本文說明如何在Microsoft Defender入口) 中使用 Defender for Endpoint 安全設定管理 (管理裝置上的防毒Microsoft Defender安全政策。
注意事項
Microsoft Defender 入口網站中的端點安全政策頁面僅供指定為安全管理員角色的使用者使用。 其他使用者角色,例如安全閱讀器,無法存取入口網站。 當使用者擁有在 Microsoft Defender 入口網站中查看政策所需的權限時,資料會根據 Intune 權限呈現。 若使用者屬於 Intune 角色基礎存取控制的範圍,則該權限適用於 Microsoft Defender 入口網站中呈現的政策清單。 我們建議授權安全管理員擁有 Intune 內建的角色「端點安全管理員」,以有效協調 Intune 與 Microsoft Defender 入口網站間的權限層級。
作為安全管理員,你可以在 Microsoft Defender 入口網站中設定不同的 Microsoft Defender 防毒安全政策設定。
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
你可以在端點>組態管理>、端點安全政策中找到端點安全政策。
以下列表簡要說明每種端點安全政策類型:
防毒 軟體 - 防毒政策幫助安全管理員專注於管理受管理裝置的獨立防毒設定群組。
磁碟加密 ——端點安全磁碟加密設定檔只專注於與裝置內建加密方法相關的設定,例如 FileVault 或 BitLocker。 這種重點讓資安管理員能輕鬆管理磁碟加密設定,而不必在眾多無關設定中穿梭。
防火牆 - 使用 Intune 中的端點安全防火牆政策,為執行 macOS 和 Windows 10/11 的裝置設定內建防火牆。
端點偵測與回應——當你將 適用於端點的 Microsoft Defender 與 Intune 整合時,請使用端點安全政策, (EDR) 來管理 EDR 設定並適用於端點的 Microsoft Defender裝置。
攻擊面減少 - 當您的 Windows 10/11 裝置使用Microsoft Defender防毒軟體時,請使用 Intune 端點安全政策來減少攻擊面,以管理這些設定。
必要條件
請參考這裡的先修條件。
支援的作業系統
- Windows
- Windows Server
- macOS
- Linux
建立端點安全政策
請使用至少指定安全管理員角色的帳號登入 Microsoft Defender 入口網站。
選擇 端點>配置管理>端點安全政策 ,然後選擇 建立新政策。
從下拉選單中選擇一個平台。
選擇範本,然後選擇 建立政策。
在 [基本] 頁面上,輸入新設定檔的名稱與描述,然後選擇 [下一步]。
在 設定 頁面,展開每一組設定,並設定你想用這個設定檔管理的設定。
完成設定後,請選取 [下一步]。
在 分配 頁面,選擇收到此資料的團體。
選取 [下一步]。
在「 評論+建立 」頁面,完成後選擇 儲存。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。
注意事項
要編輯範圍標籤,你需要前往 Microsoft Intune 管理中心。
編輯端點安全政策
選擇新政策,然後選擇 編輯。
選取 [設定],以展開原則中的組態設定清單。 你無法從這個視圖修改設定,但你可以檢視它們的設定方式。
若要修改原則,請針對您要變更的每個類別選取 [編輯]:
- 基本功能
- 設定
- 作業
做完修改後,選擇 儲存 以儲存你的編輯內容。 必須先儲存對一個分類的編輯,才能對其他分類進行編輯。
驗證端點安全政策
要驗證你已成功建立政策,請從端點安全政策列表中選擇一個政策名稱。
注意事項
政策可能要等上 90 分鐘才能到達裝置。 為了加快流程,對於由 Defender for Endpoint 管理的裝置,你可以從動作選單中選擇 「政策同步 」,這樣大約 10 分鐘就能套用。
保單頁面會顯示詳細資料,總結保單狀態。 你可以查看政策狀態、套用到哪些裝置,以及分配給的群組。
在調查過程中,您也可以查看裝置頁面的安全 政策 標籤,查看對特定裝置套用的政策清單。 更多資訊請參閱 「調查裝置」。
Windows 與 Windows Server 的防毒政策
即時保護 (始終在線保護,即時掃描) :
