Поделиться через


Поставщик служб CSP политики — Defender

AllowArchiveScanning

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/AllowArchiveScanning

Этот параметр политики позволяет настроить проверки вредоносных и нежелательных программ в архивных файлах, таких как . ZIP или . CAB-файлы.

  • Если этот параметр включен или не настроен, архивные файлы будут проверяться.

  • Если этот параметр отключен, архивные файлы не будут проверяться. Однако архивы всегда сканируются во время направленных проверок.

Примечание.

Изменения этого параметра не применяются, если включена защита от незаконного изменения .

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Не допускается. Отключает проверку архивных файлов.
1 (по умолчанию) Разрешено. Сканирует архивные файлы.

Сопоставление групповой политики:

Имя Значение
Имя Scan_DisableArchiveScanning
Понятное имя Проверять архивные файлы
Location Конфигурация компьютера
Путь Проверка компонентов > Windows Microsoft Defender антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Scan
Имя значения реестра DisableArchiveScanning
Имя файла ADMX WindowsDefender.admx

AllowBehaviorMonitoring

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/AllowBehaviorMonitoring

Этот параметр политики позволяет настроить мониторинг поведения.

  • Если этот параметр включен или не настроен, будет включен мониторинг поведения.

  • Если этот параметр отключен, мониторинг поведения будет отключен.

Примечание.

Изменения этого параметра не применяются, если включена защита от незаконного изменения .

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Не допускается. Отключает мониторинг поведения.
1 (по умолчанию) Разрешено. Включает мониторинг поведения в режиме реального времени.

Сопоставление групповой политики:

Имя Значение
Имя RealtimeProtection_DisableBehaviorMonitoring
Понятное имя Включить наблюдение за поведением
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender антивирусная > защита в режиме реального времени
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Real-Time Protection
Имя значения реестра DisableBehaviorMonitoring
Имя файла ADMX WindowsDefender.admx

AllowCloudProtection

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/AllowCloudProtection

Этот параметр политики позволяет присоединиться к Microsoft MAPS. Microsoft MAPS — это онлайн-сообщество, которое помогает вам выбрать способ реагирования на потенциальные угрозы. Сообщество также помогает остановить распространение новых вредоносных программных инфекций.

Вы можете отправить базовую или дополнительную информацию об обнаружении программного обеспечения. Дополнительные сведения помогут корпорации Майкрософт создать новую аналитику безопасности и помочь ей защитить компьютер. Эта информация может включать такие сведения, как расположение обнаруженных элементов на компьютере, если опасное программное обеспечение было удалено. Информация будет автоматически собираться и отправляться. В некоторых случаях личная информация может непреднамеренно отправляться в корпорацию Майкрософт. Однако корпорация Майкрософт не будет использовать эти сведения для идентификации вас или связи с вами.

Возможные варианты:

(0x0) Отключено (по умолчанию) (0x1) Базовое членство (0x2) Расширенное членство.

Базовое членство будет отправлять в корпорацию Майкрософт основную информацию об обнаружении программного обеспечения, в том числе о том, откуда поступило программное обеспечение, о действиях, которые вы применяете или которые применяются автоматически, а также о том, были ли выполнены эти действия.

Расширенное членство, помимо основных сведений, будет отправлять в корпорацию Майкрософт дополнительные сведения о вредоносных программах, шпионских программах и потенциально нежелательных программах, включая расположение программного обеспечения, имена файлов, принцип работы программного обеспечения и его влияние на ваш компьютер.

  • Если этот параметр включен, вы присоединитесь к Microsoft MAPS с указанным членством.

  • Если этот параметр отключен или не настроен, вы не будете присоединяться к Microsoft MAPS.

В Windows 10 членство уровня "Базовый" больше не доступно, поэтому при установке значения 1 или 2 устройство регистрируется в расширенном членстве.

Примечание.

Изменения этого параметра не применяются, если включена защита от незаконного изменения .

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Не допускается. Отключает службу Microsoft Active Protection.
1 (по умолчанию) Разрешено. Включает службу Microsoft Active Protection.

Сопоставление групповой политики:

Имя Значение
Имя SpynetReporting
Понятное имя Присоединиться к Microsoft MAPS
Имя элемента Присоединяйтесь к Microsoft MAPS.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender антивирусной программы > MAPS
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Spynet
Имя файла ADMX WindowsDefender.admx

AllowEmailScanning

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/AllowEmailScanning

Этот параметр политики позволяет настроить проверку электронной почты. Если сканирование электронной почты включено, подсистема анализирует почтовый ящик и почтовые файлы в соответствии с их определенным форматом, чтобы проанализировать тексты и вложения почты. В настоящее время поддерживается несколько форматов электронной почты, например: pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Email сканирование не поддерживается в современных почтовых клиентах.

  • Если этот параметр включен, проверка электронной почты будет включена.

  • Если этот параметр отключен или не настроен, проверка электронной почты будет отключена.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Не допускается. Отключает проверку электронной почты.
1 Разрешено. Включает проверку электронной почты.

Сопоставление групповой политики:

Имя Значение
Имя Scan_DisableEmailScanning
Понятное имя Включить проверку электронной почты
Location Конфигурация компьютера
Путь Проверка компонентов > Windows Microsoft Defender антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Scan
Имя значения реестра DisableEmailScanning
Имя файла ADMX WindowsDefender.admx

AllowFullScanOnMappedNetworkDrives

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanOnMappedNetworkDrives

Этот параметр политики позволяет настроить сканирование сопоставленных сетевых дисков.

  • Если этот параметр включен, будут проверяться сопоставленные сетевые диски.

  • Если этот параметр отключен или не настроен, сопоставленные сетевые диски не будут проверяться.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Не допускается. Отключает сканирование на сопоставленных сетевых дисках.
1 Разрешено. Сканирует сопоставленные сетевые диски.

Сопоставление групповой политики:

Имя Значение
Имя Scan_DisableScanningMappedNetworkDrivesForFullScan
Понятное имя Выполнять полную проверку на подключенных сетевых дисках
Location Конфигурация компьютера
Путь Проверка компонентов > Windows Microsoft Defender антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Scan
Имя значения реестра DisableScanningMappedNetworkDrivesForFullScan
Имя файла ADMX WindowsDefender.admx

AllowFullScanRemovableDriveScanning

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanRemovableDriveScanning

Этот параметр политики позволяет управлять тем, следует ли проверять наличие вредоносных и нежелательных программ в содержимом съемных дисков, таких как USB-устройства флэш-памяти, при выполнении полной проверки.

  • Если этот параметр включен, съемные диски будут проверяться во время проверки любого типа.

  • Если этот параметр отключен или не настроен, съемные диски не будут проверяться во время полной проверки. Съемные диски могут по-прежнему проверяться во время быстрой и пользовательской проверки.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Не допускается. Отключает сканирование на съемных дисках.
1 Разрешено. Проверяет съемные диски.

Сопоставление групповой политики:

Имя Значение
Имя Scan_DisableRemovableDriveScanning
Понятное имя Проверять съемные носители
Location Конфигурация компьютера
Путь Проверка компонентов > Windows Microsoft Defender антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Scan
Имя значения реестра DisableRemovableDriveScanning
Имя файла ADMX WindowsDefender.admx

AllowIntrusionPreventionSystem

Примечание.

Эта политика является устаревшей и может быть удалена в будущем выпуске.

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIntrusionPreventionSystem

Разрешает или запрещает функции защиты от вторжений в Защитнике Windows.

Примечание.

Изменения этого параметра не применяются, если включена защита от незаконного изменения .

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Не допускается.
1 (по умолчанию) Разрешено.

AllowIOAVProtection

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIOAVProtection

Этот параметр политики позволяет настроить проверку всех скачанных файлов и вложений.

  • Если этот параметр включен или не настроен, будет включена проверка на наличие всех скачанных файлов и вложений.

  • Если этот параметр отключен, проверка на наличие всех скачанных файлов и вложений будет отключена.

Примечание.

Изменения этого параметра не применяются, если включена защита от незаконного изменения .

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Не допускается.
1 (по умолчанию) Разрешено.

Сопоставление групповой политики:

Имя Значение
Имя RealtimeProtection_DisableIOAVProtection
Понятное имя Проверять все загруженные файлы и вложения
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender антивирусная > защита в режиме реального времени
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Real-Time Protection
Имя значения реестра DisableIOAVProtection
Имя файла ADMX WindowsDefender.admx

AllowOnAccessProtection

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/AllowOnAccessProtection

Этот параметр политики позволяет настроить мониторинг действий файлов и программ.

  • Если этот параметр включен или не настроен, будет включен мониторинг действий файлов и программ.

  • Если этот параметр отключен, мониторинг активности файлов и программ будет отключен.

Примечание.

Изменения этого параметра не применяются, если включена защита от незаконного изменения .

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Не допускается.
1 (по умолчанию) Разрешено.

Сопоставление групповой политики:

Имя Значение
Имя RealtimeProtection_DisableOnAccessProtection
Понятное имя Наблюдать за действиями файлов и программ на компьютере
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender антивирусная > защита в режиме реального времени
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Real-Time Protection
Имя значения реестра DisableOnAccessProtection
Имя файла ADMX WindowsDefender.admx

AllowRealtimeMonitoring

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/AllowRealtimeMonitoring

Разрешает или запрещает функции мониторинга в реальном времени в Защитнике Windows.

Примечание.

Изменения этого параметра не применяются, если включена защита от незаконного изменения .

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Не допускается. Отключает службу мониторинга в режиме реального времени.
1 (по умолчанию) Разрешено. Включает и запускает службу мониторинга в режиме реального времени.

Сопоставление групповой политики:

Имя Значение
Имя DisableRealtimeMonitoring
Понятное имя Отключить защиту в реальном времени
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender антивирусная > защита в режиме реального времени
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Real-Time Protection
Имя значения реестра DisableRealtimeMonitoring
Имя файла ADMX WindowsDefender.admx

AllowScanningNetworkFiles

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScanningNetworkFiles

Этот параметр политики позволяет настроить запланированные проверки и проверки по запросу (инициированные вручную) для файлов, доступ к которым выполняется по сети. Рекомендуется включить этот параметр.

Примечание.

Эта политика не влияет на проверку защиты в режиме реального времени (при доступе).

  • Если этот параметр включен или не настроен, будут проверяться сетевые файлы.
  • Если этот параметр отключен, сетевые файлы не будут проверяться.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Не допускается. Отключает сканирование сетевых файлов.
1 Разрешено. Сканирует сетевые файлы.

Сопоставление групповой политики:

Имя Значение
Имя Scan_DisableScanningNetworkFiles
Понятное имя Настройка сканирования сетевых файлов
Location Конфигурация компьютера
Путь Проверка компонентов > Windows Microsoft Defender антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Scan
Имя значения реестра DisableScanningNetworkFiles
Имя файла ADMX WindowsDefender.admx

AllowScriptScanning

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScriptScanning

Разрешает или запрещает функцию сканирования скриптов в Защитнике Windows.

Примечание.

Изменения этого параметра не применяются, если включена защита от незаконного изменения .

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Не допускается.
1 (по умолчанию) Разрешено.

AllowUserUIAccess

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/AllowUserUIAccess

Этот параметр политики позволяет настроить, следует ли отображать пользовательский интерфейс AM для пользователей.

Если этот параметр включен, пользовательский интерфейс AM будет недоступен для пользователей.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Не допускается. Запрещает пользователям доступ к пользовательскому интерфейсу.
1 (по умолчанию) Разрешено. Позволяет пользователям получать доступ к пользовательскому интерфейсу.

Сопоставление групповой политики:

Имя Значение
Имя UX_Configuration_UILockdown
Понятное имя Включить режим пользовательского интерфейса без монитора
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender клиентский интерфейс антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\UX Configuration
Имя значения реестра UILockdown
Имя файла ADMX WindowsDefender.admx

AttackSurfaceReductionOnlyExclusions

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Исключите файлы и пути из правил сокращения направлений атак (ASR).

Включен:

Укажите папки или файлы и ресурсы, которые должны быть исключены из правил ASR, в разделе Параметры.

Введите каждое правило в новой строке в виде пары "имя-значение":

  • Столбец имен. Введите путь к папке или полное имя ресурса. Например, "C:\Windows" исключит все файлы в этом каталоге. "C:\Windows\App.exe" исключит только этот конкретный файл в этой конкретной папке.
  • Столбец значений: введите "0" для каждого элемента.

Нетрудоспособный:

Исключения не будут применяться к правилам ASR.

Не настроено:

То же, что и Отключено.

Вы можете настроить правила ASR в параметре GP Configure Attack Surface Reduction rules (Настройка правил сокращения направлений атаки).

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: |)

Сопоставление групповой политики:

Имя Значение
Имя ExploitGuard_ASR_ASROnlyExclusions
Понятное имя Исключите файлы и пути из правил сокращения направлений атак
Имя элемента Исключения из правил ASR.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender Антивирусная > программа Microsoft Defender Сокращение направлений атак Exploit Guard >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Exploit Guard\ASR
Имя файла ADMX WindowsDefender.admx

AttackSurfaceReductionRules

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Задайте состояние для каждого правила сокращения направлений атаки (ASR).

После включения этого параметра в разделе Параметры для каждого правила можно задать следующее:

  • Блокировать: правило будет применено
  • Режим аудита: если правило обычно вызывает событие, оно будет записано (хотя правило на самом деле не применяется).
  • Выкл.: правило не будет применяться
  • Не настроено: правило включено со значениями по умолчанию
  • Предупреждение: правило будет применено, и у конечного пользователя будет возможность обойти блок.

Если правило ASR не отключено, для правил ASR собирается подсценка событий аудита со значением не настроено.

Включен:

Укажите состояние для каждого правила ASR в разделе Параметры для этого параметра.

Введите каждое правило в новой строке в виде пары "имя-значение":

  • Столбец имен. Введите допустимый идентификатор правила ASR.
  • Столбец значений. Введите идентификатор состояния, связанный с состоянием, которое требуется указать для связанного правила.

В столбце значения разрешены следующие идентификаторы состояния:

  • 1 (блок)
  • 0 (выкл.)
  • 2 (аудит)
  • 5 (не настроено)
  • 6 (предупреждение)

Пример.

xxxxxxxxx-xxxx-xxxx-xxxx-xxxx 0 xxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xxxxx-xxxxx

Нетрудоспособный:

Правила ASR не будут настроены.

Не настроено:

То же, что и Отключено.

Папки или файлы можно исключить в параметре групповой политики "Исключить файлы и пути из правил сокращения направлений атак".

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Сопоставление групповой политики:

Имя Значение
Имя ExploitGuard_ASR_Rules
Понятное имя Настройка правил сокращения направлений атаки
Имя элемента Задайте состояние для каждого правила ASR.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender Антивирусная > программа Microsoft Defender Сокращение направлений атак Exploit Guard >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Exploit Guard\ASR
Имя файла ADMX WindowsDefender.admx

AvgCPULoadFactor

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/AvgCPULoadFactor

Этот параметр политики позволяет настроить максимальный процент загрузки ЦП, разрешенный во время проверки. Допустимые значения для этого параметра — это процент, представленный целыми числами от 5 до 100. Значение 0 указывает, что регулирование использования ЦП не должно быть. Значение по умолчанию — 50.

  • Если этот параметр включен, загрузка ЦП не превысит указанное процентное значение.

  • Если этот параметр отключен или не настроен, загрузка ЦП не превысит значение по умолчанию.

Примечание.

Если включить обе следующие политики, Windows игнорирует значение AvgCPULoadFactor:

  • ScanOnlyIfIdle: указывает продукту проверять, только если компьютер не используется.
  • DisableCpuThrottleOnIdleScans: указывает продукту отключить регулирование ЦП при простоях сканирования.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-100]
Значение по умолчанию 50

Сопоставление групповой политики:

Имя Значение
Имя Scan_AvgCPULoadFactor
Понятное имя Задать максимальный процент использования ЦП во время проверки
Имя элемента Укажите максимальный процент загрузки ЦП во время сканирования.
Location Конфигурация компьютера
Путь Проверка компонентов > Windows Microsoft Defender антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Scan
Имя файла ADMX WindowsDefender.admx

CheckForSignaturesBeforeRunningScan

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Defender/CheckForSignaturesBeforeRunningScan

Этот параметр политики позволяет управлять тем, будет ли выполняться проверка для анализа безопасности новых вирусов и шпионских программ перед выполнением проверки.

Этот параметр применяется к запланированным проверкам, но он не влияет на проверки, инициированные вручную из пользовательского интерфейса, или на проверки, запущенные из командной строки с помощью mpcmdrun -Scan.

  • Если этот параметр включен, перед выполнением проверки будет выполняться проверка для новой аналитики безопасности.

  • Если этот параметр отключен или не настроен, проверка начнет использовать существующую аналитику безопасности.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Служба отключена.
1 Включено.

Сопоставление групповой политики:

Имя Значение
Имя CheckForSignaturesBeforeRunningScan
Понятное имя Проверьте наличие последних вирусов и шпионских программ безопасности перед выполнением запланированной проверки.
Location Конфигурация компьютера
Путь Проверка компонентов > Windows Microsoft Defender антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Scan
Имя файла ADMX WindowsDefender.admx

CloudBlockLevel

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/CloudBlockLevel

Этот параметр политики определяет, насколько агрессивными будут Microsoft Defender антивирусная программа при блокировке и сканировании подозрительных файлов.

Если этот параметр включен, антивирусная программа Microsoft Defender будет более агрессивной при обнаружении подозрительных файлов для блокировки и сканирования; в противном случае она будет менее агрессивной и, следовательно, блокировать и сканировать с меньшей частотой.

Дополнительные сведения о поддерживаемых значениях см. на сайте документации по антивирусной программе Microsoft Defender.

Примечание.

Для работы этой функции требуется включить параметр "Присоединиться к Microsoft MAPS".

Возможные варианты:

(0x0) Уровень блокировки антивирусной программы по умолчанию Microsoft Defender (0x1) Умеренный уровень блокировки антивирусной программы Microsoft Defender предоставляет вердикт только для обнаружения с высоким уровнем достоверности (0x2) Высокий уровень блокировки — агрессивно блокируют неизвестные при оптимизации производительности клиента (больше вероятность ложноположительных результатов) (0x4) Высокий уровень блокировки — агрессивно блокируют неизвестные и применяют дополнительную защиту. меры (может повлиять на производительность клиента) (0x6) Уровень блокировки нулевой допустимости — блокировка всех неизвестных исполняемых файлов.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) NotConfigured.
2 Высокий.
4 HighPlus.
6 ZeroTolerance.

Сопоставление групповой политики:

Имя Значение
Имя MpEngine_MpCloudBlockLevel
Понятное имя Выбор уровня защиты в облаке
Имя элемента Выберите уровень блокировки облака.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender Антивирусная программа > MpEngine
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\MpEngine
Имя файла ADMX WindowsDefender.admx

CloudExtendedTimeout

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/CloudExtendedTimeout

Эта функция позволяет Microsoft Defender антивирусной программе блокировать подозрительный файл на срок до 60 секунд и сканировать его в облаке, чтобы убедиться, что он в безопасности.

Обычное время ожидания облачного проверка составляет 10 секунд. Чтобы включить функцию расширенного облачного проверка, укажите дополнительное время в секундах, до дополнительных 50 секунд.

Например, если требуемое время ожидания равно 60 секундам, укажите в этом параметре 50 секунд, что позволит включить функцию расширенного облачного проверка и увеличить общее время до 60 секунд.

Примечание.

Эта функция зависит от трех других параметров MAPS: "Настройка функции "Блокировать при первом взгляде"; " Присоединиться к Microsoft MAPS"; "Отправлять примеры файлов, когда требуется дальнейший анализ", все необходимо включить.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-50]
Значение по умолчанию 0

Сопоставление групповой политики:

Имя Значение
Имя MpEngine_MpBafsExtendedTimeout
Понятное имя Настройка расширенной проверки облака
Имя элемента Укажите время расширенного облачного проверка в секундах.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender Антивирусная программа > MpEngine
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\MpEngine
Имя файла ADMX WindowsDefender.admx

ControlledFolderAccessAllowedApplications

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications

Добавьте дополнительные приложения, которые должны считаться доверенными при управляемом доступе к папкам.

Этим приложениям разрешено изменять или удалять файлы в управляемых папках доступа к папкам.

Microsoft Defender антивирусная программа автоматически определяет, каким приложениям следует доверять. Этот параметр можно настроить для добавления дополнительных приложений.

Включен:

Укажите дополнительные разрешенные приложения в разделе Параметры.

Нетрудоспособный:

Дополнительные приложения не будут добавлены в список доверенных.

Не настроено:

То же, что и Отключено.

Вы можете включить управляемый доступ к папкам в параметре GP Настройка управляемого доступа к папкам.

Системные папки по умолчанию автоматически защищаются, но вы можете добавить папки в параметре настроить защищенные папки GP.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: |)

Сопоставление групповой политики:

Имя Значение
Имя ExploitGuard_ControlledFolderAccess_AllowedApplications
Понятное имя Настройка разрешенных приложений
Имя элемента Введите приложения, которые должны быть доверенными.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender антивирусной > программы Microsoft Defender доступ к папкам с управляемым эксплойтом Guard >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access
Имя файла ADMX WindowsDefender.admx

ControlledFolderAccessProtectedFolders

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessProtectedFolders

Укажите дополнительные папки, которые должны быть защищены с помощью функции управляемого доступа к папкам.

Файлы в этих папках не могут быть изменены или удалены ненадежными приложениями.

Системные папки по умолчанию автоматически защищаются. Этот параметр можно настроить для добавления дополнительных папок.

Список системных папок по умолчанию, которые защищены, отображается в Безопасность Windows.

Включен:

Укажите дополнительные папки, которые должны быть защищены, в разделе Параметры.

Нетрудоспособный:

Дополнительные папки не будут защищены.

Не настроено:

То же, что и Отключено.

Вы можете включить управляемый доступ к папкам в параметре GP Настройка управляемого доступа к папкам.

Microsoft Defender антивирусная программа автоматически определяет, каким приложениям можно доверять. Вы можете добавить дополнительные доверенные приложения в параметре Настройка разрешенных приложений групповой политики.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: |)

Сопоставление групповой политики:

Имя Значение
Имя ExploitGuard_ControlledFolderAccess_ProtectedFolders
Понятное имя Настройка защищенных папок
Имя элемента Введите папки, которые должны быть защищены.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender антивирусной > программы Microsoft Defender доступ к папкам с управляемым эксплойтом Guard >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access
Имя файла ADMX WindowsDefender.admx

DaysToRetainCleanedMalware

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/DaysToRetainCleanedMalware

Этот параметр политики определяет количество дней, в течение которых элементы должны храниться в папке Карантин перед удалением.

  • Если этот параметр включен, элементы будут удалены из папки Карантин по истечении указанного количества дней.

  • Если этот параметр отключен или не настроен, элементы будут храниться в папке карантина на неопределенный срок и не будут автоматически удалены.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-90]
Значение по умолчанию 0

Сопоставление групповой политики:

Имя Значение
Имя Quarantine_PurgeItemsAfterDelay
Понятное имя Настроить удаление элементов из папки "Карантин"
Имя элемента Настройте удаление элементов из папки карантина.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender карантин антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Quarantine
Имя файла ADMX WindowsDefender.admx

DisableCatchupFullScan

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupFullScan

Этот параметр политики позволяет настроить догоняющий просмотр для запланированных полных проверок. Проверка наверстку — это проверка, которая инициируется из-за пропуска регулярно запланированной проверки. Обычно эти запланированные проверки пропускаются, так как компьютер был выключен в запланированное время.

  • Если этот параметр отключен или не настроен, проверка наверстает на наличие запланированных полных проверок. Если компьютер находится в автономном режиме для двух последовательных запланированных проверок, проверка наверста запускается при следующем входе на компьютер. Если запланированное сканирование не настроено, проверка наверста не будет выполнена.

  • Если этот параметр включен, проверки на догоня для запланированных полных проверок будут отключены.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Включено.
1 (по умолчанию) Служба отключена.

Сопоставление групповой политики:

Имя Значение
Имя Scan_DisableCatchupFullScan
Понятное имя Включение полной проверки наверстку
Location Конфигурация компьютера
Путь Проверка компонентов > Windows Microsoft Defender антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Scan
Имя файла ADMX WindowsDefender.admx

DisableCatchupQuickScan

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupQuickScan

Этот параметр политики позволяет настроить проверку наверх для запланированных быстрых проверок. Проверка наверстку — это проверка, которая инициируется из-за пропуска регулярно запланированной проверки. Обычно эти запланированные проверки пропускаются, так как компьютер был выключен в запланированное время.

  • Если вы отключите или не настроите этот параметр, проверка наверстку для запланированных быстрых проверок будет включена. Если компьютер находится в автономном режиме для двух последовательных запланированных проверок, проверка наверста запускается при следующем входе на компьютер. Если запланированное сканирование не настроено, проверка наверста не будет выполнена.

  • Если этот параметр включен, проверка наверх для запланированных быстрых проверок будет отключена.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Включено.
1 (по умолчанию) Служба отключена.

Сопоставление групповой политики:

Имя Значение
Имя Scan_DisableCatchupQuickScan
Понятное имя Включение быстрой проверки наверстку
Location Конфигурация компьютера
Путь Проверка компонентов > Windows Microsoft Defender антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Scan
Имя файла ADMX WindowsDefender.admx

EnableControlledFolderAccess

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/EnableControlledFolderAccess

Включение или отключение управляемого доступа к папкам для ненадежных приложений. Вы можете заблокировать, провести аудит или разрешить попытки со стороны ненадежных приложений:

  • Изменение или удаление файлов в защищенных папках, таких как папка "Документы"
  • Запись в секторы диска.

Вы также можете блокировать или аудит записи в секторы диска, разрешая при этом изменение или удаление файлов в защищенных папках.

Microsoft Defender антивирусная программа автоматически определяет, каким приложениям можно доверять. Вы можете добавить дополнительные доверенные приложения в параметре Настройка разрешенных приложений групповой политики.

Системные папки по умолчанию автоматически защищаются, но вы можете добавить папки в параметр Настроить защищенные папки групповой политики.

Блок:

Следующие действия будут заблокированы:

  • Попытки ненадежных приложений изменить или удалить файлы в защищенных папках
  • Попытки ненадежных приложений выполнить запись в секторы диска.

Журнал событий Windows будет записывать эти блоки в разделе Журналы > приложений и служб Microsoft > Windows > Defender > Операционный > идентификатор 1123.

Нетрудоспособный:

Следующие действия не будут заблокированы и будут разрешены к выполнению:

  • Попытки ненадежных приложений изменить или удалить файлы в защищенных папках
  • Попытки ненадежных приложений выполнить запись в секторы диска.

Эти попытки не записываются в журнал событий Windows.

Режим аудита:

Следующие действия не будут заблокированы и будут разрешены к выполнению:

  • Попытки ненадежных приложений изменить или удалить файлы в защищенных папках
  • Попытки ненадежных приложений выполнить запись в секторы диска.

Журнал событий Windows запишет эти попытки в разделе Журналы > приложений и служб Microsoft > Windows > Defender > Операционный > идентификатор 1124.

Только блокировать изменение диска:

Следующие действия будут заблокированы:

  • Попытки ненадежных приложений выполнить запись в секторы диска.

Журнал событий Windows запишет эти попытки в разделе Журналы > приложений и служб Microsoft > Windows > Defender > Операционный > идентификатор 1123.

Следующие действия не будут заблокированы и будут разрешены к выполнению:

  • Попытки ненадежных приложений изменить или удалить файлы в защищенных папках.

Эти попытки не записываются в журнал событий Windows.

Аудит только изменения диска:

Следующие действия не будут заблокированы и будут разрешены к выполнению:

  • Попытки ненадежных приложений записывать данные в секторы диска
  • Попытки ненадежных приложений изменить или удалить файлы в защищенных папках.

В журнале событий Windows будут записываться только попытки записи в секторы защищенного диска (в разделе Журналы > приложений и служб Microsoft > Windows > Defender > Operational > ID 1124).

Попытки изменения или удаления файлов в защищенных папках не записываются.

Не настроено:

То же, что и Отключено.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Служба отключена.
1 Включено.
2 Режим аудита.
3 Блокировать только изменение диска.
4 Аудит только изменения диска.

Сопоставление групповой политики:

Имя Значение
Имя ExploitGuard_ControlledFolderAccess_EnableControlledFolderAccess
Понятное имя Настройка управляемого доступа к папкам
Имя элемента Настройте функцию защиты папок.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender антивирусной > программы Microsoft Defender доступ к папкам с управляемым эксплойтом Guard >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access
Имя файла ADMX WindowsDefender.admx

EnableLowCPUPriority

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Defender/EnableLowCPUPriority

Этот параметр политики позволяет включить или отключить низкий приоритет ЦП для запланированных проверок.

  • Если этот параметр включен, во время запланированных проверок будет использоваться низкий приоритет ЦП.

  • Если этот параметр отключен или не настроен, приоритет ЦП для запланированных проверок вноситься не будет.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Служба отключена.
1 Включено.

Сопоставление групповой политики:

Имя Значение
Имя Scan_LowCpuPriority
Понятное имя Настройка низкого приоритета ЦП для запланированных проверок
Location Конфигурация компьютера
Путь Проверка компонентов > Windows Microsoft Defender антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Scan
Имя файла ADMX WindowsDefender.admx

EnableNetworkProtection

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/EnableNetworkProtection

Включите или отключите защиту сети Microsoft Defender Exploit Guard, чтобы предотвратить использование сотрудниками любого приложения для доступа к опасным доменам, в которых могут размещаться фишинговые аферы, сайты размещения эксплойтов и другое вредоносное содержимое в Интернете.

Включен:

Укажите режим в разделе Параметры:

-Block: пользователи и приложения не смогут получить доступ к опасным доменам . Режим аудита: пользователи и приложения могут подключаться к опасным доменам, однако если эта функция заблокировала бы доступ, если бы она была настроена на Блокировать, запись события будет находиться в журналах событий.

Нетрудоспособный:

Пользователям и приложениям не будет запрещено подключаться к опасным доменам.

Не настроено:

То же, что и Отключено.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Служба отключена.
1 Включено (блочный режим).
2 Включено (режим аудита).

Сопоставление групповой политики:

Имя Значение
Имя ExploitGuard_EnableNetworkProtection
Понятное имя Запрет доступа пользователей и приложений к опасным веб-сайтам
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender Антивирусная > защита Microsoft Defender Exploit Guard >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Exploit Guard\Network Protection
Имя файла ADMX WindowsDefender.admx

ExcludedExtensions

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedExtensions

Позволяет администратору указать список расширений типов файлов, которые следует игнорировать во время проверки. Каждый тип файлов в списке должен быть разделен |. Например, lib|obj.

Примечание.

Чтобы предотвратить несанкционированные изменения исключений, примените защиту от незаконного изменения. Защита от незаконного изменения для исключений работает только при соблюдении определенных условий .

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: |)

Сопоставление групповой политики:

Имя Значение
Имя Exclusions_Extensions
Понятное имя Исключения расширений
Имя элемента Исключения расширений.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender исключения антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Exclusions
Имя файла ADMX WindowsDefender.admx

ExcludedPaths

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedPaths

Позволяет администратору указать список путей к каталогам, которые следует игнорировать во время проверки. Каждый путь в списке должен быть разделен |. Например, C:\Example|C:\Example1.

Примечание.

Чтобы предотвратить несанкционированные изменения исключений, примените защиту от незаконного изменения. Защита от незаконного изменения для исключений работает только при соблюдении определенных условий .

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: |)

Сопоставление групповой политики:

Имя Значение
Имя Exclusions_Paths
Понятное имя Исключения пути
Имя элемента Исключения путей.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender исключения антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Exclusions
Имя файла ADMX WindowsDefender.admx

ExcludedProcesses

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedProcesses

Позволяет администратору указать список файлов, открытых процессами, которые следует игнорировать во время проверки.

Важно.

Сам процесс не исключается из сканирования, но может быть исключен с помощью политики Defender/ExcludeedPaths. Каждый тип файла должен быть разделен |. Например, C:\Example. exe|C:\Example1.exe.

Примечание.

Чтобы предотвратить несанкционированные изменения исключений, примените защиту от незаконного изменения. Защита от незаконного изменения для исключений работает только при соблюдении определенных условий .

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: |)

Сопоставление групповой политики:

Имя Значение
Имя Exclusions_Processes
Понятное имя Исключения процессов
Имя элемента Исключения обработки.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender исключения антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Exclusions
Имя файла ADMX WindowsDefender.admx

PUAProtection

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/PUAProtection

Включение или отключение обнаружения потенциально нежелательных приложений. Вы можете заблокировать, провести аудит или разрешить, если потенциально нежелательное программное обеспечение скачивается или пытается установить себя на компьютере.

Включен:

Укажите режим в разделе Параметры:

-Block: потенциально нежелательное программное обеспечение будет заблокировано.

Режим аудита: потенциально нежелательное программное обеспечение не будет заблокировано, однако если эта функция заблокировала бы доступ, если бы она была настроена на Блокировать, то запись события будет находиться в журналах событий.

Нетрудоспособный:

Потенциально нежелательное программное обеспечение не будет заблокировано.

Не настроено:

То же, что и Отключено.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Защита от pua отключена. Защитник Windows не защищает от потенциально нежелательных приложений.
1 Защита от pua включено. Обнаруженные элементы блокируются. Они будут отображаться в истории вместе с другими угрозами.
2 Режим аудита. Защитник Windows будет обнаруживать потенциально нежелательные приложения, но не предпринимать никаких действий. Вы можете просмотреть сведения о приложениях, с которыми Защитник Windows выполнил бы действия, выполнив поиск событий, созданных Защитником Windows в Просмотр событий.

Сопоставление групповой политики:

Имя Значение
Имя Root_PUAProtection
Понятное имя Настройка обнаружения для потенциально нежелательных приложений
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender антивирусная программа
Имя раздела реестра Software\Policies\Microsoft\Windows Defender
Имя файла ADMX WindowsDefender.admx

RealTimeScanDirection

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/RealTimeScanDirection

Этот параметр политики позволяет настроить мониторинг входящих и исходящих файлов без необходимости полностью отключать мониторинг. Его рекомендуется использовать на серверах, где выполняется много операций с входящими и исходящими файлами, но для повышения производительности необходимо отключить сканирование для определенного направления сканирования. Соответствующая конфигурация должна оцениваться на основе роли сервера.

Обратите внимание, что эта конфигурация учитывается только для томов NTFS. Для любого другого типа файловой системы на этих томах будет присутствовать полный мониторинг активности файлов и программ.

Параметры этого параметра являются взаимоисключающими:

0 = сканирование входящих и исходящих файлов (по умолчанию) 1 = сканирование только входящих файлов 2 = сканирование только исходящих файлов.

Любое другое значение или, если значение не существует, разрешается в значение по умолчанию (0).

  • Если этот параметр включен, будет включен указанный тип мониторинга.

  • Если этот параметр отключен или не настроен, будет включен мониторинг входящих и исходящих файлов.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Мониторинг всех файлов (двунаправленный).
1 Мониторинг входящих файлов.
2 Мониторинг исходящих файлов.

Сопоставление групповой политики:

Имя Значение
Имя RealtimeProtection_RealtimeScanDirection
Понятное имя Настроить отслеживание активности входящих и исходящих файлов и программ
Имя элемента Настройте мониторинг входящих и исходящих файлов и действий программ.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender антивирусная > защита в режиме реального времени
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Real-Time Protection
Имя файла ADMX WindowsDefender.admx

ScanParameter

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/ScanParameter

Этот параметр политики позволяет указать тип сканирования, используемый во время запланированной проверки. Параметры типа сканирования:

1 = быстрая проверка (по умолчанию) 2 = полная проверка.

  • Если этот параметр включен, для типа сканирования будет задано указанное значение.

  • Если этот параметр отключен или не настроен, будет использоваться тип сканирования по умолчанию.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
1 (по умолчанию) Быстрая проверка.
2 Полная проверка.

Сопоставление групповой политики:

Имя Значение
Имя Scan_ScanParameters
Понятное имя Укажите тип проверки для запланированной проверки
Имя элемента Укажите тип сканирования, используемый для запланированной проверки.
Location Конфигурация компьютера
Путь Проверка компонентов > Windows Microsoft Defender антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Scan
Имя файла ADMX WindowsDefender.admx

ScheduleQuickScanTime

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleQuickScanTime

Этот параметр политики позволяет указать время суток, в течение которого выполняется ежедневная быстрая проверка. Значение времени представляется в виде количества минут после полуночи (00:00). Например, 120 (0x78) эквивалентно 02:00. По умолчанию для этого параметра задано значение Отключено. Расписание основано на местном времени на компьютере, где выполняется сканирование.

  • Если этот параметр включен, в указанное время будет выполняться ежедневная быстрая проверка.

  • Если этот параметр отключен или не настроен, ежедневная быстрая проверка, контролируемая этой конфигурацией, не будет выполняться.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-1380]
Значение по умолчанию 120

Сопоставление групповой политики:

Имя Значение
Имя Scan_ScheduleQuickScantime
Понятное имя Задать время для ежедневной быстрой проверки
Имя элемента Укажите время для ежедневной быстрой проверки.
Location Конфигурация компьютера
Путь Проверка компонентов > Windows Microsoft Defender антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Scan
Имя файла ADMX WindowsDefender.admx

ScheduleScanDay

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanDay

Этот параметр политики позволяет указать день недели, в который будет выполняться запланированное сканирование. Проверку также можно настроить так, чтобы она выполнялись каждый день или никогда не выполнялись вообще.

Этот параметр можно настроить со следующими порядковыми значениями:

(0x0) Каждый день (0x1) воскресенье (0x2) понедельник (0x3) вторник (0x4) среда (0x5) четверг (0x6) пятница (0x7) суббота (0x8) Никогда (по умолчанию)

  • Если этот параметр включен, запланированная проверка будет выполняться с указанной частотой.

  • Если этот параметр отключен или не настроен, запланированная проверка будет выполняться с частотой по умолчанию.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Каждый день.
1 Воскресенье.
2 Понедельник.
3 Вторник.
4 Среда.
5 Четверг.
6 Пятница.
7 Суббота.
8 Запланированное сканирование отсутствует.

Сопоставление групповой политики:

Имя Значение
Имя Scan_ScheduleDay
Понятное имя Задать день недели для запуска запланированной проверки
Имя элемента Укажите день недели для выполнения запланированной проверки.
Location Конфигурация компьютера
Путь Проверка компонентов > Windows Microsoft Defender антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Scan
Имя файла ADMX WindowsDefender.admx

ScheduleScanTime

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanTime

Этот параметр политики позволяет указать время суток для выполнения запланированной проверки. Значение времени представляется в виде количества минут после полуночи (00:00). Например, 120 (0x78) эквивалентно 02:00. По умолчанию для этого параметра задано значение времени 2:00. Расписание основано на местном времени на компьютере, где выполняется сканирование.

  • Если этот параметр включен, запланированная проверка будет выполняться в указанное время суток.

  • Если этот параметр отключен или не настроен, запланированная проверка будет выполняться по умолчанию.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-1380]
Значение по умолчанию 120

Сопоставление групповой политики:

Имя Значение
Имя Scan_ScheduleTime
Понятное имя Задать время дня для запуска запланированной проверки
Имя элемента Укажите время суток для выполнения запланированной проверки.
Location Конфигурация компьютера
Путь Проверка компонентов > Windows Microsoft Defender антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Scan
Имя файла ADMX WindowsDefender.admx

SecurityIntelligenceLocation

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1903 [10.0.18362] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/SecurityIntelligenceLocation

Этот параметр политики позволяет определить расположение аналитики безопасности для компьютеров, настроенных VDI.

Если этот параметр отключен или не настроен, аналитика безопасности будет ссылаться из локального источника по умолчанию.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Сопоставление групповой политики:

Имя Значение
Имя SignatureUpdate_SharedSignaturesLocation
Понятное имя Определение расположения аналитики безопасности для клиентов VDI.
Имя элемента Определите общую папку для скачивания обновлений аналитики безопасности в виртуальных средах.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender Обновления аналитики безопасности антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Signature Обновления
Имя файла ADMX WindowsDefender.admx

SignatureUpdateFallbackOrder

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder

Этот параметр политики позволяет определить порядок связи с различными источниками обновлений аналитики безопасности. Значение этого параметра должно быть введено в виде разделенной по каналу строки, перечисляющей источники обновлений аналитики безопасности по порядку. Возможные значения: InternalDefinitionUpdateServer, MicrosoftUpdateServer, MMPC и FileShares.

Например: { InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC }

  • Если этот параметр включен, с источниками обновлений аналитики безопасности будут обращаться в указанном порядке. После успешного скачивания обновлений аналитики безопасности из одного указанного источника с остальными источниками в списке не будет связываться.

  • Если этот параметр отключен или не настроен, источники обновлений аналитики безопасности будут обращаться в порядке по умолчанию.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: |)

Сопоставление групповой политики:

Имя Значение
Имя SignatureUpdate_FallbackOrder
Понятное имя Определение порядка источников для скачивания обновлений аналитики безопасности
Имя элемента Определите порядок источников для скачивания обновлений аналитики безопасности.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender Обновления аналитики безопасности антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Signature Обновления
Имя файла ADMX WindowsDefender.admx

SignatureUpdateFileSharesSources

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFileSharesSources

Этот параметр политики позволяет настроить источники файлового ресурса UNC для скачивания обновлений аналитики безопасности. Связь с источниками будет осуществляться в указанном порядке. Значение этого параметра должно быть введено в виде строки с разделителями по каналу, перечисляющей источники обновлений аналитики безопасности. Например: "{\\unc1 | \\unc2 }". Список по умолчанию пуст.

  • Если этот параметр включен, с указанными источниками будут обращаться для получения обновлений аналитики безопасности. После успешного скачивания обновлений аналитики безопасности из одного указанного источника с остальными источниками в списке не будет связываться.

  • Если этот параметр отключен или не настроен, список по умолчанию останется пустым и с источниками не будет обращаться.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: |)

Сопоставление групповой политики:

Имя Значение
Имя SignatureUpdate_DefinitionUpdateFileSharesSources
Понятное имя Определение общих папок для скачивания обновлений аналитики безопасности
Имя элемента Определение общих папок для скачивания обновлений аналитики безопасности.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender Обновления аналитики безопасности антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Signature Обновления
Имя файла ADMX WindowsDefender.admx

SignatureUpdateInterval

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateInterval

Этот параметр политики позволяет указать интервал, через который необходимо проверка для обновлений аналитики безопасности. Значение времени представляется в виде количества часов между проверками обновления. Допустимые значения варьируются от 1 (каждый час) до 24 (один раз в день).

  • Если этот параметр включен, проверки наличия обновлений аналитики безопасности будут выполняться через указанный интервал.

  • Если этот параметр отключен или не настроен, проверки на наличие обновлений аналитики безопасности будут выполняться через интервал по умолчанию.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-24]
Значение по умолчанию 8

Сопоставление групповой политики:

Имя Значение
Имя SignatureUpdate_SignatureUpdateInterval
Понятное имя Укажите интервал проверка для обновлений аналитики безопасности
Имя элемента Укажите интервал проверка для обновлений аналитики безопасности.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender Обновления аналитики безопасности антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Signature Обновления
Имя файла ADMX WindowsDefender.admx

SubmitSamplesConsent

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/SubmitSamplesConsent

Этот параметр политики настраивает поведение отправки примеров при настройке согласия на телеметрия MAPS.

Возможные варианты:

(0x0) Всегда запрашивать (0x1) Отправлять безопасные примеры автоматически (0x2) Никогда не отправлять (0x3) Отправлять все образцы автоматически.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Всегда спрашивать.
1 (по умолчанию) Автоматическая отправка безопасных примеров.
2 Никогда не отправлять.
3 Отправлять все образцы автоматически.

Сопоставление групповой политики:

Имя Значение
Имя SubmitSamplesConsent
Понятное имя Отправлять образцы файлов, если требуется дальнейший анализ
Имя элемента Отправка примеров файлов при необходимости дальнейшего анализа.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender антивирусной программы > MAPS
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Spynet
Имя файла ADMX WindowsDefender.admx

ThreatSeverityDefaultAction

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/Defender/ThreatSeverityDefaultAction

Этот параметр политики позволяет настроить автоматическое исправление для каждого уровня оповещений об угрозах. Уровни оповещений об угрозах должны быть добавлены в разделе Параметры для этого параметра. Каждая запись должна быть указана как пара значений имени. Имя определяет уровень оповещения об угрозах. Значение содержит идентификатор действия для действия по исправлению, которое должно быть предприняно.

Допустимые уровни оповещений об угрозах:

1 = низкий 2 = средний 4 = высокий 5 = тяжелый.

Допустимые значения действий по исправлению:

2 = карантин 3 = удалить 6 = игнорировать.

Примечание.

Изменения этого параметра не применяются, если включена защита от незаконного изменения .

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Сопоставление групповой политики:

Имя Значение
Имя Threats_ThreatSeverityDefaultAction
Понятное имя Задать уровни оповещения об обнаруженных угрозах, при которых не нужно выполнять действие по умолчанию
Имя элемента Укажите уровни оповещений об угрозах, при которых действие по умолчанию не должно выполняться при обнаружении.
Location Конфигурация компьютера
Путь Компоненты > Windows Microsoft Defender угрозы антивирусной программы >
Имя раздела реестра Software\Policies\Microsoft\Windows Defender\Threat
Имя файла ADMX WindowsDefender.admx

Поставщик служб конфигурации политики