CSP Defender

Edição Windows 10 Windows 11
Home Sim Sim
Pro Sim Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Aviso

Algumas informações dizem respeito a produtos de pré-lançamento que poderão ser substancialmente modificados antes do lançamento comercial. A Microsoft não faz nenhuma garantia, expressa ou implícita, com relação às informações fornecidas aqui.

O Windows Defender de serviço de configuração é usado para configurar várias Windows Defender ações em toda a empresa.

O exemplo a seguir mostra o provedor Windows Defender de configuração em formato de árvore.

./Vendor/MSFT
Defender
----Detections
--------ThreatId
------------Name
------------URL
------------Severity
------------Category
------------CurrentStatus
------------ExecutionStatus
------------InitialDetectionTime
------------LastThreatStatusChangeTime
------------NumberOfDetections
----EnableNetworkProtection
--------AllowNetworkProtectionDownLevel
--------AllowNetworkProtectionOnWinServer
--------DisableNetworkProtectionPerfTelemetry
--------DisableDatagramProcessing
--------DisableInboundConnectionFiltering
--------EnableDnsSinkhole
--------DisableDnsOverTcpParsing
--------DisableHttpParsing
--------DisableRdpParsing
--------DisableSshParsing
--------DisableTlsParsing
----Health
--------ProductStatus (Added in Windows 10 version 1809)
--------ComputerState
--------DefenderEnabled
--------RtpEnabled
--------NisEnabled
--------QuickScanOverdue
--------FullScanOverdue
--------SignatureOutOfDate
--------RebootRequired
--------FullScanRequired
--------EngineVersion
--------SignatureVersion
--------DefenderVersion
--------QuickScanTime
--------FullScanTime
--------QuickScanSigVersion
--------FullScanSigVersion
--------TamperProtectionEnabled (Added in Windows 10, version 1903)
--------IsVirtualMachine (Added in Windows 10, version 1903)
----Configuration (Added in Windows 10, version 1903)
--------TamperProtection (Added in Windows 10, version 1903)
--------EnableFileHashComputation (Added in Windows 10, version 1903)
--------SupportLogLocation (Added in the next major release of Windows 10)
--------PlatformUpdatesChannel (Added with the 4.18.2106.5 Defender platform release)
--------EngineUpdatesChannel (Added with the 4.18.2106.5 Defender platform release)
--------SecurityIntelligenceUpdatesChannel (Added with the 4.18.2106.5 Defender platform release)
--------DisableGradualRelease (Added with the 4.18.2106.5 Defender platform release)
--------PassiveRemediation (Added with the 4.18.2202.X Defender platform release)
----Scan
----UpdateSignature
----OfflineScan (Added in Windows 10 version 1803)

Detecções
Um nó interno para agrupar todas as ameaças detectadas por Windows Defender.

A operação com suporte é Get.

Detecções/ ThreatId
A ID de uma ameaça que foi detectada pelo Windows Defender.

A operação com suporte é Get.

Detecções/ThreatId/Nome
O nome da ameaça específica.

O tipo de dados é uma cadeia de caracteres.

A operação com suporte é Get.

Detecções/ThreatId/URL
Link de URL para obter mais informações sobre ameaças.

O tipo de dados é uma cadeia de caracteres.

A operação com suporte é Get.

Detecções/ThreatId/Gravidade
ID de gravidade da ameaça.

O tipo de dados é inteiro.

A lista a seguir mostra os valores com suporte:

  • 0 = Desconhecido
  • 1 = Baixo
  • 2 = Moderado
  • 4 = Alto
  • 5 = Grave

A operação com suporte é Get.

Detecções/ThreatId/Categoria
ID da categoria de ameaça.

O tipo de dados é inteiro.

A tabela a seguir descreve os valores com suporte:

Value Descrição
0 Inválido
1 Adware
2 Spyware
3 Roubo de senha
4 Downloader de Cavalos de Troia
5 Worm
6 Backdoor
7 Trojan de acesso remoto
8 Trojan
9 Inundador de email
10 Agente de chave
11 Dialer
12 Software de monitoramento
13 Modificador do navegador
14 Cookie
15 Plug-in do navegador
16 Exploração de AOL
17 Nuker
18 Desabilitador de segurança
19 Programa de piada
20 Controle ActiveX hostil
21 Empacotador de software
22 Modificador furtivo
23 Configurações modificador
24 Barra de ferramentas
25 Software de controle remoto
26 FTP de Troia
27 Software potencialmente indesejado
28 Exploração de ICQ
29 Telnet de Troia
30 Exploração
31 Programa de compartilhamento de arquivos
32 Ferramenta de criação de malware
33 Software de controle remoto
34 Ferramenta
36 Negação de serviço de Troia
37 Dropper de troia
38 Mailer em massa de Troia
39 Software de monitoramento de Trojan
40 Servidor proxy de Troia
42 Vírus
43 Conhecido
44 Desconhecido
45 SPP
46 Comportamento
47 Vulnerabilidade
48 Política
49 EUS (Enterprise Software Indesejado)
50 Ransomware
51 Regra ASR

A operação com suporte é Get.

Detecções/ThreatId/CurrentStatus
Informações sobre o status atual da ameaça.

O tipo de dados é inteiro.

A lista a seguir mostra os valores com suporte:

  • 0 = Ativo
  • 1 = Falha na ação
  • 2 = Etapas manuais necessárias
  • 3 = Verificação completa necessária
  • 4 = Reinicialização necessária
  • 5 = Corrigido com falhas não críticas
  • 6 = Em quarentena
  • 7 = Removido
  • 8 = Limpo
  • 9 = Permitido
  • 10 = Sem Status (Desmarcado)

A operação com suporte é Get.

Detecções/ThreatId/CurrentStatus
Informações sobre o status atual da ameaça.

O tipo de dados é inteiro.

A lista a seguir mostra os valores com suporte:

  • 0 = Ativo
  • 1 = Falha na ação
  • 2 = Etapas manuais necessárias
  • 3 = Verificação completa necessária
  • 4 = Reinicialização necessária
  • 5 = Corrigido com falhas não críticas
  • 6 = Em quarentena
  • 7 = Removido
  • 8 = Limpo
  • 9 = Permitido
  • 10 = Sem Status (Desmarcado)

A operação com suporte é Get.

Detecções/ThreatId/ExecutionStatus
Informações sobre o status de execução da ameaça.

O tipo de dados é inteiro.

A lista a seguir mostra os valores com suporte:

  • 0 = Desconhecido
  • 1 = Bloqueado
  • 2 = Permitido
  • 3 = Em execução
  • 4 = Não em execução

A operação com suporte é Get.

Detecções/ThreatId/InitialDetectionTime
A primeira vez que essa ameaça específica foi detectada.

O tipo de dados é uma cadeia de caracteres.

A operação com suporte é Get.

Detecções/ThreatId/LastThreatStatusChangeTime
A última vez que essa ameaça em particular foi alterada.

O tipo de dados é uma cadeia de caracteres.

A operação com suporte é Get.

Detecções/ThreatId/NumberOfDetections
Número de vezes que essa ameaça foi detectada em um cliente específico.

O tipo de dados é inteiro.

A operação com suporte é Get.

EnableNetworkProtection

O Serviço de Proteção de Rede é um filtro de rede que ajuda a proteger você contra ameaças mal-intencionadas baseadas na Web, incluindo phishing e malware. O serviço de Proteção de Rede entra em contato com o serviço de reputação de URL smartScreen para validar a segurança das conexões com recursos da Web. Os valores aceitáveis para esse parâmetro são:

  • 0: Desabilitado. O serviço de Proteção de Rede não bloqueará a navegação para sites mal-intencionados ou contatará o serviço de reputação de URL smartScreen. Ele ainda enviará metadados de conexão para o mecanismo antimalware se o monitoramento de comportamento estiver habilitado, para aprimorar as Detecções de AV.
  • 1: Habilitado. O serviço de Proteção de Rede bloqueará conexões com sites mal-intencionados com base na reputação de URL do serviço de reputação de URL smartScreen.
  • 2: AuditMode. Como acima, mas o serviço de Proteção de Rede não bloqueará conexões com sites mal-intencionados, mas registrará em log o acesso ao log de eventos.

Valores aceitos: Posição desabilitada, habilitada e AuditMode: valor padrão nomeado: Aceitar entrada de pipeline desabilitada: falso aceitar caracteres curinga: False

EnableNetworkProtection/AllowNetworkProtectionDownLevel

Por padrão, a proteção de rede não tem permissão para ser habilitada Windows versões anteriores à 1709, independentemente da configuração de EnableNetworkProtection. Defina essa configuração como "$true" para substituir esse comportamento e permitir que a Proteção de Rede seja definida como Habilitado ou Modo de Auditoria.

  • Tipo: Boolean
  • Posição: nomeado
  • Valor padrão: False
  • Aceitar entrada de pipeline: False
  • Aceitar caracteres curinga: False

EnableNetworkProtection/AllowNetworkProtectionOnWinServer

Por padrão, a proteção de rede não tem permissão para ser habilitada no Windows Server, independentemente da configuração de EnableNetworkProtection. Defina essa configuração como "$true" para substituir esse comportamento e permitir que a Proteção de Rede seja definida como Habilitado ou Modo de Auditoria.

  • Tipo: Boolean
  • Posição: nomeado
  • Valor padrão: False
  • Aceitar entrada de pipeline: False
  • Aceitar caracteres curinga: False

EnableNetworkProtection/DisableNetworkProtectionPerfTelemetry

A Proteção de Rede envia estatísticas de desempenho anônimas sobre seu monitoramento de conexão para melhorar nosso produto e ajudar a encontrar bugs. Você pode desabilitar esse comportamento definindo essa configuração como "$true".

  • Tipo: Boolean
  • Posição: nomeado
  • Valor padrão: False
  • Aceitar entrada de pipeline: False
  • Aceitar caracteres curinga: False

EnableNetworkProtection/DisableDatagramProcessing

A Proteção de Rede inspeciona as conexões UDP, permitindo que encontremos DNS mal-intencionado ou outro tráfego UDP. Para desabilitar essa funcionalidade, defina essa configuração como "$true".

  • Tipo: Boolean
  • Posição: nomeado
  • Valor padrão: False
  • Aceitar entrada de pipeline: False
  • Aceitar caracteres curinga: False

EnableNetworkProtection/DisableInboundConnectionFiltering

A Proteção de Rede inspeciona e pode bloquear as conexões originadas do computador host e as conexões originadas de fora do computador. Para que a conexão de rede inspecione somente as conexões de saída, defina essa configuração como "$true".

  • Tipo: Boolean
  • Posição: nomeado
  • Valor padrão: False
  • Aceitar entrada de pipeline: False
  • Aceitar caracteres curinga: False

EnableNetworkProtection/EnableDnsSinkhole

A Proteção de Rede pode inspecionar o tráfego DNS de um computador e, em conjunto com o monitoramento de comportamento, detectar e afundar tentativas de exfiltração de DNS e outros ataques mal-intencionados baseados em DNS. Defina essa configuração como "$true" para habilitar esse recurso.

  • Tipo: Boolean
  • Posição: nomeado
  • Valor padrão: False
  • Aceitar entrada de pipeline: False
  • Aceitar caracteres curinga: False

EnableNetworkProtection/DisableDnsOverTcpParsing

A Proteção de Rede inspeciona o tráfego DNS que ocorre em um canal TCP, para fornecer metadados para o Monitoramento de Comportamento antimalware ou para permitir o holing do coletor DNS se a configuração -EnableDnsSinkhole estiver definida. Esse atributo pode ser desabilitado definindo esse valor como "$true".

  • Tipo: Boolean
  • Posição: nomeado
  • Valor padrão: False
  • Aceitar entrada de pipeline: False
  • Aceitar caracteres curinga: False

EnableNetworkProtection/DisableDnsParsing

A Proteção de Rede inspeciona o tráfego DNS que ocorre em um canal UDP para fornecer metadados para o Monitoramento de Comportamento antimalware ou para permitir o holing do coletor DNS se a configuração -EnableDnsSinkhole estiver definida. Esse atributo pode ser desabilitado definindo esse valor como "$true".

  • Tipo: Boolean
  • Posição: nomeado
  • Valor padrão: False
  • Aceitar entrada de pipeline: False
  • Aceitar caracteres curinga: False

EnableNetworkProtection/DisableHttpParsing

A Proteção de Rede inspeciona o tráfego HTTP para ver se uma conexão está sendo feita com um site mal-intencionado e para fornecer metadados para o Monitoramento de Comportamento. As conexões HTTP com sites mal-intencionados também poderão ser bloqueadas se Habilitar a Proteção de Rede estiver definida como habilitada. A inspeção HTTP pode ser desabilitada definindo esse valor como "$true".

  • Tipo: Boolean
  • Posição: nomeado
  • Valor padrão: False
  • Aceitar entrada de pipeline: False
  • Aceitar caracteres curinga: False

EnableNetworkProtection/DisableRdpParsing

A Proteção de Rede inspeciona o tráfego RDP para que possa bloquear conexões de hosts mal-intencionados conhecidos se Habilitar a Proteção de Rede estiver definida para ser habilitada e para fornecer metadados ao monitoramento de comportamento. A inspeção RDP pode ser desabilitada definindo esse valor como "$true".

  • Tipo: Boolean
  • Posição: nomeado
  • Valor padrão: False
  • Aceitar entrada de pipeline: False
  • Aceitar caracteres curinga: False

EnableNetworkProtection/DisableSshParsing

A Proteção de Rede inspeciona o tráfego SSH para que possa bloquear conexões de hosts mal-intencionados conhecidos. Se Habilitar a Proteção de Rede estiver definida para ser habilitada e para fornecer metadados ao monitoramento de comportamento. A inspeção SSH pode ser desabilitada definindo esse valor como "$true".

  • Tipo: Boolean
  • Posição: nomeado
  • Valor padrão: False
  • Aceitar entrada de pipeline: False
  • Aceitar caracteres curinga: False

EnableNetworkProtection/DisableTlsParsing

A Proteção de Rede inspeciona o tráfego TLS (também conhecido como tráfego HTTPS) para ver se uma conexão está sendo feita com um site mal-intencionado e para fornecer metadados ao Monitoramento de Comportamento. As conexões TLS com sites mal-intencionados também poderão ser bloqueadas se Habilitar a Proteção de Rede estiver definida como habilitada. A inspeção HTTP pode ser desabilitada definindo esse valor como "$true".

  • Tipo: Boolean
  • Posição: nomeado
  • Valor padrão: False
  • Aceitar entrada de pipeline: False
  • Aceitar caracteres curinga: False

Integridade
Um nó interno para agrupar informações sobre Windows Defender de integridade.

A operação com suporte é Get.

Health/ProductStatus
Adicionado em Windows 10, versão 1809. Forneça o estado atual do produto. Esse valor é um valor de sinalizador de máscara de bits que pode representar um ou vários estados de produto da lista abaixo.

O tipo de dados é inteiro. A operação com suporte é Get.

Valores de status do produto com suporte:

  • Sem status = 0
  • Serviço não em execução = 1 << 0
  • Serviço iniciado sem nenhum mecanismo de proteção contra malware = 1 << 1
  • Verificação completa pendente devido à ação de ameaça = 1 << 2
  • Reinicialização pendente devido à ação de ameaça = 1 << 3
  • encerrando etapas manuais devido à ação de ameaça = 1 << 4
  • Assinaturas AV desatualizadas = 1 << 5
  • Assinaturas AS desatualizadas = 1 << 6
  • Nenhuma verificação rápida ocorreu durante um período especificado = 1 << 7
  • Nenhuma verificação completa ocorreu durante um período especificado = 1 << 8
  • Verificação iniciada pelo sistema em andamento = 1 << 9
  • Limpeza iniciada pelo sistema em andamento = 1 << 10
  • Há exemplos de envio pendente = 1 << 11
  • Produto em execução no modo de avaliação = 1 << 12
  • Produto em execução no modo Windows original = 1 << 13
  • Produto expirado = 1 << 14
  • Verificação offline necessária = 1 << 15
  • O serviço está sendo desligado como parte do desligamento do sistema = 1 << 16
  • Falha crítica na correção de ameaças = 1 << 17
  • Falha na correção de ameaças não crítica = 1 << 18
  • Nenhum conjunto de sinalizadores de status (estado bem inicializado) = 1 << 19
  • A plataforma está desatualizada = 1 << 20
  • A atualização da plataforma está em andamento = 1 << 21
  • A plataforma está prestes a ser desatualizada = 1 << 22
  • O fim da vida útil da assinatura ou da plataforma é passado ou está pendente = 1 << 23
  • Windows assinaturas SMode ainda em uso na instalação não Win10S = 1 << 24

Exemplo:

<SyncML xmlns="SYNCML:SYNCML1.1">
  <SyncBody>
    <Get>
      <CmdID>1</CmdID>
        <Item>
          <Target>
            <LocURI>./Vendor/MSFT/Defender/Health/ProductStatus</LocURI>
          </Target>
        </Item>
    </Get>
    <Final/>
  </SyncBody>
</SyncML>

Health/ComputerState
Forneça o estado atual do dispositivo.

O tipo de dados é inteiro.

A lista a seguir mostra os valores com suporte:

  • 0 = Limpo
  • 1 = Verificação completa pendente
  • 2 = Reinicialização pendente
  • 4 = Etapas manuais pendentes (Windows Defender está aguardando que o usuário execute alguma ação, como reiniciar o computador ou executar uma verificação completa)
  • 8 = Verificação offline pendente
  • 16 = Falha crítica pendente (o Windows Defender falhou de forma crítica e um administrador precisa investigar e executar alguma ação, como reiniciar o computador ou reinstalar o Windows Defender)

A operação com suporte é Get.

Health/DefenderEnabled
Indica se o serviço Windows Defender está em execução.

O tipo de dados é um booliano.

A operação com suporte é Get.

Health/RtpEnabled
Indica se a proteção em tempo real está em execução.

O tipo de dados é um booliano.

A operação com suporte é Get.

Health/NisEnabled
Indica se a proteção de rede está em execução.

O tipo de dados é um booliano.

A operação com suporte é Get.

Health/QuickScanOverdue
Indica se uma verificação Windows Defender rápida está vencida para o dispositivo.

Uma verificação rápida está vencida quando uma verificação rápida agendada não foi concluída com êxito por duas semanas e as verificações rápidas de atualização estão desabilitadas (padrão).

O tipo de dados é um booliano.

A operação com suporte é Get.

Health/FullScanOverdue
Indica se uma Windows Defender verificação completa está vencida para o dispositivo.

Uma verificação completa está vencida quando uma verificação completa agendada não foi concluída com êxito por duas semanas e as verificações completas de atualização estão desabilitadas (padrão).

O tipo de dados é um booliano.

A operação com suporte é Get.

Health/SignatureOutOfDate
Indica se a assinatura Windows Defender está desatualizada.

O tipo de dados é um booliano.

A operação com suporte é Get.

Health/RebootRequired
Indica se uma reinicialização do dispositivo é necessária.

O tipo de dados é um booliano.

A operação com suporte é Get.

Health/FullScanRequired
Indica se uma verificação Windows Defender completa é necessária.

O tipo de dados é um booliano.

A operação com suporte é Get.

Health/EngineVersion
Número de versão do mecanismo Windows Defender atual no dispositivo.

O tipo de dados é uma cadeia de caracteres.

A operação com suporte é Get.

Health/SignatureVersion
Número de versão das assinaturas Windows Defender atual no dispositivo.

O tipo de dados é uma cadeia de caracteres.

A operação com suporte é Get.

Health/DefenderVersion
Número de versão Windows Defender no dispositivo.

O tipo de dados é uma cadeia de caracteres.

A operação com suporte é Get.

Health/QuickScanTime
Hora da última Windows Defender rápida do dispositivo.

O tipo de dados é uma cadeia de caracteres.

A operação com suporte é Get.

Health/FullScanTime
Hora da última Windows Defender verificação completa do dispositivo.

O tipo de dados é uma cadeia de caracteres.

A operação com suporte é Get.

Health/QuickScanSigVersion
Versão de assinatura usada para a última verificação rápida do dispositivo.

O tipo de dados é uma cadeia de caracteres.

A operação com suporte é Get.

Health/FullScanSigVersion
Versão de assinatura usada para a última verificação completa do dispositivo.

O tipo de dados é uma cadeia de caracteres.

A operação com suporte é Get.

Health/TamperProtectionEnabled
Indica se o recurso Windows Defender proteção contra adulterações está habilitado.

O tipo de dados é um booliano.

A operação com suporte é Get.

Health/IsVirtualMachine
Indica se o dispositivo é uma máquina virtual.

O tipo de dados é uma cadeia de caracteres.

A operação com suporte é Get.

Configuração
Um nó interno para agrupar informações Windows Defender configuração.

A operação com suporte é Get.

Configuration/TamperProtection

A proteção contra adulterações ajuda a proteger recursos de segurança importantes contra alterações e interferências indesejadas. Essa proteção inclui proteção em tempo real, monitoramento de comportamento e muito mais. Aceita a cadeia de caracteres assinada para ativar ou desativar o recurso. Configurações são configurados com uma solução de MDM, como Intune e estão disponíveis no Windows 10 Enterprise E5 ou assinaturas equivalentes.

Envie o blob para o dispositivo para redefinir o estado de proteção contra adulterações antes de definir essa configuração como "não configurado" ou "não atribuído" no Intune.

