Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter macOS
Gilt für:
- Microsoft Defender für Endpunkt unter macOS
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
Wichtig
Dieser Artikel enthält Anweisungen zum Festlegen von Einstellungen für Microsoft Defender for Endpoint unter macOS in Unternehmensorganisationen. Informationen zum Konfigurieren Microsoft Defender for Endpoint unter macOS mithilfe der Befehlszeilenschnittstelle finden Sie unter Ressourcen.
Zusammenfassung
In Unternehmensorganisationen können Microsoft Defender for Endpoint unter macOS über ein Konfigurationsprofil verwaltet werden, das mit einem von mehreren Verwaltungstools bereitgestellt wird. Einstellungen, die von Ihrem Sicherheitsbetriebsteam verwaltet werden, haben Vorrang vor einstellungen, die lokal auf dem Gerät festgelegt werden. Das Ändern der Einstellungen, die über das Konfigurationsprofil festgelegt werden, erfordert eskalierte Berechtigungen und ist für Benutzer ohne Administratorberechtigungen nicht verfügbar.
Dieser Artikel beschreibt die Struktur des Konfigurationsprofils, enthält ein empfohlenes Profil, das Sie für den Einstieg verwenden können, und enthält Anweisungen zum Bereitstellen des Profils.
Struktur des Konfigurationsprofils
Das Konfigurationsprofil ist eine PLIST-Datei , die aus Einträgen besteht, die durch einen Schlüssel identifiziert werden (der den Namen der Einstellung angibt), gefolgt von einem Wert, der von der Art der Einstellung abhängt. Werte können entweder einfach (z. B. ein numerischer Wert) oder komplex sein, z. B. eine geschachtelte Liste von Einstellungen.
Achtung
Das Layout des Konfigurationsprofils hängt von der Verwaltungskonsole ab, die Sie verwenden. Die folgenden Abschnitte enthalten Beispiele für Konfigurationsprofile für JAMF und Intune.
Die oberste Ebene des Konfigurationsprofils enthält produktweite Einstellungen und Einträge für Teilbereiche von Microsoft Defender for Endpoint, die in den nächsten Abschnitten ausführlicher erläutert werden.
Einstellungen der Antiviren-Engine
Der Abschnitt antivirusEngine des Konfigurationsprofils wird verwendet, um die Einstellungen der Antivirenkomponente von Microsoft Defender for Endpoint zu verwalten.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | antivirusEngine |
| Datentyp | Wörterbuch (geschachtelte Einstellung) |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Erzwingungsstufe für die Antiviren-Engine
Gibt die Erzwingungspräferenz des Antivirenmoduls an. Es gibt drei Werte zum Festlegen der Erzwingungsstufe:
- Echtzeitschutz (
real_time): Echtzeitschutz (Scannen von Dateien beim Zugriff) ist aktiviert. - On-Demand (
on_demand): Dateien werden nur bei Bedarf gescannt. In diesem Fall:- Der Echtzeitschutz ist deaktiviert.
- Passiv (
passive): Führt die Antiviren-Engine im passiven Modus aus. In diesem Fall:- Der Echtzeitschutz ist deaktiviert.
- Die bedarfsgesteuerte Überprüfung ist aktiviert.
- Die automatische Bedrohungsbehebung ist deaktiviert.
- Security Intelligence-Updates sind aktiviert.
- Das Statusmenüsymbol ist ausgeblendet.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | enforcementLevel |
| Datentyp | String |
| Mögliche Werte | real_time (Standard) on_demand Passive |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 101.10.72 oder höher. |
Konfigurieren der Dateihashberechnungsfunktion
Aktiviert oder deaktiviert die Dateihashberechnungsfunktion. Wenn dieses Feature aktiviert ist, berechnet Defender für Endpunkt Hashes für Dateien, die überprüft werden, um eine bessere Übereinstimmung mit den Indikatorregeln zu ermöglichen. Unter macOS werden nur die Skript- und Mach-O-Dateien (32 und 64 Bit) für diese Hashberechnung berücksichtigt (ab Modulversion 1.1.20000.2 oder höher). Beachten Sie, dass sich die Aktivierung dieses Features auf die Geräteleistung auswirken kann. Weitere Informationen finden Sie unter Create Indikatoren für Dateien.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | enableFileHashComputation |
| Datentyp | Boolesch |
| Mögliche Werte | false (Standard) true |
| Kommentare | Verfügbar in Defender für Endpunkt Version 101.86.81 oder höher. |
Ausführen einer Überprüfung nach dem Aktualisieren von Definitionen
Gibt an, ob eine Prozessüberprüfung gestartet werden soll, nachdem neue Security Intelligence-Updates auf das Gerät heruntergeladen wurden. Wenn Sie diese Einstellung aktivieren, wird eine Antivirenüberprüfung für die ausgeführten Prozesse des Geräts ausgelöst.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | scanAfterDefinitionUpdate |
| Datentyp | Boolesch |
| Mögliche Werte | true (Standard) false |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 101.41.10 oder höher. |
Scannen von Archiven (nur bedarfsgesteuerte Antivirenscans)
Gibt an, ob Archive bei bedarfsgesteuerten Antivirenscans überprüft werden sollen.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | scanArchives |
| Datentyp | Boolesch |
| Mögliche Werte | true (Standard) false |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 101.41.10 oder höher. |
Grad der Parallelität bei bedarfsgesteuerten Scans
Gibt den Grad der Parallelität für bedarfsgesteuerte Scans an. Dies entspricht der Anzahl der Threads, die zum Durchführen der Überprüfung verwendet werden, und wirkt sich auf die CPU-Auslastung sowie die Dauer der bedarfsgesteuerten Überprüfung aus.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | maximumOnDemandScanThreads |
| Datentyp | Integer |
| Mögliche Werte | 2 (Standard). Zulässige Werte sind ganze Zahlen zwischen 1 und 64. |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 101.41.10 oder höher. |
Ausschlusszusammenführungsrichtlinie
Geben Sie die Mergerichtlinie für Ausschlüsse an. Dies kann eine Kombination aus vom Administrator definierten und benutzerdefinierten Ausschlüssen (merge) oder nur administratordefinierte Ausschlüsse (admin_only) sein. Diese Einstellung kann verwendet werden, um lokale Benutzer daran zu hindern, ihre eigenen Ausschlüsse zu definieren.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | exclusionsMergePolicy |
| Datentyp | String |
| Mögliche Werte | Merge (Standard) admin_only |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 100.83.73 oder höher. |
Scanausschlüsse
Geben Sie Entitäten an, die von der Überprüfung ausgeschlossen sind. Ausschlüsse können durch vollständige Pfade, Erweiterungen oder Dateinamen angegeben werden. (Ausschlüsse werden als Array von Elementen angegeben, der Administrator kann beliebig viele Elemente in beliebiger Reihenfolge angeben.)
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | Ausschlüsse |
| Datentyp | Wörterbuch (geschachtelte Einstellung) |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Art des Ausschlusses
Geben Sie den Inhalt an, der von der Überprüfung ausgeschlossen wird, nach Typ.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | $type |
| Datentyp | String |
| Mögliche Werte | excludedPath excludedFileExtension excludedFileName |
Pfad zu ausgeschlossenen Inhalten
Geben Sie inhalte an, die von der Überprüfung ausgeschlossen werden, indem Sie den vollständigen Dateipfad angeben.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | path |
| Datentyp | String |
| Mögliche Werte | Gültige Pfade |
| Kommentare | Gilt nur, wenn $typeexcludedPath ist |
Unterstützte Ausschlusstypen
In der folgenden Tabelle sind die Von Defender für Endpunkt für Mac unterstützten Ausschlusstypen aufgeführt.
| Ausschluss | Definition | Beispiele |
|---|---|---|
| Dateierweiterung | Alle Dateien mit der Erweiterung, überall auf dem Gerät | .test |
| File | Eine bestimmte Datei, die durch den vollständigen Pfad identifiziert wird | /var/log/test.log |
| Ordner | Alle Dateien im angegebenen Ordner (rekursiv) | /var/log/ |
| Prozess | Ein bestimmter Prozess (entweder durch den vollständigen Pfad oder Dateinamen angegeben) und alle dateien, die von diesem geöffnet werden | /bin/cat |
Wichtig
Die oben genannten Pfade müssen feste Links und keine symbolischen Verknüpfungen sein, um erfolgreich ausgeschlossen zu werden. Sie können überprüfen, ob ein Pfad eine symbolische Verknüpfung ist, indem Sie ausführen file <path-name>.
Datei-, Ordner- und Prozessausschlüsse unterstützen die folgenden Wildcards:
| Platzhalter | Beschreibung | Beispiel | Übereinstimmungen | Stimmt nicht überein |
|---|---|---|---|---|
| * | Entspricht einer beliebigen Anzahl beliebiger Zeichen, einschließlich keines (beachten Sie, dass bei Verwendung dieses Platzhalters innerhalb eines Pfads nur ein Ordner ersetzt wird) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | Entspricht jedem einzelnen Zeichen | file?.log |
file1.log |
file123.log |
Pfadtyp (Datei/Verzeichnis)
Geben Sie an, ob die Path-Eigenschaft auf eine Datei oder ein Verzeichnis verweist.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | Isdirectory |
| Datentyp | Boolesch |
| Mögliche Werte | false (Standard) true |
| Kommentare | Gilt nur, wenn $typeexcludedPath ist |
Dateierweiterung von der Überprüfung ausgeschlossen
Geben Sie Inhalte an, die von der Überprüfung durch die Dateierweiterung ausgeschlossen werden.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | Erweiterung |
| Datentyp | String |
| Mögliche Werte | Gültige Dateierweiterungen |
| Kommentare | Gilt nur, wenn $typeausgeschlossen IstFileExtension |
Von der Überprüfung ausgeschlossener Prozess
Geben Sie einen Prozess an, für den alle Dateiaktivitäten von der Überprüfung ausgeschlossen werden. Der Prozess kann entweder über seinen Namen (z. B cat. ) oder den vollständigen Pfad (z. B /bin/cat. ) angegeben werden.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | name |
| Datentyp | String |
| Mögliche Werte | beliebige Zeichenfolge |
| Kommentare | Gilt nur, wenn $typeexcludedFileName ist |
Zulässige Bedrohungen
Geben Sie Bedrohungen anhand des Namens an, die nicht von Defender für Endpunkt auf dem Mac blockiert werden. Diese Bedrohungen dürfen ausgeführt werden.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | allowedThreats |
| Datentyp | Array aus Zeichenfolgen |
Unzulässige Bedrohungsaktionen
Schränkt die Aktionen ein, die der lokale Benutzer eines Geräts ausführen kann, wenn Bedrohungen erkannt werden. Die in dieser Liste enthaltenen Aktionen werden nicht auf der Benutzeroberfläche angezeigt.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | disallowedThreatActions |
| Datentyp | Array aus Zeichenfolgen |
| Mögliche Werte | allow (verhindert, dass Benutzer Bedrohungen zulassen) wiederherstellen (schränkt Benutzer an der Wiederherstellung von Bedrohungen aus der Quarantäne ein) |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 100.83.73 oder höher. |
Einstellungen für Bedrohungstypen
Geben Sie an, wie bestimmte Bedrohungstypen von Microsoft Defender for Endpoint unter macOS behandelt werden.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | threatTypeSettings |
| Datentyp | Wörterbuch (geschachtelte Einstellung) |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Bedrohungstyp
Geben Sie Bedrohungstypen an.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | Schlüssel |
| Datentyp | String |
| Mögliche Werte | potentially_unwanted_application archive_bomb |
Zu ergreifende Maßnahme
Geben Sie an, welche Aktion ausgeführt werden soll, wenn eine Bedrohung des im vorherigen Abschnitt angegebenen Typs erkannt wird. Wählen Sie aus den folgenden Optionen aus:
- Überwachung: Ihr Gerät ist nicht vor dieser Art von Bedrohung geschützt, aber ein Eintrag zur Bedrohung wird protokolliert.
- Blockieren: Ihr Gerät ist vor dieser Art von Bedrohung geschützt, und Sie werden über die Benutzeroberfläche und die Sicherheitskonsole benachrichtigt.
- Aus: Ihr Gerät ist nicht vor dieser Art von Bedrohung geschützt, und es wird nichts protokolliert.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | Wert |
| Datentyp | String |
| Mögliche Werte | audit (Standard) Block Aus |
Richtlinie zum Zusammenführen von Bedrohungstypeinstellungen
Geben Sie die Mergerichtlinie für Bedrohungstypeinstellungen an. Dies kann eine Kombination aus vom Administrator definierten und benutzerdefinierten Einstellungen (merge) oder nur aus vom Administrator definierten Einstellungen (admin_only) sein. Diese Einstellung kann verwendet werden, um lokale Benutzer daran zu hindern, ihre eigenen Einstellungen für verschiedene Bedrohungstypen zu definieren.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | threatTypeSettingsMergePolicy |
| Datentyp | String |
| Mögliche Werte | Merge (Standard) admin_only |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 100.83.73 oder höher. |
Aufbewahrung des Verlaufs der Antivirenüberprüfung (in Tagen)
Geben Sie die Anzahl der Tage an, für die ergebnisse im Scanverlauf auf dem Gerät aufbewahrt werden. Alte Scanergebnisse werden aus dem Verlauf entfernt. Alte unter Quarantäne gestellte Dateien, die ebenfalls vom Datenträger entfernt werden.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | scanResultsRetentionDays |
| Datentyp | String |
| Mögliche Werte | 90 (Standard). Zulässige Werte liegen zwischen 1 Tag und 180 Tagen. |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 101.07.23 oder höher. |
Maximale Anzahl von Elementen im Verlauf der Antivirenüberprüfung
Geben Sie die maximale Anzahl von Einträgen an, die im Scanverlauf beibehalten werden sollen. Zu den Einträgen gehören alle in der Vergangenheit durchgeführten bedarfsgesteuerten Überprüfungen sowie alle Antivirenerkennungen.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | scanHistoryMaximumItems |
| Datentyp | String |
| Mögliche Werte | 10000 (Standard). Zulässige Werte reichen von 5000 bis 15.000 Elementen. |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 101.07.23 oder höher. |
Über die Cloud bereitgestellte Schutzeinstellungen
Konfigurieren Sie die cloudgesteuerten Schutzfunktionen von Microsoft Defender for Endpoint unter macOS.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | cloudService |
| Datentyp | Wörterbuch (geschachtelte Einstellung) |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Aktivieren/Deaktivieren des von der Cloud bereitgestellten Schutzes
Geben Sie an, ob der in der Cloud bereitgestellte Schutz für das Gerät aktiviert werden soll. Um die Sicherheit Ihrer Dienste zu verbessern, empfehlen wir, dieses Feature aktiviert zu lassen.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | aktiviert |
| Datentyp | Boolesch |
| Mögliche Werte | true (Standard) false |
Sammlungsebene von Diagnosedaten
Diagnosedaten werden verwendet, um Microsoft Defender for Endpoint sicher und auf dem neuesten Stand zu halten, Probleme zu erkennen, zu diagnostizieren und zu beheben sowie Produktverbesserungen vorzunehmen. Diese Einstellung bestimmt die Ebene der Diagnose, die von Microsoft Defender for Endpoint an Microsoft gesendet werden.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | diagnosticLevel |
| Datentyp | String |
| Mögliche Werte | optional (Standard) Erforderlich |
Konfigurieren der Cloudblockebene
Diese Einstellung bestimmt, wie aggressiv Defender für Endpunkt beim Blockieren und Scannen verdächtiger Dateien ist. Wenn diese Einstellung aktiviert ist, ist Defender für Endpunkt aggressiver, wenn verdächtige Dateien identifiziert werden, die blockiert und überprüft werden sollen. Andernfalls ist es weniger aggressiv und daher blockieren und scannen mit weniger Häufigkeit. Es gibt fünf Werte zum Festlegen der Cloudblockebene:
- Normal (
normal): Die Standardblockierungsstufe. - Moderate (
moderate): Gibt nur für Erkennungen mit hoher Zuverlässigkeit eine Bewertung aus. - Hoch (
high): Blockiert aggressiv unbekannte Dateien, während die Leistung optimiert wird (höhere Wahrscheinlichkeit, dass nicht schädliche Dateien blockiert werden). - High Plus (
high_plus): Sperrt unbekannte Dateien aggressiv und wendet zusätzliche Schutzmaßnahmen an (kann sich auf die Leistung des Clientgeräts auswirken). - Zero Tolerance (
zero_tolerance): Blockiert alle unbekannten Programme.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | cloudBlockLevel |
| Datentyp | String |
| Mögliche Werte | normal (Standard) Moderate Hoch high_plus zero_tolerance |
| Kommentare | Verfügbar in Defender für Endpunkt Version 101.56.62 oder höher. |
Aktivieren/Deaktivieren automatischer Beispielübermittlungen
Bestimmt, ob verdächtige Stichproben (die wahrscheinlich Bedrohungen enthalten) an Microsoft gesendet werden. Sie werden aufgefordert, wenn die übermittelte Datei wahrscheinlich personenbezogene Informationen enthält.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | automaticSampleSubmission |
| Datentyp | Boolesch |
| Mögliche Werte | true (Standard) false |
Aktivieren/Deaktivieren automatischer Security Intelligence-Updates
Bestimmt, ob Security Intelligence-Updates automatisch installiert werden:
| Abschnitt | Wert |
|---|---|
| Schlüssel | automaticDefinitionUpdateEnabled |
| Datentyp | Boolesch |
| Mögliche Werte | true (Standard) false |
Einstellungen für die Benutzeroberfläche
Verwalten Sie die Einstellungen für die Benutzeroberfläche von Microsoft Defender for Endpoint unter macOS.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | userInterface |
| Datentyp | Wörterbuch (geschachtelte Einstellung) |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Menüsymbol "status ein-/ausblenden"
Geben Sie an, ob das status Menüsymbol in der oberen rechten Ecke des Bildschirms ein- oder ausgeblendet werden soll.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | hideStatusMenuIcon |
| Datentyp | Boolesch |
| Mögliche Werte | false (Standard) true |
Option zum Senden von Feedback ein-/ausblenden
Geben Sie an, ob Benutzer Feedback an Microsoft senden können, indem Sie zu Help>Send Feedbackwechseln.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | userInitiatedFeedback |
| Datentyp | String |
| Mögliche Werte | aktiviert (Standard) deaktiviert |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 101.19.61 oder höher. |
Steuern der Anmeldung bei der Consumerversion von Microsoft Defender
Geben Sie an, ob sich Benutzer bei der Consumerversion von Microsoft Defender anmelden können.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | consumerExperience |
| Datentyp | String |
| Mögliche Werte | aktiviert (Standard) deaktiviert |
| Kommentare | Verfügbar in Microsoft Defender for Endpoint Version 101.60.18 oder höher. |
Einstellungen für Endpunkterkennung und -antwort
Verwalten Sie die Einstellungen der EDR-Komponente (Endpoint Detection and Response) von Microsoft Defender for Endpoint unter macOS.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | Edr |
| Datentyp | Wörterbuch (geschachtelte Einstellung) |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Gerätetags
Geben Sie einen Tagnamen und dessen Wert an.
- Das GROUP-Tag markiert das Gerät mit dem angegebenen Wert. Das Tag wird im Portal unter der Geräteseite angezeigt und kann zum Filtern und Gruppieren von Geräten verwendet werden.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | tags |
| Datentyp | Wörterbuch (geschachtelte Einstellung) |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Tagtyp
Gibt den Tagtyp an
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | Schlüssel |
| Datentyp | String |
| Mögliche Werte | GROUP |
Wert des Tags
Gibt den Wert des Tags an.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | Wert |
| Datentyp | String |
| Mögliche Werte | beliebige Zeichenfolge |
Wichtig
- Es kann nur ein Wert pro Tagtyp festgelegt werden.
- Der Typ der Tags ist eindeutig und sollte nicht im gleichen Konfigurationsprofil wiederholt werden.
Gruppenbezeichner
EDR-Gruppenbezeichner
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | groupIds |
| Datentyp | String |
| Kommentare | Gruppenbezeichner |
Manipulationsschutz
Verwalten Sie die Einstellungen der Manipulationsschutzkomponente von Microsoft Defender for Endpoint unter macOS.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | tamperProtection |
| Datentyp | Wörterbuch (geschachtelte Einstellung) |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Erzwingungsstufe
Wenn der Manipulationsschutz aktiviert ist und sich im strict-Modus befindet
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | enforcementLevel |
| Datentyp | String |
| Kommentare | Einer von "disabled", "audit" oder "block" |
Mögliche Werte:
- deaktiviert: Manipulationsschutz ist deaktiviert, keine Verhinderung von Angriffen oder Meldungen an die Cloud
- audit: Manipulationsschutz meldet Manipulationsversuche nur an die Cloud, blockiert sie jedoch nicht.
- block: Manipulationsschutz blockiert und meldet Angriffe an die Cloud
Ausschlüsse
Definiert Prozesse, die die Änderung des Microsoft Defender-Medienobjekts zulassen, ohne Manipulationen in Betracht zu ziehen. Entweder path, teamId oder signingId oder ihre Kombination muss angegeben werden. Args können zusätzlich bereitgestellt werden, um den zulässigen Prozess genauer anzugeben.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | Ausschlüsse |
| Datentyp | Wörterbuch (geschachtelte Einstellung) |
| Kommentare | Eine Beschreibung des Wörterbuchinhalts finden Sie in den folgenden Abschnitten. |
Pfad
Der genaue Pfad der ausführbaren Prozessdatei.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | path |
| Datentyp | String |
| Kommentare | Im Fall eines Shellskripts ist dies der genaue Pfad zur Interpreterbinärdatei, z. B. /bin/zsh. Es sind keine Wildcards zulässig. |
Team-ID
Apples "Team-ID" des Anbieters.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | teamId |
| Datentyp | String |
| Kommentare | Beispielsweise UBF8T346G9 für Microsoft |
Signatur-ID
Apples "Signatur-ID" des Pakets.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | signingId |
| Datentyp | String |
| Kommentare | Beispiel com.apple.ruby : für Ruby-Interpreter |
Prozessargumente
Wird in Kombination mit anderen Parametern verwendet, um den Prozess zu identifizieren.
| Abschnitt | Wert |
|---|---|
| Domäne | com.microsoft.wdav |
| Schlüssel | signingId |
| Datentyp | Array aus Zeichenfolgen |
| Kommentare | Falls angegeben, muss das Prozessargument genau mit diesen Argumenten übereinstimmen, wobei die Groß-/Kleinschreibung beachtet wird. |
Empfohlenes Konfigurationsprofil
Für den Einstieg empfehlen wir die folgende Konfiguration für Ihr Unternehmen, um alle Schutzfeatures zu nutzen, die Microsoft Defender for Endpoint bietet.
Das folgende Konfigurationsprofil (oder im Fall von JAMF eine Eigenschaftenliste, die in das Konfigurationsprofil für benutzerdefinierte Einstellungen hochgeladen werden könnte):
- Aktivieren des Echtzeitschutzes (Real-Time Protection, RTP)
- Geben Sie an, wie die folgenden Bedrohungstypen behandelt werden:
- Potenziell unerwünschte Anwendungen (PUA) werden blockiert
- Archivbomben (Dateien mit hoher Komprimierungsrate) werden überwacht, um protokolle Microsoft Defender for Endpoint
- Aktivieren automatischer Security Intelligence-Updates
- Aus der Cloud bereitgestellten Schutz aktivieren
- Aktivieren der automatischen Beispielübermittlung
Eigenschaftenliste für das empfohlene JAMF-Konfigurationsprofil
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Intune empfohlenes Profil
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
Beispiel für ein vollständiges Konfigurationsprofil
Die folgenden Vorlagen enthalten Einträge für alle in diesem Dokument beschriebenen Einstellungen und können für erweiterte Szenarien verwendet werden, in denen Sie mehr Kontrolle über Microsoft Defender for Endpoint unter macOS haben möchten.
Eigenschaftenliste für das vollständige JAMF-Konfigurationsprofil
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Intune vollständiges Profil
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Überprüfung der Eigenschaftenliste
Die Eigenschaftenliste muss eine gültige PLIST-Datei sein. Dies kann überprüft werden, indem Sie Folgendes ausführen:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Wenn die Datei wohlgeformt ist, gibt der obige Befehl OK den Exitcode aus und gibt den Exitcode zurück 0. Andernfalls wird ein Fehler angezeigt, der das Problem beschreibt, und der Befehl gibt den Exitcode zurück 1.
Bereitstellung von Konfigurationsprofilen
Nachdem Sie das Konfigurationsprofil für Ihr Unternehmen erstellt haben, können Sie es über die Verwaltungskonsole bereitstellen, die Ihr Unternehmen verwendet. Die folgenden Abschnitte enthalten Anweisungen zum Bereitstellen dieses Profils mithilfe von JAMF und Intune.
JAMF-Bereitstellung
Öffnen Sie in der JAMF-Konsole Computer>Konfigurationsprofile, navigieren Sie zu dem Konfigurationsprofil, das Sie verwenden möchten, und wählen Sie dann Benutzerdefinierte Einstellungen aus. Create einen Eintrag mit com.microsoft.wdav als Einstellungsdomäne aus, und laden Sie die zuvor erstellte PLIST hoch.
Achtung
Sie müssen die richtige Einstellungsdomäne (com.microsoft.wdav) eingeben. Andernfalls werden die Einstellungen von Microsoft Defender for Endpoint nicht erkannt.
Intune Bereitstellung
Öffnen SieGerätekonfigurationsprofile>. Wählen Sie Profil erstellen.
Wählen Sie einen Namen für das Profil aus. Ändern Sie Platform=macOS in Profiltyp=Vorlagen , und wählen Sie im Abschnitt Vorlagenname die Option Benutzerdefiniert aus. Wählen Sie Konfigurieren aus.
Speichern Sie die zuvor erstellte PLIST als
com.microsoft.wdav.xml.Geben Sie
com.microsoft.wdavals Namen des benutzerdefinierten Konfigurationsprofils ein.Öffnen Sie das Konfigurationsprofil, und laden Sie die
com.microsoft.wdav.xmlDatei hoch. (Diese Datei wurde in Schritt 3 erstellt.)Wählen Sie OK aus.
Wählen SieZuweisungenverwalten> aus. Wählen Sie auf der Registerkarte Einschließen die Option Zu allen Benutzern & Alle Geräte zuweisen aus.
Achtung
Sie müssen den richtigen Namen des benutzerdefinierten Konfigurationsprofils eingeben. Andernfalls werden diese Einstellungen von Microsoft Defender for Endpoint nicht erkannt.
Ressourcen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für