共用方式為


Defender CSP

注意

ControlPolicyConflict (MDMWinsOverGP) 不適用於 Defender CSP。 如果使用 MDM,請移除目前的 Defender 組策略設定,以避免與 MDM 設定發生衝突。

下列清單顯示 Defender 設定服務提供者節點:

設定

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1903 [10.0.18362] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration

用來群組 Windows Defender 設定資訊的內部節點。

描述架構屬性:

屬性名稱 屬性值
格式 node
存取類型 [取得]

Configuration/AllowDatagramProcessingOnWinServer

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/AllowDatagramProcessingOnWinServer

此設定可控制是否允許網路保護在 Windows Server 上啟用數據報處理。 如果為 false,則會忽略 DisableDatagramProcessing 的值,並預設為停用 Datagram 檢查。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 已啟用 Windows Server 上的數據報處理。
0 (預設值) Windows Server 上的數據報處理已停用。

Configuration/AllowNetworkProtectionDownLevel

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/AllowNetworkProtectionDownLevel

此設定可控制是否允許網路保護在RS3的下層視窗上設定為封鎖或稽核模式。 如果為 false,則會忽略 EnableNetworkProtection 的值。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 網路保護將會向下啟用。
0 (預設值) 將停用下層網路保護。

Configuration/AllowNetworkProtectionOnWinServer

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1709 [10.0.16299] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/AllowNetworkProtectionOnWinServer

此設定可控制是否允許在 Windows Server 上將網路保護設定為封鎖或稽核模式。 如果為 false,則會忽略 EnableNetworkProtection 的值。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 1

允許的值:

描述
1 (預設) 允許。
0 禁止。

Configuration/AllowSwitchToAsyncInspection

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1709 [10.0.16299] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/AllowSwitchToAsyncInspection

透過從即時檢查切換到異步檢查,控制網路保護是否可以改善效能。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 允許切換至異步檢查。
0 (預設值) 不允許異步檢查。

Configuration/ArchiveMaxDepth

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/ArchiveMaxDepth

指定要從封存盤案擷取以進行掃描的最大資料夾深度。 如果此組態已關閉或未設定,則會套用預設值 (0) ,並將所有封存解壓縮到最深的資料夾以進行掃描。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
允許的值 範圍: [0-4294967295]
預設值 0

Configuration/ArchiveMaxSize

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/ArchiveMaxSize

指定要擷取和掃描之封存盤案的大小上限,以 KB 為單位。 如果此組態已關閉或未設定,則會套用預設值 (0) ,而且不論大小為何,都會擷取和掃描所有封存。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
允許的值 範圍: [0-4294967295]
預設值 0

Configuration/ASROnlyPerRuleExclusions

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1709 [10.0.16299] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/ASROnlyPerRuleExclusions

僅針對每個規則排除專案套用 ASR。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

Configuration/BehavioralNetworkBlocks

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks

描述架構屬性:

屬性名稱 屬性值
格式 node
存取類型 [取得]

Configuration/BehavioralNetworkBlocks/BruteForceProtection

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection

描述架構屬性:

屬性名稱 屬性值
格式 node
存取類型 [取得]
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionAggressiveness
領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionAggressiveness

設定保護封鎖IP位址時 Brute-Force 準則。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 低:只有 100% 信賴惡意的 IP 位址 (預設) 。
1 中:使用雲端匯總來封鎖超過99%可能惡意的IP位址。
2 高:封鎖使用用戶端智慧和內容識別的IP位址,以封鎖超過90%可能惡意的IP位址。
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionConfiguredState
領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionConfiguredState

Brute-Force 保護 Microsoft Defender 防病毒軟體會偵測並封鎖強制登入和起始會話的嘗試。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 未設定:套用防病毒軟體引擎和平臺所設定的預設值。
1 封鎖:防止可疑和惡意行為。
2 稽核:在不封鎖的情況下產生 EDR 偵測。
4 關閉:功能已停用,不會影響效能。
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionExclusions
領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionExclusions

指定要排除的IP位址、子網或工作站名稱,Brute-Force 保護。 請注意,攻擊者可以詐騙排除的位址和名稱來略過保護。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代
允許的值 列出 (分隔符: |)
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionMaxBlockTime
領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionMaxBlockTime

設定 Brute-Force Protection 封鎖IP位址的最大時間。 在此時間之後,封鎖的IP位址將能夠登入並起始會話。 如果設定為 0,內部功能邏輯會決定封鎖時間。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
允許的值 範圍: [0-4294967295]
預設值 0
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins
領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins

描述架構屬性:

屬性名稱 屬性值
格式 node
存取類型 [取得]
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionLocalNetworkBlocking
領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1709 [10.0.16299] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionLocalNetworkBlocking

在 Microsoft Defender 防病毒軟體中擴充暴力密碼破解保護涵蓋範圍,以封鎖局域網路位址。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 暴力密碼破解保護不會封鎖局域網路位址。
1 暴力密碼破解保護會封鎖局域網路位址。
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionSkipLearningPeriod
領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1709 [10.0.16299] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionSkipLearningPeriod

略過 2 周的初始學習期間,因此 Microsoft Defender 防病毒軟體中的暴力密碼破解保護可以立即開始封鎖。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 暴力密碼破解保護只會在完成 2 周的學習期間之後封鎖威脅。
1 暴力密碼破解保護會立即開始封鎖威脅。

Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection

描述架構屬性:

屬性名稱 屬性值
格式 node
存取類型 [取得]
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionAggressiveness
領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionAggressiveness

設定遠端加密保護封鎖IP位址時的準則。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 低:只有在信賴等級為 100% 時才會封鎖 (預設) 。
1 中:使用雲端匯總,並在信賴等級高於 99% 時封鎖。
2 高:使用雲端 Intel 和內容,並在信賴等級高於 90% 時封鎖。
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionConfiguredState
領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionConfiguredState

Microsoft Defender 防病毒軟體中的遠端加密保護會偵測並封鎖嘗試以另一個裝置的加密版本取代本機檔案。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 未設定:套用防病毒軟體引擎和平台的預設值集。
1 封鎖:防止可疑和惡意行為。
2 稽核:在不封鎖的情況下產生 EDR 偵測。
4 關閉:功能關閉,不會影響效能。
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionExclusions
領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionExclusions

指定要排除的IP位址、子網或工作站名稱,不要遭到遠端加密保護封鎖。 請注意,攻擊者可以詐騙排除的位址和名稱來略過保護。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
允許的值 列出 (分隔符: |)
預設值 0
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionMaxBlockTime
領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionMaxBlockTime

設定遠端加密保護封鎖IP位址的最大時間。 在此時間之後,封鎖的IP位址將能夠重新啟動連線。 如果設定為 0,內部功能邏輯會決定封鎖時間。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
允許的值 範圍: [0-4294967295]
預設值 0

Configuration/DataDuplicationDirectory

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationDirectory

定義裝置控制的數據重複目錄。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

Configuration/DataDuplicationLocalRetentionPeriod

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationLocalRetentionPeriod

定義如果發生任何傳輸至遠端位置時,辨識項數據將在用戶端電腦上保留多少時間的保留期間。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
允許的值 範圍: [1-120]
預設值 60

Configuration/DataDuplicationMaximumQuota

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationMaximumQuota

定義可收集的最大 MB 資料重複配額。 達到配額時,篩選器會停止複製任何數據,直到服務管理分派現有收集的數據為止,因而再次將配額降低到最大值以下。 有效間隔為 [5-5000] MB。 根據預設,配額上限為 500 MB。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
允許的值 範圍: [5-5000]
預設值 500

Configuration/DataDuplicationRemoteLocation

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocation

定義裝置控制的數據重複遠端位置。 設定此設定時,請確定 [裝置控制] 已啟用,且提供的路徑是使用者可以存取的遠端路徑。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

Configuration/DaysUntilAggressiveCatchupQuickScan

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DaysUntilAggressiveCatchupQuickScan

設定觸發積極式快速掃描之前,可以經過多少天。 有效間隔為 [7-60] 天。 如果未設定,將會停用積極式快速掃描。 根據預設,此值會在啟用時設定為30天。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
允許的值 範圍: [7-60]
預設值 30

組態/DefaultEnforcement

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DefaultEnforcement

控制裝置控制裝置控制控制裝置控制器預設強制執行。 如果沒有任何原則規則存在,或在原則規則評估結束時未相符,則會套用此強制執行。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 1

允許的值:

描述
1 (預設) 默認允許強制執行。
2 默認拒絕強制執行。

組態/DeviceControl

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl

描述架構屬性:

屬性名稱 屬性值
格式 node
存取類型 [取得]

Configuration/DeviceControl/PolicyGroups

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups

描述架構屬性:

屬性名稱 屬性值
格式 node
存取類型 [取得]
Configuration/DeviceControl/PolicyGroups/{GroupId}
領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/{GroupId}

描述架構屬性:

屬性名稱 屬性值
格式 node
存取類型 新增、刪除、取得、取代
Configuration/DeviceControl/PolicyGroups/{GroupId}/GroupData
領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/{GroupId}/GroupData

如需詳細資訊,請參閱 適用於端點的 Microsoft Defender 裝置控制卸載式記憶體 存取控制

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

Configuration/DeviceControl/PolicyRules

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules

描述架構屬性:

屬性名稱 屬性值
格式 node
存取類型 [取得]
Configuration/DeviceControl/PolicyRules/{RuleId}
領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/{RuleId}

描述架構屬性:

屬性名稱 屬性值
格式 node
存取類型 新增、刪除、取得、取代
Configuration/DeviceControl/PolicyRules/{RuleId}/RuleData
領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/{RuleId}/RuleData

如需詳細資訊,請參閱 適用於端點的 Microsoft Defender 裝置控制件卸載式記憶體 存取控制

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

Configuration/DeviceControlEnabled

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DeviceControlEnabled

控制裝置控制裝置控制功能。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 裝置控制項已啟用。
0 (預設值) 裝置控制項已停用。

組態/DisableCacheMaintenance

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DisableCacheMaintenance

定義快取維護閑置工作是否會執行快取維護。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 快取維護已停用。
0 (預設值) (預設) 啟用快取維護。

Configuration/DisableCoreServiceECSIntegration

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DisableCoreServiceECSIntegration

關閉 Defender 核心服務的 ECS 整合。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0x0

允許的值:

旗標 描述
0x0 (默认) Defender 核心服務會使用測試和設定服務 (ECS) ,快速提供關鍵且組織特有的修正程式。
0x1 Defender 核心服務會停止使用測試和設定服務 (ECS) 。 修正程式會繼續透過安全性情報更新傳遞。

Configuration/DisableCoreServiceTelemetry

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DisableCoreServiceTelemetry

關閉 Defender 核心服務的 OneDsCollector 遙測。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0x0

允許的值:

旗標 描述
0x0 (默认) Defender 核心服務會使用 OneDsCollector 架構來快速收集遙測。
0x1 Defender 核心服務會停止使用 OneDsCollector 架構來快速收集遙測,這會影響Microsoft快速辨識並解決效能不佳、誤判和其他問題的能力。

Configuration/DisableCpuThrottleOnIdleScans

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DisableCpuThrottleOnIdleScans

指出當裝置閑置時,CPU 是否會針對排程掃描進行節流。 此功能預設為啟用,而且不會針對裝置閑置時執行的排程掃描進行 CPU 節流,無論 ScanAvgCPULoadFactor 設定為何種。 對於所有其他排程掃描,此旗標不會有任何影響,而且會發生一般節流。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 1

允許的值:

描述
1 (預設) 停用閑置掃描的CPU節流。
0 在閑置掃描時啟用CPU節流。

Configuration/DisableDatagramProcessing

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1709 [10.0.16299] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DisableDatagramProcessing

控制網路保護是否檢查用戶數據報通訊協定 (UDP) 流量。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 UDP 檢查已關閉。
0 (預設值) UDP 檢查已開啟。

組態/DisableDnsOverTcpParsing

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DisableDnsOverTcpParsing

此設定會停用網路保護的DCP剖析 DNS。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 已停用透過 TCP 剖析的 DNS。
0 (預設值) 已啟用透過 TCP 剖析的 DNS。

組態/DisableDnsParsing

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DisableDnsParsing

此設定會停用網路保護的 DNS 剖析。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 DNS 剖析已停用。
0 (預設值) 已啟用 DNS 剖析。

組態/DisableFtpParsing

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DisableFtpParsing

此設定會停用網路保護的 FTP 剖析。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 FTP 剖析已停用。
0 (預設值) 已啟用 FTP 剖析。

Configuration/DisableGradualRelease

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DisableGradualRelease

啟用此原則可停用逐步推出Defender更新。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 已停用漸進式發行。
0 (預設值) 已啟用漸進式發行。

設定/停用HttpParsing

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DisableHttpParsing

此設定會停用網路保護的 HTTP 剖析。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 HTTP 剖析已停用。
0 (預設值) 已啟用 HTTP 剖析。

Configuration/DisableInboundConnectionFiltering

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DisableInboundConnectionFiltering

此設定會停用網路保護的輸入連線篩選。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 已停用輸入連線篩選。
0 (預設值) 已啟用輸入連線篩選。

Configuration/DisableLocalAdminMerge

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DisableLocalAdminMerge

當此值設定為 [否] 時,它可讓本機系統管理員指定複雜清單類型的某些設定,然後合併 /覆寫喜好設定與原則設定。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 是。
0 (預設值) 否。

Configuration/DisableNetworkProtectionPerfTelemetry

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DisableNetworkProtectionPerfTelemetry

此設定會停用從網路保護收集和傳送效能遙測。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 網路保護遙測已停用。
0 (預設值) 已啟用網路保護遙測。

組態/DisableQuicParsing

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DisableQuicParsing

此設定會停用網路保護的 QUIC 剖析。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 QUIC 剖析已停用。
0 (預設值) 已啟用 QUIC 剖析。

組態/DisableRdpParsing

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DisableRdpParsing

此設定會停用網路保護的 RDP 剖析。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 RDP 剖析已停用。
0 (預設值) 已啟用 RDP 剖析。

組態/DisableSmtpParsing

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DisableSmtpParsing

此設定會停用網路保護的 SMTP 剖析。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 SMTP 剖析已停用。
0 (預設值) 已啟用 SMTP 剖析。

組態/DisableSshParsing

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DisableSshParsing

此設定會停用網路保護的 SSH 剖析。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 SSH 剖析已停用。
0 (預設值) 已啟用 SSH 剖析。

組態/DisableTlsParsing

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/DisableTlsParsing

此設定會停用網路保護的 TLS 剖析。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 TLS 剖析已停用。
0 (預設值) 已啟用 TLS 剖析。

Configuration/EnableConvertWarnToBlock

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1709 [10.0.16299] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/EnableConvertWarnToBlock

此設定可控制網路保護是否會封鎖網路流量,而不是顯示警告。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 警告決策會轉換成封鎖。
0 (預設值) 警告決策不會轉換成封鎖。

Configuration/EnableDnsSinkhole

注意

此原則已被取代,並可能在未來的版本中移除。

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/EnableDnsSinkhole

此設定可啟用網路保護的 DNS 接收洞功能,並遵循區塊與稽核的 EnableNetworkProtection 值,在檢查模式中不會執行任何動作。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 1

允許的值:

說明
0 DNS 接收洞已停用。
1 (預設) 已啟用 DNS 接收洞。

Configuration/EnableFileHashComputation

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1903 [10.0.18362] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/EnableFileHashComputation

啟用或停用檔案哈希計算功能。 啟用此功能時,Windows Defender 會計算所掃描檔案的哈希。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 停用:
1 啟用:

Configuration/EnableUdpReceiveOffload

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/EnableUdpReceiveOffload

此設定可啟用 Udp 接收卸除網路保護。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) Udp 接收卸除已停用。
1 已啟用 Udp 接收卸除。

Configuration/EnableUdpSegmentationOffload

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/EnableUdpSegmentationOffload

此設定可啟用 Udp 分割卸除網路保護。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) Udp 分割卸除已停用。
1 已啟用 Udp 分割卸除。

Configuration/EngineUpdatesChannel

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/EngineUpdatesChannel

啟用此原則,以指定裝置在每月逐步推出期間接收 Microsoft Defender 引擎更新的時機。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 未 (預設) 設定。 裝置會在漸進式發行週期期間自動保持在最新狀態。 適用於大部分的裝置。
2 Beta 通道:設定為此通道的裝置將會是第一個接收新更新的裝置。 選取 [Beta 信道] 以參與識別問題並回報給Microsoft。 Windows 測試人員計劃中的裝置預設會訂閱此通道。 用於 (手動) 測試環境,且裝置數量有限。
3 目前通道 (預覽) :設定為此通道的裝置會在每月漸進式發行週期中最早提供更新。 建議用於生產前/驗證環境。
4 目前通道 (分段) :裝置會在每月漸進式發行周期之後提供更新。 建議套用至生產母體母體中具有代表性的小型部分 (~10%) 。
5 目前通道 (廣泛) :裝置只有在漸進式發行週期完成後才會提供更新。 建議套用至生產母體擴展中廣泛的裝置集 (~10-100%) 。
6 重大 - 時間延遲:裝置將會以 48 小時的延遲提供更新。 建議僅適用於重要環境。

Configuration/ExcludedIpAddresses

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/ExcludedIpAddresses

允許系統管理員明確停用 wdnisdrv 對一組特定 IP 位址進行的網路封包檢查。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代
允許的值 正規表示式: ^(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$|^(?:[0-9a-fA-F]{1,4}:){7}[0-9a-fA-F]{1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,6}:[0-9a-fA-F]{1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,5}(?::[0-9a-fA-F]{1,4}){1,2}$|^(?:[0-9a-fA-F]{1,4}:){1,4}(?::[0-9a-fA-F]{1,4}){1,3}$|^(?:[0-9a-fA-F]{1,4}:){1,3}(?::[0-9a-fA-F]{1,4}){1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,2}(?::[0-9a-fA-F]{1,4}){1,5}$|^[0-9a-fA-F]{1,4}(?::[0-9a-fA-F]{1,4}){1,6}$|^::1$|^::$

Configuration/HideExclusionsFromLocalAdmins

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/HideExclusionsFromLocalAdmins

此原則設定可控制本機系統管理員是否可以看到排除專案。 若要控制本機使用者排除可見性,請使用HideExclusionsFromLocalUsers。 如果已設定HideExclusionsFromLocalAdmins,則會隱含設定HideExclusionsFromLocalUsers。

注意

套用此設定並不會從裝置登錄中移除排除專案,只會防止套用/使用它們。 這會反映在 Get-MpPreference 中。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 如果啟用此設定,本機系統管理員將無法再看到 Windows 安全性 應用程式或透過PowerShell排除清單。
0 (預設值) 如果您停用或未設定此設定,本機系統管理員將能夠在 Windows 安全性 應用程式和透過PowerShell查看排除專案。

Configuration/HideExclusionsFromLocalUsers

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/HideExclusionsFromLocalUsers

此原則設定可控制本機使用者是否可以看到排除專案。 如果已設定HideExclusionsFromLocalAdmins,則會隱含設定此原則。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 如果啟用此設定,本機使用者將無法再看到 Windows 安全性 應用程式或透過PowerShell排除清單。
0 (預設值) 如果您停用或未設定此設定,本機用戶將能夠在 Windows 安全性 應用程式和 PowerShell 中看到排除專案。

Configuration/IntelTDTEnabled

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/IntelTDTEnabled

此原則設定會為支援 Intel TDT 的裝置設定 Intel TDT 整合層級。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 如果您未設定此設定,則會套用預設值。 預設值是由安全性情報更新Microsoft控制。 如果有已知的威脅,Microsoft會啟用 Intel TDT。
1 如果您將此設定設定為已啟用,Intel TDT 整合將會開啟。
2 如果您將此設定設定為停用,Intel TDT 整合將會關閉。

Configuration/MeteredConnectionUpdates

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/MeteredConnectionUpdates

允許受控裝置透過計量付費連線進行更新。 默認值為 0 - 不允許,1 - 允許。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 已允許。
0 (預設值) 不允許。

Configuration/NetworkProtectionReputationMode

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/NetworkProtectionReputationMode

這會設定網路保護的信譽模式引擎。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 使用標準信譽引擎。
1 使用 ESP 信譽引擎。

Configuration/OobeEnableRtpAndSigUpdate

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/OobeEnableRtpAndSigUpdate

此設定可讓您設定是否在 OOBE (全新體驗) 期間啟用即時保護和安全情報 匯報。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 如果您啟用此設定,則會在 OOBE 期間啟用即時保護和安全性情報 匯報。
0 (預設值) 如果您停用或未設定此設定,則不會啟用 OOBE 期間的即時保護和安全情報 匯報。

設定/被動補救

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/PassiveRemediation

設定以控制 Sense 掃描的自動補救。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0x0

允許的值:

旗標 描述
0x0 (默认) (預設) 會關閉被動補救。
0x1 PASSIVE_REMEDIATION_FLAG_SENSE_AUTO_REMEDIATION:被動補救感知自動補救。
0x2 PASSIVE_REMEDIATION_FLAG_RTP_AUDIT:被動補救實時保護稽核。
0x4 PASSIVE_REMEDIATION_FLAG_RTP_REMEDIATION:被動補救實時保護補救。

Configuration/PerformanceModeStatus

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 11 版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/PerformanceModeStatus

此設定可讓IT系統管理員以受管理裝置的啟用或停用模式設定效能模式。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 效能模式會 (預設) 啟用。
1 效能模式已停用。

Configuration/PlatformUpdatesChannel

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/PlatformUpdatesChannel

啟用此原則,以指定裝置在每月逐步推出期間接收 Microsoft Defender 平臺更新的時機。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 未 (預設) 設定。 裝置會在漸進式發行週期期間自動保持在最新狀態。 適用於大部分的裝置。
2 Beta 通道:設定為此通道的裝置將會是第一個接收新更新的裝置。 選取 [Beta 信道] 以參與識別問題並回報給Microsoft。 Windows 測試人員計劃中的裝置預設會訂閱此通道。 用於 (手動) 測試環境,且裝置數量有限。
3 目前通道 (預覽) :設定為此通道的裝置會在每月漸進式發行週期中最早提供更新。 建議用於生產前/驗證環境。
4 目前通道 (分段) :裝置會在每月漸進式發行周期之後提供更新。 建議套用至生產母體母體中具有代表性的小型部分 (~10%) 。
5 目前通道 (廣泛) :裝置只有在漸進式發行週期完成後才會提供更新。 建議套用至生產母體擴展中廣泛的裝置集 (~10-100%) 。
6 重大 - 時間延遲:裝置將會以 48 小時的延遲提供更新。 建議僅適用於重要環境。

Configuration/QuickScanIncludeExclusions

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/QuickScanIncludeExclusions

這個設定可讓您在快速掃描期間掃描排除的檔案和目錄。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 如果您將此設定設定為 0 或未進行設定,則不會在快速掃描期間掃描排除專案。
1 如果您將此設定設為 1,則會在快速掃描期間掃描所有使用內容相關排除專案從即時保護中排除的檔案和目錄。

Configuration/RandomizeScheduleTaskTimes

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/RandomizeScheduleTaskTimes

在 Microsoft Defender 防病毒軟體中,將掃描的開始時間隨機化為 0 到 23 小時的任何間隔。 這在虛擬機或 VDI 部署中很有用。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 1

允許的值:

描述
1 (預設) 擴大或縮小排程掃描的隨機期間。 使用設定 SchedulerRandomizationTime,指定介於 1 到 23 小時的隨機化視窗。
0 排程的工作不會隨機化。

Configuration/ScanOnlyIfIdleEnabled

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/ScanOnlyIfIdleEnabled

在 Microsoft Defender 防病毒軟體中,只有在系統閑置時,此設定才會執行排程掃描。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 1

允許的值:

描述
1 (預設) 只有在系統處於閑置狀態時,才會執行排程掃描。
0 不論系統是否閑置,都會執行排程掃描。

Configuration/SchedulerRandomizationTime

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/SchedulerRandomizationTime

此設定可讓您以小時為單位設定排程器隨機化。 隨機間隔為 [1 - 23] 小時。 如需隨機效果的詳細資訊,請查看 RandomizeScheduleTaskTimes 設定。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
允許的值 範圍: [1-23]
預設值 4

Configuration/ScheduleSecurityIntelligenceUpdateDay

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/ScheduleSecurityIntelligenceUpdateDay

此設定可讓您指定要檢查安全情報更新的星期幾。 根據預設,此設定會設定為永遠不會檢查安全性情報更新。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 8

允許的值:

說明
0 日常。
1 星期日。
2 星期一。
3 星期二。
4 星期三。
5 星期四。
6 星期五。
7 星期六。
8 (預設) [永不]。

Configuration/ScheduleSecurityIntelligenceUpdateTime

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/ScheduleSecurityIntelligenceUpdateTime

此設定可讓您指定一天中檢查安全情報更新的時間。 時間值會以午夜 (00:00) 的分鐘數表示。 例如,120 相當於上午02:00。 根據預設,此設定會設定為在排定的掃描時間前 15 分鐘檢查安全情報更新。 排程是以發生檢查之電腦上的當地時間為基礎。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
允許的值 範圍: [0-1439]
預設值 105

Configuration/SecuredDevicesConfiguration

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration

定義應由 Defender Device Control 保護哪些裝置的主要標識符。 主要標識碼值應該是管道 (|) 分隔。 範例:RemovableMediaDevices|CdRomDevices。 如果未設定此組態,則會套用預設值,這表示所有支援的裝置都會受到保護。 目前支援的主要標識碼為:RemovableMediaDevices、CdRomDevices、WpdDevices、PrinterDevices。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

允許的值:

描述
RemovableMediaDevices RemovableMediaDevices。
CdRomDevices CdRomDevices。
WpdDevices WpdDevices。
PrinterDevices PrinterDevices。

Configuration/SecurityIntelligenceLocationUpdateAtScheduledTimeOnly

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1903 [10.0.18362] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/SecurityIntelligenceLocationUpdateAtScheduledTimeOnly

此設定可讓您根據 VDI 設定電腦的排程器來設定安全性情報更新。 它會與安全性信息共用位置 (SecurityIntelligenceLocation) 一起使用。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
1 如果您啟用此設定並設定 SecurityIntelligenceLocation,則來自已設定位置的更新只會在先前設定的排程更新時間進行。
0 (預設值) 如果您停用或未設定此設定,每當在 SecurityIntelligenceLocation 指定的位置偵測到新的安全情報更新時,就會發生更新。

Configuration/SecurityIntelligenceUpdatesChannel

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/SecurityIntelligenceUpdatesChannel

啟用此原則,以指定裝置在每日漸進式推出期間收到 Microsoft Defender 安全性情報更新的時機。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 未 (預設) 設定。 裝置會在漸進式發行週期期間自動保持在最新狀態。 適用於大部分的裝置。
4 目前通道 (分段) :裝置將在發行周期之後提供更新。 建議套用至生產母體母體的小型代表性部分 (~10%) 。
5 目前通道 (廣泛) :裝置只有在漸進式發行週期完成後才會提供更新。 建議套用至生產母體擴展中廣泛的裝置集 (~10-100%) 。

組態/SupportLogLocation

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/SupportLogLocation

支援記錄檔位置設定可讓系統管理員指定 Microsoft Defender 防病毒軟體診斷數據收集工具 (MpCmdRun.exe) 儲存所產生記錄檔的位置。 此設定是使用 MDM 解決方案來設定,例如 Intune,並可供 Windows 10 企業版 使用。

Intune 支援記錄位置設定UI支援三種狀態:

  • 未設定 (預設) - 不會影響裝置的默認狀態。
  • 1 - 已啟用。 啟用支援記錄檔位置功能。 需要系統管理員設定自定義檔案路徑。
  • 0 - 已停用。 關閉支援記錄檔位置功能。

當用戶端上已啟用或停用,且系統管理員將設定移至未設定時,不會對裝置狀態造成任何影響。 若要將狀態變更為已啟用或停用,必須明確設定。

更多詳細資料:

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

組態/TamperProtection

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1903 [10.0.18362] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/TamperProtection

竄改保護有助於保護重要的安全性功能,避免不必要的變更和干擾。 這包括即時保護、行為監視等等。 接受帶正負號的字串來開啟或關閉功能。 設定是使用 MDM 解決方案來設定,例如 Intune,並且可在 Windows 10 企業版 E5 或對等的訂用帳戶中使用。 將 Blob 傳送至裝置,以在 Intune 中將此設定設定設為「未設定」或「未指派」之前重設竄改保護狀態。 數據類型是帶正負號的 Blob。

注意

啟用 竄改保護 時,不會套用此設定的變更。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代
預設值 0

Configuration/ThrottleForScheduledScanOnly

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1607 [10.0.14393] 和更新版本
./Device/Vendor/MSFT/Defender/Configuration/ThrottleForScheduledScanOnly

CPU 使用量限制只能套用至排程掃描,或套用至排程和自定義掃描。 預設值只會將 CPU 使用量限制套用至排程掃描。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 1

允許的值:

描述
1 (預設) 如果啟用此設定,CPU 節流只會套用至排程掃描。
0 如果您停用此設定,CPU 節流會套用至排程和自定義掃描。

檢測

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Detections

內部節點,用來將 Windows Defender 偵測到的所有威脅分組。

描述架構屬性:

屬性名稱 屬性值
格式 node
存取類型 [取得]

Detections/{ThreatId}

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}

Windows Defender 偵測到的威脅標識碼。

描述架構屬性:

屬性名稱 屬性值
格式 node
存取類型 [取得]
動態節點命名 ClientInventory

Detections/{ThreatId}/Category

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Category

威脅類別標識碼。 支援的值:

|值 |描述 |。

|:--|:--|.

|0 |無效的 |。

|1 |Adware |.

|2 |Spyware |.

|3 |密碼竊取程式 |。

|4 |特洛伊木馬程式下載程式 |。

|5 |Worm |。

|6 |後門 |。

|7 |遠程訪問特洛伊木馬程式 |。

|8 |特洛伊木馬程式 |。

|9 |Email 洩水器 |。

|10 |Keylogger |。

|11 |撥號程式 |。

|12 |監視軟體 |。

|13 |瀏覽器修飾詞 |。

|14 |Cookie |。

|15 |瀏覽器外掛程式 |。

|16 |AOL 惡意探索 |。

|17 |Nuker |。

|18 |安全性停用程式 |。

|19 |擷取程式 |。

|20 |惡意的 ActiveX 控件 |。

|21 |軟體配套工具 |。

|22 |隱形修飾詞 |。

|23 |設定修飾詞 |。

|24 |工具列 |。

|25 |遠端控制軟體 |。

|26 |特洛伊木馬程式 FTP |。

|27 |潛在的垃圾軟體 |。

|28 |ICQ 惡意探索 |。

|29 |特洛伊木馬程式 telnet |。

|30 |惡意探索 |。

|31 |檔案共享程式 |。

|32 |惡意代碼建立工具 |。

|33 |遠端控制軟體 |。

|34 |工具 |。

|36 |特洛伊木馬程式阻斷服務 |。

|37 |特洛伊木馬程式下拉式清單 |。

|38 |特洛伊木馬程式大型郵遞員 |。

|39 |特洛伊木馬程序監視軟體 |。

|40 |特洛伊木馬程式 Proxy 伺服器 |。

|42 |病毒 |。

|43 |已知 |。

|44 |未知的 |。

|45 |SPP |。

|46 |行為 |。

|47 |弱點 |。

|48 |原則 |。

|49 |EUS (Enterprise 垃圾軟體) |。

|50 |勒索軟體 |。

|51 |ASR 規則 |

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 [取得]

Detections/{ThreatId}/CurrentStatus

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/CurrentStatus

威脅目前狀態的相關信息。 下列清單顯示支援的值:

|值 |描述 |。

|:--|:--|.

|0 |作用中 |。

|1 |動作失敗 |。

|2 |需要手動步驟 |。

|3 |需要完整掃描 |。

|4 |需要重新啟動 |。

|5 |已補救非關鍵性失敗 |。

|6 |已隔離 |。

|7 |已移除 |。

|8 |已清除 |。

|9 |允許的 |。

|10 |未清除狀態 () |

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 [取得]

Detections/{ThreatId}/ExecutionStatus

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/ExecutionStatus

威脅執行狀態的相關信息。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 [取得]

Detections/{ThreatId}/InitialDetectionTime

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/InitialDetectionTime

第一次偵測到此特定威脅時。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 [取得]

Detections/{ThreatId}/LastThreatStatusChangeTime

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/LastThreatStatusChangeTime

上次變更此特定威脅的時間。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 [取得]

Detections/{ThreatId}/Name

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Name

特定威脅的名稱。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 [取得]

Detections/{ThreatId}/NumberOfDetections

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/NumberOfDetections

在特定用戶端上偵測到此威脅的次數。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 [取得]

Detections/{ThreatId}/Severity

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Severity

威脅嚴重性標識碼。 下列清單顯示支援的值:

|值 |描述 |。

|:--|:--|.

|0 |未知的 |。

|1 |低 |。

|2 |中等 |。

|4 |高 |。

|5 |嚴重 |

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 [取得]

Detections/{ThreatId}/URL

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/URL

其他威脅資訊的 URL 連結。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 [取得]

健康情況

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Health

內部節點,用來群組 Windows Defender 健康情況狀態的相關信息。

描述架構屬性:

屬性名稱 屬性值
格式 node
存取類型 [取得]

Health/ComputerState

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Health/ComputerState

提供裝置的目前狀態。 下列清單顯示支援的值:

|值 |描述 |。

|:--|:--|.

|0 |清除 |。

|1 |擱置完整掃描 |。

|2 |擱置重新啟動 |。

|4 |Windows Defender (等待用戶採取一些動作,例如重新啟動計算機或執行完整掃描) |的暫止手動步驟。

|8 |擱置脫機掃描 |。

|16 |擱置的重大失敗 (Windows Defender 嚴重失敗,系統管理員必須調查並採取一些動作,例如重新啟動電腦或重新安裝 Windows Defender) |

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 [取得]

Health/DefenderEnabled

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Health/DefenderEnabled

指出 Windows Defender 服務是否正在執行。

描述架構屬性:

屬性名稱 屬性值
格式 bool
存取類型 [取得]

Health/DefenderVersion

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Health/DefenderVersion

裝置上的 Windows Defender 版本號碼。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 [取得]

Health/DeviceControl

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Health/DeviceControl

內部節點,用來群組裝置 Cotrol 健康情況狀態的相關信息。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 [取得]

Health/DeviceControl/State

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Health/DeviceControl/State

提供裝置控制件的目前狀態。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 [取得]

Health/EngineVersion

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Health/EngineVersion

裝置上目前 Windows Defender 引擎的版本號碼。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 [取得]

Health/FullScanOverdue

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Health/FullScanOverdue

指出裝置的 Windows Defender 完整掃描是否逾期。 當排定的完整掃描在 2 周內未順利完成,且已停用完整掃描, (預設) 時,完整掃描逾期。

描述架構屬性:

屬性名稱 屬性值
格式 bool
存取類型 [取得]

Health/FullScanRequired

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Health/FullScanRequired

指出是否需要 Windows Defender 完整掃描。

描述架構屬性:

屬性名稱 屬性值
格式 bool
存取類型 [取得]

Health/FullScanSigVersion

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Health/FullScanSigVersion

用於裝置上次完整掃描的簽章版本。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 [取得]

Health/FullScanTime

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Health/FullScanTime

上次 Windows Defender 裝置完整掃描的時間。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 [取得]

Health/IsVirtualMachine

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1903 [10.0.18362] 和更新版本
./Device/Vendor/MSFT/Defender/Health/IsVirtualMachine

指出裝置是否為虛擬機。

描述架構屬性:

屬性名稱 屬性值
格式 bool
存取類型 [取得]

Health/NisEnabled

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Health/NisEnabled

指出網路保護是否正在執行。

描述架構屬性:

屬性名稱 屬性值
格式 bool
存取類型 [取得]

Health/ProductStatus

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/Defender/Health/ProductStatus

提供產品的目前狀態。 這是位掩碼旗標值,可以代表下列清單中的一或多個產品狀態。 支援的產品狀態值:

|值 |描述 |。

|:--|:--|.

|0 |沒有狀態 |。

|1 (1 << 0) |服務未執行 |。

|2 (1 1 <<) |服務啟動時沒有任何惡意代碼保護引擎 |。

|4 (1 << 2) |因威脅動作 |而擱置完整掃描。

|8 (1 << 3) |因威脅動作 |而擱置重新啟動。

|16 (1 << 4) | 因威脅動作 |而結束手動步驟。

|32 (1 << 5) |AV 簽章已過期 |。

|64 (1 << 6) |AS 簽章已過期 |。

|128 (1 << 7) |指定的期間 |未發生快速掃描。

|256 (1 << 8) |指定的期間 |未發生完整掃描。

|512 (1 << 9) |系統起始的掃描進行中 |。

|1024 (1 << 10) |系統起始的清除進行中 |。

|2048 (1 << 11) |有擱置提交 |的範例。

|4096 (1 << 12) |以評估模式 |執行的產品。

|8192 (1 << 13) |以非正版 Windows 模式 |執行的產品。

|16384 (1 << 14) |產品已過期 |。

|32768 (1 << 15) |需要脫機掃描 |。

|65536 (1 << 16) |服務在系統關機 |中關閉。

|131072 (1 << 17) |威脅補救嚴重失敗 |。

|262144 (1 << 18) |威脅補救失敗,非嚴重性 |。

|524288 (1 << 19) |未設定狀態旗標 (初始化狀態) |。

|1048576 (1 << 20) |平臺已過期 |。

|2097152 (1 << 21) |平臺更新正在進行中 |。

|4194304 (1 << 22) |平台即將過時 |。

|8388608 (1 << 23) |簽章或平臺生命週期已過期或即將結束 |。

|16777216 (1 << 24) |Windows SMode 簽章仍在非 Win10S 安裝上使用 |

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 [取得]

範例

<SyncML xmlns="SYNCML:SYNCML1.1">
  <SyncBody>
    <Get>
      <CmdID>1</CmdID>
        <Item>
          <Target>
            <LocURI>./Vendor/MSFT/Defender/Health/ProductStatus</LocURI>
          </Target>
        </Item>
    </Get>
    <Final/>
  </SyncBody>
</SyncML>

Health/QuickScanOverdue

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Health/QuickScanOverdue

指出裝置的 Windows Defender 快速掃描是否逾期。 當排定的快速掃描在 2 周內未順利完成,且已停用追補快速掃描時,快速掃描會逾期 (預設) 。

描述架構屬性:

屬性名稱 屬性值
格式 bool
存取類型 [取得]

Health/QuickScanSigVersion

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Health/QuickScanSigVersion

用於裝置上次快速掃描的簽章版本。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 [取得]

Health/QuickScanTime

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Health/QuickScanTime

上次 Windows Defender 快速掃描裝置的時間。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 [取得]

Health/RebootRequired

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Health/RebootRequired

指出是否需要裝置重新啟動。

描述架構屬性:

屬性名稱 屬性值
格式 bool
存取類型 [取得]

Health/RtpEnabled

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Health/RtpEnabled

指出即時保護是否正在執行。

描述架構屬性:

屬性名稱 屬性值
格式 bool
存取類型 [取得]

Health/SignatureOutOfDate

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Health/SignatureOutOfDate

指出 Windows Defender 簽章是否已過期。

描述架構屬性:

屬性名稱 屬性值
格式 bool
存取類型 [取得]

Health/SignatureVersion

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Health/SignatureVersion

裝置上目前 Windows Defender 簽章的版本號碼。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 [取得]

Health/TamperProtectionEnabled

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1903 [10.0.18362] 和更新版本
./Device/Vendor/MSFT/Defender/Health/TamperProtectionEnabled

指出是否已啟用 Windows Defender 竄改保護功能。

描述架構屬性:

屬性名稱 屬性值
格式 bool
存取類型 [取得]

OfflineScan

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1803 [10.0.17134] 和更新版本
./Device/Vendor/MSFT/Defender/OfflineScan

OfflineScan 動作會在您執行命令的電腦上啟動 Microsoft Defender 離線掃描。 下一次操作系統重新啟動之後,裝置會以離線模式 Microsoft Defender 啟動,以開始掃描。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 Exec、Get
重新啟動行為 ServerInitiated

RollbackEngine

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1803 [10.0.17134] 和更新版本
./Device/Vendor/MSFT/Defender/RollbackEngine

RollbackEngine 巨集指令會將引擎 Microsoft Defender 回復到您執行命令所在計算機上最後已知的良好儲存版本。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 Exec、Get
重新啟動行為 ServerInitiated

RollbackPlatform

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1803 [10.0.17134] 和更新版本
./Device/Vendor/MSFT/Defender/RollbackPlatform

RollbackPlatform 動作會復原 Microsoft Defender 回您執行命令所在計算機上最後已知的良好安裝位置。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 Exec、Get
重新啟動行為 ServerInitiated

掃描

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/Scan

可用來在裝置上啟動 Windows Defender 掃描的節點。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 Exec、Get

允許的值:

描述
1 快速掃描。
2 完整掃描。

UpdateSignature

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1511 [10.0.10586] 和更新版本
./Device/Vendor/MSFT/Defender/UpdateSignature

可用來執行 Windows Defender 簽章更新的節點。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 Exec、Get

設定服務提供者參考