Поделиться через

Использование Microsoft Intune для настройки антивирусной программы Microsoft Defender и управления ими

  • Статья

Область применения:

Совместимость

  • антивирусная программа Microsoft Defender с использованием Intune доступна на следующих платформах:
  • Windows 10 и более поздние версии

Вы можете использовать семейство продуктов Microsoft Intune для настройки Microsoft Defender параметров антивирусной программы, таких как Microsoft Intune и Configuration Manager.

Настройка параметров антивирусной программы Microsoft Defender в Intune

  1. Перейдите в центр администрирования Microsoft Intune (https://intune.microsoft.com) и войдите в систему.

  2. Перейдите в раздел Безопасность конечных точек.

  3. В разделе Управление выберите Антивирусная программа.

  4. Нажмите кнопку Создать политику, выберите Windows в качестве платформы и Microsoft Defender Антивирусная программа для типа профиля, а затем выберите Создать.

  5. Введите имя политики и при необходимости описание и нажмите кнопку Далее , чтобы перейти к параметрам конфигурации.

  6. Измените параметры антивирусной программы Microsoft Defender.

  7. Выберите Просмотр и сохранение.

Вы можете просмотреть список параметров, которые можно настроить в политике антивирусной программы Microsoft Defender в Intune.

Политики и параметры

Разрешить сканирование Архив

CSP: AllowArchiveScanning

Этот параметр политики позволяет настроить проверку вредоносных программ в архивных файлах, таких как .ZIP или .CAB файлы.

  • Не настроено — параметр возвращает значение по умолчанию для клиента, то есть для сканирования архивных файлов. Пользователь может отключить этот параметр.
  • Запрещено — Архив файлы не сканируются, вместо этого они всегда сканируются во время направленных проверок.
  • Разрешено — включение сканирования архивных файлов. Это рекомендуемая конфигурация.

Изменения этого параметра не применяются, если включена защита от незаконного изменения.

Разрешить мониторинг поведения

CSP: AllowBehaviorMonitoring

Этот параметр политики позволяет настроить мониторинг поведения.

  • Не настроено — параметр возвращается к системе по умолчанию (включен мониторинг поведения в режиме реального времени).

  • Не разрешено — параметр отключен.

  • Разрешено — включен мониторинг поведения в режиме реального времени. Это рекомендуемая конфигурация.

    Изменения этого параметра не применяются, если включена защита от незаконного изменения.

Включить облачную защиту

CSP: AllowCloudProtection

Важно!

Рекомендуется оставить защиту облака включенной, так как некоторые функции и возможности безопасности в Microsoft Defender для конечной точки работать только при включенной облачной защите.

Этот параметр политики позволяет присоединиться к Microsoft MAPS (Microsoft Active Protection Service). Microsoft MAPS — это онлайн-сообщество, которое помогает вам выбрать способ реагирования на потенциальные угрозы. Сообщество также помогает остановить распространение новых вредоносных программных инфекций.

Сведения об обнаруженных элементах на компьютере автоматически собираются и отправляются в корпорацию Майкрософт.

О любых обнаруженных вредоносных программах, шпионских программах и потенциально нежелательных программах собираются следующие сведения:

  • Источник программного обеспечения
  • Действия, которые вы применяете или которые применяются автоматически, и их успех;
  • Расположение программного обеспечения
  • Имена файлов
  • Принцип работы программного обеспечения
  • Его влияние на компьютер.

Параметры:

  • Не настроено — параметр возвращается к системе по умолчанию (облачная защита отключена).
  • Не разрешено — облачная защита отключена.
  • Разрешено — облачная защита включена.

Изменения этого параметра не будут применены, если включена защита от незаконного изменения.

Разрешить сканирование электронной почты

CSP: AllowEmailScanning

Этот параметр политики позволяет настроить проверку электронной почты. Если сканирование электронной почты включено, подсистема анализирует почтовый ящик и почтовые файлы в соответствии с их определенным форматом, чтобы проанализировать тексты и вложения почты. В настоящее время поддерживается несколько форматов электронной почты, например: pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Email сканирование не поддерживается в современных почтовых клиентах.

  • Не настроено — параметр возвращается к системе по умолчанию (отключить проверку электронной почты).
  • Не разрешено — отключите проверку электронной почты.
  • Разрешено — включите проверку электронной почты. Это рекомендуемая конфигурация.

Разрешить полную проверку на сопоставленных сетевых дисках

CSP: AllowFullScanOnMappedNetworkDrives

Этот параметр политики позволяет настроить сканирование сопоставленных сетевых дисков.

  • Не настроено — параметр возвращает значение по умолчанию системы (сопоставленные сетевые диски не будут проверяться).
  • Не разрешено — сопоставленные сетевые диски не будут проверяться.
  • Разрешено — включить сканирование сопоставленных сетевых дисков.

Разрешить полное сканирование съемного диска

CSP: AllowFullScanRemovableDriveScanning

Этот параметр политики позволяет управлять тем, следует ли проверять наличие вредоносных и нежелательных программ в содержимом съемных дисков, таких как USB-устройства флэш-памяти, при выполнении полной проверки.

  • Не настроено . Параметр возвращает значение по умолчанию системы (съемные диски не будут проверяться во время полной проверки, но они могут по-прежнему проверяться во время быстрой и настраиваемой проверки).
  • Запрещено . Съемные диски не будут проверяться во время полной проверки, но они могут по-прежнему проверяться во время быстрой и настраиваемой проверки.
  • Разрешено — съемные диски проверяются во время любого типа сканирования. Это рекомендуемая конфигурация.

Разрешить сканирование всех скачанных файлов и вложений

CSP: AllowIOAVProtection

Этот параметр политики позволяет настроить проверку всех скачанных файлов и вложений.

  • Не настроено — параметр возвращается к системе по умолчанию (включено сканирование всех скачанных файлов и вложений).
  • Запрещено — сканирование всех скачанных файлов и вложений отключено.
  • Разрешено — включена проверка всех скачанных файлов и вложений. Это рекомендуемая конфигурация.

Изменения этого параметра не будут применены, если включена защита от незаконного изменения.

Разрешить мониторинг Real-Time

CSP: AllowRealtimeMonitoring

Включает или отменяет функции мониторинга в Защитнике Windows в режиме реального времени.

  • Не настроено — параметр возвращается к системе по умолчанию (включается и запускает службу мониторинга в режиме реального времени).
  • Не разрешено — отключает службу мониторинга в режиме реального времени.
  • Разрешено — включает и запускает службу мониторинга в режиме реального времени. Это рекомендуемая конфигурация.

Изменения этого параметра не будут применены, если включена защита от незаконного изменения.

Разрешить сканирование сетевых файлов

CSP: enablescanningNetworkFiles

Этот параметр политики позволяет настроить как запланированные проверки, так и проверки по запросу (инициированные вручную) для доступа к файлам по сети.

  • Не настроено — параметр возвращается к системе по умолчанию (сетевые файлы сканируются).
  • Не разрешено — сетевые файлы не сканируются.
  • Разрешено — сетевые файлы сканируются. Это рекомендуемая конфигурация.

Разрешить сканирование скриптов

CSP: enablescriptScanning

Этот параметр политики включает или отключает функцию сканирования скриптов в Защитнике Windows.

Изменения этого параметра не применяются, если включен параметр защиты от незаконного изменения.

Разрешение доступа пользователей к пользовательскому интерфейсу

CSP: AllowUserUIAccess

Этот параметр политики позволяет настроить отображение пользовательского интерфейса Microsoft Defender приложения для пользователей.

  • Не настроено — параметр возвращается к системе по умолчанию (пользовательский интерфейс и уведомления разрешены).
  • Не разрешено — параметр отключен. Запрещает пользователям доступ к пользовательскому интерфейсу, а уведомления подавляются.
  • Разрешено — параметр включен. Пользователи могут получить доступ к пользовательскому интерфейсу Defender, и уведомления разрешены. Это рекомендуемая конфигурация.

Средний коэффициент загрузки ЦП

CSP: AvgCPULoadFactor

Этот параметр политики позволяет указать максимальный коэффициент загрузки ЦП для проверок в Defender.

  • Не настроено — параметр возвращается к системе по умолчанию, где загрузка ЦП не превышает значение по умолчанию 50 %.
  • [0–100] — загрузка ЦП не превышает указанного процента. Значение 0 означает, что регулирование использования ЦП не выполняется.

Максимальная глубина Архив

CSP: ArchiveMaxDepth

Этот параметр политики позволяет указать максимальную глубину папки для извлечения из архивных файлов для сканирования.

  • Не настроено — параметр возвращается к системе по умолчанию (все архивы извлекаются в самую глубокую папку для сканирования).
  • [0-4294967295] — все архивы извлекаются до глубины, указанной в политике.

Максимальный размер Архив

CSP: ArchiveMaxSize

Этот параметр политики позволяет указать максимальный размер архивных файлов для извлечения и сканирования в КБ.

  • Не настроено — параметр возвращается к системе по умолчанию, где извлекаются и сканируются все архивы независимо от размера.
  • [0-4294967295] — архивы извлекаются и сканируются, если их размер меньше максимального размера, указанного в политике.

Проверка подписей перед запуском сканирования

CSP: CheckForSignaturesBeforeRunningScan

Этот параметр политики позволяет управлять тем, происходит ли проверка для новой аналитики безопасности вирусов и шпионского ПО перед выполнением проверки. Это применимо только к запланированным проверкам.

  • Не настроено — параметр возвращается к системе по умолчанию, где проверка начинается с использованием текущей аналитики безопасности.
  • Отключено — проверка начинается с использованием существующей аналитики безопасности.
  • Включено . Перед выполнением проверки система проверяет наличие новой аналитики безопасности. Это рекомендуемая конфигурация.

Уровень блокировки облака

CSP: CloudBlockLevel

Этот параметр политики определяет уровень интенсивности, который Microsoft Defender антивирусная программа использует при блокировке и сканировании подозрительных файлов. Чтобы использовать эту функцию, необходимо включить параметр Разрешить облачную защиту .

  • Не настроено — параметр возвращается на уровень блокировки системы по умолчанию (0x0).

  • (0x0)Состояние по умолчанию — уровень блокировки антивирусной программы по умолчанию Microsoft Defender.

  • (0x2)Высокий — Высокий уровень блокировки— агрессивно блокируют неизвестные при оптимизации производительности клиента (выше вероятность ложноположительных результатов). Это рекомендуемая конфигурация

  • (0x4)Высокий плюс — высокий+ уровень блокировки — агрессивно блокирует неизвестные и применяет другие меры защиты (может повлиять на производительность клиента).

  • (0x6)Нулевое отклонение — нулевой уровень блокировки — блокировка всех неизвестных исполняемых файлов

    Изменения этого параметра не применяются, если включена защита от незаконного изменения.

Время ожидания расширенного облака

CSP: CloudExtendedTimeout

Эта функция позволяет Microsoft Defender антивирусной программе блокировать подозрительный файл на срок до 60 секунд и сканировать его в облаке, чтобы убедиться, что он в безопасности.

Время ожидания облачного проверка по умолчанию составляет 10 секунд. Чтобы включить эту функцию, укажите расширенное время в секундах. Максимальное время ожидания — 50 секунд.

  • Не настроено — параметр возвращает значение по умолчанию системы (время ожидания облака составляет 10 секунд).
  • [0–50] — время ожидания облака увеличивается на указанную сумму. Рекомендуемое значение — 50.

Количество дней для хранения очищенных вредоносных программ

CSP: DaysToRetainCleanedMalware

Этот параметр политики определяет количество дней, в течение которых элементы должны храниться в папке Карантин перед удалением.

  • Не настроено — параметр возвращается к системе по умолчанию. Элементы хранятся в папке карантина на неопределенный срок и не удаляются автоматически.
  • [0–90] — элементы удаляются из папки «Карантин» по истечении указанного количества дней.

Отключение полной проверки при перехвате

CSP: DisableCatchupFullScan

Этот параметр политики позволяет настроить догоняющий просмотр для запланированных полных проверок. Проверка наверстку — это проверка, которая инициируется из-за пропуска регулярно запланированной проверки. Обычно эти запланированные проверки пропускаются, так как компьютер был выключен в запланированное время.

  • Не настроено — параметр возвращается к системе по умолчанию.
  • Отключено — включена проверка наверх для запланированных полных проверок. Если компьютер находится в автономном режиме в течение двух последовательных запланированных проверок, проверка наверста начинается при следующем входе на компьютер. Если запланированная проверка не настроена, проверка наверста не выполняется.
  • Включено — проверка наверстки для запланированных полных проверок отключена.

Отключить быструю проверку при перехвате

CSP: DisableCatchupQuickScan

Этот параметр политики позволяет настроить проверку наверх для запланированных быстрых проверок. Проверка наверстку — это проверка, которая инициируется из-за пропуска регулярно запланированной проверки. Обычно эти запланированные проверки пропускаются, так как компьютер был выключен в запланированное время.

  • Не настроено — параметр возвращается к системе по умолчанию (включено сканирование наверх для запланированных быстрых проверок).
  • Отключено — включено сканирование наверх для запланированных быстрых проверок. Если компьютер находится в автономном режиме в течение двух последовательных запланированных проверок, проверка наверста начинается при следующем входе на компьютер. Если запланированная проверка не настроена, проверка наверста не выполняется.
  • Включено — проверка наверх для запланированных быстрых проверок отключена.

Включение низкого приоритета ЦП

CSP: EnableLowCPUPriority

Этот параметр политики позволяет включить или отключить низкий приоритет ЦП для запланированных проверок.

  • Не настроено — параметр возвращается к системному значению по умолчанию, что означает, что приоритет ЦП не изменяется для запланированных проверок.
  • Отключено — приоритет ЦП для запланированных проверок не изменяется.
  • Включено — во время запланированных проверок используется низкий приоритет ЦП.

Включение защиты сети

CSP: EnableNetworkProtection

Включите или отключите защиту сети Microsoft Defender Exploit Guard, чтобы предотвратить использование сотрудниками приложений для доступа к опасным доменам, в которых могут размещаться фишинговые аферы, сайты размещения эксплойтов и другое вредоносное содержимое в Интернете.

  • Не настроено — параметр возвращается к системе по умолчанию, то есть пользователям и приложениям не будет заблокировано подключение к опасным доменам.
  • Отключено — пользователям и приложениям не запрещено подключаться к опасным доменам.
  • Enabled(block mode) — пользователи и приложения не смогут получить доступ к опасным доменам. Это рекомендуемая конфигурация.
  • Включено (режим аудита) — пользователи и приложения могут подключаться к опасным доменам. Однако если эта функция заблокировала доступ, если задано значение Блокировать, запись события будет записываться в журналы событий.

Исключенные расширения

CSP: ExcludedExtensions

Позволяет администраторам указать список расширений файлов, которые следует игнорировать во время проверки. Дополнительные сведения о том, как можно определить эти исключения, см. в этой статье : Исключения на основе расширения файла и расположения папки

Исключенные пути

CSP: excludedPaths

Позволяет администраторам указать список путей к каталогам, которые следует игнорировать во время проверки. Дополнительные сведения о том, как можно определить эти исключения, см. в этой статье : Исключения на основе расширения файла и расположения папки

Исключенные процессы

CSP: ExcludedProcesses

Позволяет администраторам указать список файлов, которые процессы могут открывать без проверки. Дополнительные сведения о том, как можно определить эти исключения, см. в этой статье : Исключения на основе расширения файла и расположения папки

Примечание.

Если защита от незаконного изменения включена, исключения нельзя изменить и добавить новые исключения. Эти исключения должны соответствовать некоторым условиям , чтобы защита от незаконного изменения работала.

Важно!

Определение исключений снижает защиту, предоставляемую антивирусной программой Microsoft Defender. Важно тщательно оценивать риски, связанные с реализацией исключений, и создавать их на устройствах только там, где они необходимы. Если исключение не требуется на всех устройствах, используйте выделенный тип политики Microsoft Defender исключения антивирусной программы и назначьте политику только определенной группе устройств или пользователей, которым она требуется.

Защита от pua

CSP: PUAProtection

Включение или отключение обнаружения потенциально нежелательных приложений. Вы можете заблокировать, провести аудит или разрешить, если потенциально нежелательное программное обеспечение скачивается или пытается установить себя на компьютере.

  • Не настроено — параметр возвращается к системе по умолчанию, что означает, что потенциально нежелательное программное обеспечение не будет заблокировано.
  • Отключено — защита от НЕСАНКЦИОНИРОВАННОГО доступа отключена, что означает, что потенциально нежелательное программное обеспечение не будет заблокировано.
  • Блокировать — защита от puA включена, что означает, что потенциально нежелательное программное обеспечение блокируется. Это рекомендуемая конфигурация.
  • Режим аудита — потенциально нежелательное программное обеспечение не будет заблокировано. Однако если эта функция заблокировала доступ, если задано значение Блокировать, запись события будет записываться в журналы событий.

Направление сканирования в режиме реального времени

CSP: RealTimeScanDirection

Этот параметр политики позволяет настроить мониторинг входящих и исходящих файлов без полного отключения мониторинга. Рекомендуется использовать серверы с большим объемом активности файлов, где сканирование должно быть отключено для определенного направления для поддержания производительности. Соответствующая конфигурация должна оцениваться на основе роли сервера.

Эта конфигурация применима только к томам NTFS. Для любого другого типа файловой системы на этих томах будет применяться полный мониторинг активности файлов и программ.

  • Не настроено — параметр возвращает системное значение по умолчанию, то есть мониторинг входящих и исходящих файлов включен.
  • Мониторинг всех файлов (двунаправленный) — сканирование входящих и исходящих файлов (по умолчанию)
  • Мониторинг входящих файлов — только сканирование входящих файлов.
  • Мониторинг исходящих файлов — только сканирование исходящих файлов.

Параметр сканирования

CSP: ScanParameter

Этот параметр политики позволяет указать тип сканирования, используемый во время запланированной проверки. Этот параметр взаимодействует с параметрами Расписание дня проверки и Расписание времени проверки.

  • Не настроено — параметр возвращается к системе по умолчанию.
  • Быстрая проверка (по умолчанию) — Defender запускает запланированную быструю проверку.
  • Полная проверка — Defender запускает запланированную полную проверку.

Планирование времени быстрой проверки

CSP: ScheduleQuickScanTime

Этот параметр политики позволяет указать время суток, в течение которого выполняется ежедневная быстрая проверка. Значение времени представлено в виде количества минут за полночь. Этот параметр не взаимодействует с параметрами Параметр сканирования, Расписание дня проверки и Расписание времени сканирования.

  • Не настроено — параметр возвращается к системе по умолчанию, то есть ежедневная быстрая проверка, контролируемая этой конфигурацией, не будет выполняться.
  • [0–1380] — ежедневно выполняется быстрая проверка в указанное время суток.

Планирование дня проверки

CSP: ScheduleScanDay

Этот параметр политики позволяет указать день недели для выполнения запланированной проверки. Проверку также можно настроить так, чтобы она выполнялись каждый день или никогда не выполнялись вообще. Этот параметр взаимодействует с параметрами Параметр сканирования и Расписание сканирования.

  • Не настроено — параметр возвращается к системе по умолчанию.
  • Каждый день (по умолчанию) — запланированная проверка выполняется ежедневно.
  • Воскресенье/понедельник/вторник/среда/четверг/пятница/суббота — запланированное сканирование выполняется один раз в неделю в выбранный день.
  • Нет запланированной проверки — не выполняется запланированное сканирование.

Планирование времени сканирования

CSP: ScheduleScanTime

Этот параметр политики позволяет указать время суток для выполнения запланированной проверки. Время представляется в виде количества минут после полуночи, а по умолчанию — 120 минут (что соответствует 2:00). Этот параметр взаимодействует с параметрами Параметр сканирования и Расписание дня проверки.

  • Не настроено — параметр возвращает системное значение по умолчанию (запланированное сканирование выполняется по умолчанию).
  • [0–1380] — запланированное сканирование выполняется в указанное время суток.

Резервный порядок обновления подписи

CSP: SignatureUpdateFallbackOrder

Этот параметр политики позволяет указать порядок связи с различными источниками обновлений аналитики безопасности. Введите значение в виде строки, разделенной по каналу, со списком источников обновлений аналитики безопасности в нужном порядке. Возможные значения: InternalDefinitionUpdateServer, MicrosoftUpdateServer, MMPC и FileShares.

  • Не настроено — параметр возвращается к системе по умолчанию. Это означает, что с источниками обновлений аналитики безопасности обращаются в порядке по умолчанию.
  • Включено — источники обновлений аналитики безопасности связываются в указанном порядке.

Источники общих папок обновления подписи

CSP: SignatureUpdateFileSharesSources

Этот параметр политики позволяет настроить источники файлового ресурса UNC для скачивания обновлений аналитики безопасности. С источниками связываются в указанном порядке. Значение этого параметра должно быть введено в виде строки с разделителями по каналу, перечисляющей источники обновлений аналитики безопасности.

  • Не настроено — параметр возвращается к системе по умолчанию. Это означает, что список по умолчанию остается пустым, и к источникам не обращается.
  • Включено — с указанными источниками обращаются для получения обновлений аналитики безопасности.

Интервал обновления подписи

CSP: SignatureUpdateInterval

Этот параметр политики позволяет указать интервал, через который необходимо проверка для обновлений аналитики безопасности. Значение времени представляется в виде количества часов между проверками обновления. Значение по умолчанию — 8h.

  • Не настроено — параметр возвращается к системе по умолчанию. Это означает, что она проверяет наличие обновлений аналитики безопасности с интервалом по умолчанию.
  • [0–24] — проверки на наличие обновлений аналитики безопасности выполняются через указанный интервал. Рекомендуемое значение — 4.

CSP: SubmitSamplesConsent

Этот параметр политики настраивает поведение отправки примеров при настройке согласия на телеметрия MAPS.

  • Не настроено — параметр возвращает системное значение по умолчанию, которое заключается в автоматической отправке безопасных примеров.
  • Всегда запрашивать — перед отправкой файла пользователю всегда предлагается предоставить согласие.
  • Автоматическая отправка безопасных примеров . Безопасные примеры считаются не содержащими личные данные (например, .bat, SCR, .dll и .exe). Если файл, скорее всего, будет содержать личные данные, пользователь получает запрос на разрешение отправки примера файла.
  • Никогда не отправлять — предотвращает блокировку при первом появлении на основе анализа примера файла. Метаданные отправляются для обнаружения, даже если отправка примера отключена.
  • Отправка всех примеров автоматически — все примеры отправляются автоматически. Это рекомендуемая конфигурация.

Отключение локального Администратор слияния

CSP: DisableLocalAdminMerge

Если для этого значения задано значение "Нет", локальный администратор может указать некоторые параметры на своих устройствах с помощью приложения Безопасность Windows, локальных групповая политика параметров или командлетов PowerShell (при необходимости).

  • Не настроено — параметр возвращается к системе по умолчанию.
  • Включение слияния локальных администраторов (по умолчанию) — уникальные элементы, определенные в параметрах предпочтения, настроенных локальным администратором, объединяются в итоговую действующую политику. При наличии конфликтов параметры управления из Intune политики переопределяют параметры локальных предпочтений.
  • Отключить локальное слияние администратора . В итоговой действующей политике используются только элементы, определенные руководством. Управляемые параметры переопределяют параметры параметров, настроенные локальным администратором. Это рекомендуемая конфигурация.

Разрешить защиту доступа

CSP: AllowOnAccessProtection

Этот параметр политики позволяет настроить мониторинг активности файлов и программ.

  • Не настроено — параметр возвращается к системе по умолчанию, которая заключается в мониторинге активности файлов и программ, включена.
  • Разрешено — включен мониторинг файлов и программных действий.
  • Запрещено — мониторинг активности файлов и программ отключен.

Изменения этого параметра не применяются, если включена защита от незаконного изменения.

Действие по умолчанию для серьезности угроз

CSP: ThreatSeverityDefaultAction

Этот параметр политики позволяет настроить автоматическое исправление для каждого уровня оповещений об угрозах. В следующих списках содержатся допустимые действия по исправлению:

  • Не настроено — параметр возвращает системное значение по умолчанию, которое заключается в применении действия на основе определения обновления.
  • Очистка — служба пытается восстановить файлы и пытается дезинфицировать.
  • Карантин — перемещает файлы в карантин.
  • Удалить — удаляет файлы из системы.
  • Разрешить — включает файл и не выполняет другие действия.
  • Пользователь определен . Пользователь устройства принимает решение о том, какое действие следует предпринять.
  • Блокировать — блокирует выполнение файла.

Изменения этого параметра не применяются, если включена защита от незаконного изменения.

Разрешить защиту сети на нижнем уровне

CSP: AllowNetworkProtectionDownLevel

Этот параметр определяет, разрешено ли настроить защиту сети в режиме блокировки или аудита в нижнем уровневом режиме Windows RS3. Если значение равно false, значение EnableNetworkProtection игнорируется.

  • Не настроено — параметр возвращает системное значение по умолчанию, то есть защита сети отключена вниз по умолчанию.
  • Включено — защита сети включена по нижнему уровневу.
  • Отключено — защита сети отключена по нижнему плану.

Разрешить обработку datagram на Win Server

CSP: AllowDatagramProcessingOnWinServer

Этот параметр определяет, может ли защита сети включить обработку данных на Windows Server. Если задано значение false, значение DisableDatagramProcessing игнорируется, а проверка датаграмм отключена по умолчанию.

  • Не настроено — параметр возвращает системное значение по умолчанию, то есть обработка датаграмм на Windows Server отключена.
  • Включено — обработка данных на Windows Server включена.
  • Отключено — обработка данных на Windows Server отключена.

Отключение синтаксического анализа DNS через TCP

CSP: DisableDnsOverTcpParsing

Этот параметр отключает синтаксический анализ DNS через TCP для защиты сети.

  • Не настроено — параметр возвращает значение по умолчанию системы, то есть включено синтаксический анализ DNS через TCP.
  • Включено — синтаксический анализ DNS через TCP отключен.
  • Отключено — включено синтаксический анализ DNS через TCP.

Отключение синтаксического анализа HTTP

CSP: отключитьHttpParsing

Этот параметр отключает анализ HTTP для защиты сети.

  • Не настроено — параметр возвращает системное значение по умолчанию, то есть включено синтаксический анализ HTTP.
  • Включено — синтаксический анализ HTTP отключен.
  • Отключено — включено синтаксический анализ HTTP.

Отключение синтаксического анализа SSH

CSP: DisableSshParsing

Этот параметр отключает синтаксический анализ SSH для защиты сети.

  • Не настроено — параметр возвращается к системе по умолчанию (синтаксический анализ по протоколу SSH включен).
  • Включено — синтаксический анализ по протоколу SSH отключен.
  • Отключено — включено синтаксический анализ по протоколу SSH.

Отключение синтаксического анализа TLS

CSP: DisableTlsParsing

Этот параметр отключает синтаксический анализ TLS для защиты сети.

  • Не настроено — параметр возвращается к системе по умолчанию, то есть синтаксический анализ TLS включен.
  • Включено — синтаксический анализ TLS отключен.
  • Отключено — включено синтаксический анализ TLS.

Канал Обновления движка

CSP: EngineUpdatesChannel

Включите эту политику, чтобы указать, когда устройства получают обновления ядра Microsoft Defender во время ежемесячного постепенного развертывания.

  • Не настроено — параметр возвращается к системе по умолчанию, то есть устройство автоматически обновляется в течение цикла постепенного выпуска. Подходит для большинства устройств.
  • Канал бета-версии . Устройства, для которых задан этот канал, первыми получают новые обновления. Выберите Канал бета-версии, чтобы принять участие в выявлении проблем и сообщать о проблемах в корпорацию Майкрософт. Устройства в программе предварительной оценки Windows по умолчанию подписаны на этот канал. Для использования в (ручных) тестовых средах и ограниченном числе устройств.
  • Текущий канал (предварительная версия) — устройствам, заданным для этого канала, предлагаются самые ранние обновления в течение ежемесячного цикла постепенного выпуска. Рекомендуется для предварительных и проверочных сред.
  • Current Channel (Staged) — устройствам предлагаются обновления после ежемесячного цикла постепенного выпуска. Рекомендуется применять к небольшой, репрезентативной части производственного населения (~10%).
  • Текущий канал (широкий) — устройствам предлагаются обновления только после завершения цикла постепенного выпуска. Рекомендуется применять к широкому набору устройств в рабочей среде (~10–100%).
  • Критический — задержка по времени . Устройствам предлагаются обновления с задержкой в 48 часов. Рекомендуется только для критических сред.

Лимитное подключение Обновления

CSP: MeteredConnectionUpdates

Этот параметр позволяет управляемым устройствам обновляться через лимитные подключения.

  • Не настроено — параметр возвращает системное значение по умолчанию (не разрешено).
  • Разрешено — управляемые устройства обновляются с помощью лимитных подключений.
  • Не разрешено — управляемые устройства не обновляются через лимитные подключения.

Канал Обновления платформы

CSP: EngineUpdatesChannel

Включите эту политику, чтобы указать, когда устройства получают обновления Microsoft Defender платформы во время ежемесячного постепенного развертывания.

  • Не настроено — параметр возвращается к системе по умолчанию, то есть устройство автоматически обновляется в течение цикла постепенного выпуска. Подходит для большинства устройств.
  • Канал бета-версии . Устройства, заданные для этого канала, первыми получают новые обновления. Выберите Канал бета-версии, чтобы принять участие в выявлении проблем и сообщать о проблемах в корпорацию Майкрософт. Устройства в программе предварительной оценки Windows по умолчанию подписаны на этот канал. Для использования в (ручных) тестовых средах и ограниченном числе устройств.
  • Текущий канал (предварительная версия) — устройствам, заданным для этого канала, предлагаются самые ранние обновления в течение ежемесячного цикла постепенного выпуска. Рекомендуется для предварительных и проверочных сред.
  • Current Channel (Staged) — устройствам предлагаются обновления после ежемесячного цикла постепенного выпуска. Рекомендуется применять к небольшой, репрезентативной части производственного населения (~10%).
  • Текущий канал (широкий) — устройствам предлагаются обновления только после завершения цикла постепенного выпуска. Рекомендуется применять к широкому набору устройств в рабочей среде (~10–100%).
  • Критический — задержка по времени . Устройствам предлагаются обновления с задержкой в 48 часов. Рекомендуется только для критических сред.

Канал Обновления аналитики безопасности

CSP: SecurityIntelligenceUpdatesChannel

Включите эту политику, чтобы указать, когда устройства получают обновления Microsoft Defender аналитики безопасности во время ежедневного постепенного развертывания.

  • Не настроено . Корпорация Майкрософт назначит устройство current Channel (Broad) или бета-каналу в начале цикла постепенного выпуска. Канал, выбранный корпорацией Майкрософт, может быть каналом, который получает обновления на ранних этапах цикла постепенного выпуска, что может не подходить для устройств в рабочей или критической среде.
  • Текущий канал (промежуточный) — то же самое, что и текущий канал (широкий).
  • Текущий канал (широкий) — устройствам предлагаются обновления только после завершения цикла постепенного выпуска. Рекомендуется применять к широкому набору устройств во всех группах населения, включая производственные.

Рандомизация времени задачи расписания

CSP: RandomizeScheduleTaskTimes

В Microsoft Defender Антивирусная программа рандомизируйте время начала сканирования до любого интервала от 0 до 23 часов. Это может быть полезно для виртуальных машин или развертываний VDI.

  • Не настроено — параметр возвращается к системному значению по умолчанию (запланированные задачи выполняются случайным образом).
  • Расширение или сужение периода рандомизации для запланированных проверок. Укажите окно рандомизации от 1 до 23 часов с помощью параметра SchedulerRandomizationTime
  • Запланированные задачи не будут случайными

Время рандомизации планировщика

CSP: SchedulerRandomizationTime

Этот параметр позволяет настроить рандомизацию планировщика в часах. Интервал рандомизации — [1–23] часов.

  • Не настроено — параметр возвращается к системе по умолчанию (4 часа).
  • [1–23] — интервал случайности определяется значением, указанным в политике.

Отключение интеграции с ECS core Service

CSP: DisableCoreServiceECSIntegration

Отключите интеграцию ECS для основной службы Defender.

  • Не настроено — параметр возвращается к системе по умолчанию, то есть основная служба Defender использует ECS.
  • Базовая служба Defender будет использовать службу экспериментирования и конфигурации (ECS) для быстрой доставки критически важных исправлений для конкретной организации.
  • Базовая служба Defender перестает использовать службу экспериментирования и конфигурации (ECS). Исправления будут по-прежнему поставляться с помощью обновлений аналитики безопасности.

Отключение телеметрии основной службы

CSP: DisableCoreServiceTelemetry

Отключите телеметрия OneDsCollector для основной службы Defender.

  • Не настроено — параметр возвращается к системе по умолчанию, то есть базовая служба Defender использует платформу OneDsCollector.
  • Базовая служба Defender будет использовать платформу OneDsCollector для быстрого сбора данных телеметрии.
  • Базовая служба Defender перестает использовать платформу OneDsCollector для быстрого сбора данных телеметрии, что влияет на способность корпорации Майкрософт быстро распознавать и устранять проблемы с низкой производительностью, ложными срабатываниями и другими проблемами.

Совет

Нужна помощь? См. раздел Управление безопасностью конечных точек в Microsoft Intune.

Совет

Если вам нужны сведения об антивирусной программе для других платформ, см.:

Совет

Совет по производительности Из-за различных факторов антивирусная программа Microsoft Defender, как и другие антивирусные программы, может вызвать проблемы с производительностью на конечных точках устройств. В некоторых случаях для устранения этих проблем может потребоваться настроить производительность антивирусной программы Microsoft Defender. Анализатор производительности Корпорации Майкрософт — это средство командной строки PowerShell, которое помогает определить, какие файлы, пути к файлам, процессы и расширения файлов могут вызывать проблемы с производительностью. Вот некоторые примеры:

  • Основные пути, влияющие на время сканирования
  • Основные файлы, влияющие на время сканирования
  • Основные процессы, влияющие на время сканирования
  • Основные расширения файлов, влияющие на время сканирования
  • Сочетания— например:
    • top files per extension
    • верхние пути на расширение
    • top процессов на путь
    • большее число сканирований на файл
    • большее число сканирований на файл на каждый процесс

Сведения, собранные с помощью анализатора производительности, можно использовать для более эффективной оценки проблем с производительностью и применения действий по исправлению. См. статью Анализатор производительности для антивирусной Microsoft Defender.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.