Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter macOS
Gilt für:
- Microsoft Defender für Endpunkt unter macOS
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
Wichtig
Dieser Artikel enthält Anweisungen zum Festlegen von Einstellungen für Microsoft Defender for Endpoint unter macOS in Unternehmen. Informationen zum Konfigurieren Microsoft Defender for Endpoint unter macOS über die Befehlszeilenschnittstelle finden Sie unter "Ressourcen".
Zusammenfassung
In Unternehmen können Microsoft Defender for Endpoint unter macOS über ein Konfigurationsprofil verwaltet werden, das mithilfe eines von mehreren Verwaltungstools bereitgestellt wird. Einstellungen, die von Ihrem Sicherheitsteam verwaltet werden, haben Vorrang vor Einstellungen, die lokal auf dem Gerät festgelegt werden. Das Ändern der Einstellungen, die über das Konfigurationsprofil festgelegt werden, erfordert eskalierte Berechtigungen und ist für Benutzer ohne Administratorberechtigungen nicht verfügbar.
Dieser Artikel beschreibt die Struktur des Konfigurationsprofils, enthält ein empfohlenes Profil, das Sie für die ersten Schritte verwenden können, und enthält Anweisungen zum Bereitstellen des Profils.
Konfigurationsprofilstruktur
Das Konfigurationsprofil ist eine PLIST-Datei , die aus Einträgen besteht, die durch einen Schlüssel identifiziert werden (der den Namen der Einstellung angibt), gefolgt von einem Wert, der von der Art der Einstellung abhängt. Werte können entweder einfach (z. B. ein numerischer Wert) oder komplex sein, z. B. eine geschachtelte Liste von Einstellungen.
Achtung
Das Layout des Konfigurationsprofils hängt von der von Ihnen verwendeten Verwaltungskonsole ab. Die folgenden Abschnitte enthalten Beispiele für Konfigurationsprofile für JAMF und Intune.
Die oberste Ebene des Konfigurationsprofils umfasst produktweite Einstellungen und Einträge für Unterbereiche von Microsoft Defender for Endpoint, die in den nächsten Abschnitten ausführlicher erläutert werden.
Einstellungen des Antivirusmoduls
Der Abschnitt antivirusEngine des Konfigurationsprofils wird verwendet, um die Einstellungen der Antivirenkomponente von Microsoft Defender for Endpoint zu verwalten.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | antivirusEngine |
| Datentyp | Wörterbuch (geschachtelte Einstellung) |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Erzwingungsstufe für das Antivirenmodul
Gibt die Erzwingungseinstellung des Antivirenmoduls an. Es gibt drei Werte zum Festlegen der Erzwingungsstufe:
- Echtzeit (
real_time): Der Echtzeitschutz (Scannen von Dateien während des Zugriffs) ist aktiviert. - Bei Bedarf (
on_demand): Dateien werden nur bei Bedarf gescannt. In diesem:- Der Echtzeitschutz ist deaktiviert.
- Passiv (
passive): Führt das Antivirenmodul im passiven Modus aus. In diesem:- Der Echtzeitschutz ist deaktiviert.
- Das Scannen bei Bedarf ist aktiviert.
- Die automatische Bedrohungsbehebung ist deaktiviert.
- Sicherheitsintelligenzupdates sind aktiviert.
- Das Statusmenüsymbol ist ausgeblendet.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | enforcementLevel |
| Datentyp | String |
| Mögliche Werte | real_time (Standard) on_demand Passive |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 101.10.72 oder höher. |
Konfigurieren der Dateihashberechnungsfunktion
Aktiviert oder deaktiviert die Dateihashberechnungsfunktion. Wenn dieses Feature aktiviert ist, berechnet Defender für Endpunkt Hashes für Dateien, die überprüft werden. Beachten Sie, dass sich das Aktivieren dieses Features auf die Geräteleistung auswirken kann. Weitere Informationen finden Sie unter: Erstellen von Indikatoren für Dateien.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | enableFileHashComputation |
| Datentyp | String |
| Mögliche Werte | deaktiviert (Standard) aktiviert |
| Kommentare | Verfügbar in Defender für Endpunkt, Version 101.73.77 oder höher. |
Ausführen eines Scans nach dem Aktualisieren von Definitionen
Gibt an, ob eine Prozessüberprüfung gestartet werden soll, nachdem neue Sicherheitsintelligenzupdates auf das Gerät heruntergeladen wurden. Wenn Sie diese Einstellung aktivieren, wird eine Antivirenüberprüfung für die ausgeführten Prozesse des Geräts ausgelöst.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | scanAfterDefinitionUpdate |
| Datentyp | Boolesch |
| Mögliche Werte | true (Standard) false |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 101.41.10 oder höher. |
Scannen von Archiven (nur Bei-Bedarf-Antivirenscans)
Gibt an, ob Archive während scans bei Bedarf Antivirus gescannt werden sollen.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | scanArchives |
| Datentyp | Boolesch |
| Mögliche Werte | true (Standard) false |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 101.41.10 oder höher. |
Grad der Parallelität für On-Demand-Scans
Gibt den Grad der Parallelität für Scans bei Bedarf an. Dies entspricht der Anzahl der Threads, die für die Überprüfung verwendet werden, und wirkt sich auf die CPU-Auslastung sowie die Dauer des On-Demand-Scans aus.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | maximumOnDemandScanThreads |
| Datentyp | Integer |
| Mögliche Werte | 2 (Standard). Zulässige Werte sind ganze Zahlen zwischen 1 und 64. |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 101.41.10 oder höher. |
Ausschlusszusammenführungsrichtlinie
Geben Sie die Seriendruckrichtlinie für Ausschlüsse an. Dies kann eine Kombination aus vom Administrator definierten und benutzerdefinierten Ausschlüssen (merge) oder nur administratordefinierten Ausschlüssen (admin_only) sein. Diese Einstellung kann verwendet werden, um lokale Benutzer daran zu hindern, ihre eigenen Ausschlüsse zu definieren.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | exclusionsMergePolicy |
| Datentyp | String |
| Mögliche Werte | zusammenführen (Standard) admin_only |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 100.83.73 oder höher. |
Scanausschlüsse
Geben Sie Entitäten an, die von der Überprüfung ausgeschlossen sind. Ausschlüsse können durch vollständige Pfade, Erweiterungen oder Dateinamen angegeben werden. (Ausschlüsse werden als Array von Elementen angegeben, der Administrator kann beliebig viele Elemente in beliebiger Reihenfolge angeben.)
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | Ausschlüsse |
| Datentyp | Wörterbuch (geschachtelte Einstellung) |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Art des Ausschlusses
Geben Sie Inhalte an, die nach Typ von der Überprüfung ausgeschlossen sind.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | $type |
| Datentyp | String |
| Mögliche Werte | excludedPath excludedFileExtension excludedFileName |
Pfad zu ausgeschlossenen Inhalten
Geben Sie Inhalte an, die nicht durch den vollständigen Dateipfad gescannt werden sollen.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | path |
| Datentyp | String |
| Mögliche Werte | gültige Pfade |
| Kommentare | Gilt nur, wenn $type excludedPath ist |
Unterstützte Ausschlusstypen
In der folgenden Tabelle sind die Ausschlusstypen aufgeführt, die von Defender für Endpunkt auf Mac unterstützt werden.
| Ausschluss | Definition | Beispiele |
|---|---|---|
| Dateierweiterung | Alle Dateien mit der Erweiterung, überall auf dem Gerät | .test |
| Datei | Eine bestimmte Datei, die durch den vollständigen Pfad identifiziert wird | /var/log/test.log |
| Ordner | Alle Dateien unter dem angegebenen Ordner (rekursiv) | /var/log/ |
| Prozess | Ein bestimmter Prozess (angegeben durch den vollständigen Pfad oder Dateinamen) und alle von ihr geöffneten Dateien | /bin/cat |
Wichtig
Die oben genannten Pfade müssen feste Links und keine symbolischen Verknüpfungen sein, um erfolgreich ausgeschlossen zu werden. Sie können überprüfen, ob ein Pfad ein symbolischer Link ist, indem Sie ausführen file <path-name>.
Datei-, Ordner- und Prozessausschlüsse unterstützen die folgenden Platzhalter:
| Platzhalter | Beschreibung | Beispiel | Übereinstimmungen | Stimmt nicht überein |
|---|---|---|---|---|
| * | Gleicht eine beliebige Anzahl von Zeichen ab, einschließlich keiner Zeichen (beachten Sie, dass bei Verwendung dieses Platzhalters in einem Pfad nur ein Ordner ersetzt wird). | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | Gleicht ein einzelnes Zeichen ab | file?.log |
file1.log |
file123.log |
Pfadtyp (Datei/Verzeichnis)
Geben Sie an, ob die Pfadeigenschaft auf eine Datei oder ein Verzeichnis verweist.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | Isdirectory |
| Datentyp | Boolesch |
| Mögliche Werte | false (Standard) true |
| Kommentare | Gilt nur, wenn $type excludedPath ist |
Dateierweiterung vom Scan ausgeschlossen
Geben Sie Inhalte an, die von der Überprüfung durch die Dateierweiterung ausgeschlossen sind.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | Erweiterung |
| Datentyp | String |
| Mögliche Werte | gültige Dateierweiterungen |
| Kommentare | Gilt nur, wenn $type ausgeschlossen istFileExtension |
Prozess, der von der Überprüfung ausgeschlossen wurde
Geben Sie einen Prozess an, für den alle Dateiaktivitäten vom Scannen ausgeschlossen werden. Der Prozess kann entweder durch seinen Namen (z. B cat. ) oder den vollständigen Pfad (z. B /bin/cat. ) angegeben werden.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | name |
| Datentyp | String |
| Mögliche Werte | beliebige Zeichenfolge |
| Kommentare | Gilt nur, wenn $type excludedFileName ist |
Zulässige Bedrohungen
Geben Sie Bedrohungen anhand des Namens an, die von Defender für Endpunkt auf Mac nicht blockiert werden. Diese Bedrohungen dürfen ausgeführt werden.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | allowedThreats |
| Datentyp | Array aus Zeichenfolgen |
Unzulässige Bedrohungsaktionen
Schränkt die Aktionen ein, die der lokale Benutzer eines Geräts ausführen kann, wenn Bedrohungen erkannt werden. Die in dieser Liste enthaltenen Aktionen werden nicht auf der Benutzeroberfläche angezeigt.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | disallowedThreatActions |
| Datentyp | Array aus Zeichenfolgen |
| Mögliche Werte | zulassen (verhindert, dass Benutzer Bedrohungen zulassen) Wiederherstellen (verhindert, dass Benutzer Bedrohungen aus der Quarantäne wiederherstellen) |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 100.83.73 oder höher. |
Einstellungen für Bedrohungstypen
Geben Sie an, wie bestimmte Bedrohungstypen von Microsoft Defender for Endpoint unter macOS behandelt werden.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | threatTypeSettings |
| Datentyp | Wörterbuch (geschachtelte Einstellung) |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Bedrohungstyp
Geben Sie Bedrohungstypen an.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | Schlüssel |
| Datentyp | String |
| Mögliche Werte | potentially_unwanted_application archive_bomb |
Zu ergreifende Maßnahme
Geben Sie an, welche Aktion ausgeführt werden soll, wenn eine Bedrohung des im vorherigen Abschnitt angegebenen Typs erkannt wird. Wählen Sie aus den folgenden Optionen aus:
- Überwachung: Ihr Gerät ist nicht vor dieser Art von Bedrohung geschützt, aber ein Eintrag über die Bedrohung wird protokolliert.
- Block: Ihr Gerät ist vor dieser Art von Bedrohung geschützt, und Sie werden in der Benutzeroberfläche und der Sicherheitskonsole benachrichtigt.
- Aus: Ihr Gerät ist nicht vor dieser Art von Bedrohung geschützt, und es wird nichts protokolliert.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | Wert |
| Datentyp | String |
| Mögliche Werte | Überwachung (Standard) Block Aus |
Richtlinie zum Zusammenführen von Bedrohungstypeinstellungen
Geben Sie die Seriendruckrichtlinie für Bedrohungstypeinstellungen an. Hierbei kann es sich um eine Kombination aus vom Administrator definierten und benutzerdefinierten Einstellungen (merge) oder nur aus vom Administrator definierten Einstellungen (admin_only) handelt. Diese Einstellung kann verwendet werden, um lokale Benutzer daran zu hindern, ihre eigenen Einstellungen für unterschiedliche Bedrohungstypen zu definieren.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | threatTypeSettingsMergePolicy |
| Datentyp | String |
| Mögliche Werte | zusammenführen (Standard) admin_only |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 100.83.73 oder höher. |
Aufbewahrung des Antivirusscanverlaufs (in Tagen)
Geben Sie die Anzahl der Tage an, die die Ergebnisse im Scanverlauf auf dem Gerät beibehalten werden. Alte Scanergebnisse werden aus dem Verlauf entfernt. Alte in Quarantäne befindliche Dateien, die ebenfalls vom Datenträger entfernt werden.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | scanResultsRetentionDays |
| Datentyp | String |
| Mögliche Werte | 90 (Standard). Zulässige Werte liegen zwischen 1 Tag und 180 Tagen. |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 101.07.23 oder höher. |
Maximale Anzahl von Elementen im Antivirusscanverlauf
Geben Sie die maximale Anzahl von Einträgen an, die im Scanverlauf beibehalten werden sollen. Zu den Einträgen gehören alle in der Vergangenheit durchgeführten On-Demand-Scans und alle Antivirenerkennungen.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | scanHistoryMaximumItems |
| Datentyp | String |
| Mögliche Werte | 10000 (Standard). Zulässige Werte liegen zwischen 5000 Elementen und 15000 Elementen. |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 101.07.23 oder höher. |
In der Cloud bereitgestellte Schutzeinstellungen
Konfigurieren Sie die cloudgesteuerten Schutzfeatures von Microsoft Defender for Endpoint unter macOS.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | cloudService |
| Datentyp | Wörterbuch (geschachtelte Einstellung) |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Aktivieren/Deaktivieren des über die Cloud bereitgestellten Schutzes
Geben Sie an, ob der über die Cloud bereitgestellte Schutz des Geräts aktiviert werden soll. Um die Sicherheit Ihrer Dienste zu verbessern, empfehlen wir, dieses Feature aktiviert zu lassen.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | aktiviert |
| Datentyp | Boolesch |
| Mögliche Werte | true (Standard) false |
Sammlungsebene von Diagnosedaten
Diagnosedaten werden verwendet, um Microsoft Defender for Endpoint sicher und auf dem neuesten Stand zu halten, Probleme zu erkennen, zu diagnostizieren und zu beheben sowie Produktverbesserungen vorzunehmen. Diese Einstellung bestimmt die Diagnoseebene, die von Microsoft Defender for Endpoint an Microsoft gesendet wird.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | diagnosticLevel |
| Datentyp | String |
| Mögliche Werte | optional (Standard) erforderlich |
Konfigurieren der Cloudblockebene
Diese Einstellung bestimmt, wie aggressiv Defender für Endpunkt dabei sein wird, verdächtige Dateien zu blockieren und zu scannen. Wenn diese Einstellung aktiviert ist, ist Defender für Endpunkt aggressiver, wenn verdächtige Dateien identifiziert werden, die blockiert und gescannt werden sollen. andernfalls ist es weniger aggressiv und blockiert und scannt daher mit weniger Häufigkeit. Es gibt fünf Werte zum Festlegen der Cloudblockebene:
- Normal (
normal): Die Standardblockierungsstufe. - Moderat (
moderate): Liefert die Bewertung nur für Erkennungen mit hoher Vertrauenswürdigkeit. - Hoch (
high): Blockiert unbekannte Dateien aggressiv, während die Leistung optimiert wird (höhere Wahrscheinlichkeit, nicht schädliche Dateien zu blockieren). - High Plus (
high_plus): Blockiert unbekannte Dateien aggressiv und wendet zusätzliche Schutzmaßnahmen an (die sich möglicherweise auf die Leistung des Clientgeräts auswirken). - Nulltoleranz (
zero_tolerance): Blockiert alle unbekannten Programme.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | cloudBlockLevel |
| Datentyp | String |
| Mögliche Werte | normal (Standard) Moderate Hoch high_plus zero_tolerance |
| Kommentare | Verfügbar in Defender für Endpunkt, Version 101.56.62 oder höher. |
Aktivieren/Deaktivieren automatischer Beispielübermittlungen
Bestimmt, ob verdächtige Beispiele (die wahrscheinlich Bedrohungen enthalten) an Microsoft gesendet werden. Sie werden aufgefordert, ob die übermittelte Datei wahrscheinlich persönliche Informationen enthält.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | automaticSampleSubmission |
| Datentyp | Boolesch |
| Mögliche Werte | true (Standard) false |
Aktivieren/Deaktivieren automatischer Sicherheitsintelligenzupdates
Bestimmt, ob Sicherheitsintelligenzupdates automatisch installiert werden:
| Abschnitt | Wert |
|---|---|
| Schlüssel | automaticDefinitionUpdateEnabled |
| Datentyp | Boolesch |
| Mögliche Werte | true (Standard) false |
Einstellungen für die Benutzeroberfläche
Verwalten Sie die Einstellungen für die Benutzeroberfläche von Microsoft Defender for Endpoint unter macOS.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | userInterface |
| Datentyp | Wörterbuch (geschachtelte Einstellung) |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Statusmenüsymbol ein-/ausblenden
Geben Sie an, ob das Statusmenüsymbol in der oberen rechten Ecke des Bildschirms angezeigt oder ausgeblendet werden soll.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | hideStatusMenuIcon |
| Datentyp | Boolesch |
| Mögliche Werte | false (Standard) true |
Option "Einblenden/Ausblenden" zum Senden von Feedback
Geben Sie an, ob Benutzer Feedback an Microsoft senden können, indem Sie zu Help > Send Feedback.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | userInitiatedFeedback |
| Datentyp | String |
| Mögliche Werte | aktiviert (Standard) deaktiviert |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 101.19.61 oder höher. |
Steuern der Anmeldung bei der Verbraucherversion von Microsoft Defender
Geben Sie an, ob sich Benutzer bei der Consumerversion von Microsoft Defender anmelden können.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | consumerExperience |
| Datentyp | String |
| Mögliche Werte | aktiviert (Standard) deaktiviert |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 101.60.18 oder höher. |
Einstellungen für Endpunkterkennung und -reaktion
Verwalten Sie die Einstellungen der Endpunkterkennungs- und -reaktionskomponente (Endpoint Detection and Response, EDR) von Microsoft Defender for Endpoint unter macOS.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | Edr |
| Datentyp | Wörterbuch (geschachtelte Einstellung) |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Gerätetags
Geben Sie einen Tagnamen und dessen Wert an.
- The GROUP tag, tags the device with the specified value. Das Tag wird im Portal unter der Geräteseite angezeigt und kann zum Filtern und Gruppieren von Geräten verwendet werden.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | tags |
| Datentyp | Wörterbuch (geschachtelte Einstellung) |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Tagtyp
Gibt den Tagtyp an.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | Schlüssel |
| Datentyp | String |
| Mögliche Werte | GROUP |
Wert des Tags
Gibt den Wert des Tags an.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | Wert |
| Datentyp | String |
| Mögliche Werte | beliebige Zeichenfolge |
Wichtig
- Es kann nur ein Wert pro Tagtyp festgelegt werden.
- Der Typ von Tags ist eindeutig und sollte nicht im gleichen Konfigurationsprofil wiederholt werden.
Empfohlenes Konfigurationsprofil
Um zu beginnen, empfehlen wir die folgende Konfiguration für Ihr Unternehmen, um alle Schutzfeatures zu nutzen, die Microsoft Defender for Endpoint bietet.
Das folgende Konfigurationsprofil (oder im Fall von JAMF eine Eigenschaftenliste, die in das Konfigurationsprofil für benutzerdefinierte Einstellungen hochgeladen werden könnte) wird wie folgt ausgeführt:
- Aktivieren des Echtzeitschutzes (RTP)
- Geben Sie an, wie die folgenden Bedrohungstypen behandelt werden:
- Potenziell unerwünschte Anwendungen (PUA) werden blockiert.
- Archivbomben (Datei mit hoher Komprimierungsrate) werden auf Microsoft Defender for Endpoint Protokolle überwacht.
- Aktivieren automatischer Sicherheitsintelligenzupdates
- Aus der Cloud bereitgestellten Schutz aktivieren
- Aktivieren der automatischen Beispielübermittlung
Eigenschaftenliste für das von JAMF empfohlene Konfigurationsprofil
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
</dict>
</plist>
Intune empfohlenes Profil
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
</dict>
</array>
</dict>
</plist>
Beispiel für ein vollständiges Konfigurationsprofil
Die folgenden Vorlagen enthalten Einträge für alle in diesem Dokument beschriebenen Einstellungen und können für komplexere Szenarien verwendet werden, in denen Sie mehr Kontrolle über Microsoft Defender for Endpoint unter macOS haben möchten.
Eigenschaftenliste für vollständiges JAMF-Konfigurationsprofil
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Intune vollständiges Profil
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Überprüfung der Eigenschaftenliste
Die Eigenschaftenliste muss eine gültige PLIST-Datei sein. Dies kann überprüft werden, indem Folgendes ausgeführt wird:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Wenn die Datei wohlgeformt ist, wird der obige Befehl ausgegeben OK und gibt einen Exit-Code von 0zurück. Andernfalls wird ein Fehler angezeigt, der das Problem beschreibt, und der Befehl gibt einen Exit-Code von 1zurück.
Bereitstellung von Konfigurationsprofilen
Nachdem Sie das Konfigurationsprofil für Ihr Unternehmen erstellt haben, können Sie es über die von Ihrem Unternehmen genutzte Verwaltungskonsole bereitstellen. In den folgenden Abschnitten finden Sie Anweisungen zum Bereitstellen dieses Profils mithilfe von JAMF und Intune.
JAMF-Bereitstellung
Öffnen Sie in der JAMF-Konsole Computerkonfigurationsprofile>, navigieren Sie zu dem Konfigurationsprofil, das Sie verwenden möchten, und wählen Sie dann "Benutzerdefinierte Einstellungen" aus. Erstellen Sie einen Eintrag mit com.microsoft.wdav der Einstellungsdomäne, und laden Sie die zuvor erstellte PLIST hoch.
Achtung
Sie müssen die richtige Einstellungsdomäne (com.microsoft.wdav) eingeben. Andernfalls werden die Einstellungen von Microsoft Defender for Endpoint nicht erkannt.
Intune Bereitstellung
Öffnen **Sie "**Gerätekonfiguration verwalten>". Wählen Sie "Profile > verwalten > , Profil erstellen" aus.
Wählen Sie einen Namen für das Profil aus. Ändern Sie "Platform=macOS**" in "Profiltyp=Benutzerdefiniert"**. Wählen Sie Konfigurieren aus.
Speichern Sie die zuvor erstellte PLIST als
com.microsoft.wdav.xml.Geben Sie
com.microsoft.wdavden Namen des benutzerdefinierten Konfigurationsprofils ein.Öffnen Sie das Konfigurationsprofil, und laden Sie die
com.microsoft.wdav.xmlDatei hoch. (Diese Datei wurde in Schritt 3 erstellt.)Wählen Sie OK aus.
Wählen Sie "Aufgaben verwalten>" aus. Wählen Sie auf der Registerkarte "Einschließen " die Option " Allen Benutzern & allen Geräten zuweisen" aus.
Achtung
Sie müssen den richtigen Namen des benutzerdefinierten Konfigurationsprofils eingeben. andernfalls werden diese Einstellungen von Microsoft Defender for Endpoint nicht erkannt.