建议使用 Microsoft Intune 来管理组织的Microsoft Defender防病毒设置。 但是,可以使用 组策略 配置和管理Microsoft Defender防病毒的某些设置。
重要
如果组织中启用了 篡改保护 ,则忽略对 防篡改设置 所做的任何更改。 此外,不能使用 组策略 关闭篡改保护。
如果必须对设备进行更改,并且篡改保护阻止了这些更改,我们建议使用 故障排除模式 在设备上暂时禁用篡改保护。 故障排除模式结束后,对防篡改设置所做的任何更改都将恢复到其配置状态。
先决条件
支持的操作系统
- Windows
- Windows Server
使用 组策略 配置Microsoft Defender防病毒
通常,可以使用以下过程来配置或更改Microsoft Defender防病毒的某些设置。
在组策略管理计算机上,打开组策略管理控制台。 右键单击要配置的组策略对象 (GPO) ,然后选择“编辑”。
使用组策略管理编辑器转到“计算机配置”。
选择“ 管理模板”。
将树展开到 Windows 组件>Microsoft Defender防病毒。
展开本文 (表中称为 “位置” 的部分,) 包含要配置的设置,双击该设置将其打开,然后进行配置更改。
组策略设置和资源
下表列出了Windows 10及更高版本、Windows Server 2016及更高版本中可用的常用组策略设置,包括是否使用统一的 Windows Server 2012 R2 运行Microsoft Defender for Endpoint客户端。
提示
对于最新的设置,请在中央存储中获取最新的 ADMX 文件,以访问正确的策略选项。 请参阅如何在 Windows 中创建和管理 组策略 管理模板的中央存储并下载最新文件。
| 位置 | Setting | 文章 |
|---|---|---|
| 客户端接口 | 启用无外设 UI 模式 | 阻止用户查看Microsoft Defender防病毒用户界面或与之交互 |
| 客户端接口 | 在客户端需要执行作时向客户端显示更多文本 | 配置终结点上显示的通知 |
| 客户端接口 | 禁止显示所有通知 | 配置终结点上显示的通知 |
| 客户端接口 | 禁止重新启动通知 | 配置终结点上显示的通知 |
| 排除项 | 扩展排除项 | 在防病毒扫描中配置和验证Microsoft Defender排除项 |
| 排除项 | IP 地址排除 | 添加排除项 |
| 排除项 | 路径排除项 | 在防病毒扫描中配置和验证Microsoft Defender排除项 |
| 排除项 | 进程排除 | 在防病毒扫描中配置和验证Microsoft Defender排除项 |
| 排除项 | 关闭自动排除项 | 在防病毒扫描中配置和验证Microsoft Defender排除项 |
| 功能 | 设备控制 | 使用 组策略 在 Microsoft Defender for Endpoint 中部署和管理设备控制 |
| 功能 | 在块模式下启用 EDR | 块模式下的 EDR:组策略 |
| 地图 | 配置“首次看到时阻止”功能 | 首次看到时启用块 |
| 地图 | 加入Microsoft MAPS | 启用云保护 |
| 地图 | 需要进一步分析时发送文件样本 | 启用云保护 |
| 地图 | 配置本地设置替代,以便向 MAPS 报告Microsoft | 阻止或允许用户在本地修改策略设置 |
| MpEngine | 配置扩展云检查 | 配置云块超时期限 |
| MpEngine | 禁用Microsoft Defender更新的逐步推出 | 配置更新:组策略 |
| MpEngine | 启用文件哈希计算功能 |
创建文件指示器 这通过使用文件哈希允许/阻止指示器(在 Defender for Endpoint 计划 1 和计划 2 中以及 Defender 商业版 中提供)来推动强制实施入侵指标 (IoC) 。 请注意,Microsoft Defender防病毒自动为反恶意软件引擎执行基于哈希的计算,因此,除非它是 VDI 非持久性映像,否则无需执行任何额外作。 |
| MpEngine | 选择云保护级别 | 指定云传递的保护级别 |
| 网络检查系统 | 将警告判决转换为阻止 | 网络保护:警告体验 |
| 网络检查系统 | 为网络流量检查指定更多定义集 | 未使用 (已弃用) |
| 网络检查系统 | 启用异步检查 | 优化网络保护性能 |
| 网络检查系统 | 启用定义停用 | 未使用 (已弃用) |
| 网络检查系统 | 启用协议识别 | 未使用 (已弃用) |
| Quarantine | 为从“隔离区”文件夹中删除项目配置本地设置替代 | 阻止或允许用户在本地修改策略设置 |
| Quarantine | 配置从“隔离”文件夹中删除项目 | 配置Microsoft Defender防病毒扫描的修正 |
| 实时保护 | 配置本地设置替代以监视计算机上的文件和程序活动 | 阻止或允许用户在本地修改策略设置 |
| 实时保护 | 配置本地设置替代以监视传入和传出文件活动 | 阻止或允许用户在本地修改策略设置 |
| 实时保护 | 配置本地设置替代以扫描所有下载的文件和附件 | 阻止或允许用户在本地修改策略设置 |
| 实时保护 | 配置本地设置替代以启用行为监视 | 阻止或允许用户在本地修改策略设置 |
| 实时保护 | 配置本地设置替代以启用实时保护 | 阻止或允许用户在本地修改策略设置 |
| 实时保护 | 定义要扫描的已下载文件和附件的最大大小 | 启用和配置Microsoft Defender防病毒始终启用保护和监视 |
| 实时保护 | 配置性能模式状态 | 性能模式:组策略 |
| 实时保护 | 在 OOBE 期间配置实时保护和安全智能汇报 | 启用和配置Microsoft Defender防病毒始终启用保护 |
| 实时保护 | 监视计算机上的文件和程序活动 | 启用和配置Microsoft Defender防病毒始终启用保护和监视 |
| 实时保护 | 扫描所有下载的文件和附件 | 启用和配置Microsoft Defender防病毒始终启用保护和监视 |
| 实时保护 | 关闭实时保护 | 启用和配置Microsoft Defender防病毒始终启用保护和监视 |
| 实时保护 | 启用行为监视 | 启用和配置Microsoft Defender防病毒始终启用保护和监视 |
| 实时保护 | 启用实时保护时启用进程扫描 | 启用和配置Microsoft Defender防病毒始终启用保护和监视 |
| 实时保护 | 启用原始卷写入通知 | 启用和配置Microsoft Defender防病毒始终启用保护和监视 |
| 实时保护 | 配置对传入和传出文件和程序活动的监视 | 启用和配置Microsoft Defender防病毒始终启用保护和监视 |
| 修复 | 配置一天中的时间的本地设置替代,以运行计划的完整扫描以完成修正 | 阻止或允许用户在本地修改策略设置 |
| 修复 | 指定要运行计划的完整扫描以完成修正的星期几 | 关于计划的快速或完整Microsoft Defender防病毒扫描 |
| 修复 | 指定运行计划的完整扫描以完成修正的一天中的时间 | 关于计划的快速或完整Microsoft Defender防病毒扫描 |
| Reporting | 配置服务运行状况报告的时间间隔 | 配置终结点上显示的Microsoft Defender防病毒通知 |
| Reporting | 为处于严重失败状态的检测配置超时 | 配置终结点上显示的Microsoft Defender防病毒通知 |
| Reporting | 为处于非关键失败状态的检测配置超时 | 配置终结点上显示的Microsoft Defender防病毒通知 |
| Reporting | 为处于最近修正状态的检测配置超时 | 配置终结点上显示的Microsoft Defender防病毒通知 |
| Reporting | 在需要其他作时为检测配置超时 | 配置终结点上显示的Microsoft Defender防病毒通知 |
| Reporting | 配置 Watson 事件 | 配置终结点上显示的Microsoft Defender防病毒通知 |
| Reporting | 配置是否报告动态签名删除事件 | 配置终结点上显示的Microsoft Defender防病毒通知 |
| Reporting | 配置 Windows 软件跟踪预处理器组件 | 配置终结点上显示的Microsoft Defender防病毒通知 |
| Reporting | 配置 WPP 跟踪级别 | 配置终结点上显示的Microsoft Defender防病毒通知 |
| Reporting | 关闭增强通知 | 配置终结点上显示的通知 |
| 根 | 关闭Microsoft Defender防病毒 | 未使用。 如果你正在使用或计划使用非Microsoft防病毒产品,请参阅Microsoft Defender防病毒与其他安全产品的兼容性。 |
| 根 | 定义要绕过代理服务器的地址 | 配置设备代理和 Internet 连接设置 |
| 根 | 定义用于连接到网络的代理自动配置 (.pac) | 配置设备代理和 Internet 连接设置 |
| 根 | 定义用于连接到网络的代理服务器 | 配置设备代理和 Internet 连接设置 |
| 根 | 定义用于复制支持日志文件的目录路径 | 配置设备代理和 Internet 连接设置 |
| 根 | 为列表配置本地管理员合并行为 | 阻止或允许用户在本地修改策略设置 |
| 根 | 允许反恶意软件服务以正常优先级启动 | 配置Microsoft Defender防病毒扫描的修正 |
| 根 | 允许反恶意软件服务始终保持运行 | 配置Microsoft Defender防病毒扫描的修正 |
| 根 | 关闭例行修正 | 配置Microsoft Defender防病毒扫描的修正 |
| 根 | 随机化计划任务时间 | 关于计划的快速或完整Microsoft Defender防病毒扫描 |
| 根 | 选择每日Microsoft Defender安全智能更新的通道 | 安全智能更新的更新通道 |
| 根 | 选择Microsoft Defender每月引擎更新的频道 | 每月更新的更新通道 |
| 根 | 选择Microsoft Defender每月平台更新的频道 | 每月更新的更新通道 |
| 扫描 | 允许用户暂停扫描 | 阻止用户查看Microsoft Defender防病毒用户界面或与之交互 (不支持Windows 10或更高版本,以及Windows Server 2016及更高版本) |
| 扫描 | 运行计划扫描之前,请检查最新的病毒和间谍软件定义 | 管理基于事件的强制更新 |
| 扫描 | 定义强制执行赶超扫描的天数 | 管理过期终结点的更新 |
| 扫描 | 启用完全扫描 | 管理过期终结点的更新 |
| 扫描 | 启用赶上快速扫描 | 管理过期终结点的更新 |
| 扫描 | 为最大 CPU 使用率百分比配置本地设置替代 | 阻止或允许用户在本地修改策略设置 |
| 扫描 | 为计划扫描日配置本地设置替代 | 阻止或允许用户在本地修改策略设置 |
| 扫描 | 为计划的快速扫描时间配置本地设置替代 | 阻止或允许用户在本地修改策略设置 |
| 扫描 | 为计划的扫描时间配置本地设置替代 | 阻止或允许用户在本地修改策略设置 |
| 扫描 | 配置要用于计划扫描的扫描类型的本地设置替代 | 阻止或允许用户在本地修改策略设置 |
| 扫描 | 为计划扫描配置低 CPU 优先级 | 配置 Microsoft Defender 防病毒软件扫描选项 |
| 扫描 | 配置网络文件的扫描 | 配置 Microsoft Defender 防病毒软件扫描选项 |
| 扫描 | CPU 限制类型 | 配置 Microsoft Defender 防病毒软件扫描选项 |
| 扫描 | 创建系统还原点 | 配置Microsoft Defender防病毒扫描的修正 |
| 扫描 | 启用从扫描历史记录文件夹中删除项目 | 配置Microsoft Defender防病毒扫描的修正 |
| 扫描 | 启用启发式 | 启用和配置Microsoft Defender防病毒始终启用保护和监视 |
| 扫描 | 启用电子邮件扫描 | 在 Microsoft Defender 防病毒中配置扫描选项 |
| 扫描 | 启用重新分析点扫描 | 在 Microsoft Defender 防病毒中配置扫描选项 |
| 扫描 | 在映射的网络驱动器上运行完全扫描 | 在 Microsoft Defender 防病毒中配置扫描选项 |
| 扫描 | 扫描存档文件 | 在 Microsoft Defender 防病毒中配置扫描选项 |
| 扫描 | 在快速扫描期间扫描排除的文件和目录 | 配置扫描选项:设置和位置 |
| 扫描 | 扫描打包的可执行文件 | 在 Microsoft Defender 防病毒中配置扫描选项 |
| 扫描 | 扫描脚本 | 在 Microsoft Defender 防病毒中配置扫描选项 |
| 扫描 | 扫描可移动驱动器 | 在 Microsoft Defender 防病毒中配置扫描选项 |
| 扫描 | 指定扫描存档文件的最大深度 | 在 Microsoft Defender 防病毒中配置扫描选项 |
| 扫描 | 指定扫描期间 CPU 使用率的最大百分比 | 在 Microsoft Defender 防病毒中配置扫描选项 |
| 扫描 | 指定要扫描的存档文件的最大大小 | 在 Microsoft Defender 防病毒中配置扫描选项 |
| 扫描 | 指定运行计划扫描的星期几 | 关于计划的快速或完整Microsoft Defender防病毒扫描 |
| 扫描 | 指定每天运行快速扫描的间隔 | 关于计划的快速或完整Microsoft Defender防病毒扫描 |
| 扫描 | 指定用于计划扫描的扫描类型 | 关于计划的快速或完整Microsoft Defender防病毒扫描 |
| 扫描 | 指定每日快速扫描的时间 | 关于计划的快速或完整Microsoft Defender防病毒扫描 |
| 扫描 | 指定一天中运行计划扫描的时间 | 关于计划的快速或完整Microsoft Defender防病毒扫描 |
| 扫描 | 仅在计算机处于打开但未使用状态时才启动计划扫描 | 关于计划的快速或完整Microsoft Defender防病毒扫描 |
| 扫描 | 在 X 天后触发快速扫描,无需任何扫描 | 配置扫描选项:设置和位置 |
| 安全智能更新 | 允许从 Microsoft 更新进行安全智能更新 | 管理移动设备和虚拟机 (VM) 的更新 |
| 安全智能更新 | 使用电池电源运行时允许安全智能更新 | 管理移动设备和虚拟机 (VM) 的更新 |
| 安全智能更新 | 允许Microsoft Defender防病毒通过按流量计费的连接进行更新和通信 | 管理 Microsoft Defender 防病毒更新并扫描过期的终结点 |
| 安全智能更新 | 允许通知禁用基于定义的报表以Microsoft MAPS | 管理基于事件的强制更新 |
| 安全智能更新 | 允许基于报表的实时安全智能更新,以Microsoft MAPS | 管理基于事件的强制更新 |
| 安全智能更新 | 在启动时检查最新的病毒和间谍软件安全情报 | 管理基于事件的强制更新 |
| 安全智能更新 | 定义用于下载安全智能更新的文件共享 | 管理Microsoft Defender防病毒防护和安全智能更新 |
| 安全智能更新 | 定义 VDI 客户端的安全智能位置 | 在远程桌面或 VDI 上配置Microsoft Defender防病毒:组策略 |
| 安全智能更新 | 定义需要及时更新安全智能更新的天数 | 管理过期终结点的更新 |
| 安全智能更新 | 定义间谍软件安全智能被视为过期之前的天数 | 管理过期终结点的更新 |
| 安全智能更新 | 定义病毒安全智能被视为过期之前的天数 | 管理过期终结点的更新 |
| 安全智能更新 | 定义下载安全智能更新的源顺序 | 管理Microsoft Defender防病毒防护和安全智能更新 |
| 安全智能更新 | 启动时启动安全智能更新 | 管理基于事件的强制更新 |
| 安全智能更新 | 指定要为安全智能更新检查的星期几 | 管理何时应下载和应用保护更新 |
| 安全智能更新 | 指定要为安全智能更新检查的间隔 | 管理何时应下载和应用保护更新 |
| 安全智能更新 | 指定安全智能更新检查时间 | 管理何时应下载和应用保护更新 |
| 安全智能更新 | 安全智能更新后启用扫描 | 关于计划的快速或完整Microsoft Defender防病毒扫描 |
| 威胁 | 指定检测到时不应采取默认作的威胁警报级别 | 配置Microsoft Defender防病毒扫描的修正 |
| 威胁 | 指定检测到时不应对其执行默认作的威胁 | 配置Microsoft Defender防病毒扫描的修正 |
提示
如果你有 Network-Attached 存储 (NAS) 或存储区域网络 (SAN) ,则可以使用 Internet 内容适应协议 (ICAP) 扫描Microsoft Defender防病毒引擎,而不是使用“在映射的网络驱动器上运行完全扫描”。 有关详细信息,请参阅技术社区博客:使用 Windows Defender 防病毒的 MetaDefender ICAP:混合环境的世界级安全性。
提示
性能提示由于多种因素,Microsoft Defender防病毒(与其他防病毒软件一样)可能会导致终结点设备上的性能问题。 在某些情况下,可能需要优化Microsoft Defender防病毒的性能,以缓解这些性能问题。 Microsoft 的性能分析器 是一种 PowerShell 命令行工具,可帮助确定哪些文件、文件路径、进程和文件扩展名可能导致性能问题。 可以使用性能分析器收集的信息来更好地评估性能问题并应用修正作。 有关详细信息,请参阅:适用于 Microsoft Defender 防病毒的性能分析器。