MacOS'ta Uç Nokta için Microsoft Defender tercihlerini ayarlayın

Şunlar için geçerlidir:

Önemli

Bu makale, kurumsal kuruluşlarda macOS üzerinde Uç Nokta için Microsoft Defender tercihlerini ayarlama yönergelerini içerir. MacOS'ta uç nokta için Microsoft Defender'ı komut satırı arabirimini kullanarak yapılandırmak için bkz . Kaynaklar.

Özet

Kurumsal kuruluşlarda, macOS üzerinde Uç Nokta için Microsoft Defender, çeşitli yönetim araçlarından biri kullanılarak dağıtılan bir yapılandırma profili aracılığıyla yönetilebilir. Güvenlik operasyonları ekibiniz tarafından yönetilen tercihler, cihazda yerel olarak ayarlanan tercihlerden önceliklidir. Yapılandırma profili aracılığıyla ayarlanan tercihlerin değiştirilmesi, yükseltilmiş ayrıcalıklar gerektirir ve yönetici izinleri olmayan kullanıcılar için kullanılamaz.

Bu makalede yapılandırma profilinin yapısı açıklanır, başlamak için kullanabileceğiniz önerilen bir profil bulunur ve profilin nasıl dağıtılacağına ilişkin yönergeler sağlanır.

Yapılandırma profili yapısı

Yapılandırma profili, bir anahtar tarafından tanımlanan girdilerden (tercihin adını belirtir) ve ardından tercihin yapısına bağlı olarak bir değerden oluşan bir .plist dosyasıdır. Değerler basit (sayısal değer gibi) veya iç içe yerleştirilmiş tercih listesi gibi karmaşık olabilir.

Dikkat

Yapılandırma profilinin düzeni, kullandığınız yönetim konsoluna bağlıdır. Aşağıdaki bölümlerde JAMF ve Intune için yapılandırma profilleri örnekleri yer almaktadır.

Yapılandırma profilinin en üst düzeyi, ürün genelindeki tercihleri ve Uç Nokta için Microsoft Defender'ın alt ürünlerine yönelik girdileri içerir ve bu girişler sonraki bölümlerde daha ayrıntılı olarak açıklanmıştır.

Virüsten koruma altyapısı tercihleri

Yapılandırma profilinin antivirusEngine bölümü, Uç Nokta için Microsoft Defender'ın virüsten koruma bileşeninin tercihlerini yönetmek için kullanılır.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar antivirusEngine
Veri türü Sözlük (iç içe tercih)
Açıklamalar Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın.

Virüsten koruma altyapısı için zorlama düzeyi

Virüsten koruma altyapısının zorlama tercihini belirtir. Zorlama düzeyini ayarlamak için üç değer vardır:

  • Gerçek zamanlı (real_time): Gerçek zamanlı koruma (erişilen dosyaları tara) etkinleştirilir.
  • İsteğe bağlı (on_demand): Dosyalar yalnızca isteğe bağlı olarak taranır. Burada:
    • Gerçek zamanlı koruma kapalıdır.
  • Pasif (passive): Virüsten koruma altyapısını pasif modda çalıştırır. Burada:
    • Gerçek zamanlı koruma kapalıdır.
    • İsteğe bağlı tarama açıktır.
    • Otomatik tehdit düzeltme kapalı.
    • Güvenlik bilgileri güncelleştirmeleri açıktır.
    • Durum menüsü simgesi gizlenir.
Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar enforcementLevel
Veri türü Dize
Olası değerler real_time (varsayılan)

on_demand

Pasif

Açıklamalar Uç Nokta için Microsoft Defender sürüm 101.10.72 veya sonraki sürümlerde kullanılabilir.

Davranış izlemeyi etkinleştirme/devre dışı bırakma

Cihazda davranış izleme ve engelleme özelliğinin etkinleştirilip etkinleştirilmediğini belirler.

Not

Bu özellik yalnızca Real-Time Koruma özelliği etkinleştirildiğinde geçerlidir.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar behaviorMonitoring
Veri türü Dize
Olası değerler Devre dışı

etkin (varsayılan)

Açıklamalar Uç Nokta için Microsoft Defender sürüm 101.24042.0002 veya üzeri sürümlerde kullanılabilir.

Dosya karması hesaplama özelliğini yapılandırma

Dosya karması hesaplama özelliğini etkinleştirir veya devre dışı bırakır. Bu özellik etkinleştirildiğinde Uç Nokta için Defender, gösterge kurallarıyla daha iyi eşleşme sağlamak için taramış olduğu dosyaların karmalarını hesaplar. macOS'ta, bu karma hesaplama için yalnızca betik ve Mach-O (32 ve 64 bit) dosyaları dikkate alınır (altyapı sürümü 1.1.20000.2 veya üzeri). Bu özelliğin etkinleştirilmesi cihaz performansını etkileyebilir. Daha fazla ayrıntı için bkz. Dosyalar için gösterge oluşturma.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar enableFileHashComputation
Veri türü Boole
Olası değerler false (varsayılan)

True

Açıklamalar Uç Nokta için Defender sürüm 101.86.81 veya sonraki sürümlerde kullanılabilir.

Tanımlar güncelleştirildikten sonra tarama çalıştırma

Cihaza yeni güvenlik bilgileri güncelleştirmeleri indirildikten sonra işlem taraması başlatılıp başlatılmayacağını belirtir. Bu ayarın etkinleştirilmesi, cihazın çalışan işlemlerinde bir virüsten koruma taraması tetikler.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar scanAfterDefinitionUpdate
Veri türü Boole
Olası değerler true (varsayılan)

False

Açıklamalar Uç Nokta için Microsoft Defender sürüm 101.41.10 veya üzeri sürümlerde kullanılabilir.

Arşivleri tara (yalnızca isteğe bağlı virüsten koruma taramaları)

İsteğe bağlı virüsten koruma taramaları sırasında arşivlerin taranıp taranmayacağını belirtir.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar scanArchives
Veri türü Boole
Olası değerler true (varsayılan)

False

Açıklamalar Uç Nokta için Microsoft Defender sürüm 101.41.10 veya üzeri sürümlerde kullanılabilir.

İsteğe bağlı taramalar için paralellik derecesi

İsteğe bağlı taramalar için paralellik derecesini belirtir. Bu, taramayı gerçekleştirmek için kullanılan iş parçacığı sayısına karşılık gelir ve CPU kullanımını ve isteğe bağlı tarama süresini etkiler.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar maximumOnDemandScanThreads
Veri türü Tamsayı
Olası değerler 2 (varsayılan). İzin verilen değerler 1 ile 64 arasındaki tamsayılardır.
Açıklamalar Uç Nokta için Microsoft Defender sürüm 101.41.10 veya üzeri sürümlerde kullanılabilir.

Dışlama birleştirme ilkesi

Dışlamalar için birleştirme ilkesini belirtin. Bu, yönetici tanımlı ve kullanıcı tanımlı dışlamaların (merge) veya yalnızca yönetici tanımlı dışlamaların (admin_only) birleşimi olabilir. Bu ayar, yerel kullanıcıların kendi dışlamalarını tanımlamasını kısıtlamak için kullanılabilir.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar exclusionsMergePolicy
Veri türü Dize
Olası değerler merge (varsayılan)

admin_only

Açıklamalar Uç Nokta için Microsoft Defender sürüm 100.83.73 veya üzeri sürümlerde kullanılabilir.

Tarama dışlamaları

Taranmayan varlıkları belirtin. Dışlamalar tam yollar, uzantılar veya dosya adlarıyla belirtilebilir. (Dışlamalar bir öğe dizisi olarak belirtilir, yönetici gerektiği kadar öğeyi herhangi bir sırada belirtebilir.)

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar Dışlamalar
Veri türü Sözlük (iç içe tercih)
Açıklamalar Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın.
Dışlama türü

Türe göre taranmayan içeriği belirtin.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar $type
Veri türü Dize
Olası değerler excludedPath

excludedFileExtension

excludedFileName

Dışlanan içeriğin yolu

Tam dosya yolu tarafından taranmayan içeriği belirtin.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar Yolu
Veri türü Dize
Olası değerler geçerli yollar
Açıklamalar Yalnızca $typeexcludedPath olduğunda uygulanabilir

Desteklenen dışlama türleri

Aşağıdaki tabloda, Mac'te Uç Nokta için Defender tarafından desteklenen dışlama türleri gösterilmektedir.

Dışlama Tanım Örnekler
Dosya uzantısı Uzantılı tüm dosyalar, cihazın herhangi bir yerinde .test
Dosya Tam yol tarafından tanımlanan belirli bir dosya /var/log/test.log

/var/log/*.log

/var/log/install.?.log

Klasör Belirtilen klasör altındaki tüm dosyalar (özyinelemeli olarak) /var/log/

/var/*/

Işlem Belirli bir işlem (tam yol veya dosya adıyla belirtilir) ve tarafından açılan tüm dosyalar /bin/cat

cat

c?t

Önemli

Yukarıdaki yolların başarıyla dışlanması için sembolik bağlantılar değil sabit bağlantılar olması gerekir. komutunu çalıştırarak file <path-name>yolun sembolik bir bağlantı olup olmadığını de kontrol edebilirsiniz.

Dosya, klasör ve işlem dışlamaları aşağıdaki joker karakterleri destekler:

Joker Açıklama Örnek Eşleşir Eşleşmiyor
* Hiçbiri dahil olmak üzere herhangi bir sayıda karakterle eşleşir (bu joker karakter bir yolun içinde kullanıldığında yalnızca bir klasörü değiştireceğini unutmayın) /var/\*/\*.log /var/log/system.log /var/log/nested/system.log
? Herhangi bir tek karakterle eşleşir file?.log file1.log

file2.log

file123.log

Yol türü (dosya / dizin)

path özelliğinin bir dosyaya veya dizine başvurup başvurmadığını belirtin.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar isDirectory
Veri türü Boole
Olası değerler false (varsayılan)

True

Açıklamalar Yalnızca $typeexcludedPath olduğunda uygulanabilir

Dosya uzantısı taramanın dışında bırakıldı

Dosya uzantısı tarafından taranmayan içeriği belirtin.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar Uzantısı
Veri türü Dize
Olası değerler geçerli dosya uzantıları
Açıklamalar Yalnızca $typeexcludedFileExtension olduğunda geçerlidir

Taramanın dışında tutulan işlem

Tüm dosya etkinliğinin taramanın dışında tutulacağını bir işlem belirtin. İşlem adıyla (örneğin, cat) veya tam yoluyla (örneğin, /bin/cat) belirtilebilir.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar Adı
Veri türü Dize
Olası değerler herhangi bir dize
Açıklamalar Yalnızca $typeexcludedFileName olduğunda geçerlidir

İzin verilen tehditler

Mac'te Uç Nokta için Defender tarafından engellenmeyen tehditleri ada göre belirtin. Bu tehditlerin çalışmasına izin verilir.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar allowedThreats
Veri türü Dize dizisi

İzin verilmeyen tehdit eylemleri

Bir cihazın yerel kullanıcısının tehdit algılandığında gerçekleştirebileceği eylemleri kısıtlar. Bu listede yer alan eylemler kullanıcı arabiriminde görüntülenmez.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar disallowedThreatActions
Veri türü Dize dizisi
Olası değerler allow (kullanıcıların tehditlere izin vermelerini kısıtlar)

geri yükleme (kullanıcıların karantinadan tehditleri geri yüklemesini kısıtlar)

Açıklamalar Uç Nokta için Microsoft Defender sürüm 100.83.73 veya üzeri sürümlerde kullanılabilir.

Tehdit türü ayarları

MacOS üzerinde Uç Nokta için Microsoft Defender tarafından belirli tehdit türlerinin nasıl işleneceğini belirtin.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar threatTypeSettings
Veri türü Sözlük (iç içe tercih)
Açıklamalar Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın.
Tehdit türü

Tehdit türlerini belirtin.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar Anahtar
Veri türü Dize
Olası değerler potentially_unwanted_application

archive_bomb

Gerçekleştirecek eylem

Önceki bölümde belirtilen türde bir tehdit algılandığında hangi eylemin gerçekleştirileceğini belirtin. Aşağıdaki seçeneklerden birini belirleyin:

  • Denetim: Cihazınız bu tür tehditlere karşı korunmaz, ancak tehditle ilgili bir giriş günlüğe kaydedilir.
  • Engelle: Cihazınız bu tür tehditlere karşı korunur ve kullanıcı arabiriminde ve güvenlik konsolunda size bildirilir.
  • Kapalı: Cihazınız bu tür tehditlere karşı korunmaz ve hiçbir şey günlüğe kaydedilmez.
Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar Değer
Veri türü Dize
Olası değerler denetim (varsayılan)

Blok

kapalı

Tehdit türü ayarları birleştirme ilkesi

Tehdit türü ayarları için birleştirme ilkesini belirtin. Bu, yönetici tanımlı ve kullanıcı tanımlı ayarların () veya yalnızca yönetici tanımlı ayarların (mergeadmin_only) bir birleşimi olabilir. Bu ayar, yerel kullanıcıların farklı tehdit türleri için kendi ayarlarını tanımlamasını kısıtlamak için kullanılabilir.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar threatTypeSettingsMergePolicy
Veri türü Dize
Olası değerler merge (varsayılan)

admin_only

Açıklamalar Uç Nokta için Microsoft Defender sürüm 100.83.73 veya üzeri sürümlerde kullanılabilir.

Virüsten koruma tarama geçmişi saklama (gün olarak)

Sonuçların cihazdaki tarama geçmişinde tutulacağını gün sayısını belirtin. Eski tarama sonuçları geçmişten kaldırılır. Diskten de kaldırılan eski karantinaya alınan dosyalar.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar scanResultsRetentionDays
Veri türü Dize
Olası değerler 90 (varsayılan). İzin verilen değerler 1 günden 180 güne kadardır.
Açıklamalar Uç Nokta için Microsoft Defender sürüm 101.07.23 veya sonraki sürümlerde kullanılabilir.

Virüsten koruma tarama geçmişindeki en fazla öğe sayısı

Tarama geçmişinde tutulacak en fazla girdi sayısını belirtin. Girişler, geçmişte gerçekleştirilen tüm isteğe bağlı taramaları ve tüm virüsten koruma algılamalarını içerir.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar scanHistoryMaximumItems
Veri türü Dize
Olası değerler 10000 (varsayılan). İzin verilen değerler 5000 öğeden 15000 öğeye kadardır.
Açıklamalar Uç Nokta için Microsoft Defender sürüm 101.07.23 veya sonraki sürümlerde kullanılabilir.

Bulut tabanlı koruma tercihleri

macOS üzerinde Uç Nokta için Microsoft Defender'ın bulut tabanlı koruma özelliklerini yapılandırın.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar cloudService
Veri türü Sözlük (iç içe tercih)
Açıklamalar Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın.

Bulut tabanlı korumayı etkinleştirme/devre dışı bırakma

Cihazda bulut tabanlı korumanın etkinleştirilip etkinleştirilmeyeceğini belirtin. Hizmetlerinizin güvenliğini artırmak için bu özelliği açık tutmanızı öneririz.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar Etkin
Veri türü Boole
Olası değerler true (varsayılan)

False

Tanılama toplama düzeyi

Tanılama verileri Uç Nokta için Microsoft Defender'ı güvenli ve güncel tutmak, sorunları algılamak, tanılamak ve düzeltmek ve ürün geliştirmeleri yapmak için kullanılır. Bu ayar, Uç Nokta için Microsoft Defender tarafından Microsoft'a gönderilen tanılama düzeyini belirler.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar diagnosticLevel
Veri türü Dize
Olası değerler isteğe bağlı (varsayılan)

Gerekli

Bulut bloğu düzeyini yapılandırma

Bu ayar, Uç Nokta için Defender'ın şüpheli dosyaları engelleme ve tarama konusunda ne kadar agresif olacağını belirler. Bu ayar açıksa, engellenecek ve taranacak şüpheli dosyaları tanımlarken Uç Nokta için Defender daha agresif olacaktır; aksi takdirde, daha az agresif olur ve bu nedenle daha az sıklıkta blok ve tarama olur. Bulut bloğu düzeyini ayarlamak için beş değer vardır:

  • Normal (normal): Varsayılan engelleme düzeyi.
  • Orta (moderate): Yalnızca yüksek güvenilirlik algılamaları için karar verir.
  • Yüksek (high): Performansı iyileştirirken bilinmeyen dosyaları agresif bir şekilde engeller (zararlı olmayan dosyaları engelleme olasılığı daha yüksektir).
  • High Plus (high_plus): Bilinmeyen dosyaları agresif bir şekilde engeller ve ek koruma önlemleri uygular (istemci cihaz performansını etkileyebilir).
  • Sıfır Tolerans (zero_tolerance): Tüm bilinmeyen programları engeller.
Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar cloudBlockLevel
Veri türü Dize
Olası değerler normal (varsayılan)

Orta

Yüksek

high_plus

zero_tolerance

Açıklamalar Uç Nokta için Defender sürüm 101.56.62 veya sonraki sürümlerde kullanılabilir.

Otomatik örnek gönderimlerini etkinleştirme/devre dışı bırakma

Şüpheli örneklerin (tehdit içerme olasılığı yüksek) Microsoft'a gönderilip gönderilmeyeceğini belirler. Örnek gönderimini denetlemek için üç düzey vardır:

  • Hiçbiri: Microsoft'a şüpheli örnek gönderilmez.
  • Güvenli: Yalnızca kişisel bilgiler (PII) içermeyen şüpheli örnekler otomatik olarak gönderilir. Bu ayar için varsayılan değer budur.
  • Tümü: Tüm şüpheli örnekler Microsoft'a gönderilir.
Açıklama Değer
Anahtar automaticSampleSubmissionConsent
Veri türü Dize
Olası değerler yok

güvenli (varsayılan)

Tüm

Otomatik güvenlik bilgileri güncelleştirmelerini etkinleştirme/devre dışı bırakma

Güvenlik zekası güncelleştirmelerinin otomatik olarak yüklenip yüklenmediğini belirler:

Bölüm Değer
Anahtar automaticDefinitionUpdateEnabled
Veri türü Boole
Olası değerler true (varsayılan)

False

Kullanıcı arabirimi tercihleri

macOS'ta Uç Nokta için Microsoft Defender kullanıcı arabiriminin tercihlerini yönetin.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar userInterface
Veri türü Sözlük (iç içe tercih)
Açıklamalar Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın.

Durum menüsü simgesini göster / gizle

Ekranın sağ üst köşesindeki durum menüsü simgesinin gösterilip gösterilmeyeceğini veya gizleneceğini belirtin.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar hideStatusMenuIcon
Veri türü Boole
Olası değerler false (varsayılan)

True

Geri bildirim göndermek için göster /gizle seçeneği

Kullanıcıların adresine giderek Help>Send FeedbackMicrosoft'a geri bildirim gönderip gönderemeyeceğini belirtin.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar userInitiatedFeedback
Veri türü Dize
Olası değerler etkin (varsayılan)

Devre dışı

Açıklamalar Uç Nokta için Microsoft Defender sürüm 101.19.61 veya sonraki sürümlerde kullanılabilir.

Microsoft Defender'ın tüketici sürümünde oturum açmayı denetleme

Kullanıcıların Microsoft Defender'ın tüketici sürümünde oturum açıp açamayacağını belirtin.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar consumerExperience
Veri türü Dize
Olası değerler etkin (varsayılan)

Devre dışı

Açıklamalar Uç Nokta için Microsoft Defender sürüm 101.60.18 veya sonraki sürümlerde kullanılabilir.

Uç nokta algılama ve yanıt tercihleri

macOS üzerinde Uç Nokta için Microsoft Defender'ın uç nokta algılama ve yanıt (EDR) bileşeninin tercihlerini yönetin.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar Edr
Veri türü Sözlük (iç içe tercih)
Açıklamalar Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın.

Cihaz etiketleri

Bir etiket adı ve değerini belirtin.

  • GROUP etiketi, cihazı belirtilen değerle işaretler. Etiket portalda cihaz sayfasının altında yansıtılır ve cihazları filtrelemek ve gruplandırma için kullanılabilir.
Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar Etiketler
Veri türü Sözlük (iç içe tercih)
Açıklamalar Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın.
Etiket türü

Etiket türünü belirtir

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar Anahtar
Veri türü Dize
Olası değerler GROUP
Etiketin değeri

Etiketin değerini belirtir

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar Değer
Veri türü Dize
Olası değerler herhangi bir dize

Önemli

  • Etiket türü başına yalnızca bir değer ayarlanabilir.
  • Etiketlerin türü benzersizdir ve aynı yapılandırma profilinde tekrarlanmamalıdır.

Grup tanımlayıcısı

EDR Grubu tanımlayıcıları

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar groupId'ler
Veri türü Dize
Açıklamalar Grup tanımlayıcısı

Kurcalama Koruması

macOS'ta Uç Nokta için Microsoft Defender'ın Kurcalama Koruması bileşeninin tercihlerini yönetin.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar kurcalama Koruması
Veri türü Sözlük (iç içe tercih)
Açıklamalar Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın.

Zorlama düzeyi

Kurcalama Koruması etkinse ve katı moddaysa

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar enforcementLevel
Veri türü Dize
Açıklamalar 'Devre dışı', 'denetim' veya 'blok' türünden biri

Olası değerler:

  • devre dışı - Kurcalama Koruması kapalı, saldırıları önleme veya Buluta raporlama yok
  • audit - Kurcalama Koruması yalnızca Bulut'ta yapılan kurcalama girişimlerini bildirir, ancak engellemez
  • block - Kurcalama Koruması hem blokları hem de buluta yapılan saldırıları bildirir

Dışlamalar

Microsoft Defender'ın varlığı üzerinde oynanmayı dikkate almadan değiştirme izni verilen işlemleri tanımlar. Yol veya teamId ya da signingId ya da bunların birleşimi sağlanmalıdır. İzin verilen işlemi daha hassas bir şekilde belirtmek için ek olarak bağımsız değişkenler de sağlanabilir.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar Dışlamalar
Veri türü Sözlük (iç içe tercih)
Açıklamalar Sözlük içeriğinin açıklaması için aşağıdaki bölümlere bakın.
Yol

İşlemin yürütülebilir dosyasının tam yolu.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar Yolu
Veri türü Dize
Açıklamalar Kabuk betiği söz konusu olduğunda yorumlayıcı ikili dosyasının tam yolu olacaktır; örneğin. /bin/zsh Joker karaktere izin verilmez.
Ekip Kimliği

Apple'ın satıcının "Ekip Kimliği".

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar teamId
Veri türü Dize
Açıklamalar Örneğin, UBF8T346G9 Microsoft için
İmzalama Kimliği

Apple'ın paketin "İmzalama Kimliği".

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar signingId
Veri türü Dize
Açıklamalar Örneğin, com.apple.ruby Ruby yorumlayıcısı için
İşlem bağımsız değişkenleri

İşlemi tanımlamak için diğer parametrelerle birlikte kullanılır.

Bölüm Değer
Etki alanı com.microsoft.wdav
Anahtar signingId
Veri türü Dize dizisi
Açıklamalar Belirtilirse, işlem bağımsız değişkeni bu bağımsız değişkenlerle tam olarak eşleşmelidir, büyük/küçük harfe duyarlı

Başlamak için, uç nokta için Microsoft Defender'ın sağladığı tüm koruma özelliklerinden yararlanmak üzere kuruluşunuz için aşağıdaki yapılandırmayı öneririz.

Aşağıdaki yapılandırma profili (veya JAMF durumunda, özel ayarlar yapılandırma profiline yüklenebilen bir özellik listesi) şunları yapar:

  • Gerçek zamanlı korumayı etkinleştirme (RTP)
  • Aşağıdaki tehdit türlerinin nasıl işleneceğini belirtin:
    • İstenmeyebilecek uygulamalar (PUA) engellendi
    • Arşiv bombaları (yüksek sıkıştırma hızına sahip dosya) Uç Nokta günlükleri için Microsoft Defender'da denetleniyor
  • Otomatik güvenlik bilgileri güncelleştirmelerini etkinleştirme
  • Bulut tabanlı korumayı etkinleştirme
  • Otomatik örnek göndermeyi etkinleştirme
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Tam yapılandırma profili örneği

Aşağıdaki şablonlar, bu belgede açıklanan tüm ayarların girdilerini içerir ve macOS üzerinde Uç Nokta için Microsoft Defender üzerinde daha fazla denetime ihtiyacınız olan daha gelişmiş senaryolar için kullanılabilir.

JAMF tam yapılandırma profili için özellik listesi

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enforcementLevel</key>
        <string>real_time</string>
        <key>scanAfterDefinitionUpdate</key>
        <true/>
        <key>scanArchives</key>
        <true/>
        <key>maximumOnDemandScanThreads</key>
        <integer>2</integer>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/Users/*/git</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
        <key>automaticDefinitionUpdateEnabled</key>
        <true/>
        <key>cloudBlockLevel</key>
        <string>normal</string>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>tamperProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
        <key>exclusions</key>
        <array>
        <dict>
            <key>path</key>
            <string>/bin/zsh</string>
            <key>teamId</key>
            <string/>
            <key>signingId</key>
            <string>com.apple.zsh</string>
            <key>args</key>
            <array>
            <string>/usr/local/bin/test.sh</string>
            </array>
        </dict>
        <dict>
            <key>path</key>
            <string>/usr/local/jamf/bin/jamf</string>
            <key>teamId</key>
            <string>483DWKW443</string>
            <key>signingId</key>
            <string>com.jamfsoftware.jamf</string>
        </dict>
        </array>            
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
        <key>userInitiatedFeedback</key>
        <string>enabled</string>
    </dict>
</dict>
</plist>

Intune tam profili

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>real_time</string>
                    <key>scanAfterDefinitionUpdate</key>
                    <true/>
                    <key>scanArchives</key>
                    <true/>
                    <key>maximumOnDemandScanThreads</key>
                    <integer>1</integer>
                    <key>exclusions</key>
                    <array>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <false/>
                            <key>path</key>
                            <string>/var/log/system.log</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/home</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedPath</string>
                            <key>isDirectory</key>
                            <true/>
                            <key>path</key>
                            <string>/Users/*/git</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileExtension</string>
                            <key>extension</key>
                            <string>pdf</string>
                        </dict>
                        <dict>
                            <key>$type</key>
                            <string>excludedFileName</string>
                            <key>name</key>
                            <string>cat</string>
                        </dict>
                    </array>
                    <key>exclusionsMergePolicy</key>
                    <string>merge</string>
                    <key>allowedThreats</key>
                    <array>
                        <string>EICAR-Test-File (not a virus)</string>
                    </array>
                    <key>disallowedThreatActions</key>
                    <array>
                        <string>allow</string>
                        <string>restore</string>
                    </array>
                    <key>threatTypeSettings</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>potentially_unwanted_application</string>
                            <key>value</key>
                            <string>block</string>
                        </dict>
                        <dict>
                            <key>key</key>
                            <string>archive_bomb</string>
                            <key>value</key>
                            <string>audit</string>
                        </dict>
                    </array>
                    <key>threatTypeSettingsMergePolicy</key>
                    <string>merge</string>
                </dict>
                <key>cloudService</key>
                <dict>
                    <key>enabled</key>
                    <true/>
                    <key>diagnosticLevel</key>
                    <string>optional</string>
                    <key>automaticSampleSubmission</key>
                    <true/>
                    <key>automaticDefinitionUpdateEnabled</key>
                    <true/>
                    <key>cloudBlockLevel</key>
                    <string>normal</string>
                </dict>
                <key>edr</key>
                <dict>
                    <key>tags</key>
                    <array>
                        <dict>
                            <key>key</key>
                            <string>GROUP</string>
                            <key>value</key>
                            <string>ExampleTag</string>
                        </dict>
                    </array>
                </dict>
                <key>tamperProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                    <key>exclusions</key>
                    <array>
                    <dict>
                        <key>path</key>
                        <string>/bin/zsh</string>
                        <key>teamId</key>
                        <string/>
                        <key>signingId</key>
                        <string>com.apple.zsh</string>
                        <key>args</key>
                        <array>
                        <string>/usr/local/bin/test.sh</string>
                        </array>
                    </dict>
                    <dict>
                        <key>path</key>
                        <string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
                        <key>teamId</key>
                        <string>UBF8T346G9</string>
                        <key>signingId</key>
                        <string>IntuneMdmDaemon</string>
                    </dict>
                    </array>            
                </dict>
                <key>userInterface</key>
                <dict>
                    <key>hideStatusMenuIcon</key>
                    <false/>
                    <key>userInitiatedFeedback</key>
                    <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Özellik listesi doğrulama

Özellik listesi geçerli bir .plist dosyası olmalıdır. Bu, yürütülerek denetlenebilir:

plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK

Dosya iyi biçimlendirilmişse, yukarıdaki komut çıkışını alır OK ve çıkış kodunu 0döndürür. Aksi takdirde, sorunu açıklayan bir hata görüntülenir ve komutu çıkış 1kodunu döndürür.

Yapılandırma profili dağıtımı

Kuruluşunuz için yapılandırma profilini derledikten sonra, kuruluşunuzun kullandığı yönetim konsolu aracılığıyla dağıtabilirsiniz. Aşağıdaki bölümlerde, JAMF ve Intune kullanarak bu profilin nasıl dağıtılacağına ilişkin yönergeler sağlanmaktadır.

JAMF dağıtımı

JAMF konsolundan Bilgisayar>Yapılandırma Profilleri'ni açın, kullanmak istediğiniz yapılandırma profiline gidin ve Özel Ayarlar'ı seçin. tercih etki alanı olarak ile com.microsoft.wdav bir giriş oluşturun ve daha önce üretilen .plist dosyasını karşıya yükleyin.

Dikkat

Doğru tercih etki alanını (com.microsoft.wdav) girmeniz gerekir; aksi takdirde, tercihler Uç Nokta için Microsoft Defender tarafından tanınmaz.

Intune dağıtımı

  1. Cihaz>Yapılandırma Profillerini açın. Profil Oluştur'u seçin.

  2. Profil için bir ad seçin. Platform=macOS'uProfil türü=Şablonlar olarak değiştirin ve şablon adı bölümünde Özel'i seçin. Yapılandır'ı seçin.

  3. Daha önce üretilen .plist dosyasını olarak com.microsoft.wdav.xmlkaydedin.

  4. Özel yapılandırma profili adı olarak girincom.microsoft.wdav.

  5. Yapılandırma profilini açın ve dosyayı karşıya yükleyin com.microsoft.wdav.xml . (Bu dosya 3. adımda oluşturulmuştur.)

  6. Tamam'ı seçin.

  7. AtamalarıYönet'i> seçin. Ekle sekmesinde Tüm Kullanıcılara Ata & Tüm cihazlar'ı seçin.

Dikkat

Doğru özel yapılandırma profili adını girmeniz gerekir; aksi takdirde, bu tercihler Uç Nokta için Microsoft Defender tarafından tanınmaz.

Kaynaklar

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.