Defender 云解决方案提供商

注意

ControlPolicyConflict (MDMWinsOverGP) 不适用于 Defender CSP。 如果使用 MDM,请删除当前的 Defender 组策略设置,以避免与 MDM 设置冲突。

以下列表显示了 Defender 配置服务提供程序节点:

配置

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1903 [10.0.18362] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration

用于对 Windows Defender 配置信息进行分组的内部节点。

描述框架属性:

属性名 属性值
格式 node
访问类型 “获取”

Configuration/AllowDatagramProcessingOnWinServer

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/AllowDatagramProcessingOnWinServer

此设置控制是否允许网络保护在 Windows Server 上启用数据报处理。 如果为 false,则 DisableDatagramProcessing 的值将被忽略,并默认禁用 Datagram 检查。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 已启用 Windows Server 上的数据报处理。
0(默认值) 禁用 Windows Server 上的数据报处理。

Configuration/AllowNetworkProtectionDownLevel

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/AllowNetworkProtectionDownLevel

此设置控制是否允许在 RS3 的 Windows 下层上将网络保护配置为阻止模式或审核模式。 如果为 false,则将忽略 EnableNetworkProtection 的值。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 网络保护将启用下层。
0(默认值) 下层将禁用网络保护。

Configuration/AllowNetworkProtectionOnWinServer

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1709 [10.0.16299] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/AllowNetworkProtectionOnWinServer

此设置控制是否允许在 Windows Server 上将网络保护配置为阻止模式或审核模式。 如果为 false,则将忽略 EnableNetworkProtection 的值。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
1 (默认) 允许。
0 禁止。

Configuration/AllowSwitchToAsyncInspection

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1709 [10.0.16299] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/AllowSwitchToAsyncInspection

通过从实时检查切换到异步检查来控制网络保护是否可以提高性能。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 允许切换到异步检查。
0(默认值) 不允许异步检查。

Configuration/ArchiveMaxDepth

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/ArchiveMaxDepth

指定要从存档文件中提取的最大文件夹深度以供扫描。 如果关闭或未设置此配置,则应用默认值 (0) ,并将所有存档提取到最深的文件夹进行扫描。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [0-4294967295]
默认值 0

Configuration/ArchiveMaxSize

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/ArchiveMaxSize

指定要提取和扫描的存档文件的最大大小(以 KB 为单位)。 如果此配置处于关闭状态或未设置,则应用默认值 (0) ,并且无论大小如何,都会提取和扫描所有存档。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [0-4294967295]
默认值 0

Configuration/ASROnlyPerRuleExclusions

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1709 [10.0.16299] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/ASROnlyPerRuleExclusions

仅按规则排除项应用 ASR。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

Configuration/BehavioralNetworkBlocks

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks

描述框架属性:

属性名 属性值
格式 node
访问类型 “获取”

Configuration/BehavioralNetworkBlocks/BruteForceProtection

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection

描述框架属性:

属性名 属性值
格式 node
访问类型 “获取”
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionAggressiveness
范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionAggressiveness

设置 Brute-Force 保护何时阻止 IP 地址的条件。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 低:仅 100% 置信度为恶意的 IP 地址 (默认) 。
1 中:使用云聚合来阻止超过 99% 的恶意 IP 地址。
2 高:阻止使用客户端智能和上下文识别的 IP 地址,以阻止超过 90% 的恶意 IP 地址。
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionConfiguredState
范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionConfiguredState

Microsoft Defender防病毒中的 Brute-Force 保护可检测并阻止强制登录和启动会话的尝试。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 未配置:应用防病毒引擎和平台设置的默认值。
1 阻止:防止可疑和恶意行为。
2 审核:在不阻止的情况下生成 EDR 检测。
4 关闭:禁用功能,不影响性能。
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionExclusions
范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionExclusions

指定要排除 Brute-Force 保护阻止的 IP 地址、子网或工作站名称。 请注意,攻击者可以欺骗排除的地址和名称来绕过保护。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: |)
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionMaxBlockTime
范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionMaxBlockTime

设置 Brute-Force 保护阻止 IP 地址的最长时间。 在此时间之后,被阻止的 IP 地址将能够登录并启动会话。 如果设置为 0,则内部特征逻辑将确定阻塞时间。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [0-4294967295]
默认值 0
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins
范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins

描述框架属性:

属性名 属性值
格式 node
访问类型 “获取”
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionLocalNetworkBlocking
范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1709 [10.0.16299] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionLocalNetworkBlocking

在 Microsoft Defender 防病毒中扩展暴力保护范围,以阻止本地网络地址。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 暴力保护不会阻止本地网络地址。
1 暴力保护将阻止本地网络地址。
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionSkipLearningPeriod
范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1709 [10.0.16299] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionSkipLearningPeriod

跳过 2 周的初始学习期,以便Microsoft Defender防病毒中的暴力保护可以立即开始阻止。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 暴力保护仅在完成 2 周的学习期后才能阻止威胁。
1 暴力保护会立即开始阻止威胁。

Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection

描述框架属性:

属性名 属性值
格式 node
访问类型 “获取”
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionAggressiveness
范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionAggressiveness

设置远程加密保护何时阻止 IP 地址的条件。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 低:仅在置信度为 100% (默认) 时阻止。
1 中:当置信度高于 99% 时,请使用云聚合和阻止。
2 高:使用云 Intel 和上下文,并在置信度高于 90% 时阻止。
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionConfiguredState
范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionConfiguredState

Microsoft Defender防病毒中的远程加密保护可检测并阻止尝试将本地文件替换为其他设备的加密版本。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 未配置:应用针对防病毒引擎和平台设置的默认值。
1 阻止:防止可疑和恶意行为。
2 审核:在不阻止的情况下生成 EDR 检测。
4 关闭:功能处于关闭状态,不会影响性能。
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionExclusions
范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionExclusions

指定要排除远程加密保护阻止的 IP 地址、子网或工作站名称。 请注意,攻击者可以欺骗排除的地址和名称来绕过保护。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: |)
默认值 0
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionMaxBlockTime
范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionMaxBlockTime

设置远程加密保护阻止 IP 地址的最长时间。 在此时间过后,被阻止的 IP 地址将能够重新初始化连接。 如果设置为 0,则内部特征逻辑将确定阻塞时间。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [0-4294967295]
默认值 0

Configuration/DataDuplicationDirectory

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationDirectory

定义用于设备控制的重复数据目录。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

Configuration/DataDuplicationLocalRetentionPeriod

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationLocalRetentionPeriod

定义在传输到远程位置时,在客户端计算机上保留证据数据的保留期(以天为单位)。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [1-120]
默认值 60

Configuration/DataDuplicationMaximumQuota

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationMaximumQuota

定义可以收集的最大重复数据配额(以 MB 为单位)。 达到配额后,筛选器将停止复制任何数据,直到服务设法调度收集的现有数据,从而再次将配额降低到最大值以下。 有效间隔为 [5-5000] MB。 默认情况下,最大配额为 500 MB。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [5-5000]
默认值 500

Configuration/DataDuplicationRemoteLocation

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocation

定义设备控制的数据重复远程位置。 配置此设置时,请确保“设备控制”已启用,并且提供的路径是用户可以访问的远程路径。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

Configuration/DaysUntilAggressiveCatchupQuickScan

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DaysUntilAggressiveCatchupQuickScan

配置在触发主动快速扫描之前可以经过多少天。 有效间隔为 [7-60] 天。 如果未配置,将禁用主动快速扫描。 默认情况下,启用后,该值设置为 30 天。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [7-60]
默认值 30

Configuration/DefaultEnforcement

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DefaultEnforcement

控制设备控制默认强制实施。 如果不存在任何策略规则,或者在策略规则评估结束时,则应用强制实施。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
1 (默认) 默认允许强制实施。
2 默认拒绝强制。

Configuration/DeviceControl

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl

描述框架属性:

属性名 属性值
格式 node
访问类型 “获取”

Configuration/DeviceControl/PolicyGroups

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups

描述框架属性:

属性名 属性值
格式 node
访问类型 “获取”
Configuration/DeviceControl/PolicyGroups/{GroupId}
范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/{GroupId}

描述框架属性:

属性名 属性值
格式 node
访问类型 添加、删除、获取、替换
Configuration/DeviceControl/PolicyGroups/{GroupId}/GroupData
范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/{GroupId}/GroupData

有关详细信息,请参阅 Microsoft Defender for Endpoint设备控制可移动存储访问控制

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

Configuration/DeviceControl/PolicyRules

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules

描述框架属性:

属性名 属性值
格式 node
访问类型 “获取”
Configuration/DeviceControl/PolicyRules/{RuleId}
范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/{RuleId}

描述框架属性:

属性名 属性值
格式 node
访问类型 添加、删除、获取、替换
Configuration/DeviceControl/PolicyRules/{RuleId}/RuleData
范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/{RuleId}/RuleData

有关详细信息,请参阅 Microsoft Defender for Endpoint设备控制可移动存储访问控制

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

Configuration/DeviceControlEnabled

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DeviceControlEnabled

控制设备控制功能。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 设备控制已启用。
0(默认值) 设备控制已禁用。

Configuration/DisableCacheMaintenance

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DisableCacheMaintenance

定义缓存维护空闲任务是否将执行缓存维护。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 缓存维护已禁用。
0(默认值) 默认) (启用缓存维护。

Configuration/DisableCoreServiceECSIntegration

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DisableCoreServiceECSIntegration

关闭 Defender 核心服务的 ECS 集成。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0x0

允许的值:

旗帜 描述
0x0 (默认) Defender 核心服务将使用试验和配置服务 (ECS) 快速提供特定于组织的关键修复。
0x1 Defender 核心服务停止使用试验和配置服务 (ECS) 。 修复将继续通过安全智能更新提供。

Configuration/DisableCoreServiceTelemetry

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DisableCoreServiceTelemetry

关闭 Defender 核心服务的 OneDsCollector 遥测。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0x0

允许的值:

旗帜 描述
0x0 (默认) Defender 核心服务将使用 OneDsCollector 框架快速收集遥测数据。
0x1 Defender 核心服务停止使用 OneDsCollector 框架快速收集遥测数据,这影响了Microsoft快速识别和解决性能不佳、误报和其他问题的能力。

Configuration/DisableCpuThrottleOnIdleScans

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DisableCpuThrottleOnIdleScans

指示在设备处于空闲状态时,是否对计划扫描限制 CPU。 默认情况下,此功能处于启用状态,无论 ScanAvgCPULoadFactor 设置为什么,都不会限制在设备处于空闲状态时执行的计划扫描的 CPU。 对于所有其他计划扫描,此标志将不起作用,并且会发生正常限制。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
1 (默认) 在空闲扫描时禁用 CPU 限制。
0 在空闲扫描时启用 CPU 限制。

Configuration/DisableDatagramProcessing

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1709 [10.0.16299] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DisableDatagramProcessing

控制网络保护是否检查用户数据报协议 (UDP) 流量。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 UDP 检查已关闭。
0(默认值) UDP 检查已打开。

Configuration/DisableDnsOverTcpParsing

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DisableDnsOverTcpParsing

此设置禁用基于 TCP 分析的 DNS 进行网络保护。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 禁用基于 TCP 的 DNS 分析。
0(默认值) 已启用基于 TCP 的 DNS 分析。

Configuration/DisableDnsParsing

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DisableDnsParsing

此设置禁用网络保护的 DNS 分析。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 DNS 分析已禁用。
0(默认值) DNS 分析已启用。

Configuration/DisableFtpParsing

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DisableFtpParsing

此设置禁用网络保护的 FTP 分析。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 FTP 分析已禁用。
0(默认值) FTP 分析已启用。

Configuration/DisableGradualRelease

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DisableGradualRelease

启用此策略可禁用 Defender 更新的逐步推出。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 逐步发布已禁用。
0(默认值) 已启用逐步发布。

配置/禁用HttpParsing

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DisableHttpParsing

此设置禁用网络保护的 HTTP 分析。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 HTTP 分析已禁用。
0(默认值) HTTP 分析已启用。

Configuration/DisableInboundConnectionFiltering

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DisableInboundConnectionFiltering

此设置禁用网络保护的入站连接筛选。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 入站连接筛选已禁用。
0(默认值) 已启用入站连接筛选。

Configuration/DisableLocalAdminMerge

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DisableLocalAdminMerge

当此值设置为 no 时,它允许本地管理员为复杂列表类型指定一些设置,这些设置随后会将首选项设置与策略设置合并/重写。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 是。
0(默认值) 否。

Configuration/DisableNetworkProtectionPerfTelemetry

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DisableNetworkProtectionPerfTelemetry

此设置禁用从网络保护收集和发送性能遥测数据。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 网络保护遥测处于禁用状态。
0(默认值) 已启用网络保护遥测。

Configuration/DisableQuicParsing

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DisableQuicParsing

此设置禁用网络保护的 QUIC 分析。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 已禁用 QUIC 分析。
0(默认值) 已启用 QUIC 分析。

Configuration/DisableRdpParsing

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DisableRdpParsing

此设置禁用网络保护的 RDP 分析。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 RDP 分析已禁用。
0(默认值) RDP 分析已启用。

Configuration/DisableSmtpParsing

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DisableSmtpParsing

此设置禁用网络保护的 SMTP 分析。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 SMTP 分析已禁用。
0(默认值) SMTP 分析已启用。

Configuration/DisableSshParsing

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DisableSshParsing

此设置禁用网络保护的 SSH 分析。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 SSH 分析已禁用。
0(默认值) 已启用 SSH 分析。

Configuration/DisableTlsParsing

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/DisableTlsParsing

此设置禁用网络保护的 TLS 分析。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 TLS 分析已禁用。
0(默认值) TLS 分析已启用。

Configuration/EnableConvertWarnToBlock

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1709 [10.0.16299] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/EnableConvertWarnToBlock

此设置控制网络保护是否阻止网络流量而不是显示警告。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 警告判决转换为阻止。
0(默认值) 警告判决不会转换为阻止。

Configuration/EnableDnsSinkhole

注意

此策略已弃用,可能会在将来的版本中删除。

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/EnableDnsSinkhole

此设置为网络保护启用 DNS Sinkhole 功能,并遵循用于块与审核的 EnableNetworkProtection 值,在检查模式下不执行任何操作。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 DNS Sinkhole 已禁用。
1 (默认) DNS Sinkhole 已启用。

Configuration/EnableFileHashComputation

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1903 [10.0.18362] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/EnableFileHashComputation

启用或禁用文件哈希计算功能。 启用此功能后,Windows defender 将计算它扫描的文件的哈希。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 禁用。
1 启用。

Configuration/EnableUdpReceiveOffload

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/EnableUdpReceiveOffload

此设置启用 Udp 接收卸载网络保护。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Udp 接收卸载已禁用。
1 Udp 接收卸载已启用。

Configuration/EnableUdpSegmentationOffload

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/EnableUdpSegmentationOffload

此设置启用 Udp 分段卸载网络保护。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Udp 分段卸载已禁用。
1 Udp 分段卸载已启用。

Configuration/EngineUpdatesChannel

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/EngineUpdatesChannel

启用此策略以指定设备何时在每月逐步推出期间收到Microsoft Defender引擎更新。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 未配置 (默认) 。 设备将在逐步发布周期内自动保持最新状态。 适用于大多数设备。
2 Beta 频道:设置为此通道的设备将是第一个接收新更新的设备。 选择“Beta 频道”以参与识别问题并将其报告给Microsoft。 默认情况下,Windows 预览体验计划中的设备订阅此通道。 用于 (手动) 测试环境和有限数量的设备。
3 当前频道 (预览版) :设置为此通道的设备将在每月逐步发布周期内最早提供更新。 建议用于预生产/验证环境。
4 当前频道 (暂存) :设备将在每月逐步发布周期后获得更新。 建议适用于生产总体 (约 10% ) 的一小部分具有代表性的部分。
5 当前频道 (Broad) :只有在逐步发布周期完成后,才会向设备提供更新。 建议应用于生产总体中的一组广泛设备, (~10-100%) 。
6 关键 - 时间延迟:将为设备提供 48 小时延迟的更新。 建议仅适用于关键环境。

Configuration/ExcludedIpAddresses

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/ExcludedIpAddresses

允许管理员显式禁用 wdnisdrv 对一组特定 IP 地址进行的网络数据包检查。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 正则表达式: ^(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$|^(?:[0-9a-fA-F]{1,4}:){7}[0-9a-fA-F]{1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,6}:[0-9a-fA-F]{1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,5}(?::[0-9a-fA-F]{1,4}){1,2}$|^(?:[0-9a-fA-F]{1,4}:){1,4}(?::[0-9a-fA-F]{1,4}){1,3}$|^(?:[0-9a-fA-F]{1,4}:){1,3}(?::[0-9a-fA-F]{1,4}){1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,2}(?::[0-9a-fA-F]{1,4}){1,5}$|^[0-9a-fA-F]{1,4}(?::[0-9a-fA-F]{1,4}){1,6}$|^::1$|^::$

Configuration/HideExclusionsFromLocalAdmins

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/HideExclusionsFromLocalAdmins

此策略设置控制排除项是否对本地管理员可见。 若要控制本地用户排除可见性,请使用 HideExclusionsFromLocalUsers。 如果设置了 HideExclusionsFromLocalAdmins,则将隐式设置 HideExclusionsFromLocalUsers。

注意

应用此设置不会删除设备注册表中的排除项,只会阻止应用/使用排除项。 这反映在 Get-MpPreference 中。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 如果启用此设置,本地管理员将无法再在 Windows 安全中心 应用中或通过 PowerShell 查看排除列表。
0(默认值) 如果禁用或未配置此设置,本地管理员将能够通过 PowerShell 在 Windows 安全中心 应用中查看排除项。

Configuration/HideExclusionsFromLocalUsers

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/HideExclusionsFromLocalUsers

此策略设置控制排除项是否对本地用户可见。 如果设置了 HideExclusionsFromLocalAdmins,则将隐式设置此策略。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 如果启用此设置,本地用户将无法再在 Windows 安全中心 应用中或通过 PowerShell 查看排除列表。
0(默认值) 如果禁用或未配置此设置,本地用户将能够通过 PowerShell 在 Windows 安全中心 应用中查看排除项。

Configuration/IntelTDTEnabled

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/IntelTDTEnabled

此策略设置为支持 Intel TDT 的设备配置 Intel TDT 集成级别。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 如果未配置此设置,将应用默认值。 默认值由Microsoft安全智能更新控制。 如果存在已知威胁,Microsoft将启用 Intel TDT。
1 如果将此设置配置为启用,Intel TDT 集成将打开。
2 如果将此设置配置为禁用,Intel TDT 集成将关闭。

Configuration/MeteredConnectionUpdates

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/MeteredConnectionUpdates

允许托管设备通过按流量计费的连接进行更新。 默认值为 0 - 不允许,1 - 允许。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 允许。
0(默认值) 不允许。

Configuration/NetworkProtectionReputationMode

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/NetworkProtectionReputationMode

这将设置网络保护的信誉模式引擎。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 使用标准信誉引擎。
1 使用 ESP 信誉引擎。

Configuration/OobeEnableRtpAndSigUpdate

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/OobeEnableRtpAndSigUpdate

此设置允许配置是否在 OOBE (现用体验) 期间启用实时保护和安全智能汇报。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 如果启用此设置,则会在 OOBE 期间启用实时保护和安全智能汇报。
0(默认值) 如果禁用或未配置此设置,则不会在 OOBE 期间启用实时保护和安全智能汇报。

Configuration/PassiveRemediation

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/PassiveRemediation

用于控制 Sense 扫描的自动修正的设置。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0x0

允许的值:

旗帜 描述
0x0 (默认) 默认) (被动修正处于关闭状态。
0x1 PASSIVE_REMEDIATION_FLAG_SENSE_AUTO_REMEDIATION:被动修正感知自动修复。
0x2 PASSIVE_REMEDIATION_FLAG_RTP_AUDIT:被动修正实时保护审核。
0x4 PASSIVE_REMEDIATION_FLAG_RTP_REMEDIATION:被动修正实时保护修正。

Configuration/PerformanceModeStatus

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/PerformanceModeStatus

此设置允许 IT 管理员以启用或禁用模式为托管设备配置性能模式。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 默认) (启用性能模式。
1 已禁用性能模式。

Configuration/PlatformUpdatesChannel

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/PlatformUpdatesChannel

启用此策略以指定设备在每月逐步推出期间何时收到Microsoft Defender平台更新。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 未配置 (默认) 。 设备将在逐步发布周期内自动保持最新状态。 适用于大多数设备。
2 Beta 频道:设置为此通道的设备将是第一个接收新更新的设备。 选择“Beta 频道”以参与识别问题并将其报告给Microsoft。 默认情况下,Windows 预览体验计划中的设备订阅此通道。 用于 (手动) 测试环境和有限数量的设备。
3 当前频道 (预览版) :设置为此通道的设备将在每月逐步发布周期内最早提供更新。 建议用于预生产/验证环境。
4 当前频道 (暂存) :设备将在每月逐步发布周期后获得更新。 建议适用于生产总体 (约 10% ) 的一小部分具有代表性的部分。
5 当前频道 (Broad) :只有在逐步发布周期完成后,才会向设备提供更新。 建议应用于生产总体中的一组广泛设备, (~10-100%) 。
6 关键 - 时间延迟:将为设备提供 48 小时延迟的更新。 建议仅适用于关键环境。

Configuration/QuickScanIncludeExclusions

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/QuickScanIncludeExclusions

此设置允许在快速扫描期间扫描排除的文件和目录。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 如果将此设置设置为 0 或未配置此设置,则快速扫描期间不会扫描排除项。
1 如果将此设置设置为 1,则会在快速扫描过程中扫描使用上下文排除项从实时保护中排除的所有文件和目录。

Configuration/RandomizeScheduleTaskTimes

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/RandomizeScheduleTaskTimes

在 Microsoft Defender 防病毒中,将扫描的开始时间随机设置为 0 到 23 小时的任何间隔。 这在虚拟机或 VDI 部署中非常有用。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
1 (默认) 扩大或缩小计划扫描的随机化周期。 使用设置 SchedulerRandomizationTime 将随机化窗口指定为 1 到 23 小时。
0 计划的任务不会随机化。

Configuration/ScanOnlyIfIdleEnabled

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/ScanOnlyIfIdleEnabled

在 Microsoft Defender 防病毒中,仅当系统处于空闲状态时,此设置才会运行计划扫描。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
1 (默认) 仅当系统处于空闲状态时,才运行计划扫描。
0 无论系统是否处于空闲状态,都运行计划扫描。

Configuration/SchedulerRandomizationTime

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/SchedulerRandomizationTime

此设置允许你配置计划程序随机化(以小时为单位)。 随机间隔为 [1 - 23] 小时。 有关随机化效果的详细信息,检查 RandomizeScheduleTaskTimes 设置。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [1-23]
默认值 4

Configuration/ScheduleSecurityIntelligenceUpdateDay

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/ScheduleSecurityIntelligenceUpdateDay

此设置允许指定检查安全智能更新的星期几。 默认情况下,此设置配置为永远不会检查安全智能更新。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 8

允许的值:

描述
0 日常。
1 星期日。
2 星期一。
3 星期二。
4 星期三。
5 星期四。
6 星期五。
7 星期六。
8 (默认) “从不”。

Configuration/ScheduleSecurityIntelligenceUpdateTime

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/ScheduleSecurityIntelligenceUpdateTime

此设置允许你指定一天中检查安全智能更新的时间。 时间值表示为午夜 (00:00) 的分钟数。 例如,120 等效于凌晨 02:00。 默认情况下,此设置配置为在计划扫描时间前 15 分钟检查安全智能更新。 计划基于发生检查的计算机上的本地时间。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [0-1439]
默认值 105

Configuration/SecuredDevicesConfiguration

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration

定义 Defender 设备控制应保护哪些设备的主要 ID。 主要 ID 值应为管道 (|) 分隔。 示例:RemovableMediaDevices|CdRomDevices。 如果未设置此配置,将应用默认值,这意味着将保护所有受支持的设备。 当前支持的主要 ID 为:RemovableMediaDevices、CdRomDevices、WpdDevices、PrinterDevices。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

允许的值:

描述
RemovableMediaDevices RemovableMediaDevices。
CdRomDevices CdRomDevices。
WpdDevices WpdDevices。
PrinterDevices PrinterDevices。

Configuration/SecurityIntelligenceLocationUpdateAtScheduledTimeOnly

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1903 [10.0.18362] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/SecurityIntelligenceLocationUpdateAtScheduledTimeOnly

此设置允许你根据 VDI 配置的计算机的计划程序配置安全智能更新。 它与共享安全智能位置 (SecurityIntelligenceLocation) 一起使用。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 如果启用此设置并配置 SecurityIntelligenceLocation,则来自配置位置的更新仅在之前配置的计划更新时间发生。
0(默认值) 如果禁用或未配置此设置,则每当在 SecurityIntelligenceLocation 指定的位置检测到新的安全智能更新时,就会发生更新。

Configuration/SecurityIntelligenceUpdatesChannel

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/SecurityIntelligenceUpdatesChannel

启用此策略以指定设备何时在每日逐步推出期间接收Microsoft Defender安全智能更新。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 未配置 (默认) 。 设备将在逐步发布周期内自动保持最新状态。 适用于大多数设备。
4 当前频道 (暂存) :将在发布周期后向设备提供更新。 建议适用于一小部分具有代表性的生产人口, (~10%) 。
5 当前频道 (Broad) :只有在逐步发布周期完成后,才会向设备提供更新。 建议应用于生产总体中的一组广泛设备, (~10-100%) 。

Configuration/SupportLogLocation

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/SupportLogLocation

支持日志位置设置允许管理员指定Microsoft Defender防病毒诊断数据收集工具 (MpCmdRun.exe) 保存生成的日志文件的位置。 此设置使用 MDM 解决方案(例如Intune)进行配置,可用于Windows 10 企业版。

Intune支持日志位置设置 UI 支持三种状态:

  • 未配置 (默认) - 对设备的默认状态没有任何影响。
  • 1 - 启用。 启用支持日志位置功能。 要求管理员设置自定义文件路径。
  • 0 - 已禁用。 关闭“支持日志位置”功能。

如果客户端上存在启用或禁用,并且管理员将设置移动到“未配置”,则不会对设备状态产生任何影响。 若要将状态更改为“已启用”或“已禁用”,需要显式设置。

更多详细信息:

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

配置/篡改保护

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1903 [10.0.18362] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/TamperProtection

防篡改有助于保护重要的安全功能免受不必要的更改和干扰。 这包括实时保护、行为监视等。 接受签名字符串以打开或关闭该功能。 设置是使用 MDM 解决方案(例如Intune)配置的,可在 Windows 10 企业版 E5 或等效订阅中使用。 在 Intune 中将此配置设置为“未配置”或“未分配”之前,将 blob 发送到设备以重置篡改防护状态。 数据类型是已签名的 Blob。

注意

启用 篡改保护 后,不会应用对此设置的更改。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
默认值 0

Configuration/ThrottleForScheduledScanOnly

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Defender/Configuration/ThrottleForScheduledScanOnly

CPU 使用率限制只能应用于计划扫描,也可以应用于计划扫描和自定义扫描。 默认值仅对计划的扫描应用 CPU 使用率限制。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
1 (默认) 如果启用此设置,CPU 限制将仅适用于计划的扫描。
0 如果禁用此设置,CPU 限制将应用于计划的扫描和自定义扫描。

检测

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Detections

一个内部节点,用于对 Windows Defender 检测到的所有威胁进行分组。

描述框架属性:

属性名 属性值
格式 node
访问类型 “获取”

Detections/{ThreatId}

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}

Windows Defender 检测到的威胁的 ID。

描述框架属性:

属性名 属性值
格式 node
访问类型 “获取”
动态节点命名 ClientInventory

Detections/{ThreatId}/Category

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Category

威胁类别 ID。 支持的值:

|值 |说明 |。

|:--|:--|.

|0 |无效 |。

|1 |广告软件 |。

|2 |间谍软件 |。

|3 |密码窃取者 |。

|4 |特洛伊木马下载程序 |。

|5 |蠕虫 |。

|6 |后门 |。

|7 |远程访问特洛伊木马 |。

|8 |特洛伊木马 |。

|9 |Email泛洪器 |.

|10 |Keylogger |。

|11 |Dialer |.

|12 |监视软件 |。

|13 |浏览器修饰符 |。

|14 |Cookie |。

|15 |浏览器插件 |。

|16 |AOL 攻击 |。

|17 |Nuker |。

|18 |安全禁用程序 |。

|19 |笑话程序 |.

|20 |敌对 ActiveX 控件 |。

|21 |软件捆绑程序 |。

|22 |隐藏修饰符 |。

|23 |设置修饰符 |。

|24 |工具栏 |。

|25 |远程控制软件 |.

|26 |特洛伊木马 FTP |。

|27 |可能不需要的软件 |。

|28 |ICQ 攻击 |。

|29 |特洛伊木马 telnet |.

|30 |Exploit |.

|31 |文件共享程序 |。

|32 |恶意软件创建工具 |。

|33 |远程控制软件 |.

|34 |工具 |。

|36 |特洛伊木马拒绝服务 |。

|37 |特洛伊木马删除程序 |。

|38 |特洛伊木马群发邮件程序 |.

|39 |特洛伊木马监视软件 |.

|40 |特洛伊木马代理服务器 |。

|42 |病毒 |。

|43 |已知 |。

|44 |未知 |。

|45 |SPP |。

|46 |行为 |。

|47 |漏洞 |。

|48 |策略 |。

|49 |EUS (企业不需要的软件) |。

|50 |勒索软件 |。

|51 |ASR 规则 |

描述框架属性:

属性名 属性值
格式 int
访问类型 “获取”

Detections/{ThreatId}/CurrentStatus

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/CurrentStatus

有关威胁当前状态的信息。 以下列表显示支持的值:

|值 |说明 |。

|:--|:--|.

|0 |活动 |。

|1 |操作失败 |。

|2 |需要手动步骤 |。

|3 |需要完全扫描 |。

|4 |需要重新启动 |。

|5 |使用非关键故障 |进行修正。

|6 |已隔离 |。

|7 |删除了 |。

|8 |已清理 |。

|9 |允许 |。

|10 |清除) 无状态 ( |

描述框架属性:

属性名 属性值
格式 int
访问类型 “获取”

Detections/{ThreatId}/ExecutionStatus

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/ExecutionStatus

有关威胁的执行状态的信息。

描述框架属性:

属性名 属性值
格式 int
访问类型 “获取”

Detections/{ThreatId}/InitialDetectionTime

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/InitialDetectionTime

首次检测到此特定威胁。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 “获取”

Detections/{ThreatId}/LastThreatStatusChangeTime

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/LastThreatStatusChangeTime

上次更改此特定威胁的时间。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 “获取”

Detections/{ThreatId}/Name

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Name

特定威胁的名称。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 “获取”

Detections/{ThreatId}/NumberOfDetections

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/NumberOfDetections

在特定客户端上检测到此威胁的次数。

描述框架属性:

属性名 属性值
格式 int
访问类型 “获取”

Detections/{ThreatId}/Severity

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Severity

威胁严重性 ID。 以下列表显示支持的值:

|值 |说明 |。

|:--|:--|.

|0 |未知 |。

|1 |低 |。

|2 |中等 |。

|4 |高 |。

|5 |严重 |

描述框架属性:

属性名 属性值
格式 int
访问类型 “获取”

Detections/{ThreatId}/URL

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/URL

其他威胁信息的 URL 链接。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 “获取”

健康

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Health

一个内部节点,用于对有关 Windows Defender 运行状况状态的信息进行分组。

描述框架属性:

属性名 属性值
格式 node
访问类型 “获取”

Health/ComputerState

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Health/ComputerState

提供设备的当前状态。 以下列表显示支持的值:

|值 |说明 |。

|:--|:--|.

|0 |清理 |。

|1 |挂起完全扫描 |。

|2 |挂起的重新启动 |。

|4 | (Windows Defender 正在等待用户执行某些操作(例如重新启动计算机或运行完全扫描) |)挂起的手动步骤。

|8 |挂起的脱机扫描 |。

|16 |Windows Defender 严重失败 (挂起严重故障,管理员需要调查并采取某些操作,例如重新启动计算机或重新安装 Windows Defender) |

描述框架属性:

属性名 属性值
格式 int
访问类型 “获取”

Health/DefenderEnabled

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Health/DefenderEnabled

指示 Windows Defender 服务是否正在运行。

描述框架属性:

属性名 属性值
格式 bool
访问类型 “获取”

Health/DefenderVersion

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Health/DefenderVersion

设备上的 Windows Defender 版本号。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 “获取”

Health/DeviceControl

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Health/DeviceControl

一个内部节点,用于对设备 Cotrol 运行状况状态的信息进行分组。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 “获取”

Health/DeviceControl/state

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Health/DeviceControl/State

提供设备控件的当前状态。

描述框架属性:

属性名 属性值
格式 int
访问类型 “获取”

Health/EngineVersion

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Health/EngineVersion

设备上当前 Windows Defender 引擎的版本号。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 “获取”

Health/FullScanOverdue

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Health/FullScanOverdue

指示 Windows Defender 完全扫描是否过期。 如果计划的完全扫描在 2 周内未成功完成,并且默认) 禁用追赶完全扫描 (,则完全扫描已过期。

描述框架属性:

属性名 属性值
格式 bool
访问类型 “获取”

Health/FullScanRequired

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Health/FullScanRequired

指示是否需要 Windows Defender 完全扫描。

描述框架属性:

属性名 属性值
格式 bool
访问类型 “获取”

Health/FullScanSigVersion

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Health/FullScanSigVersion

用于上次设备完全扫描的签名版本。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 “获取”

Health/FullScanTime

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Health/FullScanTime

上次 Windows Defender 设备完全扫描的时间。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 “获取”

Health/IsVirtualMachine

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1903 [10.0.18362] 及更高版本
./Device/Vendor/MSFT/Defender/Health/IsVirtualMachine

指示设备是否为虚拟机。

描述框架属性:

属性名 属性值
格式 bool
访问类型 “获取”

Health/NisEnabled

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Health/NisEnabled

指示网络保护是否正在运行。

描述框架属性:

属性名 属性值
格式 bool
访问类型 “获取”

Health/ProductStatus

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Defender/Health/ProductStatus

提供产品的当前状态。 这是一个位掩码标志值,可以代表以下列表中的一个或多个产品状态。 支持的产品状态值:

|值 |说明 |。

|:--|:--|.

|0 |无状态 |。

|1 (1 << 0) |服务未运行 |。

|2 (1 << 1) |服务启动时没有任何恶意软件防护引擎 |。

|4 (1 << 2) |由于威胁操作 |,挂起完全扫描。

|8 (1 << 3) |由于威胁操作 |,等待重新启动。

|16 (1 << 4) | 由于威胁操作 |结束手动步骤。

|32 (1 << 5) |AV 签名已过期 |。

|64 (1 << 6) |AS 签名已过期 |。

|128 (1 << 7) |指定时间段内未发生快速扫描 |。

|256 (1 << 8) |指定时间段内未发生完全扫描 |。

|512 (1 << 9) |系统启动的扫描正在进行 |。

|1024 (1 << 10) |系统启动的清理正在进行 |。

|2048 (1 << 11) |有一些示例等待提交 |。

|4096 (1 << 12) |在评估模式下运行的产品 |。

|8192 (1 << 13) |在非正版 Windows 模式下运行的产品 |。

|16384 (1 << 14) |产品已过期 |。

|32768 (1 << 15) |需要进行线下扫描 |。

|65536 (1 << 16) |服务在系统关闭 |过程中正在关闭。

|131072 (1 << 17) |威胁修正严重失败 |。

|262144 (1 << 18) |威胁修正失败非严重 |。

|524288 (1 << 19) |) |, (初始化良好的状态设置状态标志。

|1048576 (1 << 20) |平台已过期 |。

|2097152 (1 << 21) |平台更新正在进行 |。

|4194304 (1 << 22) |平台即将过时 |。

|8388608 (1 << 23) |签名或平台生命周期已过或即将结束 |。

|16777216 (1 << 24) |非 Win10S 安装上仍在使用的 Windows SMode 签名 |

描述框架属性:

属性名 属性值
格式 int
访问类型 “获取”

示例

<SyncML xmlns="SYNCML:SYNCML1.1">
  <SyncBody>
    <Get>
      <CmdID>1</CmdID>
        <Item>
          <Target>
            <LocURI>./Vendor/MSFT/Defender/Health/ProductStatus</LocURI>
          </Target>
        </Item>
    </Get>
    <Final/>
  </SyncBody>
</SyncML>

Health/QuickScanOverdue

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Health/QuickScanOverdue

指示 Windows Defender 快速扫描是否过期。 如果计划的快速扫描在 2 周内未成功完成,并且默认) 禁用赶超快速扫描 (,则快速扫描已过期。

描述框架属性:

属性名 属性值
格式 bool
访问类型 “获取”

Health/QuickScanSigVersion

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Health/QuickScanSigVersion

用于上次快速扫描设备的签名版本。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 “获取”

Health/QuickScanTime

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Health/QuickScanTime

上次 Windows Defender 快速扫描设备的时间。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 “获取”

Health/RebootRequired

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Health/RebootRequired

指示是否需要重启设备。

描述框架属性:

属性名 属性值
格式 bool
访问类型 “获取”

Health/RtpEnabled

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Health/RtpEnabled

指示实时保护是否正在运行。

描述框架属性:

属性名 属性值
格式 bool
访问类型 “获取”

Health/SignatureOutOfDate

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Health/SignatureOutOfDate

指示 Windows Defender 签名是否过时。

描述框架属性:

属性名 属性值
格式 bool
访问类型 “获取”

Health/SignatureVersion

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Health/SignatureVersion

设备上当前 Windows Defender 签名的版本号。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 “获取”

Health/TamperProtectionEnabled

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1903 [10.0.18362] 及更高版本
./Device/Vendor/MSFT/Defender/Health/TamperProtectionEnabled

指示是否启用 Windows Defender 篡改防护功能。

描述框架属性:

属性名 属性值
格式 bool
访问类型 “获取”

OfflineScan

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Defender/OfflineScan

OfflineScan 操作在运行命令的计算机上启动Microsoft Defender脱机扫描。 下次 OS 重新启动后,设备将在Microsoft Defender脱机模式下启动以开始扫描。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 Exec、Get
重新启动行为 ServerInitiated

RollbackEngine

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Defender/RollbackEngine

RollbackEngine 操作将Microsoft Defender引擎回滚到运行命令的计算机上的上一个已知良好保存版本。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 Exec、Get
重新启动行为 ServerInitiated

RollbackPlatform

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Defender/RollbackPlatform

RollbackPlatform 操作将Microsoft Defender回滚到运行命令的计算机上的上一个已知良好安装位置。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 Exec、Get
重新启动行为 ServerInitiated

扫描

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/Scan

可用于在设备上启动 Windows Defender 扫描的节点。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 Exec、Get

允许的值:

描述
1 快速扫描。
2 完全扫描。

UpdateSignature

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1511 [10.0.10586] 及更高版本
./Device/Vendor/MSFT/Defender/UpdateSignature

可用于执行 Windows Defender 签名更新的节点。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 Exec、Get

配置服务提供程序参考