查看: 7054|回复: 7
收起左侧

[技术探讨] 一个比较全面的 Microsoft Defender 组策略-注册表对应汇总

[复制链接]
ANY.LNK
发表于 2023-1-14 13:05:58 | 显示全部楼层 |阅读模式
本帖最后由 ANY.LNK 于 2023-1-14 13:05 编辑

之前看了 https://bbs.kafan.cn/thread-2163245-1-1.html 这个帖子里的组策略对于家庭版系统中Windows Defender / Microsoft Defender 设置的无力,又感慨于网络上那些“家庭版系统开启组策略教程”欺骗误导……
  1. @echo off

  2. pushd "%~dp0"

  3. dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >List.txt

  4. dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>List.txt

  5. for /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"C:\Windows\servicing\Packages\%%i"

  6. pause
复制代码
上述代码是各路“教程”中常用的互相“引用”的代码,在我实际的测试中最多弄出个组策略的UI,是个纯纯的花瓶和摆设,起不到任何设置作用!!


于是就有了下面这篇帖子:

一、管理模板(计算机)>Windows组件>Microsoft Defender 防病毒(windowsdefender.admx)

对应路径:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsDefender

适用范围:Windows 10, Windows 11, Windows Server2016, Windows Server 2022

备注:若数据项不存在,则默认为“未配置”

下辖项目:

1.为本地管理员配置列表合并行为

描述:

此策略设置会控制是否使用组策略设置合并由本地管理员配置的复杂列表设置。此设置适用于诸如威胁和排除项的列表。

如果启用或未配置此设置,则会将本地管理员配置的组策略设置中和首选设置中定义的唯一项合并为生成的有效策略。在发生冲突的情况下,组策略设置会替代首选设置。

如果禁用此设置,则生成的有效策略中仅会使用组策略定义的项。组策略设置会替代本地管理员配置的首选设置。

对应注册表数据:DisableLocalAdminMerge

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

2.允许反恶意软件服务使用普通优先级启动

描述:

此策略设置会控制反恶意软件服务的加载优先级。如果提高加载优先级,则服务启动速度会更快,但可能会影响性能。

如果启用或未配置此设置,则反恶意软件服务会作为普通优先级任务加载。

如果禁用此设置,则反恶意软件服务会作为低优先级任务加载。

对应注册表数据:AllowFastServiceStartup

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

3.允许反恶意软件服务始终保持运行状态

描述:

此策略设置允许你配置在禁用防病毒和反间谍软件安全智能时反恶意软件服务是否保持运行状态。建议此设置保持禁用状态。

如果启用此设置,反恶意软件服务将始终保持运行状态,即使防病毒和反间谍软件安全智能都已禁用也是如此。

如果禁用或未配置此设置,在防病毒和反间谍软件安全智能都已禁用时,反恶意软件服务将会停止。如果重启计算机,设置为"自动启动"的服务将会启动。在服务启动后,将检查是否已启用防病毒和反间谍软件安全智能。如果至少启用了一个,该服务将保持运行。如果两个都已禁用,该服务将会停止。

对应的注册表数据:ServiceKeepAlive

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

备注:或许此项的设置可以解决之前论坛里经常问的在安装了其他安全软件之后MsMpEng.exe仍在运行的问题?

4.关闭 Microsoft Defender 防病毒

描述:

此策略设置关闭 MicrosoftDefender 防病毒。

如果启用此策略设置,MicrosoftDefender 防病毒将不会运行,并且不会扫描计算机中是否有恶意软件或其他可能不需要的软件。

如果禁用此策略设置,不管是否安装了任何其他防病毒产品,Microsoft Defender 防病毒都将运行。

如果未配置此策略设置,Windows 将在内部管理 Microsoft Defender 防病毒。如果安装了其他防病毒程序,Windows会自动禁用 Microsoft Defender 防病毒。否则,Microsoft Defender 防病毒将扫描你的计算机中是否有恶意软件和其他可能不需要的软件。

启用或禁用此策略可能会导致意外或不受支持的行为。建议你不要配置此策略设置。

对应的注册表数据:DisableAntiSpyware

数据类型:REG_DWORD

可接受的值:

1-启用(关闭Microsoft Defender防病毒)

0-禁用(启动Microsoft Defender防病毒)

备注:2020年往后发布的Windows版本弃用

5.关闭例程更新

描述:

使用此策略设置,可以配置 MicrosoftDefender 防病毒是否对所有检测到的威胁自动采取操作。对特定威胁采取的操作取决于策略定义的操作、用户定义的操作和签名定义的操作的组合。

如果启用此策略设置,MicrosoftDefender 防病毒不会对检测到的威胁自动采取操作,但会提示用户针对每个威胁从可用操作中进行选择。

如果禁用或未配置此策略设置,MicrosoftDefender 防病毒在大约 5 秒钟的不可配置延迟后,将对所有检测到的威胁自动采取操作。

对应的注册表数据:DisableRoutinelyTakingAction

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

备注:疑似翻译过程中出现错误,此项目正确的翻译应该是“禁用对检测到的威胁自动采取操作”

6.定义不使用代{过}{滤}理服务器的地址

描述:

当配置的代{过}{滤}理服务器与指定的 IP 地址通信时,此策略(如果定义)会阻止反恶意软件使用该服务器。应以有效 URL 的形式输入地址值。

如果启用此设置,则不会使用指定地址的代{过}{滤}理服务器。

如果禁用或未配置此设置,则会使用指定地址的代{过}{滤}理服务器。

对应的注册表数据:ProxyBypass

数据类型: REG_SZ

可接受的值:

<URL>(字符串类型)

7.定义用于复制支持日志文件的目录路径

描述:

使用此策略设置,可以配置要将支持日志文件复制到其中的目录路径。此设置的值应为有效的目录路径。

如果启用此设置,则支持日志文件将被复制到指定的支持日志位置路径。

如果禁用或未配置此设置,则不会将支持日志文件复制到任何位置。

对应的注册表数据:SupportLogLocation

数据类型:REG_SZ

可接受的值:

文件路径(字符串)

备注:此项仅在Windows Server 2016, Windows 10 1607及更高版本上有效

8.定义用于连接到网络的代{过}{滤}理服务器

描述:

此策略设置允许你配置当客户端尝试连接到网络以进行安全智能更新和 MAPS 报告时应使用的命名代{过}{滤}理。如果命名代{过}{滤}理失败或未指定任何代{过}{滤}理,客户端将回退到备用选项(按顺序):
1. 代{过}{滤}理服务器(如果已指定)
2. 代{过}{滤}理 .pac URL (如果已指定)
3. 无
4. Internet Explorer 代{过}{滤}理设置
5. 自动检测

如果启用此设置,代{过}{滤}理将按照上面指定的顺序设置为指定的 URL。该 URL 应以http:// 或 https:// 开头。

如果禁用或未配置此设置,代{过}{滤}理将按照上面指定的顺序跳过此回退步骤。

对应的注册表数据:ProxyServer

数据类型:REG_SZ

可接受的值:

URL(字符串)

9.定义用于连接到网络的代{过}{滤}理自动配置(.pac)

描述:

此策略设置定义当客户端尝试连接网络以进行安全智能更新和 MAPS 报告时应使用的代{过}{滤}理 .pac 文件的 URL。如果代{过}{滤}理自动配置失败或未指定任何代{过}{滤}理自动配置,客户端将回退到备用选项(按顺序):
1. 代{过}{滤}理服务器(如果已指定)
2. 代{过}{滤}理 .pac URL (如果已指定)
3. 无
4. Internet Explorer 代{过}{滤}理设置
5. 自动检测

如果启用此设置,代{过}{滤}理设置将设置为按照上面指定的顺序使用指定的代{过}{滤}理 .pac。

如果禁用或未配置此设置,代{过}{滤}理将按照上面指定的顺序跳过此回退步骤。

对应的注册表数据:ProxyPacUrl

数据类型:REG_SZ

可接受的值:

URL(字符串)

10.配置计划任务时间随机化窗口

描述:

此策略设置允许你配置计划扫描以及计划的安全智能更新开始时间段(以小时为单位)。

如果禁用或未配置此设置,则计划任务将在指定的开始时间后的 4 小时间隔内随机开始。
如果启用此设置,则必须选择一个随机时间段(以小时为单位)。可能的随机时间段间隔为 1 至 23小时。

对应的注册表数据:SchedulerRandomizationTime

数据类型:REG_DWORD

可接受的值:

1-23(启用,对应组策略编辑器中的有上下菜单的条目窗口)

0(禁用)

11.配置针对潜在的垃圾应用程序的检测

描述:

对潜在的垃圾应用程序启用或禁用检测。当潜在的垃圾应用程序正在下载或试图在计算机上安装时,你可以选择阻止、审核或允许。

启用:
在"选项"部分中指定模式:
-阻止: 阻止潜在的垃圾软件。
-审核模式: 潜在的垃圾软件可能不会被阻止,但如果此功能在设置为"阻止"时曾阻止访问,则事件日志中将有一条事件记录。

禁用:
潜在的垃圾软件将不会被阻止。

未配置:
同"已禁用"。

对应的注册表数据:PUAProtection

数据类型:REG_DWORD

可接受的值:

1-阻止(Microsoft Defender 将自动禁止被标记的文件执行)

2-审核模式(Microsoft Defender 不会阻止被标记的文件的行为,但会向用户发送通知提示)

0-禁用(默认)

备注:“潜在的垃圾应用程序”也称“可能不需要的应用”,其报告威胁类型中带有“PUA”;在某些旧版本的微软安全软件中,此项对应的是MpEngine项下的MpEnablePus(REG_DWORD)值,设置方式类似

12.随机化计划任务时间

描述:

使用此策略设置,可以启用或禁用随机化计划扫描开始时间和计划安全智能更新开始时间。此设置用于分散扫描资源影响。例如,该设置可以在共享主机的来宾虚拟机中使用,防止多个来宾虚拟机同时执行密集使用磁盘的操作。

如果启用或未配置此设置,计划任务会在指定开始时间后 4 小时时间间隔内的随机时间开始。

如果禁用此设置,计划的任务会在指定的开始时间开始。

对应的注册表数据:RandomizeScheduleTaskTimes

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用



13.MAPS(管理模板(计算机)>Windows组件>Microsoft Defender 防病毒>MAPS,下同)

对应注册表路径:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsDefender\Spynet

包含以下子数据:

(1)加入MAPS

描述:

此策略设置允许你加入 MicrosoftMAPS。Microsoft MAPS 是帮助你选择如何响应潜在威胁的在线社区。该社区还有助于停止新恶意软件感染的传播。

你可以选择发送有关检测到的软件的基本信息或附加信息。附加信息帮助 Microsoft 创建新的安全智能,并帮助其保护你的计算机。这些信息中可能包括以下内容: 计算机上已检测到的项的位置、有害软件是否已删除。该信息将会自动进行收集和发送。在某些情况下,可能会无意中将个人信息发送到 Microsoft。但是,Microsoft 不会将这些信息用于识别你的身份或与你联系。

可能的选项如下:
(0x0) 已禁用(默认值)
(0x1) 基本成员身份
(0x2) 高级成员身份

基本成员身份会将有关已检测到的软件的基本信息发送到 Microsoft,包括软件来源、用户应用或系统自动应用的操作以及操作是否成功。

高级成员身份除了基本信息以外,还会向Microsoft 发送有关恶意软件、间谍软件和可能不需要的软件的详细信息(包括软件位置、文件名、软件运行方式以及对你的计算机产生的影响)。

如果启用此设置,将使用指定的成员身份加入Microsoft MAPS。

如果禁用或未配置此设置,将不会加入Microsoft MAPS。

在 Windows 10 中,基本成员身份不再可用,因此将此值设置为 1 或 2 可将设备注册为高级成员身份。

对应的注册表数据:SpynetReporting

数据类型:REG_DWORD

可接受的值:

0-禁用

1-基本MAPS成员身份

2-高级MAPS成员身份

(2)配置"首次看到时阻止"功能

描述:

此功能可确保设备在允许运行或访问特定的内容之前,实时使用 Microsoft Active Protection Service (MAPS)进行检查。如果禁用此功能,则不执行检查,这会降低设备的保护状态。
Enabled - 已打开"首次看到时阻止"设置。
Disabled - 已关闭"首次看到时阻止"设置。

此功能要求按如下所示设置这些组策略:
MAPS -> 必须启用"加入 Microsoft MAPS",否则"首次看到时阻止"功能将无法正常运行。
MAPS -> "需要进一步分析时发送文件示例"应设置为 1 (发送安全示例)或 3 (发送所有示例)。设置为 0 (始终提示)会降低设备的保护状态。设置为 2 (永不发送)意味着"首次看到时阻止"功能将无法正常运行。
实时保护 -> 必须启用"扫描所有下载的文件和附件"策略,否则"首次看到时阻止"功能将无法正常运行。
实时保护 -> 请不要启用"关闭实时保护"策略,否则"首次看到时阻止"功能将无法正常运行。

对应的注册表数据:DisableBlockAtFirstSeen

数据类型:REG_DWORD

可接受的值:

0-启用(Enabled,启用首次看到时阻止)

1-禁用(Disabled,禁用首次看到时阻止)

(3)配置局部设置替换以便向 Microsoft MAPS 报告

描述:

此策略设置配置将局部替换配置以加入Microsoft MAPS。此设置仅可由组策略设置。

如果启用此设置,则本地首选设置的优先级会高于组策略。

如果禁用或未配置此设置,则组策略的优先级会高于本地首选设置。

对应的注册表数据:LocalSettingOverrideSpynetReporting

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(4)需要进一步分析时发送文件示例

描述:

在已选择进行 MAPS 遥测的情况下,此策略设置可配置样本提交行为。

可能的选项包括:
(0x0)始终提示
(0x1)自动发送安全样本
(0x2)从不发送
(0x3)自动发送所有样本

对应的注册表数据:SubmitSamplesConsent

数据类型:REG_DWORD

可接受的值:

0-始终提示

1-自动发送安全样本

2-从不发送

3-自动发送所有样本



14.Microsoft Defender 攻击防护

对应注册表路径:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsDefender\Windows Defender Exploit Guard\

包含以下项目:

(1)受控制文件夹的访问

对应注册表路径:HKLM\Software\Policies\Microsoft\WindowsDefender\Windows Defender Exploit Guard\Controlled Folder Access

*此项目需要Windows Server 2016, Windows 10 1709及更新版本的支持

包含以下数据:

【1】配置允许的应用程序

描述:

根据受控文件夹访问权限添加其他应视为"受信任"的应用程序。

允许这些应用程序修改或删除"受控文件夹访问权限"文件夹中的文件。

Microsoft Defender 防病毒自动确定应该信任哪些应用程序。你可以配置此设置以添加其他应用程序。

启用:
在"选项"部分中指定其他允许的应用程序。

禁用:
其他应用程序将不会添加到受信任列表。

未配置:
与"禁用"相同。

你可以在"配置受控文件夹访问权限"GP 设置中启用受控文件夹访问权限。

默认的系统文件夹自动受保护,但你可以在"配置受保护文件夹"GP 设置中添加文件夹。

对应的注册表数据:ExploitGuard_ControlledFolderAccess_AllowedApplications

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

配合使用的项目:

“输入应该受信任的应用程序”条目

对应:
HKLM\Software\Policies\Microsoft\WindowsDefender\Windows Defender Exploit Guard\Controlled FolderAccess\AllowedApplications项

此路径中的数据名称:<受信任的程序路径>

数据类型:REG_DWORD

可接受的值:0


【2】配置受保护的文件夹

描述:

指定应由受控文件夹访问权限功能保护的其他文件夹。

这些文件夹中的文件不能被不受信任的应用程序修改或删除。

默认的系统文件夹自动受保护。你可以配置此设置以添加其他文件夹。
受保护的默认系统文件夹的列表在 Windows安全中心显示。

启用:
在"选项"部分中指定其他应受保护的文件夹。

禁用:
其他文件夹将不会受到保护。

未配置:
与"禁用"相同。

你可以在"配置受控文件夹访问权限"GP 设置中启用受控文件夹访问权限。

Microsoft Defender 防病毒会自动确定可以信任哪些应用程序。你可以在"配置允许的应用程序"GP 设置中添加其他受信任的应用程序。

对应的注册表数据:ExploitGuard_ControlledFolderAccess_ProtectedFolders

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

配合使用的项目:

“输入应受保护的文件夹名称”条目

对应:
HKLM\Software\Policies\Microsoft\WindowsDefender\Windows Defender Exploit Guard\Controlled FolderAccess\ProtectedFolders

此路径中的数据名称:<受保护的文件夹路径>

数据类型:REG_DWORD

可接受的值:0

【3】配置受控文件夹访问权限

描述:

针对不受信任的应用程序启用或禁用受控文件夹访问权限。你可以选择阻止、审核或允许不受信任的应用进行以下尝试:
- 修改或删除受保护文件夹中的文件,例如"文档"文件夹
- 写入磁盘扇区

你也可以选择仅阻止或审核对磁盘扇区进行的写入,同时仍允许修改或删除受保护文件夹中的文件。

Microsoft Defender 防病毒会自动确定可以信任哪些应用程序。你可以在"配置允许的应用程序"GP 设置中添加其他受信任的应用程序。
默认的系统文件夹自动受保护,但你可以在"配置受保护的文件夹"GP 设置中添加文件夹。

阻止:
将阻止以下操作
- 不受信任的应用尝试修改或删除受保护文件夹中的文件
- 不受信任的应用尝试写入磁盘扇区
Windows 事件日志将在"应用程序和服务日志"> "Microsoft" > "Windows" >"Windows Defender" >"可操作">"ID 1123" 下记录这些阻止操作。


禁用:
将不会阻止并允许运行以下操作:
- 不受信任的应用尝试修改或删除受保护文件夹中的文件
- 不受信任的应用尝试写入磁盘扇区
这些尝试将不会记录在 Windows 事件日志中。


审核模式:
将不会阻止并允许运行以下操作:
- 不受信任的应用尝试修改或删除受保护文件夹中的文件
- 不受信任的应用尝试写入磁盘扇区
Windows 事件日志将在"应用程序和服务日志"> "Microsoft" > "Windows" >"Windows Defender" >"可操作">"ID 1124" 下记录这些尝试。


仅阻止磁盘修改:
将阻止以下操作:
- 不受信任的应用尝试写入磁盘扇区
Windows 事件日志将在"应用程序和服务日志"> "Microsoft" > "Windows" >"Windows Defender" >"可操作">"ID 1123" 下记录这些尝试。

将不会阻止并允许运行以下操作:
- 不受信任的应用尝试修改或删除受保护文件夹中的文件
将不会在 Windows 事件日志中记录这些尝试。


仅审核磁盘修改:
将不会阻止并允许运行以下操作:
- 不受信任的应用尝试写入磁盘扇区
- 不受信任的应用尝试修改或删除受保护文件夹中的文件
只有尝试写入受保护的磁盘扇区的操作才会记录在Windows 事件日志中(在"应用程序和服务日志"> "Microsoft" > "Windows" >"Windows Defender" >"可操作">"ID 1124" 下)。
将不会记录尝试修改或删除受保护文件夹中的文件的尝试操作。

未配置:
与"禁用"相同。

对应的注册表数据:EnableControlledFolderAccess

数据类型:REG_DWORD

可接受的值:

0-禁用(默认)

1-阻止所有修改物理扇区或受保护文件夹的操作

2-审核模式,让用户决定是否放行操作

3-仅阻止磁盘扇区修改

4-仅审核磁盘扇区修改,用户自行决定

(2)攻击面减少

对应注册表路径:HKLM\Software\Policies\Microsoft\WindowsDefender\Windows Defender Exploit Guard\ASR

*此项目需要Windows Server 2016, Windows 10 1709及更新版本的支持

包含以下数据:

【1】从攻击面减少规则中排除文件和路径

描述:

从攻击面减少(ASR)规则中排除文件和路径。

启用:
在"选项"部分指定应从 ASR 规则中排除的文件夹或文件和资源。
以名称-值对形式在一个新行中输入各个规则:
- 名称列: 输入文件夹路径或完全限定的资源名称。例如,"C:\Windows"将排除该目录中的所有文件。"C:\Windows\App.exe"将只排除该特定文件夹中的特定文件
- 值列: 为每一项输入"0"

禁用:
将不对 ASR 规则应用排除。

未配置:
与"禁用"相同。

你可以在"配置攻击面减少规则"GP 设置中配置 ASR 规则。

对应的注册表数据:ExploitGuard_ASR_ASROnlyExclusions

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

配合使用的项目:

“从ASR规则中排除”条目

对应:
HKLM\Software\Policies\Microsoft\WindowsDefender\Windows Defender Exploit Guard\ASR\ASROnlyExclusions

此路径中的数据名称:<需要忽略的的文件路径>

数据类型:REG_DWORD

可接受的值:0

【2】配置攻击面减少规则

描述:

设置每个攻击面减少 (ASR) 规则的状态。

启用此设置后,你可以在"选项"部分将每个规则设置为以下各项:
- 阻止: 将应用规则
- 审核模式: 如果规则正常地触发事件,则事件将被记录(虽然实际上将不应用规则)
关闭: 将不应用规则
未配置:使用默认值启用规则
-警告:规则将被应用,最终用户可以选择忽而文本块

除非ASR规则被禁用,否则将为 ASR 规则收集审核事件的子样例,其值为未配置。

启用:
在"选项"部分下面为此设置指定每个 ASR 规则的状态。
以名称-值对形式在一个新行中输入各个规则:
- 名称列: 输入有效的 ASR 规则 ID
- 值列: 输入与要为关联规则指定的状态相关的状态

值列中允许使用以下状态 ID:
- 1 (阻止)
- 0(关闭)
- 2 (审核)
- 5 (未配置)
- 6 (警告)


示例:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 0
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 1
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 2

禁用:
将不配置 ASR 规则。

未配置:
与"禁用"相同。

你可以在"从攻击面减少规则中排除文件和路径"GP 设置中排除文件夹或文件。

对应的注册表数据:ExploitGuard_ASR_Rules

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

配合使用的项目:

“为每个ASR规则设置状态”条目

对应:
HKLM\Software\Policies\Microsoft\WindowsDefender\Windows Defender Exploit Guard\ASR\Rules

此路径中的数据名称:<ASR规则ID>

数据类型:REG_DWORD

可接受的值:

1-阻止

0-关闭

2-审核

5-未配置

6-警告


(3)网络保护

对应注册表路径:HKLM\Software\Policies\Microsoft\WindowsDefender\Windows Defender Exploit Guard\Network Protection

*此项目需要Windows Server 2016, Windows 10 1709及更新版本的支持

包含以下数据:

【1】此设置控制是否允许网络保护在 Windows Server 上配置成阻止或审核模式。

描述:

已禁用 (默认):
如果未配置或已禁用,则不允许在 WindowsServer 上将网络保护配置为阻止或审核模式。

功能
如果启用,管理员可以控制是否允许网络保护在Windows Server 上配置成阻止或审核模式。
请注意,此配置依赖于 EnableNetworkProtection配置。如果此配置为 false,则会忽略EnableNetworkProtection,否则将根据 EnableNetworkProtection 的值在 Windows Server 上启动网络保护。

对应的注册表数据:AllowNetworkProtectionOnWinServer

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

【2】阻止用户和应用访问危险网站

描述:

启用或禁用 Microsoft Defender攻击防护网络保护,以防止员工使用任何应用程序访问可能托管钓鱼邮件的危险域、托管攻击的站点,以及Internet 上的其他恶意内容。

启用:
在"选项"部分中指定模式:
-阻止: 用户和应用程序无法访问危险域
-审核模式: 用户和应用程序可以连接到危险域,但如果此功能在设置为"阻止"时曾阻止访问,一条事件记录将显示在事件日志中。

禁用:
不会阻止用户和应用程序连接到危险域。

未配置:
与"禁用"相同。

对应的注册表数据:EnableNetworkProtection

数据类型:REG_DWORD

可接受的值:

0-禁用(默认)

1-阻止

2-审核(用户操作)


15.MpEngine

对应注册表路径:HKLM\Software\Policies\Microsoft\WindowsDefender\MpEngine

包含以下子数据:

(1)启用文件哈希计算功能

描述:

启用或禁用文件哈希计算功能。

启用:
当启用此功能时,MicrosoftDefender 将针对它扫描的文件计算哈希值。

禁用:
不计算文件哈希值

未配置:
与"禁用"相同。

对应的注册表数据:EnableFileHashComputation

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(2)选择云保护级别

描述:

此策略设置可以确定 MicrosoftDefender 防病毒在阻止和扫描可疑文件时的严格程度。

如果此设置已打开,MicrosoftDefender 防病毒在发现要阻止和扫描的可疑文件时将采取较严格的处理措施;反之,其严格程度会减弱,阻止和扫描的频率也会降低。

有关受支持的特定值的详细信息,请参阅Microsoft Defender 防病毒文档站点。

注意: 需要启用"加入 Microsoft MAPS"设置,此功能才会起作用。

可能的选项有:
(0x0)默认 Microsoft Defender 防病毒阻止级别
(0x1)中级 Microsoft Defender 防病毒阻止级别,只为高可信度检测提供判定结果
(0x2)高级阻止级别 - 严格阻止未知文件,同时优化客户端性能(误报可能性更大)
(0x4)特高级阻止级别 – 严格阻止未知文件并应用其他保护措施(可能影响客户端性能)
(0x6)零容忍阻止级别 – 阻止所有未知的可执行文件

对应的注册表数据:MpCloudBlockLevel

数据类型:REG_DWORD

可接受的值:

0-默认阻止级别

1-中等阻止级别

2-高阻止级别

4-高+阻止级别

6-零容忍阻止级别

(3)配置扩展的云检查

描述:

此功能允许 MicrosoftDefender 防病毒阻止某个可疑文件最长 60 秒,并且在云中进行扫描以确保其安全。

典型的云检查超时为 10 秒。若要启用扩展的云检查功能,请以秒为单位指定延长时间,最高可再延长 50 秒。

例如,如果所需超时为 60 秒,则在此设置中指定 50 秒,这将启用扩展的云检查功能,并且将总时间提升到 60 秒。

注意: 此功能取决于另外三项 MAPS 设置 -"配置‘首次看到时阻止'功能"、"加入 Microsoft MAPS"和"需要进一步分析时发送文件示例",它们都需要启用。

对应的注册表数据:MpBafsExtendedTimeout

数据类型:REG_DWORD

可接受的值:0-50(单位:秒)


16.修正

对应注册表路径:HKLM\Software\Policies\Microsoft\WindowsDefender\Remediation

包含以下数据:

(1)指定每周的不同天运行计划完整扫描以完成修正

描述:

使用此策略设置,可以指定每周的不同天执行计划完整扫描以完成修正。还可以将扫描配置为每天运行或者从不运行。

可以使用以下序号值配置此设置:
(0x0) 每天
(0x1) 星期天
(0x2) 星期一
(0x3) 星期二
(0x4) 星期三
(0x5) 星期四
(0x6) 星期五
(0x7) 星期六
(0x8) 从不(默认值)

如果启用此设置,则会以指定的频率运行计划完整扫描以完成修正。

如果禁用或未配置此设置,则会以默认频率运行计划完整扫描以完成修正。

对应的注册表数据:Scan_ScheduleDay

数据类型:REG_DWORD

可接受的值:

8-从不

0-每天

1-星期日

2-星期一

3-星期二

4-星期三

5-星期四

6-星期五

7-星期六

(2)指定每天的不同时间运行计划完整扫描以完成修正

描述:

使用此策略设置,可以指定在每天的不同时间执行计划完整扫描以完成修正。时间值采用超过午夜的分钟数(00:00)表示。 例如,120 (0x78)等同于 02:00 AM。 计划基于执行扫描的计算机上的本地时间。

如果启用此设置,则会在每天指定的时间运行计划完整扫描以完成修正。

如果禁用或未配置此设置,则会在默认时间运行计划完整扫描以完成修正。

对应的注册表数据:Scan_ScheduleTime

数据类型:REG_DWORD

可接受的值:0-1440

(3)配置本地设置替换,以便在每天的不同时间运行计划完整扫描以完成修正

描述:

此策略设置配置本地替换,用于配置运行计划完整扫描以完成修正的时间。此设置仅可由组策略设置。

如果启用此设置,则本地首选设置的优先级会高于组策略。

如果禁用或未配置此设置,则组策略的优先级会高于本地首选设置。

对应的注册表数据:LocalSettingOverrideScan_ScheduleTime

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用


17.威胁

对应注册表路径:HKLM\Software\Policies\Microsoft\WindowsDefender\Threats

包含以下数据:

(1)指定检测到其后不应对其采取默认操作的威胁

描述:

此策略设置自定义扫描期间检测到每个列出的威胁ID 后会对其采取的修正操作。应在"选项"下为此设置添加威胁。每个条目必须作为名称值对列出。名称定义了有效威胁 ID,值中包含应采取修正操作的操作 ID。

有效修正操作值如下:
2 = 隔离
3 = 删除
6 = 忽略

对应的注册表数据:Threats_ThreatIdDefaultAction

可接受的值:

1-启用

0-禁用

配合使用的项目:

“指定检测到其后不应对其采取默认操作的威胁”条目

对应:
HKLM\Software\Policies\Microsoft\WindowsDefender\Threats\ThreatIdDefaultAction

此路径中的项目名称:<威胁ID>

数据类型:REG_DWORD

可接受的值:

2-隔离

3-删除

6-忽略

(2)指定检测到其后不应对其采取默认操作的威胁警报级别

描述:

使用此策略设置,可以自定义对每个威胁警报级别采取的自动修正操作。对于此设置,应在"选项"下添加威胁警报级别。每个条目必须作为名称值对列出。名称定义威胁警报级别。值中包含应采取修正操作的操作 ID。

有效威胁警报级别如下:
1 = 低
2 = 中
4 = 高
5 = 严重

有效修正操作值如下:
2 = 隔离
3 =删除
6 = 忽略

对应的注册表数据:Threats_ThreatSeverityDefaultAction

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

配合使用的条目:

对应HKLM\Software\Policies\Microsoft\WindowsDefender\Threats\ThreatSeverityDefaultAction项

此路径中的项目名称:<威胁级别> 可接受的值:1、2、4、5

数据类型:REG_DWORD

可接受的值:

2-隔离

3-删除

6-忽略


18.安全情报更新

对应注册表路径:HKLM\Software\Policies\Microsoft\WindowsDefender\Signature Updates

包含以下数据:

(1)为 VDI 客户端定义安全情报位置

描述:

此策略设置允许你为 VDI 配置的计算机定义安全智能位置。

如果禁用或未配置此设置,将从默认的本地源引荐安全智能。

对应的注册表数据:SharedSignatureRoot

数据类型:REG_SZ

可接受的值:<路径>(字符串)

(2)允许 Microsoft Defender 防病毒通过按流量计费的连接进行更新和通信。

描述:

禁用(默认):
不允许通过按流量计费的连接进行更新和通信。

启用:
允许受管理的设备通过按流量计费的连接进行更新。可能需要支付数据费用。

对应的注册表数据:MeteredConnectionUpdates

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(3)允许基于 Microsoft MAPS 的报告进行实时安全智能更新

描述:

此策略设置允许你启用实时安全智能更新,以响应发送给 Microsoft MAPS 的报告。如果服务将文件报告为未知文件并且Microsoft MAPS 发现最新的安全智能更新有一个涉及该文件的威胁的安全智能,该服务将立即收到该威胁的所有最新安全智能。若要使用此功能,必须配置你的计算机配置以加入 Microsoft MAPS。

如果启用或未配置此设置,将启用实时安全智能更新。

如果禁用此设置,将禁用实时安全智能更新。

对应注册表数据:RealtimeSignatureDelivery

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(4)允许接收禁止将基于安全情报的报告发送给 Microsoft MAPS 的通知

描述:

此策略设置允许你配置反恶意软件服务以接收依据发送给 Microsoft MAPS 的报告发出的禁用单独安全智能的通知。MicrosoftMAPS 使用这些通知禁用导致误报的安全智能。为了使此功能有效,必须配置你的计算机以加入 MicrosoftMAPS。

如果启用或未配置此设置,反恶意软件服务将收到禁用安全智能的通知。

如果禁用此设置,反恶意软件服务将不会收到禁用安全智能的通知。

对应注册表数据:SignatureDisableNotification

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(5)允许来自 Microsoft 更新的安全智能更新

描述:

此策略设置允许你启用从 Microsoft 更新下载安全智能更新,即使将自动更新默认服务器配置为另一下载源(例如 Windows 更新)。

如果启用此设置,将从 Microsoft 更新下载安全智能更新。

如果禁用或未配置此设置,将从配置的下载源下载安全智能更新。

对应的注册表数据:ForceUpdateFromMU

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

备注:此项疑似是指能不能从Windows更新中同步获取更新

(6)在使用电池电源运行时允许安全智能更新

描述:

此策略设置允许你在计算机使用电池电源运行时配置安全智能更新。

如果启用或未配置此设置,无论电源状态如何,都会照常进行安全智能更新。

如果禁用此设置,当计算机使用电池电源运行时,安全智能更新将关闭。

对应的注册表数据:DisableScheduledSignatureUpdateOnBattery

数据类型:REG_DWORD

可接受的值:

1-禁用

0-启用

(7)在启动时启动安全情报更新

描述:

此策略设置允许你在没有反恶意软件引擎的情况下,在启动时配置安全智能更新。

如果启用或未配置此设置,在没有反恶意软件引擎的情况下,将在启动时启动安全智能更新。

如果禁用此设置,在没有反恶意软件引擎的情况下,将不会在启动时启动安全智能更新。

对应的注册表数据:DisableUpdateOnStartupWithoutEngine

数据类型:REG_DWORD

可接受的值:

1-禁用

0-启用

备注:感觉又是一个翻译错误,没有写引擎的问题

(8)在启动时检查是否有最新的病毒和间谍软件安全情报

描述:

此策略设置允许你管理是否在服务启动后立即检查新的病毒和间谍软件安全智能。

如果启用此设置,将在服务启动后检查新的安全智能。

如果禁用此设置或未配置此设置,将不会在服务启动后检查新的安全智能。

对应的注册表数据:UpdateOnStartUp

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(9)在安全智能更新后打开扫描

描述:

此策略设置允许你配置在进行安全智能更新后启动的自动扫描。

如果启用或未配置此设置,扫描将在进行安全智能更新后启动。

如果禁用此设置,扫描将不会在进行安全智能更新后启动。

对应的注册表数据:DisableScanOnUpdate

数据类型:REG_DWORD

可接受的值:

1-禁用

0-启用

(10)定义在几天后需要追加安全情报更新

描述:

此策略设置允许你定义需要弥补安全智能更新后的天数。默认情况下,此设置的值为 1 天。

如果启用此设置,将在指定的天数后执行弥补安全智能更新。

如果禁用或未配置此设置,将在默认天数后需要弥补安全智能更新。

对应的注册表数据:SignatureUpdateCatchupInterval

数据类型:REG_DWORD

可接受的值:0-4294967295(单位:天)

(11)定义用于下载安全情报更新的源的顺序

描述:

此策略设置允许你定义应连接的不同安全智能更新源的顺序。此设置的值应作为按顺序枚举安全智能更新源的以竖线分隔的字符串输入。可能的值包括: "InternalDefinitionUpdateServer"、"MicrosoftUpdateServer"、"MMPC"以及 "FileShares"

例如: {InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC }

如果启用此设置,将按照指定的顺序连接安全智能更新源。从一个指定的源成功下载安全智能更新后,将不会连接列表中剩余的源。

如果禁用或未配置此设置,将按照默认顺序连接安全智能更新源。

对应的注册表数据:FallbackOrder

数据类型:REG_SZ

可接受的值:InternalDefinitionUpdateServer、MicrosoftUpdateServer、MMPC 以及 FileShares

(12)定义用于下载安全智能更新的文件共享

描述:

此策略设置允许你配置用于下载安全智能更新的UNC 文件共享源。将按指定的顺序连接源。此设置的值应作为枚举安全智能更新源的以竖线分隔的字符串输入。例如:"{\\unc1| \\unc2 }"。默认情况下,该列表为空。

如果启用此设置,将连接指定的源以获取安全智能更新。在从一个指定的源成功下载安全智能更新后,将不会连接列表中剩余的源。

如果禁用或未配置此设置,默认情况下该列表将保留为空,并且不会连接任何源。

对应的注册表数据:DefinitionUpdateFileSharesSources

数据类型:REG_SZ

可接受的值:<UNC共享路径>(字符串)

(13)定义病毒安全情报被视为过期之前的天数

描述:

此策略设置允许你定义在病毒安全智能视为过期之前必须经过的天数。如果确定安全智能已过期,此状态可能会触发多个其他操作,包括回退到备用更新源或在用户界面中显示警告图标。默认情况下,此值设置为 7 天。

如果启用此设置,病毒安全智能将在超过指定天数而无更新后视为过期。

如果禁用或未配置此设置,病毒安全智能将在超过默认天数而无更新后视为过期。

对应的注册表数据:AVSignatureDue

数据类型:REG_DWORD

可接受的值:0-4294967295

(14)定义间谍软件安全情报被视为过期之前的天数

描述:

此策略设置允许你定义在间谍软件安全智能视为过期之前必须经过的天数。如果确定安全智能已过期,此状态可能会触发多个其他操作,包括回退到备用更新源或在用户界面中显示警告图标。默认情况下,此值设置为 7 天。

如果启用此设置,间谍软件安全智能将在超过指定天数而无更新后视为过期。

如果禁用或未配置此设置,间谍软件安全智能将在超过默认天数而无更新后视为过期。

对应的注册表数据:ASSignatureDue

数据类型:REG_DWORD

可接受的值:0-4294967295

(15)指定在星期几检查安全情报更新

描述:

此策略设置允许你指定在星期几检查安全智能更新。还可以将检查配置为每天运行或从不运行。

可以使用以下序号值配置此设置:
(0x0)每天(默认值)
(0x1)星期天
(0x2)星期一
(0x3)星期二
(0x4)星期三
(0x5)星期四
(0x6)星期五
(0x7)星期六
(0x8)从不

如果启用此设置,将以指定的频率检查安全智能更新。

如果禁用或未配置此设置,将以默认频率检查安全智能更新。

对应的注册表数据:ScheduleDay

数据类型:REG_DWORD

可接受的值:

8-从不

0-每天

1-星期日

2-星期一

3-星期二

4-星期三

5-星期四

6-星期五

7-星期六

(16)指定检查安全情报更新的时间间隔

描述:

此策略设置允许你指定检查安全智能更新的时间间隔。时间值用更新检查之间的小时数表示。有效的值范围从 1 (每小时)到 24 (每天一次)。

如果启用此设置,将以指定的时间间隔检查安全智能更新。

如果禁用或未配置此设置,将以默认的时间间隔检查安全智能更新。

对应的注册表数据:SignatureUpdateInterval

数据类型:REG_DWORD

可接受的值:0-24(单位:小时)

(17)指定检查安全智能更新的时间

描述:

此策略设置允许你指定在一天的哪个时间检查安全智能更新。时间值用午夜过后的分钟数(00:00)表示。 例如,120 (0x78)等效于凌晨 02:00。默认情况下,将此设置配置为在计划扫描时间之前的 15 分钟检查安全智能更新。计划基于执行检查的计算机上的本地时间。

如果启用此设置,将在每天指定的时间检查安全智能更新。

如果禁用或未配置此设置,将在默认时间检查安全智能更新。

对应的注册表数据:ScheduleTime

数据类型:REG_DWORD

可接受的值:0-1440(单位:分钟)


