启用和配置Microsoft Defender防病毒始终启用保护

适用于:

平台

  • Windows

始终启用保护包括实时保护、行为监视和启发式,用于根据已知的可疑和恶意活动识别恶意软件。 这些活动包括事件,例如对现有文件进行异常更改的进程、修改或创建自动启动注册表项和启动位置 (也称为自动启动扩展点或 ASEP) ,以及对文件系统或文件结构的其他更改。 始终启用保护是防病毒保护的重要组成部分,应启用。

注意

篡改保护 有助于防止始终启用保护和其他安全设置被更改。 因此,启用篡改保护后,将忽略对 防篡改设置 所做的任何更改。 如果必须对设备进行更改,并且篡改保护阻止了这些更改,我们建议使用 故障排除模式 在设备上暂时禁用篡改保护。 请注意,在故障排除模式结束后,对防篡改设置所做的任何更改都将还原到其配置状态。

使用 Microsoft Intune 管理防病毒设置

可以使用 Intune 配置防病毒策略,然后跨组织中的设备应用这些策略。 防病毒策略可帮助安全管理员专注于管理托管设备的防病毒设置的离散组。 每个防病毒策略都包含多个配置文件。 每个配置文件仅包含与 macOS 和 Windows 设备的 Microsoft Defender 防病毒相关的设置,或与 Windows 设备上的 Windows 安全中心 应用中的用户体验相关的设置。 有关详细信息,请参阅 Intune 中终结点安全的防病毒策略

  1. 转到 Intune 管理中心 并登录。

  2. 在导航窗格中,选择 “终结点安全性 ”,然后在 “管理”下,选择“ 防病毒”。

  3. 选择现有策略,或选择“ + 创建策略 ”以创建新策略。

    任务 需执行的操作
    为 Windows 设备创建新策略 1. 在“创建配置文件”步骤的“平台”列表中,选择“Windows 10”、“Windows 11”和“Windows Server”。 对于“配置文件”,请选择“Microsoft Defender防病毒”。 然后选择" 创建"。

    2. 在 “基本信息”步骤中 ,键入策略的名称和说明,然后选择“ 下一步”。

    3.在 “配置设置” 步骤中,展开“ Defender”,选择要用于策略的设置,然后选择“ 下一步”。 若要获取有关设置的帮助,请参阅 策略 CSP - Defender

    4. 在 “作用域标记 ”步骤中,选择“ 选择范围标记 ”,打开 “选择标记 ”窗格,将范围标记分配给配置文件,然后选择“ 下一步 ”继续。

    5.在 “分配” 页上,选择要接收此配置文件的组,然后选择“ 下一步”。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

    6.在“ 查看 + 创建 ”页上,完成后,选择“ 创建”。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。
    为 macOS 设备创建新策略 1. 在 “创建配置文件” 步骤的“ 平台 ”列表中选择“ macOS”。 对于 “配置文件”,选择“ 防病毒”。 然后选择" 创建"。

    2. 在 “基本信息”步骤中 ,键入策略的名称和说明,然后选择“ 下一步”。

    3. 在 “配置设置” 步骤中,选择要用于策略的设置,然后选择“ 下一步”。 若要获取有关设置的帮助,请参阅在 macOS 上设置Microsoft Defender for Endpoint首选项

    4. 在 “作用域标记 ”步骤中,选择“ 选择范围标记 ”,打开 “选择标记 ”窗格,将范围标记分配给配置文件,然后选择“ 下一步 ”继续。

    5.在 “分配” 页上,选择要接收此配置文件的组,然后选择“ 下一步”。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

    6.在“ 查看 + 创建 ”页上,完成后,选择“ 创建”。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。
    编辑 Windows 设备的现有策略 1. 为 Windows 设备选择防病毒策略。

    2. 在 “配置设置”旁边,选择 “编辑”。

    3. 展开 “Defender”,然后编辑策略的设置。 若要获取有关设置的帮助,请参阅 策略 CSP - Defender

    4.选择“ 查看 + 保存”,然后选择“ 保存”。
    编辑 macOS 设备的现有策略 1. 为 macOS 设备选择防病毒策略。

    2. 选择 “属性”,然后在 “配置设置”旁边选择 “编辑”。

    3. 在“Microsoft Defender for Endpoint”下,编辑策略的设置。 若要获取有关设置的帮助,请参阅在 macOS 上设置Microsoft Defender for Endpoint首选项

    4.选择“ 查看 + 保存”,然后选择“ 保存”。

是否使用 组策略?

