Végponthoz készült Microsoft Defender beállítása macOS rendszeren
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender macOS rendszeren
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
Fontos
Ez a cikk útmutatást tartalmaz a nagyvállalati szervezetek macOS-en futó Végponthoz készült Microsoft Defender beállításainak beállításához. A Végponthoz készült Microsoft Defender macOS rendszeren a parancssori felülettel történő konfigurálásához lásd: Erőforrások.
Összefoglalás
A nagyvállalati szervezetekben a macOS-en futó Végponthoz készült Microsoft Defender több felügyeleti eszköz egyikével üzembe helyezett konfigurációs profilon keresztül kezelhetők. A biztonsági üzemeltetési csapat által kezelt beállítások elsőbbséget élveznek az eszközön helyileg beállított beállításokkal szemben. A konfigurációs profilon keresztül megadott beállítások módosítása eszkalált jogosultságokat igényel, és nem érhető el rendszergazdai engedélyekkel nem rendelkező felhasználók számára.
Ez a cikk ismerteti a konfigurációs profil szerkezetét, tartalmaz egy ajánlott profilt, amelyet az első lépésekhez használhat, és útmutatást nyújt a profil üzembe helyezéséhez.
Konfigurációs profil struktúrája
A konfigurációs profil egy .plist fájl, amely egy kulcs által azonosított bejegyzésekből áll (amely a beállítás nevét jelöli), majd egy értékből, amely a beállítás természetétől függ. Az értékek lehetnek egyszerűek (például numerikus értékek) vagy összetettek, például a beállítások beágyazott listája.
Figyelem!
A konfigurációs profil elrendezése a használt felügyeleti konzoltól függ. A következő szakaszok példákat tartalmaznak a JAMF és a Intune konfigurációs profiljaira.
A konfigurációs profil legfelső szintje termékszintű beállításokat és bejegyzéseket tartalmaz a Végponthoz készült Microsoft Defender alterületeihez, amelyeket a következő szakaszok részletesebben ismertetnek.
Víruskereső motor beállításai
A konfigurációs profil antivirusEngine szakasza a Végponthoz készült Microsoft Defender víruskereső összetevőjének beállításainak kezelésére szolgál.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | antivirusEngine |
| Adattípus | Szótár (beágyazott beállítás) |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
A víruskereső motor kényszerítési szintje
Megadja a víruskereső motor kényszerítési beállítását. A kényszerítési szint beállításának három értéke van:
- Valós idejű (
real_time): A valós idejű védelem (a fájlok elérésekor történő beolvasása) engedélyezve van. - Igény szerinti (
on_demand): A fájlok vizsgálata csak igény szerint lehetséges. Ebben:- A valós idejű védelem ki van kapcsolva.
- Passzív (
passive): Passzív módban futtatja a víruskereső motort. Ebben:- A valós idejű védelem ki van kapcsolva.
- Az igény szerinti vizsgálat be van kapcsolva.
- Az automatikus fenyegetés-szervizelés ki van kapcsolva.
- A biztonságiintelligencia-frissítések be vannak kapcsolva.
- Az Állapot menü ikonja rejtett.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | enforcementLevel |
| Adattípus | Karakterlánc |
| Lehetséges értékek | real_time (alapértelmezett) on_demand Passzív |
| Megjegyzések | Végponthoz készült Microsoft Defender 101.10.72-es vagy újabb verziójában érhető el. |
Viselkedésfigyelés engedélyezése/letiltása
Meghatározza, hogy a viselkedésfigyelés és a blokkolási képesség engedélyezve van-e az eszközön.
