Антивирусная политика для безопасности конечных точек в Intune
Intune политики антивирусной программы безопасности конечных точек могут помочь администраторам безопасности сосредоточиться на управлении дискретной группой параметров антивирусной программы для управляемых устройств.
Антивирусная политика включает несколько профилей. Каждый профиль содержит только параметры, относящиеся к Microsoft Defender для конечной точки антивирусной программы для устройств macOS и Windows или для взаимодействия с пользователем в приложении Безопасность Windows на устройствах Windows.
Политики антивирусной программы находятся в разделе Управление в узле Безопасность конечных точек Центра администрирования Microsoft Intune.
Политики антивирусной программы включают те же параметры, что и найденные шаблоны защиты конечных точек или шаблоны ограничений устройств для политики конфигурации устройств . Однако эти типы политик включают дополнительные категории параметров, которые не связаны с антивирусной программой. Дополнительные параметры могут усложнить задачу настройки рабочей нагрузки антивирусной программы. Кроме того, параметры, доступные в политике антивирусной программы для macOS, недоступны в других типах политик. Профиль антивирусной программы macOS заменяет необходимость настройки параметров с помощью .plist
файлов.
Применимо к:
- Linux
- macOS
- Windows 10
- Windows 11
- Windows Server (с помощью сценария управления параметрами безопасности Microsoft Defender для конечной точки)
Предварительные требования для политики антивирусной программы
Поддержка устройств, зарегистрированных Microsoft Intune (MDM):
macOS
- Любая поддерживаемая версия macOS
- Чтобы Intune управлять параметрами антивирусной программы на устройстве, на этом устройстве необходимо установить Microsoft Defender для конечной точки. Видеть. Microsoft Defender для конечной точки для macOS (в документации по Microsoft Defender для конечной точки)
Windows
- Никаких дополнительных предварительных требований не требуется.
Поддержка клиентов Configuration Manager:
Этот сценарий находится в предварительной версии и требует использования Configuration Manager текущей версии ветви 2006 или более поздней.
Настройка подключения клиента для устройств Configuration Manager. Чтобы поддерживать развертывание политики антивирусной защиты на устройствах, управляемых Configuration Manager, настройте подключение клиента. Настройка подключения клиента включает настройку Configuration Manager коллекций устройств для поддержки политик безопасности конечных точек из Intune.
Сведения о настройке подключения клиента см. в статье Настройка подключения клиента для поддержки политик защиты конечных точек.
Поддержка клиентов Microsoft Defender для конечной точки:
- Управление параметрами безопасности Defender для конечной точки. Чтобы настроить поддержку развертывания антивирусной политики на устройствах, управляемых Defender, но не зарегистрированных в Intune, см. статью Управление Microsoft Defender для конечной точки на устройствах с Microsoft Intune. В этой статье также содержатся сведения о платформах, поддерживаемых этой возможностью, а также о политиках и профилях, поддерживаемых этими платформами.
Управление доступом на основе ролей (RBAC)
Инструкции по назначению правильного уровня разрешений и прав для управления Intune антивирусной политики см. в статье Assign-role-based-access-controls-for-endpoint-security-policy.
Предварительные требования для защиты от незаконного изменения
Защита от незаконного изменения доступна для устройств под управлением одной из следующих операционных систем:
- macOS (любая поддерживаемая версия)
- Windows 10 и 11 (включая корпоративный многосеансовый режим)
- Windows Server версии 1803 или более поздней, Windows Server 2019, Windows Server 2022
- Windows Server 2012 R2 и Windows Server 2016 (с использованием современного унифицированного решения)
Примечание.
Устройства должны быть подключены к Microsoft Defender для конечной точки (P1 или P2). Устройства могут столкнуться с задержкой включения защиты от незаконного изменения, если ранее не подключались к Microsoft Defender для конечной точки. Защита от незаконного изменения будет включена на первом устройстве, проверка после подключения к Microsoft Defender для конечной точки.
Вы можете использовать Intune для управления защитой от незаконного изменения на устройствах Windows в рамках Безопасность Windows профиля взаимодействия (политика антивирусной программы). Сюда входят устройства, которыми вы управляете с помощью Intune, и устройства, которыми вы управляете с помощью Configuration Manager в сценарии подключения клиента. Защита от незаконного изменения теперь также доступна для Виртуального рабочего стола Azure.
Intune управляемых устройств
Предварительные требования для поддержки защиты от незаконного изменения для устройств, управляемых Intune:
- Ваша среда должна соответствовать предварительным требованиям для управления защитой от незаконного изменения с помощью Intune
- Устройства подключены к Microsoft Defender для конечной точки (P1 или P2)
Профили для политики антивирусной программы, которые поддерживают защиту от незаконного изменения для устройств, управляемых Microsoft Intune:
Платформа: Windows
- Профиль: интерфейс Безопасность Windows
Примечание.
Начиная с 5 апреля 2022 г. платформа Windows 10 и более поздних версий была заменена платформой Windows 10, Windows 11 и Windows Server, которая теперь называется более просто Windows.
Платформа Windows поддерживает устройства, взаимодействующие с Intune через Microsoft Intune или Microsoft Defender для конечной точки. Эти профили также добавляют поддержку платформы Windows Server, которая не поддерживается через Microsoft Intune в собственном коде.
Профили для этой новой платформы используют формат параметров, приведенный в каталоге параметров. Каждый новый шаблон профиля для этой новой платформы содержит те же параметры, что и старый шаблон профиля, который он заменяет. Благодаря этому изменению вы больше не сможете создавать новые версии старых профилей. Существующие экземпляры старого профиля остаются доступными для использования и редактирования.
Вы также можете использовать политику конфигурации endpoint protection для политики конфигурации устройств, чтобы настроить защиту от незаконного изменения для устройств, управляемых Intune.
Configuration Manager клиентов, управляемых с помощью сценария присоединения клиента
Необходимые условия для поддержки управления защитой от незаконного изменения с помощью следующих профилей:
- Ваша среда должна соответствовать предварительным требованиям для управления защитой от незаконного изменения с помощью Intune, как описано в документации по Windows.
- Необходимо использовать Configuration Manager current branch 2006 или более поздней версии.
- Необходимо настроить подключение клиента для поддержки политик защиты конечных точек. Сюда входит настройка Configuration Manager коллекций устройств для синхронизации с Intune.
- Устройства подключены к Microsoft Defender для конечной точки (P1 или P2)
Профили для политики антивирусной программы, которая поддерживает защиту от незаконного изменения для устройств, управляемых Configuration Manager:
- Платформа: Windows (ConfigMgr)
- Профиль: интерфейс Безопасность Windows (предварительная версия)
Профили антивирусной программы
Устройства, управляемые Microsoft Intune
Для устройств, которыми вы управляете с помощью Intune, поддерживаются следующие профили:
macOS
Платформа: macOS
Профиль: антивирусная программа — управление параметрами политики антивирусной программы для macOS.
При использовании Microsoft Defender для конечной точки для Mac можно настроить и развернуть параметры антивирусной программы на управляемых устройствах macOS с помощью Intune, а не с помощью
.plist
файлов.
Windows:
Платформа: Windows
Профили для этой платформы можно использовать с устройствами, зарегистрированными в Intune, и устройствами, управляемыми с помощью управления безопасностью для Microsoft Defender для конечной точки.Примечание.
Начиная с 5 апреля 2022 г. платформа Windows 10 и более поздних версий была заменена платформой Windows 10, Windows 11 и Windows Server, которая теперь называется более просто Windows.
Платформа Windows поддерживает устройства, взаимодействующие с Intune через Microsoft Intune или Microsoft Defender для конечной точки. Эти профили также добавляют поддержку платформы Windows Server, которая не поддерживается через Microsoft Intune в собственном коде.
Профили для этой новой платформы используют формат параметров, приведенный в каталоге параметров. Каждый новый шаблон профиля для этой новой платформы содержит те же параметры, что и старый шаблон профиля, который он заменяет. Благодаря этому изменению вы больше не сможете создавать новые версии старых профилей. Существующие экземпляры старого профиля остаются доступными для использования и редактирования.
Профиль: антивирусная программа Microsoft Defender— управление параметрами политики антивирусной программы для устройств Windows.
антивирусная программа Defender — это компонент защиты нового поколения Microsoft Defender для конечной точки. Защита нового поколения объединяет такие технологии, как машинное обучение и облачная инфраструктура, для защиты устройств в организации.
Профиль антивирусной программы Microsoft Defender — это отдельный экземпляр параметров антивирусной программы, которые находятся в профиле ограничения устройств для политики "Конфигурация устройств".
В отличие от параметров антивирусной программы в профиле ограничения устройств, эти параметры можно использовать на совместно управляемых устройствах. Чтобы использовать эти параметры, ползунок рабочей нагрузки совместного управления для Endpoint Protection должен иметь значение Intune.
Профиль: Microsoft Defender исключения антивирусной программы. Управление параметрами политики только для исключения антивирусной программы.
С помощью этой политики можно управлять параметрами для следующих Microsoft Defender поставщиков служб конфигурации антивирусной программы , которые определяют исключения антивирусной программы:
- Defender/ExcludedPaths
- Defender/ExcludedExtensions
- Defender/ExcludedProcesses
Эти CSP для исключения антивирусной программы также управляются политикой Microsoft Defender антивирусной программы, которая включает идентичные параметры для исключений. Параметры обоих типов политик (исключения антивирусной иантивирусной программ) подлежат слиянию политик и создают супер набор исключений для применимых устройств и пользователей.
Предупреждение
Определение исключений снижает защиту, предлагаемую антивирусной программой Microsoft Defender. Всегда оцените риски, связанные с реализацией исключений. Исключите только файлы, которые, как вы знаете, не являются вредоносными.
Дополнительные сведения см. в статье Обзор исключений в документации по Microsoft Defender.
Профиль: Безопасность Windows интерфейс. Управление параметрами приложения Безопасность Windows, которые пользователи могут просматривать в центре безопасности Microsoft Defender, а также получаемые уведомления.
Приложение безопасности Windows используется рядом функций безопасности Windows для предоставления уведомлений о работоспособности и безопасности компьютера. Уведомления приложений безопасности включают брандмауэры, антивирусные продукты, SmartScreen Защитника Windows и другие.
Профиль: элементы управления обновлением Defender. Управление параметрами обновления для Microsoft Defender, включая следующие параметры, которые принимаются непосредственно из CSP Defender:
Устройства, управляемые Configuration Manager
антивирусная программа
Управление параметрами антивирусной программы для Configuration Manager устройств при использовании подключения клиента.
Путь к политике:
- Антивирусная программа > для обеспечения безопасности > конечных точек Windows (ConfigMgr)
Профили:
- Антивирусная программа Microsoft Defender (предварительная версия)
- интерфейс Безопасность Windows (предварительная версия)
Требуемая версия Configuration Manager:
- Configuration Manager текущей версии ветви 2006 или более поздней
Поддерживаемые платформы устройств Configuration Manager:
- Windows 8.1 (x86, x64), начиная с Configuration Manager версии 2010
- Windows 10 и более поздних версий (x86, x64, ARM64)
- Windows 11 и более поздних версий (x86, x64, ARM64)
- Windows Server 2012 R2 (x64), начиная с Configuration Manager версии 2010
- Windows Server 2016 и более поздних версий (x64)
Важно!
22 октября 2022 г. Microsoft Intune прекратила поддержку устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.
Если в настоящее время вы используете Windows 8.1, перейдите на устройства Windows 10/11. В Microsoft Intune есть встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.
Слияние политик для параметров
Некоторые параметры политики антивирусной программы поддерживают слияние политик. Слияние политик помогает избежать конфликтов, если несколько политик применяются к одному устройству и настраивают один и тот же параметр. Intune оценивает параметры, поддерживаемые слиянием политик, для каждого пользователя или устройства в соответствии со всеми применимыми политиками. Затем эти параметры объединяются в один надмножество политики.
Например, вы создадите три отдельные политики антивирусной программы, которые определяют разные исключения пути к файлам антивирусной программы. В конечном итоге все три политики назначаются одному и тому же пользователю. Так как CSP исключения пути к файлу Microsoft Defender поддерживает слияние политик, Intune оценивает и объединяет исключения файлов из всех применимых политик для пользователя. Исключения добавляются в надмножество, а единый список исключений доставляется на устройство пользователей.
Если для параметра не поддерживается слияние политик, может возникнуть конфликт. Конфликты могут привести к тому, что пользователь или устройство не получают политику для параметра. Например, слияние политик не поддерживает CSP для предотвращения установки соответствующих идентификаторов устройств (PreventInstallationOfMatchingDeviceID). Конфигурации для этого CSP не объединяются и обрабатываются отдельно.
При отдельной обработке конфликты политик разрешаются следующим образом:
- Применяется наиболее безопасная политика.
- Если две политики одинаково безопасны, применяется последняя измененная политика.
- Если последней измененной политике не удается устранить конфликт, политика не будет доставлена на устройство.
Параметры и поставщики служб конфигурации, поддерживающие слияние политик
Следующие параметры поддерживают слияние политик:
- Исключенные процессы — CSP: Defender/ExcludedProcesses
- Исключенные расширения — CSP: Defender/ExcludedExtensions
- Исключенные пути — CSP: Defender/ExcludedPaths
Отчеты о политике антивирусной программы
В отчетах о политике антивирусной программы отображаются сведения о состоянии безопасности конечных точек Политики антивирусной программы и состояние устройства. Эти отчеты доступны в узле Безопасность конечных точек Центра администрирования Microsoft Intune.
Чтобы просмотреть отчеты, в Центре администрирования Microsoft Intune перейдите в раздел Безопасность конечных точек и выберите Антивирусная программа. При выборе антивирусной программы откроется страница Сводка. Дополнительные представления отчетов и состояния доступны в виде дополнительных страниц.
Помимо отчетов, описанных в следующих разделах, дополнительные отчеты для Microsoft Defender антивирусной программы находятся в узле Отчеты Центра администрирования Microsoft Intune, как описано в статье Отчеты Intune:
- Отчет о состоянии антивирусного агента (организационный)
- Отчет об обнаруженных вредоносных программах (организационный)
Сводка
На странице Сводка можно создать новые политики и просмотреть список ранее созданных политик. Список содержит общие сведения о профиле, который включает политика (тип политики), а также о том, назначена ли политика.
При выборе политики из списка откроется страница Обзор для этого экземпляра политики, на котором отображаются дополнительные сведения. После выбора плитки в этом представлении Intune отображаются дополнительные сведения для этого профиля, если они доступны.
Неработоспособные конечные точки
На странице Неработоспособные конечные точки можно просмотреть сведения о состоянии антивирусной программы на управляемых MDM устройствах Windows. Эти сведения возвращаются из антивирусная программа Defender Windows, которая выполняется на устройстве, как состояние агента угрозы. На этой странице выберите Столбцы , чтобы просмотреть полный список сведений, доступных в отчете.
В этом представлении отображаются только устройства с обнаруженными проблемами. В этом представлении не отображаются сведения об устройствах, которые определены как чистые.
Данные для этого отчета основаны на сведениях, которые можно получить от следующих CSP и которые описаны в документации по управлению клиентами Windows:
Дальнейшие действия
Настройка политик безопасности конечных точек
Просмотрите сведения о параметрах Windows в нерекомендуемых профилях для устаревшей платформы Windows 10 и более поздних версий: