windows 设备Microsoft Intune中Microsoft Defender防病毒策略的设置

  • 项目

查看有关终结点安全防病毒策略设置的详细信息,可以在 Microsoft Intune 中为 Windows 10 配置Microsoft Defender防病毒配置文件。

注意

本文详细介绍了在 2022 年 4 月 5 日之前创建的Microsoft Defender防病毒和Microsoft Defender防病毒排除配置文件中找到的设置,这些配置文件适用于终结点安全防病毒策略的 Windows 10 及更高版本平台。 2022 年 4 月 5 日,Windows 10 及更高版本的平台被 Windows 10、Windows 11 和 Windows Server 平台取代。 在该日期之后创建的配置文件使用设置目录中的新设置格式。 通过此更改,你无法再创建旧配置文件的新版本,并且不再开发这些配置文件。 尽管无法再创建旧配置文件的新实例,但可以继续编辑和使用以前创建的实例。

对于使用新设置格式的配置文件,Intune 不再按名称维护每个设置的列表。 相反,每个设置的名称、其配置选项以及你在 Microsoft Intune 管理中心中看到的解释性文本直接取自设置的权威内容。 该内容可以提供有关设置在其适当上下文中的使用的详细信息。 查看设置信息文本时,可以使用其 “了解详细信息” 链接打开该内容。

Windows 配置文件的以下设置详细信息适用于那些已弃用的配置文件。

云保护

  • 打开云传递保护
    CSP: AllowCloudProtection

    默认情况下,Windows 10/11 桌面设备上的 Defender 会向 Microsoft 发送有关它发现的任何问题的信息。 Microsoft 会分析这些信息,以了解有关影响你和其他客户的问题的详细信息,以提供改进的解决方案。

    • 配置 (默认) - 设置将还原为系统默认值。
    • - 设置已禁用。 设备用户无法更改此设置。
    • - 已启用云提供的保护。 设备用户无法更改此设置。

  • 云提供的保护级别
    CSP: CloudBlockLevel

    配置 Defender 防病毒在阻止和扫描可疑文件时的积极程度。

    • 未配置 (默认) - 默认 Defender 阻止级别。
    • - 在优化客户端性能时主动阻止未知项,包括误报的可能性更大。
    • 高加 号 - 主动阻止未知项并应用可能影响客户端性能的其他保护措施。
    • 零容忍 - 阻止所有未知的可执行文件。

  • Defender 云延长超时(以秒为单位)
    CSP: CloudExtendedTimeout

    Defender 防病毒会自动阻止可疑文件 10 秒,同时在云中扫描可疑文件,以确保它们安全。 最多可以为此超时再加 50 秒。

Microsoft Defender防病毒排除项

Microsoft Defender防病毒配置文件中提供了以下设置:

  • Defender 本地管理员合并
    CSP: Configuration/DisableLocalAdminMerge

    此设置控制本地管理员配置的排除列表设置是否与 Intune 策略中的托管设置合并。 此设置适用于威胁和排除项等列表。

    • 未配置 (默认) - 由本地管理员配置的首选项设置中定义的唯一项合并到生成的有效策略中。 如果存在冲突,Intune 策略中的管理设置将替代本地首选项设置。
    • - 行为与 “未配置”相同。
    • - 在生成的有效策略中仅使用由管理定义的项。 托管设置将替代由本地管理员配置的首选项设置。

以下配置文件中提供了以下设置:

  • Microsoft Defender 防病毒
  • Microsoft Defender防病毒排除项

对于此组中的每个设置,可以展开设置,选择“ 添加”,然后指定排除项的值。

  • 要排除的 Defender 进程
    CSP: ExcludedProcesses

    指定进程在扫描期间要忽略的文件列表。 进程本身不会从扫描中排除。

  • 要从扫描和实时保护中排除的文件扩展名
    CSP: ExcludedExtensions

    指定要在扫描期间忽略的文件类型扩展的列表。

  • 要排除的 Defender 文件和文件夹
    CSP: ExcludedPaths

    指定要在扫描期间忽略的文件和目录路径的列表。

实时保护

以下配置文件中提供了这些设置:

  • Microsoft Defender 防病毒

设置

  • 启用实时保护
    CSP: AllowRealtimeMonitoring

    要求 Windows 10/11 桌面设备上的 Defender 使用实时监视功能。

    • 未配置 (默认) - 设置还原为系统默认值
    • - 设置已禁用。 设备用户无法更改此设置。
    • - 强制使用实时监视。 设备用户无法更改此设置。

  • 启用访问保护
    CSP: AllowOnAccessProtection 配置持续处于活动状态(而不是按需)的病毒防护。

    • 未配置 (默认) - 设置将还原为系统默认值。
    • - 阻止设备上的访问保护。 设备用户无法更改此设置。
    • - On Access Protection 在设备上处于活动状态。

  • 监视传入和传出文件
    CSP: Defender/RealTimeScanDirection

    配置此设置以确定要监视的 NTFS 文件和程序活动。

    • 监视默认) (所有文件
    • 仅监视传入文件
    • 仅监视传出文件

  • 启用行为监视
    CSP: AllowBehaviorMonitoring

    默认情况下,Windows 10/11 桌面设备上的 Defender 使用行为监视功能。

    • 配置 (默认) - 设置将还原为系统默认值。
    • - 设置已禁用。 设备用户无法更改此设置。
    • - 强制使用实时行为监视。 设备用户无法更改此设置。

  • 启用网络保护功能
    CSP: EnableNetworkProtection

    防止使用任何应用的设备用户访问 Internet 上的钓鱼欺诈、攻击托管网站和恶意内容。 保护包括阻止第三方浏览器连接到危险站点。

    • 配置 (默认) - 设置将还原为系统默认值。
    • - 设置已禁用。 设备用户无法更改此设置。
    • - 网络保护已打开。 设备用户无法更改此设置。

  • 扫描所有下载的文件和附件
    CSP: AllowIOAVProtection

    配置 Defender 以扫描所有下载的文件和附件。

    • 配置 (默认) - 设置将还原为系统默认值。
    • - 设置已禁用。 设备用户无法更改此设置。
    • - Defender 会扫描所有下载的文件和附件。 设备用户无法更改此设置。

  • 扫描 Microsoft 浏览器中使用的脚本
    CSP: AllowScriptScanning

    将 Defender 配置为扫描脚本。

    • 配置 (默认) - 设置将还原为系统默认值。
    • - 设置已禁用。 设备用户无法更改此设置。
    • - Defender 扫描脚本。 设备用户无法更改此设置。

  • 扫描网络文件
    CSP: AllowScanningNetworkFiles

    配置 Defender 以扫描网络文件。

    • 配置 (默认) - 设置将还原为系统默认值。
    • - 设置已禁用。 设备用户无法更改此设置。
    • - 启用网络文件的扫描。 设备用户无法更改此设置。

  • 扫描电子邮件
    CSP: AllowEmailScanning

    将 Defender 配置为扫描传入电子邮件。

    • 配置 (默认) - 设置将还原为系统默认值。
    • - 设置已禁用。 设备用户无法更改此设置。
    • - 启用电子邮件扫描。 设备用户无法更改此设置。

修复

以下配置文件中提供了这些设置:

  • Microsoft Defender 防病毒

设置

  • 保留隔离恶意软件的天数 (0-90)
    CSP: DaysToRetainCleanedMalware

    指定系统在自动删除隔离项之前存储隔离项的天数(从零到 90)。 值为零会将项目保留在隔离区中,并且不会自动将其删除。

  • 提交示例同意

    • 未配置 (默认)
    • 自动发送安全示例
    • 始终提示
    • 从不发送
    • 自动发送所有示例

  • 对可能不需要的应用执行的操作
    CSP: PUAProtection

    指定可能不需要的应用程序的检测级别, (PUA) 。 当下载可能不需要的软件或尝试在设备上安装时,Defender 会向用户发出警报。

    • 未配置 (默认) - 设置将还原到系统默认值,即 PUA 保护关闭。
    • Disable
    • 启用 - 检测到的项将被阻止,并与其他威胁一起显示在历史记录中。
    • 审核模式 - Defender 检测可能不需要的应用程序,但不执行任何操作。 可以通过在事件查看器中搜索 Defender 创建的事件来查看 Defender 将对其执行操作的应用程序的相关信息。

  • 针对检测到的威胁的操作
    CSP: ThreatSeverityDefaultAction

    根据恶意软件的威胁级别指定 Defender 针对检测到的恶意软件执行的操作。

    Defender 将检测到的恶意软件分类为以下严重级别之一:

    • 低严重性
    • 中等严重性
    • 严重性高
    • 严重严重性

    对于每个级别,指定要执行的操作。 每个严重性级别的默认值为 “未配置”。

    • 未配置
    • 清理 - 服务尝试恢复文件并尝试消毒。
    • 隔离 - 将文件移动到隔离区。
    • 删除 - 从设备中删除文件。
    • 允许 - 允许文件且不执行其他操作。
    • 用户定义 - 设备用户决定要执行的操作。
    • 阻止 - 阻止文件执行。

扫描

以下配置文件中提供了这些设置:

  • Microsoft Defender 防病毒

设置

  • 扫描存档文件
    CSP: AllowArchiveScanning

    将 Defender 配置为扫描存档文件,例如 ZIP 或 CAB 文件。

    • 未配置 (默认) - 设置将返回到客户端默认值,即扫描存档的文件,但用户可以禁用设置。 了解详细信息
    • - 不扫描文件存档。 设备用户无法更改此设置。
    • - 启用存档文件的扫描。 设备用户无法更改此设置。

  • 对计划扫描使用低 CPU 优先级
    CSP: EnableLowCPUPriority

    为计划扫描配置 CPU 优先级。

    • 未配置 (默认) - 设置将返回到系统默认值,其中不会更改 CPU 优先级。
    • - 设置已禁用。 设备用户无法更改此设置。
    • - 在计划扫描期间将使用低 CPU 优先级。 设备用户无法更改此设置。

  • 禁用追赶完全扫描
    CSP: DisableCatchupFullScan

    为计划的完整扫描配置追赶扫描。 追赶扫描是由于错过了定期计划的扫描而运行的扫描。 通常,由于计算机在计划时间关闭,因此会错过这些计划的扫描。

    • 未配置 (默认) - 将设置返回到客户端默认值,即禁用完全扫描的追赶扫描。
    • - 设置已禁用。 设备用户无法更改此设置。
    • - 强制实施计划的完整扫描的跟进扫描,用户无法禁用它们。 如果计算机在连续两次计划扫描中处于脱机状态,则下次有人登录计算机时,将启动跟进扫描。 如果未配置计划扫描,则不会运行跟进扫描。 设备用户无法更改此设置。

  • 禁用赶集快速扫描
    CSP: DisableCatchupQuickScan

    为计划的快速扫描配置赶上扫描。 追赶扫描是由于错过了定期计划的扫描而运行的扫描。 通常,由于计算机在计划时间关闭,因此会错过这些计划的扫描。

    • 未配置 (默认) - 将设置返回到客户端默认值,即禁用完全扫描的追赶扫描。
    • - 设置已禁用。 设备用户无法更改此设置。
    • 是 - 强制执行计划的快速扫描的跟进扫描,用户无法禁用它们。 如果计算机在连续两次计划扫描中处于脱机状态,则下次有人登录计算机时,将启动跟进扫描。 如果未配置计划扫描,则不会运行跟进扫描。 设备用户无法更改此设置。

  • 每次扫描的 CPU 使用率限制
    CSP: AvgCPULoadFactor

    将 Defender 扫描的平均 CPU 负载系数指定为从 0 到 100 的百分比。

  • 在完全扫描期间扫描映射的网络驱动器
    CSP: AllowFullScanOnMappedNetworkDrives

    配置 Defender 以扫描映射的网络驱动器。

    • 未配置 (默认) - 设置将还原到系统默认值,这会禁用映射网络驱动器上的扫描。
    • - 设置已禁用。 设备用户无法更改设置。
    • - 启用映射网络驱动器的扫描。 设备用户无法更改此设置。

  • 运行每日快速扫描
    CSP: ScheduleQuickScanTime

    选择 Defender 快速扫描运行的时间。 仅当设备运行快速扫描且不与以下三个设置交互时,此设置才适用:

    • 扫描类型
    • 运行计划扫描的星期几
    • 运行计划扫描的时间

    默认情况下, “运行每日快速扫描” 设置为 “未配置”。

  • 扫描类型
    CSP: ScanParameter

    选择 Defender 运行的扫描类型。 此设置与设置“ 运行计划扫描的星期几 ”和 “运行计划扫描的一天中的时间”交互。

    • 未配置 (默认)
    • 快速扫描
    • 完全扫描

  • 运行计划扫描的星期几

    • 未配置 (默认)

  • 运行计划扫描的时间

    • 未配置 (默认)

  • 在运行扫描之前检查签名更新

    • 未配置 (默认)

更新

以下配置文件中提供了这些设置:

  • Microsoft Defender 防病毒

设置

  • 输入) 0-24 小时 (检查安全智能更新的频率
    CSP: SignatureUpdateInterval

    指定用于检查签名) 从零到 24 (的间隔(以小时为单位)。 如果值为零,则不会为新签名检查。 值 2 将每隔两小时检查,依此而过。

  • 定义用于下载定义更新的文件共享
    CSP: SignatureUpdateFallbackOrder

    将位置(如 UNC 文件共享)作为下载源位置进行管理,以获取定义更新。 从指定源成功下载定义更新后,将不会联系列表中的剩余源。

    可以 添加 单个位置,也可以将位置列表作为 .csv 文件 导入

  • 定义下载定义更新的源顺序
    CSP: SignatureUpdateFileSharesSources

    指定联系已指定的源位置的顺序,以获取定义更新。 从一个指定源成功下载定义更新后,将不会联系列表中的剩余源。

用户体验

以下配置文件中提供了这些设置:

  • Microsoft Defender 防病毒

设置

  • 允许用户访问Microsoft Defender应用
    CSP: AllowUserUIAccess

  • 未配置 (默认) - 设置将返回到允许 UI 和通知的客户端默认值。

  • - Defender 用户界面 (UI) 不可访问,通知软件已取消。