Megjegyzés:
Ez a funkció csak akkor alkalmazható, ha a Real-Time Protection funkció engedélyezve van.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | behaviorMonitoring |
| Adattípus | Karakterlánc |
| Lehetséges értékek | Tiltva engedélyezve (alapértelmezett) |
| Megjegyzések | Végponthoz készült Microsoft Defender 101.24042.0002-es vagy újabb verziójában érhető el. |
Fájlkivonat számítási funkció konfigurálása
Engedélyezi vagy letiltja a fájlkivonat számítási funkcióját. Ha ez a funkció engedélyezve van, a Végponthoz készült Defender az általa beolvasott fájlok kivonatait számítja ki, hogy jobban illeszkedhessen a mutatószabályokhoz. MacOS rendszeren csak a szkript és a Mach-O (32 és 64 bites) fájlok számítanak a kivonatszámításhoz (a motor 1.1.20000.2-es vagy újabb verziójából). Vegye figyelembe, hogy a funkció engedélyezése hatással lehet az eszköz teljesítményére. További részletekért lásd: Létrehozás fájlok mutatói.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | enableFileHashComputation |
| Adattípus | Logikai |
| Lehetséges értékek | false (alapértelmezett) Igaz |
| Megjegyzések | A Végponthoz készült Defender 101.86.81-es vagy újabb verziójában érhető el. |
Vizsgálat futtatása a definíciók frissítése után
Meghatározza, hogy elindítsa-e a folyamatvizsgálatot az új biztonságiintelligencia-frissítések eszközre való letöltése után. Ennek a beállításnak az engedélyezése elindítja az eszköz futó folyamatainak víruskereső vizsgálatát.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | scanAfterDefinitionUpdate |
| Adattípus | Logikai |
| Lehetséges értékek | true (alapértelmezett) Hamis |
| Megjegyzések | Végponthoz készült Microsoft Defender 101.41.10-es vagy újabb verziójában érhető el. |
Archívumok vizsgálata (csak igény szerinti víruskereső vizsgálatok esetén)
Meghatározza, hogy az igény szerinti víruskereső vizsgálatok során beolvassa-e az archívumokat.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | scanArchives |
| Adattípus | Logikai |
| Lehetséges értékek | true (alapértelmezett) Hamis |
| Megjegyzések | Végponthoz készült Microsoft Defender 101.41.10-es vagy újabb verziójában érhető el. |
Párhuzamosság foka igény szerinti vizsgálatokhoz
Az igény szerinti vizsgálatok párhuzamossági fokát határozza meg. Ez megfelel a vizsgálat végrehajtásához használt szálak számának, és hatással van a processzorhasználatra, valamint az igény szerinti vizsgálat időtartamára.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | maximumOnDemandScanThreads |
| Adattípus | Egész |
| Lehetséges értékek | 2 (alapértelmezett). Az engedélyezett értékek 1 és 64 közötti egész számok. |
| Megjegyzések | Végponthoz készült Microsoft Defender 101.41.10-es vagy újabb verziójában érhető el. |
Kizárási egyesítési szabályzat
Adja meg a kizárások egyesítési szabályzatát. Ez lehet a rendszergazda által definiált és a felhasználó által definiált kizárások (merge) kombinációja, vagy csak a rendszergazda által definiált kizárások (admin_only). Ezzel a beállítással korlátozhatja a helyi felhasználókat a saját kizárásuk meghatározásában.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | exclusionsMergePolicy |
| Adattípus | Karakterlánc |
| Lehetséges értékek | egyesítés (alapértelmezett) admin_only |
| Megjegyzések | Végponthoz készült Microsoft Defender 100.83.73-es vagy újabb verziójában érhető el. |
Kizárások vizsgálata
Adja meg a vizsgálatból kizárt entitásokat. A kizárások megadhatóak teljes elérési utakkal, kiterjesztésekkel vagy fájlnevekkel. (A kizárások elemtömbként vannak megadva, a rendszergazda tetszőleges sorrendben annyi elemet adhat meg, amennyi szükséges.)
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | Kizárások |
| Adattípus | Szótár (beágyazott beállítás) |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
Kizárás típusa
Adja meg azokat a tartalmakat, amelyeket nem lehet típus szerint beolvasni.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | $type |
| Adattípus | Karakterlánc |
| Lehetséges értékek | excludedPath excludedFileExtension excludedFileName |
Kizárt tartalom elérési útja
Adja meg a teljes fájlelérési út által nem vizsgált tartalmat.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | Elérési út |
| Adattípus | Karakterlánc |
| Lehetséges értékek | érvényes elérési utak |
| Megjegyzések | Csak akkor alkalmazható, ha $typeexcludedPath |
Támogatott kizárási típusok
Az alábbi táblázat a Végponthoz készült Defender által támogatott kizárási típusokat mutatja be Macen.
| Kizárási | Definíció | Példák |
|---|---|---|
| Fájlkiterjesztés | Az összes kiterjesztésű fájl, bárhol az eszközön | .test |
| Fájl | A teljes elérési út által azonosított konkrét fájl | /var/log/test.log |
| Mappa | A megadott mappában lévő összes fájl (rekurzív módon) | /var/log/ |
| Folyamat | Egy adott folyamat (amelyet a teljes elérési út vagy a fájlnév határoz meg) és az általa megnyitott összes fájl | /bin/cat |
Fontos
A sikeres kizáráshoz a fenti elérési utaknak nem szimbolikus, hanem rögzített hivatkozásoknak kell lenniük. Az parancs futtatásával file <path-name>ellenőrizheti, hogy az elérési út szimbolikus hivatkozás-e.
A fájl-, mappa- és folyamatkizárások a következő helyettesítő karaktereket támogatják:
| Helyettesítő | Leírás | Példa | Egyezések | Nem egyezik |
|---|---|---|---|---|
| * | Tetszőleges számú karaktert tartalmaz, beleértve a egyiket sem (vegye figyelembe, hogy ha ezt a helyettesítő karaktert egy elérési úton belül használja, az csak egy mappát helyettesít) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | Egyetlen karakterre illeszkedik | file?.log |
file1.log |
file123.log |
Elérési út típusa (fájl/könyvtár)
Jelezze, hogy az elérési út tulajdonság egy fájlra vagy könyvtárra hivatkozik-e.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | isDirectory |
| Adattípus | Logikai |
| Lehetséges értékek | false (alapértelmezett) Igaz |
| Megjegyzések | Csak akkor alkalmazható, ha $typeexcludedPath |
A vizsgálatból kizárt fájlkiterjesztés
Adja meg a fájlkiterjesztés által nem vizsgált tartalmat.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | Kiterjesztés |
| Adattípus | Karakterlánc |
| Lehetséges értékek | érvényes fájlkiterjesztések |
| Megjegyzések | Csak akkor alkalmazható, ha $type ki van zárvaFileExtension |
A vizsgálatból kizárt folyamat
Adjon meg egy folyamatot, amelynek minden fájltevékenysége ki van zárva a vizsgálatból. A folyamat a neve (például cat) vagy teljes elérési útja (például : ) alapján adható meg. /bin/cat
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | név |
| Adattípus | Karakterlánc |
| Lehetséges értékek | bármely sztring |
| Megjegyzések | Csak akkor alkalmazható, ha $typea excludedFileName |
Engedélyezett fenyegetések
Adjon meg olyan fenyegetéseket név szerint, amelyeket a Végponthoz készült Defender nem blokkol Macen. Ezek a fenyegetések futni fognak.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | allowedThreats |
| Adattípus | Sztringek tömbje |
Letiltott fenyegetési műveletek
Korlátozza azokat a műveleteket, amelyeket az eszköz helyi felhasználója végrehajthat fenyegetések észlelésekor. A listában szereplő műveletek nem jelennek meg a felhasználói felületen.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | disallowedThreatActions |
| Adattípus | Sztringek tömbje |
| Lehetséges értékek | engedélyezés (korlátozza a felhasználókat a fenyegetések engedélyezésében) visszaállítás (korlátozza a felhasználókat a fenyegetések karanténból való visszaállításában) |
| Megjegyzések | Végponthoz készült Microsoft Defender 100.83.73-es vagy újabb verziójában érhető el. |
Fenyegetéstípus beállításai
Adja meg, hogyan kezeljen bizonyos fenyegetéstípusokat a Végponthoz készült Microsoft Defender macOS rendszeren.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | threatTypeSettings |
| Adattípus | Szótár (beágyazott beállítás) |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
Fenyegetés típusa
Adja meg a fenyegetéstípusokat.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | Kulcs |
| Adattípus | Karakterlánc |
| Lehetséges értékek | potentially_unwanted_application archive_bomb |
Végrehajtandó művelet
Adja meg, hogy milyen műveletet kell elvégezni az előző szakaszban megadott típusú fenyegetés észlelésekor. Válasszon az alábbi lehetőségek közül:
- Naplózás: az eszköz nem védett az ilyen típusú fenyegetésekkel szemben, de a rendszer naplózza a fenyegetésről szóló bejegyzést.
- Letiltás: az eszköz védve van az ilyen típusú fenyegetésekkel szemben, és értesítést kap a felhasználói felületen és a biztonsági konzolon.
- Kikapcsolva: az eszköz nem védett az ilyen típusú fenyegetésekkel szemben, és a rendszer semmit sem naplóz.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | Érték |
| Adattípus | Karakterlánc |
| Lehetséges értékek | naplózás (alapértelmezett) Blokk Ki |
Fenyegetéstípus beállításainak egyesítési szabályzata
Adja meg az egyesítési szabályzatot a fenyegetéstípus beállításaihoz. Ez lehet a rendszergazda által definiált és a felhasználó által definiált beállítások (merge) kombinációja, vagy csak a rendszergazda által megadott beállítások (admin_only). Ezzel a beállítással korlátozhatja, hogy a helyi felhasználók saját beállításokat határozzanak meg a különböző fenyegetéstípusokhoz.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | threatTypeSettingsMergePolicy |
| Adattípus | Karakterlánc |
| Lehetséges értékek | egyesítés (alapértelmezett) admin_only |
| Megjegyzések | Végponthoz készült Microsoft Defender 100.83.73-es vagy újabb verziójában érhető el. |
Víruskereső vizsgálati előzményeinek megőrzése (napokban)
Itt adhatja meg, hogy az eszköz vizsgálati előzményei hány napig őrzik meg az eredményeket. A régi vizsgálati eredmények törlődnek az előzményekből. Régi karanténba helyezett fájlok, amelyek szintén el lettek távolítva a lemezről.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | scanResultsRetentionDays |
| Adattípus | Karakterlánc |
| Lehetséges értékek | 90 (alapértelmezett). Az engedélyezett értékek 1 naptól 180 napig használhatók. |
| Megjegyzések | Végponthoz készült Microsoft Defender 101.07.23-es vagy újabb verziójában érhető el. |
A víruskereső vizsgálati előzményeiben szereplő elemek maximális száma
Itt adhatja meg a vizsgálati előzményekben megtartani kívánt bejegyzések maximális számát. A bejegyzések közé tartozik a múltban végzett összes igény szerinti vizsgálat és az összes víruskereső-észlelés.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | scanHistoryMaximumItems |
| Adattípus | Karakterlánc |
| Lehetséges értékek | 10000 (alapértelmezett). Az engedélyezett értékek 5000 és 15000 elem között vannak. |
| Megjegyzések | Végponthoz készült Microsoft Defender 101.07.23-es vagy újabb verziójában érhető el. |
A felhőben biztosított védelmi beállítások
Konfigurálja a Végponthoz készült Microsoft Defender felhőalapú védelmi funkcióit macOS rendszeren.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | cloudService |
| Adattípus | Szótár (beágyazott beállítás) |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
Felhőben biztosított védelem engedélyezése/letiltása
Adja meg, hogy engedélyezi-e a felhőben biztosított védelmet az eszközön. A szolgáltatások biztonságának javítása érdekében javasoljuk, hogy kapcsolja be ezt a funkciót.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | Engedélyezve |
| Adattípus | Logikai |
| Lehetséges értékek | true (alapértelmezett) Hamis |
Diagnosztikai gyűjtemény szintje
A diagnosztikai adatok a Végponthoz készült Microsoft Defender biztonságának és naprakész állapotának megőrzésére, a problémák észlelésére, diagnosztizálására és megoldására, valamint a termékek fejlesztésére szolgálnak. Ez a beállítás határozza meg az Végponthoz készült Microsoft Defender által a Microsoftnak küldött diagnosztikák szintjét.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | diagnosticLevel |
| Adattípus | Karakterlánc |
| Lehetséges értékek | nem kötelező (alapértelmezett) Szükséges |
A felhőblokk szintjének konfigurálása
Ez a beállítás határozza meg, hogy a Végponthoz készült Defender mennyire lesz agresszív a gyanús fájlok blokkolásában és vizsgálatában. Ha ez a beállítás be van kapcsolva, a Végponthoz készült Defender agresszívebb lesz a blokkolni és megvizsgálni kívánt gyanús fájlok azonosításakor; ellenkező esetben kevésbé agresszív lesz, ezért kisebb gyakorisággal blokkolja és szkenneli. A felhőblokkok szintjének beállításához öt érték érhető el:
- Normál (
normal): Az alapértelmezett blokkolási szint. - Mérsékelt (
moderate): Csak a nagy megbízhatósági észlelések esetén kézbesíti az ítéletet. - Magas (
high): Agresszíven blokkolja az ismeretlen fájlokat, miközben optimalizálja a teljesítményt (nagyobb eséllyel blokkolja a nem káros fájlokat). - High Plus (
high_plus): Agresszíven blokkolja az ismeretlen fájlokat, és további védelmi intézkedéseket alkalmaz (ez hatással lehet az ügyféleszköz teljesítményére). - Zéró tolerancia (
zero_tolerance): Blokkolja az összes ismeretlen programot.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | cloudBlockLevel |
| Adattípus | Karakterlánc |
| Lehetséges értékek | normál (alapértelmezett) Mérsékelt Magas high_plus zero_tolerance |
| Megjegyzések | A Végponthoz készült Defender 101.56.62-es vagy újabb verziójában érhető el. |
Automatikus mintabeküldések engedélyezése/letiltása
Meghatározza, hogy a rendszer elküldi-e a gyanús mintákat (amelyek valószínűleg fenyegetést tartalmaznak) a Microsoftnak. A rendszer megkérdezi, hogy a beküldött fájl valószínűleg személyes adatokat tartalmaz-e.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | automaticSampleSubmission |
| Adattípus | Logikai |
| Lehetséges értékek | true (alapértelmezett) Hamis |
Automatikus biztonságiintelligencia-frissítések engedélyezése/letiltása
Meghatározza, hogy a rendszer automatikusan telepíti-e a biztonságiintelligencia-frissítéseket:
| Szakasz | Érték |
|---|---|
| Kulcs | automaticDefinitionUpdateEnabled |
| Adattípus | Logikai |
| Lehetséges értékek | true (alapértelmezett) Hamis |
Felhasználói felület beállításai
A Végponthoz készült Microsoft Defender felhasználói felületének beállításainak kezelése macOS rendszeren.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | userInterface |
| Adattípus | Szótár (beágyazott beállítás) |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
Állapot menü ikon megjelenítése/elrejtése
Itt adhatja meg, hogy meg szeretné-e jeleníteni vagy elrejteni az állapotmenü ikonját a képernyő jobb felső sarkában.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | hideStatusMenuIcon |
| Adattípus | Logikai |
| Lehetséges értékek | false (alapértelmezett) Igaz |
Visszajelzés küldésére vonatkozó lehetőség megjelenítése/elrejtése
Itt adhatja meg, hogy a felhasználók küldhetnek-e visszajelzést a Microsoftnak.Help>Send Feedback
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | userInitiatedFeedback |
| Adattípus | Karakterlánc |
| Lehetséges értékek | engedélyezve (alapértelmezett) Tiltva |
| Megjegyzések | Végponthoz készült Microsoft Defender 101.19.61-es vagy újabb verziójában érhető el. |
A Microsoft Defender fogyasztói verziójába való bejelentkezés szabályozása
Adja meg, hogy a felhasználók bejelentkezhetnek-e a Microsoft Defender fogyasztói verziójába.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | consumerExperience |
| Adattípus | Karakterlánc |
| Lehetséges értékek | engedélyezve (alapértelmezett) Tiltva |
| Megjegyzések | Végponthoz készült Microsoft Defender 101.60.18-es vagy újabb verziójában érhető el. |
Végpontészlelési és válaszbeállítások
A macOS-en futó Végponthoz készült Microsoft Defender végpontészlelési és válasz-összetevőjének (EDR) beállításainak kezelése.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | Edr |
| Adattípus | Szótár (beágyazott beállítás) |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
Eszközcímkék
Adjon meg egy címkenevet és annak értékét.
- A GROUP címke a megadott értékkel jelöli meg az eszközt. A címke az eszközoldal alatt jelenik meg a portálon, és az eszközök szűréséhez és csoportosításához használható.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | Címkék |
| Adattípus | Szótár (beágyazott beállítás) |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
Címke típusa
A címke típusát határozza meg
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | Kulcs |
| Adattípus | Karakterlánc |
| Lehetséges értékek | GROUP |
Címke értéke
A címke értékét adja meg
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | Érték |
| Adattípus | Karakterlánc |
| Lehetséges értékek | bármely sztring |
Fontos
- Címketípusonként csak egy érték állítható be.
- A címkék típusa egyedi, és nem ismétlődhet ugyanabban a konfigurációs profilban.
Csoportazonosító
EDR-csoportazonosítók
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | groupIds |
| Adattípus | Karakterlánc |
| Megjegyzések | Csoportazonosító |
Illetéktelen módosítás elleni védelem
Kezelheti a macOS-en futó Végponthoz készült Microsoft Defender Tamper Protection összetevőjének beállításait.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | tamperProtection |
| Adattípus | Szótár (beágyazott beállítás) |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
Kényszerítési szint
Ha az illetéktelen módosítás elleni védelem engedélyezve van, és szigorú módban van
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | enforcementLevel |
| Adattípus | Karakterlánc |
| Megjegyzések | Az egyik "letiltott", "audit" vagy "blokk" |
Lehetséges értékek:
- letiltva – Az illetéktelen módosítás elleni védelem ki van kapcsolva, nincs megelőzés a felhőbe irányuló támadások vagy jelentéskészítés során
- audit – Az illetéktelen módosítás elleni védelem csak a felhőbe irányuló illetéktelen módosítási kísérleteket jelenti, de nem blokkolja őket
- block – Az illetéktelen módosítás elleni védelem blokkolja és jelenti a felhőbe irányuló támadásokat
Kizárások
Olyan folyamatokat határoz meg, amelyek lehetővé teszi Microsoft Defender objektumának módosítását anélkül, hogy illetéktelen módosítást fontolgatnak. Meg kell adni az elérési utat, a teamId-t vagy az aláíróazonosítót, vagy a kombinációjukat. Args is megadható, hogy az engedélyezett folyamat pontosabban.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | Kizárások |
| Adattípus | Szótár (beágyazott beállítás) |
| Megjegyzések | A szótár tartalmának leírását az alábbi szakaszokban találja. |
Elérési út
A végrehajtható folyamat pontos elérési útja.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | Elérési út |
| Adattípus | Karakterlánc |
| Megjegyzések | Rendszerhéjszkript esetén ez lesz az értelmező bináris fájl pontos elérési útja, például . /bin/zsh Helyettesítő karakterek használata nem engedélyezett. |
Csapatazonosító
Az Apple "Csapatazonosítója" a szállítótól.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | teamId |
| Adattípus | Karakterlánc |
| Megjegyzések | Például a UBF8T346G9 Microsoft esetében |
Aláírási azonosító
Az Apple "aláírási azonosítója" a csomagban.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | aláíró azonosító |
| Adattípus | Karakterlánc |
| Megjegyzések | Például Ruby-értelmező com.apple.ruby esetén |
Folyamatargumentumok
Más paraméterekkel együtt használva azonosítja a folyamatot.
| Szakasz | Érték |
|---|---|
| Domain (Tartomány) | com.microsoft.wdav |
| Kulcs | aláíró azonosító |
| Adattípus | Sztringek tömbje |
| Megjegyzések | Ha meg van adva, a folyamatargumentumnak pontosan meg kell egyeznie az argumentumokkal, a kis- és nagybetűk megkülönböztetésével |
Ajánlott konfigurációs profil
Elsőként a következő konfigurációt javasoljuk a vállalat számára, hogy kihasználhassa a Végponthoz készült Microsoft Defender által biztosított összes védelmi funkciót.
A következő konfigurációs profil (JAMF esetén az egyéni beállításkonfigurációs profilba feltölthető tulajdonságlista) lesz:
- Valós idejű védelem (RTP) engedélyezése
- Adja meg a következő fenyegetéstípusok kezelési módját:
- A potenciálisan nemkívánatos alkalmazások (PUA) le vannak tiltva
- Az archív bombák (magas tömörítési sebességgel rendelkező fájlok) naplózása Végponthoz készült Microsoft Defender naplókba
- Automatikus biztonságiintelligencia-frissítések engedélyezése
- Felhőben nyújtott védelem engedélyezése
- Automatikus mintaküldés engedélyezése
A JAMF által ajánlott konfigurációs profil tulajdonságlistája
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
ajánlott profil Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.wdav</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
Példa teljes konfigurációs profilra
Az alábbi sablonok az ebben a dokumentumban ismertetett összes beállításhoz tartalmaznak bejegyzéseket, és olyan speciálisabb forgatókönyvekhez használhatók, ahol nagyobb mértékben szeretné szabályozni a macOS-en Végponthoz készült Microsoft Defender.
A JAMF teljes konfigurációs profiljának tulajdonságlistája
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Intune teljes profil
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Tulajdonságlista érvényesítése
A tulajdonságlistának érvényes .plist fájlnak kell lennie. Ezt a következő parancs végrehajtásával ellenőrizheti:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Ha a fájl jól formázott, a fenti parancs kimenete OK és kilépési kódja lesz 0. Ellenkező esetben megjelenik egy hiba, amely leírja a problémát, és a parancs a kilépési kódját 1adja vissza.
Konfigurációs profil üzembe helyezése
Miután elkészítette a vállalati konfigurációs profilt, üzembe helyezheti a vállalat által használt felügyeleti konzolon keresztül. A következő szakaszok útmutatást nyújtanak a profil JAMF és Intune használatával történő üzembe helyezéséhez.
JAMF üzembe helyezése
A JAMF-konzolon nyissa meg a Számítógépek>konfigurációs profiljait, keresse meg a használni kívánt konfigurációs profilt, majd válassza az Egyéni beállítások lehetőséget. Létrehozás egy bejegyzést a beállítástartományként, com.microsoft.wdav és töltse fel a korábban létrehozott .plist fájlt.
Figyelem!
Meg kell adnia a megfelelő beállítástartományt (com.microsoft.wdav); ellenkező esetben a Végponthoz készült Microsoft Defender nem ismeri fel a beállításokat.
Intune üzembe helyezés
Nyissa meg az Eszközök>konfigurációs profiljait. Válassza Létrehozás Profil lehetőséget.
Válassza ki a profil nevét. Módosítsa a Platform=macOS értéket Profiltípus=Sablonok értékre, és válassza az Egyéni lehetőséget a sablon neve szakaszban. Válassza a Konfigurálás lehetőséget.
Mentse a korábban létrehozott .plist fájlt néven
com.microsoft.wdav.xml.Adja meg
com.microsoft.wdavaz egyéni konfigurációs profil nevét.Nyissa meg a konfigurációs profilt, és töltse fel a
com.microsoft.wdav.xmlfájlt. (Ez a fájl a 3. lépésben lett létrehozva.)Kattintson az OK gombra.
Válassza aHozzárendelésekkezelése> lehetőséget. A Belefoglalás lapon válassza a Hozzárendelés minden felhasználóhoz & Minden eszköz lehetőséget.
Figyelem!
Meg kell adnia a megfelelő egyéni konfigurációs profilnevet; ellenkező esetben ezeket a beállításokat a Végponthoz készült Microsoft Defender nem ismeri fel.
Források
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: