Параметры политики антивирусной программы Microsoft Defender в Microsoft Intune для устройств Windows

Просмотрите сведения о параметрах политики антивирусной программы безопасности конечных точек, которые можно настроить для профиля антивирусной программы Microsoft Defender для Windows 10 и более поздних версий в Microsoft Intune.

Примечание.

В этой статье подробно описаны параметры, которые можно найти в профилях исключений антивирусной программы Microsoft Defender и Microsoft Defender антивирусной программы, созданных до 5 апреля 2022 г. для политики антивирусной Windows 10 и более поздних версий для защиты конечных точек. 5 апреля 2022 г. платформа Windows 10 и более поздних версий была заменена платформой Windows 10, Windows 11 и Windows Server. Профили, созданные после этой даты, используют новый формат параметров, который можно найти в каталоге параметров. Благодаря этому изменению вы больше не сможете создавать новые версии старого профиля, и они больше не разрабатываются. Хотя вы больше не можете создавать новые экземпляры старого профиля, вы можете продолжать редактировать и использовать созданные ранее экземпляры.

Для профилей, использующих новый формат параметров, Intune больше не ведет список всех параметров по имени. Вместо этого имя каждого параметра, его параметры конфигурации и пояснительный текст, который отображается в центре администрирования Microsoft Intune, берутся непосредственно из достоверного содержимого параметров. Это содержимое может предоставить дополнительные сведения об использовании параметра в правильном контексте. При просмотре текста со сведениями о параметрах можно использовать ссылку Подробнее , чтобы открыть это содержимое.

Следующие сведения о параметрах для профилей Windows применяются к этим устаревшим профилям.

Защита облака

  • Включить облачную защиту
    CSP: AllowCloudProtection

    По умолчанию Defender на настольных устройствах Windows 10/11 отправляет в корпорацию Майкрософт сведения о любых обнаруженных проблемах. Корпорация Майкрософт анализирует эту информацию, чтобы узнать больше о проблемах, затрагивающих вас и других клиентов, и предложить улучшенные решения.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию.
    • Нет — параметр отключен. Пользователи устройств не могут изменить этот параметр.
    • Да . Облачная защита включена. Пользователи устройств не могут изменить этот параметр.
  • Уровень защиты, предоставляемый облаком
    CSP: CloudBlockLevel

    Настройка агрессивности антивирусная программа Defender при блокировке и сканировании подозрительных файлов.

    • Не настроено (по умолчанию) — уровень блокировки Defender по умолчанию.
    • Высокий — агрессивно блокируют неизвестные при оптимизации производительности клиента, что включает в себя большую вероятность ложноположительных результатов.
    • Высокий плюс — агрессивно блокируют неизвестные и применяют дополнительные меры защиты, которые могут повлиять на производительность клиента.
    • Нулевое отклонение — блокировать все неизвестные исполняемые файлы.
  • Расширенное время ожидания облака Defender в секундах
    CSP: CloudExtendedTimeout

    антивирусная программа Defender автоматически блокирует подозрительные файлы в течение 10 секунд, пока сканирует их в облаке, чтобы убедиться, что они в безопасности. К этому времени ожидания можно добавить до 50 секунд.

Исключения антивирусной программы Microsoft Defender

Предупреждение

Определение исключений снижает защиту, предлагаемую антивирусной программой Microsoft Defender. Всегда оцените риски, связанные с реализацией исключений. Исключите только файлы, которые, как вы знаете, не являются вредоносными.

Дополнительные сведения см. в статье Обзор исключений в документации по Microsoft Defender.

В профиле антивирусной программы Microsoft Defender доступны следующие параметры:

  • Слияние локального администратора Defender
    CSP: Configuration/DisableLocalAdminMerge

    Этот параметр управляет слиянием параметров списка исключений, настроенных локальным администратором, с управляемыми параметрами из Intune политики. Этот параметр применяется к таким спискам, как угрозы и исключения.

    • Не настроено(по умолчанию) — уникальные элементы, определенные в параметрах предпочтения, настроенных локальным администратором, объединяются в итоговую действующую политику. При наличии конфликтов параметры управления из Intune политики переопределяют параметры локальных предпочтений.
    • Нет — поведение совпадает с параметром Не настроено.
    • Да . В итоговой действующей политике используются только элементы, определенные управлением. Управляемые параметры переопределяют параметры параметров, настроенные локальным администратором.

В следующих профилях доступны следующие параметры:

  • Антивирусная программа в Microsoft Defender
  • Исключения антивирусной программы Microsoft Defender

Для каждого параметра в этой группе можно развернуть параметр, выбрать Добавить, а затем указать значение для исключения.

  • Процессы Defender для исключения
    CSP: ExcludedProcesses

    Укажите список файлов, открытых процессами, которые следует игнорировать во время сканирования. Сам процесс не исключается из проверки.

  • Расширения файлов для исключения из проверок и защиты в режиме реального времени
    CSP: ExcludedExtensions

    Укажите список расширений типов файлов, которые следует игнорировать во время проверки.

  • Файлы и папки Defender для исключения
    CSP: excludedPaths

    Укажите список файлов и путей к каталогам, которые следует игнорировать во время проверки.

защита в режиме реального времени;

Эти параметры доступны в следующих профилях:

  • Антивирусная программа в Microsoft Defender

Параметры:

  • Включение защиты в режиме реального времени
    CSP: AllowRealtimeMonitoring

    Требовать, чтобы Defender на настольных устройствах Windows 10/11 использовал функцию мониторинга в режиме реального времени.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию.
    • Нет — параметр отключен. Пользователи устройств не могут изменить этот параметр.
    • Да . Принудительное использование мониторинга в режиме реального времени. Пользователи устройств не могут изменить этот параметр.
  • Включить при защите доступа
    CSP: AllowOnAccessProtection Настройте защиту от вирусов, которая постоянно активна, а не по требованию.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию.
    • Нет — блокировать защиту доступа на устройствах. Пользователи устройств не могут изменить этот параметр.
    • Да . Защита доступа активна на устройствах.
  • Мониторинг входящих и исходящих файлов
    CSP: Defender/RealTimeScanDirection

    Настройте этот параметр, чтобы определить, какие файлы NTFS и действия программы отслеживаются.

    • Мониторинг всех файлов (по умолчанию)
    • Мониторинг только входящих файлов
    • Мониторинг только исходящих файлов
  • Включение мониторинга поведения
    CSP: AllowBehaviorMonitoring

    По умолчанию Defender на настольных устройствах Windows 10/11 использует функцию мониторинга поведения.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию.
    • Нет — параметр отключен. Пользователи устройств не могут изменить этот параметр.
    • Да . Принудительное использование мониторинга поведения в режиме реального времени. Пользователи устройств не могут изменить этот параметр.
  • Включить защиту сети
    CSP: EnableNetworkProtection

    Защитите пользователей устройств с помощью любого приложения от доступа к фишинговым аферам, сайтам размещения эксплойтов и вредоносному содержимому в Интернете. Защита включает в себя предотвращение подключения сторонних браузеров к опасным сайтам.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию.
    • Нет — параметр отключен. Пользователи устройств не могут изменить этот параметр.
    • Да — защита сети включена. Пользователи устройств не могут изменить этот параметр.
  • Сканирование всех скачанных файлов и вложений
    CSP: AllowIOAVProtection

    Настройте Defender для сканирования всех скачанных файлов и вложений.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию.
    • Нет — параметр отключен. Пользователи устройств не могут изменить этот параметр.
    • Да — Defender сканирует все скачанные файлы и вложения. Пользователи устройств не могут изменить этот параметр.
  • Сканирование скриптов, используемых в браузерах Майкрософт
    CSP: AllowScriptScanning

    Настройте Defender для сканирования скриптов.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию.
    • Нет — параметр отключен. Пользователи устройств не могут изменить этот параметр.
    • Да . Defender сканирует скрипты. Пользователи устройств не могут изменить этот параметр.
  • Проверка сетевых файлов
    CSP: AllowScanningNetworkFiles

    Настройте Defender для сканирования сетевых файлов.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию.
    • Нет — параметр отключен. Пользователи устройств не могут изменить этот параметр.
    • Да — включите сканирование сетевых файлов. Пользователи устройств не могут изменить этот параметр.
  • Сканирование сообщений электронной почты
    CSP: AllowEmailScanning

    Настройте Defender для сканирования входящей электронной почты.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию.
    • Нет — параметр отключен. Пользователи устройств не могут изменить этот параметр.
    • Да — включите проверку электронной почты. Пользователи устройств не могут изменить этот параметр.

Исправление

Эти параметры доступны в следующих профилях:

  • Антивирусная программа в Microsoft Defender

Параметры:

  • Количество дней (0–90) для хранения вредоносных программ в карантине
    CSP: DaysToRetainCleanedMalware

    Укажите количество дней от нуля до 90, в течение которых система сохраняет элементы, помещенные в карантин, прежде чем они будут автоматически удалены. Нулевое значение сохраняет элементы в карантине и не удаляет их автоматически.

  • Отправка примера согласия

    • Не настроено (по умолчанию)
    • Автоматическая отправка безопасных примеров
    • Всегда запрашивать
    • Никогда не отправлять
    • Автоматическая отправка всех примеров
  • Действия для потенциально нежелательных приложений
    CSP: PUAProtection

    Укажите уровень обнаружения для потенциально нежелательных приложений (PLA). Defender оповещает пользователей о загрузке или попытке установки на устройстве потенциально нежелательного программного обеспечения.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию, то есть защита ОТ PUA OFF.
    • Disable
    • Включить — обнаруженные элементы блокируются и отображаются в журнале вместе с другими угрозами.
    • Режим аудита . Defender обнаруживает потенциально нежелательные приложения, но не предпринимает никаких действий. Вы можете просмотреть сведения о приложениях, с которыми Defender принял бы меры, выполнив поиск событий, созданных Defender в Просмотр событий.
  • Действия для обнаруженных угроз
    CSP: ThreatSeverityDefaultAction

    Укажите действие, которое Defender выполняет для обнаруженных вредоносных программ, в зависимости от уровня угрозы вредоносных программ.

    Defender классифицирует обнаруженную вредоносную программу как один из следующих уровней серьезности:

    • Низкая степень серьезности
    • Средняя степень серьезности
    • Высокий уровень серьезности
    • Серьезная серьезность

    Для каждого уровня укажите действие, для выполнения. Значение по умолчанию для каждого уровня серьезности не настроено.

    • Не настроено
    • Очистить — служба пытается восстановить файлы и попытаться выполнить дезинфекцию.
    • Карантин — перемещает файлы в карантин.
    • Удалить — удаляет файлы с устройства.
    • Разрешить — разрешает файл и не выполняет другие действия.
    • Пользователь определен . Пользователь устройства принимает решение о том, какое действие следует предпринять.
    • Блокировать — блокирует выполнение файла.

Проверка

Эти параметры доступны в следующих профилях:

  • Антивирусная программа в Microsoft Defender

Параметры:

  • Сканирование архивных файлов
    CSP: AllowArchiveScanning

    Настройте Defender для сканирования архивных файлов, таких как ZIP- или CAB-файлы.

    • Не настроено (по умолчанию) — параметр возвращает клиенту значение по умолчанию, которое предназначено для сканирования архивных файлов, однако пользователь может отключить параметр. Дополнительные сведения
    • Нет — архивы файлов не сканируются. Пользователи устройств не могут изменить этот параметр.
    • Да — включить сканирование архивных файлов. Пользователи устройств не могут изменить этот параметр.
  • Использование низкого приоритета ЦП для запланированных проверок
    CSP: EnableLowCPUPriority

    Настройте приоритет ЦП для запланированных проверок.

    • Не настроено (по умолчанию) — параметр возвращает системное значение по умолчанию, в котором не вносятся изменения в приоритет ЦП.
    • Нет — параметр отключен. Пользователи устройств не могут изменить этот параметр.
    • Да — во время запланированных проверок будет использоваться низкий приоритет ЦП. Пользователи устройств не могут изменить этот параметр.
  • Отключение догоняющего полного сканирования
    CSP: DisableCatchupFullScan

    Настройте догоняющий просмотр для запланированных полных проверок. Проверка наверстку — это проверка, которая выполняется из-за пропуска регулярно запланированной проверки. Обычно эти запланированные проверки пропускаются, так как компьютер был выключен в запланированное время.

    • Не настроено (по умолчанию) — параметр возвращается клиенту по умолчанию, который заключается в отключении догоняющих проверок для полных проверок.
    • Нет — параметр отключен. Пользователи устройств не могут изменить этот параметр.
    • Да . Проверка наверх для запланированных полных проверок принудительно выполняется, и пользователь не может отключить их. Если компьютер находится в автономном режиме для двух последовательных запланированных проверок, проверка наверстки запускается при следующем входе на компьютер. Если запланированная проверка не настроена, проверка наверста не будет выполнена. Пользователи устройств не могут изменить этот параметр.
  • Отключить быструю проверку при перехвате
    CSP: DisableCatchupQuickScan

    Настройте догоняющий просмотр для запланированных быстрых проверок. Проверка наверстку — это проверка, которая выполняется из-за пропуска регулярно запланированной проверки. Обычно эти запланированные проверки пропускаются, так как компьютер был выключен в запланированное время.

    • Не настроено (по умолчанию) — параметр возвращается клиенту по умолчанию, который заключается в отключении догоняющих проверок для полных проверок.
    • Нет — параметр отключен. Пользователи устройств не могут изменить этот параметр.
    • Да . Проверка наверх для запланированных быстрых проверок принудительно выполняется, и пользователь не может отключить их. Если компьютер находится в автономном режиме для двух последовательных запланированных проверок, проверка наверстки запускается при следующем входе на компьютер. Если запланированная проверка не настроена, проверка наверста не будет выполнена. Пользователи устройств не могут изменить этот параметр.
  • Ограничение использования ЦП на сканирование
    CSP: AvgCPULoadFactor

    Укажите в качестве процента от нуля до 100— средний коэффициент загрузки ЦП для сканирования Defender.

  • Сканирование сопоставленных сетевых дисков во время полной проверки
    CSP: AllowFullScanOnMappedNetworkDrives

    Настройте Defender для сканирования сопоставленных сетевых дисков.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию, что отключает сканирование на сопоставленных сетевых дисках.
    • Нет — параметр отключен. Пользователи устройств не могут изменить параметр.
    • Да — включить сканирование сопоставленных сетевых дисков. Пользователи устройств не могут изменить этот параметр.
  • Выполнение ежедневной быстрой проверки по адресу
    CSP: ScheduleQuickScanTime

    Выберите время суток, в течение чего выполняется быстрая проверка Defender. Этот параметр применяется только в том случае, если устройство выполняет быструю проверку и не взаимодействует со следующими тремя параметрами:

    • Тип сканирования
    • День недели для выполнения запланированной проверки
    • Время суток для выполнения запланированной проверки

    По умолчанию для параметра Выполнить ежедневную быструю проверку в задано значение Не настроено.

  • Тип сканирования
    CSP: ScanParameter

    Выберите тип проверки, выполняемой Defender. Этот параметр взаимодействует с параметрами День недели для выполнения запланированной проверки и Время суток для выполнения запланированной проверки.

    • Не настроено (по умолчанию)
    • Быстрая проверка
    • Полная проверка
  • День недели для выполнения запланированной проверки

    • Не настроено (по умолчанию)
  • Время суток для выполнения запланированной проверки

    • Не настроено (по умолчанию)
  • Проверка наличия обновлений сигнатур перед выполнением проверки

    • Не настроено (по умолчанию)
    • Нет
    • Да

Обновления

Эти параметры доступны в следующих профилях:

  • Антивирусная программа в Microsoft Defender

Параметры:

  • Введите частоту (0–24 часа) для проверка обновлений аналитики безопасности
    CSP: SignatureUpdateInterval

    Укажите интервал от нуля до 24 (в часах), используемый для проверка подписей. Нулевое значение не приводит к проверка для новых сигнатур. Значение 2 будет проверка каждые два часа и т. д.

  • Определение общих папок для скачивания обновлений определений
    CSP: SignatureUpdateFallbackOrder

    Управление расположениями, такими как общая папка UNC, в качестве исходного расположения для скачивания для получения обновлений определений. После успешного скачивания обновлений определений из указанного источника с остальными источниками в списке связаться не будут.

    Вы можете добавить отдельные расположения или импортировать список расположений в виде файла .csv.

  • Определение порядка источников для скачивания обновлений определений
    CSP: SignatureUpdateFileSharesSources

    Укажите, в каком порядке следует связаться с указанными исходными расположениями, чтобы получить обновления определений. После успешного скачивания обновлений определений из одного указанного источника с остальными источниками в списке связаться не будут.

Взаимодействие с пользователем

Эти параметры доступны в следующих профилях:

  • Антивирусная программа в Microsoft Defender

Параметры:

  • Разрешение доступа пользователей к приложению Microsoft Defender
    CSP: AllowUserUIAccess

  • Не настроено (по умолчанию) — параметр возвращает значение по умолчанию для клиента, в котором разрешены пользовательский интерфейс и уведомления.

  • Нет . Пользовательский интерфейс Defender недоступен, а программное обеспечение уведомлений подавляется.

  • Да