O tipo de dados é um BLOB assinado.

As operações com suporte são Add, Delete, Get, Replace.

Intune UX de configuração de proteção contra adulterações dá suporte a três estados:

  • Não configurado (padrão): não tem nenhum impacto sobre o estado padrão do dispositivo.
  • Habilitado: habilita o recurso de proteção contra adulterações.
  • Desabilitado: desativa o recurso de proteção contra adulterações.

Quando habilitada ou desabilitada existe no cliente e o administrador move a configuração para não configurada, ela não terá nenhum impacto no estado do dispositivo. Para alterar o estado para habilitado ou desabilitado, seria necessário definir explicitamente.

Configuration/DisableLocalAdminMerge
Essa configuração de política controla se as configurações de lista complexas definidas por um administrador local são mescladas ou não com as configurações gerenciadas. Essa configuração se aplica a listas como ameaças e lista de exclusões.

Se você desabilitar ou não definir essa configuração, os itens exclusivos definidos nas configurações de preferência definidas pelo administrador local serão mesclados à política efetiva resultante. Se ocorrerem conflitos, as configurações de gerenciamento substituirão as configurações de preferência.

Se você habilitar essa configuração, somente os itens definidos pelo gerenciamento serão usados na política efetiva resultante. As configurações gerenciadas substituirão as configurações de preferência definidas pelo administrador local.

Observação

Aplicar essa configuração não removerá exclusões do registro de dispositivo, apenas impedirá que elas sejam aplicadas/usadas. Isso é refletido em Get-MpPreference.

Versões do sistema operacional com suporte: Windows 10

O tipo de dados é inteiro.

As operações com suporte são Add, Delete, Get, Replace.

Os valores válidos são:

  • 1 – Habilitar.
  • 0 (padrão) – Desabilitar.

Configuration/HideExclusionsFromLocalAdmins

Essa configuração de política controla se as exclusões estão visíveis ou não para administradores locais. Para usuários finais (que não são Administradores Locais), as exclusões não ficam visíveis, independentemente de essa configuração estar habilitada ou não.

Se você desabilitar ou não definir essa configuração, os Administradores Locais poderão ver exclusões no aplicativo Segurança do Windows, no Registro e por meio do PowerShell.

Se você habilitar essa configuração, os Administradores Locais não poderão mais ver a lista de exclusões no aplicativo Segurança do Windows, no Registro ou por meio do PowerShell.

Observação

Aplicar essa configuração não removerá exclusões, apenas impedirá que elas sejam visíveis para administradores locais. Isso é refletido em Get-MpPreference.

Versões do sistema operacional com suporte: Windows 10

O tipo de dados é inteiro.

As operações com suporte são adicionar, excluir, obter e substituir.

Os valores válidos são:

  • 1 – Habilitar.
  • 0 (padrão) – Desabilitar.

Configuration/DisableCpuThrottleOnIdleScans

Indica se a CPU será limitada para verificações agendadas enquanto o dispositivo estiver ocioso. Esse recurso é habilitado por padrão e não limitará a CPU para verificações agendadas executadas quando o dispositivo estiver ocioso, independentemente do que ScanAvgCPULoadFactor está definido. Para todas as outras verificações agendadas, esse sinalizador não terá impacto e ocorrerá uma limitação normal.

O tipo de dados é inteiro.

As operações com suporte são adicionar, excluir, obter e substituir.

Os valores válidos são:

  • 1 (padrão) – Habilitar.
  • 0 – Desabilitar.

Configuration/MeteredConnectionUpdates
Permitir que os dispositivos gerenciados atualizem por meio de conexões limitadas. Encargos de dados podem ser aplicados.

O tipo de dados é inteiro.

As operações com suporte são adicionar, excluir, obter e substituir.

Os valores válidos são:

  • 1 – Habilitar.
  • 0 (padrão) – Desabilitar.

Configuration/AllowNetworkProtectionOnWinServer
Essas configurações controla se a Proteção de Rede tem permissão para ser configurada no modo de bloco ou auditoria no Windows Server. Se for false, o valor de EnableNetworkProtection será ignorado.

O tipo de dados é inteiro.

As operações com suporte são adicionar, excluir, obter e substituir.

Os valores válidos são:

  • 1 – Habilitar.
  • 0 (padrão) – Desabilitar.

Configuration/ExclusionIpAddress
Permite que um administrador desabilite explicitamente a inspeção de pacotes de rede feita pelo wdnisdrv em um conjunto específico de endereços IP.

O tipo de dados é cadeia de caracteres.

As operações com suporte são adicionar, excluir, obter e substituir.

Configuration/EnableFileHashComputation
Habilita ou desabilita o recurso de computação de hash de arquivo. Quando esse recurso estiver habilitado, o Windows Defender calculará hashes para arquivos que ele examina.

O tipo de dados é inteiro.

As operações com suporte são adicionar, excluir, obter e substituir.

Os valores válidos são:

  • 1 – Habilitar.
  • 0 (padrão) – Desabilitar.

Configuration/SupportLogLocation
A configuração de local do log de suporte permite que o administrador especifique onde Microsoft Defender Antivírus ferramenta de coleta de dados de diagnóstico (MpCmdRun.exe) salvará os arquivos de log resultantes. Essa configuração é definida com uma solução de MDM, como Intune, e está disponível para Windows 10 Enterprise.

O tipo de dados é cadeia de caracteres.

As operações com suporte são adicionar, excluir, obter e substituir.

Intune UX de configuração de local de log de suporte dá suporte a três estados:

  • Não configurado (padrão) – não tem nenhum impacto no estado padrão do dispositivo.
  • 1- Habilitado. Habilita o recurso de local do log de suporte. Requer que o administrador defina o caminho de arquivo personalizado.
  • 0 - Desabilitado. Desativa o recurso de local do log de suporte.

Quando habilitada ou desabilitada existe no cliente e o administrador move a configuração para não configurada, ela não terá nenhum impacto no estado do dispositivo. Para alterar o estado para habilitado ou desabilitado, seria necessário definir explicitamente.

Mais detalhes:

Configuration/PlatformUpdatesChannel Habilite essa política para especificar quando os dispositivos recebem atualizações da plataforma Microsoft Defender durante a distribuição gradual mensal.

Canal Beta: os dispositivos definidos para esse canal serão os primeiros a receber novas atualizações. Selecione Canal Beta para participar da identificação e do relatório de problemas para a Microsoft. Os dispositivos no Programa Windows Insider são inscritos neste canal por padrão. Para uso somente em ambientes de teste (manual) e um número limitado de dispositivos.

Canal Atual (versão prévia): os dispositivos definidos para esse canal receberão atualizações mais cedo durante o ciclo de lançamento gradual mensal. Sugerido para ambientes de pré-produção/validação.

Canal Atual (Preparado): os dispositivos receberão atualizações após o ciclo de lançamento gradual mensal. Foi sugerida a aplicação a uma pequena parte representativa da sua população de produção (~10%).

Canal Atual (Amplo): os dispositivos receberão atualizações somente após a conclusão do ciclo de lançamento gradual. Sugerida a aplicação a um amplo conjunto de dispositivos em sua população de produção (~10-100%).

Crítico: os dispositivos receberão atualizações com um atraso de 48 horas. Sugerido apenas para ambientes críticos

Se você desabilitar ou não configurar essa política, o dispositivo permanecerá atualizado automaticamente durante o ciclo de lançamento gradual. Adequado para a maioria dos dispositivos.

O tipo de dados é inteiro.

As operações com suporte são adicionar, excluir, obter e substituir.

Os valores válidos são:

  • 0: Não configurado (Padrão)
  • 2: Canal Beta – Pré-lançamento
  • 3: Canal Atual (versão prévia)
  • 4: Canal Atual (Preparado)
  • 5: Canal Atual (Amplo)
  • 6: Crítico – Atraso de Tempo

Mais detalhes:

Configuration/EngineUpdatesChannel Habilite essa política para especificar quando os dispositivos recebem atualizações do mecanismo do Microsoft Defender durante a distribuição gradual mensal.

Canal Beta: os dispositivos definidos para esse canal serão os primeiros a receber novas atualizações. Selecione Canal Beta para participar da identificação e do relatório de problemas para a Microsoft. Os dispositivos no Programa Windows Insider são inscritos neste canal por padrão. Para uso somente em ambientes de teste (manual) e um número limitado de dispositivos.

Canal Atual (versão prévia): os dispositivos definidos para esse canal receberão atualizações mais cedo durante o ciclo de lançamento gradual mensal. Sugerido para ambientes de pré-produção/validação.

Canal Atual (Preparado): os dispositivos receberão atualizações após o ciclo de lançamento gradual mensal. Foi sugerida a aplicação a uma pequena parte representativa da sua população de produção (~10%).

Canal Atual (Amplo): os dispositivos receberão atualizações somente após a conclusão do ciclo de lançamento gradual. Sugerida a aplicação a um amplo conjunto de dispositivos em sua população de produção (~10-100%).

Crítico: os dispositivos receberão atualizações com um atraso de 48 horas. Sugerido apenas para ambientes críticos

Se você desabilitar ou não configurar essa política, o dispositivo permanecerá atualizado automaticamente durante o ciclo de lançamento gradual. Adequado para a maioria dos dispositivos.

O tipo de dados é inteiro.

As operações com suporte são adicionar, excluir, obter e substituir.

Os valores válidos são:

  • 0: Não configurado (Padrão)
  • 2: Canal Beta – Pré-lançamento
  • 3: Canal Atual (versão prévia)
  • 4: Canal Atual (Preparado)
  • 5: Canal Atual (Amplo)
  • 6: Crítico – Atraso de Tempo

Mais detalhes:

Configuration/SecurityIntelligenceUpdatesChannel Habilite essa política para especificar quando os dispositivos recebem atualizações diárias de inteligência de segurança (definição) do Microsoft Defender durante a distribuição gradual diária.

Canal Atual (Em etapas): os dispositivos receberão atualizações após o ciclo de lançamento. Sugerida a aplicação a uma pequena parte representativa da população de produção (~10%).

Canal Atual (Amplo): os dispositivos receberão atualizações somente após a conclusão do ciclo de lançamento gradual. Sugerida a aplicação a um amplo conjunto de dispositivos em sua população de produção (~10-100%).

Se você desabilitar ou não configurar essa política, o dispositivo permanecerá atualizado automaticamente durante o ciclo de lançamento diário. Adequado para a maioria dos dispositivos.

O tipo de dados é inteiro. As operações com suporte são adicionar, excluir, obter e substituir.

Os valores válidos são:

  • 0: Não configurado (Padrão)
  • 4: Canal Atual (Preparado)
  • 5: Canal Atual (Amplo)

Mais detalhes:

Configuration/DisableGradualRelease Habilite essa política para desabilitar a distribuição gradual de atualizações mensais e diárias do Microsoft Defender. Os dispositivos receberão todas as atualizações do Microsoft Defender após a conclusão do ciclo de lançamento gradual. Essa facilidade para dispositivos é melhor para datacenters que recebem apenas atualizações limitadas.

Observação

Essa configuração se aplica a atualizações mensais e diárias do Microsoft Defender e substituirá todas as seleções de canal configuradas anteriormente para atualizações de plataforma e mecanismo.

Se você desabilitar ou não configurar essa política, o dispositivo permanecerá no Canal Atual (Padrão), a menos que especificado de outra forma em canais específicos para atualizações de plataforma e mecanismo. Mantenha-se atualizado automaticamente durante o ciclo de lançamento gradual. Adequado para a maioria dos dispositivos.

O tipo de dados é inteiro.

As operações com suporte são adicionar, excluir, obter e substituir.

Os valores válidos são:

  • 1 – Ativado.
  • 0 (padrão) – Não configurado.

Mais detalhes:

Configuration/PassiveRemediation Essa configuração de política habilita ou desabilita EDR modo de bloco (recomendado para dispositivos que executam Microsoft Defender Antivírus no modo passivo). Para obter mais informações, consulte Detecção e resposta de ponto de extremidade no modo de | Microsoft Docs. Disponível com a versão da plataforma: 4.18.2202.X

O tipo de dados é inteiro

Valores com suporte:

  • 1: ativar EDR modo de bloqueio
  • 0: Desativar EDR modo de bloqueio

Verificação
Nó que pode ser usado para iniciar uma Windows Defender verificação em um dispositivo.

Os valores válidos são:

  • 1 – verificação rápida
  • 2 - verificação completa

As operações com suporte são Get e Execute.

UpdateSignature
Nó que pode ser usado para executar atualizações de assinatura para Windows Defender.

As operações com suporte são Get e Execute.

OfflineScan
Adicionado no Windows 10, versão 1803. A ação OfflineScan inicia Microsoft Defender Offline uma verificação no computador em que você executa o comando. Após a próxima reinicialização do sistema operacional, o dispositivo será iniciado Microsoft Defender Offline modo para iniciar a verificação.

As operações com suporte são Get e Execute.

Consulte também

Referência de provedor de serviços de configuração