Fournisseur de services de configuration de stratégie - Defender

AllowArchiveScanning

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/AllowArchiveScanning

Ce paramètre de stratégie vous permet de configurer des analyses de logiciels malveillants et de logiciels indésirables dans des fichiers d’archivage tels que . ZIP ou . Fichiers CAB.

  • Si vous activez ou ne configurez pas ce paramètre, les fichiers d’archive sont analysés.

  • Si vous désactivez ce paramètre, les fichiers d’archive ne seront pas analysés. Toutefois, les archives sont toujours analysées pendant les analyses dirigées.

Remarque

Les modifications apportées à ce paramètre ne sont pas appliquées lorsque la protection contre les falsifications est activée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Non autorisé. Désactive l’analyse des fichiers archivés.
1 (par défaut) Autorisé. Analyse les fichiers d’archive.

Mappage de stratégie de groupe :

Nom Valeur
Nom Scan_DisableArchiveScanning
Nom convivial Analyser les fichiers archivés
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Scan
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Scan
Nom de la valeur de Registre DisableArchiveScanning
Nom du fichier ADMX WindowsDefender.admx

AllowBehaviorMonitoring

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/AllowBehaviorMonitoring

Ce paramètre de stratégie vous permet de configurer la surveillance du comportement.

  • Si vous activez ou ne configurez pas ce paramètre, la surveillance du comportement est activée.

  • Si vous désactivez ce paramètre, la surveillance du comportement est désactivée.

Remarque

Les modifications apportées à ce paramètre ne sont pas appliquées lorsque la protection contre les falsifications est activée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Non autorisé. Désactive la surveillance du comportement.
1 (par défaut) Autorisé. Active la surveillance du comportement en temps réel.

Mappage de stratégie de groupe :

Nom Valeur
Nom RealtimeProtection_DisableBehaviorMonitoring
Nom convivial Activer l’analyse du comportement
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Protection en temps réel antivirus >
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Real-Time Protection
Nom de la valeur de Registre DisableBehaviorMonitoring
Nom du fichier ADMX WindowsDefender.admx

AllowCloudProtection

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/AllowCloudProtection

Ce paramètre de stratégie vous permet de rejoindre Microsoft MAPS. Microsoft MAPS est la communauté en ligne qui vous aide à choisir comment répondre aux menaces potentielles. La communauté contribue également à arrêter la propagation de nouvelles infections de logiciels malveillants.

Vous pouvez choisir d’envoyer des informations de base ou supplémentaires sur les logiciels détectés. Des informations supplémentaires aident Microsoft à créer des informations de sécurité et à protéger votre ordinateur. Ces informations peuvent inclure des éléments tels que l’emplacement des éléments détectés sur votre ordinateur si un logiciel dangereux a été supprimé. Les informations seront automatiquement collectées et envoyées. Dans certains cas, des informations personnelles peuvent être envoyées involontairement à Microsoft. Toutefois, Microsoft n’utilisera pas ces informations pour vous identifier ou vous contacter.

Les options possibles sont les suivantes :

(0x0) Désactivé (par défaut) (0x1) Appartenance de base (0x2) Appartenance avancée.

L’appartenance de base envoie à Microsoft des informations de base sur les logiciels détectés, y compris l’origine du logiciel, les actions que vous appliquez ou qui sont appliquées automatiquement, et si les actions ont réussi.

L’appartenance avancée, en plus des informations de base, envoie plus d’informations à Microsoft sur les logiciels malveillants, les logiciels espions et les logiciels potentiellement indésirables, y compris l’emplacement du logiciel, les noms de fichiers, le fonctionnement du logiciel et la façon dont il a impacté votre ordinateur.

  • Si vous activez ce paramètre, vous rejoindrez Microsoft MAPS avec l’appartenance spécifiée.

  • Si vous désactivez ou ne configurez pas ce paramètre, vous ne rejoindrez pas Microsoft MAPS.

Dans Windows 10, l’appartenance de base n’étant plus disponible, si vous définissez la valeur sur 1 ou 2, l’appareil est inscrit dans l’appartenance avancée.

Remarque

Les modifications apportées à ce paramètre ne sont pas appliquées lorsque la protection contre les falsifications est activée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Non autorisé. Désactive le service Microsoft Active Protection.
1 (par défaut) Autorisé. Active le service Microsoft Active Protection.

Mappage de stratégie de groupe :

Nom Valeur
Nom SpynetReporting
Nom convivial Rejoindre Microsoft MAPS
Nom de l’élément Rejoignez Microsoft MAPS.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > MAPS
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Spynet
Nom du fichier ADMX WindowsDefender.admx

AllowEmailScanning

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/AllowEmailScanning

Ce paramètre de stratégie vous permet de configurer l’analyse des e-mails. Lorsque l’analyse des e-mails est activée, le moteur analyse la boîte aux lettres et les fichiers de messagerie, en fonction de leur format spécifique, afin d’analyser le corps du courrier et les pièces jointes. Plusieurs formats de messagerie sont actuellement pris en charge, par exemple : pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Email analyse n’est pas prise en charge sur les clients de messagerie modernes.

  • Si vous activez ce paramètre, l’analyse des e-mails est activée.

  • Si vous désactivez ou ne configurez pas ce paramètre, l’analyse des e-mails est désactivée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Non autorisé. Désactive l’analyse des e-mails.
1 Autorisé. Active l’analyse des e-mails.

Mappage de stratégie de groupe :

Nom Valeur
Nom Scan_DisableEmailScanning
Nom convivial Activer l’analyse du courrier électronique
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Scan
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Scan
Nom de la valeur de Registre DisableEmailScanning
Nom du fichier ADMX WindowsDefender.admx

AllowFullScanOnMappedNetworkDrives

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanOnMappedNetworkDrives

Ce paramètre de stratégie vous permet de configurer l’analyse des lecteurs réseau mappés.

  • Si vous activez ce paramètre, les lecteurs réseau mappés sont analysés.

  • Si vous désactivez ou ne configurez pas ce paramètre, les lecteurs réseau mappés ne seront pas analysés.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Non autorisé. Désactive l’analyse sur les lecteurs réseau mappés.
1 Autorisé. Analyse les lecteurs réseau mappés.

Mappage de stratégie de groupe :

Nom Valeur
Nom Scan_DisableScanningMappedNetworkDrivesForFullScan
Nom convivial Exécuter une analyse complète sur les lecteurs réseau mappés
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Scan
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Scan
Nom de la valeur de Registre DisableScanningMappedNetworkDrivesForFullScan
Nom du fichier ADMX WindowsDefender.admx

AllowFullScanRemovableDriveScanning

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanRemovableDriveScanning

Ce paramètre de stratégie vous permet de déterminer s’il faut rechercher ou non des logiciels malveillants et indésirables dans le contenu des lecteurs amovibles, tels que des lecteurs flash USB, lors de l’exécution d’une analyse complète.

  • Si vous activez ce paramètre, les lecteurs amovibles sont analysés pendant n’importe quel type d’analyse.

  • Si vous désactivez ou ne configurez pas ce paramètre, les lecteurs amovibles ne seront pas analysés pendant une analyse complète. Les lecteurs amovibles peuvent toujours être analysés pendant l’analyse rapide et l’analyse personnalisée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Non autorisé. Désactive l’analyse sur les lecteurs amovibles.
1 Autorisé. Analyse les lecteurs amovibles.

Mappage de stratégie de groupe :

Nom Valeur
Nom Scan_DisableRemovableDriveScanning
Nom convivial Analyser les lecteurs amovibles
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Scan
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Scan
Nom de la valeur de Registre DisableRemovableDriveScanning
Nom du fichier ADMX WindowsDefender.admx

AllowIntrusionPreventionSystem

Remarque

Cette stratégie est déconseillée et peut être supprimée dans une version ultérieure.

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIntrusionPreventionSystem

Autorise ou désactive la fonctionnalité de prévention des intrusions de Windows Defender.

Remarque

Les modifications apportées à ce paramètre ne sont pas appliquées lorsque la protection contre les falsifications est activée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Non autorisé.
1 (par défaut) Autorisé.

AllowIOAVProtection

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIOAVProtection

Ce paramètre de stratégie vous permet de configurer l’analyse de tous les fichiers et pièces jointes téléchargés.

  • Si vous activez ou ne configurez pas ce paramètre, l’analyse de tous les fichiers et pièces jointes téléchargés est activée.

  • Si vous désactivez ce paramètre, l’analyse de tous les fichiers et pièces jointes téléchargés est désactivée.

Remarque

Les modifications apportées à ce paramètre ne sont pas appliquées lorsque la protection contre les falsifications est activée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Non autorisé.
1 (par défaut) Autorisé.

Mappage de stratégie de groupe :

Nom Valeur
Nom RealtimeProtection_DisableIOAVProtection
Nom convivial Analyser tous les fichiers et pièces jointes téléchargés
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Protection en temps réel antivirus >
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Real-Time Protection
Nom de la valeur de Registre DisableIOAVProtection
Nom du fichier ADMX WindowsDefender.admx

AllowOnAccessProtection

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/AllowOnAccessProtection

Ce paramètre de stratégie vous permet de configurer la surveillance de l’activité des fichiers et des programmes.

  • Si vous activez ou ne configurez pas ce paramètre, la surveillance de l’activité des fichiers et des programmes est activée.

  • Si vous désactivez ce paramètre, la surveillance de l’activité des fichiers et des programmes est désactivée.

Remarque

Les modifications apportées à ce paramètre ne sont pas appliquées lorsque la protection contre les falsifications est activée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Non autorisé.
1 (par défaut) Autorisé.

Mappage de stratégie de groupe :

Nom Valeur
Nom RealtimeProtection_DisableOnAccessProtection
Nom convivial Surveiller l’activité des programmes et des fichiers sur votre ordinateur
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Protection en temps réel antivirus >
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Real-Time Protection
Nom de la valeur de Registre DisableOnAccessProtection
Nom du fichier ADMX WindowsDefender.admx

AllowRealtimeMonitoring

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/AllowRealtimeMonitoring

Autorise ou désactive la fonctionnalité d’analyse en temps réel de Windows Defender.

Remarque

Les modifications apportées à ce paramètre ne sont pas appliquées lorsque la protection contre les falsifications est activée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Non autorisé. Désactive le service de surveillance en temps réel.
1 (par défaut) Autorisé. Active et exécute le service de surveillance en temps réel.

Mappage de stratégie de groupe :

Nom Valeur
Nom DisableRealtimeMonitoring
Nom convivial Désactiver la protection en temps réel
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Protection en temps réel antivirus >
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Real-Time Protection
Nom de la valeur de Registre DisableRealtimeMonitoring
Nom du fichier ADMX WindowsDefender.admx

AllowScanningNetworkFiles

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScanningNetworkFiles

Ce paramètre de stratégie vous permet de configurer des analyses planifiées et des analyses à la demande (lancées manuellement) pour les fichiers accessibles sur le réseau. Il est recommandé d’activer ce paramètre.

Remarque

L’analyse de la protection en temps réel (lors de l’accès) n’est pas affectée par cette stratégie.

  • Si vous activez ce paramètre ou si vous ne le configurez pas, les fichiers réseau sont analysés.
  • Si vous désactivez ce paramètre, les fichiers réseau ne seront pas analysés.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Non autorisé. Désactive l’analyse des fichiers réseau.
1 Autorisé. Analyse les fichiers réseau.

Mappage de stratégie de groupe :

Nom Valeur
Nom Scan_DisableScanningNetworkFiles
Nom convivial Configurer l’analyse des fichiers réseau
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Scan
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Scan
Nom de la valeur de Registre DisableScanningNetworkFiles
Nom du fichier ADMX WindowsDefender.admx

AllowScriptScanning

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScriptScanning

Autorise ou interdit la fonctionnalité d’analyse des scripts Windows Defender.

Remarque

Les modifications apportées à ce paramètre ne sont pas appliquées lorsque la protection contre les falsifications est activée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Non autorisé.
1 (par défaut) Autorisé.

AllowUserUIAccess

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/AllowUserUIAccess

Ce paramètre de stratégie vous permet de configurer l’affichage ou non de l’interface utilisateur AM pour les utilisateurs.

Si vous activez ce paramètre, l’interface utilisateur AM ne sera pas disponible pour les utilisateurs.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Non autorisé. Empêche les utilisateurs d’accéder à l’interface utilisateur.
1 (par défaut) Autorisé. Permet aux utilisateurs d’accéder à l’interface utilisateur.

Mappage de stratégie de groupe :

Nom Valeur
Nom UX_Configuration_UILockdown
Nom convivial Activer le mode sans affichage de l’interface utilisateur
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Interface cliente antivirus >
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\UX Configuration
Nom de la valeur de Registre UILockdown
Nom du fichier ADMX WindowsDefender.admx

AttackSurfaceReductionOnlyExclusions

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Exclure les fichiers et les chemins d’accès des règles de réduction de la surface d’attaque (ASR).

Activé:

Spécifiez les dossiers ou fichiers et ressources qui doivent être exclus des règles ASR dans la section Options.

Entrez chaque règle sur une nouvelle ligne sous la forme d’une paire nom-valeur :

  • Colonne Nom : entrez un chemin d’accès au dossier ou un nom de ressource complet. Par exemple, « C :\Windows » exclut tous les fichiers de ce répertoire. « C:\Windows\App.exe » exclut uniquement ce fichier spécifique dans ce dossier spécifique
  • Colonne de valeur : entrez « 0 » pour chaque élément.

Handicapé:

Aucune exclusion n’est appliquée aux règles ASR.

Non configuré :

Identique à Désactivé.

Vous pouvez configurer des règles ASR dans le paramètre Gp Configurer les règles de réduction de la surface d’attaque.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Liste (délimiteur : |)

Mappage de stratégie de groupe :

Nom Valeur
Nom ExploitGuard_ASR_ASROnlyExclusions
Nom convivial Exclure des fichiers et des chemins d’accès des règles de réduction de la surface d’attaque
Nom de l’élément Exclusions des règles ASR.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Microsoft Defender Réduction de la surface d’attaque Exploit Guard >
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR
Nom du fichier ADMX WindowsDefender.admx

AttackSurfaceReductionRules

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Définissez l’état de chaque règle de réduction de la surface d’attaque (ASR).

Après avoir activé ce paramètre, vous pouvez définir chaque règle comme suit dans la section Options :

  • Bloquer : la règle sera appliquée
  • Mode Audit : si la règle est normalement à l’origine d’un événement, il est enregistré (bien que la règle ne soit pas réellement appliquée)
  • Désactivé : la règle ne sera pas appliquée
  • Non configuré : la règle est activée avec les valeurs par défaut
  • Avertissement : la règle sera appliquée et l’utilisateur final aura la possibilité de contourner le bloc.

Sauf si la règle ASR est désactivée, un sous-échantillon d’événements d’audit est collecté pour les règles ASR avec la valeur non configurée.

Activé:

Spécifiez l’état de chaque règle ASR sous la section Options de ce paramètre.

Entrez chaque règle sur une nouvelle ligne sous la forme d’une paire nom-valeur :

  • Colonne De nom : entrez un ID de règle ASR valide
  • Colonne valeur : entrez l’ID de status lié à l’état que vous souhaitez spécifier pour la règle associée.

Les ID status suivants sont autorisés sous la colonne valeur :

  • 1 (Bloquer)
  • 0 (désactivé)
  • 2 (Audit)
  • 5 (non configuré)
  • 6 (Avertir)

Exemple :

xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx 0 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx 1 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx 2

Handicapé:

Aucune règle ASR n’est configurée.

Non configuré :

Identique à Désactivé.

Vous pouvez exclure des dossiers ou des fichiers dans le paramètre de stratégie de groupe « Exclure des fichiers et des chemins d’accès des règles de réduction de la surface d’attaque ».

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Mappage de stratégie de groupe :

Nom Valeur
Nom ExploitGuard_ASR_Rules
Nom convivial Configurer les règles de réduction de la surface d’attaque
Nom de l’élément Définissez l’état de chaque règle ASR.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Microsoft Defender Réduction de la surface d’attaque Exploit Guard >
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR
Nom du fichier ADMX WindowsDefender.admx

AvgCPULoadFactor

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/AvgCPULoadFactor

Ce paramètre de stratégie vous permet de configurer le pourcentage maximal d’utilisation du processeur autorisé pendant une analyse. Les valeurs valides pour ce paramètre sont un pourcentage représenté par les entiers 5 à 100. La valeur 0 indique qu’il ne doit pas y avoir de limitation de l’utilisation du processeur. La valeur par défaut est 50.

  • Si vous activez ce paramètre, l’utilisation du processeur ne dépassera pas le pourcentage spécifié.

  • Si vous désactivez ou ne configurez pas ce paramètre, l’utilisation du processeur ne dépassera pas la valeur par défaut.

Remarque

Si vous activez les deux stratégies suivantes, Windows ignore la valeur d’AvgCPULoadFactor :

  • ScanOnlyIfIdle : indique au produit d’analyser uniquement lorsque l’ordinateur n’est pas utilisé.
  • DisableCpuThrottleOnIdleScans : indique au produit de désactiver la limitation du processeur sur les analyses inactives.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-100]
Valeur par défaut 50

Mappage de stratégie de groupe :

Nom Valeur
Nom Scan_AvgCPULoadFactor
Nom convivial Spécifier le pourcentage maximal d’utilisation processeur au cours d’une analyse
Nom de l’élément Spécifiez le pourcentage maximal d’utilisation du processeur pendant une analyse.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Scan
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Scan
Nom du fichier ADMX WindowsDefender.admx

CheckForSignaturesBeforeRunningScan

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1809 [10.0.17763] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/CheckForSignaturesBeforeRunningScan

Ce paramètre de stratégie vous permet de déterminer si une case activée pour les nouvelles informations de sécurité des virus et des logiciels espions se produira avant d’exécuter une analyse.

Ce paramètre s’applique aux analyses planifiées, mais n’a aucun effet sur les analyses lancées manuellement à partir de l’interface utilisateur ou sur celles démarrées à partir de la ligne de commande à l’aide de « mpcmdrun -Scan ».

  • Si vous activez ce paramètre, une case activée de nouvelles informations de sécurité se produit avant d’exécuter une analyse.

  • Si vous désactivez ce paramètre ou si vous ne le configurez pas, l’analyse commence à utiliser le renseignement de sécurité existant.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Désactivé.
1 Activé.

Mappage de stratégie de groupe :

Nom Valeur
Nom CheckForSignaturesBeforeRunningScan
Nom convivial Recherchez les informations de sécurité les plus récentes sur les virus et les logiciels espions avant d’exécuter une analyse planifiée
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Scan
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Scan
Nom du fichier ADMX WindowsDefender.admx

CloudBlockLevel

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/CloudBlockLevel

Ce paramètre de stratégie détermine l’agressivité Microsoft Defender Antivirus dans le blocage et l’analyse des fichiers suspects.

Si ce paramètre est activé, Microsoft Defender antivirus sera plus agressif lors de l’identification des fichiers suspects à bloquer et analyser ; sinon, il sera moins agressif et par conséquent bloquer et analyser avec moins de fréquence.

Pour plus d’informations sur les valeurs spécifiques prises en charge, consultez le site de documentation Microsoft Defender Antivirus.

