全天候防護包含即時保護、行為監控,以及根據已知可疑及惡意行為識別惡意軟體的啟發式方法。 這些活動包括事件,例如程序對現有檔案做出異常變更、修改或建立自動啟動登錄鍵與啟動位置 (也稱為自動啟動擴充點(autostart extensibility points,簡稱 ASEPs)) ,以及檔案系統或檔案結構的其他變更。 始終連線保護是防毒軟體保護的重要一環,應該啟用。
注意事項
防干擾有助於防止全天候防護及其他安全設定被更改。 因此,啟用防篡改時,任何對 防篡改設定 的變更都會被忽略。 如果您必須對裝置進行變更,且這些變更被防篡改保護阻擋,我們建議使用 故障排除模式 暫時關閉裝置上的防篡改保護。 請注意,故障排除模式結束後,任何對防篡改設定所做的更改都會回復到設定狀態。 如果包含威脅的檔案被放在 Azure 檔案分享中,放置後不會被修復。 使用者必須先打開檔案,才能被即時保護偵測。
必要條件
支援的作業系統
- Windows
使用 Microsoft Intune 管理防毒設定
你可以使用 Intune 設定防毒政策,然後在組織內的裝置間套用這些政策。 防毒政策幫助安全管理員專注於管理受管理裝置的獨立防毒設定群組。 每個防毒政策包含多個設定檔。 每個設定檔僅包含與 macOS 和 Windows 裝置的 Microsoft Defender 防毒軟體相關的設定,或是 Windows 裝置上 Windows 安全性應用程式的使用者體驗相關設定。 欲了解更多資訊,請參閱 Intune 端點安全的防毒政策。
請前往 Intune 管理中心並登入。
在導覽面板中,選擇 端點安全 ,然後在 管理中選擇 防毒。
選擇現有政策,或選擇 + 建立政策 以建立新政策。
工作 處理方式 為 Windows 裝置建立新政策 1. 在建立設定檔步驟中,平台清單中選擇 Windows 10、Windows 11 和 Windows Server。 設定檔請選擇 Microsoft Defender 防毒軟體。 接著,選擇 [建立]。
2. 在 基礎 步驟,輸入保單名稱和說明,然後選擇 「下一步」。
3. 在 設定設定 步驟,展開 Defender,選擇你想用於政策的設定,然後選擇 下一步。 如需設定方面的協助,請參考 政策 CSP - Defender 的說明。
4. 在範圍 標籤步驟 中,選擇 選擇範圍標籤以 開啟 選擇標籤 欄,將範圍標籤指派給設定檔,然後選擇 下一步 繼續。
5. 在 分配 頁面,選擇要接收此資料的群組,然後選擇 「下一步」。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔。
6. 在 評論+創建 頁面,完成後選擇 「建立」。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。為 macOS 裝置建立新政策 1. 在建立個人檔案步驟中,平台清單中選擇 macOS。 在 設定檔中,選擇 防毒軟體。 接著,選擇 [建立]。
2. 在 基礎 步驟,輸入保單名稱和說明,然後選擇 「下一步」。
3. 在 設定 設定步驟,選擇你想用於政策的設定,然後選擇 下一步。 若要獲得設定協助,請參閱 macOS 上 適用於端點的 Microsoft Defender 設定偏好設定。
4. 在範圍 標籤步驟 中,選擇 選擇範圍標籤以 開啟 選擇標籤 欄,將範圍標籤指派給設定檔,然後選擇 下一步 繼續。
5. 在 分配 頁面,選擇要接收此資料的群組,然後選擇 「下一步」。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔。
6. 在 評論+創建 頁面,完成後選擇 「建立」。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。編輯 Windows 裝置的現有政策 1. 為 Windows 裝置選擇防毒政策。
2. 在 設定設定旁,選擇 編輯。
3. 展開 Defender,然後編輯你的政策設定。 如需設定方面的協助,請參考 政策 CSP - Defender 的說明。
4. 選擇 檢視 + 儲存,然後選擇 儲存。編輯 macOS 裝置的現有政策 1. 為 macOS 裝置選擇防毒政策。
2. 選擇 屬性,然後在 設定設定旁選擇 編輯。
3. 在 適用於端點的 Microsoft Defender 中,編輯你的政策設定。 若要獲得設定協助,請參閱 macOS 上 適用於端點的 Microsoft Defender 設定偏好設定。
4. 選擇 檢視 + 儲存,然後選擇 儲存。
你有使用群組原則嗎?
重要事項
我們建議使用 Microsoft Intune 來管理貴組織的 Microsoft Defender 防毒軟體設定。 有了 Intune,你可以透過政策控制哪些地方啟用或關閉) 防篡改保護 (。 你也可以保護 Microsoft Defender 防毒軟體的排除條款。 欲了解更多資訊,請參閱「保護 Microsoft Defender 防毒防篡改排除條款」。
你可以使用群組原則來管理一些 Microsoft Defender 防毒軟體的設定。 若您的組織啟用 了防篡改功能 ,任何對 防篡改設定 的變更都會被忽略。 你無法透過使用群組群組原則關閉防篡改保護。
如果您必須對裝置進行變更,且這些變更被防篡改保護阻擋,我們建議使用 故障排除模式 暫時關閉裝置上的防篡改保護。 故障排除模式結束後,任何對防篡改設定的變更都會回復到設定狀態。
您可以使用本地群組原則編輯器啟用並設定 Microsoft Defender 防毒軟體的常開防護設定。
啟用並設定使用群組原則的始終連線保護
開啟本地群組原則編輯器,如下:
在你的 Windows 10 或 Windows 11 工作列搜尋框中,輸入 gpedit。
在最佳匹配中,選擇編輯群組政策以啟動本地群組原則編輯器。
在本地群組原則編輯器的左側窗格,展開樹狀圖為電腦設定>管理範本、>Windows 組件、>Microsoft Defender 防毒軟體。
設定 Microsoft Defender 防毒軟體的防毒服務政策設定。
在右側的 Microsoft Defender 防毒詳情窗格中,雙擊「允許反惡意軟體服務以正常優先權啟動」,並設定為啟用。
然後選取 [確定]。
請配置 Microsoft Defender 防毒軟體即時防護政策設定,如下:
在 Microsoft Defender 防毒詳情欄目中,雙擊「即時防護」。 或者,從左側窗格的 Microsoft Defender 防毒樹中選擇「即時防護」。
在右側的 即時保護 細節欄,雙擊本文後面) (即時 保護政策設定 中的政策設定。
依照需要設定,然後選擇 確定。
對表格中的每個設定重複前述步驟。
請設定 Microsoft Defender 防毒軟體掃描政策設定,如下:
從左側窗格的 Microsoft Defender 防毒樹中,選擇掃描。
在右側的 掃描 細節窗格,雙擊 開啟啟發式,並設定為 啟用。
選取 [確定]。
關閉本地群組原則編輯器。
即時保護政策設定
想要最新的設定,請在你的中央儲存庫取得最新的 ADMX 檔案。 請參閱如何在 Windows 中建立與管理群組原則管理範本的中央儲存庫,並下載最新檔案。
在群組原則中停用即時保護
警告
關閉即時保護會大幅降低終端的防護,且不建議這麼做。 此外,如果啟用了竄改保護,你無法透過使用群組原則來關閉它。 如果您必須對裝置進行變更,且這些變更被防篡改保護阻擋,我們建議使用 故障排除模式 暫時關閉裝置上的防篡改保護。 請注意,故障排除模式結束後,任何對防篡改設定所做的更改都會回復到設定狀態。
開啟本地群組原則編輯器。
在你的 Windows 10 或 Windows 11 工作列搜尋框中,輸入
gpedit。在最佳匹配中,選擇編輯群組政策以啟動本地群組原則編輯器。
在本地群組原則編輯器的左側窗格,展開樹狀圖為電腦設定>管理範本、>Windows 元件、>Microsoft Defender 防毒>軟體即時防護。
在右側的 即時保護 細節欄,雙擊 「關閉即時保護」。
在 「關閉即時保護 」設定視窗中,將選項設為 啟用。
選取 [確定]。
關閉本地群組原則編輯器。
另請參閱
如果你正在尋找其他平台的防毒相關資訊,請參見: