Поставщик служб CSP политики — Defender
AllowArchiveScanning
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowArchiveScanning
Этот параметр политики позволяет настроить проверки вредоносных и нежелательных программ в архивных файлах, таких как . ZIP или . CAB-файлы.
Если этот параметр включен или не настроен, архивные файлы будут проверяться.
Если этот параметр отключен, архивные файлы не будут проверяться. Однако архивы всегда сканируются во время направленных проверок.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. Отключает проверку архивных файлов. |
| 1 (по умолчанию) | Разрешено. Сканирует архивные файлы. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_DisableArchiveScanning |
| Понятное имя | Проверять архивные файлы |
| Location | Конфигурация компьютера |
| Путь | Проверка компонентов > Windows Microsoft Defender антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя значения реестра | DisableArchiveScanning |
| Имя файла ADMX | WindowsDefender.admx |
AllowBehaviorMonitoring
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowBehaviorMonitoring
Этот параметр политики позволяет настроить мониторинг поведения.
Если этот параметр включен или не настроен, будет включен мониторинг поведения.
Если этот параметр отключен, мониторинг поведения будет отключен.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. Отключает мониторинг поведения. |
| 1 (по умолчанию) | Разрешено. Включает мониторинг поведения в режиме реального времени. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | RealtimeProtection_DisableBehaviorMonitoring |
| Понятное имя | Включить наблюдение за поведением |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender антивирусная > защита в режиме реального времени |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Имя значения реестра | DisableBehaviorMonitoring |
| Имя файла ADMX | WindowsDefender.admx |
AllowCloudProtection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowCloudProtection
Этот параметр политики позволяет присоединиться к Microsoft MAPS. Microsoft MAPS — это онлайн-сообщество, которое помогает вам выбрать способ реагирования на потенциальные угрозы. Сообщество также помогает остановить распространение новых вредоносных программных инфекций.
Вы можете отправить базовую или дополнительную информацию об обнаружении программного обеспечения. Дополнительные сведения помогут корпорации Майкрософт создать новую аналитику безопасности и помочь ей защитить компьютер. Эта информация может включать такие сведения, как расположение обнаруженных элементов на компьютере, если опасное программное обеспечение было удалено. Информация будет автоматически собираться и отправляться. В некоторых случаях личная информация может непреднамеренно отправляться в корпорацию Майкрософт. Однако корпорация Майкрософт не будет использовать эти сведения для идентификации вас или связи с вами.
Возможные варианты:
(0x0) Отключено (по умолчанию) (0x1) Базовое членство (0x2) Расширенное членство.
Базовое членство будет отправлять в корпорацию Майкрософт основную информацию об обнаружении программного обеспечения, в том числе о том, откуда поступило программное обеспечение, о действиях, которые вы применяете или которые применяются автоматически, а также о том, были ли выполнены эти действия.
Расширенное членство, помимо основных сведений, будет отправлять в корпорацию Майкрософт дополнительные сведения о вредоносных программах, шпионских программах и потенциально нежелательных программах, включая расположение программного обеспечения, имена файлов, принцип работы программного обеспечения и его влияние на ваш компьютер.
Если этот параметр включен, вы присоединитесь к Microsoft MAPS с указанным членством.
Если этот параметр отключен или не настроен, вы не будете присоединяться к Microsoft MAPS.
В Windows 10 членство уровня "Базовый" больше не доступно, поэтому при установке значения 1 или 2 устройство регистрируется в расширенном членстве.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. Отключает службу Microsoft Active Protection. |
| 1 (по умолчанию) | Разрешено. Включает службу Microsoft Active Protection. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | SpynetReporting |
| Понятное имя | Присоединиться к Microsoft MAPS |
| Имя элемента | Присоединяйтесь к Microsoft MAPS. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender антивирусной программы > MAPS |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Spynet |
| Имя файла ADMX | WindowsDefender.admx |
AllowEmailScanning
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowEmailScanning
Этот параметр политики позволяет настроить проверку электронной почты. Если сканирование электронной почты включено, подсистема анализирует почтовый ящик и почтовые файлы в соответствии с их определенным форматом, чтобы проанализировать тексты и вложения почты. В настоящее время поддерживается несколько форматов электронной почты, например: pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Email сканирование не поддерживается в современных почтовых клиентах.
Если этот параметр включен, проверка электронной почты будет включена.
Если этот параметр отключен или не настроен, проверка электронной почты будет отключена.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не допускается. Отключает проверку электронной почты. |
| 1 | Разрешено. Включает проверку электронной почты. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_DisableEmailScanning |
| Понятное имя | Включить проверку электронной почты |
| Location | Конфигурация компьютера |
| Путь | Проверка компонентов > Windows Microsoft Defender антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя значения реестра | DisableEmailScanning |
| Имя файла ADMX | WindowsDefender.admx |
AllowFullScanOnMappedNetworkDrives
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanOnMappedNetworkDrives
Этот параметр политики позволяет настроить сканирование сопоставленных сетевых дисков.
Если этот параметр включен, будут проверяться сопоставленные сетевые диски.
Если этот параметр отключен или не настроен, сопоставленные сетевые диски не будут проверяться.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не допускается. Отключает сканирование на сопоставленных сетевых дисках. |
| 1 | Разрешено. Сканирует сопоставленные сетевые диски. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_DisableScanningMappedNetworkDrivesForFullScan |
| Понятное имя | Выполнять полную проверку на подключенных сетевых дисках |
| Location | Конфигурация компьютера |
| Путь | Проверка компонентов > Windows Microsoft Defender антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя значения реестра | DisableScanningMappedNetworkDrivesForFullScan |
| Имя файла ADMX | WindowsDefender.admx |
AllowFullScanRemovableDriveScanning
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanRemovableDriveScanning
Этот параметр политики позволяет управлять тем, следует ли проверять наличие вредоносных и нежелательных программ в содержимом съемных дисков, таких как USB-устройства флэш-памяти, при выполнении полной проверки.
Если этот параметр включен, съемные диски будут проверяться во время проверки любого типа.
Если этот параметр отключен или не настроен, съемные диски не будут проверяться во время полной проверки. Съемные диски могут по-прежнему проверяться во время быстрой и пользовательской проверки.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не допускается. Отключает сканирование на съемных дисках. |
| 1 | Разрешено. Проверяет съемные диски. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_DisableRemovableDriveScanning |
| Понятное имя | Проверять съемные носители |
| Location | Конфигурация компьютера |
| Путь | Проверка компонентов > Windows Microsoft Defender антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя значения реестра | DisableRemovableDriveScanning |
| Имя файла ADMX | WindowsDefender.admx |
AllowIntrusionPreventionSystem
Примечание.
Эта политика является устаревшей и может быть удалена в будущем выпуске.
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIntrusionPreventionSystem
Разрешает или запрещает функции защиты от вторжений в Защитнике Windows.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. |
| 1 (по умолчанию) | Разрешено. |
AllowIOAVProtection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIOAVProtection
Этот параметр политики позволяет настроить проверку всех скачанных файлов и вложений.
Если этот параметр включен или не настроен, будет включена проверка на наличие всех скачанных файлов и вложений.
Если этот параметр отключен, проверка на наличие всех скачанных файлов и вложений будет отключена.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. |
| 1 (по умолчанию) | Разрешено. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | RealtimeProtection_DisableIOAVProtection |
| Понятное имя | Проверять все загруженные файлы и вложения |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender антивирусная > защита в режиме реального времени |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Имя значения реестра | DisableIOAVProtection |
| Имя файла ADMX | WindowsDefender.admx |
AllowOnAccessProtection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowOnAccessProtection
Этот параметр политики позволяет настроить мониторинг действий файлов и программ.
Если этот параметр включен или не настроен, будет включен мониторинг действий файлов и программ.
Если этот параметр отключен, мониторинг активности файлов и программ будет отключен.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. |
| 1 (по умолчанию) | Разрешено. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | RealtimeProtection_DisableOnAccessProtection |
| Понятное имя | Наблюдать за действиями файлов и программ на компьютере |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender антивирусная > защита в режиме реального времени |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Имя значения реестра | DisableOnAccessProtection |
| Имя файла ADMX | WindowsDefender.admx |
AllowRealtimeMonitoring
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowRealtimeMonitoring
Разрешает или запрещает функции мониторинга в реальном времени в Защитнике Windows.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. Отключает службу мониторинга в режиме реального времени. |
| 1 (по умолчанию) | Разрешено. Включает и запускает службу мониторинга в режиме реального времени. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | DisableRealtimeMonitoring |
| Понятное имя | Отключить защиту в реальном времени |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender антивирусная > защита в режиме реального времени |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Имя значения реестра | DisableRealtimeMonitoring |
| Имя файла ADMX | WindowsDefender.admx |
AllowScanningNetworkFiles
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScanningNetworkFiles
Этот параметр политики позволяет настроить запланированные проверки и проверки по запросу (инициированные вручную) для файлов, доступ к которым выполняется по сети. Рекомендуется включить этот параметр.
Примечание.
Эта политика не влияет на проверку защиты в режиме реального времени (при доступе).
- Если этот параметр включен или не настроен, будут проверяться сетевые файлы.
- Если этот параметр отключен, сетевые файлы не будут проверяться.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не допускается. Отключает сканирование сетевых файлов. |
| 1 | Разрешено. Сканирует сетевые файлы. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_DisableScanningNetworkFiles |
| Понятное имя | Настройка сканирования сетевых файлов |
| Location | Конфигурация компьютера |
| Путь | Проверка компонентов > Windows Microsoft Defender антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя значения реестра | DisableScanningNetworkFiles |
| Имя файла ADMX | WindowsDefender.admx |
AllowScriptScanning
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScriptScanning
Разрешает или запрещает функцию сканирования скриптов в Защитнике Windows.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. |
| 1 (по умолчанию) | Разрешено. |
AllowUserUIAccess
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowUserUIAccess
Этот параметр политики позволяет настроить, следует ли отображать пользовательский интерфейс AM для пользователей.
Если этот параметр включен, пользовательский интерфейс AM будет недоступен для пользователей.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. Запрещает пользователям доступ к пользовательскому интерфейсу. |
| 1 (по умолчанию) | Разрешено. Позволяет пользователям получать доступ к пользовательскому интерфейсу. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | UX_Configuration_UILockdown |
| Понятное имя | Включить режим пользовательского интерфейса без монитора |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender клиентский интерфейс антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\UX Configuration |
| Имя значения реестра | UILockdown |
| Имя файла ADMX | WindowsDefender.admx |
AttackSurfaceReductionOnlyExclusions
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Исключите файлы и пути из правил сокращения направлений атак (ASR).
Включен:
Укажите папки или файлы и ресурсы, которые должны быть исключены из правил ASR, в разделе Параметры.
Введите каждое правило в новой строке в виде пары "имя-значение":
- Столбец имен. Введите путь к папке или полное имя ресурса. Например, "C:\Windows" исключит все файлы в этом каталоге. "C:\Windows\App.exe" исключит только этот конкретный файл в этой конкретной папке.
- Столбец значений: введите "0" для каждого элемента.
Нетрудоспособный:
Исключения не будут применяться к правилам ASR.
Не настроено:
То же, что и Отключено.
Вы можете настроить правила ASR в параметре GP Configure Attack Surface Reduction rules (Настройка правил сокращения направлений атаки).
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: |) |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | ExploitGuard_ASR_ASROnlyExclusions |
| Понятное имя | Исключите файлы и пути из правил сокращения направлений атак |
| Имя элемента | Исключения из правил ASR. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender Антивирусная > программа Microsoft Defender Сокращение направлений атак Exploit Guard > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Exploit Guard\ASR |
| Имя файла ADMX | WindowsDefender.admx |
AttackSurfaceReductionRules
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Задайте состояние для каждого правила сокращения направлений атаки (ASR).
После включения этого параметра в разделе Параметры для каждого правила можно задать следующее:
- Блокировать: правило будет применено
- Режим аудита: если правило обычно вызывает событие, оно будет записано (хотя правило на самом деле не применяется).
- Выкл.: правило не будет применяться
- Не настроено: правило включено со значениями по умолчанию
- Предупреждение: правило будет применено, и у конечного пользователя будет возможность обойти блок.
Если правило ASR не отключено, для правил ASR собирается подсценка событий аудита со значением не настроено.
Включен:
Укажите состояние для каждого правила ASR в разделе Параметры для этого параметра.
Введите каждое правило в новой строке в виде пары "имя-значение":
- Столбец имен. Введите допустимый идентификатор правила ASR.
- Столбец значений. Введите идентификатор состояния, связанный с состоянием, которое требуется указать для связанного правила.
В столбце значения разрешены следующие идентификаторы состояния:
- 1 (блок)
- 0 (выкл.)
- 2 (аудит)
- 5 (не настроено)
- 6 (предупреждение)
Пример.
xxxxxxxxx-xxxx-xxxx-xxxx-xxxx 0 xxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xxxxx-xxxxx
Нетрудоспособный:
Правила ASR не будут настроены.
Не настроено:
То же, что и Отключено.
Папки или файлы можно исключить в параметре групповой политики "Исключить файлы и пути из правил сокращения направлений атак".
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | ExploitGuard_ASR_Rules |
| Понятное имя | Настройка правил сокращения направлений атаки |
| Имя элемента | Задайте состояние для каждого правила ASR. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender Антивирусная > программа Microsoft Defender Сокращение направлений атак Exploit Guard > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Exploit Guard\ASR |
| Имя файла ADMX | WindowsDefender.admx |
AvgCPULoadFactor
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/AvgCPULoadFactor
Этот параметр политики позволяет настроить максимальный процент загрузки ЦП, разрешенный во время проверки. Допустимые значения для этого параметра — это процент, представленный целыми числами от 5 до 100. Значение 0 указывает, что регулирование использования ЦП не должно быть. Значение по умолчанию — 50.
Если этот параметр включен, загрузка ЦП не превысит указанное процентное значение.
Если этот параметр отключен или не настроен, загрузка ЦП не превысит значение по умолчанию.
Примечание.
Если включить обе следующие политики, Windows игнорирует значение AvgCPULoadFactor:
- ScanOnlyIfIdle: указывает продукту проверять, только если компьютер не используется.
- DisableCpuThrottleOnIdleScans: указывает продукту отключить регулирование ЦП при простоях сканирования.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-100] |
| Значение по умолчанию | 50 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_AvgCPULoadFactor |
| Понятное имя | Задать максимальный процент использования ЦП во время проверки |
| Имя элемента | Укажите максимальный процент загрузки ЦП во время сканирования. |
| Location | Конфигурация компьютера |
| Путь | Проверка компонентов > Windows Microsoft Defender антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя файла ADMX | WindowsDefender.admx |
CheckForSignaturesBeforeRunningScan
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/CheckForSignaturesBeforeRunningScan
Этот параметр политики позволяет управлять тем, будет ли выполняться проверка для анализа безопасности новых вирусов и шпионских программ перед выполнением проверки.
Этот параметр применяется к запланированным проверкам, но он не влияет на проверки, инициированные вручную из пользовательского интерфейса, или на проверки, запущенные из командной строки с помощью mpcmdrun -Scan.
Если этот параметр включен, перед выполнением проверки будет выполняться проверка для новой аналитики безопасности.
Если этот параметр отключен или не настроен, проверка начнет использовать существующую аналитику безопасности.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Служба отключена. |
| 1 | Включено. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | CheckForSignaturesBeforeRunningScan |
| Понятное имя | Проверьте наличие последних вирусов и шпионских программ безопасности перед выполнением запланированной проверки. |
| Location | Конфигурация компьютера |
| Путь | Проверка компонентов > Windows Microsoft Defender антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя файла ADMX | WindowsDefender.admx |
CloudBlockLevel
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/CloudBlockLevel
Этот параметр политики определяет, насколько агрессивными будут Microsoft Defender антивирусная программа при блокировке и сканировании подозрительных файлов.
Если этот параметр включен, антивирусная программа Microsoft Defender будет более агрессивной при обнаружении подозрительных файлов для блокировки и сканирования; в противном случае она будет менее агрессивной и, следовательно, блокировать и сканировать с меньшей частотой.
Дополнительные сведения о поддерживаемых значениях см. на сайте документации по антивирусной программе Microsoft Defender.
Примечание.
Для работы этой функции требуется включить параметр "Присоединиться к Microsoft MAPS".
Возможные варианты:
(0x0) Уровень блокировки антивирусной программы по умолчанию Microsoft Defender (0x1) Умеренный уровень блокировки антивирусной программы Microsoft Defender предоставляет вердикт только для обнаружения с высоким уровнем достоверности (0x2) Высокий уровень блокировки — агрессивно блокируют неизвестные при оптимизации производительности клиента (больше вероятность ложноположительных результатов) (0x4) Высокий уровень блокировки — агрессивно блокируют неизвестные и применяют дополнительную защиту. меры (может повлиять на производительность клиента) (0x6) Уровень блокировки нулевой допустимости — блокировка всех неизвестных исполняемых файлов.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | NotConfigured. |
| 2 | Высокий. |
| 4 | HighPlus. |
| 6 | ZeroTolerance. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | MpEngine_MpCloudBlockLevel |
| Понятное имя | Выбор уровня защиты в облаке |
| Имя элемента | Выберите уровень блокировки облака. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender Антивирусная программа > MpEngine |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\MpEngine |
| Имя файла ADMX | WindowsDefender.admx |
CloudExtendedTimeout
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/CloudExtendedTimeout
Эта функция позволяет Microsoft Defender антивирусной программе блокировать подозрительный файл на срок до 60 секунд и сканировать его в облаке, чтобы убедиться, что он в безопасности.
Обычное время ожидания облачного проверка составляет 10 секунд. Чтобы включить функцию расширенного облачного проверка, укажите дополнительное время в секундах, до дополнительных 50 секунд.
Например, если требуемое время ожидания равно 60 секундам, укажите в этом параметре 50 секунд, что позволит включить функцию расширенного облачного проверка и увеличить общее время до 60 секунд.
Примечание.
Эта функция зависит от трех других параметров MAPS: "Настройка функции "Блокировать при первом взгляде"; " Присоединиться к Microsoft MAPS"; "Отправлять примеры файлов, когда требуется дальнейший анализ", все необходимо включить.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-50] |
| Значение по умолчанию | 0 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | MpEngine_MpBafsExtendedTimeout |
| Понятное имя | Настройка расширенной проверки облака |
| Имя элемента | Укажите время расширенного облачного проверка в секундах. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender Антивирусная программа > MpEngine |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\MpEngine |
| Имя файла ADMX | WindowsDefender.admx |
ControlledFolderAccessAllowedApplications
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications
Добавьте дополнительные приложения, которые должны считаться доверенными при управляемом доступе к папкам.
Этим приложениям разрешено изменять или удалять файлы в управляемых папках доступа к папкам.
Microsoft Defender антивирусная программа автоматически определяет, каким приложениям следует доверять. Этот параметр можно настроить для добавления дополнительных приложений.
Включен:
Укажите дополнительные разрешенные приложения в разделе Параметры.
Нетрудоспособный:
Дополнительные приложения не будут добавлены в список доверенных.
Не настроено:
То же, что и Отключено.
Вы можете включить управляемый доступ к папкам в параметре GP Настройка управляемого доступа к папкам.
Системные папки по умолчанию автоматически защищаются, но вы можете добавить папки в параметре настроить защищенные папки GP.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: |) |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | ExploitGuard_ControlledFolderAccess_AllowedApplications |
| Понятное имя | Настройка разрешенных приложений |
| Имя элемента | Введите приложения, которые должны быть доверенными. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender антивирусной > программы Microsoft Defender доступ к папкам с управляемым эксплойтом Guard > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access |
| Имя файла ADMX | WindowsDefender.admx |
ControlledFolderAccessProtectedFolders
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessProtectedFolders
Укажите дополнительные папки, которые должны быть защищены с помощью функции управляемого доступа к папкам.
Файлы в этих папках не могут быть изменены или удалены ненадежными приложениями.
Системные папки по умолчанию автоматически защищаются. Этот параметр можно настроить для добавления дополнительных папок.
Список системных папок по умолчанию, которые защищены, отображается в Безопасность Windows.
Включен:
Укажите дополнительные папки, которые должны быть защищены, в разделе Параметры.
Нетрудоспособный:
Дополнительные папки не будут защищены.
Не настроено:
То же, что и Отключено.
Вы можете включить управляемый доступ к папкам в параметре GP Настройка управляемого доступа к папкам.
Microsoft Defender антивирусная программа автоматически определяет, каким приложениям можно доверять. Вы можете добавить дополнительные доверенные приложения в параметре Настройка разрешенных приложений групповой политики.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: |) |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | ExploitGuard_ControlledFolderAccess_ProtectedFolders |
| Понятное имя | Настройка защищенных папок |
| Имя элемента | Введите папки, которые должны быть защищены. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender антивирусной > программы Microsoft Defender доступ к папкам с управляемым эксплойтом Guard > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access |
| Имя файла ADMX | WindowsDefender.admx |
DaysToRetainCleanedMalware
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/DaysToRetainCleanedMalware
Этот параметр политики определяет количество дней, в течение которых элементы должны храниться в папке Карантин перед удалением.
Если этот параметр включен, элементы будут удалены из папки Карантин по истечении указанного количества дней.
Если этот параметр отключен или не настроен, элементы будут храниться в папке карантина на неопределенный срок и не будут автоматически удалены.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-90] |
| Значение по умолчанию | 0 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Quarantine_PurgeItemsAfterDelay |
| Понятное имя | Настроить удаление элементов из папки "Карантин" |
| Имя элемента | Настройте удаление элементов из папки карантина. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender карантин антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Quarantine |
| Имя файла ADMX | WindowsDefender.admx |
DisableCatchupFullScan
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupFullScan
Этот параметр политики позволяет настроить догоняющий просмотр для запланированных полных проверок. Проверка наверстку — это проверка, которая инициируется из-за пропуска регулярно запланированной проверки. Обычно эти запланированные проверки пропускаются, так как компьютер был выключен в запланированное время.
Если этот параметр отключен или не настроен, проверка наверстает на наличие запланированных полных проверок. Если компьютер находится в автономном режиме для двух последовательных запланированных проверок, проверка наверста запускается при следующем входе на компьютер. Если запланированное сканирование не настроено, проверка наверста не будет выполнена.
Если этот параметр включен, проверки на догоня для запланированных полных проверок будут отключены.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Включено. |
| 1 (по умолчанию) | Служба отключена. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_DisableCatchupFullScan |
| Понятное имя | Включение полной проверки наверстку |
| Location | Конфигурация компьютера |
| Путь | Проверка компонентов > Windows Microsoft Defender антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя файла ADMX | WindowsDefender.admx |
DisableCatchupQuickScan
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupQuickScan
Этот параметр политики позволяет настроить проверку наверх для запланированных быстрых проверок. Проверка наверстку — это проверка, которая инициируется из-за пропуска регулярно запланированной проверки. Обычно эти запланированные проверки пропускаются, так как компьютер был выключен в запланированное время.
Если вы отключите или не настроите этот параметр, проверка наверстку для запланированных быстрых проверок будет включена. Если компьютер находится в автономном режиме для двух последовательных запланированных проверок, проверка наверста запускается при следующем входе на компьютер. Если запланированное сканирование не настроено, проверка наверста не будет выполнена.
Если этот параметр включен, проверка наверх для запланированных быстрых проверок будет отключена.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Включено. |
| 1 (по умолчанию) | Служба отключена. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_DisableCatchupQuickScan |
| Понятное имя | Включение быстрой проверки наверстку |
| Location | Конфигурация компьютера |
| Путь | Проверка компонентов > Windows Microsoft Defender антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя файла ADMX | WindowsDefender.admx |
EnableControlledFolderAccess
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableControlledFolderAccess
Включение или отключение управляемого доступа к папкам для ненадежных приложений. Вы можете заблокировать, провести аудит или разрешить попытки со стороны ненадежных приложений:
- Изменение или удаление файлов в защищенных папках, таких как папка "Документы"
- Запись в секторы диска.
Вы также можете блокировать или аудит записи в секторы диска, разрешая при этом изменение или удаление файлов в защищенных папках.
Microsoft Defender антивирусная программа автоматически определяет, каким приложениям можно доверять. Вы можете добавить дополнительные доверенные приложения в параметре Настройка разрешенных приложений групповой политики.
Системные папки по умолчанию автоматически защищаются, но вы можете добавить папки в параметр Настроить защищенные папки групповой политики.
Блок:
Следующие действия будут заблокированы:
- Попытки ненадежных приложений изменить или удалить файлы в защищенных папках
- Попытки ненадежных приложений выполнить запись в секторы диска.
Журнал событий Windows будет записывать эти блоки в разделе Журналы > приложений и служб Microsoft > Windows > Defender > Операционный > идентификатор 1123.
Нетрудоспособный:
Следующие действия не будут заблокированы и будут разрешены к выполнению:
- Попытки ненадежных приложений изменить или удалить файлы в защищенных папках
- Попытки ненадежных приложений выполнить запись в секторы диска.
Эти попытки не записываются в журнал событий Windows.
Режим аудита:
Следующие действия не будут заблокированы и будут разрешены к выполнению:
- Попытки ненадежных приложений изменить или удалить файлы в защищенных папках
- Попытки ненадежных приложений выполнить запись в секторы диска.
Журнал событий Windows запишет эти попытки в разделе Журналы > приложений и служб Microsoft > Windows > Defender > Операционный > идентификатор 1124.
Только блокировать изменение диска:
Следующие действия будут заблокированы:
- Попытки ненадежных приложений выполнить запись в секторы диска.
Журнал событий Windows запишет эти попытки в разделе Журналы > приложений и служб Microsoft > Windows > Defender > Операционный > идентификатор 1123.
Следующие действия не будут заблокированы и будут разрешены к выполнению:
- Попытки ненадежных приложений изменить или удалить файлы в защищенных папках.
Эти попытки не записываются в журнал событий Windows.
Аудит только изменения диска:
Следующие действия не будут заблокированы и будут разрешены к выполнению:
- Попытки ненадежных приложений записывать данные в секторы диска
- Попытки ненадежных приложений изменить или удалить файлы в защищенных папках.
В журнале событий Windows будут записываться только попытки записи в секторы защищенного диска (в разделе Журналы > приложений и служб Microsoft > Windows > Defender > Operational > ID 1124).
Попытки изменения или удаления файлов в защищенных папках не записываются.
Не настроено:
То же, что и Отключено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Служба отключена. |
| 1 | Включено. |
| 2 | Режим аудита. |
| 3 | Блокировать только изменение диска. |
| 4 | Аудит только изменения диска. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | ExploitGuard_ControlledFolderAccess_EnableControlledFolderAccess |
| Понятное имя | Настройка управляемого доступа к папкам |
| Имя элемента | Настройте функцию защиты папок. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender антивирусной > программы Microsoft Defender доступ к папкам с управляемым эксплойтом Guard > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access |
| Имя файла ADMX | WindowsDefender.admx |
EnableLowCPUPriority
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableLowCPUPriority
Этот параметр политики позволяет включить или отключить низкий приоритет ЦП для запланированных проверок.
Если этот параметр включен, во время запланированных проверок будет использоваться низкий приоритет ЦП.
Если этот параметр отключен или не настроен, приоритет ЦП для запланированных проверок вноситься не будет.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Служба отключена. |
| 1 | Включено. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_LowCpuPriority |
| Понятное имя | Настройка низкого приоритета ЦП для запланированных проверок |
| Location | Конфигурация компьютера |
| Путь | Проверка компонентов > Windows Microsoft Defender антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя файла ADMX | WindowsDefender.admx |
EnableNetworkProtection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableNetworkProtection
Включите или отключите защиту сети Microsoft Defender Exploit Guard, чтобы предотвратить использование сотрудниками любого приложения для доступа к опасным доменам, в которых могут размещаться фишинговые аферы, сайты размещения эксплойтов и другое вредоносное содержимое в Интернете.
Включен:
Укажите режим в разделе Параметры:
-Block: пользователи и приложения не смогут получить доступ к опасным доменам . Режим аудита: пользователи и приложения могут подключаться к опасным доменам, однако если эта функция заблокировала бы доступ, если бы она была настроена на Блокировать, запись события будет находиться в журналах событий.
Нетрудоспособный:
Пользователям и приложениям не будет запрещено подключаться к опасным доменам.
Не настроено:
То же, что и Отключено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Служба отключена. |
| 1 | Включено (блочный режим). |
| 2 | Включено (режим аудита). |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | ExploitGuard_EnableNetworkProtection |
| Понятное имя | Запрет доступа пользователей и приложений к опасным веб-сайтам |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender Антивирусная > защита Microsoft Defender Exploit Guard > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Exploit Guard\Network Protection |
| Имя файла ADMX | WindowsDefender.admx |
ExcludedExtensions
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedExtensions
Позволяет администратору указать список расширений типов файлов, которые следует игнорировать во время проверки. Каждый тип файлов в списке должен быть разделен |. Например, lib|obj.
Примечание.
Чтобы предотвратить несанкционированные изменения исключений, примените защиту от незаконного изменения. Защита от незаконного изменения для исключений работает только при соблюдении определенных условий .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: |) |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Exclusions_Extensions |
| Понятное имя | Исключения расширений |
| Имя элемента | Исключения расширений. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender исключения антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Exclusions |
| Имя файла ADMX | WindowsDefender.admx |
ExcludedPaths
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedPaths
Позволяет администратору указать список путей к каталогам, которые следует игнорировать во время проверки. Каждый путь в списке должен быть разделен |. Например, C:\Example|C:\Example1.
Примечание.
Чтобы предотвратить несанкционированные изменения исключений, примените защиту от незаконного изменения. Защита от незаконного изменения для исключений работает только при соблюдении определенных условий .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: |) |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Exclusions_Paths |
| Понятное имя | Исключения пути |
| Имя элемента | Исключения путей. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender исключения антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Exclusions |
| Имя файла ADMX | WindowsDefender.admx |
ExcludedProcesses
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedProcesses
Позволяет администратору указать список файлов, открытых процессами, которые следует игнорировать во время проверки.
Важно.
Сам процесс не исключается из сканирования, но может быть исключен с помощью политики Defender/ExcludeedPaths. Каждый тип файла должен быть разделен |. Например, C:\Example. exe|C:\Example1.exe.
Примечание.
Чтобы предотвратить несанкционированные изменения исключений, примените защиту от незаконного изменения. Защита от незаконного изменения для исключений работает только при соблюдении определенных условий .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: |) |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Exclusions_Processes |
| Понятное имя | Исключения процессов |
| Имя элемента | Исключения обработки. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender исключения антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Exclusions |
| Имя файла ADMX | WindowsDefender.admx |
PUAProtection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/PUAProtection
Включение или отключение обнаружения потенциально нежелательных приложений. Вы можете заблокировать, провести аудит или разрешить, если потенциально нежелательное программное обеспечение скачивается или пытается установить себя на компьютере.
Включен:
Укажите режим в разделе Параметры:
-Block: потенциально нежелательное программное обеспечение будет заблокировано.
Режим аудита: потенциально нежелательное программное обеспечение не будет заблокировано, однако если эта функция заблокировала бы доступ, если бы она была настроена на Блокировать, то запись события будет находиться в журналах событий.
Нетрудоспособный:
Потенциально нежелательное программное обеспечение не будет заблокировано.
Не настроено:
То же, что и Отключено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Защита от pua отключена. Защитник Windows не защищает от потенциально нежелательных приложений. |
| 1 | Защита от pua включено. Обнаруженные элементы блокируются. Они будут отображаться в истории вместе с другими угрозами. |
| 2 | Режим аудита. Защитник Windows будет обнаруживать потенциально нежелательные приложения, но не предпринимать никаких действий. Вы можете просмотреть сведения о приложениях, с которыми Защитник Windows выполнил бы действия, выполнив поиск событий, созданных Защитником Windows в Просмотр событий. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Root_PUAProtection |
| Понятное имя | Настройка обнаружения для потенциально нежелательных приложений |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender антивирусная программа |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender |
| Имя файла ADMX | WindowsDefender.admx |
RealTimeScanDirection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/RealTimeScanDirection
Этот параметр политики позволяет настроить мониторинг входящих и исходящих файлов без необходимости полностью отключать мониторинг. Его рекомендуется использовать на серверах, где выполняется много операций с входящими и исходящими файлами, но для повышения производительности необходимо отключить сканирование для определенного направления сканирования. Соответствующая конфигурация должна оцениваться на основе роли сервера.
Обратите внимание, что эта конфигурация учитывается только для томов NTFS. Для любого другого типа файловой системы на этих томах будет присутствовать полный мониторинг активности файлов и программ.
Параметры этого параметра являются взаимоисключающими:
0 = сканирование входящих и исходящих файлов (по умолчанию) 1 = сканирование только входящих файлов 2 = сканирование только исходящих файлов.
Любое другое значение или, если значение не существует, разрешается в значение по умолчанию (0).
Если этот параметр включен, будет включен указанный тип мониторинга.
Если этот параметр отключен или не настроен, будет включен мониторинг входящих и исходящих файлов.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Мониторинг всех файлов (двунаправленный). |
| 1 | Мониторинг входящих файлов. |
| 2 | Мониторинг исходящих файлов. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | RealtimeProtection_RealtimeScanDirection |
| Понятное имя | Настроить отслеживание активности входящих и исходящих файлов и программ |
| Имя элемента | Настройте мониторинг входящих и исходящих файлов и действий программ. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender антивирусная > защита в режиме реального времени |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Имя файла ADMX | WindowsDefender.admx |
ScanParameter
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/ScanParameter
Этот параметр политики позволяет указать тип сканирования, используемый во время запланированной проверки. Параметры типа сканирования:
1 = быстрая проверка (по умолчанию) 2 = полная проверка.
Если этот параметр включен, для типа сканирования будет задано указанное значение.
Если этот параметр отключен или не настроен, будет использоваться тип сканирования по умолчанию.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Быстрая проверка. |
| 2 | Полная проверка. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_ScanParameters |
| Понятное имя | Укажите тип проверки для запланированной проверки |
| Имя элемента | Укажите тип сканирования, используемый для запланированной проверки. |
| Location | Конфигурация компьютера |
| Путь | Проверка компонентов > Windows Microsoft Defender антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя файла ADMX | WindowsDefender.admx |
ScheduleQuickScanTime
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleQuickScanTime
Этот параметр политики позволяет указать время суток, в течение которого выполняется ежедневная быстрая проверка. Значение времени представляется в виде количества минут после полуночи (00:00). Например, 120 (0x78) эквивалентно 02:00. По умолчанию для этого параметра задано значение Отключено. Расписание основано на местном времени на компьютере, где выполняется сканирование.
Если этот параметр включен, в указанное время будет выполняться ежедневная быстрая проверка.
Если этот параметр отключен или не настроен, ежедневная быстрая проверка, контролируемая этой конфигурацией, не будет выполняться.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1380] |
| Значение по умолчанию | 120 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_ScheduleQuickScantime |
| Понятное имя | Задать время для ежедневной быстрой проверки |
| Имя элемента | Укажите время для ежедневной быстрой проверки. |
| Location | Конфигурация компьютера |
| Путь | Проверка компонентов > Windows Microsoft Defender антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя файла ADMX | WindowsDefender.admx |
ScheduleScanDay
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanDay
Этот параметр политики позволяет указать день недели, в который будет выполняться запланированное сканирование. Проверку также можно настроить так, чтобы она выполнялись каждый день или никогда не выполнялись вообще.
Этот параметр можно настроить со следующими порядковыми значениями:
(0x0) Каждый день (0x1) воскресенье (0x2) понедельник (0x3) вторник (0x4) среда (0x5) четверг (0x6) пятница (0x7) суббота (0x8) Никогда (по умолчанию)
Если этот параметр включен, запланированная проверка будет выполняться с указанной частотой.
Если этот параметр отключен или не настроен, запланированная проверка будет выполняться с частотой по умолчанию.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Каждый день. |
| 1 | Воскресенье. |
| 2 | Понедельник. |
| 3 | Вторник. |
| 4 | Среда. |
| 5 | Четверг. |
| 6 | Пятница. |
| 7 | Суббота. |
| 8 | Запланированное сканирование отсутствует. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_ScheduleDay |
| Понятное имя | Задать день недели для запуска запланированной проверки |
| Имя элемента | Укажите день недели для выполнения запланированной проверки. |
| Location | Конфигурация компьютера |
| Путь | Проверка компонентов > Windows Microsoft Defender антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя файла ADMX | WindowsDefender.admx |
ScheduleScanTime
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanTime
Этот параметр политики позволяет указать время суток для выполнения запланированной проверки. Значение времени представляется в виде количества минут после полуночи (00:00). Например, 120 (0x78) эквивалентно 02:00. По умолчанию для этого параметра задано значение времени 2:00. Расписание основано на местном времени на компьютере, где выполняется сканирование.
Если этот параметр включен, запланированная проверка будет выполняться в указанное время суток.
Если этот параметр отключен или не настроен, запланированная проверка будет выполняться по умолчанию.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1380] |
| Значение по умолчанию | 120 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Scan_ScheduleTime |
| Понятное имя | Задать время дня для запуска запланированной проверки |
| Имя элемента | Укажите время суток для выполнения запланированной проверки. |
| Location | Конфигурация компьютера |
| Путь | Проверка компонентов > Windows Microsoft Defender антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Scan |
| Имя файла ADMX | WindowsDefender.admx |
SecurityIntelligenceLocation
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1903 [10.0.18362] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/SecurityIntelligenceLocation
Этот параметр политики позволяет определить расположение аналитики безопасности для компьютеров, настроенных VDI.
Если этот параметр отключен или не настроен, аналитика безопасности будет ссылаться из локального источника по умолчанию.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | SignatureUpdate_SharedSignaturesLocation |
| Понятное имя | Определение расположения аналитики безопасности для клиентов VDI. |
| Имя элемента | Определите общую папку для скачивания обновлений аналитики безопасности в виртуальных средах. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender Обновления аналитики безопасности антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Signature Обновления |
| Имя файла ADMX | WindowsDefender.admx |
SignatureUpdateFallbackOrder
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder
Этот параметр политики позволяет определить порядок связи с различными источниками обновлений аналитики безопасности. Значение этого параметра должно быть введено в виде разделенной по каналу строки, перечисляющей источники обновлений аналитики безопасности по порядку. Возможные значения: InternalDefinitionUpdateServer, MicrosoftUpdateServer, MMPC и FileShares.
Например: { InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC }
Если этот параметр включен, с источниками обновлений аналитики безопасности будут обращаться в указанном порядке. После успешного скачивания обновлений аналитики безопасности из одного указанного источника с остальными источниками в списке не будет связываться.
Если этот параметр отключен или не настроен, источники обновлений аналитики безопасности будут обращаться в порядке по умолчанию.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: |) |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | SignatureUpdate_FallbackOrder |
| Понятное имя | Определение порядка источников для скачивания обновлений аналитики безопасности |
| Имя элемента | Определите порядок источников для скачивания обновлений аналитики безопасности. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender Обновления аналитики безопасности антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Signature Обновления |
| Имя файла ADMX | WindowsDefender.admx |
SignatureUpdateFileSharesSources
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFileSharesSources
Этот параметр политики позволяет настроить источники файлового ресурса UNC для скачивания обновлений аналитики безопасности. Связь с источниками будет осуществляться в указанном порядке. Значение этого параметра должно быть введено в виде строки с разделителями по каналу, перечисляющей источники обновлений аналитики безопасности. Например: "{\\unc1 | \\unc2 }". Список по умолчанию пуст.
Если этот параметр включен, с указанными источниками будут обращаться для получения обновлений аналитики безопасности. После успешного скачивания обновлений аналитики безопасности из одного указанного источника с остальными источниками в списке не будет связываться.
Если этот параметр отключен или не настроен, список по умолчанию останется пустым и с источниками не будет обращаться.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: |) |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | SignatureUpdate_DefinitionUpdateFileSharesSources |
| Понятное имя | Определение общих папок для скачивания обновлений аналитики безопасности |
| Имя элемента | Определение общих папок для скачивания обновлений аналитики безопасности. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender Обновления аналитики безопасности антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Signature Обновления |
| Имя файла ADMX | WindowsDefender.admx |
SignatureUpdateInterval
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateInterval
Этот параметр политики позволяет указать интервал, через который необходимо проверка для обновлений аналитики безопасности. Значение времени представляется в виде количества часов между проверками обновления. Допустимые значения варьируются от 1 (каждый час) до 24 (один раз в день).
Если этот параметр включен, проверки наличия обновлений аналитики безопасности будут выполняться через указанный интервал.
Если этот параметр отключен или не настроен, проверки на наличие обновлений аналитики безопасности будут выполняться через интервал по умолчанию.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-24] |
| Значение по умолчанию | 8 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | SignatureUpdate_SignatureUpdateInterval |
| Понятное имя | Укажите интервал проверка для обновлений аналитики безопасности |
| Имя элемента | Укажите интервал проверка для обновлений аналитики безопасности. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender Обновления аналитики безопасности антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Signature Обновления |
| Имя файла ADMX | WindowsDefender.admx |
SubmitSamplesConsent
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/SubmitSamplesConsent
Этот параметр политики настраивает поведение отправки примеров при настройке согласия на телеметрия MAPS.
Возможные варианты:
(0x0) Всегда запрашивать (0x1) Отправлять безопасные примеры автоматически (0x2) Никогда не отправлять (0x3) Отправлять все образцы автоматически.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Всегда спрашивать. |
| 1 (по умолчанию) | Автоматическая отправка безопасных примеров. |
| 2 | Никогда не отправлять. |
| 3 | Отправлять все образцы автоматически. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | SubmitSamplesConsent |
| Понятное имя | Отправлять образцы файлов, если требуется дальнейший анализ |
| Имя элемента | Отправка примеров файлов при необходимости дальнейшего анализа. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender антивирусной программы > MAPS |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Spynet |
| Имя файла ADMX | WindowsDefender.admx |
ThreatSeverityDefaultAction
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Defender/ThreatSeverityDefaultAction
Этот параметр политики позволяет настроить автоматическое исправление для каждого уровня оповещений об угрозах. Уровни оповещений об угрозах должны быть добавлены в разделе Параметры для этого параметра. Каждая запись должна быть указана как пара значений имени. Имя определяет уровень оповещения об угрозах. Значение содержит идентификатор действия для действия по исправлению, которое должно быть предприняно.
Допустимые уровни оповещений об угрозах:
1 = низкий 2 = средний 4 = высокий 5 = тяжелый.
Допустимые значения действий по исправлению:
2 = карантин 3 = удалить 6 = игнорировать.
Примечание.
Изменения этого параметра не применяются, если включена защита от незаконного изменения .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Threats_ThreatSeverityDefaultAction |
| Понятное имя | Задать уровни оповещения об обнаруженных угрозах, при которых не нужно выполнять действие по умолчанию |
| Имя элемента | Укажите уровни оповещений об угрозах, при которых действие по умолчанию не должно выполняться при обнаружении. |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows Microsoft Defender угрозы антивирусной программы > |
| Имя раздела реестра | Software\Policies\Microsoft\Windows Defender\Threat |
| Имя файла ADMX | WindowsDefender.admx |