Remarque

Cette fonctionnalité nécessite que le paramètre « Rejoindre Microsoft MAPS » soit activé pour fonctionner.

Les options possibles sont les suivantes :

(0x0) Niveau de blocage antivirus par défaut Microsoft Defender (0x1) Niveau de blocage modéré Microsoft Defender Antivirus, fournit un verdict uniquement pour les détections de confiance élevée (0x2) Niveau de blocage élevé - bloquer agressivement les inconnus tout en optimisant les performances du client (plus de risques de faux positifs) (0x4) Niveau de blocage élevé + - bloquer agressivement les inconnus et appliquer une protection supplémentaire mesures (peut avoir un impact sur les performances du client) (0x6) Niveau de blocage de tolérance zéro : bloquer tous les exécutables inconnus.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) NotConfigured.
2 Haut.
4 HighPlus.
6 ZeroTolerance.

Mappage de stratégie de groupe :

Nom Valeur
Nom MpEngine_MpCloudBlockLevel
Nom convivial Sélectionner le niveau de protection cloud
Nom de l’élément Sélectionnez le niveau de blocage du cloud.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > MpEngine
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\MpEngine
Nom du fichier ADMX WindowsDefender.admx

CloudExtendedTimeout

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/CloudExtendedTimeout

Cette fonctionnalité permet à Microsoft Defender Antivirus de bloquer un fichier suspect pendant jusqu’à 60 secondes et de l’analyser dans le cloud pour s’assurer qu’il est sûr.

Le délai d’expiration de case activée cloud classique est de 10 secondes. Pour activer la fonctionnalité de case activée cloud étendu, spécifiez la durée étendue en secondes, jusqu’à 50 secondes supplémentaires.

Par exemple, si le délai d’expiration souhaité est de 60 secondes, spécifiez 50 secondes dans ce paramètre, ce qui activera la fonctionnalité de case activée cloud étendu et augmentera le temps total à 60 secondes.

Remarque

Cette fonctionnalité dépend de trois autres paramètres MAPS : « Configurer la fonctionnalité « Bloquer à la première consultation » ; » Rejoindre Microsoft MAPS" ; « Envoyer des exemples de fichiers quand une analyse supplémentaire est nécessaire » doivent tous être activés.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-50]
Valeur par défaut 0

Mappage de stratégie de groupe :

Nom Valeur
Nom MpEngine_MpBafsExtendedTimeout
Nom convivial Configurer la vérification du cloud étendu
Nom de l’élément Spécifiez le temps de case activée cloud étendu en secondes.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > MpEngine
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\MpEngine
Nom du fichier ADMX WindowsDefender.admx

ControlledFolderAccessAllowedApplications

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications

Ajoutez des applications supplémentaires qui doivent être considérées comme « approuvées » par accès contrôlé aux dossiers.

Ces applications sont autorisées à modifier ou supprimer des fichiers dans des dossiers d’accès contrôlé aux dossiers.

Microsoft Defender Antivirus détermine automatiquement les applications qui doivent être approuvées. Vous pouvez configurer ce paramètre pour ajouter des applications supplémentaires.

Activé:

Spécifiez d’autres applications autorisées dans la section Options.

Handicapé:

Aucune application supplémentaire n’est ajoutée à la liste approuvée.

Non configuré :

Identique à Désactivé.

Vous pouvez activer l’accès contrôlé aux dossiers dans le paramètre De stratégie de groupe Configurer l’accès contrôlé aux dossiers.

Les dossiers système par défaut sont automatiquement protégés, mais vous pouvez ajouter des dossiers dans le paramètre de stratégie de groupe Configurer les dossiers protégés.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Liste (délimiteur : |)

Mappage de stratégie de groupe :

Nom Valeur
Nom ExploitGuard_ControlledFolderAccess_AllowedApplications
Nom convivial Configurer les applications autorisées
Nom de l’élément Entrez les applications qui doivent être approuvées.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Microsoft Defender Accès contrôlé aux dossiers Exploit Guard >
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access
Nom du fichier ADMX WindowsDefender.admx

ControlledFolderAccessProtectedFolders

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessProtectedFolders

Spécifiez les dossiers supplémentaires qui doivent être gardés par la fonctionnalité Accès contrôlé aux dossiers.

Les fichiers de ces dossiers ne peuvent pas être modifiés ou supprimés par des applications non approuvées.

Les dossiers système par défaut sont automatiquement protégés. Vous pouvez configurer ce paramètre pour ajouter des dossiers supplémentaires.

La liste des dossiers système par défaut protégés est affichée dans Sécurité Windows.

Activé:

Spécifiez les dossiers supplémentaires qui doivent être protégés dans la section Options.

Handicapé:

Aucun dossier supplémentaire ne sera protégé.

Non configuré :

Identique à Désactivé.

Vous pouvez activer l’accès contrôlé aux dossiers dans le paramètre De stratégie de groupe Configurer l’accès contrôlé aux dossiers.

Microsoft Defender Antivirus détermine automatiquement quelles applications peuvent être approuvées. Vous pouvez ajouter des applications approuvées supplémentaires dans le paramètre de stratégie de groupe Configurer les applications autorisées.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Liste (délimiteur : |)

Mappage de stratégie de groupe :

Nom Valeur
Nom ExploitGuard_ControlledFolderAccess_ProtectedFolders
Nom convivial Configurer des dossiers protégés
Nom de l’élément Entrez les dossiers qui doivent être gardés.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Microsoft Defender Accès contrôlé aux dossiers Exploit Guard >
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access
Nom du fichier ADMX WindowsDefender.admx

DaysToRetainCleanedMalware

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/DaysToRetainCleanedMalware

Ce paramètre de stratégie définit le nombre de jours pendant lesquels les éléments doivent être conservés dans le dossier Quarantaine avant d’être supprimés.

  • Si vous activez ce paramètre, les éléments sont supprimés du dossier Quarantaine après le nombre de jours spécifié.

  • Si vous désactivez ou ne configurez pas ce paramètre, les éléments seront conservés indéfiniment dans le dossier de quarantaine et ne seront pas automatiquement supprimés.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-90]
Valeur par défaut 0

Mappage de stratégie de groupe :

Nom Valeur
Nom Quarantine_PurgeItemsAfterDelay
Nom convivial Configurer la suppression des éléments dans le dossier Quarantaine
Nom de l’élément Configurez la suppression des éléments du dossier quarantaine.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Quarantaine
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Quarantine
Nom du fichier ADMX WindowsDefender.admx

DisableCatchupFullScan

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1809 [10.0.17763] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupFullScan

Ce paramètre de stratégie vous permet de configurer des analyses de rattrapage pour les analyses complètes planifiées. Une analyse de rattrapage est une analyse lancée parce qu’une analyse planifiée régulièrement a été manquée. En règle générale, ces analyses planifiées sont manquées, car l’ordinateur a été éteint à l’heure planifiée.

  • Si vous désactivez ou ne configurez pas ce paramètre, les analyses de rattrapage des analyses complètes planifiées sont activées. Si un ordinateur est hors connexion pour deux analyses planifiées consécutives, une analyse de rattrapage est démarrée la prochaine fois qu’une personne se connecte à l’ordinateur. Si aucune analyse planifiée n’est configurée, aucune analyse de rattrapage n’est effectuée.

  • Si vous activez ce paramètre, les analyses de rattrapage pour les analyses complètes planifiées sont désactivées.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Activé.
1 (par défaut) Désactivé.

Mappage de stratégie de groupe :

Nom Valeur
Nom Scan_DisableCatchupFullScan
Nom convivial Activer l’analyse complète de rattrapage
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Scan
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Scan
Nom du fichier ADMX WindowsDefender.admx

DisableCatchupQuickScan

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1809 [10.0.17763] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupQuickScan

Ce paramètre de stratégie vous permet de configurer des analyses de rattrapage pour les analyses rapides planifiées. Une analyse de rattrapage est une analyse lancée parce qu’une analyse planifiée régulièrement a été manquée. En règle générale, ces analyses planifiées sont manquées, car l’ordinateur a été éteint à l’heure planifiée.

  • Si vous désactivez ou ne configurez pas ce paramètre, les analyses de rattrapage des analyses rapides planifiées sont activées. Si un ordinateur est hors connexion pour deux analyses planifiées consécutives, une analyse de rattrapage est démarrée la prochaine fois qu’une personne se connecte à l’ordinateur. Si aucune analyse planifiée n’est configurée, aucune analyse de rattrapage n’est effectuée.

  • Si vous activez ce paramètre, les analyses de rattrapage pour les analyses rapides planifiées sont désactivées.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Activé.
1 (par défaut) Désactivé.

Mappage de stratégie de groupe :

Nom Valeur
Nom Scan_DisableCatchupQuickScan
Nom convivial Activer l’analyse rapide de rattrapage
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Scan
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Scan
Nom du fichier ADMX WindowsDefender.admx

EnableControlFolderAccess

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/EnableControlledFolderAccess

Activez ou désactivez l’accès contrôlé aux dossiers pour les applications non approuvées. Vous pouvez choisir de bloquer, d’auditer ou d’autoriser les tentatives d’applications non approuvées pour :

  • Modifier ou supprimer des fichiers dans des dossiers protégés, tels que le dossier Documents
  • Écrire dans des secteurs de disque.

Vous pouvez également choisir de bloquer ou d’auditer uniquement les écritures dans les secteurs de disque tout en autorisant la modification ou la suppression de fichiers dans des dossiers protégés.

Microsoft Defender Antivirus détermine automatiquement quelles applications peuvent être approuvées. Vous pouvez ajouter des applications approuvées supplémentaires dans le paramètre de stratégie de groupe Configurer les applications autorisées.

Les dossiers système par défaut sont automatiquement protégés, mais vous pouvez ajouter des dossiers dans le paramètre De stratégie de groupe Configurer les dossiers protégés.

Bloquer:

Les éléments suivants seront bloqués :

  • Tentatives effectuées par des applications non approuvées pour modifier ou supprimer des fichiers dans des dossiers protégés
  • Tentatives d’écriture dans des secteurs de disque par des applications non approuvées.

Le journal des événements Windows enregistre ces blocs sous Journaux > des applications et des services Microsoft > Windows > Defender > Operational > ID 1123.

Handicapé:

Les éléments suivants ne seront pas bloqués et seront autorisés à s’exécuter :

  • Tentatives effectuées par des applications non approuvées pour modifier ou supprimer des fichiers dans des dossiers protégés
  • Tentatives d’écriture dans des secteurs de disque par des applications non approuvées.

Ces tentatives ne seront pas enregistrées dans le journal des événements Windows.

Mode d’audit :

Les éléments suivants ne seront pas bloqués et seront autorisés à s’exécuter :

  • Tentatives effectuées par des applications non approuvées pour modifier ou supprimer des fichiers dans des dossiers protégés
  • Tentatives d’écriture dans des secteurs de disque par des applications non approuvées.

Le journal des événements Windows enregistre ces tentatives sous Journaux > des applications et des services Microsoft > Windows > Defender > OPERATIONAL > ID 1124.

Bloquer la modification du disque uniquement :

Les éléments suivants seront bloqués :

  • Tentatives d’écriture dans des secteurs de disque par des applications non approuvées.

Le journal des événements Windows enregistre ces tentatives sous Journaux > des applications et des services Microsoft > Windows > Windows Defender > Operational > ID 1123.

Les éléments suivants ne seront pas bloqués et seront autorisés à s’exécuter :

  • Tente par des applications non approuvées de modifier ou de supprimer des fichiers dans des dossiers protégés.

Ces tentatives ne seront pas enregistrées dans le journal des événements Windows.

Auditer la modification du disque uniquement :

Les éléments suivants ne seront pas bloqués et seront autorisés à s’exécuter :

  • Tentatives d’écriture dans des secteurs de disque par des applications non approuvées
  • Tente par des applications non approuvées de modifier ou de supprimer des fichiers dans des dossiers protégés.

Seules les tentatives d’écriture dans des secteurs de disque protégés sont enregistrées dans le journal des événements Windows (sous Journaux > des applications et des services Microsoft > Windows > Defender > Operational > ID 1124).

Les tentatives de modification ou de suppression de fichiers dans des dossiers protégés ne seront pas enregistrées.

Non configuré :

Identique à Désactivé.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Désactivé.
1 Activé.
2 Mode Audit.
3 Bloquer la modification du disque uniquement.
4 Auditer la modification du disque uniquement.

Mappage de stratégie de groupe :

Nom Valeur
Nom ExploitGuard_ControlledFolderAccess_EnableControlledFolderAccess
Nom convivial Configurer l’accès contrôlé aux dossiers
Nom de l’élément Configurez la fonctionnalité protéger mes dossiers.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Microsoft Defender Accès contrôlé aux dossiers Exploit Guard >
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access
Nom du fichier ADMX WindowsDefender.admx

EnableLowCPUPriority

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1809 [10.0.17763] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/EnableLowCPUPriority

Ce paramètre de stratégie vous permet d’activer ou de désactiver une faible priorité processeur pour les analyses planifiées.

