Defender CSP
注意
ControlPolicyConflict (MDMWinsOverGP) 不適用於 Defender CSP。 如果使用 MDM,請移除目前的 Defender 組策略設定,以避免與 MDM 設定發生衝突。
下列清單顯示 Defender 設定服務提供者節點:
- ./Device/Vendor/MSFT/Defender
-
設定
- AllowDatagramProcessingOnWinServer
- AllowNetworkProtectionDownLevel
- AllowNetworkProtectionOnWinServer
- AllowSwitchToAsyncInspection
- ArchiveMaxDepth
- ArchiveMaxSize
- ASROnlyPerRuleExclusions
- BehavioralNetworkBlocks
- DataDuplicationDirectory
- DataDuplicationLocalRetentionPeriod
- DataDuplicationMaximumQuota
- DataDuplicationRemoteLocation
- DaysUntilAggressiveCatchupQuickScan
- DefaultEnforcement
- DeviceControl
- DeviceControlEnabled
- DisableCacheMaintenance
- DisableCoreServiceECSIntegration
- DisableCoreServiceTelemetry
- DisableCpuThrottleOnIdleScans
- DisableDatagramProcessing
- DisableDnsOverTcpParsing
- DisableDnsParsing
- DisableFtpParsing
- DisableGradualRelease
- DisableHttpParsing
- DisableInboundConnectionFiltering
- DisableLocalAdminMerge
- DisableNetworkProtectionPerfTelemetry
- DisableQuicParsing
- DisableRdpParsing
- DisableSmtpParsing
- DisableSshParsing
- DisableTlsParsing
- EnableConvertWarnToBlock
- EnableDnsSinkhole
- EnableFileHashComputation
- EnableUdpReceiveOffload
- EnableUdpSegmentationOffload
- EngineUpdatesChannel
- ExcludedIpAddresses
- HideExclusionsFromLocalAdmins
- HideExclusionsFromLocalUsers
- IntelTDTEnabled
- MeteredConnectionUpdates
- NetworkProtectionReputationMode
- OobeEnableRtpAndSigUpdate
- PassiveRemediation
- PerformanceModeStatus
- PlatformUpdatesChannel
- QuickScanIncludeExclusions
- RandomizeScheduleTaskTimes
- ScanOnlyIfIdleEnabled
- SchedulerRandomizationTime
- ScheduleSecurityIntelligenceUpdateDay
- ScheduleSecurityIntelligenceUpdateTime
- SecuredDevicesConfiguration
- SecurityIntelligenceLocationUpdateAtScheduledTimeOnly
- SecurityIntelligenceUpdatesChannel
- SupportLogLocation
- TamperProtection
- ThrottleForScheduledScanOnly
- 檢測
-
健康情況
- ComputerState
- DefenderEnabled
- DefenderVersion
- DeviceControl
- EngineVersion
- FullScanOverdue
- FullScanRequired
- FullScanSigVersion
- FullScanTime
- IsVirtualMachine
- NisEnabled
- ProductStatus
- QuickScanOverdue
- QuickScanSigVersion
- QuickScanTime
- RebootRequired
- RtpEnabled
- SignatureOutOfDate
- SignatureVersion
- TamperProtectionEnabled
- OfflineScan
- RollbackEngine
- RollbackPlatform
- 掃描
- UpdateSignature
-
設定
設定
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration
用來群組 Windows Defender 設定資訊的內部節點。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Configuration/AllowDatagramProcessingOnWinServer
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/AllowDatagramProcessingOnWinServer
此設定可控制是否允許網路保護在 Windows Server 上啟用數據報處理。 如果為 false,則會忽略 DisableDatagramProcessing 的值,並預設為停用 Datagram 檢查。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 已啟用 Windows Server 上的數據報處理。 |
| 0 (預設值) | Windows Server 上的數據報處理已停用。 |
Configuration/AllowNetworkProtectionDownLevel
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/AllowNetworkProtectionDownLevel
此設定可控制是否允許網路保護在RS3的下層視窗上設定為封鎖或稽核模式。 如果為 false,則會忽略 EnableNetworkProtection 的值。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 網路保護將會向下啟用。 |
| 0 (預設值) | 將停用下層網路保護。 |
Configuration/AllowNetworkProtectionOnWinServer
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/AllowNetworkProtectionOnWinServer
此設定可控制是否允許在 Windows Server 上將網路保護設定為封鎖或稽核模式。 如果為 false,則會忽略 EnableNetworkProtection 的值。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 (預設) | 允許。 |
| 0 | 禁止。 |
Configuration/AllowSwitchToAsyncInspection
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/AllowSwitchToAsyncInspection
透過從即時檢查切換到異步檢查,控制網路保護是否可以改善效能。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 允許切換至異步檢查。 |
| 0 (預設值) | 不允許異步檢查。 |
Configuration/ArchiveMaxDepth
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/ArchiveMaxDepth
指定要從封存盤案擷取以進行掃描的最大資料夾深度。 如果此組態已關閉或未設定,則會套用預設值 (0) ,並將所有封存解壓縮到最深的資料夾以進行掃描。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-4294967295] |
| 預設值 | 0 |
Configuration/ArchiveMaxSize
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/ArchiveMaxSize
指定要擷取和掃描之封存盤案的大小上限,以 KB 為單位。 如果此組態已關閉或未設定,則會套用預設值 (0) ,而且不論大小為何,都會擷取和掃描所有封存。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-4294967295] |
| 預設值 | 0 |
Configuration/ASROnlyPerRuleExclusions
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/ASROnlyPerRuleExclusions
僅針對每個規則排除專案套用 ASR。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
Configuration/BehavioralNetworkBlocks
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Configuration/BehavioralNetworkBlocks/BruteForceProtection
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionAggressiveness
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionAggressiveness
設定保護封鎖IP位址時 Brute-Force 準則。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 低:只有 100% 信賴惡意的 IP 位址 (預設) 。 |
| 1 | 中:使用雲端匯總來封鎖超過99%可能惡意的IP位址。 |
| 2 | 高:封鎖使用用戶端智慧和內容識別的IP位址,以封鎖超過90%可能惡意的IP位址。 |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionConfiguredState
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionConfiguredState
Brute-Force 保護 Microsoft Defender 防病毒軟體會偵測並封鎖強制登入和起始會話的嘗試。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 未設定:套用防病毒軟體引擎和平臺所設定的預設值。 |
| 1 | 封鎖:防止可疑和惡意行為。 |
| 2 | 稽核:在不封鎖的情況下產生 EDR 偵測。 |
| 4 | 關閉:功能已停用,不會影響效能。 |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionExclusions
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionExclusions
指定要排除的IP位址、子網或工作站名稱,Brute-Force 保護。 請注意,攻擊者可以詐騙排除的位址和名稱來略過保護。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: |) |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionMaxBlockTime
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionMaxBlockTime
設定 Brute-Force Protection 封鎖IP位址的最大時間。 在此時間之後,封鎖的IP位址將能夠登入並起始會話。 如果設定為 0,內部功能邏輯會決定封鎖時間。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-4294967295] |
| 預設值 | 0 |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionLocalNetworkBlocking
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionLocalNetworkBlocking
在 Microsoft Defender 防病毒軟體中擴充暴力密碼破解保護涵蓋範圍,以封鎖局域網路位址。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 暴力密碼破解保護不會封鎖局域網路位址。 |
| 1 | 暴力密碼破解保護會封鎖局域網路位址。 |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionSkipLearningPeriod
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionSkipLearningPeriod
略過 2 周的初始學習期間,因此 Microsoft Defender 防病毒軟體中的暴力密碼破解保護可以立即開始封鎖。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 暴力密碼破解保護只會在完成 2 周的學習期間之後封鎖威脅。 |
| 1 | 暴力密碼破解保護會立即開始封鎖威脅。 |
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionAggressiveness
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionAggressiveness
設定遠端加密保護封鎖IP位址時的準則。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 低:只有在信賴等級為 100% 時才會封鎖 (預設) 。 |
| 1 | 中:使用雲端匯總,並在信賴等級高於 99% 時封鎖。 |
| 2 | 高:使用雲端 Intel 和內容,並在信賴等級高於 90% 時封鎖。 |
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionConfiguredState
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionConfiguredState
Microsoft Defender 防病毒軟體中的遠端加密保護會偵測並封鎖嘗試以另一個裝置的加密版本取代本機檔案。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 未設定:套用防病毒軟體引擎和平台的預設值集。 |
| 1 | 封鎖:防止可疑和惡意行為。 |
| 2 | 稽核:在不封鎖的情況下產生 EDR 偵測。 |
| 4 | 關閉:功能關閉,不會影響效能。 |
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionExclusions
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionExclusions
指定要排除的IP位址、子網或工作站名稱,不要遭到遠端加密保護封鎖。 請注意,攻擊者可以詐騙排除的位址和名稱來略過保護。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: |) |
| 預設值 | 0 |
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionMaxBlockTime
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionMaxBlockTime
設定遠端加密保護封鎖IP位址的最大時間。 在此時間之後,封鎖的IP位址將能夠重新啟動連線。 如果設定為 0,內部功能邏輯會決定封鎖時間。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-4294967295] |
| 預設值 | 0 |
Configuration/DataDuplicationDirectory
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationDirectory
定義裝置控制的數據重複目錄。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
Configuration/DataDuplicationLocalRetentionPeriod
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationLocalRetentionPeriod
定義如果發生任何傳輸至遠端位置時,辨識項數據將在用戶端電腦上保留多少時間的保留期間。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [1-120] |
| 預設值 | 60 |
Configuration/DataDuplicationMaximumQuota
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationMaximumQuota
定義可收集的最大 MB 資料重複配額。 達到配額時,篩選器會停止複製任何數據,直到服務管理分派現有收集的數據為止,因而再次將配額降低到最大值以下。 有效間隔為 [5-5000] MB。 根據預設,配額上限為 500 MB。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [5-5000] |
| 預設值 | 500 |
Configuration/DataDuplicationRemoteLocation
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocation
定義裝置控制的數據重複遠端位置。 設定此設定時,請確定 [裝置控制] 已啟用,且提供的路徑是使用者可以存取的遠端路徑。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
Configuration/DaysUntilAggressiveCatchupQuickScan
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DaysUntilAggressiveCatchupQuickScan
設定觸發積極式快速掃描之前,可以經過多少天。 有效間隔為 [7-60] 天。 如果未設定,將會停用積極式快速掃描。 根據預設,此值會在啟用時設定為30天。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [7-60] |
| 預設值 | 30 |
組態/DefaultEnforcement
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DefaultEnforcement
控制裝置控制裝置控制控制裝置控制器預設強制執行。 如果沒有任何原則規則存在,或在原則規則評估結束時未相符,則會套用此強制執行。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 (預設) | 默認允許強制執行。 |
| 2 | 默認拒絕強制執行。 |
組態/DeviceControl
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Configuration/DeviceControl/PolicyGroups
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Configuration/DeviceControl/PolicyGroups/{GroupId}
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/{GroupId}
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | 新增、刪除、取得、取代 |
Configuration/DeviceControl/PolicyGroups/{GroupId}/GroupData
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/{GroupId}/GroupData
如需詳細資訊,請參閱 適用於端點的 Microsoft Defender 裝置控制卸載式記憶體 存取控制。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
Configuration/DeviceControl/PolicyRules
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Configuration/DeviceControl/PolicyRules/{RuleId}
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/{RuleId}
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | 新增、刪除、取得、取代 |
Configuration/DeviceControl/PolicyRules/{RuleId}/RuleData
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/{RuleId}/RuleData
如需詳細資訊,請參閱 適用於端點的 Microsoft Defender 裝置控制件卸載式記憶體 存取控制。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
Configuration/DeviceControlEnabled
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControlEnabled
控制裝置控制裝置控制功能。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 裝置控制項已啟用。 |
| 0 (預設值) | 裝置控制項已停用。 |
組態/DisableCacheMaintenance
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableCacheMaintenance
定義快取維護閑置工作是否會執行快取維護。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 快取維護已停用。 |
| 0 (預設值) | (預設) 啟用快取維護。 |
Configuration/DisableCoreServiceECSIntegration
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableCoreServiceECSIntegration
關閉 Defender 核心服務的 ECS 整合。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0x0 |
允許的值:
| 旗標 | 描述 |
|---|---|
| 0x0 (默认) | Defender 核心服務會使用測試和設定服務 (ECS) ,快速提供關鍵且組織特有的修正程式。 |
| 0x1 | Defender 核心服務會停止使用測試和設定服務 (ECS) 。 修正程式會繼續透過安全性情報更新傳遞。 |
Configuration/DisableCoreServiceTelemetry
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableCoreServiceTelemetry
關閉 Defender 核心服務的 OneDsCollector 遙測。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0x0 |
允許的值:
| 旗標 | 描述 |
|---|---|
| 0x0 (默认) | Defender 核心服務會使用 OneDsCollector 架構來快速收集遙測。 |
| 0x1 | Defender 核心服務會停止使用 OneDsCollector 架構來快速收集遙測,這會影響Microsoft快速辨識並解決效能不佳、誤判和其他問題的能力。 |
Configuration/DisableCpuThrottleOnIdleScans
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableCpuThrottleOnIdleScans
指出當裝置閑置時,CPU 是否會針對排程掃描進行節流。 此功能預設為啟用,而且不會針對裝置閑置時執行的排程掃描進行 CPU 節流,無論 ScanAvgCPULoadFactor 設定為何種。 對於所有其他排程掃描,此旗標不會有任何影響,而且會發生一般節流。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 (預設) | 停用閑置掃描的CPU節流。 |
| 0 | 在閑置掃描時啟用CPU節流。 |
Configuration/DisableDatagramProcessing
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableDatagramProcessing
控制網路保護是否檢查用戶數據報通訊協定 (UDP) 流量。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | UDP 檢查已關閉。 |
| 0 (預設值) | UDP 檢查已開啟。 |
組態/DisableDnsOverTcpParsing
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableDnsOverTcpParsing
此設定會停用網路保護的DCP剖析 DNS。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 已停用透過 TCP 剖析的 DNS。 |
| 0 (預設值) | 已啟用透過 TCP 剖析的 DNS。 |
組態/DisableDnsParsing
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableDnsParsing
此設定會停用網路保護的 DNS 剖析。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | DNS 剖析已停用。 |
| 0 (預設值) | 已啟用 DNS 剖析。 |
組態/DisableFtpParsing
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableFtpParsing
此設定會停用網路保護的 FTP 剖析。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | FTP 剖析已停用。 |
| 0 (預設值) | 已啟用 FTP 剖析。 |
Configuration/DisableGradualRelease
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableGradualRelease
啟用此原則可停用逐步推出Defender更新。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 已停用漸進式發行。 |
| 0 (預設值) | 已啟用漸進式發行。 |
設定/停用HttpParsing
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableHttpParsing
此設定會停用網路保護的 HTTP 剖析。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | HTTP 剖析已停用。 |
| 0 (預設值) | 已啟用 HTTP 剖析。 |
Configuration/DisableInboundConnectionFiltering
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableInboundConnectionFiltering
此設定會停用網路保護的輸入連線篩選。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 已停用輸入連線篩選。 |
| 0 (預設值) | 已啟用輸入連線篩選。 |
Configuration/DisableLocalAdminMerge
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableLocalAdminMerge
當此值設定為 [否] 時,它可讓本機系統管理員指定複雜清單類型的某些設定,然後合併 /覆寫喜好設定與原則設定。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 是。 |
| 0 (預設值) | 否。 |
Configuration/DisableNetworkProtectionPerfTelemetry
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableNetworkProtectionPerfTelemetry
此設定會停用從網路保護收集和傳送效能遙測。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 網路保護遙測已停用。 |
| 0 (預設值) | 已啟用網路保護遙測。 |
組態/DisableQuicParsing
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableQuicParsing
此設定會停用網路保護的 QUIC 剖析。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | QUIC 剖析已停用。 |
| 0 (預設值) | 已啟用 QUIC 剖析。 |
組態/DisableRdpParsing
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableRdpParsing
此設定會停用網路保護的 RDP 剖析。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | RDP 剖析已停用。 |
| 0 (預設值) | 已啟用 RDP 剖析。 |
組態/DisableSmtpParsing
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableSmtpParsing
此設定會停用網路保護的 SMTP 剖析。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | SMTP 剖析已停用。 |
| 0 (預設值) | 已啟用 SMTP 剖析。 |
組態/DisableSshParsing
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableSshParsing
此設定會停用網路保護的 SSH 剖析。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | SSH 剖析已停用。 |
| 0 (預設值) | 已啟用 SSH 剖析。 |
組態/DisableTlsParsing
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableTlsParsing
此設定會停用網路保護的 TLS 剖析。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | TLS 剖析已停用。 |
| 0 (預設值) | 已啟用 TLS 剖析。 |
Configuration/EnableConvertWarnToBlock
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/EnableConvertWarnToBlock
此設定可控制網路保護是否會封鎖網路流量,而不是顯示警告。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 警告決策會轉換成封鎖。 |
| 0 (預設值) | 警告決策不會轉換成封鎖。 |
Configuration/EnableDnsSinkhole
注意
此原則已被取代,並可能在未來的版本中移除。
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/EnableDnsSinkhole
此設定可啟用網路保護的 DNS 接收洞功能,並遵循區塊與稽核的 EnableNetworkProtection 值,在檢查模式中不會執行任何動作。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | DNS 接收洞已停用。 |
| 1 (預設) | 已啟用 DNS 接收洞。 |
Configuration/EnableFileHashComputation
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/EnableFileHashComputation
啟用或停用檔案哈希計算功能。 啟用此功能時,Windows Defender 會計算所掃描檔案的哈希。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 停用: |
| 1 | 啟用: |
Configuration/EnableUdpReceiveOffload
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/EnableUdpReceiveOffload
此設定可啟用 Udp 接收卸除網路保護。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | Udp 接收卸除已停用。 |
| 1 | 已啟用 Udp 接收卸除。 |
Configuration/EnableUdpSegmentationOffload
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/EnableUdpSegmentationOffload
此設定可啟用 Udp 分割卸除網路保護。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | Udp 分割卸除已停用。 |
| 1 | 已啟用 Udp 分割卸除。 |
Configuration/EngineUpdatesChannel
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/EngineUpdatesChannel
啟用此原則,以指定裝置在每月逐步推出期間接收 Microsoft Defender 引擎更新的時機。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 未 (預設) 設定。 裝置會在漸進式發行週期期間自動保持在最新狀態。 適用於大部分的裝置。 |
| 2 | Beta 通道:設定為此通道的裝置將會是第一個接收新更新的裝置。 選取 [Beta 信道] 以參與識別問題並回報給Microsoft。 Windows 測試人員計劃中的裝置預設會訂閱此通道。 用於 (手動) 測試環境,且裝置數量有限。 |
| 3 | 目前通道 (預覽) :設定為此通道的裝置會在每月漸進式發行週期中最早提供更新。 建議用於生產前/驗證環境。 |
| 4 | 目前通道 (分段) :裝置會在每月漸進式發行周期之後提供更新。 建議套用至生產母體母體中具有代表性的小型部分 (~10%) 。 |
| 5 | 目前通道 (廣泛) :裝置只有在漸進式發行週期完成後才會提供更新。 建議套用至生產母體擴展中廣泛的裝置集 (~10-100%) 。 |
| 6 | 重大 - 時間延遲:裝置將會以 48 小時的延遲提供更新。 建議僅適用於重要環境。 |
Configuration/ExcludedIpAddresses
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/ExcludedIpAddresses
允許系統管理員明確停用 wdnisdrv 對一組特定 IP 位址進行的網路封包檢查。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 正規表示式: ^(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$|^(?:[0-9a-fA-F]{1,4}:){7}[0-9a-fA-F]{1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,6}:[0-9a-fA-F]{1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,5}(?::[0-9a-fA-F]{1,4}){1,2}$|^(?:[0-9a-fA-F]{1,4}:){1,4}(?::[0-9a-fA-F]{1,4}){1,3}$|^(?:[0-9a-fA-F]{1,4}:){1,3}(?::[0-9a-fA-F]{1,4}){1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,2}(?::[0-9a-fA-F]{1,4}){1,5}$|^[0-9a-fA-F]{1,4}(?::[0-9a-fA-F]{1,4}){1,6}$|^::1$|^::$ |
