分享方式:

Microsoft Intune 中租用戶連結裝置的 Microsoft Defender 防病毒軟體原則設定

  • 文章

檢視您可以從 Intune 使用 Microsoft Defender 防病毒軟體原則 (ConfigMgr) 配置檔管理的 Microsoft Defender 防病毒軟體設定。 當您設定 Intune 端點安全性防病毒軟體原則,且原則部署到您在設定租使用者附加案例時使用 Configuration Manager 管理的裝置時,即可使用配置檔。

雲端保護

  • 開啟雲端提供的保護
    CSP: AllowCloudProtection

    根據預設,Windows 10/11 桌面裝置上的Defender會將所發現任何問題的相關信息傳送給 Microsoft。 Microsoft 會分析該資訊,以深入了解影響您和其他客戶的問題,以提供改良的解決方案。

    • [未設定 ] (預設) - 設定會還原為系統預設值。
    • 關閉 Microsoft Active Protection Service。
    • 是的 開啟 Microsoft Active Protection Service。

  • 雲端式保護層級
    CSP: CloudBlockLevel

    設定 Defender 防病毒軟體封鎖和掃描可疑檔案的積極程度。

    • [未設定 ] (預設) - 預設 Defender 封鎖層級。
    • - 在優化用戶端效能時積極封鎖未知,這包括誤判的機率較高。
    • 高加號 - 積極封鎖未知專案,並套用可能會影響用戶端效能的額外保護措施。
    • 零容錯 - 封鎖所有未知的可執行檔。

  • 以秒為單位的Defender雲端擴充逾時
    CSP: CloudExtendedTimeout

    Defender 防病毒軟體會自動封鎖可疑的檔案 10 秒,以便掃描雲端中的檔案以確保其安全。 使用此設定,您最多可以將50秒的時間新增至此逾時。

Microsoft Defender 防病毒軟體排除專案

針對此群組中的每個設定,您可以展開設定,選取 [ 新增],然後指定排除的值。

  • 要排除的Defender進程
    CSP: ExcludedProcesses

    指定行程在掃描期間要忽略的檔案清單。 不會從掃描中排除進程本身。

  • 要從掃描和實時保護中排除的擴展名
    CSP: ExcludedExtensions

    指定要在掃描期間忽略的檔案類型擴展名清單。

  • 要排除的 Defender 檔案和資料夾
    CSP: ExcludedPaths

    指定要在掃描期間忽略的檔案和目錄路徑清單。

即時保護

  • 開啟即時保護
    CSP: AllowRealtimeMonitoring

    要求 Windows 10/11 桌面裝置上的Defender使用即時監視功能。

    • [未設定 ] (預設) - 設定會還原為系統預設值
    • 關閉即時監視服務。
    • 是的 開啟並執行即時監視服務。

  • 啟用存取保護
    CSP: AllowOnAccessProtection

    設定持續作用中的病毒防護,而不是視需要。

    • [未設定 ] (預設) - 此原則不會改變裝置上此設定的狀態。 裝置上的現有狀態保持不變。
    • 關閉即時監視服務。

  • 監視傳入和傳出檔案
    CSP: Defender/RealTimeScanDirection

    設定此設定,以判斷要監視哪些NTFS檔案和程序活動。

    • 監視所有檔案 (雙向) (預設)
    • 監視傳入檔案
    • 監視傳出檔案

  • 開啟行為監視
    CSP: AllowBehaviorMonitoring

    根據預設,Windows 10/11 桌面裝置上的Defender會使用行為監視功能。

    • [未設定 ] (預設) - 設定會還原為系統預設值。
    • 關閉行為監視。
    • 是的 開啟實時行為監視。

  • 允許入侵預防系統

    設定 Defender 以允許或不允許入侵預防功能。

    • [未設定 ] (預設) - 設定會還原為系統預設值。
    • - 不允許入侵預防系統。
    • - 允許入侵預防系統。

  • 掃描所有下載的檔案和附件
    CSP: EnableNetworkProtection

    設定 Defender 掃描所有下載的檔案和附件。

    • [未設定 ] (預設) - 設定會還原為系統預設值。

  • 掃描 Microsoft 瀏覽器中使用的腳本
    CSP: AllowScriptScanning

    設定 Defender 掃描腳本。

    • [未設定 ] (預設) - 設定會還原為系統預設值。

  • 掃描網路檔案
    CSP: AllowScanningNetworkFiles

    設定 Defender 掃描網路檔案。

    • [未設定 ] (預設) - 設定會還原為系統預設值。
    • 關閉網路檔案的掃描。
    • 是的 掃描網路檔案。

  • 掃描電子郵件
    CSP: AllowEmailScanning

    設定 Defender 掃描內送電子郵件。

    • [未設定 ] (預設) - 設定會還原為系統預設值。
    • 關閉電子郵件掃描。
    • 是的 開啟電子郵件掃描。

補救

  • 隔離的惡意郵件的保留天數 (0-90)
    CSP: DaysToRetainCleanedMalware

    指定系統在自動移除隔離專案的天數從零到90天。 零值會將專案保留在隔離區中,而且不會自動移除它們。

  • 提交範例同意

    • 未設定 ()
    • 一律提示
    • 自動傳送安全範例
    • 永不傳送
    • 自動傳送所有範例

  • 對潛在垃圾應用程式採取的動作
    CSP: PUAProtection

    指定 PUA) (潛在垃圾應用程式的偵測層級。 當下載潛在的垃圾軟體或嘗試在裝置上安裝時,Defender 會向使用者發出警示。

    • [未設定 ] (預設) - 設定會還原為系統預設值,也就是 PUA Protection OFF。
    • 已停用 - Windows Defender 將無法防範潛在的垃圾應用程式。
    • 已啟用 - 已封鎖偵測到的專案。 它們會與其他威脅一起顯示在歷程記錄中。
    • 稽核模式 - Defender 會偵測潛在的垃圾應用程式,但不採取任何動作。 您可以藉由搜尋Defender在 事件檢視器 中建立的事件,來檢閱Defender會採取動作之應用程式的相關信息。

