Параметры политики антивирусной программы Microsoft Defender для подключенных к клиенту устройств в Microsoft Intune

Просмотрите параметры антивирусной программы Microsoft Defender, которыми можно управлять с помощью профиля Microsoft Defender антивирусной политики (ConfigMgr) из Intune. Профиль доступен при настройке политики антивирусной защиты Intune конечной точки, а политика развертывается на устройствах, которыми вы управляете с помощью Configuration Manager при настройке сценария подключения клиента. (Путь в центре администрирования Microsoft Intune:Антивирусная программа> для защиты> конечных точек+ Создание платформы политики> = Профиль Windows (ConfigMgr)> = Microsoft Defender антивирусная программа.)

Защита облака

  • Включить облачную защиту
    CSP: AllowCloudProtection

    По умолчанию Defender на настольных устройствах Windows 10/11 отправляет в корпорацию Майкрософт сведения о любых обнаруженных проблемах. Корпорация Майкрософт анализирует эту информацию, чтобы узнать больше о проблемах, затрагивающих вас и других клиентов, и предложить улучшенные решения.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию.
    • Нет Отключает службу Microsoft Active Protection.
    • Да Включает службу Microsoft Active Protection.
  • Уровень защиты, предоставляемый облаком
    CSP: CloudBlockLevel

    Настройка агрессивности антивирусная программа Defender при блокировке и сканировании подозрительных файлов.

    • Не настроено (по умолчанию) — уровень блокировки Defender по умолчанию.
    • Высокий — агрессивно блокируют неизвестные при оптимизации производительности клиента, что включает в себя большую вероятность ложноположительных результатов.
    • Высокий плюс — агрессивно блокируйте неизвестные и применяйте дополнительные меры защиты, которые могут повлиять на производительность клиента.
    • Нулевое отклонение — блокировать все неизвестные исполняемые файлы.
  • Расширенное время ожидания Defender Cloud в секундах
    CSP: CloudExtendedTimeout

    антивирусная программа Defender автоматически блокирует подозрительные файлы в течение 10 секунд, чтобы проверить файлы в облаке, чтобы убедиться, что они в безопасности. С помощью этого параметра можно добавить до 50 секунд к этому времени ожидания.

Исключения антивирусной программы Microsoft Defender

Предупреждение

Определение исключений снижает защиту, предлагаемую антивирусной программой Microsoft Defender. Всегда оцените риски, связанные с реализацией исключений. Исключите только файлы, которые, как вы знаете, не являются вредоносными.

Дополнительные сведения см. в статье Обзор исключений в документации по Microsoft Defender.

Для каждого параметра в этой группе можно развернуть параметр, выбрать Добавить, а затем указать значение для исключения.

  • Процессы Defender для исключения
    CSP: ExcludedProcesses

    Укажите список файлов, открытых процессами, которые следует игнорировать во время сканирования. Сам процесс не исключается из проверки.

  • Расширения файлов для исключения из проверок и защиты в режиме реального времени
    CSP: ExcludedExtensions

    Укажите список расширений типов файлов, которые следует игнорировать во время проверки.

  • Файлы и папки Defender для исключения
    CSP: excludedPaths

    Укажите список файлов и путей к каталогам, которые следует игнорировать во время проверки.

защита в режиме реального времени;

  • Включение защиты в режиме реального времени
    CSP: AllowRealtimeMonitoring

    Требовать, чтобы Defender на настольных устройствах Windows 10/11 использовал функцию мониторинга в режиме реального времени.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию.
    • Нет Отключает службу мониторинга в режиме реального времени.
    • Да Включает и запускает службу мониторинга в режиме реального времени.
  • Включить при защите доступа
    CSP: AllowOnAccessProtection

    Настройте защиту от вирусов, которая постоянно активна, а не по запросу.

    • Не настроено (по умолчанию) — эта политика не изменяет состояние этого параметра на устройстве. Существующее состояние на устройстве остается неизменным.
    • Нет Отключает службу мониторинга в режиме реального времени.
    • Да
  • Мониторинг входящих и исходящих файлов
    CSP: Defender/RealTimeScanDirection

    Настройте этот параметр, чтобы определить, какие файлы NTFS и действия программы отслеживаются.

    • Мониторинг всех файлов (двунаправленный) (по умолчанию)
    • Мониторинг входящих файлов
    • Мониторинг исходящих файлов
  • Включение мониторинга поведения
    CSP: AllowBehaviorMonitoring

    По умолчанию Defender на настольных устройствах Windows 10/11 использует функцию мониторинга поведения.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию.
    • Нет Отключает мониторинг поведения.
    • Да Включает мониторинг поведения в режиме реального времени.
  • Разрешить систему защиты от вторжений

    Настройте Defender, чтобы разрешить или запретить функцию предотвращения вторжений.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию.
    • Нет . Система предотвращения вторжений запрещена.
    • Да . Система предотвращения вторжений разрешена.
  • Сканирование всех скачанных файлов и вложений
    CSP: EnableNetworkProtection

    Настройте Defender для сканирования всех скачанных файлов и вложений.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию.
    • Нет
    • Да
  • Сканирование скриптов, используемых в браузерах Майкрософт
    CSP: AllowScriptScanning

    Настройте Defender для сканирования скриптов.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию.
    • Нет
    • Да
  • Проверка сетевых файлов
    CSP: AllowScanningNetworkFiles

    Настройте Defender для сканирования сетевых файлов.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию.
    • Нет Отключает сканирование сетевых файлов.
    • Да Сканирует сетевые файлы.
  • Сканирование сообщений электронной почты
    CSP: AllowEmailScanning

    Настройте Defender для сканирования входящей электронной почты.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию.
    • Нет Отключает проверку электронной почты.
    • Да Включает проверку электронной почты.

Исправление

  • Количество дней (0–90) для хранения вредоносных программ в карантине
    CSP: DaysToRetainCleanedMalware

    Укажите количество дней от нуля до 90, в течение которых система сохраняет элементы, помещенные в карантин, прежде чем они будут автоматически удалены. Нулевое значение сохраняет элементы в карантине и не удаляет их автоматически.

  • Согласие на отправку примеров

    • Не настроено (по умолчанию)
    • Всегда запрашивать
    • Автоматическая отправка безопасных примеров
    • Никогда не отправлять
    • Автоматическая отправка всех примеров
  • Действия для потенциально нежелательных приложений
    CSP: PUAProtection

    Укажите уровень обнаружения для потенциально нежелательных приложений (PLA). Defender оповещает пользователей о загрузке или попытке установки на устройстве потенциально нежелательного программного обеспечения.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию, то есть ЗАЩИТА ОТ PUA OFF.
    • Отключено — Защитник Windows не защищает от потенциально нежелательных приложений.
    • Включено — обнаруженные элементы блокируются. Они будут отображаться в истории вместе с другими угрозами.
    • Режим аудита . Defender обнаруживает потенциально нежелательные приложения, но не предпринимает никаких действий. Вы можете просмотреть сведения о приложениях, с которыми Defender принял бы меры, выполнив поиск событий, созданных Defender в Просмотр событий.
  • Создание точки восстановления системы перед очисткой компьютеров

    • Не настроено (по умолчанию)
    • Нет
    • Да
  • Действия для обнаруженных угроз
    CSP: ThreatSeverityDefaultAction

    Укажите действие, которое Defender выполняет для обнаруженных вредоносных программ, в зависимости от уровня угрозы вредоносных программ.

    Defender классифицирует обнаруженную вредоносную программу как один из следующих уровней серьезности:

    • Низкая угроза
    • Умеренная угроза
    • Высокая угроза
    • Серьезная угроза

    Для каждого уровня укажите действие, для выполнения. Значение по умолчанию для каждого уровня серьезности не настроено.

    • Не настроено (по умолчанию)
    • Очистить — служба пытается восстановить файлы и попытаться выполнить дезинфекцию.
    • Карантин — перемещает файлы в карантин.
    • Удалить — удаляет файлы с устройства.
    • Разрешить — разрешает файл и не выполняет другие действия.
    • Пользователь определен . Пользователь устройства принимает решение о том, какое действие следует предпринять.
    • Блокировать — блокирует выполнение файла.

Проверка

  • Сканирование архивных файлов
    CSP: AllowArchiveScanning

    Настройте Defender для сканирования архивных файлов, таких как ZIP- или CAB-файлы.

    • Не настроено (по умолчанию) — параметр возвращает клиенту значение по умолчанию, т. е. для сканирования архивных файлов, однако пользователь может отключить проверку. Дополнительные сведения
    • Нет Отключает проверку архивных файлов.
    • Да Сканирует архивные файлы.
  • Включение низкого приоритета ЦП для запланированных проверок
    CSP: EnableLowCPUPriority

    Настройте приоритет ЦП для запланированных проверок.

    • Не настроено (по умолчанию) — параметр возвращает системное значение по умолчанию, в котором не вносятся изменения в приоритет ЦП.
    • Нет
    • Да
  • Отключение догоняющей полной проверки
    CSP: DisableCatchupFullScan

    Настройте догоняющий просмотр для запланированных полных проверок. Проверка наверстку — это сканирование, которое начинается, так как регулярно запланированное сканирование было пропущено. Обычно эти запланированные проверки пропускаются, так как компьютер был выключен в запланированное время.

    • Не настроено (по умолчанию) — параметр возвращается для клиента по умолчанию, то есть для включения догоняющих проверок для полного сканирования, однако пользователь может отключить их.
    • Нет
    • Да
  • Отключить быструю проверку при перехвате
    CSP: DisableCatchupQuickScan

    Настройте догоняющий просмотр для запланированных быстрых проверок. Проверка наверстку — это сканирование, которое начинается, так как регулярно запланированное сканирование было пропущено. Обычно эти запланированные проверки пропускаются, так как компьютер был выключен в запланированное время.

    • Не настроено (по умолчанию) — параметр возвращается для клиента по умолчанию, то есть для включения быстрых проверок на догоняющих данных, однако пользователь может отключить их.
    • Нет
    • Да
  • Ограничение использования ЦП (0–100 %) на сканирование
    CSP: AvgCPULoadFactor

    Укажите в качестве процента от нуля до 100— средний коэффициент загрузки ЦП для сканирования Defender.

  • Включение проверки сопоставленных сетевых дисков во время полной проверки
    CSP: AllowFullScanOnMappedNetworkDrives

    Настройте Defender для сканирования сопоставленных сетевых дисков.

    • Не настроено (по умолчанию) — параметр восстанавливается в системе по умолчанию, что отключает сканирование на сопоставленных сетевых дисках.
    • Запрещено Отключает сканирование на сопоставленных сетевых дисках.
    • Дозволенный Сканирует сопоставленные сетевые диски.
  • Выполнение ежедневной быстрой проверки по адресу
    CSP: ScheduleQuickScanTime

    Выберите время суток, в течение чего выполняется быстрая проверка Defender. По умолчанию этот параметр не настроен.

  • Тип сканирования
    CSP: ScanParameter

    Выберите тип проверки, выполняемой Defender.

    • Не настроено (по умолчанию)
    • Быстрая проверка
    • Полная проверка
  • День недели для выполнения запланированной проверки

    • Не настроено (по умолчанию)
  • Время суток для выполнения запланированной проверки

    • Не настроено (по умолчанию)
  • Проверка Обновления подписи перед запуском сканирования (устройство)

    • Не настроено (по умолчанию)
    • Нет
    • Да
  • Случайный выбор времени запуска запланированного сканирования и обновления аналитики безопасности
    - Не настроено (по умолчанию) — Да -Нет

  • Проверка съемных дисков во время полной проверки

    • Не настроено (по умолчанию)
    • Нет Отключает сканирование на съемных дисках.
    • Да Проверяет съемные диски.

Обновления

  • Введите частоту (0–24 часа) для проверка обновлений аналитики безопасности
    CSP: SignatureUpdateInterval

    Укажите интервал от нуля до 24 (в часах), используемый для проверка подписей. Нулевое значение не приводит к проверка для новых сигнатур. Значение 2 будет проверка каждые два часа и т. д.

    • Резервный порядок обновления подписи (устройство)

    • Источники общих папок обновления сигнатур (устройство)

  • Расположение аналитики безопасности (устройство)

Взаимодействие с пользователем

  • Блокировка доступа пользователей к приложению Microsoft Defender

    • Не настроено (по умолчанию)
    • Запрещено Запрещает пользователям доступ к пользовательскому интерфейсу.
    • Дозволенный Позволяет пользователям получать доступ к пользовательскому интерфейсу.
  • Разрешить пользователям просматривать полные результаты журнала

    • Не настроено (по умолчанию)
    • Да
    • Нет