Configuration/HideExclusionsFromLocalAdmins
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/HideExclusionsFromLocalAdmins
此原則設定可控制本機系統管理員是否可以看到排除專案。 若要控制本機使用者排除可見性,請使用HideExclusionsFromLocalUsers。 如果已設定HideExclusionsFromLocalAdmins,則會隱含設定HideExclusionsFromLocalUsers。
注意
套用此設定並不會從裝置登錄中移除排除專案,只會防止套用/使用它們。 這會反映在 Get-MpPreference 中。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 如果啟用此設定,本機系統管理員將無法再看到 Windows 安全性 應用程式或透過PowerShell排除清單。 |
| 0 (預設值) | 如果您停用或未設定此設定,本機系統管理員將能夠在 Windows 安全性 應用程式和透過PowerShell查看排除專案。 |
Configuration/HideExclusionsFromLocalUsers
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/HideExclusionsFromLocalUsers
此原則設定可控制本機使用者是否可以看到排除專案。 如果已設定HideExclusionsFromLocalAdmins,則會隱含設定此原則。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 如果啟用此設定,本機使用者將無法再看到 Windows 安全性 應用程式或透過PowerShell排除清單。 |
| 0 (預設值) | 如果您停用或未設定此設定,本機用戶將能夠在 Windows 安全性 應用程式和 PowerShell 中看到排除專案。 |
Configuration/IntelTDTEnabled
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/IntelTDTEnabled
此原則設定會為支援 Intel TDT 的裝置設定 Intel TDT 整合層級。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 如果您未設定此設定,則會套用預設值。 預設值是由安全性情報更新Microsoft控制。 如果有已知的威脅,Microsoft會啟用 Intel TDT。 |
| 1 | 如果您將此設定設定為已啟用,Intel TDT 整合將會開啟。 |
| 2 | 如果您將此設定設定為停用,Intel TDT 整合將會關閉。 |
Configuration/MeteredConnectionUpdates
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/MeteredConnectionUpdates
允許受控裝置透過計量付費連線進行更新。 默認值為 0 - 不允許,1 - 允許。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 已允許。 |
| 0 (預設值) | 不允許。 |
Configuration/NetworkProtectionReputationMode
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/NetworkProtectionReputationMode
這會設定網路保護的信譽模式引擎。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 使用標準信譽引擎。 |
| 1 | 使用 ESP 信譽引擎。 |
Configuration/OobeEnableRtpAndSigUpdate
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/OobeEnableRtpAndSigUpdate
此設定可讓您設定是否在 OOBE (全新體驗) 期間啟用即時保護和安全情報 匯報。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 如果您啟用此設定,則會在 OOBE 期間啟用即時保護和安全性情報 匯報。 |
| 0 (預設值) | 如果您停用或未設定此設定,則不會啟用 OOBE 期間的即時保護和安全情報 匯報。 |
設定/被動補救
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/PassiveRemediation
設定以控制 Sense 掃描的自動補救。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0x0 |
允許的值:
| 旗標 | 描述 |
|---|---|
| 0x0 (默认) | (預設) 會關閉被動補救。 |
| 0x1 | PASSIVE_REMEDIATION_FLAG_SENSE_AUTO_REMEDIATION:被動補救感知自動補救。 |
| 0x2 | PASSIVE_REMEDIATION_FLAG_RTP_AUDIT:被動補救實時保護稽核。 |
| 0x4 | PASSIVE_REMEDIATION_FLAG_RTP_REMEDIATION:被動補救實時保護補救。 |
Configuration/PerformanceModeStatus
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/PerformanceModeStatus
此設定可讓IT系統管理員以受管理裝置的啟用或停用模式設定效能模式。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 效能模式會 (預設) 啟用。 |
| 1 | 效能模式已停用。 |
Configuration/PlatformUpdatesChannel
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/PlatformUpdatesChannel
啟用此原則,以指定裝置在每月逐步推出期間接收 Microsoft Defender 平臺更新的時機。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 未 (預設) 設定。 裝置會在漸進式發行週期期間自動保持在最新狀態。 適用於大部分的裝置。 |
| 2 | Beta 通道:設定為此通道的裝置將會是第一個接收新更新的裝置。 選取 [Beta 信道] 以參與識別問題並回報給Microsoft。 Windows 測試人員計劃中的裝置預設會訂閱此通道。 用於 (手動) 測試環境,且裝置數量有限。 |
| 3 | 目前通道 (預覽) :設定為此通道的裝置會在每月漸進式發行週期中最早提供更新。 建議用於生產前/驗證環境。 |
| 4 | 目前通道 (分段) :裝置會在每月漸進式發行周期之後提供更新。 建議套用至生產母體母體中具有代表性的小型部分 (~10%) 。 |
| 5 | 目前通道 (廣泛) :裝置只有在漸進式發行週期完成後才會提供更新。 建議套用至生產母體擴展中廣泛的裝置集 (~10-100%) 。 |
| 6 | 重大 - 時間延遲:裝置將會以 48 小時的延遲提供更新。 建議僅適用於重要環境。 |
Configuration/QuickScanIncludeExclusions
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/QuickScanIncludeExclusions
這個設定可讓您在快速掃描期間掃描排除的檔案和目錄。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 如果您將此設定設定為 0 或未進行設定,則不會在快速掃描期間掃描排除專案。 |
| 1 | 如果您將此設定設為 1,則會在快速掃描期間掃描所有使用內容相關排除專案從即時保護中排除的檔案和目錄。 |
Configuration/RandomizeScheduleTaskTimes
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/RandomizeScheduleTaskTimes
在 Microsoft Defender 防病毒軟體中,將掃描的開始時間隨機化為 0 到 23 小時的任何間隔。 這在虛擬機或 VDI 部署中很有用。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 (預設) | 擴大或縮小排程掃描的隨機期間。 使用設定 SchedulerRandomizationTime,指定介於 1 到 23 小時的隨機化視窗。 |
| 0 | 排程的工作不會隨機化。 |
Configuration/ScanOnlyIfIdleEnabled
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/ScanOnlyIfIdleEnabled
在 Microsoft Defender 防病毒軟體中,只有在系統閑置時,此設定才會執行排程掃描。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 (預設) | 只有在系統處於閑置狀態時,才會執行排程掃描。 |
| 0 | 不論系統是否閑置,都會執行排程掃描。 |
Configuration/SchedulerRandomizationTime
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/SchedulerRandomizationTime
此設定可讓您以小時為單位設定排程器隨機化。 隨機間隔為 [1 - 23] 小時。 如需隨機效果的詳細資訊,請查看 RandomizeScheduleTaskTimes 設定。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [1-23] |
| 預設值 | 4 |
Configuration/ScheduleSecurityIntelligenceUpdateDay
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/ScheduleSecurityIntelligenceUpdateDay
此設定可讓您指定要檢查安全情報更新的星期幾。 根據預設,此設定會設定為永遠不會檢查安全性情報更新。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 8 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 日常。 |
| 1 | 星期日。 |
| 2 | 星期一。 |
| 3 | 星期二。 |
| 4 | 星期三。 |
| 5 | 星期四。 |
| 6 | 星期五。 |
| 7 | 星期六。 |
| 8 (預設) | [永不]。 |
Configuration/ScheduleSecurityIntelligenceUpdateTime
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/ScheduleSecurityIntelligenceUpdateTime
此設定可讓您指定一天中檢查安全情報更新的時間。 時間值會以午夜 (00:00) 的分鐘數表示。 例如,120 相當於上午02:00。 根據預設,此設定會設定為在排定的掃描時間前 15 分鐘檢查安全情報更新。 排程是以發生檢查之電腦上的當地時間為基礎。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-1439] |
| 預設值 | 105 |
Configuration/SecuredDevicesConfiguration
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration
定義應由 Defender Device Control 保護哪些裝置的主要標識符。 主要標識碼值應該是管道 (|) 分隔。 範例:RemovableMediaDevices|CdRomDevices。 如果未設定此組態,則會套用預設值,這表示所有支援的裝置都會受到保護。 目前支援的主要標識碼為:RemovableMediaDevices、CdRomDevices、WpdDevices、PrinterDevices。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
允許的值:
| 值 | 描述 |
|---|---|
| RemovableMediaDevices | RemovableMediaDevices。 |
| CdRomDevices | CdRomDevices。 |
| WpdDevices | WpdDevices。 |
| PrinterDevices | PrinterDevices。 |
Configuration/SecurityIntelligenceLocationUpdateAtScheduledTimeOnly
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/SecurityIntelligenceLocationUpdateAtScheduledTimeOnly
此設定可讓您根據 VDI 設定電腦的排程器來設定安全性情報更新。 它會與安全性信息共用位置 (SecurityIntelligenceLocation) 一起使用。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 如果您啟用此設定並設定 SecurityIntelligenceLocation,則來自已設定位置的更新只會在先前設定的排程更新時間進行。 |
| 0 (預設值) | 如果您停用或未設定此設定,每當在 SecurityIntelligenceLocation 指定的位置偵測到新的安全情報更新時,就會發生更新。 |
Configuration/SecurityIntelligenceUpdatesChannel
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/SecurityIntelligenceUpdatesChannel
啟用此原則,以指定裝置在每日漸進式推出期間收到 Microsoft Defender 安全性情報更新的時機。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 未 (預設) 設定。 裝置會在漸進式發行週期期間自動保持在最新狀態。 適用於大部分的裝置。 |
| 4 | 目前通道 (分段) :裝置將在發行周期之後提供更新。 建議套用至生產母體母體的小型代表性部分 (~10%) 。 |
| 5 | 目前通道 (廣泛) :裝置只有在漸進式發行週期完成後才會提供更新。 建議套用至生產母體擴展中廣泛的裝置集 (~10-100%) 。 |
組態/SupportLogLocation
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/SupportLogLocation
支援記錄檔位置設定可讓系統管理員指定 Microsoft Defender 防病毒軟體診斷數據收集工具 (MpCmdRun.exe) 儲存所產生記錄檔的位置。 此設定是使用 MDM 解決方案來設定,例如 Intune,並可供 Windows 10 企業版 使用。
Intune 支援記錄位置設定UI支援三種狀態:
- 未設定 (預設) - 不會影響裝置的默認狀態。
- 1 - 已啟用。 啟用支援記錄檔位置功能。 需要系統管理員設定自定義檔案路徑。
- 0 - 已停用。 關閉支援記錄檔位置功能。
當用戶端上已啟用或停用,且系統管理員將設定移至未設定時,不會對裝置狀態造成任何影響。 若要將狀態變更為已啟用或停用,必須明確設定。
更多詳細資料:
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
組態/TamperProtection
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1903 [10.0.18362] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/TamperProtection
竄改保護有助於保護重要的安全性功能,避免不必要的變更和干擾。 這包括即時保護、行為監視等等。 接受帶正負號的字串來開啟或關閉功能。 設定是使用 MDM 解決方案來設定,例如 Intune,並且可在 Windows 10 企業版 E5 或對等的訂用帳戶中使用。 將 Blob 傳送至裝置,以在 Intune 中將此設定設定設為「未設定」或「未指派」之前重設竄改保護狀態。 數據類型是帶正負號的 Blob。
注意
啟用 竄改保護 時,不會套用此設定的變更。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
Configuration/ThrottleForScheduledScanOnly
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Defender/Configuration/ThrottleForScheduledScanOnly
CPU 使用量限制只能套用至排程掃描,或套用至排程和自定義掃描。 預設值只會將 CPU 使用量限制套用至排程掃描。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 (預設) | 如果啟用此設定,CPU 節流只會套用至排程掃描。 |
| 0 | 如果您停用此設定,CPU 節流會套用至排程和自定義掃描。 |
檢測
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Detections
內部節點,用來將 Windows Defender 偵測到的所有威脅分組。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Detections/{ThreatId}
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}
Windows Defender 偵測到的威脅標識碼。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
| 動態節點命名 | ClientInventory |
Detections/{ThreatId}/Category
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Category
威脅類別標識碼。 支援的值:
|值 |描述 |。
|:--|:--|.
|0 |無效的 |。
|1 |Adware |.
|2 |Spyware |.
|3 |密碼竊取程式 |。
|4 |特洛伊木馬程式下載程式 |。
|5 |Worm |。
|6 |後門 |。
|7 |遠程訪問特洛伊木馬程式 |。
|8 |特洛伊木馬程式 |。
|9 |Email 洩水器 |。
|10 |Keylogger |。
|11 |撥號程式 |。
|12 |監視軟體 |。
|13 |瀏覽器修飾詞 |。
|14 |Cookie |。
|15 |瀏覽器外掛程式 |。
|16 |AOL 惡意探索 |。
|17 |Nuker |。
|18 |安全性停用程式 |。
|19 |擷取程式 |。
|20 |惡意的 ActiveX 控件 |。
|21 |軟體配套工具 |。
|22 |隱形修飾詞 |。
|23 |設定修飾詞 |。
|24 |工具列 |。
|25 |遠端控制軟體 |。
|26 |特洛伊木馬程式 FTP |。
|27 |潛在的垃圾軟體 |。
|28 |ICQ 惡意探索 |。
|29 |特洛伊木馬程式 telnet |。
|30 |惡意探索 |。
|31 |檔案共享程式 |。
|32 |惡意代碼建立工具 |。
|33 |遠端控制軟體 |。
|34 |工具 |。
|36 |特洛伊木馬程式阻斷服務 |。
|37 |特洛伊木馬程式下拉式清單 |。
|38 |特洛伊木馬程式大型郵遞員 |。
|39 |特洛伊木馬程序監視軟體 |。
|40 |特洛伊木馬程式 Proxy 伺服器 |。
|42 |病毒 |。
|43 |已知 |。
|44 |未知的 |。
|45 |SPP |。
|46 |行為 |。
|47 |弱點 |。
|48 |原則 |。
|49 |EUS (Enterprise 垃圾軟體) |。
|50 |勒索軟體 |。
|51 |ASR 規則 |
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | [取得] |
Detections/{ThreatId}/CurrentStatus
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/CurrentStatus
威脅目前狀態的相關信息。 下列清單顯示支援的值:
|值 |描述 |。
|:--|:--|.
|0 |作用中 |。
|1 |動作失敗 |。
|2 |需要手動步驟 |。
|3 |需要完整掃描 |。
|4 |需要重新啟動 |。
|5 |已補救非關鍵性失敗 |。
|6 |已隔離 |。
|7 |已移除 |。
|8 |已清除 |。
|9 |允許的 |。
|10 |未清除狀態 () |
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | [取得] |
Detections/{ThreatId}/ExecutionStatus
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/ExecutionStatus
威脅執行狀態的相關信息。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | [取得] |
Detections/{ThreatId}/InitialDetectionTime
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/InitialDetectionTime
第一次偵測到此特定威脅時。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | [取得] |
Detections/{ThreatId}/LastThreatStatusChangeTime
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/LastThreatStatusChangeTime
上次變更此特定威脅的時間。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | [取得] |
Detections/{ThreatId}/Name
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Name
特定威脅的名稱。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | [取得] |
Detections/{ThreatId}/NumberOfDetections
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/NumberOfDetections
在特定用戶端上偵測到此威脅的次數。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | [取得] |
Detections/{ThreatId}/Severity
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Severity
威脅嚴重性標識碼。 下列清單顯示支援的值:
|值 |描述 |。
|:--|:--|.
|0 |未知的 |。
|1 |低 |。
|2 |中等 |。
|4 |高 |。
|5 |嚴重 |
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | [取得] |
Detections/{ThreatId}/URL
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/URL
其他威脅資訊的 URL 連結。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | [取得] |
健康情況
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health
內部節點,用來群組 Windows Defender 健康情況狀態的相關信息。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Health/ComputerState
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/ComputerState
提供裝置的目前狀態。 下列清單顯示支援的值:
|值 |描述 |。
|:--|:--|.
|0 |清除 |。
|1 |擱置完整掃描 |。
|2 |擱置重新啟動 |。
|4 |Windows Defender (等待用戶採取一些動作,例如重新啟動計算機或執行完整掃描) |的暫止手動步驟。
|8 |擱置脫機掃描 |。
|16 |擱置的重大失敗 (Windows Defender 嚴重失敗,系統管理員必須調查並採取一些動作,例如重新啟動電腦或重新安裝 Windows Defender) |
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | [取得] |
Health/DefenderEnabled
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/DefenderEnabled
指出 Windows Defender 服務是否正在執行。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
Health/DefenderVersion
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/DefenderVersion
裝置上的 Windows Defender 版本號碼。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | [取得] |
Health/DeviceControl
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/DeviceControl
內部節點,用來群組裝置 Cotrol 健康情況狀態的相關信息。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | [取得] |
Health/DeviceControl/State
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/DeviceControl/State
提供裝置控制件的目前狀態。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | [取得] |
Health/EngineVersion
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/EngineVersion
裝置上目前 Windows Defender 引擎的版本號碼。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | [取得] |
Health/FullScanOverdue
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/FullScanOverdue
指出裝置的 Windows Defender 完整掃描是否逾期。 當排定的完整掃描在 2 周內未順利完成,且已停用完整掃描, (預設) 時,完整掃描逾期。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
Health/FullScanRequired
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/FullScanRequired
指出是否需要 Windows Defender 完整掃描。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
Health/FullScanSigVersion
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/FullScanSigVersion
用於裝置上次完整掃描的簽章版本。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | [取得] |
Health/FullScanTime
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/FullScanTime
上次 Windows Defender 裝置完整掃描的時間。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | [取得] |
Health/IsVirtualMachine
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/IsVirtualMachine
指出裝置是否為虛擬機。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
Health/NisEnabled
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/NisEnabled
指出網路保護是否正在執行。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
Health/ProductStatus
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/ProductStatus
提供產品的目前狀態。 這是位掩碼旗標值,可以代表下列清單中的一或多個產品狀態。 支援的產品狀態值:
|值 |描述 |。
|:--|:--|.
