII,使用者會收到允許樣本提交繼續進行的要求。
深入瞭解雲端保護和範例提交。 |
| 掃描卸除式磁碟機 | 根據預設, AllowFullScanRemovableDriveScanning 會設定為掃描抽取式磁碟驅動器,例如裝置上的 USB Thumb 磁碟驅動器。 深入瞭解反惡意代碼原則設定。 |
| 執行每日快速掃描時間 | 根據預設,ScheduleQuickScanTime 已設定為上午 2:00。 深入了解掃描設定。 |
| 執行掃描之前檢查簽章更新 | 根據預設,CheckForSignaturesBeforeRunningScan 已設定為先檢查安全性情報更新,再執行防毒/反惡意軟體掃描。 深入了解掃描設定和安全性情報更新。 |
| 多久檢查一次安全性情報更新 (0-24 小時) | 根據預設,SignatureUpdateInterval 已設定為每四小時檢查一次安全性情報更新。 深入了解掃描設定和安全性情報更新。 |
後續步驟
- 設定防火牆原則 和 防火牆原則的自定義規則。
- 設定您的 Web 內容篩選原則 ,並自動啟用 Web 保護。
- 設定受控資料夾存取 原則以進行勒索軟體保護。
- 啟用受攻擊面縮小規則。
- 檢閱進階功能和 Microsoft Defender 入口網站的設定。
- 在 Microsoft 商務用 Defender 中使用您的弱點管理儀錶板