如何在 Configuration Manager 中針對 Endpoint Protection 建立及部署反惡意程式碼原則

適用於:Configuration Manager (最新分支)

您可以將反惡意程式碼原則部署至 Configuration Manager 用戶端電腦的集合,以指定 Endpoint Protection 如何保護它們免於惡意程式碼和其他威脅的危害。 這些原則包含掃描排程、檔案和資料夾來掃描和偵測到惡意程式碼時應採取的動作類型的相關資訊。 當您啟用 Endpoint Protection 時,預設的反惡意程式碼原則會套用至用戶端電腦。 您也可以使用所提供的其中一個原則範本,或建立自訂原則以符合您環境的特定需求。

Configuration Manager 會提供精選的預先定義範本。 這些範本會針對各種案例進行最佳化,並可匯入到 Configuration Manager。 這些範本可在 <ConfigMgr 安裝資料夾>\AdminConsole\XMLStorage\EPTemplates 資料夾中取得。

重要

如果您建立新的反惡意程式碼原則並將它部署到集合,這個反惡意程式碼原則會覆寫預設的反惡意程式碼原則。

使用此主題中的程序來建立或匯入反惡意程式碼原則,並將它們指派給階層中的 Configuration Manager 用戶端電腦。

注意

執行這些程序之前,請確定 Configuration Manager 已如設定 Endpoint Protection 中所述針對 Endpoint Protection 設定。

修改預設的反惡意程式碼原則

  1. 在 Configuration Manager 主控台中,按一下 [資產與合規性] 。

  2. 在 [資產與合規性] 工作區中,展開 [Endpoint Protection] ,然後按一下 [反惡意程式碼原則] 。

  3. 選取的反惡意程式碼原則 預設用戶端反惡意程式碼原則 然後在 Home 索引標籤的 屬性 群組中,按一下 屬性

  4. 預設反惡意程式碼原則 對話方塊方塊中,設定您需要為此反惡意程式碼原則,然後再按一下 確定

    注意

    如需您可以設定的設定清單,請參閱本主題中的 List of Antimalware Policy Settings

建立新的反惡意程式碼原則

  1. 在 Configuration Manager 主控台中,按一下 [資產與合規性] 。

  2. 在 [資產與合規性] 工作區中,展開 [Endpoint Protection] ,然後按一下 [反惡意程式碼原則] 。

  3. Home 索引標籤的 建立 群組中,按一下 建立反惡意程式碼原則

  4. 一般 區段 建立反惡意程式碼原則 對話方塊方塊中輸入的名稱和原則的描述。

  5. 建立反惡意程式碼原則 對話方塊方塊中,設定您需要為此反惡意程式碼原則,然後再按一下 確定。 如需您可以設定的設定清單,請參閱反惡意程式碼原則設定清單

  6. 確認新的反惡意程式碼原則會顯示在 反惡意程式碼原則 清單。

匯入反惡意程式碼原則

  1. 在 Configuration Manager 主控台中,按一下 [資產與合規性] 。

  2. 在 [資產與合規性] 工作區中,展開 [Endpoint Protection] ,然後按一下 [反惡意程式碼原則] 。

  3. Home 索引標籤的 建立 群組中,按一下 匯入

  4. 開啟 對話方塊,原則檔案以匯入,然後按一下瀏覽 開啟

  5. 建立反惡意程式碼原則 對話方塊中,檢閱的設定來使用,然後按一下 確定

  6. 確認新的反惡意程式碼原則會顯示在 反惡意程式碼原則 清單。

將反惡意程式碼原則部署至用戶端電腦

  1. 在 Configuration Manager 主控台中,按一下 [資產與合規性] 。

  2. 在 [資產與合規性] 工作區中,展開 [Endpoint Protection] ,然後按一下 [反惡意程式碼原則] 。

  3. 反惡意程式碼原則 清單中選取要部署的反惡意程式碼原則。 然後在 Home 索引標籤的 部署 群組中,按一下 部署

    注意

    部署 選項不能與預設用戶端惡意程式碼的原則。

  4. 選取集合 對話方塊中,選取您想要部署反惡意程式碼原則,然後按一下裝置集合 確定

反惡意程式碼的原則設定的清單

許多反惡意程式碼設定都簡單易懂。 利用以下各節取得與設定相關的詳細資訊,在進行這些設定之前您可能會需要詳細的資訊。

排程掃描設定

掃描類型 - 您可以指定在用戶端電腦上執行下列二種掃描類型的其中之一:

  • 快速掃描 - 這種類型的掃描會檢查記憶體中處理程序和惡意程式碼通常所在的資料夾。 它需要較少的資源比完整掃描。

  • 完整掃描 - 這種類型的掃描會在快速掃描的掃描項目,新增所有本機檔案和資料夾的完整檢查。 這個掃描所花費的時間比快速掃描和用戶端電腦上使用更多的 CPU 處理和記憶體資源。

    大部分的情況下使用 快速掃描 用戶端電腦上的系統資源的使用降至最低。 如果需要完整掃描才能移除惡意程式碼,Endpoint Protection 會產生警示,而該警示會在 Configuration Manager 主控台中顯示。 預設值是 快速掃描

掃描設定

掃描電子郵件和電子郵件附件 - 設為 [是] 開啟電子郵件掃描。

掃描抽取式存放裝置,例如 USB 磁碟機 - 設為 [是] 於完整掃描時掃描抽取式磁碟機。

掃描網路檔案 - 設為 [是] 掃描網路檔案。

執行完整掃描時,掃描網路對應的網路磁碟 - 設為 [是] 掃描用戶端電腦上所有對應的網路磁碟機。 啟用此設定可能會大幅增加用戶端電腦的掃描時間。

  • [掃描網路檔案] 設定必須設定為 [是] ,才可以設定此設定。

  • 此設定預設是設定為 [否] ,表示完整掃描將不會存取對應的網路磁碟機。

掃描封存檔案 - 設為 [是] 掃描封存的檔案,例如 .zip 或 .rar 檔案。

允許使用者設定掃描期間的 CPU 使用量 - 設為 [是] 讓使用者指定掃描期間的 CPU 使用量最大百分比。 掃描不會一直使用使用者所定義的最大負載,但不能超過此值。

使用者對排程掃描的控制 - 指定使用者控制的層級。 讓使用者設定其裝置防毒掃描的 [僅掃描時間] 或 [完全控制]。

預設動作設定

選取在用戶端電腦上偵測到惡意程式碼時要採取的動作。 根據警示威脅層級偵測到惡意程式碼,可以套用下列動作。

  • 建議 - 使用惡意程式碼定義檔中建議的動作。

  • 隔離 - 隔離惡意程式碼,但不加以移除。

  • 移除 - 從電腦移除惡意程式碼。

  • 允許 - 不移除也不隔離惡意程式碼。

即時保護設定

設定名稱 說明
啟用即時保護 設為 [是] 設定用戶端電腦的即時保護設定。 建議您啟用此設定。
監視電腦上的檔案和程式活動 如果您想讓 Endpoint Protection 在檔案和程式開始在用戶端電腦上執行時進行監視,並警示您關於其所執行或針對其所採取的任何動作,請設為 [是]。
掃描系統檔案 此設定可讓您設定是否傳入、 傳出,或惡意程式碼用於監視傳入和傳出的系統檔案。 基於效能考量,您可能必須變更預設值的 掃描傳入及傳出檔案 如果伺服器具有高的內送或外寄檔案活動。
啟用行為監視 啟用此設定来用於偵測不明威脅的入侵電腦活動與檔案資料。 啟用此設定時,可能會增加掃描電腦的惡意程式碼所需的時間。
啟用對於網路架構的入侵保護 啟用此設定來保護電腦對抗已知的網路入侵藉由檢查網路流量和封鎖任何可疑的活動。
啟用指令碼掃描 Configuration Manager 不含 service pack 只。

如果您想要掃描任何在電腦上執行的指令碼以找出可疑活動,請啟用此設定。
在下載時及安裝前封鎖潛在的垃圾應用程式 潛在的垃圾應用程式 (PUA) 是根據信譽和研究導向識別的威脅分類。 這些最常見的潛在垃圾應用程式為垃圾應用程式搭配程式或其搭配的應用程式。

Microsoft Edge 也提供封鎖潛在垃圾應用程式的設定。 探索這些選項,以針對不需要的應用程式提供完整的保護。

此保護原則設定可供使用,且預設為 啟用 。 在啟用的情況下,這個設定於下載和安裝時,會封鎖 PUA。 不過,您可以排除特定的檔案或資料夾,以符合您業務或組織的特定需求。

從設定管理員版本2107開始,您可以選取要進行此設定的 審核 。 在 audit 模式中使用 PUA 保護來偵測潛在的垃圾應用程式,而不會封鎖它們。 如果您的公司想要在您的環境中啟用 PUA 保護的影響量測計,則 audit 模式中的 PUA 保護會很有用。 在 audit 模式中啟用保護可讓您在封鎖模式下啟用保護之前,判斷對端點的影響。

排除設定

如需了解 Configuration Manager 2012 與最新分支中建議排除的資料夾、檔案及程序,請參閱 Configuration Manager 2012 與最新分支站台伺服器、站台系統及用戶端中建議排除的防毒軟體 (機器翻譯)。

排除的檔案和資料夾

按一下 [設定] 開啟 [設定檔案和資料夾排除] 對話方塊,並指定從 Endpoint Protection 掃描排除的檔案和資料夾名稱。

如果您想要排除的檔案和位於對應的網路磁碟機的資料夾,請個別網路磁碟機中指定每個資料夾的名稱。 例如,如果網路磁碟機對應為 F:\MyFolder,而且其包含命名為 Folder1、Folder2 和 Folder 3 的子資料夾,則指定下列的排除項目:

  • F:\MyFolder\Folder1

  • F:\MyFolder\Folder2

  • F:\MyFolder\Folder3

從 1602 版開始,反惡意程式碼原則的 [排除設定] 區段中現有的 [排除檔案及資料夾] 設定,已改良為可以排除裝置。 例如:您現已可以指定排除下列項目: \device\mvfs (適用於多版本檔案系統)。 此原則不會驗證裝置路徑;Endpoint Protection 原則是用來提供給用戶端上必須能夠解譯裝置字串的反惡意程式碼引擎。

排除的檔案類型

按一下 [設定] 開啟 [設定檔案類型排除] 對話方塊,並指定要從 Endpoint Protection 掃描中排除的副檔名。 您可以在定義排除清單中的項目時使用萬用字元。 如需詳細資訊,請參閱在檔案名稱和資料夾路徑或副檔名排除清單中使用萬用字元

排除的處理序

按一下 [設定] 開啟 [設定處理序排除] 對話方塊,並指定要從 Endpoint Protection 掃描中排除的處理序。 您可以在定義排除清單中的項目時使用萬用字元,但有一些限制。 如需詳細資訊,請參閱在處理序排除清單中使用萬用字元

進階設定

啟用重新分析點掃描 - 如果您想讓 Endpoint Protection 掃描 NTFS 重新分析點,請設定為 [是]。

如需重新分析點的詳細資訊,請參閱 重新分析點 Windows 開發人員中心。

隨機設定排定之掃描的開始時間 (在 30 分鐘內) - 設定為 [是] 可協助避免資料大量湧入網路,如果所有電腦同時將其反惡意程式碼掃描結果傳送到 Configuration Manager 資料庫,就可能發生這種情況。 針對 Windows Defender 防毒軟體,這會將掃描的開始時間隨機化為 0 到 4 小時的任何間隔,或針對 FEP 與 SCEP 隨機化為加減 30 分鐘的任何間隔。 這可用於 VM 或 VDI 部署。 這項設定也很有用的單一主機上執行多個虛擬機器時。 選取此選項可減少的反惡意程式碼掃描的磁碟同時存取。

從 Configuration Manager 1602 版開始,反惡意程式碼引擎可要求將檔案範例傳送給 Microsoft 以供進一步分析。 根據預設,在傳送這類範例前一律會出現提示。 系統管理員現已可管理下列設定,來設定此行為:

啟用自動提交範例檔案,協助 Microsoft 判斷某些偵測到的項目是否出於惡意 :將設定為 [是] 可啟用自動提交範例檔案。 此設定預設為 [否],這表示自動提交範例檔案的功能會停用,而且會在傳送範例之前提示使用者。

允許使用者修改自動提交範例檔設定 - 此設定會決定對裝置具有本機系統管理員權限的使用者,是否可以在用戶端介面中變更自動提交範例檔案設定。 此設定預設為 [否],這表示設定只能從 Configuration Manager 主控台變更,且裝置的本機系統管理員無法變更此設定。
例如,下圖顯示 Windows 10 中的這項設定已由系統管理員設定為啟用,並呈現灰色以防止使用者變更。

Windows Defender - 自動樣本提交

威脅覆寫設定

威脅名稱及覆寫動作 - 按一下 [設定] ,自訂在掃描期間偵測到每個威脅識別碼時要採取的修復動作。

注意

在設定 Endpoint Protection 之後,可能無法立即使用威脅名稱的清單。 等到 Endpoint Protection 點同步處理威脅資訊後,再試一次。

雲端保護服務

雲端保護服務可以收集在受控系統上偵測到的惡意程式碼資訊,以及採取的動作。 這項資訊會傳送給 Microsoft。

雲端保護服務成員資格

  • 不加入雲端保護服務 - 不傳送任何資訊
  • 基本 - 收集並傳送偵測到的惡意程式碼清單
  • 進階 - 基本資訊以及可能包含個人資訊的更完整資訊。 例如,檔案路徑和部分記憶體傾印。

允許使用者修改雲端保護服務設定 - 切換雲端保護服務設定的使用者控制。

封鎖可疑檔案的層級 - 指定 Endpoint Protection 雲端保護服務會封鎖可疑檔案的層級。

  • 一般 - 預設的 Windows Defender 封鎖層級
  • - 在最佳化效能時積極封鎖未知的檔案 (極可能封鎖無害的檔案)
  • 高 (含額外的保護) - 積極封鎖未知的檔案,並套用額外的保護措施 (可能會影響用戶端裝置效能)
  • 封鎖未知的程式 - 封鎖所有未知的程式

允許延長雲端檢查以封鎖與掃描的時間上限 (秒) - 指定服務檢查檔案非已知的惡意項目時,雲端保護服務可以封鎖檔案的秒數。

注意

您針對此設定選取的秒數,會加上預設的 10 秒逾時。 例如,如果您輸入 0 秒,則雲端保護服務會將檔案封鎖 10 秒。

雲端保護服務報告的詳細資料

頻率 收集或傳送的資料 資料使用
Windows Defender 更新病毒和間諜軟體防護或定義檔時 - 病毒和間諜軟體定義的版本
- 病毒和間諜軟體防護版本
Microsoft 使用這項資訊確保電腦具有最新的病毒和間諜軟體更新。 如果不存在,Windows Defender 會自動更新,讓電腦防護保持為最新狀態。
如果 Windows Defender 在電腦上發現潛在有害軟體或垃圾軟體 - 潛在有害軟體或垃圾軟體的名稱
- 如何找到軟體
- Windows Defender 為了處理軟體所採取的任何動作
- 受軟體影響的檔案
- 製造商提供的電腦相關資訊 (Sysconfig、SysModel、SysMarker)
Windows Defender 使用這項資訊來判斷潛在垃圾軟體的類型和嚴重性,以及判斷所應採取的最佳動作。 Microsoft 也會使用這項資訊協助改進病毒和間諜軟體防護的精確性。
每月一次 - 病毒和間諜軟體定義更新狀態
- 即時病毒和間諜軟體監視的狀態 (開啟或關閉)
Windows Defender 使用這項資訊來確認電腦是否有最新的病毒和間諜軟體防護版本與定義。 Microsoft 也想要確定即時病毒和間諜軟體監視功能已開啟。 這是可協助保護電腦免於潛在有害軟體或垃圾軟體的重要部分。
安裝期間,或每當使用者手動執行電腦的病毒和間諜軟體掃描時 電腦記憶體中正在執行的處理程序清單 找出可能已受潛在有害軟體入侵的任何處理程序。

Microsoft 只會收集受影響檔案的名稱,不會收集檔案本身的內容。 這項資訊可協助判斷哪些系統特別容易遭到特定威脅攻擊。

定義更新設定

設定 Endpoint Protection 用戶端更新的來源和順序 - 按一下 [設定來源] 以指定定義與掃描引擎更新的來源。 您也可以指定這些資源的使用順序。 如果指定 Configuration Manager 作為其中一個來源,則只有在軟體更新無法下載用戶端更新時,才會使用其他來源。

如果您使用下列任何方法來更新用戶端電腦上的定義,則用戶端電腦必須可以存取網際網路。

  • 從 Microsoft Update 發佈的更新

  • 從 Microsoft 惡意程式碼防護中心發佈的更新

重要

用戶端會使用內建系統帳戶來下載定義更新。 您必須為這個帳戶設定 Proxy 伺服器,以便讓這些用戶端連線到網際網路。

如果您已設定要將程式碼定義更新傳送到用戶端電腦的軟體更新自動部署規則,這些更新會傳遞不論定義更新設定。