  • Si vous activez ce paramètre, une faible priorité du processeur est utilisée lors des analyses planifiées.

  • Si vous désactivez ou ne configurez pas ce paramètre, aucune modification n’est apportée à la priorité du processeur pour les analyses planifiées.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Désactivé.
1 Activé.

Mappage de stratégie de groupe :

Nom Valeur
Nom Scan_LowCpuPriority
Nom convivial Configurer une faible priorité du processeur pour les analyses planifiées
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Scan
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Scan
Nom du fichier ADMX WindowsDefender.admx

EnableNetworkProtection

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/EnableNetworkProtection

Activez ou désactivez Microsoft Defender protection réseau Exploit Guard pour empêcher les employés d’utiliser une application pour accéder à des domaines dangereux susceptibles d’héberger des escroqueries par hameçonnage, des sites d’hébergement d’exploit et d’autres contenus malveillants sur Internet.

Activé:

Spécifiez le mode dans la section Options :

-Bloquer : les utilisateurs et les applications ne pourront pas accéder aux domaines dangereux -Mode Audit : les utilisateurs et les applications peuvent se connecter à des domaines dangereux. Toutefois, si cette fonctionnalité a bloqué l’accès si elle était définie sur Bloquer, un enregistrement de l’événement figure dans les journaux des événements.

Handicapé:

Les utilisateurs et les applications ne seront pas empêchés de se connecter à des domaines dangereux.

Non configuré :

Identique à Désactivé.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Désactivé.
1 Activé (mode bloc).
2 Activé (mode audit).

Mappage de stratégie de groupe :

Nom Valeur
Nom ExploitGuard_EnableNetworkProtection
Nom convivial Empêcher les utilisateurs et les applications d’accéder à des sites web dangereux
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Network Protection
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection
Nom du fichier ADMX WindowsDefender.admx

ExcludedExtensions

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedExtensions

Permet à un administrateur de spécifier une liste d’extensions de type de fichier à ignorer pendant une analyse. Chaque type de fichier de la liste doit être séparé par un |. Par exemple, lib|obj.

Remarque

Pour empêcher toute modification non autorisée des exclusions, appliquez la protection contre les falsifications. La protection contre les falsifications pour les exclusions ne fonctionne que lorsque certaines conditions sont remplies.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Liste (délimiteur : |)

Mappage de stratégie de groupe :

Nom Valeur
Nom Exclusions_Extensions
Nom convivial Exclusions d’extensions
Nom de l’élément Exclusions d’extension.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Exclusions antivirus >
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Exclusions
Nom du fichier ADMX WindowsDefender.admx

ExcludedPaths

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedPaths

Permet à un administrateur de spécifier une liste de chemins d’accès de répertoire à ignorer pendant une analyse. Chaque chemin d’accès de la liste doit être séparé par un |. Par exemple, C :\Example|C :\Example1.

Remarque

Pour empêcher toute modification non autorisée des exclusions, appliquez la protection contre les falsifications. La protection contre les falsifications pour les exclusions ne fonctionne que lorsque certaines conditions sont remplies.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Liste (délimiteur : |)

Mappage de stratégie de groupe :

Nom Valeur
Nom Exclusions_Paths
Nom convivial Exclusions de chemins d’accès
Nom de l’élément Exclusions de chemin d’accès.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Exclusions antivirus >
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Exclusions
Nom du fichier ADMX WindowsDefender.admx

ExcludedProcesses

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedProcesses

Permet à un administrateur de spécifier une liste de fichiers ouverts par des processus à ignorer pendant une analyse.

Important

Le processus lui-même n’est pas exclu de l’analyse, mais il peut l’être en utilisant la stratégie Defender/ExcludedPaths pour exclure son chemin d’accès. Chaque type de fichier doit être séparé par un |. Par exemple, C :\Example. exe|C:\Example1.exe.

Remarque

Pour empêcher toute modification non autorisée des exclusions, appliquez la protection contre les falsifications. La protection contre les falsifications pour les exclusions ne fonctionne que lorsque certaines conditions sont remplies.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Liste (délimiteur : |)

Mappage de stratégie de groupe :

Nom Valeur
Nom Exclusions_Processes
Nom convivial Exclusions de processus
Nom de l’élément Exclusions de processus.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Exclusions antivirus >
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Exclusions
Nom du fichier ADMX WindowsDefender.admx

PUAProtection

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/PUAProtection

Activer ou désactiver la détection des applications potentiellement indésirables. Vous pouvez choisir de bloquer, d’auditer ou d’autoriser le téléchargement de logiciels potentiellement indésirables ou les tentatives de s’installer sur votre ordinateur.

Activé:

Spécifiez le mode dans la section Options :

-Bloquer : les logiciels potentiellement indésirables seront bloqués.

-Mode Audit : les logiciels potentiellement indésirables ne sont pas bloqués. Toutefois, si cette fonctionnalité a bloqué l’accès si elle a été définie sur Bloquer, un enregistrement de l’événement figure dans les journaux des événements.

Handicapé:

Les logiciels potentiellement indésirables ne seront pas bloqués.

Non configuré :

Identique à Désactivé.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Protection PUA désactivée. Windows Defender ne protège pas contre les applications potentiellement indésirables.
1 Protection PUA activée. Les éléments détectés sont bloqués. Ils apparaîtront dans l’histoire avec d’autres menaces.
2 Mode d’audit. Windows Defender détecte les applications potentiellement indésirables, mais n’effectue aucune action. Vous pouvez consulter des informations sur les applications contre lesquelles Windows Defender aurait pris des mesures en recherchant les événements créés par Windows Defender dans le observateur d'événements.

Mappage de stratégie de groupe :

Nom Valeur
Nom Root_PUAProtection
Nom convivial Configurer la détection des applications potentiellement indésirables
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender
Nom du fichier ADMX WindowsDefender.admx

RealTimeScanDirection

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/RealTimeScanDirection

Ce paramètre de stratégie vous permet de configurer la surveillance des fichiers entrants et sortants, sans avoir à désactiver entièrement la surveillance. Il est recommandé d’utiliser sur les serveurs où il y a beaucoup d’activité de fichiers entrants et sortants, mais pour des raisons de performances, l’analyse doit être désactivée pour une direction d’analyse particulière. La configuration appropriée doit être évaluée en fonction du rôle serveur.

Notez que cette configuration n’est respectée que pour les volumes NTFS. Pour tout autre type de système de fichiers, une surveillance complète de l’activité des fichiers et des programmes sera présente sur ces volumes.

Les options de ce paramètre s’excluent mutuellement :

0 = Analyser les fichiers entrants et sortants (par défaut) 1 = Analyser les fichiers entrants uniquement 2 = Analyser les fichiers sortants uniquement.

Toute autre valeur, ou si la valeur n’existe pas, est résolue par défaut (0).

  • Si vous activez ce paramètre, le type d’analyse spécifié est activé.

  • Si vous désactivez ou ne configurez pas ce paramètre, la surveillance des fichiers entrants et sortants est activée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Surveiller tous les fichiers (bidirectionnels).
1 Surveillez les fichiers entrants.
2 Surveillez les fichiers sortants.

Mappage de stratégie de groupe :

Nom Valeur
Nom RealtimeProtection_RealtimeScanDirection
Nom convivial Configurer l’analyse de l’activité des fichiers et programmes entrants et sortants
Nom de l’élément Configurez la surveillance de l’activité des fichiers et des programmes entrants et sortants.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Protection en temps réel antivirus >
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Real-Time Protection
Nom du fichier ADMX WindowsDefender.admx

ScanParameter

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/ScanParameter

Ce paramètre de stratégie vous permet de spécifier le type d’analyse à utiliser pendant une analyse planifiée. Les options de type d’analyse sont les suivantes :

1 = Analyse rapide (par défaut) 2 = Analyse complète.

  • Si vous activez ce paramètre, le type d’analyse est défini sur la valeur spécifiée.

  • Si vous désactivez ou ne configurez pas ce paramètre, le type d’analyse par défaut est utilisé.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
1 (par défaut) Analyse rapide.
2 Analyse complète.

Mappage de stratégie de groupe :

Nom Valeur
Nom Scan_ScanParameters
Nom convivial Spécifier le type d’analyse à utiliser pour une analyse planifiée
Nom de l’élément Spécifiez le type d’analyse à utiliser pour une analyse planifiée.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Scan
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Scan
Nom du fichier ADMX WindowsDefender.admx

ScheduleQuickScanTime

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleQuickScanTime

Ce paramètre de stratégie vous permet de spécifier l’heure de la journée à laquelle effectuer une analyse rapide quotidienne. La valeur d’heure est représentée sous la forme du nombre de minutes après minuit (00:00). Par exemple, 120 (0x78) équivaut à 02:00. Par défaut, ce paramètre est défini sur désactivé. La planification est basée sur l’heure locale sur l’ordinateur sur lequel l’analyse s’exécute.

  • Si vous activez ce paramètre, une analyse rapide quotidienne s’exécute à l’heure spécifiée.

  • Si vous désactivez ou ne configurez pas ce paramètre, l’analyse rapide quotidienne contrôlée par cette configuration n’est pas exécutée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1380]
Valeur par défaut 120

Mappage de stratégie de groupe :

Nom Valeur
Nom Scan_ScheduleQuickScantime
Nom convivial Spécifier l’heure d’une analyse rapide quotidienne
Nom de l’élément Spécifiez la durée d’une analyse rapide quotidienne.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Scan
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Scan
Nom du fichier ADMX WindowsDefender.admx

ScheduleScanDay

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanDay

Ce paramètre de stratégie vous permet de spécifier le jour de la semaine sur lequel effectuer une analyse planifiée. L’analyse peut également être configurée pour s’exécuter tous les jours ou pour ne jamais s’exécuter du tout.

Ce paramètre peut être configuré avec les valeurs numériques ordinales suivantes :

(0x0) Tous les jours (0x1) Dimanche (0x2) Lundi (0x3) Mardi (0x4) Mercredi (0x5) Jeudi (0x6) Vendredi (0x7) Samedi (0x8) Jamais (valeur par défaut)

  • Si vous activez ce paramètre, une analyse planifiée s’exécute à la fréquence spécifiée.

  • Si vous désactivez ou ne configurez pas ce paramètre, une analyse planifiée s’exécute à une fréquence par défaut.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Tous les jours.
1 Dimanche.
2 Lundi.
3 Mardi.
4 Mercredi.
5 Jeudi.
6 Vendredi.
7 Samedi.
8 Aucune analyse planifiée.

Mappage de stratégie de groupe :

Nom Valeur
Nom Scan_ScheduleDay
Nom convivial Spécifier le jour de la semaine pour exécuter une analyse planifiée
Nom de l’élément Spécifiez le jour de la semaine pour exécuter une analyse planifiée.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Scan
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Scan
Nom du fichier ADMX WindowsDefender.admx

ScheduleScanTime

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanTime

Ce paramètre de stratégie vous permet de spécifier l’heure de la journée à laquelle effectuer une analyse planifiée. La valeur d’heure est représentée sous la forme du nombre de minutes après minuit (00:00). Par exemple, 120 (0x78) équivaut à 02:00. Par défaut, ce paramètre est défini sur une valeur d’heure de 2:00 AM. La planification est basée sur l’heure locale sur l’ordinateur sur lequel l’analyse s’exécute.

  • Si vous activez ce paramètre, une analyse planifiée s’exécute à l’heure spécifiée.

  • Si vous désactivez ou ne configurez pas ce paramètre, une analyse planifiée s’exécute à un moment par défaut.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1380]
Valeur par défaut 120

Mappage de stratégie de groupe :

Nom Valeur
Nom Scan_ScheduleTime
Nom convivial Spécifier l’heure de la journée à laquelle exécuter une analyse planifiée
Nom de l’élément Spécifiez l’heure de la journée pour exécuter une analyse planifiée.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Scan
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Scan
Nom du fichier ADMX WindowsDefender.admx

SecurityIntelligenceLocation

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1903 [10.0.18362] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/SecurityIntelligenceLocation

Ce paramètre de stratégie vous permet de définir l’emplacement security intelligence pour les ordinateurs configurés avec VDI.

Si vous désactivez ou ne configurez pas ce paramètre, le renseignement de sécurité est référencé à partir de la source locale par défaut.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Mappage de stratégie de groupe :

Nom Valeur
Nom SignatureUpdate_SharedSignaturesLocation
Nom convivial Définissez l’emplacement de veille de sécurité pour les clients VDI.
Nom de l’élément Définissez le partage de fichiers pour le téléchargement des mises à jour de veille de sécurité dans des environnements virtuels.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Security Intelligence Mises à jour
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Signature Mises à jour
Nom du fichier ADMX WindowsDefender.admx

SignatureUpdateFallbackOrder

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1809 [10.0.17763] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder

Ce paramètre de stratégie vous permet de définir l’ordre dans lequel différentes sources de mise à jour du renseignement de sécurité doivent être contactées. La valeur de ce paramètre doit être entrée sous la forme d’une chaîne séparée par des canaux énumérant les sources de mise à jour de veille de sécurité dans l’ordre. Les valeurs possibles sont : « InternalDefinitionUpdateServer », « MicrosoftUpdateServer », « MMPC » et « FileShares ».

Par exemple: { InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC }

  • Si vous activez ce paramètre, les sources de mise à jour du renseignement de sécurité sont contactées dans l’ordre spécifié. Une fois que les mises à jour du renseignement de sécurité ont été téléchargées à partir d’une source spécifiée, les autres sources de la liste ne sont pas contactées.

  • Si vous désactivez ou ne configurez pas ce paramètre, les sources de mise à jour du renseignement de sécurité sont contactées dans un ordre par défaut.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Liste (délimiteur : |)

Mappage de stratégie de groupe :

Nom Valeur
Nom SignatureUpdate_FallbackOrder
Nom convivial Définir l’ordre des sources pour le téléchargement des mises à jour du renseignement de sécurité
Nom de l’élément Définissez l’ordre des sources pour le téléchargement des mises à jour du renseignement de sécurité.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Security Intelligence Mises à jour
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Signature Mises à jour
Nom du fichier ADMX WindowsDefender.admx

SignatureUpdateFileSharesSources

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1809 [10.0.17763] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFileSharesSources

Ce paramètre de stratégie vous permet de configurer des sources de partage de fichiers UNC pour télécharger les mises à jour du renseignement de sécurité. Les sources seront contactées dans l’ordre spécifié. La valeur de ce paramètre doit être entrée sous la forme d’une chaîne séparée par des canaux énumérant les sources de mise à jour du renseignement de sécurité. Par exemple : «{\\unc1 | \\unc2 } ». La liste est vide par défaut.

  • Si vous activez ce paramètre, les sources spécifiées sont contactées pour les mises à jour de veille de sécurité. Une fois que les mises à jour du renseignement de sécurité ont été téléchargées à partir d’une source spécifiée, les autres sources de la liste ne sont pas contactées.

  • Si vous désactivez ou ne configurez pas ce paramètre, la liste reste vide par défaut et aucune source n’est contactée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Liste (délimiteur : |)

Mappage de stratégie de groupe :

Nom Valeur
Nom SignatureUpdate_DefinitionUpdateFileSharesSources
Nom convivial Définir des partages de fichiers pour le téléchargement des mises à jour security intelligence
Nom de l’élément Définissez des partages de fichiers pour le téléchargement des mises à jour du renseignement de sécurité.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Security Intelligence Mises à jour
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Signature Mises à jour
Nom du fichier ADMX WindowsDefender.admx

SignatureUpdateInterval

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateInterval

Ce paramètre de stratégie vous permet de spécifier un intervalle auquel case activée pour les mises à jour du renseignement de sécurité. La valeur d’heure est représentée par le nombre d’heures entre les vérifications de mise à jour. Les valeurs valides sont comprises entre 1 (toutes les heures) et 24 (une fois par jour).

  • Si vous activez ce paramètre, les vérifications des mises à jour du renseignement de sécurité se produisent à l’intervalle spécifié.

  • Si vous désactivez ou ne configurez pas ce paramètre, les vérifications des mises à jour du renseignement de sécurité se produisent à l’intervalle par défaut.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-24]
Valeur par défaut 8

Mappage de stratégie de groupe :

Nom Valeur
Nom SignatureUpdate_SignatureUpdateInterval
Nom convivial Spécifier l’intervalle à case activée pour les mises à jour du renseignement de sécurité
Nom de l’élément Spécifiez l’intervalle à case activée pour les mises à jour du renseignement de sécurité.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > Security Intelligence Mises à jour
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Signature Mises à jour
Nom du fichier ADMX WindowsDefender.admx

SubmitSamplesConsent

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/SubmitSamplesConsent

Ce paramètre de stratégie configure le comportement de l’envoi d’exemples lorsque l’inscription à la télémétrie MAPS est définie.

Les options possibles sont les suivantes :

(0x0) Toujours demander (0x1) Envoyer automatiquement des exemples fiables (0x2) Ne jamais envoyer (0x3) Envoyer tous les exemples automatiquement.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Toujours demander.
1 (par défaut) Envoyer automatiquement des exemples sécurisés.
2 Ne jamais envoyer.
3 Envoyer automatiquement tous les exemples.

Mappage de stratégie de groupe :

Nom Valeur
Nom SubmitSamplesConsent
Nom convivial Envoyer des exemples de fichiers pour lesquels une analyse supplémentaire est nécessaire
Nom de l’élément Envoyez des exemples de fichiers quand une analyse supplémentaire est nécessaire.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender Antivirus > MAPS
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Spynet
Nom du fichier ADMX WindowsDefender.admx

ThreatSeverityDefaultAction

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Defender/ThreatSeverityDefaultAction

Ce paramètre de stratégie vous permet de personnaliser l’action de correction automatique qui sera effectuée pour chaque niveau d’alerte de menace. Les niveaux d’alerte de menace doivent être ajoutés sous les Options de ce paramètre. Chaque entrée doit être répertoriée sous la forme d’une paire nom-valeur. Le nom définit un niveau d’alerte de menace. La valeur contient l’ID d’action pour l’action de correction qui doit être effectuée.

Les niveaux d’alerte de menace valides sont les suivants :

1 = Faible 2 = Moyen 4 = Élevé 5 = Grave.

Les valeurs d’action de correction valides sont les suivantes :

2 = Quarantaine 3 = Supprimer 6 = Ignorer.

Remarque

Les modifications apportées à ce paramètre ne sont pas appliquées lorsque la protection contre les falsifications est activée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Mappage de stratégie de groupe :

Nom Valeur
Nom Threats_ThreatSeverityDefaultAction
Nom convivial Spécifier les niveaux d’alerte des menaces auxquels aucune action par défaut ne doit être entreprise lors de la détection
Nom de l’élément Spécifiez les niveaux d’alerte de menace auxquels l’action par défaut ne doit pas être effectuée lorsqu’elle est détectée.
Location Configuration ordinateur
Chemin d'accès Composants > Windows Microsoft Defender menaces antivirus >
Nom de la clé de Registre Software\Policies\Microsoft\Windows Defender\Threats
Nom du fichier ADMX WindowsDefender.admx

Fournisseur de services de configuration de stratégie