|0 |沒有狀態 |。
|1 (1 << 0) |服務未執行 |。
|2 (1 1 <<) |服務啟動時沒有任何惡意代碼保護引擎 |。
|4 (1 << 2) |因威脅動作 |而擱置完整掃描。
|8 (1 << 3) |因威脅動作 |而擱置重新啟動。
|16 (1 << 4) | 因威脅動作 |而結束手動步驟。
|32 (1 << 5) |AV 簽章已過期 |。
|64 (1 << 6) |AS 簽章已過期 |。
|128 (1 << 7) |指定的期間 |未發生快速掃描。
|256 (1 << 8) |指定的期間 |未發生完整掃描。
|512 (1 << 9) |系統起始的掃描進行中 |。
|1024 (1 << 10) |系統起始的清除進行中 |。
|2048 (1 << 11) |有擱置提交 |的範例。
|4096 (1 << 12) |以評估模式 |執行的產品。
|8192 (1 << 13) |以非正版 Windows 模式 |執行的產品。
|16384 (1 << 14) |產品已過期 |。
|32768 (1 << 15) |需要脫機掃描 |。
|65536 (1 << 16) |服務在系統關機 |中關閉。
|131072 (1 << 17) |威脅補救嚴重失敗 |。
|262144 (1 << 18) |威脅補救失敗,非嚴重性 |。
|524288 (1 << 19) |未設定狀態旗標 (初始化狀態) |。
|1048576 (1 << 20) |平臺已過期 |。
|2097152 (1 << 21) |平臺更新正在進行中 |。
|4194304 (1 << 22) |平台即將過時 |。
|8388608 (1 << 23) |簽章或平臺生命週期已過期或即將結束 |。
|16777216 (1 << 24) |Windows SMode 簽章仍在非 Win10S 安裝上使用 |
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | [取得] |
範例:
<SyncML xmlns="SYNCML:SYNCML1.1">
<SyncBody>
<Get>
<CmdID>1</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/Defender/Health/ProductStatus</LocURI>
</Target>
</Item>
</Get>
<Final/>
</SyncBody>
</SyncML>
Health/QuickScanOverdue
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/QuickScanOverdue
指出裝置的 Windows Defender 快速掃描是否逾期。 當排定的快速掃描在 2 周內未順利完成,且已停用追補快速掃描時,快速掃描會逾期 (預設) 。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
Health/QuickScanSigVersion
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/QuickScanSigVersion
用於裝置上次快速掃描的簽章版本。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | [取得] |
Health/QuickScanTime
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/QuickScanTime
上次 Windows Defender 快速掃描裝置的時間。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | [取得] |
Health/RebootRequired
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/RebootRequired
指出是否需要裝置重新啟動。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
Health/RtpEnabled
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/RtpEnabled
指出即時保護是否正在執行。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
Health/SignatureOutOfDate
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/SignatureOutOfDate
指出 Windows Defender 簽章是否已過期。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
Health/SignatureVersion
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/SignatureVersion
裝置上目前 Windows Defender 簽章的版本號碼。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | [取得] |
Health/TamperProtectionEnabled
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 和更新版本 |
./Device/Vendor/MSFT/Defender/Health/TamperProtectionEnabled
指出是否已啟用 Windows Defender 竄改保護功能。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
OfflineScan
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Defender/OfflineScan
OfflineScan 動作會在您執行命令的電腦上啟動 Microsoft Defender 離線掃描。 下一次操作系統重新啟動之後,裝置會以離線模式 Microsoft Defender 啟動,以開始掃描。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | Exec、Get |
| 重新啟動行為 | ServerInitiated |
RollbackEngine
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Defender/RollbackEngine
RollbackEngine 巨集指令會將引擎 Microsoft Defender 回復到您執行命令所在計算機上最後已知的良好儲存版本。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | Exec、Get |
| 重新啟動行為 | ServerInitiated |
RollbackPlatform
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Defender/RollbackPlatform
RollbackPlatform 動作會復原 Microsoft Defender 回您執行命令所在計算機上最後已知的良好安裝位置。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | Exec、Get |
| 重新啟動行為 | ServerInitiated |
掃描
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/Scan
可用來在裝置上啟動 Windows Defender 掃描的節點。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | Exec、Get |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 快速掃描。 |
| 2 | 完整掃描。 |
UpdateSignature
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/Defender/UpdateSignature
可用來執行 Windows Defender 簽章更新的節點。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | Exec、Get |