Microsoft Defender SmartScreen 遵循INTUNE、组策略和移动设备管理 (MDM) 设置。 可以将Microsoft Defender SmartScreen 配置为完全阻止可疑内容,或向用户显示警告,但允许他们继续加载内容。
有关可在Intune中使用的控件,请参阅使用 Intune 保护设备的 Windows 设置。
组策略设置
SmartScreen 使用基于注册表的管理模板策略设置。
| 设置 | 描述 |
|---|---|
| 管理模板 > Windows 组件 > Windows Defender SmartScreen > 资源管理器 > 配置 Windows Defender SmartScreen | 此策略设置控制Microsoft Defender SmartScreen 的应用程序信誉 (“检查应用和文件”) 功能。 如果启用此设置,它将Microsoft Defender SmartScreen 打开,并且用户无法将其关闭。 启用此功能时,必须选择用户是否可以选择忽略警告并运行未知或恶意程序。 如果禁用此设置,它将Microsoft Defender SmartScreen 关闭,并且用户无法将其打开。 如果未配置此设置,用户可以决定是否使用 Microsoft Defender SmartScreen 的应用程序信誉功能。 |
| 管理模板 > Windows 组件 > Windows Defender SmartScreen > Explorer > 配置应用安装控件 | 此策略设置允许你控制用户是否可以从 Microsoft 应用商店外部安装下载的应用。 此设置不会影响从 USB 设备、本地网络共享或其他非 Internet 源打开文件。 |
| 管理模板>Microsoft Edge > SmartScreen 设置>配置 Microsoft Defender SmartScreen | 此策略设置允许在 Microsoft Edge Web 浏览器中配置 Microsoft Defender SmartScreen。 Microsoft Defender SmartScreen 提供警告消息,以帮助保护用户免受潜在网络钓鱼网站、技术欺诈和恶意软件的侵害。 默认情况下,Microsoft Defender SmartScreen 处于打开状态。 如果启用此设置,Microsoft Defender SmartScreen 处于打开状态,用户无法将其关闭。 如果禁用此设置,Microsoft Defender SmartScreen 处于关闭状态,用户无法将其打开。 如果未配置此设置,则用户可以选择是否使用 Microsoft Defender SmartScreen。 |
| 管理模板 > Microsoft Edge > SmartScreen 设置 > 防止绕过 Windows Defender SmartScreen 网站提示 | 使用此策略设置,可以决定用户是否可以替代Microsoft Defender SmartScreen 有关潜在恶意网站的警告。 如果启用此设置,则用户无法忽略Microsoft Defender SmartScreen 警告,并且将阻止用户继续访问可疑站点。 如果禁用或未配置此设置,用户可以忽略Microsoft Defender SmartScreen 警告并继续访问可疑站点。 |
| 管理模板>Microsoft Edge > SmartScreen 设置 > 防止绕过有关下载的Microsoft Defender SmartScreen 警告 | 此策略设置可让你决定用户是否可以替代Microsoft Defender有关未经验证 (潜在恶意) 下载的 SmartScreen 警告。 如果启用此设置,用户无法忽略Microsoft Defender SmartScreen 警告,并且将阻止用户下载未经验证的文件。 如果禁用或未配置此设置,用户可以忽略Microsoft Defender SmartScreen 警告并下载未经验证的文件。 |
注意
若要为 Microsoft Edge 浏览器策略安装管理模板 ADMX 文件,请参阅 配置 Microsoft Edge。
MDM 设置
如果使用 Microsoft Intune 管理策略,请使用这些 MDM 策略设置。 所有设置都支持运行 Windows 10/11 Pro 或 Windows 10/11 Enterprise(已注册Microsoft Intune)的台式计算机。
- AllowSmartScreen
- EnableAppInstallControl
- EnableSmartScreenInShell
- PreventOverrideForFilesInShell
- PreventSmartScreenPromptOverride
- PreventSmartScreenPromptOverrideForFiles
适合组织的推荐组策略和 MDM 设置
默认情况下,Microsoft Defender SmartScreen 允许用户绕过警告,这允许用户继续访问不安全的站点或运行不安全的文件,即使在收到警告之后也是如此。 由于这种可能性,我们强烈建议设置 Microsoft Defender SmartScreen 来阻止高风险交互,而不是仅提供警告。
为了更好地帮助保护组织,建议启用并使用这些特定的Microsoft Defender SmartScreen 组策略和 MDM 设置。
| 组策略设置 | 建议 |
|---|---|
| 管理模板 > Windows 组件 > 资源管理器 > 配置 Windows Defender SmartScreen | 启用警告和阻止忽视选项。 阻止用户忽略有关从 Internet 下载的恶意文件的警告消息。 |
| 管理模板>Microsoft Edge > SmartScreen 设置>配置 Microsoft Defender SmartScreen | 启用。 打开 smartScreen Microsoft Defender。 |
| 管理模板 > Microsoft Edge > 防止绕过网站的 Windows Defender SmartScreen 提示 | 启用。 阻止用户忽略警告消息并继续访问潜在的恶意网站。 |
| 管理模板>Microsoft Edge > 防止绕过有关下载Microsoft Defender SmartScreen 警告 | 启用。 阻止用户忽略警告消息和下载未经验证的文件 |
| MDM 设置 | 建议 |
|---|---|
| Browser/AllowSmartScreen | 1. 打开 smartScreen Microsoft Defender。 |
| Browser/PreventSmartScreenPromptOverride | 1. 阻止用户忽略警告消息并继续访问潜在的恶意网站。 |
| Browser/PreventSmartScreenPromptOverrideForFiles | 1. 阻止用户忽略警告消息并继续下载潜在的恶意文件。 |
| SmartScreen/EnableSmartScreenInShell |
1. 在 Windows 中打开 Microsoft Defender SmartScreen。 需要至少为 Windows 10 版本 1703。 |
| SmartScreen/PreventOverrideForFilesInShell |
1. 阻止用户忽略有关从 Internet 下载的恶意文件的警告消息。 需要至少为 Windows 10 版本 1703。 |
注意
有关可用于增强网络钓鱼防护的设置列表,请参阅 增强的钓鱼防护。