  • 在清除電腦之前建立系統還原點

    • 未設定 ()

  • 偵測到威脅的動作
    CSP: ThreatSeverityDefaultAction

    根據惡意代碼的威脅層級,指定Defender針對偵測到的惡意代碼所採取的動作。

    Defender 會將偵測到的惡意代碼分類為下列其中一個嚴重性層級:

    • 低威脅
    • 中度威脅
    • 高威脅
    • 嚴重威脅

    針對每個層級,指定要採取的動作。 每個嚴重性層級的預設值為 [未設定]

    • 未設定 ()
    • 清除 - 服務會嘗試復原檔案,並嘗試修復。
    • 隔離 - 將檔案移至隔離區。
    • 拿掉 - 從裝置移除檔案。
    • 允許 - 允許檔案,且不會採取其他動作。
    • 使用者定義 - 裝置使用者決定要採取的動作。
    • 封鎖 - 封鎖檔案執行。

掃描

  • 掃描封存盤案
    CSP: AllowArchiveScanning

    設定 Defender 掃描封存盤案,例如 ZIP 或 CAB 檔案。

    • [未設定 ] (預設) - 此設定會回到客戶端預設值,也就是掃描封存的檔案,不過使用者可能會停用掃描。 深入了解
    • 關閉封存盤案的掃描。
    • 是的 掃描封存盤案。

  • 為排程掃描啟用低 CPU 優先順序
    CSP: EnableLowCPUPriority

    設定排程掃描的CPU優先順序。

    • [未設定 ] (預設) - 設定會回到系統預設值,其中不會變更 CPU 優先權。

  • 停用追補完整掃描
    CSP: DisableCatchupFullScan

    設定排程完整掃描的追補掃描。 追補掃描是因為遺漏定期排程掃描而啟動的掃描。 通常會遺漏這些排程掃描,因為計算機已在排程的時間關閉。

    • [未設定 ] (預設) - 設定會傳回客戶端預設值,也就是啟用完整掃描的追補掃描,但使用者可以關閉它們。

  • 停用追補快速掃描
    CSP: DisableCatchupQuickScan

    設定排程快速掃描的追補掃描。 追補掃描是因為遺漏定期排程掃描而啟動的掃描。 通常會遺漏這些排程掃描,因為計算機已在排程的時間關閉。

    • [未設定 ] (預設) - 設定會傳回客戶端預設值,也就是啟用追補快速掃描,但使用者可以將其關閉。

  • 每個掃描 (0-100%) 的 CPU 使用量限制
    CSP: AvgCPULoadFactor

    指定為從零到 100 的百分比,這是 Defender 掃描的平均 CPU 載入因數。

  • 啟用在完整掃描期間掃描對應的網路驅動器機
    CSP: AllowFullScanOnMappedNetworkDrives

    設定 Defender 掃描對應的網路驅動器機。

    • [未設定 ] (預設) - 設定會還原為系統預設值,這會停用對應網路驅動器機上的掃描。
    • 不允許 停用對應網路驅動器機上的掃描。
    • 允許 掃描對應的網路驅動器機。

  • 在執行每日快速掃描
    CSP: ScheduleQuickScanTime

    選取 Defender 快速掃描執行的當日時間。 根據預設,此選項為 [未設定]

  • 掃描類型
    CSP: ScanParameter

    選取 Defender 執行的掃描類型。

    • 未設定 ()
    • 快速掃描
    • 完整掃描

  • 一週中要執行已排程掃描的日子

    • 未設定 ()

  • 一天內要執行已排程掃描的時間

    • 未設定 ()

  • 在執行掃描之前檢查簽章 匯報

    • 未設定 ()

  • 隨機化排程掃描和安全性情報更新開始時間
    -未設定 (預設) - -

  • 在完整掃描期間掃描抽取式磁碟驅動器

    • 未設定 ()
    • 關閉卸載式磁碟驅動器上的掃描。
    • 是的 掃描卸載式磁碟驅動器。

更新

  • 輸入 (0-24 小時) 檢查安全情報更新的頻率
    CSP: SignatureUpdateInterval

    指定用來檢查簽章) 以小時為單位,從零到 24 (的間隔。 值為零時,不會檢查是否有新的簽章。 值 2 會每兩小時檢查一次,依此類推。

  • 裝置) (簽章更新後援順序

  • 裝置) (簽章更新檔案共享來源

  • 裝置) (安全性情報位置

使用者體驗

  • 封鎖使用者存取 Microsoft Defender 應用程式

    • 未設定 ()
    • 不允許 防止使用者存取UI。
    • 允許 可讓使用者存取UI。

  • 當使用者需要執行完整掃描、更新安全性情報或離端電腦執行 Windows Defender 時,在用戶端電腦上顯示通知訊息

    • 未設定 ()

  • 停用用戶端用戶介面

    • 未設定 ()