适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 防病毒
兼容性
- 以下平台上提供了使用 Intune 的Microsoft Defender防病毒:
- Windows 10 及更高版本
可以使用Microsoft Intune系列产品配置Microsoft Defender防病毒设置,例如Microsoft Intune和Configuration Manager。
在 Intune 中配置Microsoft Defender防病毒设置
转到Microsoft Intune管理中心 (https://intune.microsoft.com) ,然后登录。
导航到 “终结点安全性”。
在 “管理”下,选择“ 防病毒”。
单击“创建策略”,选择“Windows”作为平台,Microsoft Defender“防病毒”作为配置文件类型,然后选择“创建”。
输入策略 的名称 和说明(可选)并选择“ 下一步 ”转到 “配置设置”。
编辑Microsoft Defender防病毒设置。
选择“ 查看 + 保存”。
可以浏览可在Intune内Microsoft Defender防病毒策略中配置的设置列表。
策略和设置
允许存档扫描
CSP: AllowArchiveScanning
使用此策略设置,可以在存档文件(如 .ZIP 或 .CAB 文件)中配置恶意软件扫描。
- 未配置 - 设置将还原为客户端默认值,即扫描存档文件。 用户可以禁用此设置。
- 不允许 - 存档文件不扫描,而是在定向扫描期间始终扫描这些文件。
- 允许 - 启用存档文件的扫描。 这是建议的配置。
如果启用了篡改保护,则不会应用对此设置所做的更改。
允许行为监视
使用此策略设置,可以配置行为监视。
未配置 -) 启用实时行为监视 (,设置将还原为系统默认设置。
不允许 - 禁用设置。
允许 - 已启用实时行为监视。 这是建议的配置。
如果启用了篡改保护,则不会应用对此设置所做的更改。
打开云传递保护
CSP: AllowCloudProtection
通过此策略设置,可以加入 Microsoft MAPS (Microsoft Active Protection Service) 。 MICROSOFT MAPS 是一个在线社区,可帮助你选择响应潜在威胁的方式。 社区还有助于阻止新的恶意软件感染的传播。
有关计算机上检测到的项目的信息会自动收集并发送到Microsoft。
将收集有关检测到的任何恶意软件、间谍软件和可能不需要的软件的以下信息:
- 软件的源
- 应用或自动应用的作及其成功,
- 软件的位置
- 文件名
- 软件如何运行
- 它对计算机的影响。
设置:
- 未配置 -) 关闭云提供的保护 (,设置将还原为系统默认设置。
- 不允许 - 云提供的保护已关闭。
- 允许 - 已启用云提供的保护。
如果启用了篡改保护,则不会应用对此设置所做的更改。
允许电子邮件扫描
CSP: AllowEmailScanning
使用此策略设置,可以配置电子邮件扫描。 启用电子邮件扫描后,引擎会根据其特定格式分析邮箱和邮件文件,以便分析邮件正文和附件。 目前支持多种电子邮件格式,例如:pst (Outlook) 、dbx、mbx、mime (Outlook Express) 、binhex (Mac) 。 新式电子邮件客户端不支持Email扫描。
- 未配置 - 设置将还原为系统默认设置, (关闭电子邮件扫描) 。
- 不允许 - 关闭电子邮件扫描。
- 允许 - 启用电子邮件扫描。 这是建议的配置。
允许对映射的网络驱动器进行完全扫描
CSP: AllowFullScanOnMappedNetworkDrives
使用此策略设置,可以配置扫描映射的网络驱动器。
- 未配置 - 设置将还原为系统默认值, (映射的网络驱动器不会) 扫描。
- 不允许 - 不会扫描映射的网络驱动器。
- 允许 - 启用映射网络驱动器的扫描。
允许完全扫描可移动驱动器扫描
CSP: AllowFullScanRemovableDriveScanning
使用此策略设置,可以管理在运行完全扫描时是否扫描可移动驱动器(如 U 盘)内容中的恶意软件和不需要的软件。
- 未配置 - 此设置将还原为系统默认设置, (在完全扫描期间不会扫描可移动驱动器,但在快速扫描和自定义扫描) 期间可能仍会扫描这些驱动器。
- 不允许 - 在完全扫描期间不会扫描可移动驱动器,但在快速扫描和自定义扫描期间可能仍会扫描它们。
- 允许 - 在任何类型的扫描期间扫描可移动驱动器。 这是建议的配置。
允许扫描所有下载的文件和附件
CSP: AllowIOAVProtection
使用此策略设置,可以为所有下载的文件和附件配置扫描。
- 未配置 - 设置将还原为系统默认设置, (扫描所有下载的文件和附件) 启用。
- 不允许 - 已禁用扫描所有下载的文件和附件。
- 允许 - 对所有下载的文件和附件启用扫描。 这是建议的配置。
如果启用了篡改保护,则不会应用对此设置所做的更改。
允许 Real-Time 监视
启用或取消启用 Windows Defender 实时监视功能。
- 未配置 - 设置将还原为系统默认值, (打开并运行实时监视服务) 。
- 不允许 - 关闭实时监视服务。
- 允许 - 打开并运行实时监视服务。 这是建议的配置。
如果启用了篡改保护,则不会应用对此设置所做的更改。
允许扫描网络文件
CSP: enablescanningNetworkFiles
使用此策略设置,可以配置计划扫描和按需扫描, (手动启动) 扫描通过网络访问的文件。
- 未配置 -) 扫描网络文件 (,设置将还原为系统默认设置。
- 不允许 - 不会扫描网络文件。
- 允许 - 扫描网络文件。 这是建议的配置。
允许脚本扫描
CSP: enablescriptScanning
此策略设置启用或禁用 Windows Defender 脚本扫描功能。
- 未配置 - 设置将还原为系统默认设置, (允许) 脚本扫描。
- 不允许 - 设置处于禁用状态,不会扫描脚本。
- 允许 - 启用设置,扫描脚本 (启用 反恶意软件扫描接口) 。 这是建议的配置。
如果启用了篡改防护设置,则不会应用对此设置所做的更改。
允许用户 UI 访问
CSP: AllowUserUIAccess
使用此策略设置,可以配置是否向用户显示Microsoft Defender应用 UI。
- 未配置 - 设置将还原为系统默认值, (UI 和允许) 通知。
- 不允许 - 禁用设置。 阻止用户访问 UI,并禁止显示通知。
- 允许 - 设置已启用。 用户可以访问 Defender UI,并允许通知。 这是建议的配置。
平均 CPU 负载因子
CSP: AvgCPULoadFactor
通过此策略设置,可以指定 Defender 扫描的最大 CPU 负载因子。
- 未配置 - 设置将还原为系统默认值,其中 CPU 使用率不超过默认值 50%。
- [0-100] - CPU 使用率不会超过指定的百分比。 值为 0 表示 CPU 使用率没有限制。
存档最大深度
CSP: ArchiveMaxDepth
使用此策略设置,可以指定要从存档文件中提取的最大文件夹深度以供扫描。
- 未配置 - 设置将还原为系统默认值, (将所有存档提取到最深的文件夹以扫描) 。
- [0-4294967295] - 所有存档提取到策略中指定的深度。
存档最大大小
CSP: ArchiveMaxSize
使用此策略设置,可以指定要提取和扫描的存档文件的最大大小(以 KB 为单位)。
- 未配置 - 设置将还原为系统默认值,无论大小如何,都会提取和扫描所有存档。
- [0-4294967295] - 如果存档的大小小于策略中指定的最大大小,则会提取和扫描存档。
在运行扫描之前检查签名
CSP: CheckForSignaturesBeforeRunningScan
使用此策略设置,可以管理在运行扫描之前是否发生针对新病毒和间谍软件安全智能的检查。 这仅适用于计划扫描。
- 未配置 - 设置将恢复为系统默认值,其中扫描将使用当前安全智能开始。
- 已禁用 - 扫描开始使用现有安全智能。
- 已启用 - 在运行扫描之前,系统会检查是否有新的安全智能。 这是建议的配置。
云块级别
CSP: CloudBlockLevel
此策略设置控制防病毒在阻止和扫描可疑文件时Microsoft Defender使用的强度级别。 若要使用此功能,必须启用“允许云保护”
未配置 - 设置将还原为系统默认阻止级别 (0x0) 。
(0x0) 默认状态 - 默认Microsoft Defender防病毒阻止级别。
(0x2) 高 阻止级别 - 主动阻止未知项,同时优化客户端性能 () 误报的可能性更大。 这是建议的配置
(0x4) High Plus - High+ 阻止级别 - 主动阻止未知项并应用其他保护措施, (可能会影响客户端性能) 。
(0x6) 零容忍 - 零容忍阻止级别 - 阻止所有未知可执行文件
如果启用了篡改保护,则不会应用对此设置所做的更改。
云扩展超时
CSP: CloudExtendedTimeout
此功能允许Microsoft Defender防病毒阻止可疑文件长达 60 秒,并在云中扫描它以确保其安全。
默认云检查超时为 10 秒。 若要启用此功能,请指定延长时间(以秒为单位)。 最大超时为 50 秒。
- 未配置 - (云超时为 10 秒) ,设置将还原为系统默认值。
- [0-50] - 使用指定的量延长云超时。 建议的值为 50。
保留已清理恶意软件的天数
CSP: DaysToRetainCleanedMalware
此策略设置定义项目在删除之前应在“隔离”文件夹中保留的天数。
- 未配置 - 设置将恢复为系统默认值。 项目无限期地保留在隔离文件夹中,不会自动删除。
- [0-90] - 在指定的天数后,将从“隔离区”文件夹中删除项目。
禁用 Catchup Full Scan
使用此策略设置,可以为计划的完整扫描配置追赶扫描。 跟进扫描是由于错过了定期计划的扫描而启动的扫描。 通常,由于计算机在计划时间关闭,因此会错过这些计划的扫描。
- 未配置 - 设置将恢复为系统默认值。
- 已禁用 - 已打开计划完全扫描的跟进扫描。 如果计算机在连续两次计划扫描中处于脱机状态,则下次有人登录计算机时将启动追查扫描。 如果未配置计划扫描,则不会运行追赶扫描。
- 已启用 - 禁用计划的完整扫描的赶上扫描。
禁用 Catchup 快速扫描
通过此策略设置,可为计划的快速扫描配置追赶扫描。 跟进扫描是由于错过了定期计划的扫描而启动的扫描。 通常,由于计算机在计划时间关闭,因此会错过这些计划的扫描。
- 未配置 - 设置将还原为系统默认 (计划快速扫描的跟进扫描已打开) 。
- 已禁用 - 已打开计划的快速扫描的跟进扫描。 如果计算机在连续两次计划扫描中处于脱机状态,则下次有人登录计算机时将启动追查扫描。 如果未配置计划扫描,则不会运行追赶扫描。
- 已启用 - 已禁用计划的快速扫描的赶上扫描。
启用低 CPU 优先级
CSP: EnableLowCPUPriority
通过此策略设置,可以为计划扫描启用或禁用低 CPU 优先级。
- 未配置 - 设置将还原为系统默认值,这意味着不会更改计划扫描的 CPU 优先级。
- 已禁用 - 不会更改计划扫描的 CPU 优先级。
- 已启用 - 在计划扫描期间使用低 CPU 优先级。
启用网络保护
启用或禁用Microsoft Defender Exploit Guard 网络保护,以防止员工使用应用程序访问可能托管网络钓鱼诈骗、攻击托管站点和其他恶意内容的危险域。
- 未配置 - 设置将还原为系统默认值,这意味着不会阻止用户和应用程序连接到危险域。
- 已禁用 - 不会阻止用户和应用程序连接到危险域。
- 启用 (阻止模式) - 用户和应用程序无法访问危险域。 这是建议的配置。
- 已启用 (审核模式) - 用户和应用程序可以连接到危险域。 但是,如果此功能在设置为“ 阻止”时阻止访问,则会在事件日志中记录该事件的记录。
排除的扩展
CSP: ExcludedExtensions
允许管理员指定扫描期间要忽略的文件扩展名列表。 有关如何定义这些排除项的更多详细信息,请阅读以下文章: 基于文件扩展名和文件夹位置的排除项
排除的路径
CSP: ExcludedPaths
允许管理员指定要在扫描期间忽略的目录路径列表。 有关如何定义这些排除项的更多详细信息,请阅读以下文章: 基于文件扩展名和文件夹位置的排除项
排除的进程
CSP: ExcludedProcesses
允许管理员指定进程无需扫描即可打开的文件列表。 有关如何定义这些排除项的更多详细信息,请阅读以下文章: 基于文件扩展名和文件夹位置的排除项
注意
启用篡改保护后,无法修改排除项,并且无法添加新排除项。 这些排除项需要 满足某些条件 才能使篡改防护正常工作。
重要
定义排除项会减少 Microsoft Defender 防病毒提供的保护。 请务必仔细评估与实施排除相关的风险,并且仅在需要时在设备上创建它们。 如果并非所有设备上都需要排除,请使用专用策略类型Microsoft Defender防病毒排除,并将策略仅分配给需要它的特定设备组或用户。
PUA 保护
CSP: PUAProtection
启用或禁用对可能不需要的应用程序的检测。 当下载可能不需要的软件或尝试在计算机上安装自身时,可以选择阻止、审核或允许。
- 未配置 - 设置将还原为系统默认值,这意味着不会阻止可能不需要的软件。
- 禁用 - PUA 保护处于关闭状态,这意味着不会阻止可能不需要的软件。
- 阻止 - PUA 保护已打开,这意味着可能不需要的软件被阻止。 这是建议的配置。
- 审核模式 - 不会阻止可能不需要的软件。 但是,如果此功能在设置为“ 阻止”时阻止访问,则会在事件日志中记录该事件的记录。
实时扫描方向
此策略设置允许配置对传入和传出文件的监视,而无需完全禁用监视。 建议将它用于具有大量文件活动的服务器,其中需要针对特定方向禁用扫描以保持性能。 应根据服务器的角色评估相应的配置。
此配置仅适用于 NTFS 卷。 对于任何其他文件系统类型,将在这些卷上强制实施对文件和程序活动的完全监视。
- 未配置 - 设置将恢复为系统默认值,这意味着已启用对传入和传出文件的监视。
- (双向) 监视所有文件 - 扫描传入和传出文件 (默认)
- 监视传入文件 - 仅扫描传入文件。
- 监视传出文件 - 仅扫描传出文件。
扫描参数
CSP: ScanParameter
此策略设置允许指定在计划扫描期间使用的扫描类型。 此设置与 “计划扫描日 ”和“ 计划扫描时间”设置交互。
- 未配置 - 设置将恢复为系统默认值。
- 快速扫描 (默认) - Defender 运行计划的快速扫描。
- 完全扫描 - Defender 运行计划的完全扫描。
计划快速扫描时间
使用此策略设置,可以指定执行每日快速扫描的时间。 时间值表示为过去午夜的分钟数。 此设置不与 “扫描参数”、“ 计划扫描日期” 和“ 计划扫描时间”设置交互。
- 未配置 - 设置将还原为系统默认值,这意味着,由此配置控制的每日快速扫描不会运行。
- [0-1380] - 每日快速扫描在指定的时间运行。
计划扫描日
CSP: ScheduleScanDay
此策略设置允许指定执行计划扫描的星期几。 还可以将扫描配置为每天运行或根本不运行。 此设置与 “扫描参数 ”和 “计划扫描时间”设置交互。
- 未配置 - 设置将恢复为系统默认值。
- 每天 (默认) - 计划扫描每天运行。
- 星期日/星期一/星期二/星期三/星期四/星期五/星期六 - 计划的扫描在所选日期每周运行一次。
- 无计划扫描 - 无计划扫描运行。
计划扫描时间
CSP: ScheduleScanTime
此策略设置允许指定执行计划扫描的一天中的时间。 时间表示为午夜之后的分钟数,默认值为 120 分钟, (对应于) 凌晨 2:00。 此设置与 “扫描参数 ”和 “计划扫描日”设置交互。
- 未配置 - (计划扫描在默认时间运行) ,设置将还原为系统默认值。
- [0-1380] - 计划的扫描在指定的时间运行。
签名更新回退顺序
CSP: SignatureUpdateFallbackOrder
通过此策略设置,可以指定联系不同安全智能更新源的顺序。 以管道分隔字符串的形式输入值,按所需顺序列出安全智能更新源。 可能的值包括:“InternalDefinitionUpdateServer”、“MicrosoftUpdateServer”、“MMPC”和“FileShares”。
- 未配置 - 设置将恢复为系统默认值。 这意味着,安全智能更新源按默认顺序联系。
- 已启用 - 按指定的顺序联系安全智能更新源。
签名更新文件共享源
CSP: SignatureUpdateFileSharesSources
此策略设置允许配置 UNC 文件共享源以下载安全智能更新。 按指定的顺序联系源。 此设置的值应输入为枚举安全智能更新源的管道分隔字符串。
- 未配置 - 设置将恢复为系统默认值。 这意味着,列表默认为空,不联系任何源。
- 已启用 - 联系指定的源进行安全智能更新。
签名更新间隔
此策略设置允许指定检查安全智能更新的时间间隔。 时间值表示为更新检查之间的小时数。 默认值为 8 小时。
- 未配置 - 设置将恢复为系统默认值。 这意味着,它会检查安全智能更新是否以默认间隔进行。
- [0-24] - 在指定的间隔内检查安全智能更新。 建议的值为 4。
提交示例同意
CSP: SubmitSamplesConsent
此策略设置在选择加入 MAPS 遥测时配置示例提交的行为。
- 未配置 - 设置将还原为系统默认值,即自动发送安全示例。
- 始终提示 - 在提交文件之前,始终提示用户同意。
- 自动发送安全示例 - 安全示例是被认为通常不包含 PII 数据的样本, (示例包括 .bat、.scr、.dll 和 .exe) 。 如果文件可能包含 PII,则用户会收到允许提交文件示例的请求。
- 从不发送 - 基于文件样本分析防止 一见就阻止 。 即使禁用了示例提交,也会发送元数据进行检测。
- 自动发送所有示例 - 自动发送所有示例。 这是建议的配置。
禁用本地管理员合并
如果此值设置为 no,则本地管理员能够在适当的) 使用Windows 安全中心应用、本地组策略设置或 PowerShell cmdlet (指定其设备上的某些设置。
- 未配置 - 设置将恢复为系统默认值。
- 启用本地管理员合并 (默认) - 由本地管理员配置的首选项设置中定义的唯一项合并到生成的有效策略中。 如果存在冲突,Intune策略中的管理设置将替代本地首选项设置。
- 禁用本地管理员合并 - 在生成的有效策略中仅使用由管理定义的项。 托管设置将替代由本地管理员配置的首选项设置。 这是建议的配置。
允许访问保护
使用此策略设置,可以配置文件和程序活动的监视。
- 未配置 - 设置将还原为启用监视文件和程序活动的系统默认设置。
- 允许 - 已启用对文件和程序活动的监视。
- 不允许 - 禁用对文件和程序活动的监视。
如果启用了篡改保护,则不会应用对此设置所做的更改。
威胁严重性默认作
CSP: ThreatSeverityDefaultAction
此策略设置允许为每个威胁警报级别自定义自动修正作。 以下列表包含有效的修正作:
- 未配置 - 设置将还原为系统默认值,即根据更新定义应用作。
- 清理 - 服务尝试恢复文件并尝试消毒。
- 隔离 - 将文件移动到隔离区。
- 删除 - 从系统中删除文件。
- 允许 - 启用文件,但不执行其他作。
- 用户定义 - 设备用户决定要执行的作。
- 阻止 - 阻止文件执行。
如果启用了篡改保护,则不会应用对此设置所做的更改。
允许网络保护下一级
CSP: AllowNetworkProtectionDownLevel
此设置确定是允许在 RS3 的 Windows 下层将网络保护配置为阻止模式还是审核模式。 如果为 false,则忽略 EnableNetworkProtection 的值。
- 未配置 - 设置还原为系统默认设置,即网络保护处于下层禁用状态。
- 已启用 - 网络保护处于下层启用状态。
- 已禁用 - 网络保护处于下层禁用状态。
允许在 Win 服务器上处理数据报
CSP: AllowDatagramProcessingOnWinServer
此设置确定网络保护是否可以在Windows Server上启用数据报处理。 如果设置为 false,则忽略 DisableDatagramProcessing 的值,并且默认情况下禁用数据报检查。
- 未配置 - 设置将还原为系统默认值,这意味着禁用Windows Server上的数据报处理。
- 已启用 - 启用Windows Server上的数据报处理。
- 已禁用 - 禁用Windows Server上的数据报处理。
禁用基于 Tcp 的 Dns 分析
此设置禁用基于 TCP 分析的 DNS 进行网络保护。
- 未配置 - 设置将恢复为系统默认值,这意味着已启用基于 TCP 的 DNS 分析。
- 已启用 - 禁用基于 TCP 的 DNS 分析。
- 禁用 - 已启用基于 TCP 的 DNS 分析。
禁用 Http 分析
CSP: DisableHttpParsing
此设置禁用网络保护的 HTTP 分析。
- 未配置 - 设置将还原为系统默认值,这意味着已启用 HTTP 分析。
- 已启用 - HTTP 分析已禁用。
- 已禁用 - HTTP 分析已启用。
禁用 Ssh 分析
CSP: DisableSshParsing
此设置禁用网络保护的 SSH 分析。
- 未配置 -) 启用 SSH 分析 (,设置将还原为系统默认值。
- 已启用 - 禁用 SSH 分析。
- 已禁用 - 已启用 SSH 分析。
禁用 Tls 分析
CSP: DisableTlsParsing
此设置禁用网络保护的 TLS 分析。
- 未配置 - 设置将还原为系统默认值,这意味着 TLS 分析已启用。
- 已启用 - TLS 分析已禁用。
- 已禁用 - 已启用 TLS 分析。
引擎汇报通道
CSP: EngineUpdatesChannel
启用此策略以指定设备何时在每月逐步推出期间收到Microsoft Defender引擎更新。
- 未配置 - 设置将恢复为系统默认值,这意味着,设备在逐步发布周期内自动保持最新状态。 适用于大多数设备。
- Beta 频道 - 设置为此通道的设备是第一个接收新更新的设备。 选择“Beta 频道”以参与识别问题并将其报告给Microsoft。 默认情况下,Windows 预览体验计划中的设备订阅此通道。 用于 (手动) 测试环境和有限数量的设备。
- 当前频道 (预览版) - 设置为此通道的设备最早在每月逐步发布周期内提供更新。 建议用于预生产/验证环境。
- 当前频道 (暂存) - 设备在每月逐步发布周期后提供更新。 建议适用于生产总体 (约 10% ) 的一小部分具有代表性的部分。
- 当前频道 (Broad) - 只有在逐步发布周期完成后,设备才会提供更新。 建议应用于生产总体中的一组广泛设备, (~10-100%) 。
- 关键 - 时间延迟 - 设备提供 48 小时延迟的更新。 建议仅适用于关键环境。
按流量计费的连接汇报
此设置允许托管设备通过按流量计费的连接进行更新。
- 未配置 - 设置将还原为系统默认设置, (不允许) 。
- 允许 - 托管设备通过按流量计费的连接进行更新。
- 不允许 - 托管设备不会通过按流量计费的连接进行更新。
平台汇报通道
CSP: EngineUpdatesChannel
启用此策略以指定设备在每月逐步推出期间何时收到Microsoft Defender平台更新。
- 未配置 - 设置将恢复为系统默认值,这意味着,设备在逐步发布周期内自动保持最新状态。 适用于大多数设备。
- Beta 频道 - 设置为此通道的设备是第一个接收新更新的设备。 选择“Beta 频道”以参与识别问题并将其报告给Microsoft。 默认情况下,Windows 预览体验计划中的设备订阅此通道。 用于 (手动) 测试环境和有限数量的设备。
- 当前频道 (预览版) - 设置为此通道的设备最早在每月逐步发布周期内提供更新。 建议用于预生产/验证环境。
- 当前频道 (暂存) - 设备在每月逐步发布周期后提供更新。 建议适用于生产总体 (约 10% ) 的一小部分具有代表性的部分。
- 当前频道 (Broad) - 只有在逐步发布周期完成后,设备才会提供更新。 建议应用于生产总体中的一组广泛设备, (~10-100%) 。
- 关键 - 时间延迟 - 设备提供 48 小时延迟的更新。 建议仅适用于关键环境。
安全智能汇报通道
CSP: SecurityIntelligenceUpdatesChannel
启用此策略以指定设备何时在每日逐步推出期间接收Microsoft Defender安全智能更新。
- 未配置 - Microsoft会将设备分配到当前频道 (Broad) ,或者在逐步发布周期的早期将设备分配到 beta 通道。 Microsoft选择的通道可能是在逐步发布周期内提前接收更新的通道,这可能不适用于生产或关键环境中的设备。
- 当前频道 (暂存) - 与当前频道 (广泛) 相同。
- 当前频道 (Broad) - 只有在逐步发布周期完成后,设备才会提供更新。 建议适用于所有人群(包括生产)中的一组广泛设备。
随机计划任务时间
CSP: RandomizeScheduleTaskTimes
在 Microsoft Defender 防病毒中,将扫描的开始时间随机设置为 0 到 23 小时的任何间隔。 这在虚拟机或 VDI 部署中非常有用。
- 未配置 - 设置将还原为系统默认设置, (计划任务是随机) 。
- 扩大或缩小计划扫描的随机化周期。 使用设置 SchedulerRandomizationTime 将随机化窗口指定为 1 到 23 小时
- 计划的任务不会随机化
计划程序随机化时间
CSP: SchedulerRandomizationTime
此设置使你能够以小时为单位配置计划程序随机化。 随机间隔为 [1 - 23] 小时。
- 未配置 - 设置) 4 小时 (还原为系统默认值。
- [1-23] - 随机间隔由策略中指定的值定义。
禁用核心服务 ECS 集成
CSP: DisableCoreServiceECSIntegration
关闭 Defender 核心服务的 ECS 集成。
- 未配置 - 设置将还原为系统默认值,这意味着 Defender 核心服务使用 ECS。
- Defender 核心服务将使用试验和配置服务 (ECS) 快速提供特定于组织的关键修复。
- Defender 核心服务停止使用试验和配置服务 (ECS) 。 修复将继续通过安全智能更新提供。
禁用核心服务遥测
CSP: DisableCoreServiceTelemetry
关闭 Defender 核心服务的 OneDsCollector 遥测。
- 未配置 - 设置将还原为系统默认值,这意味着 Defender 核心服务使用 OneDsCollector 框架。
- Defender 核心服务将使用 OneDsCollector 框架快速收集遥测数据。
- Defender 核心服务停止使用 OneDsCollector 框架快速收集遥测数据,这影响了Microsoft快速识别和解决性能不佳、误报和其他问题的能力。
提示
需要帮助? 请参阅在 Microsoft Intune 中管理终结点安全性。
提示
如果要查找其他平台的防病毒相关信息,请参阅:
- 设置 macOS 上 Microsoft Defender for Endpoint 的首选项
- Mac 上的 Microsoft Defender for Endpoint
- 适用于 Intune 的 Microsoft Defender 防病毒软件的 macOS 防病毒程序策略设置
- 设置 Linux 上 Microsoft Defender for Endpoint 的首选项
- Microsoft Defender for Endpoint on Linux
- 在 Android 功能上配置 Defender for Endpoint
- 在 iOS 功能上配置 Microsoft Defender for Endpoint
相关文章
提示
性能提示由于各种因素,Microsoft Defender防病毒和其他防病毒软件一样,可能会导致终结点设备上的性能问题。 在某些情况下,可能需要优化 Microsoft Defender 防病毒的性能才能解决这些问题。 Microsoft 的性能分析器 是一种 PowerShell 命令行工具,可帮助确定哪些文件、文件路径、进程和文件扩展名可能导致性能问题。 例如:
- 影响扫描时间的顶级路径
- 影响扫描时间的热门文件
- 影响扫描时间的顶级进程
- 影响扫描时间的热门文件扩展名
- 组合 - 例如:
- 每个扩展名的排名靠前的文件数
- 每个扩展的顶部路径
- 每个路径的顶级进程数
- 每个文件的顶级扫描数
- 每个进程的每个文件扫描数
可以使用性能分析器收集的信息来更好地评估性能问题并应用修正作。 请参阅:Microsoft Defender防病毒的性能分析器。
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。