注意
ControlPolicyConflict (MDMWinsOverGP) 不適用於 Defender CSP。 如果使用 MDM,請移除目前的 Defender 群組政策設定,以避免與 MDM 設定衝突。
以下列表顯示 Defender 配置服務提供者節點:
- ./Device/Vendor/MSFT/Defender
-
設定
- AllowDatagramProcessingOnWinServer
- 允許網路保護下級
- AllowNetworkProtectionOnWinServer
- 允許切換至非同步檢查
- ArchiveMaxDepth
- 檔案MaxSize
- ASROnlyPerRuleExclusions
- 行為網路封鎖
- DataDuplicationDirectory
- DataDuplicationLocalRetentionPeriod
- DataDuplicationMaximumQuota
- 資料複製遠端定位
- DaysUntilAggressiveCatchupQuickScan
- 違規執行
- 裝置控制
- 裝置控制啟用
- DisableCacheMaintenance
- DisableCoreServiceECSIntegration
- DisableCoreServiceTelemetry
- DisableCpuThrottleOnIdleScans
- DisableDatagramProcessing
- DisableDnsOverTcpParsing
- DisableDns解析
- DisableFtpParsing
- 失效漸進釋放
- DisableHttpParsing
- DisableInboundConnectionFiltering
- DisableLocalAdminMerge
- DisableNetworkProtectionPerfTelemetry
- DisableQuic解析
- DisableRdpParsing
- DisableSmtp解析
- DisableSsh解析
- DisableTlsParsing
- 啟用轉換警告阻擋
- 啟用Dns陷坑
- 啟用檔案雜湊計算
- EnableUdpReceiveOffload
- EnableUdpSegmentationOffload
- 引擎更新頻道
- 排除的 Ip 位址
- 隱藏排除事項從LocalAdmins
- 隱藏排除事項從LocalUsers。
- IntelTDTEnabled
- 計量連接更新
- 網路保護聲譽模式
- OobeEnableRtpAndSigUpdate
- 被動修復
- PerformanceModeStatus
- 平台更新頻道
- 快速掃描包含排除項目
- 隨機化排程任務時間
- 報告
- 僅掃描IfIdleEnabled。
- 排程隨機化時間
- 排程 安全 情報 更新 日
- 排程 安全 情報 更新時間
- SecuredDevicesConfiguration
- 安全情報定位更新僅排定時間
- 安全情報更新頻道
- 支援日誌位置
- 防篡改保護
- 排程掃描的油門
- 偵測
- 健康情況
- 離線掃描
- 回滾引擎
- 回滾平台
- 掃描
- 更新簽名
-
設定
設定
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration
一個內部節點用來分組 Windows Defender 的設定資訊。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Configuration/AllowDatagramProcessingOnWinServer
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/AllowDatagramProcessingOnWinServer
此設定控制網路保護是否允許在 Windows Server 上啟用資料報處理。 若為錯誤,DisableDatagramProcessing 的值將被忽略,並預設為停用 Datagram 檢查。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | Windows Server 上已啟用資料報處理。 |
| 0 (預設值) | Windows Server 上的資料報處理已被停用。 |
設定/允許網路保護下層
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/AllowNetworkProtectionDownLevel
此設定控制在 Windows 下層 RS3 是否允許設定為封鎖或稽核模式。 若為錯誤,EnableNetworkProtection 的價值將被忽略。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 網路保護將啟用下層。 |
| 0 (預設值) | 網路保護會在下層關閉。 |
Configuration/AllowNetworkProtectionOnWinServer
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/AllowNetworkProtectionOnWinServer
此設定控制網路保護是否允許在 Windows Server 上設定為封鎖或稽核模式。 若為錯誤,EnableNetworkProtection 的價值將被忽略。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 (預設) | 允許。 |
| 0 | 禁止。 |
配置/允許切換至非同步檢查
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/AllowSwitchToAsyncInspection
透過從即時檢查轉換為非同步檢查,控制網路保護是否能提升效能。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 允許切換至非同步檢查。 |
| 0 (預設值) | 不要允許非同步檢查。 |
配置/歸檔最大深度
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/ArchiveMaxDepth
指定從壓縮檔檔案中擷取的最大資料夾深度以便掃描。 若此設定關閉或未設定,預設值 (0) 會套用,所有壓縮檔會被解壓至最深的資料夾進行掃描。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-4294967295] |
| 預設值 | 0 |
配置/ArchiveMaxSize
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/ArchiveMaxSize
指定要解壓並掃描的壓縮檔最大大小(KB)。 若此設定關閉或未設定,預設值 (0) 會套用,所有壓縮檔都會被解壓並掃描,不論檔案大小。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-4294967295] |
| 預設值 | 0 |
Configuration/ASROnlyPerRuleExclusions
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/ASROnlyPerRuleExclusions
ASR 僅依規則排除條款適用。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | 新增、刪除、取得、取代 |
配置/行為網路區塊
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
配置/行為網路封鎖/暴力破解保護
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
配置/行為網路封鎖/暴力破解保護/暴力破解保護攻擊性
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionAggressiveness
設定 Brute-Force Protection 封鎖 IP 位址的標準。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 低:只有 100% 確定為惡意的 IP 位址 (預設) 。 |
| 1 | 中介:利用雲端聚合來封鎖超過 99% 可能是惡意的 IP 位址。 |
| 2 | 高階:封鎖利用客戶端智慧與情境識別的 IP 位址,以封鎖超過 90% 可能為惡意的 IP。 |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionConfiguredState
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionConfiguredState
Brute-Force 防毒軟體中的保護Microsoft Defender偵測並阻擋強制登入及啟動會話的嘗試。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 未設定:套用防毒引擎和平台設定的預設值。 |
