防止或允許使用者在本機修改 Microsoft Defender 防病毒軟體原則設定
適用於:
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
- Microsoft Defender 防毒軟體
平台
- Windows
根據預設,Microsoft Defender 透過 群組原則 物件部署到網路中端點的防病毒軟體設定,將會防止使用者在本機變更設定。 您可以在某些實例中變更此組態。 例如,可能需要允許某些使用者群組,例如安全性研究人員和威脅調查人員,進一步控制他們所使用端點上的個別設定。
設定 Microsoft Defender 防病毒軟體設定的本機覆寫
這些本機覆寫原則的預設設定為 Disabled。
如果原則設定為 [已啟用],使用者可以使用 Windows 安全性 應用程式、本機 群組原則 設定或 PowerShell Cmdlet (適當) ,變更其裝置上的相關聯設定。
[ 設定] 區段的表格 會列出覆寫原則設定和組態指示。
若要設定這些設定:
在您的 群組原則 管理計算機上,開啟 [群組原則 管理控制台],以滑鼠右鍵按兩下您要設定的 群組原則 物件,然後選取 [編輯]。
在 [群組原則管理編輯器] 中,移至 [電腦設定] 然後選取 [系統管理範本]。
將樹狀結構展開至 Windows 元件>Microsoft Defender 防病毒軟體,然後展開本文 (設定資料表中指定的位置) 。
按兩下表中指定的原則 設定 ,並將選項設定為您想要的組態。 選取 [確定],然後針對任何其他設定重複。
如往常一樣部署 群組原則 物件。
設定數據表
| 位置 | 設定 | 文章 |
|---|---|---|
| 地圖 | 設定本機設定覆寫以向 Microsoft MAPS 報告 | 啟動雲端提供的保護 |
| 隔離 | 設定從隔離資料夾移除專案的本機設定覆寫 | 設定掃描的補救 |
| 即時保護 | 設定本機設定覆寫以監視電腦上的檔案和程序活動 | 啟用和設定 Microsoft Defender 防病毒軟體永遠開啟保護和監視 |
| 即時保護 | 設定本機設定覆寫以監視傳入和傳出檔案活動 | 啟用和設定 Microsoft Defender 防病毒軟體永遠開啟保護和監視 |
| 即時保護 | 設定本機設定覆寫以掃描所有下載的檔案和附件 | 啟用和設定 Microsoft Defender 防病毒軟體永遠開啟保護和監視 |
| 即時保護 | 設定本機設定覆寫以開啟行為監視 | 啟用和設定 Microsoft Defender 防病毒軟體永遠開啟保護和監視 |
| 即時保護 | 設定本機設定覆寫以開啟實時保護 | 啟用和設定 Microsoft Defender 防病毒軟體永遠開啟保護和監視 |
| 補救 | 設定本機設定覆寫,以在一天當中執行排程的完整掃描以完成補救 | 設定掃描的補救 |
| 掃描 | 設定 CPU 使用率百分比上限的本機設定覆寫 | 設定和執行掃描 |
| 掃描 | 設定排程掃描日的本機設定覆寫 | 設定排程掃描 |
| 掃描 | 設定排程快速掃描時間的本機設定覆寫 | 設定排程掃描 |
| 掃描 | 設定排程掃描時間的本機設定覆寫 | 設定排程掃描 |
| 掃描 | 針對要用於排程掃描的掃描類型設定本機設定覆寫 | 設定排程掃描 |
設定如何合併本機和全域定義的威脅補救和排除清單
您也可以設定如何將本機定義的清單與全域定義的清單合併或合併。 此設定適用於 排除清單、 指定的補救清單和 受攻擊面縮小。
根據預設,已在本機組策略和 Windows 安全性 應用程式中設定的清單會與您已在網路上部署的適當 群組原則 物件所定義的清單合併。 如果發生衝突,全域定義的清單會優先。 您可以停用此設定,以確保只會使用全域定義的清單 (,例如來自任何已部署 GPO) 的清單。
使用 群組原則 來停用本機清單合併
在您的 群組原則 管理計算機上,開啟 群組原則 管理控制台,以滑鼠右鍵按下您要設定的 群組原則 對象,然後按兩下 [編輯]。
在 [群組原則管理編輯器] 中,移至 [電腦設定] 然後選取 [系統管理範本]。
將樹狀結構展開至 Windows 元件>Microsoft Defender 防病毒軟體。
按兩下 [ 設定清單的本機系統管理員合併行為 ],並將選項設定為 [ 已停用]。 然後選取 [確定]。
注意事項
如需「Windows 11 2022 Update (22H2) 的系統管理範本 (.admx) 」和 2021 年 11 月更新 (21H2) Windows 10 的系統管理範本 (.admx) 」範本, 將 [設定清單的本機系統管理員合併行為] 設定為 [已啟用] 以停用本機系統管理員合併行為。
使用 Microsoft Intune 來停用本機清單合併
在 Microsoft Intune 系統管理中心,選取 [端點安全>性防病毒軟體]。
選擇 [Create 原則],或修改現有的 Microsoft Defender 防病毒軟體原則。
在 [組態設定] 底下,選取 [停用本機 管理員 合併] 旁的下拉式清單,然後選取 [停用本機 管理員 合併]。
注意事項
如果您停用本機清單合併,它會覆寫受控制的資料夾存取設定。 它也會覆寫本機系統管理員所設定的任何受保護資料夾或允許的應用程式。 如需受控資料夾存取設定的詳細資訊,請參閱在 Windows 安全性 中允許封鎖的應用程式。
提示
如果您在尋找其他平台適用的防毒軟體相關資訊,請參閱:
相關主題
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應