策略 CSP - ADMX_MicrosoftDefenderAntivirus

项目
01/18/2024

提示

此 CSP 包含 ADMX 支持的策略，这些策略需要特殊的 SyncML 格式才能启用或禁用。必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。有关详细信息，请参阅了解 ADMX 支持的策略。

SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码，可以使用各种联机编码器。若要避免对有效负载进行编码，可以使用 CDATA（如果 MDM 支持）。有关详细信息，请参阅 CDATA 节。

AllowFastServiceStartup

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/AllowFastServiceStartup

此策略设置控制反恶意软件服务的加载优先级。增加负载优先级将加快服务启动速度，但可能会影响性能。

如果启用或未配置此设置，反恶意软件服务将作为正常优先级任务进行加载。
如果禁用此设置，反恶意软件服务将作为低优先级任务加载。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	AllowFastServiceStartup
友好名称	允许反恶意软件服务以正常优先级启动
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒
注册表项名称	Software\Policies\Microsoft\Windows Defender
注册表值名称	AllowFastServiceStartup
ADMX 文件名	WindowsDefender.admx

DisableAntiSpywareDefender

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/DisableAntiSpywareDefender

此策略设置关闭Microsoft Defender防病毒。

如果启用此策略设置，Microsoft Defender防病毒不会运行，也不会扫描计算机中的恶意软件或其他可能不需要的软件。
如果禁用此策略设置，Microsoft Defender防病毒将运行，而不考虑任何其他已安装的防病毒产品。
如果未配置此策略设置，Windows 将在内部管理防病毒Microsoft Defender。如果安装其他防病毒程序，Windows 会自动禁用Microsoft Defender防病毒。否则，Microsoft Defender防病毒将扫描计算机中的恶意软件和其他可能不需要的软件。

启用或禁用此策略可能会导致意外或不受支持的行为。建议将此策略设置保留为未配置。

注意

启用篡改保护后，不会应用对此设置的更改。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	DisableAntiSpywareDefender
友好名称	关闭Microsoft Defender防病毒
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒
注册表项名称	Software\Policies\Microsoft\Windows Defender
注册表值名称	DisableAntiSpyware
ADMX 文件名	WindowsDefender.admx

DisableAutoExclusions

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/DisableAutoExclusions

允许管理员指定是否应关闭服务器 SKU 的自动排除功能。

禁用 (默认) ：

Microsoft Defender将从扫描中排除预定义的路径列表，以提高性能。

启用：

Microsoft Defender不会从扫描中排除预定义的路径列表。在某些情况下，这可能会影响计算机性能。

未配置：

与 Disabled 相同。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	DisableAutoExclusions
友好名称	关闭自动排除项
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>排除项
注册表项名称	Software\Policies\Microsoft\Windows Defender\Exclusions
注册表值名称	DisableAutoExclusions
ADMX 文件名	WindowsDefender.admx

DisableBlockAtFirstSeen

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/DisableBlockAtFirstSeen

此功能可确保设备在允许运行或访问某些内容之前，通过 Microsoft Active Protection Service (MAPS) 进行实时检查。如果禁用此功能，则不会发生检查，这将降低设备的保护状态。

已启用 - 打开“首次看到时阻止”设置。

已禁用 - 已关闭“首次看到时阻止”设置。

此功能要求按如下所示设置这些组策略设置：

MAPS -> 必须启用“加入 Microsoft MAPS”，否则“首次看到时阻止”功能将不起作用。

MAPS -> “需要进一步分析时发送文件样本”应设置为 1 () 发送安全样本或 3 (发送所有样本) 。设置为 0（“始终提示”）会降低设备的保护状态。设置为 2 (从不发送) 意味着“首次看到时阻止”功能不起作用。

实时保护 -> 必须启用“扫描所有下载的文件和附件”策略，否则“首次看到时阻止”功能将不起作用。

实时保护 -> 不要启用“关闭实时保护”策略，否则“首次看到时阻止”功能将不起作用。

注意

启用篡改保护后，不会应用对此设置的更改。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	DisableBlockAtFirstSeen
友好名称	配置“首次看到时阻止”功能
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒 > MAPS
注册表项名称	Software\Policies\Microsoft\Windows Defender\Spynet
注册表值名称	DisableBlockAtFirstSeen
ADMX 文件名	WindowsDefender.admx

DisableLocalAdminMerge

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/DisableLocalAdminMerge

此策略设置控制本地管理员配置的复杂列表设置是否与组策略设置合并。此设置适用于威胁和排除项等列表。

如果禁用或未配置此设置，组策略和本地管理员配置的首选项设置中定义的唯一项将合并到生成的有效策略中。如果发生冲突，组策略设置将替代首选项设置。
如果启用此设置，则只有由组策略定义的项才会在生成的有效策略中使用。组策略设置将覆盖由本地管理员配置的首选项设置。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	DisableLocalAdminMerge
友好名称	为本地管理员配置列表合并行为
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒
注册表项名称	Software\Policies\Microsoft\Windows Defender
注册表值名称	DisableLocalAdminMerge
ADMX 文件名	WindowsDefender.admx

DisableRealtimeMonitoring

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/DisableRealtimeMonitoring

此策略关闭Microsoft Defender防病毒中的实时保护。

实时保护包括始终扫描、文件和进程行为监视以及启发式扫描。启用实时保护后，Microsoft Defender防病毒会检测恶意软件和可能不需要的软件，这些软件会尝试自行安装或在设备上运行，并提示你对恶意软件检测采取措施。

如果启用此策略设置，则会关闭实时保护。
如果禁用或未配置此策略设置，则会打开实时保护。

注意

启用篡改保护后，不会应用对此设置的更改。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	DisableRealtimeMonitoring
友好名称	关闭实时保护。
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>实时保护
注册表项名称	Software\Policies\Microsoft\Windows Defender\Real-Time Protection
注册表值名称	DisableRealtimeMonitoring
ADMX 文件名	WindowsDefender.admx

DisableRoutinelyTakingAction

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/DisableRoutinelyTakingAction

使用此策略设置，可以配置Microsoft Defender防病毒是否自动对所有检测到的威胁执行操作。要针对特定威胁执行的操作由策略定义操作、用户定义操作和签名定义操作的组合决定。

如果启用此策略设置，Microsoft Defender防病毒不会自动对检测到的威胁执行操作，而是提示用户从可用于每个威胁的操作中进行选择。
如果禁用或未配置此策略设置，Microsoft Defender防病毒会在不可配置的延迟大约五秒后自动对所有检测到的威胁执行操作。

注意

启用篡改保护后，不会应用对此设置的更改。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	DisableRoutinelyTakingAction
友好名称	关闭例行修正
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒
注册表项名称	Software\Policies\Microsoft\Windows Defender
注册表值名称	DisableRoutinelyTakingAction
ADMX 文件名	WindowsDefender.admx

Exclusions_Extensions

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Exclusions_Extensions

此策略设置允许指定应从计划扫描、自定义扫描和实时扫描中排除的文件类型列表。应在此设置的“选项”下添加文件类型。每个条目都必须列为名称值对，其中名称应是文件类型扩展名 (的字符串表示形式，例如“obj”或“lib”) 。不使用该值，建议将其设置为 0。

注意

若要防止对排除项进行未经授权的更改，请应用篡改防护。仅当满足某些条件时，排除项的篡改保护才有效。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Exclusions_Extensions
友好名称	扩展名排除项
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>排除项
注册表项名称	Software\Policies\Microsoft\Windows Defender\Exclusions
注册表值名称	Exclusions_Extensions
ADMX 文件名	WindowsDefender.admx

Exclusions_Paths

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Exclusions_Paths

此策略设置允许对指定路径下的文件或指定的完全限定资源禁用计划的实时扫描。应在此设置的“选项”下添加路径。每个条目都必须作为名称值对列出，其中名称应是路径或完全限定资源名称的字符串表示形式。例如，可将路径定义为“c：\Windows”，以排除此目录中的所有文件。完全限定的资源名称可以定义为：“C:\Windows\App.exe”。不使用该值，建议将其设置为 0。

注意

若要防止对排除项进行未经授权的更改，请应用篡改防护。仅当满足某些条件时，排除项的篡改保护才有效。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Exclusions_Paths
友好名称	路径排除项
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>排除项
注册表项名称	Software\Policies\Microsoft\Windows Defender\Exclusions
注册表值名称	Exclusions_Paths
ADMX 文件名	WindowsDefender.admx

Exclusions_Processes

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Exclusions_Processes

此策略设置允许对任何指定进程打开的任何文件禁用实时扫描。此策略不适用于计划扫描。不会排除进程本身。若要排除进程，请使用路径排除。应在此设置的“选项”下添加进程。每个条目都必须列为名称值对，其中名称应是进程映像路径的字符串表示形式。请注意，只能排除可执行文件。例如，可将进程定义为：“c:\windows\app.exe”。不使用该值，建议将其设置为 0。

注意

若要防止对排除项进行未经授权的更改，请应用篡改防护。仅当满足某些条件时，排除项的篡改保护才有效。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Exclusions_Processes
友好名称	进程排除项
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>排除项
注册表项名称	Software\Policies\Microsoft\Windows Defender\Exclusions
注册表值名称	Exclusions_Processes
ADMX 文件名	WindowsDefender.admx

ExploitGuard_ASR_ASROnlyExclusions

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/ExploitGuard_ASR_ASROnlyExclusions

从攻击面减少 (ASR) 规则中排除文件和路径。

启用：

在“选项”部分中指定应从 ASR 规则中排除的文件夹或文件和资源。

在新行上以名称/值对的形式输入每个规则：

名称列：输入文件夹路径或完全限定的资源名称。例如，“C：\Windows”将排除该目录中的所有文件。 “C:\Windows\App.exe”将仅排除该特定文件夹中的特定文件
值列：为每个项目输入“0”。

禁用：

不会对 ASR 规则应用排除项。

未配置：

与 Disabled 相同。

可以在配置攻击面减少规则 GP 设置中配置 ASR 规则。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	ExploitGuard_ASR_ASROnlyExclusions
友好名称	从攻击面减少规则中排除文件和路径
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>Microsoft Defender攻击防护>攻击面减少
注册表项名称	Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR
注册表值名称	ExploitGuard_ASR_ASROnlyExclusions
ADMX 文件名	WindowsDefender.admx

ExploitGuard_ASR_Rules

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/ExploitGuard_ASR_Rules

设置每个攻击面减少 (ASR) 规则的状态。

启用此设置后，可以在“选项”部分将每个规则设置为以下内容：

阻止：将应用规则
审核模式：如果规则通常会导致事件，则会 (记录该规则，尽管该规则实际上不会应用)
关闭：不会应用规则
未配置：使用默认值启用规则
警告：将应用规则，最终用户可以选择绕过阻止。

除非禁用 ASR 规则，否则为未配置的 ASR 规则收集审核事件的子样本。

启用：

在此设置的“选项”部分下指定每个 ASR 规则的状态。

在新行上以名称/值对的形式输入每个规则：

名称列：输入有效的 ASR 规则 ID
值列：输入与要为关联规则指定的状态相关的状态 ID。

值列下允许使用以下状态 ID：

1 (块)
0 (关闭)
2 (审核)
5 (未配置)
6 (警告)

示例：

xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxx 0 xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxx 1 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 2

禁用：

不会配置任何 ASR 规则。

未配置：

与 Disabled 相同。

可以在“从攻击面减少规则中排除文件和路径”GP 设置中排除文件夹或文件。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	ExploitGuard_ASR_Rules
友好名称	配置攻击面减少规则
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>Microsoft Defender攻击防护>攻击面减少
注册表项名称	Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR
注册表值名称	ExploitGuard_ASR_Rules
ADMX 文件名	WindowsDefender.admx

ExploitGuard_ControlledFolderAccess_AllowedApplications

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/ExploitGuard_ControlledFolderAccess_AllowedApplications

添加受控制的文件夹访问权限应被视为“受信任”的其他应用程序。

允许这些应用程序修改或删除受控文件夹访问文件夹中的文件。

Microsoft Defender防病毒自动确定应信任哪些应用程序。可以将此设置配置为添加其他应用程序。

启用：

在“选项”部分指定其他允许的应用程序。

禁用：

不会将其他应用程序添加到受信任列表。

未配置：

与 Disabled 相同。

可以在“配置受控文件夹访问 GP”设置中启用受控文件夹访问。

默认系统文件夹会自动受到保护，但你可以在配置受保护的文件夹 GP 设置中添加文件夹。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	ExploitGuard_ControlledFolderAccess_AllowedApplications
友好名称	配置允许的应用程序
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>Microsoft Defender Exploit Guard > 受控文件夹访问
注册表项名称	Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controled Folder Access
注册表值名称	ExploitGuard_ControlledFolderAccess_AllowedApplications
ADMX 文件名	WindowsDefender.admx

ExploitGuard_ControlledFolderAccess_ProtectedFolders

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/ExploitGuard_ControlledFolderAccess_ProtectedFolders

指定应受受控文件夹访问功能保护的其他文件夹。

不受信任的应用程序无法修改或删除这些文件夹中的文件。

默认系统文件夹会自动受到保护。可以将此设置配置为添加其他文件夹。

Windows 安全中心中显示了受保护的默认系统文件夹列表。

启用：

在“选项”部分指定应保护的其他文件夹。

禁用：

不会保护其他文件夹。

未配置：

与 Disabled 相同。

可以在“配置受控文件夹访问 GP”设置中启用受控文件夹访问。

Microsoft Defender防病毒会自动确定哪些应用程序可以信任。可以在“配置允许的应用程序”GP 设置中添加其他受信任的应用程序。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	ExploitGuard_ControlledFolderAccess_ProtectedFolders
友好名称	配置受保护的文件夹
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>Microsoft Defender Exploit Guard > 受控文件夹访问
注册表项名称	Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controled Folder Access
注册表值名称	ExploitGuard_ControlledFolderAccess_ProtectedFolders
ADMX 文件名	WindowsDefender.admx

MpEngine_EnableFileHashComputation

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/MpEngine_EnableFileHashComputation

启用或禁用文件哈希计算功能。

启用：

启用此功能后，Microsoft Defender将计算它扫描的文件的哈希值。

禁用：

不计算文件哈希值。

未配置：

与 Disabled 相同。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	MpEngine_EnableFileHashComputation
友好名称	启用文件哈希计算功能
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒 > MpEngine
注册表项名称	Software\Policies\Microsoft\Windows Defender\MpEngine
注册表值名称	EnableFileHashComputation
ADMX 文件名	WindowsDefender.admx

Nis_Consumers_IPS_DisableSignatureRetirement

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Nis_Consumers_IPS_DisableSignatureRetirement

此策略设置允许配置定义停用，以防范已知漏洞攻击的网络保护。定义停用检查，以查看计算机是否具有保护计算机免受特定漏洞攻击所必需的安全更新。如果系统不容易受到定义检测到的漏洞的攻击，则该定义将“停用”。如果给定 protocal 的所有安全智能都已停用，则不再分析该协议。启用此功能有助于提高性能。在具有所有最新安全更新的计算机上，网络保护不会影响网络性能。

如果启用或未配置此设置，则会启用定义停用。
如果禁用此设置，则会禁用定义停用。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Nis_Consumers_IPS_DisableSignatureRetirement
友好名称	打开定义停用
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>网络检查系统
注册表项名称	Software\Policies\Microsoft\Windows Defender\NIS\Consumers\IPS
注册表值名称	DisableSignatureRetirement
ADMX 文件名	WindowsDefender.admx

Nis_Consumers_IPS_sku_differentiation_Signature_Set_Guid

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Nis_Consumers_IPS_sku_differentiation_Signature_Set_Guid

此策略设置定义用于启用网络流量检查的其他定义集。应在此设置的“选项”下添加定义集 GUID。每个条目都必须作为名称值对列出，其中名称应是定义集 GUID 的字符串表示形式。例如，用于启用测试安全智能的定义集 GUID 定义为：“{b54b6ac9-a737-498e-9120-6616ad3bf590}”。不使用该值，建议将其设置为 0。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Nis_Consumers_IPS_sku_differentiation_Signature_Set_Guid
友好名称	为网络流量检查指定其他定义设置
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>网络检查系统
注册表项名称	Software\Policies\Microsoft\Windows Defender\NIS\Consumers\IPS\SKU 区分
注册表值名称	Nis_Consumers_IPS_sku_differentiation_Signature_Set_Guid
ADMX 文件名	WindowsDefender.admx

Nis_DisableProtocolRecognition

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Nis_DisableProtocolRecognition

此策略设置允许配置协议识别，以防范已知漏洞攻击的网络保护。

如果启用或未配置此设置，则会启用协议识别。
如果禁用此设置，则会禁用协议识别。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Nis_DisableProtocolRecognition
友好名称	打开协议识别
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>网络检查系统
注册表项名称	Software\Policies\Microsoft\Windows Defender\NIS
注册表值名称	DisableProtocolRecognition
ADMX 文件名	WindowsDefender.admx

