Ustawienia zasad programu antywirusowego Microsoft Defender w usłudze Microsoft Intune dla urządzeń z systemem Windows
Wyświetl szczegółowe informacje o ustawieniach zasad ochrony antywirusowej zabezpieczeń punktu końcowego , które można skonfigurować dla profilu programu antywirusowego Microsoft Defender dla systemu Windows 10 lub nowszego w usłudze Microsoft Intune.
Uwaga
W tym artykule szczegółowo opisano ustawienia, które można znaleźć w profilach wykluczeń programu antywirusowego Microsoft Defender i programu antywirusowego Microsoft Defender utworzonych przed 5 kwietnia 2022 r. dla systemu Windows 10 i nowszej platformy dla zasad ochrony antywirusowej zabezpieczeń punktu końcowego. 5 kwietnia 2022 r. platforma windows 10 i nowsze zostały zastąpione przez platformę Windows 10, Windows 11 i Windows Server . Profile utworzone po tej dacie używają nowego formatu ustawień, jak można znaleźć w katalogu ustawień. Dzięki tej zmianie nie można już tworzyć nowych wersji starego profilu i nie są one już opracowywane. Mimo że nie można już tworzyć nowych wystąpień starszego profilu, możesz nadal edytować i używać utworzonych wcześniej wystąpień.
W przypadku profilów korzystających z nowego formatu ustawień usługa Intune nie obsługuje już listy poszczególnych ustawień według nazwy. Zamiast tego nazwa każdego ustawienia, jego opcje konfiguracji i tekst objaśniający widoczny w centrum administracyjnym usługi Microsoft Intune są pobierane bezpośrednio z zawartości autorytatywnej ustawień. Ta zawartość może dostarczyć więcej informacji na temat korzystania z ustawienia w jego odpowiednim kontekście. Podczas wyświetlania tekstu informacji o ustawieniach możesz użyć linku Dowiedz się więcej , aby otworzyć tę zawartość.
Poniższe szczegóły ustawień profilów systemu Windows dotyczą tych przestarzałych profilów.
Ochrona w chmurze
Włączanie ochrony dostarczanej w chmurze
Zasady zabezpieczeń zawartości: AllowCloudProtectionDomyślnie usługa Defender na urządzeniach stacjonarnych z systemem Windows 10/11 wysyła do firmy Microsoft informacje o wszelkich znalezionych problemach. Firma Microsoft analizuje te informacje, aby dowiedzieć się więcej o problemach mających wpływ na Ciebie i innych klientów, aby zaoferować ulepszone rozwiązania.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — ochrona dostarczana w chmurze jest włączona. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Poziom ochrony dostarczanej w chmurze
Zasady zabezpieczeń zawartości: CloudBlockLevelSkonfiguruj, jak agresywny program antywirusowy Defender blokuje i skanuje podejrzane pliki.
- Nie skonfigurowano (ustawienie domyślne) — domyślny poziom blokowania usługi Defender.
- Wysoki — agresywne blokowanie niewiadomych podczas optymalizowania wydajności klienta, co obejmuje większą szansę na wyniki fałszywie dodatnie.
- Wysoki plus — agresywne blokowanie niewiadomych i stosowanie dodatkowych środków ochrony, które mogą mieć wpływ na wydajność klienta.
- Zero tolerancji — blokuj wszystkie nieznane pliki wykonywalne.
Rozszerzony limit czasu w chmurze usługi Defender w ciągu kilku sekund
Dostawca usług kryptograficznych: CloudExtendedTimeoutProgram antywirusowy Defender automatycznie blokuje podejrzane pliki przez 10 sekund podczas skanowania ich w chmurze, aby upewnić się, że są bezpieczne. Do tego limitu czasu można dodać do 50 dodatkowych sekund.
Wykluczenia programu antywirusowego Microsoft Defender
W profilu programu antywirusowego Microsoft Defender dostępne są następujące ustawienia:
Scalanie administratora lokalnego usługi Defender
Zasady zabezpieczeń zawartości: Konfiguracja/DisableLocalAdminMergeTo ustawienie określa, czy ustawienia listy wykluczeń skonfigurowane przez administratora lokalnego scalają się z ustawieniami zarządzanymi z zasad usługi Intune. To ustawienie dotyczy list, takich jak zagrożenia i wykluczenia.
- Nie skonfigurowano(ustawienie domyślne) — unikatowe elementy zdefiniowane w ustawieniach preferencji skonfigurowanych przez administratora lokalnego scalają się z wynikowymi skutecznymi zasadami. W przypadku konfliktów ustawienia zarządzania z zasad usługi Intune zastępują ustawienia preferencji lokalnych.
- Nie — zachowanie jest takie samo jak Nie skonfigurowano.
- Tak — w wynikowych skutecznych zasadach są używane tylko elementy zdefiniowane przez zarządzanie. Ustawienia zarządzane zastępują ustawienia preferencji skonfigurowane przez administratora lokalnego.
Następujące ustawienia są dostępne w następujących profilach:
- Program antywirusowy Microsoft Defender
- Wykluczenia programu antywirusowego Microsoft Defender
Dla każdego ustawienia w tej grupie można rozwinąć to ustawienie, wybrać pozycję Dodaj, a następnie określić wartość wykluczenia.
Procesy usługi Defender do wykluczenia
Dostawca usług kryptograficznych: ExcludedProcessesOkreśl listę plików otwartych przez procesy do zignorowania podczas skanowania. Sam proces nie jest wykluczony ze skanowania.
Rozszerzenia plików do wykluczenia ze skanowania i ochrony w czasie rzeczywistym
Zasady zabezpieczeń zawartości: ExcludedExtensionsOkreśl listę rozszerzeń typu pliku do zignorowania podczas skanowania.
Pliki i foldery usługi Defender do wykluczenia
Zasady zabezpieczeń zawartości: ExcludedPathsOkreśl listę plików i ścieżek katalogów do zignorowania podczas skanowania.
Ochrona w czasie rzeczywistym
Te ustawienia są dostępne w następujących profilach:
- Program antywirusowy Microsoft Defender
Ustawienia:
Włączanie ochrony w czasie rzeczywistym
Zasady zabezpieczeń zawartości: AllowRealtimeMonitoringWymagaj, aby usługa Defender na urządzeniach stacjonarnych z systemem Windows 10/11 korzystała z funkcji monitorowania w czasie rzeczywistym.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — wymuszanie korzystania z monitorowania w czasie rzeczywistym. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Włączanie ochrony dostępu
Zasady zabezpieczeń zawartości: AllowOnAccessProtection Skonfiguruj ochronę przed wirusami, która jest stale aktywna, a nie na żądanie.- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
- Nie — blokuj ochronę dostępu na urządzeniach. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — ochrona dostępu jest aktywna na urządzeniach.
Monitorowanie plików przychodzących i wychodzących
Zasady zabezpieczeń zawartości: Defender/RealTimeScanDirectionSkonfiguruj to ustawienie, aby określić, które działania plików NTFS i programu są monitorowane.
- Monitorowanie wszystkich plików (domyślne)
- Monitorowanie tylko plików przychodzących
- Monitorowanie tylko plików wychodzących
Włączanie monitorowania zachowania
Zasady zabezpieczeń zawartości: AllowBehaviorMonitoringDomyślnie usługa Defender na urządzeniach stacjonarnych z systemem Windows 10/11 używa funkcji monitorowania zachowania.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — wymuszanie korzystania z monitorowania zachowania w czasie rzeczywistym. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Wyłącz ochronę sieci
Zasady zabezpieczeń zawartości: EnableNetworkProtectionOchrona użytkowników urządzeń korzystających z dowolnej aplikacji przed uzyskiwaniem dostępu do wyłudzania informacji, witryn hostujących luki w zabezpieczeniach i złośliwej zawartości w Internecie. Ochrona obejmuje zapobieganie nawiązywaniu połączeń przez przeglądarki innych firm z niebezpiecznymi witrynami.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — ochrona sieci jest włączona. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Skanuj wszystkie pobrane pliki i załączniki
Zasady zabezpieczeń zawartości: AllowIOAVProtectionSkonfiguruj usługę Defender do skanowania wszystkich pobranych plików i załączników.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — usługa Defender skanuje wszystkie pobrane pliki i załączniki. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Skanuj skrypty używane w przeglądarkach firmy Microsoft
Zasady zabezpieczeń zawartości: AllowScriptScanningSkonfiguruj usługę Defender do skanowania skryptów.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — usługa Defender skanuje skrypty. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Skanowanie plików sieciowych
Zasady zabezpieczeń zawartości: AllowScanningNetworkFilesSkonfiguruj usługę Defender do skanowania plików sieciowych.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — włącz skanowanie plików sieciowych. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Skanowanie wiadomości e-mail
Zasady zabezpieczeń zawartości: AllowEmailScanningSkonfiguruj usługę Defender do skanowania przychodzących wiadomości e-mail.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnego ustawienia systemu.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — włącz skanowanie poczty e-mail. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Korygowania
Te ustawienia są dostępne w następujących profilach:
- Program antywirusowy Microsoft Defender
Ustawienia:
Liczba dni (0–90) do przechowywania złośliwego oprogramowania poddanej kwarantannie
Zasady zabezpieczeń zawartości: DaysToRetainCleanedMalwareOkreśl liczbę dni od zera do 90, w których system przechowuje elementy poddane kwarantannie przed ich automatycznym usunięciem. Wartość zero utrzymuje elementy w kwarantannie i nie usuwa ich automatycznie.
Zgoda na przesyłanie przykładów
- Nie skonfigurowano (wartość domyślna)
- Automatyczne wysyłanie bezpiecznych próbek
- Zawsze monituj
- Nigdy nie wysyłaj
- Automatycznie wysyłaj wszystkie przykłady
Akcja do podjęcia w sprawie potencjalnie niechcianych aplikacji
Zasady zabezpieczeń zawartości: PUAProtectionOkreśl poziom wykrywania potencjalnie niechcianych aplikacji (PUA). Usługa Defender ostrzega użytkowników, gdy potencjalnie niechciane oprogramowanie jest pobierane lub próbuje zainstalować je na urządzeniu.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnej wartości systemowej, czyli PUA Protection OFF.
- Wyłączać
- Włącz — wykryte elementy są blokowane i wyświetlane w historii wraz z innymi zagrożeniami.
- Tryb inspekcji — usługa Defender wykrywa potencjalnie niechciane aplikacje, ale nie podejmuje żadnych działań. Możesz przejrzeć informacje o aplikacjach, przeciwko których usługa Defender podjęłaby akcję, wyszukując zdarzenia utworzone przez usługę Defender w Podglądzie zdarzeń.
Akcje dotyczące wykrytych zagrożeń
Zasady zabezpieczeń zawartości: ThreatSeverityDefaultActionOkreśl akcję wykonywaną przez usługę Defender w przypadku wykrytego złośliwego oprogramowania na podstawie poziomu zagrożenia złośliwego oprogramowania.
Usługa Defender klasyfikuje wykryte złośliwe oprogramowanie jako jeden z następujących poziomów ważności:
- Niska ważność
- Umiarkowana ważność
- Wysoka ważność
- Ciężka ważność
Dla każdego poziomu określ akcję do wykonania. Wartość domyślna dla każdego poziomu ważności to Nie skonfigurowano.
- Nie skonfigurowano
- Czyszczenie — usługa próbuje odzyskać pliki i spróbować zdezynfekować.
- Kwarantanna — przenosi pliki do kwarantanny.
- Usuń — usuwa pliki z urządzenia.
- Zezwalaj — zezwala na plik i nie wykonuje innych akcji.
- Zdefiniowane przez użytkownika — użytkownik urządzenia podejmuje decyzję o podjęciu akcji.
- Blokuj — blokuje wykonywanie pliku.
Skanować
Te ustawienia są dostępne w następujących profilach:
- Program antywirusowy Microsoft Defender
Ustawienia:
Skanowanie plików archiwum
Zasady zabezpieczeń zawartości: AllowArchiveScanningSkonfiguruj usługę Defender do skanowania plików archiwum, takich jak pliki ZIP lub CAB.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej klienta, czyli skanowania zarchiwizowanych plików, jednak użytkownik może wyłączyć ustawienie. Dowiedz się więcej
- Nie — archiwa plików nie są skanowane. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — włącza skanowanie plików archiwum. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Używanie niskiego priorytetu procesora CPU w przypadku zaplanowanych skanów
Zasady zabezpieczeń zawartości: EnableLowCPUPrioritySkonfiguruj priorytet procesora CPU dla zaplanowanych skanów.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie powraca do wartości domyślnej systemu, w której nie są wprowadzane żadne zmiany priorytetu procesora CPU.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — podczas zaplanowanych skanowania będzie używany niski priorytet procesora CPU. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Wyłączanie pełnego skanowania nadrabiania zaległości
Zasady zabezpieczeń zawartości: DisableCatchupFullScanKonfigurowanie skanowania nadrabiania zaległości pod kątem zaplanowanych pełnych skanów. Skanowanie uzupełniające to skanowanie, które jest uruchamiane z powodu pominięcia regularnie zaplanowanego skanowania. Zazwyczaj te zaplanowane skanowania są pomijane, ponieważ komputer został wyłączony w zaplanowanym czasie.
- Nieskonfigurowane (ustawienie domyślne) — ustawienie jest zwracane do wartości domyślnej klienta, czyli wyłączania skanowania uzupełniającego w celu pełnego skanowania.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — skanowania uzupełniające dla zaplanowanych pełnych skanów są wymuszane i użytkownik nie może ich wyłączyć. Jeśli komputer jest w trybie offline dla dwóch kolejnych zaplanowanych skanowania, skanowanie catch-up jest uruchamiany przy następnym zalogowaniu się do komputera. Jeśli nie skonfigurowano zaplanowanego skanowania, nie będzie przebiegu skanowania catch-up. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Wyłączanie szybkiego skanowania nadrabiania zaległości
Zasady zabezpieczeń zawartości: DisableCatchupQuickScanKonfigurowanie skanowania nadrabiania zaległości pod kątem zaplanowanych szybkich skanów. Skanowanie uzupełniające to skanowanie, które jest uruchamiane z powodu pominięcia regularnie zaplanowanego skanowania. Zazwyczaj te zaplanowane skanowania są pomijane, ponieważ komputer został wyłączony w zaplanowanym czasie.
- Nieskonfigurowane (ustawienie domyślne) — ustawienie jest zwracane do wartości domyślnej klienta, czyli wyłączania skanowania uzupełniającego w celu pełnego skanowania.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
- Tak — skanowanie uzupełniające dla zaplanowanych szybkich skanów jest wymuszane i użytkownik nie może ich wyłączyć. Jeśli komputer jest w trybie offline dla dwóch kolejnych zaplanowanych skanowania, skanowanie catch-up jest uruchamiany przy następnym zalogowaniu się do komputera. Jeśli nie skonfigurowano zaplanowanego skanowania, nie będzie przebiegu skanowania catch-up. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Limit użycia procesora CPU na skanowanie
Dostawca usług kryptograficznych: AvgCPULoadFactorOkreśl procent od zera do 100 średni współczynnik obciążenia procesora CPU dla skanowania usługi Defender.
Skanowanie zamapowanych dysków sieciowych podczas pełnego skanowania
Zasady zabezpieczeń zawartości: AllowFullScanOnMappedNetworkDrivesSkonfiguruj usługę Defender do skanowania zamapowanych dysków sieciowych.
- Nie skonfigurowano (ustawienie domyślne) — ustawienie jest przywracane do domyślnej wartości systemowej, co wyłącza skanowanie na zamapowanych dyskach sieciowych.
- Nie — ustawienie jest wyłączone. Użytkownicy urządzeń nie mogą zmienić ustawienia.
- Tak — włącza skanowanie zamapowanych dysków sieciowych. Użytkownicy urządzeń nie mogą zmienić tego ustawienia.
Uruchom codzienne szybkie skanowanie pod adresem
Zasady zabezpieczeń zawartości: ScheduleQuickScanTimeWybierz godzinę uruchomienia szybkiego skanowania usługi Defender. To ustawienie ma zastosowanie tylko wtedy, gdy urządzenie uruchamia szybkie skanowanie i nie wchodzi w interakcje z następującymi trzema ustawieniami:
- Typ skanowania
- Dzień tygodnia na uruchomienie zaplanowanego skanowania
- Godzina uruchomienia zaplanowanego skanowania
Domyślnie polecenie Uruchom codzienne szybkie skanowanie pod adresem ma wartość Nieskonfigurowane.
Typ skanowania
Dostawca usług kryptograficznych: ScanParameterWybierz typ skanowania uruchamianego przez usługę Defender. To ustawienie współdziała z ustawieniami Dzień tygodnia w celu uruchomienia zaplanowanego skanowania i godziny w celu uruchomienia zaplanowanego skanowania.
- Nie skonfigurowano (wartość domyślna)
- Szybkie skanowanie
- Pełne skanowanie
Dzień tygodnia na uruchomienie zaplanowanego skanowania
- Nie skonfigurowano (wartość domyślna)
Godzina uruchomienia zaplanowanego skanowania
- Nie skonfigurowano (wartość domyślna)
Sprawdzanie dostępności aktualizacji podpisu przed uruchomieniem skanowania
- Nie skonfigurowano (wartość domyślna)
- Nie
- Tak
Aktualizacje
Te ustawienia są dostępne w następujących profilach:
- Program antywirusowy Microsoft Defender
Ustawienia:
Wprowadź częstotliwość (0–24 godziny) sprawdzania dostępności aktualizacji analizy zabezpieczeń
Zasady zabezpieczeń zawartości: SignatureUpdateIntervalOkreśl interwał od zera do 24 (w godzinach), który jest używany do sprawdzania pod kątem podpisów. Wartość zero powoduje brak sprawdzania nowych podpisów. Wartość 2 będzie sprawdzana co dwie godziny itd.
Definiowanie udziałów plików na potrzeby pobierania aktualizacji definicji
Zasady zabezpieczeń zawartości: SignatureUpdateFallbackOrderZarządzaj lokalizacjami, takimi jak udział plików UNC, jako lokalizacją źródłową pobierania, aby uzyskać aktualizacje definicji. Po pomyślnym pobraniu aktualizacji definicji z określonego źródła nie będzie można skontaktować się z pozostałymi źródłami na liście.
Możesz dodać pojedyncze lokalizacje lub zaimportować listę lokalizacji jako plik .csv.
Definiowanie kolejności źródeł pobierania aktualizacji definicji
Zasady zabezpieczeń zawartości: SignatureUpdateFileSharesSourcesOkreśl, w której kolejności należy skontaktować się z określonymi lokalizacjami źródłowymi, aby uzyskać aktualizacje definicji. Po pomyślnym pobraniu aktualizacji definicji z jednego określonego źródła nie będzie można skontaktować się z pozostałymi źródłami na liście.
Środowisko użytkownika
Te ustawienia są dostępne w następujących profilach:
- Program antywirusowy Microsoft Defender
Ustawienia:
Zezwalaj użytkownikowi na dostęp do aplikacji Microsoft Defender
Zasady zabezpieczeń zawartości: AllowUserUIAccessNieskonfigurowane (ustawienie domyślne) — ustawienie zwraca wartość domyślną klienta, w której interfejs użytkownika i powiadomienia są dozwolone.
Nie — interfejs użytkownika usługi Defender jest niedostępny, a powiadomienia są pomijane.
Tak