阻止或允许用户在本地修改Microsoft Defender防病毒策略设置
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 防病毒
平台
- Windows
默认情况下,Microsoft Defender通过 组策略 对象部署到网络中终结点的防病毒设置将阻止用户在本地更改设置。 在某些情况下,可以更改此配置。 例如,可能需要允许某些用户组(例如安全研究人员和威胁调查人员)进一步控制其使用的终结点上的单个设置。
配置Microsoft Defender防病毒设置的本地替代
这些本地替代策略的默认设置为 “禁用”。
如果策略设置为“已启用”,则用户可以在适当) 时使用Windows 安全中心应用、本地组策略设置或 PowerShell cmdlet (更改其设备上的关联设置。
设置表部分列出了替代策略设置和配置说明。
配置这些设置:
在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择“编辑”。
在 策略管理编辑器中,转到 计算机配置 并选择 管理模板。
将树展开到 Windows 组件>Microsoft Defender防病毒,然后将本文 (设置表部分中指定的位置) 。
双击下表中指定的策略 “设置 ”,并将 选项设置为所需的配置。 选择“ 确定”,并针对任何其他设置重复。
照常部署 组策略 对象。
设置表
| 位置 | Setting | 文章 |
|---|---|---|
| 地图 | 配置本地设置替代以向 Microsoft MAPS 报告 | 启用云保护 |
| Quarantine | 为从“隔离区”文件夹中删除项目配置本地设置替代 | 配置扫描修正 |
| 实时保护 | 配置本地设置替代以监视计算机上的文件和程序活动 | 启用和配置Microsoft Defender防病毒始终启用保护和监视 |
| 实时保护 | 配置本地设置替代以监视传入和传出文件活动 | 启用和配置Microsoft Defender防病毒始终启用保护和监视 |
| 实时保护 | 配置本地设置替代以扫描所有下载的文件和附件 | 启用和配置Microsoft Defender防病毒始终启用保护和监视 |
| 实时保护 | 为启用行为监视配置本地设置替代 | 启用和配置Microsoft Defender防病毒始终启用保护和监视 |
| 实时保护 | 配置本地设置替代以启用实时保护 | 启用和配置Microsoft Defender防病毒始终启用保护和监视 |
| 修复 | 配置一天中的时间的本地设置替代,以运行计划的完整扫描以完成修正 | 配置扫描修正 |
| 扫描 | 为最大 CPU 使用率百分比配置本地设置替代 | 配置和运行扫描 |
| 扫描 | 为计划扫描日配置本地设置替代 | 配置计划的扫描 |
| 扫描 | 为计划的快速扫描时间配置本地设置替代 | 配置计划的扫描 |
| 扫描 | 为计划的扫描时间配置本地设置替代 | 配置计划的扫描 |
| 扫描 | 配置要用于计划扫描的扫描类型的本地设置替代 | 配置计划的扫描 |
配置如何合并本地和全局定义的威胁修正和排除列表
还可以配置如何将本地定义的列表与全局定义的列表合并或合并。 此设置适用于 排除列表、 指定的修正列表和 攻击面减少。
默认情况下,已在本地组策略和Windows 安全中心应用中配置的列表与已部署在网络上的相应组策略对象定义的列表合并。 如果存在冲突,则全局定义的列表优先。 可以禁用此设置,以确保仅使用全局定义的列表 (,例如来自任何已部署 GPO) 的列表。
使用组策略禁用本地列表合并
在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后单击“编辑”。
在 策略管理编辑器中,转到 计算机配置 并选择 管理模板。
将树展开到 Windows 组件>Microsoft Defender防病毒。
双击“ 配置列表的本地管理员合并行为 ”,并将选项设置为 “禁用”。 然后,选择“确定”。
注意
对于“Windows 11 2022 更新 (22H2) 的管理模板 (.admx) ”和“2021 年 11 月 Windows 10 2021 年 11 月更新 (21H2) 的管理模板 (.admx) ”模板,请将“配置列表的本地管理员合并行为”设置为“启用”以禁用本地管理员合并行为。
使用Microsoft Intune禁用本地列表合并
在Microsoft Intune管理中心,选择“终结点安全>防病毒”。
选择“Create策略”,或修改现有的Microsoft Defender防病毒策略。
在“配置设置”下,选择“禁用本地管理员合并”旁边的下拉列表,然后选择“禁用本地管理员合并”。
注意
如果禁用本地列表合并,它将覆盖受控的文件夹访问设置。 它还会覆盖本地管理员设置的任何受保护的文件夹或允许的应用。 有关受控文件夹访问设置的详细信息,请参阅允许Windows 安全中心中阻止的应用。
提示
如果要查找其他平台的防病毒相关信息,请参阅:
- 设置 macOS 上 Microsoft Defender for Endpoint 的首选项
- Mac 上的 Microsoft Defender for Endpoint
- 适用于 Intune 的 Microsoft Defender 防病毒软件的 macOS 防病毒程序策略设置
- 设置 Linux 上 Microsoft Defender for Endpoint 的首选项
- Microsoft Defender for Endpoint on Linux
- 在 Android 功能上配置 Defender for Endpoint
- 在 iOS 功能上配置 Microsoft Defender for Endpoint
相关主题
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