Windows 裝置Microsoft Intune中Microsoft Defender防毒軟體原則的設定

  • 發行項

檢視您可以在 Microsoft Intune 中針對 Windows 10 和更新版本的 Microsoft Defender 防毒軟體設定檔設定的端點安全性防毒軟體原則設定詳細資料。

注意事項

本文詳細說明您在 2022 年 4 月 5 日之前針對端點安全性防毒軟體原則建立的 Microsoft Defender 防毒軟體和 Windows 10 Microsoft Defender防毒軟體排除設定檔中找到的設定。 在 2022 年 4 月 5 日,Windows 10和更新版本平臺已由Windows 10、Windows 11 和 Windows Server平臺取代。 在該日期之後建立的設定檔會使用 [設定目錄] 中找到的新設定格式。 透過這項變更,您就無法再建立舊設定檔的新版本,也無法再進行開發。 雖然您無法再建立舊版設定檔的新實例,但您可以繼續編輯並使用您先前建立的檔案實例。

針對使用新設定格式的設定檔,Intune 不再依名稱維護每個設定的清單。 相反地,每個設定的名稱、其組態選項,以及您在Microsoft Intune系統管理中心看到的解說文字,都會直接從設定授權內容取得。 該內容可以提供有關在其適當內容中使用設定的詳細資訊。 檢視設定資訊文字時,您可以使用其 [ 深入瞭解] 連結來開啟該內容。

下列 Windows 設定檔的設定詳細資料適用于已淘汰的設定檔。

雲端保護

  • 開啟雲端提供的保護
    CSP: AllowCloudProtection

    根據預設,Windows 10/11 桌面裝置上的 Defender 會將所發現任何問題的資訊傳送給 Microsoft。 Microsoft 會分析該資訊,以深入瞭解影響您和其他客戶的問題,以提供改良的解決方案。

    • 未設定 (預設) - 設定會還原為系統預設值。
    • - 設定已停用。 裝置使用者無法變更此設定。
    • - 已開啟雲端式保護。 裝置使用者無法變更此設定。

  • 雲端式保護層級
    CSP: CloudBlockLevel

    設定 Defender 防毒軟體封鎖和掃描可疑檔案的積極程度。

    • 未設定 (預設) - 預設 Defender 封鎖層級。
    • - 在優化用戶端效能時積極封鎖未知,這包括誤判的機率較高。
    • 高加 號 - 積極封鎖未知專案,並套用可能會影響用戶端效能的其他保護措施。
    • 零容錯 - 封鎖所有未知的可執行檔。

  • 以秒為單位的 Defender 雲端擴充逾時
    CSP: CloudExtendedTimeout

    Defender 防毒軟體會在雲端中掃描可疑檔案時自動封鎖 10 秒,以確保其安全。 此逾時最多可額外增加 50 秒。

Microsoft Defender防毒軟體排除專案

Microsoft Defender防毒軟體設定檔中提供下列設定:

  • Defender 本機系統管理員合併
    CSP: Configuration/DisableLocalAdminMerge

    此設定可控制本機系統管理員所設定的排除清單設定是否與 Intune 原則中的受控設定合併。 此設定適用于威脅和排除等清單。

    • 未設定 (預設) - 本機系統管理員所設定之喜好設定中定義的唯一專案會合並到產生的有效原則中。 如果發生衝突,來自 Intune 原則的管理設定會覆寫本機喜好設定。
    • - 行為與 [未設定]相同。
    • - 只有管理所定義的專案會用於產生的有效原則中。 受控設定會覆寫本機系統管理員所設定的喜好設定。

下列設定檔提供下列設定:

  • Microsoft Defender 防毒軟體
  • Microsoft Defender防毒軟體排除專案

針對此群組中的每個設定,您可以展開設定,選取 [ 新增],然後指定排除的值。

  • 要排除的 Defender 進程
    CSP: ExcludedProcesses

    指定進程在掃描期間要忽略的檔案清單。 不會從掃描中排除進程本身。

  • 要從掃描和即時保護中排除的副檔名
    CSP: ExcludedExtensions

    指定要在掃描期間忽略的檔案類型副檔名清單。

  • 要排除的 Defender 檔案和資料夾
    CSP: ExcludedPaths

    指定要在掃描期間忽略的檔案和目錄路徑清單。

即時保護

這些設定可在下列設定檔中使用:

  • Microsoft Defender 防毒軟體

設定

  • 開啟即時保護
    CSP: AllowRealtimeMonitoring

    要求 Windows 10/11 桌面裝置上的 Defender 使用即時監視功能。

    • 未設定 (預設) - 設定會還原為系統預設值
    • - 設定已停用。 裝置使用者無法變更此設定。
    • - 強制使用即時監視。 裝置使用者無法變更此設定。

  • 啟用存取保護
    CSP: AllowOnAccessProtection 設定持續作用中的病毒防護,而不是視需要。

    • [未設定 ] (預設) - 設定會還原為系統預設值。
    • - 在裝置上封鎖存取保護。 裝置使用者無法變更此設定。
    • - 在裝置上啟用存取保護。

  • 監視傳入和傳出檔案
    CSP: Defender/RealTimeScanDirection

    設定此設定,以判斷要監視哪些 NTFS 檔案和程式活動。

    • 監視預設 () 的所有檔案
    • 僅監視傳入檔案
    • 僅監視傳出檔案

  • 開啟行為監視
    CSP: AllowBehaviorMonitoring

    根據預設,Windows 10/11 桌面裝置上的 Defender 會使用行為監視功能。

    • 未設定 (預設) - 設定會還原為系統預設值。
    • - 設定已停用。 裝置使用者無法變更此設定。
    • - 強制使用即時行為監視。 裝置使用者無法變更此設定。

  • 開啟網路保護
    CSP: EnableNetworkProtection

    保護使用任何應用程式的裝置使用者,避免在網際網路上存取網路釣魚詐騙、惡意探索裝載網站和惡意內容。 保護包括防止協力廠商瀏覽器連線到危險的網站。

    • 未設定 (預設) - 設定會還原為系統預設值。
    • - 設定已停用。 裝置使用者無法變更此設定。
    • - 已開啟網路保護。 裝置使用者無法變更此設定。

  • 掃描所有下載的檔案和附件
    CSP: AllowIOAVProtection

    設定 Defender 掃描所有下載的檔案和附件。

    • 未設定 (預設) - 設定會還原為系統預設值。
    • - 設定已停用。 裝置使用者無法變更此設定。
    • - Defender 會掃描所有下載的檔案和附件。 裝置使用者無法變更此設定。

  • 掃描 Microsoft 瀏覽器中使用的腳本
    CSP: AllowScriptScanning

    設定 Defender 掃描腳本。

    • 未設定 (預設) - 設定會還原為系統預設值。
    • - 設定已停用。 裝置使用者無法變更此設定。
    • - Defender 會掃描腳本。 裝置使用者無法變更此設定。

  • 掃描網路檔案
    CSP: AllowScanningNetworkFiles

    設定 Defender 掃描網路檔案。

    • 未設定 (預設) - 設定會還原為系統預設值。
    • - 設定已停用。 裝置使用者無法變更此設定。
    • - 開啟網路檔案掃描。 裝置使用者無法變更此設定。

  • 掃描電子郵件
    CSP: AllowEmailScanning

    設定 Defender 掃描內送電子郵件。

    • 未設定 (預設) - 設定會還原為系統預設值。
    • - 設定已停用。 裝置使用者無法變更此設定。
    • - 開啟電子郵件掃描。 裝置使用者無法變更此設定。

補救

這些設定可在下列設定檔中使用:

  • Microsoft Defender 防毒軟體

設定

  • 隔離的惡意郵件的保留天數 (0-90)
    CSP: DaysToRetainCleanedMalware

    指定系統在自動移除隔離專案之前,儲存隔離專案的天數從零到 90。 零值會將專案保留在隔離狀態,而且不會自動移除。

  • 提交樣本同意

    • 未設定 ()
    • 自動傳送安全範例
    • 一律提示
    • 永不傳送
    • 自動傳送所有範例

  • 對潛在垃圾應用程式採取的動作
    CSP: PUAProtection

    指定 PUA) (潛在垃圾應用程式的偵測層級。 當下載潛在的垃圾軟體或嘗試在裝置上安裝時,Defender 會向使用者發出警示。

    • 未設定 (預設) - 設定會還原為系統預設值,也就是 PUA Protection OFF。
    • Disable
    • 啟用 - 偵測到的專案會遭到封鎖,並與其他威脅一起顯示在歷程記錄中。
    • 稽核模式 - Defender 會偵測潛在的垃圾應用程式,但不採取任何動作。 您可以藉由搜尋 Defender 在 事件檢視器 中建立的事件,來檢閱 Defender 會採取動作之應用程式的相關資訊。

  • 偵測到威脅的動作
    CSP: ThreatSeverityDefaultAction

    根據惡意程式碼的威脅層級,指定 Defender 針對偵測到的惡意程式碼所採取的動作。

    Defender 會將偵測到的惡意程式碼分類為下列其中一個嚴重性層級:

    • 低嚴重性
    • 中等嚴重性
    • 高嚴重性
    • 嚴重嚴重性

    針對每個層級,指定要採取的動作。 每個嚴重性層級的預設值為 [未設定]

    • 未設定
    • 清除 - 服務會嘗試復原檔案,並嘗試修復。
    • 隔離 - 將檔案移至隔離區。
    • 移除 - 從裝置移除檔案。
    • 允許 - 允許檔案,且不會採取其他動作。
    • 使用者定義 - 裝置使用者決定要採取的動作。
    • 封鎖 - 封鎖檔案執行。

掃描

這些設定可在下列設定檔中使用:

  • Microsoft Defender 防毒軟體

設定

  • 掃描封存檔案
    CSP: AllowArchiveScanning

    設定 Defender 掃描封存檔案,例如 ZIP 或 CAB 檔案。

    • 未設定 (預設) - 此設定會回到用戶端預設值,也就是掃描封存的檔案,不過使用者可能會停用設定。 深入了解
    • - 不會掃描檔案封存。 裝置使用者無法變更此設定。
    • - 啟用封存檔案的掃描。 裝置使用者無法變更此設定。

  • 針對排程掃描使用低 CPU 優先順序
    CSP: EnableLowCPUPriority

    設定排程掃描的 CPU 優先順序。

    • 未設定 (預設) - 設定會回到系統預設值,其中不會變更 CPU 優先權。
    • - 設定已停用。 裝置使用者無法變更此設定。
    • - 排程掃描期間會使用低 CPU 優先順序。 裝置使用者無法變更此設定。

  • 停用追補完整掃描
    CSP: DisableCatchupFullScan

    設定排程完整掃描的追補掃描。 追補掃描是因為遺漏定期排程掃描而執行的掃描。 通常會遺漏這些排程掃描,因為電腦已在排程的時間關閉。

    • 未設定 (預設) - 設定會傳回用戶端預設值,也就是停用完整掃描的追補掃描。
    • - 設定已停用。 裝置使用者無法變更此設定。
    • - 會強制執行排程完整掃描的追補掃描,且使用者無法停用這些掃描。 如果電腦已離線進行兩次連續排程掃描,則下次有人登入電腦時,就會啟動追補掃描。 如果沒有設定排程的掃描,將不會執行追補掃描。 裝置使用者無法變更此設定。

  • 停用追補快速掃描
    CSP: DisableCatchupQuickScan

    設定排程快速掃描的追補掃描。 追補掃描是因為遺漏定期排程掃描而執行的掃描。 通常會遺漏這些排程掃描,因為電腦已在排程的時間關閉。

    • 未設定 (預設) - 設定會傳回用戶端預設值,也就是停用完整掃描的追補掃描。
    • - 設定已停用。 裝置使用者無法變更此設定。
    • - 強制執行排程快速掃描的追補掃描,且使用者無法停用這些掃描。 如果電腦已離線進行兩次連續排程掃描,則下次有人登入電腦時,就會啟動追補掃描。 如果沒有設定排程的掃描,將不會執行追補掃描。 裝置使用者無法變更此設定。

  • 每個掃描的 CPU 使用量限制
    CSP: AvgCPULoadFactor

    指定為從零到 100 的百分比,這是 Defender 掃描的平均 CPU 載入因數。

  • 在完整掃描期間掃描對應的網路磁碟機機
    CSP: AllowFullScanOnMappedNetworkDrives

    設定 Defender 掃描對應的網路磁碟機機。

    • 未設定 (預設) - 設定會還原為系統預設值,這會停用對應網路磁碟機機上的掃描。
    • - 設定已停用。 裝置使用者無法變更設定。
    • - 啟用對應網路磁碟機機的掃描。 裝置使用者無法變更此設定。

  • 在 執行每日快速掃描
    CSP: ScheduleQuickScanTime

    選取 Defender 快速掃描執行的當日時間。 只有在裝置執行快速掃描且未與下列三個設定互動時,才會套用此設定:

    • 掃描類型
    • 一週中要執行已排程掃描的日子
    • 一天內要執行已排程掃描的時間

    根據預設,[ 在 執行每日快速掃描 ] 設定為 [ 未設定]

  • 掃描類型
    CSP: ScanParameter

    選取 Defender 執行的掃描類型。 此設定會與設定 星期幾互動,以執行排程掃描 ,以及執行 排程掃描的當日時間

    • 未設定 ()
    • 快速掃描
    • 完整掃描

  • 一週中要執行已排程掃描的日子

    • 未設定 ()

  • 一天內要執行已排程掃描的時間

    • 未設定 ()

  • 執行掃描之前檢查簽章更新

    • 未設定 ()

更新

這些設定可在下列設定檔中使用:

  • Microsoft Defender 防毒軟體

設定

  • 輸入 (0-24 小時) 檢查安全情報更新的頻率
    CSP: SignatureUpdateInterval

    指定用來檢查簽章) 以小時為單位,從零到 24 (的間隔。 值為零時,不會檢查是否有新的簽章。 值 2 會每兩小時檢查一次,依此類推。

  • 定義用於下載定義更新的檔案共用
    CSP: SignatureUpdateFallbackOrder

    管理位置,例如 UNC 檔案共用,作為下載來源位置以取得定義更新。 從指定的來源成功下載定義更新之後,將不會連絡清單中的其餘來源。

    您可以 新增 個別位置 ,或將 位置清單匯入為 .csv 檔案。

  • 定義下載定義更新的來源順序
    CSP: SignatureUpdateFileSharesSources

    指定要連絡您所指定來源位置的順序,以取得定義更新。 從一個指定的來源成功下載定義更新之後,將不會連絡清單中的其餘來源。

使用者體驗

這些設定可在下列設定檔中使用:

  • Microsoft Defender 防毒軟體

設定

  • 允許使用者存取Microsoft Defender應用程式
    CSP: AllowUserUIAccess

  • [未設定 ] (預設) - 設定會回到允許 UI 和通知的用戶端預設值。

  • - 無法存取 Defender 使用者介面 (UI) 並隱藏通知。