| 描述 | 設定 |
|---|---|
| 允許即時監控 | 允許 |
| 即時掃描方向 | 雙向監控所有檔案 () |
| 允許行為監控 | 允許 |
| 允許存取保護 | 允許 |
| PUA 保護 | PUA 保護 |
如需詳細資訊,請參閱下列文章:
- Microsoft Defender 防毒軟體核心的先進技術
- 啟用並設定 Microsoft Defender 防毒軟體的全天候防護
- Microsoft Defender 防毒軟體中的行為監控
- 偵測並封鎖潛在的垃圾應用程式
雲端保護功能:
| 描述 | 設定 |
|---|---|
| 允許雲端保護 | 允許 |
| 雲端封鎖層級 | 高 |
| 雲端延長超時 | 配置,50 |
| 提交範例同意書 | 自動傳送所有樣本 |
Standard 安全情報更新可能需要數小時準備與交付;我們的雲端防護服務能在數秒內提供這些保護。 欲了解更多資訊,請參閱「透過雲端防護在 Microsoft Defender 防毒軟體中使用次世代技術」。
掃描:
| 描述 | 設定 |
|---|---|
| 允許 Email 掃描 | 允許 |
| 允許掃描所有下載的檔案與附件 | 允許 |
| 允許腳本掃描 | 允許 |
| 允許封存掃描 | 允許 |
| 允許掃描網路檔案 | 允許 |
| 允許全掃描可移除磁碟 | 允許 |
| 允許對映射網路磁碟進行完整掃描 | 不允許 |
| 封存最大深度 | 尚未設定 |
| 封存最大容量 | 尚未設定 |
欲了解更多資訊,請參閱「配置 Microsoft Defender 防毒掃描選項」。
安全情報更新:
| 描述 | 設定 |
|---|---|
| 簽名更新間隔 | 配置中,4 |
| 簽名更新備用命令 | MicrosoftUpdateServer InternalDefinitionUpdateServer MMPC |
| 簽名更新檔案分享來源 | 尚未設定 |
| 計量連接匯報 | 預設 (不允許) |
| 安全情報匯報頻道 | 尚未設定 |
注意事項
InternalDefinitionUpdateServer允許使用 Microsoft Defender 防毒軟體更新的 WSUS。
MicrosoftUpdateServerMicrosoft更新 (前身為Windows Update) 。
MMPCMicrosoft Defender安全情報中心 (WDSI前身為Microsoft 惡意程式碼防護中心) https://www.microsoft.com/wdsi/definitions。
如需詳細資訊,請參閱下列文章:
引擎更新:
| 描述 | 設定 |
|---|---|
| 引擎匯報頻道 | 尚未設定 |
欲了解更多資訊,請參閱管理 Microsoft Defender 更新的逐步推出流程。
平台更新:
| 描述 | 設定 |
|---|---|
| 平台匯報頻道 | 尚未設定 |
欲了解更多資訊,請參閱管理 Microsoft Defender 更新的逐步推出流程。
預定掃描與隨選掃描:
排程掃描與隨選掃描的一般設定
| 描述 | 設定 |
|---|---|
| 掃描前檢查簽名 | 預設 (已停用) |
| 隨機化任務排程 | 尚未設定 |
| 排程器隨機化時間 | 排程任務不會隨機化 |
| 平均 CPU 負載因數 | 未設定 (預設,50) |
| 啟用低 CPU 優先權 | 預設 (已停用) |
| 關閉追趕全掃描 | 啟用 (預設) |
| 關閉追趕快速掃描 | 啟用 (預設) |
每日快速掃描
| 描述 | 設定 |
|---|---|
| 安排快速掃描時間 | 720 |
注意事項
在這個例子中,Windows 用戶端每天中午 12:00 會執行快速掃描。 (720) 。 在這個例子中,我們使用午餐時間,因為現今許多裝置在非下班時間會關閉, (例如筆記型電腦) 。
每週快速掃描或全面掃描
| 描述 | 設定 |
|---|---|
| 掃描參數 | 快速掃描 (預設) |
| 掃描日安排 | Windows 用戶端:星期三 Windows 伺服器:星期六 |
| 排程掃描時間 | Windows 用戶端:1020 Windows 伺服器:60 台 |
注意事項
在這個例子中,Windows 用戶端會在週三下午 5:00 執行快速掃描。 (1020) 。 Windows 伺服器則在週六凌晨 1 點播出。 (60)
如需詳細資訊,請參閱下列文章:
威脅嚴重度預設動作:
| 描述 | 設定 |
|---|---|
| 高嚴重性威脅的整治行動 | 隔離 |
| 嚴重威脅的整治行動 | 隔離 |
| 低嚴重度威脅的整治行動 | 隔離 |
| 中度嚴重度威脅的整治行動 | 隔離 |
| 清除後的惡意軟體保存天數 | 配置,60 |
| 允許使用者 UI 存取 | 允許。 讓使用者存取介面。 |
欲了解更多資訊,請參閱「配置 Microsoft Defender 防毒偵測的修復」。
防毒軟體排除事項:
本地管理員合併行為:
請停用本地管理員的防毒設定,例如排除選項,並使用 Defender for Endpoint Security Settings Management 設定政策,詳見下表說明:
| 描述 | 設定 |
|---|---|
| 停用本地管理員合併 | 停用本地管理員合併 |
| 排除的延伸 | 根據需要新增功能,用來避免誤報 (FP) 或排除 MsMpEng.exe 中高 CPU 使用率的問題 |
| 排除路徑 | 根據需要新增功能,用來避免誤報 (FP) 或排除 MsMpEng.exe 中高 CPU 使用率的問題 |
| 排除過程 | 根據需要新增功能,用來避免誤報 (FP) 或排除 MsMpEng.exe 中高 CPU 使用率的問題 |
如需詳細資訊,請參閱下列文章:
Microsoft Defender Core 服務:
| 描述 | 設定 |
|---|---|
| 停用核心服務 ECS 整合 | Defender 核心服務使用 ECS) (實驗與組態服務,快速提供關鍵且針對組織的修正。 |
| 停用核心服務遙測 | Defender 核心服務使用 OneDsCollector 框架來快速收集遙測資料。 |
欲了解更多資訊,請參閱 Microsoft Defender Core 服務概覽。
網路保護:
| 描述 | 設定 |
|---|---|
| 啟用網路保護 | 啟用 (區塊模式) |
| 允許網路保護下層 | 網路保護已啟用於下層。 |
| 允許在 Win Server 上進行資料報處理 | Windows Server 的資料報處理 (預設,建議) 已停用。 |
| 關閉 DNS over TCP 解析 | DNS over TCP 解析已啟用。 |
| 停用 HTTP 解析 | HTTP 解析已啟用。 |
| 停用 SSH 語法解析 | SSH 解析已啟用。 |
| 關閉 TLS 解析 | TLS 解析已啟用。 |
| 啟用 DNS Sinkhole | DNS Sinkhole 已啟用。 |
欲了解更多資訊,請參閱 「使用網路保護協助防止與惡意或可疑網站連線」。
完成設定後,請選取 [下一步]。
在 指派 標籤中,選擇 裝置群組 、 使用者群組 、 所有裝置 或 所有使用者。
選取 [下一步]。
在 「檢視+建立 」標籤中,檢視你的政策設定,然後選擇 儲存。
攻擊面減少規則
要啟用攻擊面減少 (ASR) 規則,使用端點安全政策,請執行以下步驟:
前往 端點 > 組態管理 > 端點安全政策 > Windows 政策 > 建立新政策。
從選擇平台下拉選單中選擇 Windows 10、Windows 11 和 Windows Server。
從「選取範本」下拉選單選擇攻擊面減少規則。
選取 [建立原則]。
在 基礎 頁面輸入個人資料的名稱與描述;然後,選擇 「下一步」。
在 設定 頁面,展開設定群組,並設定你想用這個設定檔管理的設定。
請根據以下建議設定來設定政策:
描述 設定 封鎖來自電子郵件用戶端及網路郵件的可執行內容 封鎖 封鎖 Adobe Reader 使其無法建立子程序 封鎖 封鎖可能經過模糊化的指令碼的執行 封鎖 阻擋被利用的易受攻擊簽署驅動程式 (裝置) 封鎖 封鎖來自 Office 巨集的 Win32 API 呼叫 封鎖 除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行 封鎖 封鎖 Office 通訊應用程式使其無法建立子程序 封鎖 封鎖所有 Office 應用程式使其無法建立子程序 封鎖 [預告]封鎖使用複製或冒充的系統工具 封鎖 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 封鎖 封鎖從 Windows 本機安全性授權子系統竊取認證 封鎖 為伺服器建立網頁殼層 封鎖 封鎖 Office 應用程式使其無法建立可執行的內容 封鎖 封鎖從 USB 執行的未受信任與未簽署程序 封鎖 封鎖 Office 應用程式使其無法將程式碼插入其他程序 封鎖 透過 WMI 事件訂閱封鎖持續性 封鎖 對惡意勒索軟體使用進階保護 封鎖 封鎖源自 PSExec 與 WMI 命令的程序建立 封鎖 (如果你有Configuration Manager (以前SCCM) 或其他使用 WMI 的管理工具,可能需要將它設成審計,而不是封鎖) [預告]在安全模式下封鎖重啟機器 封鎖 啟用受控資料夾存取 Enabled 提示
任何規則都可能阻擋你認為在組織中可接受的行為。 在這種情況下,新增名為「僅攻擊面縮減排除」的規則排除。此外,將規則從 啟用 改為 審核 ,以防止不想要的封鎖。
欲了解更多資訊,請參閱 攻擊面減少規則部署概覽。
選取 [下一步]。
在 指派 標籤中,選擇 裝置群組 、 使用者群組 、 所有裝置 或 所有使用者。
選取 [下一步]。
在 「檢視+建立 」標籤中,檢視你的政策設定,然後選擇 儲存。
啟用防震保護
前往 端點 > 組態管理 > 端點安全政策 > Windows 政策 > 建立新政策。
從選擇平台下拉選單中選擇 Windows 10、Windows 11 和 Windows Server。
從「選擇範本」下拉選單中選擇「安全經驗」。
選取 [建立原則]。 「 建立新政策 」頁面會出現。
在 基礎 頁面,請在 名稱 和 描述 欄位輸入個人檔案的名稱和描述。
選取 [下一步]。
在 設定 頁面,展開設定群組。
從這些群組中,選擇你想用這個設定檔管理的設定。
請依照下表描述配置,設定所選設定群組的政策:
描述 設定 防篡改 (裝置) 開啟 欲了解更多資訊,請參閱 「保護防篡改防護的安全設定」。
檢查 Cloud Protection 網路連線
在滲透測試期間,檢查 Cloud Protection 網路連線是否正常非常重要。
以管理員身份開啟命令提示字元,然後執行以下指令:
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
欲了解更多資訊,請參閱 使用 cmdline 工具驗證雲端提供的保護。
請查看平台更新版本
最新的平台更新版本製作頻道 (GA) 可在 更新目錄中Microsoft取得。
要檢查你安裝的是哪個平台更新版本,請使用管理員權限在 PowerShell 執行以下指令:
Get-MPComputerStatus | Format-Table AMProductVersion
請查看安全情報更新版本
最新的安全情報更新版本已收錄於 Microsoft Defender 防毒軟體及其他 Microsoft 反惡意軟體的最新安全情報更新——Microsoft 安全情報中。
要檢查您安裝的是哪個版本的安全智慧更新,請使用管理員權限在 PowerShell 執行以下指令:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
請檢查引擎更新版本
最新的掃描引擎更新版本收錄於 Microsoft Defender 防毒軟體及其他 Microsoft 防惡意軟體的最新安全智慧更新中,即 Microsoft 安全情報。
要檢查你安裝的是哪個引擎更新版本,請以管理員身份在 PowerShell 執行以下指令:
Get-MPComputerStatus | Format-Table AMEngineVersion
如果你發現設定沒有生效,可能會有衝突。 有關如何解決衝突的資訊,請參閱「故障排除 Microsoft Defender 防毒軟體設定」。
針對假陰性 (FNs) 提交
若要報告假陰性 (FN) ,請參閱以下文章:
- 如果您擁有 Microsoft XDR、適用於端點的 Microsoft Defender P2/P1 或適用於企業的 Microsoft Defender,請在 Microsoft Defender for Endpoint 中提交檔案。
- 如果你有 Microsoft Defender 防毒軟體,請提交檔案進行分析。