ProxyBypass

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/ProxyBypass

此策略（如果已定义）将阻止反恶意软件在与指定的 IP 地址通信时使用配置的代理服务器。应将地址值输入为有效的 URL。

如果启用此设置，将绕过指定地址的代理服务器。
如果禁用或未配置此设置，则不会绕过指定地址的代理服务器。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	ProxyBypass
友好名称	定义地址以跳过代理服务器
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒
注册表项名称	Software\Policies\Microsoft\Windows Defender
ADMX 文件名	WindowsDefender.admx

ProxyPacUrl

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/ProxyPacUrl

此策略设置定义代理 .pac 文件的 URL，客户端尝试连接网络进行安全智能更新和 MAPS 报告时应使用该 URL。如果代理自动配置失败或未指定代理自动配置，则客户端将回退到备用选项 (，以便) ：

代理服务器 (（如果指定) ）
代理 .pac URL (（如果指定) ）
无
Internet Explorer 代理设置。
自动检测。

如果启用此设置，则代理设置将设置为根据上面指定的顺序使用指定的代理 .pac。
如果禁用或未配置此设置，代理将按照上面指定的顺序跳过此回退步骤。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	ProxyPacUrl
友好名称	为连接到网络定义代理自动配置 (.pac)
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒
注册表项名称	Software\Policies\Microsoft\Windows Defender
ADMX 文件名	WindowsDefender.admx

ProxyServer

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/ProxyServer

通过此策略设置，可以配置在客户端尝试连接到网络以执行安全智能更新和 MAPS 报告时应使用的命名代理。如果命名代理失败或未指定代理，则客户端将回退到备用选项 (，以便) ：

代理服务器 (（如果指定) ）
代理 .pac URL (（如果指定) ）
无
Internet Explorer 代理设置。
自动检测。

如果启用此设置，则代理将根据上面指定的顺序设置为指定的 URL。应使用 https:// 或 https:// 继续 URL。
如果禁用或未配置此设置，代理将按照上面指定的顺序跳过此回退步骤。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	ProxyServer
友好名称	为连接到网络定义代理服务器
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒
注册表项名称	Software\Policies\Microsoft\Windows Defender
ADMX 文件名	WindowsDefender.admx

Quarantine_LocalSettingOverridePurgeItemsAfterDelay

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Quarantine_LocalSettingOverridePurgeItemsAfterDelay

此策略设置为项目在删除前应保留在“隔离”文件夹中的天数配置本地替代。此设置只能由组策略设置。

如果启用此设置，本地首选项设置将优先于组策略。
如果禁用或未配置此设置，组策略将优先于本地首选项设置。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Quarantine_LocalSettingOverridePurgeItemsAfterDelay
友好名称	为从隔离文件夹删除项目配置本地设置替代
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>隔离
注册表项名称	Software\Policies\Microsoft\Windows Defender\Quarantine
注册表值名称	LocalSettingOverridePurgeItemsAfterDelay
ADMX 文件名	WindowsDefender.admx

Quarantine_PurgeItemsAfterDelay

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Quarantine_PurgeItemsAfterDelay

此策略设置定义项目在删除之前应在“隔离”文件夹中保留的天数。

如果启用此设置，则会在指定的天数后从“隔离区”文件夹中删除项目。
如果禁用或未配置此设置，项目将无限期保留在隔离文件夹中，并且不会自动删除。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Quarantine_PurgeItemsAfterDelay
友好名称	配置从隔离文件夹中删除项目
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>隔离
注册表项名称	Software\Policies\Microsoft\Windows Defender\Quarantine
注册表值名称	PurgeItemsAfterDelay
ADMX 文件名	WindowsDefender.admx

RandomizeScheduleTaskTimes

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/RandomizeScheduleTaskTimes

通过此策略设置，可以配置计划的扫描和计划的安全智能更新开始时间窗口（以小时为单位）。

如果禁用或未配置此设置，计划任务将在任务计划程序中指定的时间后的 4 小时内随机开始。
如果启用此设置，则可以扩大或缩小此随机周期。将随机化窗口指定为 1 到 23 小时。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	RandomizeScheduleTaskTimes
友好名称	随机化计划任务时间
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒
注册表项名称	Software\Policies\Microsoft\Windows Defender
注册表值名称	RandomizeScheduleTaskTimes
ADMX 文件名	WindowsDefender.admx

RealtimeProtection_DisableBehaviorMonitoring

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/RealtimeProtection_DisableBehaviorMonitoring

此策略设置允许配置行为监视。

如果启用或未配置此设置，则会启用行为监视。
如果禁用此设置，将禁用行为监视。

注意

启用篡改保护后，不会应用对此设置的更改。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	RealtimeProtection_DisableBehaviorMonitoring
友好名称	开启行为监视
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>实时保护
注册表项名称	Software\Policies\Microsoft\Windows Defender\Real-Time Protection
注册表值名称	DisableBehaviorMonitoring
ADMX 文件名	WindowsDefender.admx

RealtimeProtection_DisableIOAVProtection

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/RealtimeProtection_DisableIOAVProtection

此策略设置允许你为所有下载的文件和附件配置扫描。

如果启用或未配置此设置，将启用扫描所有下载的文件和附件。
如果禁用此设置，将禁用扫描所有下载的文件和附件。

注意

启用篡改保护后，不会应用对此设置的更改。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	RealtimeProtection_DisableIOAVProtection
友好名称	扫描所有下载的文件和附件
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>实时保护
注册表项名称	Software\Policies\Microsoft\Windows Defender\Real-Time Protection
注册表值名称	DisableIOAVProtection
ADMX 文件名	WindowsDefender.admx

RealtimeProtection_DisableOnAccessProtection

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/RealtimeProtection_DisableOnAccessProtection

通过此策略设置，可以配置文件和程序活动的监视。

如果启用或未配置此设置，将启用对文件和程序活动的监视。
如果禁用此设置，将禁用对文件和程序活动的监视。

注意

启用篡改保护后，不会应用对此设置的更改。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	RealtimeProtection_DisableOnAccessProtection
友好名称	监视计算机上的文件和程序活动
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>实时保护
注册表项名称	Software\Policies\Microsoft\Windows Defender\Real-Time Protection
注册表值名称	DisableOnAccessProtection
ADMX 文件名	WindowsDefender.admx

RealtimeProtection_DisableRawWriteNotification

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/RealtimeProtection_DisableRawWriteNotification

此策略设置控制是否将原始卷写入通知发送到行为监视。

如果启用或未配置此设置，将启用原始写入通知。
如果禁用此设置，则会禁用原始写入通知。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	RealtimeProtection_DisableRawWriteNotification
友好名称	开启原始卷写入通知
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>实时保护
注册表项名称	Software\Policies\Microsoft\Windows Defender\Real-Time Protection
注册表值名称	DisableRawWriteNotification
ADMX 文件名	WindowsDefender.admx

RealtimeProtection_DisableScanOnRealtimeEnable

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/RealtimeProtection_DisableScanOnRealtimeEnable

此策略设置允许在启用实时保护时配置进程扫描。这有助于捕获在关闭实时保护时可能启动的恶意软件。

如果启用或未配置此设置，则会在启用实时保护时启动进程扫描。
如果禁用此设置，则打开实时保护时不会启动进程扫描。

注意

启用篡改保护后，不会应用对此设置的更改。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	RealtimeProtection_DisableScanOnRealtimeEnable
友好名称	打开进程扫描（无论何时启用实时保护）
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>实时保护
注册表项名称	Software\Policies\Microsoft\Windows Defender\Real-Time Protection
注册表值名称	DisableScanOnRealtimeEnable
ADMX 文件名	WindowsDefender.admx

RealtimeProtection_IOAVMaxSize

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/RealtimeProtection_IOAVMaxSize

此策略设置定义将扫描的下载文件和附件) 的最大大小 (千字节。

如果启用此设置，将扫描小于指定大小的下载文件和附件。
如果禁用或未配置此设置，将应用默认大小。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	RealtimeProtection_IOAVMaxSize
友好名称	定义要扫描的已下载文件和附件的最大大小
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>实时保护
注册表项名称	Software\Policies\Microsoft\Windows Defender\Real-Time Protection
注册表值名称	IOAVMaxSize
ADMX 文件名	WindowsDefender.admx

RealtimeProtection_LocalSettingOverrideDisableBehaviorMonitoring

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/RealtimeProtection_LocalSettingOverrideDisableBehaviorMonitoring

此策略设置为行为监视的配置配置本地替代。此设置只能由组策略设置。

如果启用此设置，本地首选项设置将优先于组策略。
如果禁用或未配置此设置，组策略将优先于本地首选项设置。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	RealtimeProtection_LocalSettingOverrideDisableBehaviorMonitoring
友好名称	为启用行为监视配置本地设置替代
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>实时保护
注册表项名称	Software\Policies\Microsoft\Windows Defender\Real-Time Protection
注册表值名称	LocalSettingOverrideDisableBehaviorMonitoring
ADMX 文件名	WindowsDefender.admx

RealtimeProtection_LocalSettingOverrideDisableIOAVProtection

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/RealtimeProtection_LocalSettingOverrideDisableIOAVProtection

此策略设置为扫描所有下载的文件和附件的配置配置本地替代。此设置只能由组策略设置。

如果启用此设置，本地首选项设置将优先于组策略。
如果禁用或未配置此设置，组策略将优先于本地首选项设置。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	RealtimeProtection_LocalSettingOverrideDisableIOAVProtection
友好名称	为扫描所有已下载文件和附件配置本地设置替代
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>实时保护
注册表项名称	Software\Policies\Microsoft\Windows Defender\Real-Time Protection
注册表值名称	LocalSettingOverrideDisableIOAVProtection
ADMX 文件名	WindowsDefender.admx

RealtimeProtection_LocalSettingOverrideDisableOnAccessProtection

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/RealtimeProtection_LocalSettingOverrideDisableOnAccessProtection

此策略设置为计算机上文件和程序活动的监视配置配置本地替代。此设置只能由组策略设置。

如果启用此设置，本地首选项设置将优先于组策略。
如果禁用或未配置此设置，组策略将优先于本地首选项设置。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	RealtimeProtection_LocalSettingOverrideDisableOnAccessProtection
友好名称	为在计算机上监视文件和程序活动配置本地设置替代
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>实时保护
注册表项名称	Software\Policies\Microsoft\Windows Defender\Real-Time Protection
注册表值名称	LocalSettingOverrideDisableOnAccessProtection
ADMX 文件名	WindowsDefender.admx

RealtimeProtection_LocalSettingOverrideDisableRealtimeMonitoring

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/RealtimeProtection_LocalSettingOverrideDisableRealtimeMonitoring

此策略设置为配置配置本地替代，以启用实时保护。此设置只能由组策略设置。

如果启用此设置，本地首选项设置将优先于组策略。
如果禁用或未配置此设置，组策略将优先于本地首选项设置。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	RealtimeProtection_LocalSettingOverrideDisableRealtimeMonitoring
友好名称	配置本地设置替代以启用实时保护
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>实时保护
注册表项名称	Software\Policies\Microsoft\Windows Defender\Real-Time Protection
注册表值名称	LocalSettingOverrideDisableRealtimeMonitoring
ADMX 文件名	WindowsDefender.admx

RealtimeProtection_LocalSettingOverrideRealtimeScanDirection

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/RealtimeProtection_LocalSettingOverrideRealtimeScanDirection

此策略设置为传入和传出文件活动的监视配置配置本地替代。此设置只能由组策略设置。

如果启用此设置，本地首选项设置将优先于组策略。
如果禁用或未配置此设置，组策略将优先于本地首选项设置。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	RealtimeProtection_LocalSettingOverrideRealtimeScanDirection
友好名称	为监视传入和传出的文件活动配置本地设置替代
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>实时保护
注册表项名称	Software\Policies\Microsoft\Windows Defender\Real-Time Protection
注册表值名称	LocalSettingOverrideRealtimeScanDirection
ADMX 文件名	WindowsDefender.admx

Remediation_LocalSettingOverrideScan_ScheduleTime

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Remediation_LocalSettingOverrideScan_ScheduleTime

此策略设置配置本地替代，用于配置运行计划的完整扫描以完成修正的时间。此设置只能由组策略设置。

如果启用此设置，本地首选项设置将优先于组策略。
如果禁用或未配置此设置，组策略将优先于本地首选项设置。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Remediation_LocalSettingOverrideScan_ScheduleTime
友好名称	为一天中运行计划完全扫描以完成修正的时间配置本地设置替代
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>修正
注册表项名称	Software\Policies\Microsoft\Windows Defender\Remediation
注册表值名称	LocalSettingOverrideScan_ScheduleTime
ADMX 文件名	WindowsDefender.admx

Remediation_Scan_ScheduleDay

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Remediation_Scan_ScheduleDay

通过此策略设置，可以指定执行计划的完整扫描以完成修正的星期几。还可以将扫描配置为每天运行或根本不运行。

可以使用以下序号值配置此设置：

(0x0) 每天 (0x1) 星期一 (0x2) 星期一 (0x3) 星期二 (0x4) 星期三 (0x5) 星期四 (0x6) 星期五 (0x7) 星期六 (0x8) 从不 (默认)

如果启用此设置，将按指定的频率运行计划的完整扫描以完成修正。
如果禁用或未配置此设置，将按默认频率运行计划的完整扫描以完成修正。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Remediation_Scan_ScheduleDay
友好名称	指定一周中运行计划完全扫描以完成修正的时间
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>修正
注册表项名称	Software\Policies\Microsoft\Windows Defender\Remediation
注册表值名称	Scan_ScheduleDay
ADMX 文件名	WindowsDefender.admx

Remediation_Scan_ScheduleTime

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Remediation_Scan_ScheduleTime

通过此策略设置，可以指定执行计划完全扫描以完成修正的一天中的时间。时间值表示为午夜 (00：00) 的分钟数。例如，120 (0x78) 相当于凌晨 02：00。计划基于正在执行扫描的计算机上的本地时间。

如果启用此设置，则会在指定的时间运行计划的完整扫描以完成修正。
如果禁用或未配置此设置，则会在默认时间运行计划的完整扫描以完成修正。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Remediation_Scan_ScheduleTime
友好名称	指定一天中运行计划完全扫描以完成修正的时间
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>修正
注册表项名称	Software\Policies\Microsoft\Windows Defender\Remediation
注册表值名称	Scan_ScheduleTime
ADMX 文件名	WindowsDefender.admx

Reporting_AdditionalActionTimeout

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Reporting_AdditionalActionTimeout

此策略设置配置处于“附加操作”状态的检测移动到“已清除”状态之前的时间（以分钟为单位）。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Reporting_AdditionalActionTimeout
友好名称	配置需要其他操作的检测超时
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>报告
注册表项名称	Software\Policies\Microsoft\Windows Defender\Reporting
注册表值名称	AdditionalActionTimeout
ADMX 文件名	WindowsDefender.admx

Reporting_CriticalFailureTimeout

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Reporting_CriticalFailureTimeout

此策略设置将处于“严重失败”状态的检测配置为移动到“其他操作”状态或“已清除”状态之前的时间（以分钟为单位）。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Reporting_CriticalFailureTimeout
友好名称	配置严重失败状态中的检测超时
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>报告
注册表项名称	Software\Policies\Microsoft\Windows Defender\Reporting
注册表值名称	CriticalFailureTimeout
ADMX 文件名	WindowsDefender.admx

Reporting_DisableEnhancedNotifications

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Reporting_DisableEnhancedNotifications

使用此策略设置指定是否要在客户端上显示Microsoft Defender防病毒增强通知。

如果禁用或未配置此设置，Microsoft Defender防病毒增强通知将显示在客户端上。
如果启用此设置，Microsoft Defender防病毒增强通知不会显示在客户端上。

注意

启用篡改保护后，不会应用对此设置的更改。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Reporting_DisableEnhancedNotifications
友好名称	关闭增强型通知
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>报告
注册表项名称	Software\Policies\Microsoft\Windows Defender\Reporting
注册表值名称	DisableEnhancedNotifications
ADMX 文件名	WindowsDefender.admx

Reporting_DisablegenericrePorts

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Reporting_DisablegenericrePorts

使用此策略设置，可以配置是否发送 Watson 事件。

如果启用或未配置此设置，则会发送 Watson 事件。
如果禁用此设置，将不会发送 Watson 事件。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Reporting_DisablegenericrePorts
友好名称	配置 Watson 事件
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>报告
注册表项名称	Software\Policies\Microsoft\Windows Defender\Reporting
注册表值名称	DisableGenericRePorts
ADMX 文件名	WindowsDefender.admx

Reporting_NonCriticalTimeout

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Reporting_NonCriticalTimeout

此策略设置配置处于“非严重失败”状态的检测移动到“已清除”状态之前的时间（以分钟为单位）。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Reporting_NonCriticalTimeout
友好名称	配置非严重失败状态中的检测超时
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>报告
注册表项名称	Software\Policies\Microsoft\Windows Defender\Reporting
注册表值名称	NonCriticalTimeout
ADMX 文件名	WindowsDefender.admx

Reporting_RecentlyCleanedTimeout

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Reporting_RecentlyCleanedTimeout

此策略设置配置处于“已完成”状态的检测移动到“已清除”状态之前的时间（以分钟为单位）。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Reporting_RecentlyCleanedTimeout
友好名称	配置最新修正状态中的检测超时
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>报告
注册表项名称	Software\Policies\Microsoft\Windows Defender\Reporting
注册表值名称	RecentlyCleanedTimeout
ADMX 文件名	WindowsDefender.admx

Reporting_WppTracingComponents

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Reporting_WppTracingComponents

此策略配置 Windows 软件跟踪预处理器 (WPP 软件跟踪) 组件。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Reporting_WppTracingComponents
友好名称	配置 Windows 软件跟踪预处理器组件
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>报告
注册表项名称	Software\Policies\Microsoft\Windows Defender\Reporting
注册表值名称	WppTracingComponents
ADMX 文件名	WindowsDefender.admx

Reporting_WppTracingLevel

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Reporting_WppTracingLevel

此策略允许配置 Windows 软件跟踪预处理器的跟踪级别， (WPP 软件跟踪) 。

跟踪级别定义为：

1 - 错误 2 - 警告 3 - 信息 4 - 调试。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Reporting_WppTracingLevel
友好名称	配置 WPP 跟踪级别
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>报告
注册表项名称	Software\Policies\Microsoft\Windows Defender\Reporting
注册表值名称	WppTracingLevel
ADMX 文件名	WindowsDefender.admx

Scan_AllowPause

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_AllowPause

使用此策略设置，可以管理最终用户是否可以暂停正在进行的扫描。

如果启用或未配置此设置，则会将新的上下文菜单添加到任务栏图标，以允许用户暂停扫描。
如果禁用此设置，用户将无法暂停扫描。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_AllowPause
友好名称	允许用户暂停扫描
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	AllowPause
ADMX 文件名	WindowsDefender.admx

Scan_ArchiveMaxDepth

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_ArchiveMaxDepth

此策略设置允许配置存档文件（如）的最大目录深度级别。 ZIP 或。 CAB 在扫描过程中已解包。默认目录深度级别为 0。

如果启用此设置，存档文件将扫描到指定的目录深度级别。
如果禁用或未配置此设置，存档文件将扫描到默认目录深度级别。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_ArchiveMaxDepth
友好名称	指定扫描存档文件的最大深度
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	ArchiveMaxDepth
ADMX 文件名	WindowsDefender.admx

Scan_ArchiveMaxSize

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_ArchiveMaxSize

此策略设置允许配置存档文件的最大大小，例如。 ZIP 或。将扫描的 CAB。值表示文件大小（以 KB (KB) 为单位）。默认值为 0，表示对扫描的存档大小没有限制。

如果启用此设置，将扫描小于或等于指定大小的存档文件。
如果禁用或未配置此设置，则会根据默认值扫描存档文件。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_ArchiveMaxSize
友好名称	指定要扫描的存档文件的最大大小
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	ArchiveMaxSize
ADMX 文件名	WindowsDefender.admx

Scan_DisableArchiveScanning

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_DisableArchiveScanning

使用此策略设置，可以在存档文件（例如）中配置恶意软件和不需要的软件的扫描。 ZIP 或。 CAB 文件。

如果启用或未配置此设置，将扫描存档文件。
如果禁用此设置，则不会扫描存档文件。但是，在定向扫描期间始终扫描存档。

注意

启用篡改保护后，不会应用对此设置的更改。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_DisableArchiveScanning
友好名称	扫描存档文件
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	DisableArchiveScanning
ADMX 文件名	WindowsDefender.admx

Scan_DisableEmailScanning

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_DisableEmailScanning

此策略设置允许配置电子邮件扫描。启用电子邮件扫描后，引擎将根据其特定格式分析邮箱和邮件文件，以便分析邮件正文和附件。目前支持多种电子邮件格式，例如：pst (Outlook) 、dbx、mbx、mime (Outlook Express) 、binhex (Mac) 。新式电子邮件客户端不支持Email扫描。

如果启用此设置，则会启用电子邮件扫描。
如果禁用或未配置此设置，将禁用电子邮件扫描。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_DisableEmailScanning
友好名称	打开电子邮件扫描
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	DisableEmailScanning
ADMX 文件名	WindowsDefender.admx

Scan_DisableHeuristics

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_DisableHeuristics

此策略设置允许配置启发式。在向引擎客户端报告之前，将立即取消可疑检测。关闭试探将降低标记新威胁的能力。建议不要关闭启发式。

如果启用或未配置此设置，则会启用启发式。
如果禁用此设置，则会禁用启发式。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_DisableHeuristics
友好名称	开启启发式保护
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	DisableHeuristics
ADMX 文件名	WindowsDefender.admx

Scan_DisablePackedExeScanning

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_DisablePackedExeScanning

此策略设置允许为打包的可执行文件配置扫描。建议保持启用这种类型的扫描。

如果启用或未配置此设置，将扫描打包的可执行文件。
如果禁用此设置，将不会扫描打包的可执行文件。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_DisablePackedExeScanning
友好名称	扫描打包的可执行文件
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	DisablePackedExeScanning
ADMX 文件名	WindowsDefender.admx

Scan_DisableRemovableDriveScanning

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_DisableRemovableDriveScanning

通过此策略设置，可以管理在运行完全扫描时是否扫描可移动驱动器（如 U 盘）内容中的恶意软件和不需要的软件。

如果启用此设置，则会在任何类型的扫描期间扫描可移动驱动器。
如果禁用或未配置此设置，则完全扫描期间不会扫描可移动驱动器。在快速扫描和自定义扫描期间，仍可能扫描可移动驱动器。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_DisableRemovableDriveScanning
友好名称	扫描可移动驱动器
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	DisableRemovableDriveScanning
ADMX 文件名	WindowsDefender.admx

Scan_DisableReparsePointScanning

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_DisableReparsePointScanning

此策略设置允许配置重新分析点扫描。如果允许扫描重新分析点，则可能存在递归风险。但是，引擎支持将以下重新分析点设置为最大深度，因此在最坏的情况下，扫描速度可能会变慢。默认情况下，重新分析点扫描处于禁用状态，这是此功能的建议状态。

如果启用此设置，将启用重新分析点扫描。
如果禁用或未配置此设置，将禁用重新分析点扫描。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_DisableReparsePointScanning
友好名称	打开重新分析点扫描
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	DisableReparsePointScanning
ADMX 文件名	WindowsDefender.admx

Scan_DisableRestorePoint

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_DisableRestorePoint

此策略设置允许在清理之前每天在计算机上创建系统还原点。

如果启用此设置，则会创建一个系统还原点。
如果禁用或未配置此设置，则不会创建系统还原点。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_DisableRestorePoint
友好名称	创建系统还原点
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	DisableRestorePoint
ADMX 文件名	WindowsDefender.admx

Scan_DisableScanningMappedNetworkDrivesForFullScan

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_DisableScanningMappedNetworkDrivesForFullScan

此策略设置允许配置扫描映射的网络驱动器。

如果启用此设置，将扫描映射的网络驱动器。
如果禁用或未配置此设置，则不会扫描映射的网络驱动器。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_DisableScanningMappedNetworkDrivesForFullScan
友好名称	在映射的网络驱动器上运行完全扫描
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	DisableScanningMappedNetworkDrivesForFullScan
ADMX 文件名	WindowsDefender.admx

Scan_DisableScanningNetworkFiles

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_DisableScanningNetworkFiles

此策略设置允许配置网络文件的扫描。建议不要启用此设置。

如果启用此设置，将扫描网络文件。
如果禁用或未配置此设置，则不会扫描网络文件。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_DisableScanningNetworkFiles
友好名称	扫描网络文件
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	DisableScanningNetworkFiles
ADMX 文件名	WindowsDefender.admx

Scan_LocalSettingOverrideAvgCPULoadFactor

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_LocalSettingOverrideAvgCPULoadFactor

此策略设置配置本地替代，以配置扫描期间 CPU 使用率的最大百分比。此设置只能由组策略设置。

如果启用此设置，本地首选项设置将优先于组策略。
如果禁用或未配置此设置，组策略将优先于本地首选项设置。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_LocalSettingOverrideAvgCPULoadFactor
友好名称	为 CPU 使用率最大百分比配置本地设置替代
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	LocalSettingOverrideAvgCPULoadFactor
ADMX 文件名	WindowsDefender.admx

Scan_LocalSettingOverrideScanParameters

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_LocalSettingOverrideScanParameters

此策略设置为在计划扫描期间使用的扫描类型的配置配置本地替代。此设置只能由组策略设置。

如果启用此设置，本地首选项设置将优先于组策略。
如果禁用或未配置此设置，组策略将优先于本地首选项设置。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_LocalSettingOverrideScanParameters
友好名称	为用于计划扫描的扫描类型配置本地设置替代
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	LocalSettingOverrideScanParameters
ADMX 文件名	WindowsDefender.admx

Scan_LocalSettingOverrideScheduleDay

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_LocalSettingOverrideScheduleDay

此策略设置为计划的扫描日配置本地替代。此设置只能由组策略设置。

如果启用此设置，本地首选项设置将优先于组策略。
如果禁用或未配置此设置，组策略将优先于本地首选项设置。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_LocalSettingOverrideScheduleDay
友好名称	为计划扫描日期配置本地设置替代
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	LocalSettingOverrideScheduleDay
ADMX 文件名	WindowsDefender.admx

Scan_LocalSettingOverrideScheduleQuickScantime

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_LocalSettingOverrideScheduleQuickScantime

此策略设置为计划的快速扫描时间配置本地替代。此设置只能由组策略设置。

如果启用此设置，本地首选项设置将优先于组策略。
如果禁用或未配置此设置，组策略将优先于本地首选项设置。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_LocalSettingOverrideScheduleQuickScantime
友好名称	为计划的快速扫描时间配置本地设置替代
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	LocalSettingOverrideScheduleQuickScanTime
ADMX 文件名	WindowsDefender.admx

Scan_LocalSettingOverrideScheduleTime

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_LocalSettingOverrideScheduleTime

此策略设置为计划扫描时间的配置配置本地替代。此设置只能由组策略设置。

如果启用此设置，本地首选项设置将优先于组策略。
如果禁用或未配置此设置，组策略将优先于本地首选项设置。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_LocalSettingOverrideScheduleTime
友好名称	为计划的扫描时间配置本地设置替代
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	LocalSettingOverrideScheduleTime
ADMX 文件名	WindowsDefender.admx

Scan_LowCpuPriority

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_LowCpuPriority

此策略设置允许为计划扫描启用或禁用低 CPU 优先级。

如果启用此设置，则计划扫描期间将使用低 CPU 优先级。
如果禁用或未配置此设置，则不会更改计划扫描的 CPU 优先级。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_LowCpuPriority
友好名称	为计划扫描配置低 CPU 优先级
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	LowCpuPriority
ADMX 文件名	WindowsDefender.admx

Scan_MissedScheduledScanCountBeforeCatchup

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_MissedScheduledScanCountBeforeCatchup

此策略设置允许你定义可以错过的连续计划扫描数，之后将强制执行追赶扫描。默认情况下，此设置的值为 2 次连续计划扫描。

如果启用此设置，则会在连续错过计划扫描的指定数目之后进行追赶扫描。
如果禁用或未配置此设置，则会在连续 2 次错过的计划扫描之后进行追赶扫描。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_MissedScheduledScanCountBeforeCatchup
友好名称	定义在其后强制执行弥补扫描的天数
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	MissedScheduledScanCountBeforeCatchup
ADMX 文件名	WindowsDefender.admx

Scan_PurgeItemsAfterDelay

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_PurgeItemsAfterDelay

此策略设置定义项目在永久删除之前应保留在扫描历史记录文件夹中的天数。值表示在文件夹中保留项的天数。如果设置为零，项将永久保留，并且不会自动删除。默认情况下，该值设置为 30 天。

如果启用此设置，将在指定的天数后从扫描历史记录文件夹中删除项目。
如果禁用或未配置此设置，项目将保留在扫描历史记录文件夹中的默认天数。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_PurgeItemsAfterDelay
友好名称	开启从扫描历史记录文件夹中删除项目
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	PurgeItemsAfterDelay
ADMX 文件名	WindowsDefender.admx

Scan_QuickScanInterval

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_QuickScanInterval

此策略设置允许指定执行快速扫描的间隔。时间值表示为快速扫描之间的小时数。有效值范围从每小时 1 () 到每天) 一次 24 (。如果设置为零，则不会进行间隔快速扫描。默认情况下，此设置设置为 0。

如果启用此设置，将按指定的间隔运行快速扫描。
如果禁用或未配置此设置，将不会运行此配置控制的快速扫描。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_QuickScanInterval
友好名称	指定每日运行快速扫描的时间间隔
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	QuickScanInterval
ADMX 文件名	WindowsDefender.admx

Scan_ScanOnlyIfIdle

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_ScanOnlyIfIdle

此策略设置允许将计划扫描配置为仅在计算机处于打开但未使用状态时才启动。

如果启用或未配置此设置，计划扫描将仅在计算机打开但未使用时运行。
如果禁用此设置，计划扫描将在计划的时间运行。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_ScanOnlyIfIdle
友好名称	仅当计算机已开启但未使用时才开始计划扫描
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	ScanOnlyIfIdle
ADMX 文件名	WindowsDefender.admx

Scan_ScheduleDay

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_ScheduleDay

此策略设置允许指定执行计划扫描的星期几。还可以将扫描配置为每天运行或根本不运行。

可以使用以下序号值配置此设置：

(0x0) 每天 (0x1) 星期一 (0x2) 星期一 (0x3) 星期二 (0x4) 星期三 (0x5) 星期四 (0x6) 星期五 (0x7) 星期六 (0x8) 从不 (默认)

如果启用此设置，计划扫描将以指定的频率运行。
如果禁用或未配置此设置，计划扫描将以默认频率运行。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_ScheduleDay
友好名称	指定一周中运行计划扫描的时间
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	ScheduleDay
ADMX 文件名	WindowsDefender.admx

Scan_ScheduleTime

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Scan_ScheduleTime

通过此策略设置，可以指定执行计划扫描的时间。时间值表示为午夜 (00：00) 的分钟数。例如，120 (0x78) 相当于凌晨 02：00。默认情况下，此设置设置为凌晨 2：00 的时间值。计划基于正在执行扫描的计算机上的本地时间。

如果启用此设置，计划扫描将在指定的一天中运行。
如果禁用或未配置此设置，计划扫描将在默认时间运行。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Scan_ScheduleTime
友好名称	指定一天中运行计划扫描的时间
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>扫描
注册表项名称	Software\Policies\Microsoft\Windows Defender\Scan
注册表值名称	ScheduleTime
ADMX 文件名	WindowsDefender.admx

ServiceKeepAlive

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/ServiceKeepAlive

使用此策略设置，可以配置在禁用防病毒和反恶意软件安全智能时反恶意软件服务是否保持运行。建议将此设置保持禁用状态。

如果启用此设置，即使禁用防病毒和反恶意软件安全智能，反恶意软件服务也将始终保持运行状态。
如果禁用或未配置此设置，则禁用防病毒和反恶意软件安全智能时，反恶意软件服务将停止。如果计算机已重启，则服务将启动（如果设置为自动启动）。服务启动后，将有一个检查来查看是否启用了防病毒和反间谍软件安全智能。如果至少启用了一个，该服务将保持运行状态。如果两者都禁用，服务将停止。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	ServiceKeepAlive
友好名称	允许反恶意软件服务始终保持运行
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒
注册表项名称	Software\Policies\Microsoft\Windows Defender
注册表值名称	ServiceKeepAlive
ADMX 文件名	WindowsDefender.admx

SignatureUpdate_ASSignatureDue

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/SignatureUpdate_ASSignatureDue

通过此策略设置，可以定义在间谍软件安全智能被视为过期之前必须经过的天数。如果安全智能被确定为过期，此状态可能会触发多项其他操作，包括回退到备用更新源或在用户界面中显示警告图标。默认情况下，此值设置为 7 天。

如果启用此设置，在指定的天数之后，间谍软件安全智能将被视为过期且未进行更新。
如果禁用或未配置此设置，则间谍软件安全智能在默认天数过后将被视为过期且未进行更新。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	SignatureUpdate_ASSignatureDue
友好名称	定义间谍软件安全情报被视为过期之前的天数
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>安全智能汇报
注册表项名称	Software\Policies\Microsoft\Windows Defender\Signature 汇报
注册表值名称	ASSignatureDue
ADMX 文件名	WindowsDefender.admx

SignatureUpdate_AVSignatureDue

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/SignatureUpdate_AVSignatureDue

通过此策略设置，可以定义在病毒安全智能被视为过期之前必须经过的天数。如果安全智能被确定为过期，此状态可能会触发多项其他操作，包括回退到备用更新源或在用户界面中显示警告图标。默认情况下，此值设置为 7 天。

如果启用此设置，在指定的天数之后，病毒安全智能将被视为过期且未进行更新。
如果禁用或未配置此设置，在默认天数过后，病毒安全智能将被视为过期且未更新。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	SignatureUpdate_AVSignatureDue
友好名称	定义将病毒安全智能视为过期之前的天数
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>安全智能汇报
注册表项名称	Software\Policies\Microsoft\Windows Defender\Signature 汇报
注册表值名称	AVSignatureDue
ADMX 文件名	WindowsDefender.admx

SignatureUpdate_DefinitionUpdateFileSharesSources

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/SignatureUpdate_DefinitionUpdateFileSharesSources

此策略设置允许配置 UNC 文件共享源以下载安全智能更新。将按指定的顺序联系源。此设置的值应输入为枚举安全智能更新源的管道分隔字符串。例如：“{\\unc1 | \\unc2 }”。默认情况下，列表为空。

如果启用此设置，则会联系指定的源以获取安全智能更新。从一个指定源成功下载安全智能更新后，将不会联系列表中的剩余源。
如果禁用或未配置此设置，则默认情况下，列表将保持为空，并且不会联系任何源。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	SignatureUpdate_DefinitionUpdateFileSharesSources
友好名称	定义用于下载安全智能更新的文件共享
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>安全智能汇报
注册表项名称	Software\Policies\Microsoft\Windows Defender\Signature 汇报
ADMX 文件名	WindowsDefender.admx

SignatureUpdate_DisableScanOnUpdate

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/SignatureUpdate_DisableScanOnUpdate

此策略设置允许配置自动扫描，该扫描在安全智能更新发生后启动。

如果启用或未配置此设置，将在安全智能更新后开始扫描。
如果禁用此设置，则不会在安全智能更新后开始扫描。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	SignatureUpdate_DisableScanOnUpdate
友好名称	在安全智能更新后启用扫描
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>安全智能汇报
注册表项名称	Software\Policies\Microsoft\Windows Defender\Signature 汇报
注册表值名称	DisableScanOnUpdate
ADMX 文件名	WindowsDefender.admx

SignatureUpdate_DisableScheduledSignatureUpdateonBattery

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/SignatureUpdate_DisableScheduledSignatureUpdateonBattery

此策略设置允许在计算机使用电池电源运行时配置安全智能更新。

如果启用或未配置此设置，无论电源状态如何，安全智能更新都将照常进行。
如果禁用此设置，则在计算机使用电池供电运行时，安全智能更新将关闭。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	SignatureUpdate_DisableScheduledSignatureUpdateonBattery
友好名称	使用电池电源运行时允许安全智能更新
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>安全智能汇报
注册表项名称	Software\Policies\Microsoft\Windows Defender\Signature 汇报
注册表值名称	DisableScheduledSignatureUpdateOnBattery
ADMX 文件名	WindowsDefender.admx

SignatureUpdate_DisableUpdateOnStartupWithoutEngine

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/SignatureUpdate_DisableUpdateOnStartupWithoutEngine

此策略设置允许在没有反恶意软件引擎时在启动时配置安全智能更新。

如果启用或未配置此设置，则当不存在反恶意软件引擎时，将在启动时启动安全智能更新。
如果禁用此设置，则当不存在反恶意软件引擎时，不会在启动时启动安全智能更新。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	SignatureUpdate_DisableUpdateOnStartupWithoutEngine
友好名称	启动时启动安全智能更新
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>安全智能汇报
注册表项名称	Software\Policies\Microsoft\Windows Defender\Signature 汇报
注册表值名称	DisableUpdateOnStartupWithoutEngine
ADMX 文件名	WindowsDefender.admx

SignatureUpdate_FallbackOrder

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/SignatureUpdate_FallbackOrder

通过此策略设置，可以定义应联系不同安全智能更新源的顺序。此设置的值应作为管道分隔字符串输入，以便按顺序枚举安全智能更新源。可能的值为：“InternalDefinitionUpdateServer”、“MicrosoftUpdateServer”、“MMPC”和“FileShares”。

例如： { InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC }

如果启用此设置，则将按指定的顺序联系安全智能更新源。从一个指定源成功下载安全智能更新后，将不会联系列表中的剩余源。
如果禁用或未配置此设置，则会按默认顺序联系安全智能更新源。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	SignatureUpdate_FallbackOrder
友好名称	定义下载安全智能更新的源顺序
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>安全智能汇报
注册表项名称	Software\Policies\Microsoft\Windows Defender\Signature 汇报
ADMX 文件名	WindowsDefender.admx

SignatureUpdate_ForceUpdateFromMU

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/SignatureUpdate_ForceUpdateFromMU

此策略设置允许从 Microsoft 更新下载安全智能更新，即使自动汇报默认服务器配置为其他下载源（例如Windows 更新）。

如果启用此设置，将从 Microsoft 更新下载安全智能更新。
如果禁用或未配置此设置，将从配置的下载源下载安全智能更新。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	SignatureUpdate_ForceUpdateFromMU
友好名称	允许来自 Microsoft 更新的安全智能更新
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>安全智能汇报
注册表项名称	Software\Policies\Microsoft\Windows Defender\Signature 汇报
注册表值名称	ForceUpdateFromMU
ADMX 文件名	WindowsDefender.admx

SignatureUpdate_RealtimeSignatureDelivery

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/SignatureUpdate_RealtimeSignatureDelivery

此策略设置允许启用实时安全智能更新，以响应发送到 Microsoft MAPS 的报告。如果服务将某个文件报告为未知文件，并且 Microsoft MAPS 发现最新的安全智能更新具有涉及该文件的威胁的安全智能，则服务将立即收到针对该威胁的所有最新安全情报。必须已将计算机配置为加入 Microsoft MAPS，此功能才能正常工作。

如果启用或未配置此设置，将启用实时安全智能更新。
如果禁用此设置，实时安全智能更新将禁用。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	SignatureUpdate_RealtimeSignatureDelivery
友好名称	允许基于 Microsoft MAPS 的报告进行实时安全智能更新
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>安全智能汇报
注册表项名称	Software\Policies\Microsoft\Windows Defender\Signature 汇报
注册表值名称	RealtimeSignatureDelivery
ADMX 文件名	WindowsDefender.admx

SignatureUpdate_ScheduleDay

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/SignatureUpdate_ScheduleDay

通过此策略设置，可以指定要检查安全智能更新的星期几。还可以将检查配置为每天运行或根本不运行。

可以使用以下序号值配置此设置：

(0x0) (默认) (0x1) 星期一 (0x2) 星期一 (0x3) 星期二 (0x4) 星期三 (0x5) 星期四 (0x6) 星期五 (0x7) 星期六 (0x8) 。

如果启用此设置，则安全智能更新检查将按指定的频率进行。
如果禁用或未配置此设置，则安全智能更新检查将以默认频率发生。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	SignatureUpdate_ScheduleDay
友好名称	指定要为安全智能更新检查的星期几
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>安全智能汇报
注册表项名称	Software\Policies\Microsoft\Windows Defender\Signature 汇报
注册表值名称	ScheduleDay
ADMX 文件名	WindowsDefender.admx

SignatureUpdate_ScheduleTime

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/SignatureUpdate_ScheduleTime

通过此策略设置，可以指定一天中检查安全智能更新的时间。时间值表示为午夜 (00：00) 的分钟数。例如，120 (0x78) 相当于凌晨 02：00。默认情况下，此设置配置为在计划扫描时间前 15 分钟检查安全智能更新。计划基于发生检查的计算机上的本地时间。

如果启用此设置，则安全智能更新检查将在指定的时间发生。
如果禁用或未配置此设置，则安全智能更新检查将在默认时间发生。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	SignatureUpdate_ScheduleTime
友好名称	指定安全智能更新检查时间
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>安全智能汇报
注册表项名称	Software\Policies\Microsoft\Windows Defender\Signature 汇报
注册表值名称	ScheduleTime
ADMX 文件名	WindowsDefender.admx

SignatureUpdate_SharedSignaturesLocation

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/SignatureUpdate_SharedSignaturesLocation

通过此策略设置，可以定义 VDI 配置的计算机的安全智能位置。

如果禁用或未配置此设置，将从默认本地源引用安全智能。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	SignatureUpdate_SharedSignaturesLocation
友好名称	定义 VDI 客户端的安全智能位置。
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>安全智能汇报
注册表项名称	Software\Policies\Microsoft\Windows Defender\Signature 汇报
ADMX 文件名	WindowsDefender.admx

SignatureUpdate_SignatureDisableNotification

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/SignatureUpdate_SignatureDisableNotification

此策略设置允许将反恶意软件服务配置为接收通知，以禁用单个安全智能以响应它发送到 Microsoft MAPS 的报告。 Microsoft MAPS 使用这些通知来禁用导致误报的安全智能。必须已将计算机配置为加入 Microsoft MAPS，此功能才能正常工作。

如果启用此设置或未配置，反恶意软件服务将收到禁用安全智能的通知。
如果禁用此设置，反恶意软件服务将不会收到禁用安全智能的通知。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	SignatureUpdate_SignatureDisableNotification
友好名称	允许通知禁用基于安全智能的 Microsoft MAPS 报表
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>安全智能汇报
注册表项名称	Software\Policies\Microsoft\Windows Defender\Signature 汇报
注册表值名称	SignatureDisableNotification
ADMX 文件名	WindowsDefender.admx

SignatureUpdate_SignatureUpdateCatchupInterval

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/SignatureUpdate_SignatureUpdateCatchupInterval

通过此策略设置，可以定义需要更新安全智能更新的天数。默认情况下，此设置的值为 1 天。

如果启用此设置，则会在指定的天数之后进行安全智能更新。
如果禁用或未配置此设置，则需要在默认天数后进行安全智能更新。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	SignatureUpdate_SignatureUpdateCatchupInterval
友好名称	定义需要跟进安全智能更新的天数
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>安全智能汇报
注册表项名称	Software\Policies\Microsoft\Windows Defender\Signature 汇报
注册表值名称	SignatureUpdateCatchupInterval
ADMX 文件名	WindowsDefender.admx

SignatureUpdate_UpdateOnStartup

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/SignatureUpdate_UpdateOnStartup

通过此策略设置，可以管理服务启动后是否立即发生针对新病毒和间谍软件安全智能的检查。

如果启用此设置，服务启动后将发生新安全智能检查。
如果禁用此设置或未配置此设置，服务启动后不会发生针对新安全智能检查。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	SignatureUpdate_UpdateOnStartup
友好名称	在启动时检查最新的病毒和间谍软件安全情报
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>安全智能汇报
注册表项名称	Software\Policies\Microsoft\Windows Defender\Signature 汇报
注册表值名称	UpdateOnStartUp
ADMX 文件名	WindowsDefender.admx

Spynet_LocalSettingOverrideSpynetReporting

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Spynet_LocalSettingOverrideSpynetReporting

此策略设置为要加入 Microsoft MAPS 的配置配置本地替代。此设置只能由组策略设置。

如果启用此设置，本地首选项设置将优先于组策略。
如果禁用或未配置此设置，组策略将优先于本地首选项设置。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Spynet_LocalSettingOverrideSpynetReporting
友好名称	为向 Microsoft MAPS 报告配置本地设置替代
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒 > MAPS
注册表项名称	Software\Policies\Microsoft\Windows Defender\Spynet
注册表值名称	LocalSettingOverrideSpynetReporting
ADMX 文件名	WindowsDefender.admx

SpynetReporting

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/SpynetReporting

此策略设置允许你加入 Microsoft MAPS。 Microsoft MAPS 是一个在线社区，可帮助你选择响应潜在威胁的方式。社区还有助于阻止新的恶意软件感染的传播。

可以选择发送有关检测到的软件的基本信息或其他信息。其他信息可帮助 Microsoft 创建新的安全智能，并帮助它保护你的计算机。如果删除了有害软件，此信息可以包括在计算机上检测到的项目的位置等内容。将自动收集和发送信息。在某些情况下，个人信息可能会无意中发送给 Microsoft。但是，Microsoft 不会使用此信息来识别你的身份或联系你。

可能的选项包括：

(0x0) 禁用 (默认) (0x1) 基本成员身份 (0x2) 高级成员身份。

基本成员身份将向 Microsoft 发送有关已检测到的软件的基本信息，包括软件来自何处、应用或自动应用的操作以及操作是否成功。

除基本信息外，高级成员身份还会向 Microsoft 发送有关恶意软件、间谍软件和可能不需要的软件的详细信息，包括软件的位置、文件名、软件的运行方式以及它如何影响计算机。

如果启用此设置，则将使用指定的成员身份加入 Microsoft MAPS。
如果禁用或未配置此设置，则不会加入 Microsoft MAPS。

在 Windows 10 中，基本成员身份不再可用，因此将值设置为 1 或 2 会将设备注册到高级成员身份。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	SpynetReporting
友好名称	加入 Microsoft MAPS
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒 > MAPS
注册表项名称	Software\Policies\Microsoft\Windows Defender\Spynet
注册表值名称	SpynetReporting
ADMX 文件名	WindowsDefender.admx

Threats_ThreatIdDefaultAction

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/Threats_ThreatIdDefaultAction

此策略设置自定义在扫描期间检测到每个列出的威胁 ID 时将对其采取的修正操作。应在此设置的“选项”下添加威胁。每个条目都必须作为名称值对列出。名称定义有效的威胁 ID，而该值包含应采取的修正操作的操作 ID。

有效的修正操作值为：

2 = 隔离 3 = 删除 6 = 忽略。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	Threats_ThreatIdDefaultAction
友好名称	指定检测到时不应对其执行默认操作的威胁
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>威胁
注册表项名称	Software\Policies\Microsoft\Windows Defender\Threats
注册表值名称	Threats_ThreatIdDefaultAction
ADMX 文件名	WindowsDefender.admx

UX_Configuration_CustomDefaultActionToastString

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/UX_Configuration_CustomDefaultActionToastString

使用此策略设置，可以配置在客户端需要执行操作时是否向客户端显示其他文本。显示的文本是管理员定义的自定义字符串。例如，要呼叫公司技术支持的电话号码。客户端接口最多只能显示 1024 个字符。较长的字符串将在显示前被截断。

如果启用此设置，将显示指定的其他文本。
如果禁用或未配置此设置，则不会显示其他文本。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	UX_Configuration_CustomDefaultActionToastString
友好名称	当客户端需要执行操作时向其显示附加文本
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>客户端接口
注册表项名称	Software\Policies\Microsoft\Windows Defender\UX Configuration
ADMX 文件名	WindowsDefender.admx

UX_Configuration_Notification_Suppress

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/UX_Configuration_Notification_Suppress

使用此策略设置可指定是否要在客户端上显示Microsoft Defender防病毒通知。

如果禁用或未配置此设置，Microsoft Defender防病毒通知将显示在客户端上。
如果启用此设置，Microsoft Defender防病毒通知不会显示在客户端上。

注意

启用篡改保护后，不会应用对此设置的更改。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	UX_Configuration_Notification_Suppress
友好名称	取消所有通知
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>客户端接口
注册表项名称	Software\Policies\Microsoft\Windows Defender\UX Configuration
注册表值名称	Notification_Suppress
ADMX 文件名	WindowsDefender.admx

UX_Configuration_SuppressRebootNotification

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/UX_Configuration_SuppressRebootNotification

此策略设置允许用户在仅 UI 模式下取消重新启动通知， (UI 不能处于锁定模式) 。

如果启用此设置，则 AM UI 不会显示重新启动通知。

注意

启用篡改保护后，不会应用对此设置的更改。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	UX_Configuration_SuppressRebootNotification
友好名称	取消重启通知
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>客户端接口
注册表项名称	Software\Policies\Microsoft\Windows Defender\UX Configuration
注册表值名称	SuppressRebootNotification
ADMX 文件名	WindowsDefender.admx

UX_Configuration_UILockdown

范围	版本	适用的操作系统
✅ 设备 ❌ 用户	✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC	✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本

./Device/Vendor/MSFT/Policy/Config/ADMX_MicrosoftDefenderAntivirus/UX_Configuration_UILockdown

使用此策略设置，可以配置是否向用户显示 AM UI。

如果启用此设置，则 AM UI 将不对用户可用。

描述框架属性:

属性名	属性值
格式	`chr` (字符串)
访问类型	添加、删除、获取、替换

提示

这是 ADMX 支持的策略，需要 SyncML 格式进行配置。有关 SyncML 格式的示例，请参阅启用策略。

ADMX 映射：

名称	值
名称	UX_Configuration_UILockdown
友好名称	启用无外设 UI 模式
位置	“计算机配置”
路径	Windows 组件>Microsoft Defender防病毒>客户端接口
注册表项名称	Software\Policies\Microsoft\Windows Defender\UX Configuration
注册表值名称	UILockdown
ADMX 文件名	WindowsDefender.admx

策略配置服务提供程序