策略 CSP - Defender
AllowArchiveScanning
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowArchiveScanning
使用此策略设置,可以在存档文件(例如 )中配置恶意软件和不需要的软件的扫描。 ZIP 或 。 CAB 文件。
如果启用或未配置此设置,将扫描存档文件。
如果禁用此设置,则不会扫描存档文件。 但是,在定向扫描期间始终扫描存档。
注意
启用 篡改保护 后,不会应用对此设置的更改。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许。 关闭对存档文件的扫描。 |
| 1 (默认) | 允许。 扫描存档文件。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Scan_DisableArchiveScanning |
| 友好名称 | 扫描存档文件 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>扫描 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Scan |
| 注册表值名称 | DisableArchiveScanning |
| ADMX 文件名 | WindowsDefender.admx |
AllowBehaviorMonitoring
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowBehaviorMonitoring
此策略设置允许配置行为监视。
如果启用或未配置此设置,则会启用行为监视。
如果禁用此设置,将禁用行为监视。
注意
启用 篡改保护 后,不会应用对此设置的更改。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许。 关闭行为监视。 |
| 1 (默认) | 允许。 启用实时行为监视。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | RealtimeProtection_DisableBehaviorMonitoring |
| 友好名称 | 开启行为监视 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>实时保护 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\实时保护 |
| 注册表值名称 | DisableBehaviorMonitoring |
| ADMX 文件名 | WindowsDefender.admx |
AllowCloudProtection
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowCloudProtection
此策略设置允许你加入 MICROSOFT MAPS。 MICROSOFT MAPS 是一个在线社区,可帮助你选择响应潜在威胁的方式。 社区还有助于阻止新的恶意软件感染的传播。
可以选择发送有关检测到的软件的基本信息或其他信息。 其他信息可帮助Microsoft创建新的安全智能,并帮助它保护计算机。 如果删除了有害软件,此信息可以包括在计算机上检测到的项目的位置等内容。 将自动收集和发送信息。 在某些情况下,个人信息可能会无意中发送到Microsoft。 但是,Microsoft不会使用此信息来识别你身份或联系你。
可能的选项包括:
(0x0) 禁用 (默认) (0x1) 基本成员身份 (0x2) 高级成员身份。
基本成员身份将向Microsoft发送有关已检测到的软件的基本信息,包括软件来自何处、应用或自动应用的操作以及操作是否成功。
除基本信息外,高级成员身份还会向Microsoft发送有关恶意软件、间谍软件和可能不需要的软件的详细信息,包括软件的位置、文件名、软件如何运行以及它如何影响计算机。
如果启用此设置,则将使用指定的成员身份加入 Microsoft MAPS。
如果禁用或未配置此设置,则不会加入MICROSOFT MAPS。
在 Windows 10 中,基本成员身份不再可用,因此将值设置为 1 或 2 会将设备注册到高级成员身份。
注意
启用 篡改保护 后,不会应用对此设置的更改。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许。 关闭Microsoft Active Protection 服务。 |
| 1 (默认) | 允许。 打开Microsoft Active Protection 服务。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | SpynetReporting |
| 友好名称 | 加入 Microsoft MAPS |
| 元素名称 | 加入Microsoft MAPS。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒 > MAPS |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Spynet |
| ADMX 文件名 | WindowsDefender.admx |
AllowEmailScanning
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowEmailScanning
此策略设置允许配置电子邮件扫描。 启用电子邮件扫描后,引擎将根据其特定格式分析邮箱和邮件文件,以便分析邮件正文和附件。 目前支持多种电子邮件格式,例如:pst (Outlook) 、dbx、mbx、mime (Outlook Express) 、binhex (Mac) 。 新式电子邮件客户端不支持Email扫描。
如果启用此设置,则会启用电子邮件扫描。
如果禁用或未配置此设置,将禁用电子邮件扫描。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 不允许。 关闭电子邮件扫描。 |
| 1 | 允许。 启用电子邮件扫描。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Scan_DisableEmailScanning |
| 友好名称 | 打开电子邮件扫描 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>扫描 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Scan |
| 注册表值名称 | DisableEmailScanning |
| ADMX 文件名 | WindowsDefender.admx |
AllowFullScanOnMappedNetworkDrives
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanOnMappedNetworkDrives
此策略设置允许配置扫描映射的网络驱动器。
如果启用此设置,将扫描映射的网络驱动器。
如果禁用或未配置此设置,则不会扫描映射的网络驱动器。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 不允许。 在映射的网络驱动器上禁用扫描。 |
| 1 | 允许。 扫描映射的网络驱动器。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Scan_DisableScanningMappedNetworkDrivesForFullScan |
| 友好名称 | 在映射的网络驱动器上运行完全扫描 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>扫描 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Scan |
| 注册表值名称 | DisableScanningMappedNetworkDrivesForFullScan |
| ADMX 文件名 | WindowsDefender.admx |
AllowFullScanRemovableDriveScanning
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanRemovableDriveScanning
通过此策略设置,可以管理在运行完全扫描时是否扫描可移动驱动器(如 U 盘)内容中的恶意软件和不需要的软件。
如果启用此设置,则会在任何类型的扫描期间扫描可移动驱动器。
如果禁用或未配置此设置,则完全扫描期间不会扫描可移动驱动器。 在快速扫描和自定义扫描期间,仍可能扫描可移动驱动器。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 不允许。 关闭可移动驱动器上的扫描。 |
| 1 | 允许。 扫描可移动驱动器。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Scan_DisableRemovableDriveScanning |
| 友好名称 | 扫描可移动驱动器 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>扫描 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Scan |
| 注册表值名称 | DisableRemovableDriveScanning |
| ADMX 文件名 | WindowsDefender.admx |
AllowIntrusionPreventionSystem
注意
此策略已弃用,可能会在将来的版本中删除。
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIntrusionPreventionSystem
允许或禁止 Windows Defender 入侵防护功能。
注意
启用 篡改保护 后,不会应用对此设置的更改。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许。 |
| 1 (默认) | 允许。 |
AllowIOAVProtection
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIOAVProtection
此策略设置允许你为所有下载的文件和附件配置扫描。
如果启用或未配置此设置,将启用扫描所有下载的文件和附件。
如果禁用此设置,将禁用扫描所有下载的文件和附件。
注意
启用 篡改保护 后,不会应用对此设置的更改。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许。 |
| 1 (默认) | 允许。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | RealtimeProtection_DisableIOAVProtection |
| 友好名称 | 扫描所有下载的文件和附件 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>实时保护 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\实时保护 |
| 注册表值名称 | DisableIOAVProtection |
| ADMX 文件名 | WindowsDefender.admx |
AllowOnAccessProtection
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowOnAccessProtection
通过此策略设置,可以配置文件和程序活动的监视。
如果启用或未配置此设置,将启用对文件和程序活动的监视。
如果禁用此设置,将禁用对文件和程序活动的监视。
注意
启用 篡改保护 后,不会应用对此设置的更改。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许。 |
| 1 (默认) | 允许。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | RealtimeProtection_DisableOnAccessProtection |
| 友好名称 | 监视计算机上的文件和程序活动 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>实时保护 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\实时保护 |
| 注册表值名称 | DisableOnAccessProtection |
| ADMX 文件名 | WindowsDefender.admx |
AllowRealtimeMonitoring
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowRealtimeMonitoring
允许或禁止 Windows Defender 实时监视功能。
注意
启用 篡改保护 后,不会应用对此设置的更改。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许。 关闭实时监视服务。 |
| 1 (默认) | 允许。 打开并运行实时监视服务。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | DisableRealtimeMonitoring |
| 友好名称 | 关闭实时保护。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>实时保护 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\实时保护 |
| 注册表值名称 | DisableRealtimeMonitoring |
| ADMX 文件名 | WindowsDefender.admx |
AllowScanningNetworkFiles
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScanningNetworkFiles
此策略设置允许配置计划扫描和按需扫描, (手动启动) 扫描通过网络访问的文件。 建议启用此设置。
注意
实时保护 (访问) 扫描不受此策略的影响。
- 如果启用此设置或未配置此设置,将扫描网络文件。
- 如果禁用此设置,则不会扫描网络文件。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 不允许。 关闭网络文件的扫描。 |
| 1 | 允许。 扫描网络文件。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Scan_DisableScanningNetworkFiles |
| 友好名称 | 配置网络文件的扫描 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>扫描 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Scan |
| 注册表值名称 | DisableScanningNetworkFiles |
| ADMX 文件名 | WindowsDefender.admx |
AllowScriptScanning
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScriptScanning
允许或禁止 Windows Defender 脚本扫描功能。
注意
启用 篡改保护 后,不会应用对此设置的更改。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许。 |
| 1 (默认) | 允许。 |
AllowUserUIAccess
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowUserUIAccess
使用此策略设置,可以配置是否向用户显示 AM UI。
如果启用此设置,则 AM UI 将不对用户可用。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许。 阻止用户访问 UI。 |
| 1 (默认) | 允许。 允许用户访问 UI。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | UX_Configuration_UILockdown |
| 友好名称 | 启用无外设 UI 模式 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>客户端接口 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\UX Configuration |
| 注册表值名称 | UILockdown |
| ADMX 文件名 | WindowsDefender.admx |
AttackSurfaceReductionOnlyExclusions
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
从攻击面减少 (ASR) 规则中排除文件和路径。
启用:
在“选项”部分中指定应从 ASR 规则中排除的文件夹或文件和资源。
在新行上以名称/值对的形式输入每个规则:
- 名称列:输入文件夹路径或完全限定的资源名称。 例如,“C:\Windows”将排除该目录中的所有文件。 “C:\Windows\App.exe”将仅排除该特定文件夹中的特定文件
- 值列:为每个项目输入“0”。
禁用:
不会对 ASR 规则应用排除项。
未配置:
与 Disabled 相同。
可以在配置攻击面减少规则 GP 设置中配置 ASR 规则。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 列表 (分隔符: |) |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | ExploitGuard_ASR_ASROnlyExclusions |
| 友好名称 | 从攻击面减少规则中排除文件和路径 |
| 元素名称 | ASR 规则中的排除项。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>Microsoft Defender攻击防护>攻击面减少 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR |
| ADMX 文件名 | WindowsDefender.admx |
AttackSurfaceReductionRules
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
设置每个攻击面减少 (ASR) 规则的状态。
启用此设置后,可以在“选项”部分将每个规则设置为以下内容:
- 阻止:将应用规则
- 审核模式:如果规则通常会导致事件,则会 (记录该规则,尽管该规则实际上不会应用)
- 关闭:不会应用规则
- 未配置:使用默认值启用规则
- 警告:将应用规则,最终用户可以选择绕过阻止。
除非禁用 ASR 规则,否则为未配置的 ASR 规则收集审核事件的子样本。
启用:
在此设置的“选项”部分下指定每个 ASR 规则的状态。
在新行上以名称/值对的形式输入每个规则:
- 名称列:输入有效的 ASR 规则 ID
- 值列:输入与要为关联规则指定的状态相关的状态 ID。
值列下允许使用以下状态 ID:
- 1 (块)
- 0 (关闭)
- 2 (审核)
- 5 (未配置)
- 6 (警告)
示例:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxx 0 xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxx 1 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 2
禁用:
不会配置任何 ASR 规则。
未配置:
与 Disabled 相同。
可以在“从攻击面减少规则中排除文件和路径”GP 设置中排除文件夹或文件。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | ExploitGuard_ASR_Rules |
| 友好名称 | 配置攻击面减少规则 |
| 元素名称 | 设置每个 ASR 规则的状态。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>Microsoft Defender攻击防护>攻击面减少 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR |
| ADMX 文件名 | WindowsDefender.admx |
AvgCPULoadFactor
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/AvgCPULoadFactor
通过此策略设置,可以配置扫描期间允许的最大 CPU 使用率百分比。 此设置的有效值为 5 到 100 整数表示的百分比。 值为 0 表示不应限制 CPU 使用率。 默认值为 50。
如果启用此设置,CPU 使用率不会超过指定的百分比。
如果禁用或未配置此设置,则 CPU 使用率不会超过默认值。
注意
如果启用以下两种策略,Windows 将忽略 AvgCPULoadFactor 的值:
- ScanOnlyIfIdle:指示产品仅在计算机未使用时进行扫描。
- DisableCpuThrottleOnIdleScans:指示产品在空闲扫描上禁用 CPU 限制。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [0-100] |
| 默认值 | 50 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Scan_AvgCPULoadFactor |
| 友好名称 | 指定扫描期间的 CPU 使用率最大百分比 |
| 元素名称 | 指定扫描期间 CPU 使用率的最大百分比。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>扫描 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Scan |
| ADMX 文件名 | WindowsDefender.admx |
CheckForSignaturesBeforeRunningScan
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/CheckForSignaturesBeforeRunningScan
使用此策略设置,可以管理在运行扫描之前是否会发生针对新病毒和间谍软件安全智能的检查。
此设置适用于计划扫描,但它对从用户界面手动启动的扫描或使用“mpcmdrun -Scan”从命令行启动的扫描没有任何影响。
如果启用此设置,则会在运行扫描之前检查新的安全智能。
如果禁用此设置或未配置此设置,扫描将开始使用现有的安全智能。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 已禁用。 |
| 1 | 已启用。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | CheckForSignaturesBeforeRunningScan |
| 友好名称 | 运行计划扫描之前,检查是否有最新的病毒和间谍软件安全智能 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>扫描 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Scan |
| ADMX 文件名 | WindowsDefender.admx |
CloudBlockLevel
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/CloudBlockLevel
此策略设置确定防病毒Microsoft Defender阻止和扫描可疑文件的积极程度。
如果此设置处于打开状态,Microsoft Defender防病毒在识别要阻止和扫描的可疑文件时会更具攻击性;否则,它将不那么主动,因此阻止和扫描的频率较低。
有关支持的特定值的详细信息,请参阅 Microsoft Defender 防病毒文档站点。
注意
此功能需要启用“联接Microsoft MAPS”设置才能正常运行。
可能的选项包括:
(0x0) 默认Microsoft Defender防病毒阻止级别 (0x1) 中等Microsoft Defender防病毒阻止级别,仅对高置信度检测 (0x2) 高阻止级别提供判决 - 主动阻止未知项,同时优化客户端性能 (更大的误报几率) (0x4) 高阻止级别 - 主动阻止未知和应用其他保护措施, (可能会影响客户端性能) (0x6) 零容忍阻止级别 - 阻止所有未知的可执行文件。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | NotConfigured。 |
| 2 | 高。 |
| 4 | HighPlus。 |
| 6 | ZeroTolerance。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | MpEngine_MpCloudBlockLevel |
| 友好名称 | 选择云保护级别 |
| 元素名称 | 选择云阻止级别。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒 > MpEngine |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\MpEngine |
| ADMX 文件名 | WindowsDefender.admx |
CloudExtendedTimeout
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/CloudExtendedTimeout
此功能允许Microsoft Defender防病毒阻止可疑文件长达 60 秒,并在云中扫描它以确保其安全。
典型的云检查超时为 10 秒。 若要启用扩展云检查功能,请指定延长时间(以秒为单位),最多再指定 50 秒。
例如,如果所需的超时为 60 秒,请在此设置中指定 50 秒,这将启用扩展的云检查功能,并将总时间提高到 60 秒。
注意
此功能依赖于其他三个 MAPS 设置 - “配置'首次看到时阻止'功能;”加入Microsoft MAPS“;“需要进一步分析时发送文件样本”都需要启用。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [0-50] |
| 默认值 | 0 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | MpEngine_MpBafsExtendedTimeout |
| 友好名称 | 配置扩展云检查 |
| 元素名称 | 指定扩展云检查时间(秒)。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒 > MpEngine |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\MpEngine |
| ADMX 文件名 | WindowsDefender.admx |
ControlledFolderAccessAllowedApplications
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications
添加受控制的文件夹访问权限应被视为“受信任”的其他应用程序。
允许这些应用程序修改或删除受控文件夹访问文件夹中的文件。
Microsoft Defender防病毒自动确定应信任哪些应用程序。 可以将此设置配置为添加其他应用程序。
启用:
在“选项”部分指定其他允许的应用程序。
禁用:
不会将其他应用程序添加到受信任列表。
未配置:
与 Disabled 相同。
可以在“配置受控文件夹访问 GP”设置中启用受控文件夹访问。
默认系统文件夹会自动受到保护,但你可以在配置受保护的文件夹 GP 设置中添加文件夹。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 列表 (分隔符: |) |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | ExploitGuard_ControlledFolderAccess_AllowedApplications |
| 友好名称 | 配置允许的应用程序 |
| 元素名称 | 输入应受信任的应用程序。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>Microsoft Defender Exploit Guard > 受控文件夹访问 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controled Folder Access |
| ADMX 文件名 | WindowsDefender.admx |
ControlledFolderAccessProtectedFolders
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessProtectedFolders
指定应受受控文件夹访问功能保护的其他文件夹。
不受信任的应用程序无法修改或删除这些文件夹中的文件。
默认系统文件夹会自动受到保护。 可以将此设置配置为添加其他文件夹。
Windows 安全中心中显示了受保护的默认系统文件夹列表。
启用:
在“选项”部分指定应保护的其他文件夹。
禁用:
不会保护其他文件夹。
未配置:
与 Disabled 相同。
可以在“配置受控文件夹访问 GP”设置中启用受控文件夹访问。
Microsoft Defender防病毒会自动确定哪些应用程序可以信任。 可以在“配置允许的应用程序”GP 设置中添加其他受信任的应用程序。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 列表 (分隔符: |) |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | ExploitGuard_ControlledFolderAccess_ProtectedFolders |
| 友好名称 | 配置受保护的文件夹 |
| 元素名称 | 输入应保护的文件夹。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>Microsoft Defender Exploit Guard > 受控文件夹访问 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controled Folder Access |
| ADMX 文件名 | WindowsDefender.admx |
DaysToRetainCleanedMalware
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/DaysToRetainCleanedMalware
此策略设置定义项目在删除之前应在“隔离”文件夹中保留的天数。
如果启用此设置,则会在指定的天数后从“隔离区”文件夹中删除项目。
如果禁用或未配置此设置,项目将无限期保留在隔离文件夹中,并且不会自动删除。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [0-90] |
| 默认值 | 0 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Quarantine_PurgeItemsAfterDelay |
| 友好名称 | 配置从隔离文件夹中删除项目 |
| 元素名称 | 配置从“隔离”文件夹中删除项目。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>隔离 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Quarantine |
| ADMX 文件名 | WindowsDefender.admx |
DisableCatchupFullScan
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupFullScan
此策略设置允许为计划的完整扫描配置追赶扫描。 跟进扫描是由于错过了定期计划的扫描而启动的扫描。 通常,由于计算机在计划时间关闭,因此会错过这些计划的扫描。
如果禁用或未配置此设置,则会打开计划的完整扫描的追赶扫描。 如果计算机在连续两次计划扫描中处于脱机状态,则下次有人登录计算机时,将启动跟踪扫描。 如果未配置计划扫描,则不会运行追赶扫描。
如果启用此设置,将禁用计划的完整扫描的追赶扫描。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 已启用。 |
| 1 (默认) | 已禁用。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Scan_DisableCatchupFullScan |
| 友好名称 | 启用追赶完全扫描 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>扫描 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Scan |
| ADMX 文件名 | WindowsDefender.admx |
DisableCatchupQuickScan
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupQuickScan
通过此策略设置,可为计划的快速扫描配置追赶扫描。 跟进扫描是由于错过了定期计划的扫描而启动的扫描。 通常,由于计算机在计划时间关闭,因此会错过这些计划的扫描。
如果禁用或未配置此设置,则会打开计划快速扫描的追赶扫描。 如果计算机在连续两次计划扫描中处于脱机状态,则下次有人登录计算机时,将启动跟踪扫描。 如果未配置计划扫描,则不会运行追赶扫描。
如果启用此设置,将禁用计划的快速扫描的追赶扫描。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 已启用。 |
| 1 (默认) | 已禁用。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Scan_DisableCatchupQuickScan |
| 友好名称 | 启用赶超快速扫描 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>扫描 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Scan |
| ADMX 文件名 | WindowsDefender.admx |
EnableControlledFolderAccess
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableControlledFolderAccess
为不受信任的应用程序启用或禁用受控文件夹访问。 可以选择阻止、审核或允许不受信任的应用尝试,以便:
- 修改或删除受保护文件夹中的文件,例如 Documents 文件夹
- 写入磁盘扇区。
还可以选择仅阻止或审核对磁盘扇区的写入,同时仍允许修改或删除受保护文件夹中的文件。
Microsoft Defender防病毒会自动确定哪些应用程序可以信任。 可以在“配置允许的应用程序”GP 设置中添加其他受信任的应用程序。
默认系统文件夹是自动保护的,但你可以在配置受保护的文件夹 GP 设置中添加文件夹。
块:
将阻止以下项:
- 不受信任的应用尝试修改或删除受保护文件夹中的文件
- 不受信任的应用尝试写入磁盘扇区。
Windows 事件日志将在“应用程序和服务日志 > ”下记录这些块, > Microsoft Windows > Defender > 操作 > ID 1123。
禁用:
不会阻止以下内容,并且将允许运行:
- 不受信任的应用尝试修改或删除受保护文件夹中的文件
- 不受信任的应用尝试写入磁盘扇区。
这些尝试不会记录在 Windows 事件日志中。
审核模式:
不会阻止以下内容,并且将允许运行:
- 不受信任的应用尝试修改或删除受保护文件夹中的文件
- 不受信任的应用尝试写入磁盘扇区。
Windows 事件日志将在“应用程序和服务日志 > ”下记录这些尝试, > Microsoft Windows > Defender > 操作 > ID 1124。
仅阻止磁盘修改:
将阻止以下项:
- 不受信任的应用尝试写入磁盘扇区。
Windows 事件日志将在“应用程序和服务日志 > ”下记录这些尝试,Microsoft > Windows > Defender > 操作 > ID 1123。
不会阻止以下内容,并且将允许运行:
- 不受信任的应用尝试修改或删除受保护文件夹中的文件。
这些尝试不会记录在 Windows 事件日志中。
仅审核磁盘修改:
不会阻止以下内容,并且将允许运行:
- 不受信任的应用尝试写入磁盘扇区
- 不受信任的应用尝试修改或删除受保护文件夹中的文件。
只有对受保护磁盘扇区进行写入的尝试才会记录在 Windows 事件日志 (“应用程序和服务日志 > ”下, > Microsoft Windows > Defender > 操作 > ID 1124) 。
不会记录修改或删除受保护文件夹中的文件的尝试。
未配置:
与 Disabled 相同。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 已禁用。 |
| 1 | 已启用。 |
| 2 | 审核模式。 |
| 3 | 仅阻止磁盘修改。 |
| 4 | 仅审核磁盘修改。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | ExploitGuard_ControlledFolderAccess_EnableControlledFolderAccess |
| 友好名称 | 配置受控文件夹访问权限 |
| 元素名称 | 配置保护我的文件夹功能。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>Microsoft Defender Exploit Guard > 受控文件夹访问 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controled Folder Access |
| ADMX 文件名 | WindowsDefender.admx |
EnableLowCPUPriority
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableLowCPUPriority
此策略设置允许为计划扫描启用或禁用低 CPU 优先级。
如果启用此设置,则计划扫描期间将使用低 CPU 优先级。
如果禁用或未配置此设置,则不会更改计划扫描的 CPU 优先级。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 已禁用。 |
| 1 | 已启用。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Scan_LowCpuPriority |
| 友好名称 | 为计划扫描配置低 CPU 优先级 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>扫描 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Scan |
| ADMX 文件名 | WindowsDefender.admx |
EnableNetworkProtection
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableNetworkProtection
启用或禁用Microsoft Defender Exploit Guard 网络保护,以防止员工使用任何应用程序访问可能托管网络钓鱼诈骗、攻击托管网站和其他恶意内容的危险域。
启用:
在“选项”部分指定模式:
-阻止:用户和应用程序无法访问危险域 -审核模式:用户和应用程序可以连接到危险域,但是,如果此功能设置为“阻止”,则事件日志中将有事件记录。
禁用:
不会阻止用户和应用程序连接到危险域。
未配置:
与 Disabled 相同。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 已禁用。 |
| 1 | 已启用 (块模式) 。 |
| 2 | 已启用 (审核模式) 。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | ExploitGuard_EnableNetworkProtection |
| 友好名称 | 防止用户和应用访问危险网站 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>Microsoft Defender Exploit Guard > 网络保护 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection |
| ADMX 文件名 | WindowsDefender.admx |
ExcludedExtensions
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedExtensions
允许管理员指定扫描期间要忽略的文件类型扩展的列表。 列表中的每种文件类型都必须用 |分隔。 例如,lib|obj。
注意
若要防止对排除项进行未经授权的更改,请应用篡改防护。 仅当满足 某些条件 时,排除项的篡改保护才有效。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 列表 (分隔符: |) |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Exclusions_Extensions |
| 友好名称 | 扩展名排除项 |
| 元素名称 | 扩展排除项。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>排除项 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Exclusions |
| ADMX 文件名 | WindowsDefender.admx |
ExcludedPaths
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedPaths
允许管理员指定要在扫描期间忽略的目录路径列表。 列表中的每个路径都必须用 |分隔。 例如,C:\Example|C:\Example1。
注意
若要防止对排除项进行未经授权的更改,请应用篡改防护。 仅当满足 某些条件 时,排除项的篡改保护才有效。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 列表 (分隔符: |) |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Exclusions_Paths |
| 友好名称 | 路径排除项 |
| 元素名称 | 路径排除。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>排除项 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Exclusions |
| ADMX 文件名 | WindowsDefender.admx |
ExcludedProcesses
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedProcesses
允许管理员指定进程在扫描期间要忽略的文件列表。
重要提示
进程本身不会从扫描中排除,但可以使用 Defender/ExcludedPaths 策略来排除其路径。 每个文件类型都必须用 |分隔。 例如,C:\Example。 exe|C:\Example1.exe。
注意
若要防止对排除项进行未经授权的更改,请应用篡改防护。 仅当满足 某些条件 时,排除项的篡改保护才有效。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 列表 (分隔符: |) |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Exclusions_Processes |
| 友好名称 | 进程排除项 |
| 元素名称 | 进程排除。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>排除项 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Exclusions |
| ADMX 文件名 | WindowsDefender.admx |
PUAProtection
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/PUAProtection
启用或禁用对可能不需要的应用程序的检测。 当下载可能不需要的软件或尝试在计算机上安装自身时,可以选择阻止、审核或允许。
启用:
在“选项”部分指定模式:
-阻止:将阻止可能不需要的软件。
-审核模式:不会阻止可能不需要的软件,但如果此功能设置为“阻止”,则会在事件日志中显示事件记录。
禁用:
不会阻止可能不需要的软件。
未配置:
与 Disabled 相同。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | PUA 保护关闭。 Windows Defender 不会防范可能不需要的应用程序。 |
| 1 | PUA 保护打开。 检测到的项目被阻止。 它们将与其他威胁一起出现在历史记录中。 |
| 2 | 审核模式。 Windows Defender 将检测可能不需要的应用程序,但不执行任何操作。 可以通过在事件查看器中搜索 Windows Defender 创建的事件来查看有关 Windows Defender 将对其执行操作的应用程序的信息。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Root_PUAProtection |
| 友好名称 | 为可能不需要的应用程序配置检测 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender |
| ADMX 文件名 | WindowsDefender.admx |
RealTimeScanDirection
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/RealTimeScanDirection
使用此策略设置,可以配置对传入和传出文件的监视,而无需完全关闭监视。 建议在存在大量传入和传出文件活动但出于性能原因需要针对特定扫描方向禁用扫描的服务器上使用。 应根据服务器角色评估相应的配置。
请注意,此配置仅适用于 NTFS 卷。 对于任何其他文件系统类型,将在这些卷上提供文件和程序活动的完整监视。
此设置的选项互斥:
0 = 扫描传入和传出文件 (默认) 1 = 仅扫描传入文件 2 = 仅扫描传出文件。
任何其他值(如果不存在该值)将解析为默认 (0) 。
如果启用此设置,则将启用指定的监视类型。
如果禁用或未配置此设置,将启用对传入和传出文件的监视。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | (双向) 监视所有文件。 |
| 1 | 监视传入的文件。 |
| 2 | 监视传出文件。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | RealtimeProtection_RealtimeScanDirection |
| 友好名称 | 配置对传入和传出文件及程序活动的监视 |
| 元素名称 | 配置对传入和传出文件和程序活动的监视。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>实时保护 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\实时保护 |
| ADMX 文件名 | WindowsDefender.admx |
ScanParameter
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ScanParameter
此策略设置允许指定在计划扫描期间使用的扫描类型。 扫描类型选项包括:
1 = 快速扫描 (默认) 2 = 完全扫描。
如果启用此设置,扫描类型将设置为指定的值。
如果禁用或未配置此设置,将使用默认扫描类型。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 1 (默认) | 快速扫描。 |
| 2 | 完全扫描。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Scan_ScanParameters |
| 友好名称 | 指定用于计划扫描的扫描类型 |
| 元素名称 | 指定要用于计划扫描的扫描类型。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>扫描 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Scan |
| ADMX 文件名 | WindowsDefender.admx |
ScheduleQuickScanTime
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleQuickScanTime
使用此策略设置,可以指定执行每日快速扫描的时间。 时间值表示为午夜 (00:00) 的分钟数。 例如,120 (0x78) 相当于凌晨 02:00。 默认情况下,此设置设置为“禁用”。 计划基于正在执行扫描的计算机上的本地时间。
如果启用此设置,则每日快速扫描将在指定的时间运行。
如果禁用或未配置此设置,将不会运行此配置控制的每日快速扫描。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [0-1380] |
| 默认值 | 120 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Scan_ScheduleQuickScantime |
| 友好名称 | 指定每日快速扫描的时间 |
| 元素名称 | 指定每日快速扫描的时间。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>扫描 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Scan |
| ADMX 文件名 | WindowsDefender.admx |
ScheduleScanDay
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanDay
此策略设置允许指定执行计划扫描的星期几。 还可以将扫描配置为每天运行或根本不运行。
可以使用以下序号值配置此设置:
(0x0) 每天 (0x1) 星期一 (0x2) 星期一 (0x3) 星期二 (0x4) 星期三 (0x5) 星期四 (0x6) 星期五 (0x7) 星期六 (0x8) 从不 (默认)
如果启用此设置,计划扫描将以指定的频率运行。
如果禁用或未配置此设置,计划扫描将以默认频率运行。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 每天。 |
| 1 | 星期日。 |
| 2 | 星期一。 |
| 3 | 星期二。 |
| 4 | 星期三。 |
| 5 | 星期四。 |
| 6 | 星期五。 |
| 7 | 星期六。 |
| 8 | 无计划扫描。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Scan_ScheduleDay |
| 友好名称 | 指定一周中运行计划扫描的时间 |
| 元素名称 | 指定要运行计划扫描的星期几。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>扫描 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Scan |
| ADMX 文件名 | WindowsDefender.admx |
ScheduleScanTime
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanTime
通过此策略设置,可以指定执行计划扫描的时间。 时间值表示为午夜 (00:00) 的分钟数。 例如,120 (0x78) 相当于凌晨 02:00。 默认情况下,此设置设置为凌晨 2:00 的时间值。 计划基于正在执行扫描的计算机上的本地时间。
如果启用此设置,计划扫描将在指定的一天中运行。
如果禁用或未配置此设置,计划扫描将在默认时间运行。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [0-1380] |
| 默认值 | 120 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Scan_ScheduleTime |
| 友好名称 | 指定一天中运行计划扫描的时间 |
| 元素名称 | 指定运行计划扫描的一天中的时间。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>扫描 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Scan |
| ADMX 文件名 | WindowsDefender.admx |
SecurityIntelligenceLocation
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1903 [10.0.18362] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/SecurityIntelligenceLocation
通过此策略设置,可以定义 VDI 配置的计算机的安全智能位置。
如果禁用或未配置此设置,将从默认本地源引用安全智能。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | SignatureUpdate_SharedSignaturesLocation |
| 友好名称 | 定义 VDI 客户端的安全智能位置。 |
| 元素名称 | 定义用于在虚拟环境中下载安全智能更新的文件共享。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>安全智能汇报 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Signature 汇报 |
| ADMX 文件名 | WindowsDefender.admx |
SignatureUpdateFallbackOrder
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder
通过此策略设置,可以定义应联系不同安全智能更新源的顺序。 此设置的值应作为管道分隔字符串输入,以便按顺序枚举安全智能更新源。 可能的值为:“InternalDefinitionUpdateServer”、“MicrosoftUpdateServer”、“MMPC”和“FileShares”。
例如: { InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC }
如果启用此设置,则将按指定的顺序联系安全智能更新源。 从一个指定源成功下载安全智能更新后,将不会联系列表中的剩余源。
如果禁用或未配置此设置,则会按默认顺序联系安全智能更新源。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 列表 (分隔符: |) |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | SignatureUpdate_FallbackOrder |
| 友好名称 | 定义下载安全智能更新的源顺序 |
| 元素名称 | 定义下载安全智能更新的源顺序。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>安全智能汇报 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Signature 汇报 |
| ADMX 文件名 | WindowsDefender.admx |
SignatureUpdateFileSharesSources
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFileSharesSources
此策略设置允许配置 UNC 文件共享源以下载安全智能更新。 将按指定的顺序联系源。 此设置的值应输入为枚举安全智能更新源的管道分隔字符串。 例如:“{\\unc1 | \\unc2 }”。 默认情况下,列表为空。
如果启用此设置,则会联系指定的源以获取安全智能更新。 从一个指定源成功下载安全智能更新后,将不会联系列表中的剩余源。
如果禁用或未配置此设置,则默认情况下,列表将保持为空,并且不会联系任何源。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 列表 (分隔符: |) |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | SignatureUpdate_DefinitionUpdateFileSharesSources |
| 友好名称 | 定义用于下载安全智能更新的文件共享 |
| 元素名称 | 定义用于下载安全智能更新的文件共享。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>安全智能汇报 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Signature 汇报 |
| ADMX 文件名 | WindowsDefender.admx |
SignatureUpdateInterval
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateInterval
此策略设置允许指定检查安全智能更新的时间间隔。 时间值表示为更新检查之间的小时数。 有效值范围从每小时 1 () 到每天) 一次 24 (。
如果启用此设置,将按指定的时间间隔检查安全智能更新。
如果禁用或未配置此设置,将按默认间隔检查安全智能更新。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [0-24] |
| 默认值 | 8 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | SignatureUpdate_SignatureUpdateInterval |
| 友好名称 | 指定要为安全智能更新检查的间隔 |
| 元素名称 | 指定要为安全智能更新检查的间隔。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>安全智能汇报 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Signature 汇报 |
| ADMX 文件名 | WindowsDefender.admx |
SubmitSamplesConsent
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/SubmitSamplesConsent
此策略设置在选择加入 MAPS 遥测时配置示例提交的行为。
可能的选项包括:
(0x0) 始终提示 (0x1) 自动发送安全示例 (0x2) 从不自动发送 (0x3) 发送所有样本。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 始终提示。 |
| 1 (默认) | 自动发送安全示例。 |
| 2 | 永不发送。 |
| 3 | 自动发送所有示例。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | SubmitSamplesConsent |
| 友好名称 | 需要进行进一步分析时发送文件样本 |
| 元素名称 | 需要进一步分析时发送文件样本。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒 > MAPS |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Spynet |
| ADMX 文件名 | WindowsDefender.admx |
ThreatSeverityDefaultAction
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Defender/ThreatSeverityDefaultAction
使用此策略设置,可以自定义将针对每个威胁警报级别执行的自动修正操作。 应在此设置的“选项”下添加威胁警报级别。 每个条目都必须作为名称值对列出。 名称定义威胁警报级别。 值包含应采取的修正操作的操作 ID。
有效的威胁警报级别为:
1 = 低 2 = 中 4 = 高 5 = 严重。
有效的修正操作值为:
2 = 隔离 3 = 删除 6 = 忽略。
注意
启用 篡改保护 后,不会应用对此设置的更改。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | Threats_ThreatSeverityDefaultAction |
| 友好名称 | 指定检测到威胁时不应执行默认操作的威胁警报级别 |
| 元素名称 | 指定检测到时不应采取默认操作的威胁警报级别。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Microsoft Defender防病毒>威胁 |
| 注册表项名称 | Software\Policies\Microsoft\Windows Defender\Threats |
| ADMX 文件名 | WindowsDefender.admx |