重要

建议使用 Microsoft Intune 来管理组织的Microsoft Defender防病毒设置。 使用 Intune,可以通过策略控制启用篡改保护 (或禁用) 的位置。 还可以保护Microsoft Defender防病毒排除项。 有关详细信息,请参阅保护Microsoft Defender防病毒排除项免受篡改

可以使用组策略来管理某些Microsoft Defender防病毒设置。 请注意,如果组织中启用了 篡改保护 ,则会忽略对 防篡改设置 所做的任何更改。 无法使用 组策略 关闭篡改保护。

如果必须对设备进行更改,并且篡改保护阻止了这些更改,我们建议使用 故障排除模式 在设备上暂时禁用篡改保护。 请注意,在故障排除模式结束后,对防篡改设置所做的任何更改都将还原到其配置状态。

可以使用本地组策略编辑器启用和配置Microsoft Defender防病毒始终启用保护设置。

使用 组策略 启用和配置 Always-On 保护

  1. 打开“本地组策略编辑器”,如下所示:

    1. 在Windows 10或Windows 11任务栏搜索框中,键入 gpedit

    2. “最佳匹配”下,选择“编辑组策略”以启动本地组策略编辑器

      控制面板中的 GPEdit 任务栏搜索结果

  2. 在“本地组策略编辑器”的左窗格中,将树展开到“计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒”。

  3. 配置Microsoft Defender防病毒反恶意软件服务策略设置。

    在右侧的“Microsoft Defender防病毒详细信息”窗格中,双击“允许反恶意软件服务以正常优先级启动”,并将其设置为“已启用”。

    然后,选择“确定”。

  4. 配置Microsoft Defender防病毒实时保护策略设置,如下所示:

    1. “Microsoft Defender防病毒详细信息”窗格中,双击“实时保护”。 或者,从左窗格中的“Microsoft Defender防病毒”树中,选择“实时保护”。

    2. 在右侧 的“实时保护 详细信息”窗格中,双击本文后面 () 实时 保护策略设置中指定的策略设置

    3. 根据需要配置设置,然后选择“ 确定”。

    4. 对表中的每个设置重复上述步骤。

  5. 配置Microsoft Defender防病毒扫描策略设置,如下所示:

    1. 在左窗格中的“Microsoft Defender防病毒”树中,选择“扫描”。

    2. 在右侧的“ 扫描 详细信息”窗格中,双击“ 启用启发式”,并将其设置为 “已启用”。

    3. 选择“确定”。

  6. 关闭本地组策略编辑器

实时保护策略设置

对于最新设置,请在中央存储中获取最新的 ADMX 文件。 请参阅如何在 Windows 中创建和管理 组策略 管理模板的中央存储并下载最新文件。

在 组策略 中禁用实时保护

警告

禁用实时保护会大大减少终结点上的保护,不建议这样做。 此外,如果启用了篡改防护,则无法使用 组策略 将其关闭。 如果必须对设备进行更改,并且篡改保护阻止了这些更改,我们建议使用 故障排除模式 在设备上暂时禁用篡改保护。 请注意,在故障排除模式结束后,对防篡改设置所做的任何更改都将还原到其配置状态。

  1. 打开“本地组策略编辑器”。

    1. 在Windows 10或Windows 11任务栏搜索框中,键入 gpedit
    2. “最佳匹配”下,选择“编辑组策略”以启动本地组策略编辑器
  2. 在“本地组策略编辑器”的左窗格中,将树展开到“计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>实时保护”。

  3. 在右侧 的“实时保护 详细信息”窗格中,双击“ 关闭实时保护”。

  4. “关闭实时保护 设置”窗口中,将选项设置为 “已启用”。

  5. 选择“确定”。

  6. 关闭本地组策略编辑器

另请参阅

如果要查找其他平台的防病毒相关信息,请参阅:

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区