| 1 | 封鎖:防止可疑及惡意行為。 |
| 2 | 稽核:產生不阻擋的EDR偵測。 |
| 4 | 關閉:功能被停用,但不影響效能。 |
配置/行為網路封鎖/暴力破解保護/暴力破解保護排除
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionExclusions
請指定 IP 位址、子網路或工作站名稱,以避免被 Brute-Force Protection 封鎖。 請注意,攻擊者可以偽造排除的地址和名稱以繞過保護。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | (分界符列表: |) |
配置/行為網路封鎖/暴力破解保護/暴力破解保護最大區塊時間
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionMaxBlockTime
設定 Brute-Force 保護封鎖 IP 位址的最長時間。 在此期間後,被封鎖的 IP 位址將能夠登入並啟動會話。 若設為 0,內部特徵邏輯將決定區塊時間。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-4294967295] |
| 預設值 | 0 |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionLocalNetworkBlocking
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionLocalNetworkBlocking
在 Microsoft Defender 防毒軟體中擴展暴力破解防護覆蓋,以封鎖本地網路位址。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 暴力破解保護不會阻擋本地網路位址。 |
| 1 | 暴力破解保護會阻擋本地網路位址。 |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionSkipLearningPeriod
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionSkipLearningPeriod
跳過兩週的初始學習期,讓 Microsoft Defender 防毒軟體的暴力破解防護能立即開始封鎖。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 暴力破解防護僅在完成兩週學習期後阻擋威脅。 |
| 1 | 暴力破解防護立即開始阻擋威脅。 |
配置/行為網路封鎖/遠端加密保護
注意
遠端加密保護阻擋模式目前仍在預覽階段。
RemoteEncryptionProtectionConfiguredState不支援設定到非0預設 () 值。 預設值 (0) 提供稽核模式保護。
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
配置/行為網路封鎖/遠端加密保護/遠端加密保護攻擊性
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionAggressiveness
設定遠端加密保護封鎖 IP 位址的標準。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 低:只有當信心水準達到 100% (預設) 時才封鎖。 |
| 1 | 中等:使用雲端聚合,當信心度超過99%時封鎖。 |
| 2 | 高:利用雲端情報和上下文,當信心度超過90%時封鎖。 |
配置/行為網路封鎖/遠端加密保護/遠端加密保護配置狀態
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionConfiguredState
Microsoft Defender 防毒軟體中的遠端加密保護能偵測並阻擋從其他裝置以加密版本替換本地檔案的嘗試。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 未設定:套用防毒引擎和平台的預設值。 |
| 1 | 封鎖:防止可疑及惡意行為。 |
| 2 | 稽核:產生不阻擋的EDR偵測。 |
| 4 | 關閉:功能關閉,且不影響效能。 |
配置/行為網路封鎖/遠端加密保護/遠端加密保護排除項目
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionExclusions
指定 IP 位址、子網路或工作站名稱,以避免被遠端加密保護(Remote Encryption Protection)阻擋。 請注意,攻擊者可以偽造排除的地址和名稱以繞過保護。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | (分界符列表: |) |
| 預設值 | 0 |
配置/行為網路封鎖/遠端加密保護/遠端加密保護最大區塊時間
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionMaxBlockTime
設定 IP 位址被遠端加密保護封鎖的最長時間。 在此期間後,被封鎖的 IP 位址將能重新啟動連線。 若設為 0,內部特徵邏輯將決定區塊時間。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-4294967295] |
| 預設值 | 0 |
Configuration/DataDuplicationDirectory
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationDirectory
定義用於裝置控制的資料複製目錄。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | 新增、刪除、取得、取代 |
配置/DataDuplicationLocalRetentionPeriod
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationLocalRetentionPeriod
定義保存期限(天數),以說明若有資料轉移至遠端地點,客戶端機器上可保存多久。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [1-120] |
| 預設值 | 60 |
Configuration/DataDuplicationMaximumQuota
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationMaximumQuota
定義可收集的最大資料重複配額(MB)。 當配額達到時,過濾器會停止重複任何資料,直到服務成功派遣現有收集的資料,配額再次降至最大值以下。 有效區間為 [5-5000] MB。 預設情況下,最大配額為 500 MB。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [5-5000] |
| 預設值 | 500 |
配置/資料複製遠端定位
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocation
定義裝置控制的遠端資料複製位置。 在設定此設定時,請確保裝置控制已啟用,且所提供的路徑是使用者可存取的遠端路徑。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | 新增、刪除、取得、取代 |
配置/DaysUntilAggressiveCatchupQuickScan
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DaysUntilAggressiveCatchupQuickScan
設定在觸發積極快速掃描前可以過幾天。 有效間隔為[7至60]天。 若未設定,積極快速掃描將被禁用。 預設值在啟用時設定為 30 天。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [7-60] |
| 預設值 | 30 |
設定/預設強制
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DefaultEnforcement
控制裝置控制的預設強制執行。 這是在沒有政策規則存在或在政策規則評估結束時未被匹配時所適用的執行方式。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 (預設) | 預設許可執行。 |
| 2 | 預設的拒絕執行。 |
配置/裝置控制
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
配置/裝置控制/政策群組
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Configuration/DeviceControl/PolicyGroups/{GroupId}
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/{GroupId}
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | 新增、刪除、取得、取代 |
Configuration/DeviceControl/PolicyGroups/{GroupId}/GroupData
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/{GroupId}/GroupData
欲了解更多資訊,請參閱 適用於端點的 Microsoft Defender 裝置控制可移除儲存存取控制。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | 新增、刪除、取得、取代 |
配置/裝置控制/政策規則
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Configuration/DeviceControl/PolicyRules/{RuleId}
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/{RuleId}
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | 新增、刪除、取得、取代 |
Configuration/DeviceControl/PolicyRules/{RuleId}/RuleData
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/{RuleId}/RuleData
欲了解更多資訊,請參閱 適用於端點的 Microsoft Defender 裝置控制可移除儲存存取控制。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | 新增、刪除、取得、取代 |
配置/裝置控制啟用
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControlEnabled
控制裝置控制功能。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 裝置控制已啟用。 |
| 0 (預設值) | 裝置控制已被停用。 |
設定/停用快取維護
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableCacheMaintenance
定義快取維護閒置任務是否執行快取維護。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 快取維護已停用。 |
| 0 (預設值) | 快取維護 (預設) 啟用。 |
Configuration/DisableCoreServiceECSIntegration
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableCoreServiceECSIntegration
關閉 Defender 核心服務的 ECS 整合。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0x0 |
允許的值:
| 旗標 | 描述 |
|---|---|
| 0x0 (預設) | Defender 核心服務將利用 ECS) (實驗與設定服務,快速提供關鍵且針對組織的修正。 |
| 0x1 | Defender 核心服務停止使用 ECS) (實驗與設定服務。 修正將持續透過安全情報更新提供。 |
Configuration/DisableCoreServiceTelemetry
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableCoreServiceTelemetry
關閉 Defender 核心服務的 OneDsCollector 遙測。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0x0 |
允許的值:
| 旗標 | 描述 |
|---|---|
| 0x0 (預設) | Defender 核心服務將使用 OneDsCollector 框架快速收集遙測資料。 |
| 0x1 | Defender 核心服務停止使用 OneDsCollector 框架快速收集遙測數據,影響 Microsoft 快速識別及處理效能不佳、誤報及其他問題的能力。 |
Configuration/DisableCpuThrottleOnIdleScans
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableCpuThrottleOnIdleScans
顯示 CPU 是否會在裝置閒置時被限速進行排程掃描。 此功能預設啟用,無論 ScanAvgCPULoadFactor 設定為何,都不會在裝置閒置時限制 CPU 的排程掃描。 對於其他排程掃描,這個旗標不會有影響,降頻會正常發生。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 (預設) | 在閒置掃描時關閉 CPU 油門。 |
| 0 | 在閒置掃描時啟用 CPU 油門。 |
設定/停用資料報處理
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableDatagramProcessing
控制網路保護是否檢查使用者資料報協定 (UDP) 流量。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | UDP 檢查已關閉。 |
| 0 (預設值) | UDP 檢查已啟動。 |
配置/DisableDnsOverTcpParsing
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableDnsOverTcpParsing
此設定會禁用 DNS over TCP 解析以保護網路。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | DNS over TCP 解析被禁用。 |
| 0 (預設值) | DNS over TCP 解析已啟用。 |
配置/DisableDns解析
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableDnsParsing
此設定會關閉 DNS 解析以保護網路。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | DNS 解析被禁用。 |
| 0 (預設值) | DNS 解析已啟用。 |
配置/停用 FtpParsing
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableFtpParsing
此設定會停用 FTP 解析以保護網路。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | FTP 解析被禁用。 |
| 0 (預設值) | FTP 解析已啟用。 |
設定/停用漸進釋放
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableGradualRelease
啟用此政策以關閉 Defender 更新的逐步推送。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 漸進釋放功能被關閉。 |
| 0 (預設值) | 已啟用漸進釋放。 |
配置/停用 HttpParsing
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableHttpParsing
此設定會關閉 HTTP 解析以保護網路。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | HTTP 解析是被關閉的。 |
| 0 (預設值) | HTTP 解析已啟用。 |
配置/DisableInboundConnectionFiltering
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableInboundConnectionFiltering
此設定會關閉網路保護的入站連線過濾。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 入站連線過濾已被停用。 |
| 0 (預設值) | 已啟用入站連線過濾功能。 |
Configuration/DisableLocalAdminMerge
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableLocalAdminMerge
當這個值設為 no 時,讓本地管理員可以指定複雜清單類型的設定,然後將偏好設定與政策設定合併/覆寫。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 是。 |
| 0 (預設值) | 否。 |
配置/DisableNetworkProtectionPerfTelemetry
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableNetworkProtectionPerfTelemetry
此設定會禁止網路保護部門收集與傳送效能遙測資料。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 網路保護遙測已停用。 |
| 0 (預設值) | 網路保護遙測已啟用。 |
配置/DisableQuic解析
注意
此政策已廢止,未來版本可能會被移除。
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableQuicParsing
此設定會禁用 QUIC 解析以保護網路。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | QUIC 解析被禁用。 |
| 0 (預設值) | QUIC 解析已啟用。 |
配置/DisableRdpParsing
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableRdpParsing
此設定會禁用 RDP 解析以保護網路。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | RDP 解析已被停用。 |
| 0 (預設值) | RDP 解析已啟用。 |
配置/DisableSmtpParsing
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableSmtpParsing
此設定會禁用 SMTP 解析以保護網路。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | SMTP 解析功能被禁用。 |
| 0 (預設值) | 啟用了 SMTP 解析。 |
配置/停用Ssh解析
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableSshParsing
此設定會停用 SSH 解析以保護網路。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | SSH 解析已被禁用。 |
| 0 (預設值) | SSH 解析已啟用。 |
配置/停用Tls解析
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/DisableTlsParsing
此設定會停用 TLS 解析以保護網路。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | TLS 解析是被禁用的。 |
| 0 (預設值) | TLS 解析已啟用。 |
配置/啟用轉換WarnToBlock
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/EnableConvertWarnToBlock
此設定控制網路保護是否封鎖網路流量,而非顯示警告。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 警告判決會轉為封鎖。 |
| 0 (預設值) | 警告判決不會轉換成封鎖。 |
配置/啟用DnsSinkhole
注意
此政策已廢止,未來版本可能會被移除。
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/EnableDnsSinkhole
此設定啟用了網路保護的 DNS Sinkhole 功能,尊重 EnableNetworkProtection 在封鎖與審計時的價值,但在檢查模式下沒有任何功能。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | DNS Sinkhole 已停用。 |
| 1 (預設) | DNS Sinkhole 已啟用。 |
配置/啟用檔案雜湊計算
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/EnableFileHashComputation
啟用或停用檔案雜湊計算功能。 啟用此功能後,Windows Defender 會計算掃描檔案的雜湊值。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 停用: |
| 1 | 啟用: |
配置/啟用 UDPReceiveOffload
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/EnableUdpReceiveOffload
此設定啟用 UDP 接收卸載網路保護。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | UDP 接收卸載已被停用。 |
| 1 | UDP 接收卸載已啟用。 |
Configuration/EnableUdpSegmentationOffload
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/EnableUdpSegmentationOffload
此設定啟用 UDP 分段卸載網路保護。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | UDP 分段卸載功能已被停用。 |
| 1 | UDP 分段卸載已啟用。 |
配置/引擎更新頻道
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/EngineUpdatesChannel
啟用此政策,指定裝置在每月逐步推出期間接收 Microsoft Defender 引擎更新的時間。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 未設定 (預設) 。 裝置會在漸進式發佈週期中自動保持更新。 適用於大多數裝置。 |
| 2 | Beta 頻道:設定為此頻道的裝置將是首批獲得新更新的。 選擇 Beta 頻道以參與識別並向 Microsoft 回報問題。 Windows 測試人員計畫 中的裝置預設訂閱此頻道。 僅用於 (手動) 測試環境及有限數量的裝置。 |
| 3 | 目前頻道 (預覽) :設定為此頻道的裝置將在每月逐步發布週期中最早獲得更新。 建議用於前期製作/驗證環境。 |
| 4 | 目前頻道 (階段) :裝置將在每月逐步釋出後提供更新。 建議申請給你生產人口中一小部分、具代表性的部分, (~10%) 。 |
| 5 | 目前頻道 (廣泛) :裝置僅在逐步發布週期結束後提供更新。 建議應用於你生產族群中 (~10-100% 的廣泛裝置 ) 。 |
| 6 | 關鍵 - 延遲時間:裝置將獲得延遲48小時的更新。 僅建議用於關鍵環境。 |
配置/排除 IpAddresses
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/ExcludedIpAddresses
允許管理員明確停用 wdnisdrv 對特定 IP 位址進行的網路封包檢查。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 正則表達式: ^(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$|^(?:[0-9a-fA-F]{1,4}:){7}[0-9a-fA-F]{1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,6}:[0-9a-fA-F]{1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,5}(?::[0-9a-fA-F]{1,4}){1,2}$|^(?:[0-9a-fA-F]{1,4}:){1,4}(?::[0-9a-fA-F]{1,4}){1,3}$|^(?:[0-9a-fA-F]{1,4}:){1,3}(?::[0-9a-fA-F]{1,4}){1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,2}(?::[0-9a-fA-F]{1,4}){1,5}$|^[0-9a-fA-F]{1,4}(?::[0-9a-fA-F]{1,4}){1,6}$|^::1$|^::$ |
配置/隱藏排除事項從本地管理員
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/HideExclusionsFromLocalAdmins
此政策設定控制排除項目是否對本地管理員可見。 要控制本地使用者排除,請使用 HideExclusionsFromLocalUsers。 如果設定了 HideExclusionsFromLocalAdmins,則 HideExclusionsFromLocalUsers 也會被隱含設定。
注意
套用這個設定不會從裝置登錄檔移除排除項目。 這些資料會被套用並強制執行,但不會透過 Defender 的管理工具如 Get-MpPreference 或 Defender 擁有的登錄檔群的登錄編輯器顯示。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 如果你啟用這個設定,本地管理員將無法再在 Windows 安全性應用程式或 PowerShell 中看到排除清單。 |
| 0 (預設值) | 如果你停用或未設定此設定,本地管理員將能透過 Windows 安全性應用程式及 PowerShell 看到排除事項。 |
設定/隱藏排除事項從LocalUsers中
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/HideExclusionsFromLocalUsers
此政策設定控制排除項目是否對本地使用者可見。 如果設定了 HideExclusionsFromLocalAdmins,則此政策會被隱含設定。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 如果你啟用這個設定,本地使用者將無法在 Windows 安全性應用程式或透過 PowerShell 中看到排除清單。 |
| 0 (預設值) | 如果你停用或未設定此設定,本地使用者將能在 Windows 安全性應用程式和 PowerShell 中看到排除事項。 |
配置/IntelTDTE 可調整
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10、2004 版 [10.0.19041] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/IntelTDTEnabled
此政策設定用於設定支援 Intel TDT 裝置的 Intel TDT 整合等級。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 如果你沒有設定這個設定,預設值就會被套用。 預設值由 Microsoft 安全智慧更新控制。 如果有已知威脅,Microsoft 會啟用 Intel TDT。 |
| 1 | 如果你把這個設定設為啟用,Intel TDT 整合就會開啟。 |
| 2 | 如果你把這個設定設為停用,Intel TDT 整合就會關閉。 |
配置/計量連接更新
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/MeteredConnectionUpdates
允許受管理裝置透過計量連線更新。 預設值是 0 - 不允許,1 - 允許。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 已允許。 |
| 0 (預設值) | 不允許。 |
配置/網路保護聲譽模式
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/NetworkProtectionReputationMode
這會設定網路保護的聲譽模式引擎。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 使用標準的聲望引擎。 |
| 1 | 使用 ESP 聲譽引擎。 |
Configuration/OobeEnableRtpAndSigUpdate
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/OobeEnableRtpAndSigUpdate
此設定允許您在 OBBE (開箱即用體驗) 中設定是否啟用即時保護與安全情報匯報。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 啟用此設定後,OOBE期間可啟用即時防護與安全情報匯報。 |
| 0 (預設值) | 如果你關閉或未設定此設定,離線行動期間的即時保護和安全情報匯報功能就不會啟用。 |
配置/被動修復
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/PassiveRemediation
設定以控制 Sense 掃描的自動修復。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0x0 |
允許的值:
| 旗標 | 描述 |
|---|---|
| 0x0 (預設) | 被動修復 (預設) 關閉。 |
| 0x1 | PASSIVE_REMEDIATION_FLAG_SENSE_AUTO_REMEDIATION:被動修復意義 自動修復。 |
| 0x2 | PASSIVE_REMEDIATION_FLAG_RTP_AUDIT:被動修復即時防護稽核。 |
| 0x4 | PASSIVE_REMEDIATION_FLAG_RTP_REMEDIATION:被動修復即時保護修復。 |
配置/效能模式狀態
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11,版本 21H2 [10.0.22000] 及後續版本 |
./Device/Vendor/MSFT/Defender/Configuration/PerformanceModeStatus
此設定允許 IT 管理員為受管理裝置設定效能模式為啟用或停用。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 預設) (啟用了效能模式。 |
| 1 | 效能模式已關閉。 |
配置/平台更新頻道
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/PlatformUpdatesChannel
啟用此政策,指定裝置在每月逐步推出時何時接收 Microsoft Defender 平台更新。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 未設定 (預設) 。 裝置會在漸進式發佈週期中自動保持更新。 適用於大多數裝置。 |
| 2 | Beta 頻道:設定為此頻道的裝置將是首批獲得新更新的。 選擇 Beta 頻道以參與識別並向 Microsoft 回報問題。 Windows 測試人員計畫 中的裝置預設訂閱此頻道。 僅用於 (手動) 測試環境及有限數量的裝置。 |
| 3 | 目前頻道 (預覽) :設定為此頻道的裝置將在每月逐步發布週期中最早獲得更新。 建議用於前期製作/驗證環境。 |
| 4 | 目前頻道 (階段) :裝置將在每月逐步釋出後提供更新。 建議申請給你生產人口中一小部分、具代表性的部分, (~10%) 。 |
| 5 | 目前頻道 (廣泛) :裝置僅在逐步發布週期結束後提供更新。 建議應用於你生產族群中 (~10-100% 的廣泛裝置 ) 。 |
| 6 | 關鍵 - 延遲時間:裝置將獲得延遲48小時的更新。 僅建議用於關鍵環境。 |
配置/快速掃描包含排除事項
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/QuickScanIncludeExclusions
此設定允許你在快速掃描時掃描已排除的檔案和目錄。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 如果你把這個設定設為 0 或沒有設定,快速掃描時排除項目就不會被掃描。 |
| 1 | 如果你把這個設定設為 1,所有被上下文排除在即時保護之外的檔案和目錄都會在快速掃描中被掃描。 |
配置/隨機排程任務時間
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/RandomizeScheduleTaskTimes
在 Microsoft Defender 防毒軟體中,將掃描開始時間隨機化為任意間隔,從 0 到 23 小時。 這在虛擬機器或 VDI 部署中非常有用。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 (預設) | 延長或縮短排定掃描的隨機化時間。 使用設定 SchedulerRandomizationTime 設定,將隨機化視窗設定在 1 到 23 小時之間。 |
| 0 | 排程任務不會隨機化。 |
設定/報告
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/Reporting
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Configuration/Reporting/EnableDynamicSignatureDroppedEventReporting
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/Reporting/EnableDynamicSignatureDroppedEventReporting
此設定控制是否回報動態安全情報更新遺失事件。 預設情況下,這類事件不會被報告。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 動態安全情報更新中斷事件將不會被回報。 |
| 1 | 動態安全情報更新事件將被報告。 |
配置/ScanOnlyIfIdleEnabled
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/ScanOnlyIfIdleEnabled
在 Microsoft Defender 防毒軟體中,此設定僅在系統閒置時執行排程掃描。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 (預設) | 只有在系統閒置時才會執行排程掃描。 |
| 0 | 無論系統是否閒置,都會執行排程掃描。 |
配置/排程隨機化時間
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/SchedulerRandomizationTime
這個設定允許你以小時為單位設定排程隨機化。 隨機化間隔為[1 - 23]小時。 如需更多關於隨機化效應的資訊,請查看 RandomizeScheduleTaskTimes 設定。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [1-23] |
| 預設值 | 4 |
配置/排程安全智慧更新日
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/ScheduleSecurityIntelligenceUpdateDay
此設定允許你指定檢查安全情報更新的星期幾。 預設情況下,此設定設定為永遠不檢查安全情報更新。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 8 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 每天。 |
| 1 | 星期天。 |
| 2 | 星期一。 |
| 3 | 星期二。 |
| 4 | 星期三。 |
| 5 | 星期四。 |
| 6 | 星期五。 |
| 7 | 星期六。 |
| 8 (預設) | [永不]。 |
設定/排程安全智慧更新時間
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/ScheduleSecurityIntelligenceUpdateTime
此設定允許你指定檢查安全情報更新的時間點。 時間值以午夜過後的分鐘數表示 (00:00) 。 例如,120 相當於凌晨 2:00。 預設情況下,此設定會在預定掃描時間前15分鐘檢查安全情報更新。 排程是根據檢查進行的電腦上的當地時間。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-1439] |
| 預設值 | 105 |
Configuration/SecuredDevicesConfiguration
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration
定義哪個裝置的主要 ID 應該由 Defender Device Control 保護。 主要的 id 值應該是 pipe (|) 分開了。 範例:可移除媒體裝置|光碟裝置。 如果未設定此設定,預設值將被套用,代表所有支援的裝置都會被保護。 目前支援的主要 ID 有:RemovableMediaDevices、CdRomDevices、WpdDevices、PrinterDevices。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | 新增、刪除、取得、取代 |
允許的值:
| 值 | 描述 |
|---|---|
| 可移除媒體裝置 | 可移除媒體裝置。 |
| 光碟裝置 | 光碟裝置。 |
| WPDDEVICES | WPDDevices。 |
| 印表機裝置 | 印表機裝置。 |
配置/安全智慧位置更新AtScheduledTimeOnly
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/SecurityIntelligenceLocationUpdateAtScheduledTimeOnly
此設定允許你依照排程器設定 VDI 設定的電腦進行安全智慧更新。 它與共享的安全情報定位 (SecurityIntelligenceLocation) 一起使用。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 如果你啟用此設定並設定 SecurityIntelligenceLocation,來自該配置位置的更新只能在先前設定的排程更新時間發生。 |
| 0 (預設值) | 如果你停用或未設定此設定,只要在 SecurityIntelligenceLocation 指定的位置偵測到新的安全情報更新時,就會自動進行更新。 |
配置/安全智慧更新頻道
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/SecurityIntelligenceUpdatesChannel
啟用此政策,指定裝置在每日逐步推出時何時收到 Microsoft Defender 安全情報更新。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 未設定 (預設) 。 Microsoft會在漸進式釋出週期初期,將裝置分配到Current Channel (Broad) 或Beta頻道。 Microsoft 選擇的頻道可能是在漸進式發佈週期中較早接收更新的頻道,這可能不適合生產或關鍵環境中的裝置。 |
| 4 | 現行頻道 () 年播出:與現行頻道 (廣泛) 相同。 |
| 5 | 目前頻道 (廣泛) :裝置僅在逐步發布週期結束後提供更新。 建議適用於所有族群的廣泛裝置,包括生產。 |
配置/支援日誌定位
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/SupportLogLocation
支援日誌位置設定允許管理員指定Microsoft Defender防毒診斷資料收集工具 (MpCmdRun.exe) 將儲存日誌檔案的位置。 此設定可搭配 MDM 解決方案(如 Intune)配置,並支援 Windows 10 企業版。
Intune 支援日誌位置設定介面支援三種狀態:
- 未設定 (預設) - 不會影響裝置的預設狀態。
- 1 - 已啟用。 啟用支援日誌位置功能。 需要管理員設定自訂檔案路徑。
- 0 - 失效。 關閉支援日誌位置功能。
當用戶端有啟用或停用,且管理員將設定改為非設定時,這不會影響裝置狀態。 要將狀態改為啟用或停用,必須明確設定。
更多細節:
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | 新增、刪除、取得、取代 |
配置/防篡改
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 及之後版本 |
./Device/Vendor/MSFT/Defender/Configuration/TamperProtection
防壓保護有助於保護重要的安全功能免受不必要變更與干擾。 這包括即時保護、行為監控等功能。 接受簽名字串來開啟或關閉此功能。 設定可透過 MDM 解決方案(如 Intune)設定,並可在 Windows 10 企業版 E5 或同等訂閱中提供。 先把 blob 傳送到裝置重設防篡改狀態,然後再把這個設定設為「未設定」或「未指派」在 Intune 中。 資料型態為 Signed blob。
注意
啟用 防篡改保護 時,此設定的變更不適用。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
Configuration/ThrottleForScheduledScanOnly
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 及以後版本 |
./Device/Vendor/MSFT/Defender/Configuration/ThrottleForScheduledScanOnly
CPU 使用率限制可僅套用於排程掃描,或套用於排程且自訂的掃描。 預設值只對排程掃描套用 CPU 使用率上限。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 (預設) | 如果你啟用這個設定,CPU 降頻只會影響排程掃描。 |
| 0 | 如果你關閉這個設定,CPU 限速會發生在排程和自訂掃描上。 |
偵測
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Detections
一個內部節點,用來將 Windows Defender 偵測到的所有威脅歸類。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
偵測/{ThreatId}
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}
Windows Defender 偵測到的威脅識別碼。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
| 動態節點命名 | 客戶庫存 |
偵測/{ThreatId}/類別
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Category
威脅類別識別。 支援的值:
|價值 |說明 |。
|:--|:--|.
|0 |無效 |。
|1 |廣告軟體 |.
|2 |間諜軟體 |.
|3 |密碼竊賊 |。
|4 |木馬下載器 |。
|5 |蟲子|。
|6 |後門 |。
|7 |遠端存取木馬 |。
|8 |特洛伊 |.
|9 |Email flooder |。
|10 |鍵盤記錄器 |.
|11 |撥號器 |。
|12 |監控軟體 |。
|13 |瀏覽器修改鍵 |。
|14 |餅乾 |。
|15 |瀏覽器外掛 |。
|16 |AOL 漏洞 |.
|17 |Nuker |。
|18 |安全禁用器 |。
|19 |笑話節目 |。
|20 |敵對 ActiveX 控制 |。
|21 |軟體捆綁器 |。
|22 |潛行修正 |。
|23 |設定修正符 |。
|24 |工具列 |。
|25 |遙控軟體 |。
|26 |木馬 FTP |.
|27 |潛在的不受歡迎軟體 |。
|28 |ICQ 漏洞 |。
|29 |Trojan telnet |.
|30 |利用 |。
|31 |檔案分享程式 |。
|32 |惡意軟體製作工具 |。
|33 |遙控軟體 |。
|34 |工具 |。
|36 |特洛伊阻斷服務 |。
|37 |特洛伊投放器 |.
|38 |特洛伊大量郵件 |。
|39 |木馬監控軟體 |。
|40 |木馬代理伺服器 |.
|42 |病毒 |。
|43 |已知 |。
|44 |未知 |。
|45 |SPP |。
|46 |行為 |.
|47 |脆弱 |。
|48 |政策 |。
|49 |EUS (企業級不受歡迎軟體) |。
|50 |勒索軟體 |.
|51 |ASR 規則 |
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | [取得] |
偵測/{ThreatId}/CurrentStatus
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/CurrentStatus
關於威脅現況的資訊。 下列清單顯示支援的值:
|價值 |說明 |。
|:--|:--|.
|0 |活躍 |。
|1 |行動失敗 |。
|2 |需要手動步驟 |.
|3 |需要完整掃描 |。
|4 |需要重啟 |。
|5 |已修復非關鍵故障 |。
|6 |隔離中 |。
|7 |已移除 |。
|8 |清理過 |。
|9 |允許 |。
|10 |無狀態 ( 已清除) |
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | [取得] |
偵測/{ThreatId}/ExecutionStatus(執行狀態)
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/ExecutionStatus
關於威脅執行狀態的資訊。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | [取得] |
偵測/{ThreatId}/初始偵測時間
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/InitialDetectionTime
這是第一次偵測到這個特定威脅。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | [取得] |
Detections/{ThreatId}/LastThreatStatusChangeTime
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/LastThreatStatusChangeTime
上一次這個特定威脅被改變的時候。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | [取得] |
偵測/{ThreatId}/Name
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Name
具體威脅的名稱。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | [取得] |
偵測/{ThreatId}/NumberOfDetections
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/NumberOfDetections
特定客戶端偵測到此威脅的次數。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | [取得] |
偵測/{ThreatId}/嚴重度
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Severity
威脅嚴重度識別。 下列清單顯示支援的值:
|價值 |說明 |。
|:--|:--|.
|0 |未知 |。
|1 |低 |。
|2 |中等 |。
|4 |高 |。
|5 |嚴重 |
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | [取得] |
偵測/{ThreatId}/URL
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/URL
更多威脅資訊請參考網址連結。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | [取得] |
健康情況
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health
一個內部節點,用來群組 Windows Defender 健康狀態的資訊。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
健康/電腦狀態
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/ComputerState
請提供裝置目前的狀態。 下列清單顯示支援的值:
|價值 |說明 |。
|:--|:--|.
|0 |乾淨 |。
|1 |待完成全掃描 |。
|2 |待重啟 |。
|4 |等待手動步驟 (Windows Defender 正在等待使用者採取某些動作,例如重新啟動電腦或執行完整掃描) |。
|8 |待離線掃描 |。
|16 |待處理的重大故障 (Windows Defender 已嚴重失敗,管理員需要調查並採取措施,例如重新啟動電腦或重新安裝 Windows Defender) |
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | [取得] |
健康/防禦者啟用
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/DefenderEnabled
顯示 Windows Defender 服務是否正在執行。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
健康/防禦者版本
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/DefenderVersion
裝置上的 Windows Defender 版本號。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | [取得] |
健康/裝置控制
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/DeviceControl
一個內部節點,用來群組關於 Device Cotrol 健康狀態的資訊。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | [取得] |
健康/裝置控制/狀態
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/DeviceControl/State
提供裝置控制的當前狀態。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | [取得] |
健康/引擎版本
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/EngineVersion
裝置上目前 Windows Defender 引擎的版本號。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | [取得] |
健康/完整掃描逾期
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/FullScanOverdue
顯示該裝置是否已過 Windows Defender 的全掃描。 當預定的全掃描兩週內未成功完成,且追查掃描 (預設) 關閉,則表示全掃描已逾期。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
健康/全掃描必需
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/FullScanRequired
指示是否需要 Windows Defender 全掃描。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
健康/完整掃描版
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/FullScanSigVersion
簽名版本用於裝置最後一次完整掃描。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | [取得] |
健康/全掃描時間
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/FullScanTime
最後一次 Windows Defender 對裝置進行全面掃描的時間。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | [取得] |
Health/IsVirtualMachine
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/IsVirtualMachine
顯示該裝置是否為虛擬機器。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
健康/NisEnabled
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/NisEnabled
顯示網路保護是否正在運行。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
健康/產品狀態
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/ProductStatus
提供產品的現況。 這是一個位元遮罩標誌值,可以代表以下列表中一個或多個產品狀態。 支援的產品狀態值:
|價值 |說明 |。
|:--|:--|.
|0 |無狀態 |。
|1 (1 << 0) |服務無法運行 |。
|2 (1 << 1) |服務啟動時沒有任何惡意軟體防護引擎 |。
|4 (1 << 2) |因威脅行動而待進行全面掃描 |。
|8 (1 << 3) |因威脅行動待重啟 |。
|16 (1 << 4) | 因威脅行動結束手動步驟 |。
|32 (1 << 5) |防毒訊號過時 |。
|64 (1 << 6) |AS 簽名過時 |。
|128 (1 << 7) |在指定期間內未進行快速掃描 |。
|256 (1 << 8) |在指定期間內未進行完整掃描 |。
|512 (1 << 9) |系統啟動掃描進行中 |。
|1024 (1 << 10) |系統啟動清理正在進行中 |。
|2048 (1 << 11) |有樣本等待投稿 |。
|4096 (1 << 12) |產品在評估模式下運行 |。
|8192 (1 << 13) |產品運行於非正統 Windows 模式 |。
|16384 (1 << 14) |產品過期 |。
|32768 (1 << 15) |需要離線掃描 |。
|65536 (1 << 16) |服務正在系統關閉 |。
|131072 (1 << 17) |威脅修復嚴重失敗 |。
|262144 (1 << 18) |威脅修復非關鍵失敗 |。
|524288 (1 << 19) |沒有設定 (初始化良好的狀態旗標) |。
|1048576 (1 << 20) |平台已過時 |。
|2097152 (1 << 21) |平台更新正在進行中 |。
|4194304 (1 << 22) |平台即將過時 |。
|8388608 (1 << 23) |簽名或平台的生命週期已過或即將結束 |。
|16777216 (1 << 24) |Windows SMode 簽章仍在非 Win10S 安裝中使用 |
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | [取得] |
範例:
<SyncML xmlns="SYNCML:SYNCML1.1">
<SyncBody>
<Get>
<CmdID>1</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/Defender/Health/ProductStatus</LocURI>
</Target>
</Item>
</Get>
<Final/>
</SyncBody>
</SyncML>
健康/QuickScanOverdue
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/QuickScanOverdue
顯示該裝置是否已過 Windows Defender 快速掃描。 當預定的快速掃描兩週內未成功完成,且追趕快速掃描 (預設) 被停用時,就表示該進行快速掃描。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
健康/快速掃描翻譯
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/QuickScanSigVersion
簽名版用於裝置最後快速掃描。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | [取得] |
健康/快速掃描時間
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/QuickScanTime
最後一次 Windows Defender 快速掃描裝置的時間。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | [取得] |
生命值/重啟需求
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/RebootRequired
指示是否需要裝置重啟。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
健康/RtpEnabled
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/RtpEnabled
顯示即時保護是否正在運行。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
健康/簽名過時
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/SignatureOutOfDate
顯示 Windows Defender 簽名是否過時。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
健康/簽名版
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/SignatureVersion
裝置目前 Windows Defender 簽名的版本號。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | [取得] |
健康/防篡改已啟用
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 及之後版本 |
./Device/Vendor/MSFT/Defender/Health/TamperProtectionEnabled
顯示是否啟用了 Windows Defender 防篡改保護功能。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | [取得] |
離線掃描
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 及之後版本 |
./Device/Vendor/MSFT/Defender/OfflineScan
OfflineScan 動作會在執行指令的電腦上啟動 Microsoft Defender 離線掃描。 下一次作業系統重啟後,裝置將以 Microsoft Defender 離線模式啟動掃描。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | 執行官,走 |
| 重啟行為 | ServerInitiated |
回滾引擎
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 及之後版本 |
./Device/Vendor/MSFT/Defender/RollbackEngine
RollbackEngine 動作會將 Microsoft Defender 引擎回滾到你執行指令的電腦上最後已知良好保存的版本。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | 執行官,走 |
| 重啟行為 | ServerInitiated |
回滾平台
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 及之後版本 |
./Device/Vendor/MSFT/Defender/RollbackPlatform
RollbackPlatform 動作會將 Microsoft Defender 回滾到你執行指令的電腦上最後已知的良好安裝位置。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | 執行官,走 |
| 重啟行為 | ServerInitiated |
掃描
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/Scan
節點可以用來啟動裝置上的 Windows Defender 掃描。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | 執行官,走 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 快速掃描。 |
| 2 | 完整掃描。 |
更新簽名
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 及之後版本 |
./Device/Vendor/MSFT/Defender/UpdateSignature
可用於執行 Windows Defender 簽名更新的節點。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (弦) |
| 存取類型 | 執行官,走 |