19.实时保护

对应注册表路径:HKLM\Software\Policies\Microsoft\WindowsDefender\Real-Time Protection

*以下多项设置在最新版本的Windows 10 11中会被自动忽略并删除,可能未必有效

包含以下数据:

(1)不论何时启用实时保护,都会启用进程扫描

描述:

使用此策略设置,可以配置当启用实时保护时扫描进程。该操作有助于捕获实时保护关闭时可能会启动的恶意软件。

如果启用或未配置此设置,则会在打开实时保护时启动进程扫描。

如果禁用此设置,则不会在打开实时保护时启动进程扫描。

对应的注册表数据:DisableScanOnRealtimeEnable

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

(2)关闭实时保护

描述:

此策略设置可关闭针对已知恶意软件检测的实时保护提示。

当恶意软件或可能不需要的软件试图在你的计算机上自行安装或运行时,Microsoft Defender 防病毒会向你发出警报。

如果启用此策略设置,MicrosoftDefender 防病毒将不会提示用户对检测到的恶意软件采取操作。

如果禁用或未配置此策略设置,MicrosoftDefender 防病毒将提示用户对检测到的恶意软件采取操作。

对应的注册表数据:DisableRealtimeMonitoring

数据类型:REG_DWORD

可接受的值:

1-启用(实时保护关闭)

0-禁用(实时保护开启)

(3)启用原始卷写入通知

描述:

此策略设置控制是否向行为监视发送原始卷写入通知。

如果启用或未配置此设置,则会启用原始写入通知。

如果禁用此设置,则会禁用原始写入通知。

对应的注册表数据:DisableRawWriteNotification

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

(4)启用脚本扫描

描述:

通过此策略设置,您可以配置脚本扫描。

如果启用或未配置此设置,则将启用脚本扫描。

如果禁用此设置,则将禁用脚本扫描。

对应的注册表数据:DisableScriptScanning

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

(5)定义要扫描的下载文件和附件的最大大小

描述:

此策略设置定义了将扫描的下载文件和附件的最大大小(以千字节为单位)。

如果启用此设置,则会扫描小于指定大小的下载文件和附件。

如果禁用或未配置此设置,则会应用默认大小。

对应的注册表数据:IOAVMaxSize

数据类型:REG_DWORD

可接受的值:0-10000000(单位:千字节)

(6)打开行为监视

描述:

使用此策略设置可以配置行为监视。

如果启用或未配置此设置,则会启用行为监视。

如果禁用此设置,则会禁用行为监视。

对应的注册表数据:DisableBehaviorMonitoring

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

(7)扫描所有下载文件和附件

描述:

使用此策略设置,可以配置扫描所有下载文件和附件。

如果启用或未配置此设置,则会启用扫描所有下载文件和附件。

如果禁用此设置,则会禁用扫描所有下载文件和附件。

对应的注册表数据:DisableIOAVProtection

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

(8)监视计算机上的文件和程序活动

描述:

使用此策略设置,可以配置监视文件和程序活动。

如果启用或未配置此设置,则会启用监视文件和程序活动。

如果禁用此设置,则会禁止监视文件和程序活动。

对应的注册表数据:DisableOnAccessProtection

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

(9)配置本地设置替换以打开实时保护

描述:

此策略设置配置本地替换,用于配置打开实时保护。此设置仅可由组策略设置。

如果启用此设置,则本地首选设置的优先级会高于组策略。

如果禁用或未配置此设置,则组策略的优先级会高于本地首选设置。

对应的注册表数据:LocalSettingOverrideDisableRealtimeMonitoring

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(10)配置本地设置替换,用于打开行为监视

描述:

此策略设置配置本地替换,用于配置行为监视。此设置仅可由组策略设置。

如果启用此设置,则本地首选设置的优先级会高于组策略。

如果禁用或未配置此设置,则组策略的优先级会高于本地首选设置。

对应的注册表数据:LocalSettingOverrideDisableBehaviorMonitoring

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(11)配置本地设置替换,用于扫描所有下载文件和附件

描述:

此策略设置配置本地替换,用于配置扫描所有下载文件和附件。此设置仅可由组策略设置。

如果启用此设置,则本地首选设置的优先级会高于组策略。

如果禁用或未配置此设置,则组策略的优先级会高于本地首选设置。

对应的注册表数据:LocalSettingOverrideDisableIOAVProtection

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(12)配置本地设置替换,用于监视传入和传出文件活动

描述:

此策略设置配置本地替换,用于配置监视传入和传出文件活动。此设置仅可由组策略设置。

如果启用此设置,则本地首选设置的优先级会高于组策略。

如果禁用或未配置此设置,则组策略的优先级会高于本地首选设置。

对应的注册表数据:LocalSettingOverrideRealtimeScanDirection

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(13)配置本地设置替换,用于监视计算机上的文件和程序活动

描述:

此策略设置配置本地替换,用于配置监视计算机上的文件和程序活动。此设置仅可由组策略设置。

如果启用此设置,则本地首选设置的优先级会高于组策略。

如果禁用或未配置此设置,则组策略的优先级会高于本地首选设置。

对应的注册表数据:LocalSettingOverrideDisableOnAccessProtection

数据类型:REG_DWORD

1-启用

0-禁用

(14)配置监视传入和传出文件和程序活动

描述:

使用此策略设置,可以配置监视传入和传出文件,无须彻底关闭监视。建议在这样的服务器上使用: 有大量传入和传出文件活动,但是出于性能原因,需要针对特殊扫描方向禁用扫描。相应的配置应基于服务器角色进行评估。

注意:仅为 NTFS 卷优先使用此配置。对于任何其他文件系统类型,会在这些卷上执行完全监视文件和程序活动。

此设置的选项互斥独占:
0 = 扫描传入和传出文件(默认值)
1 = 仅扫描传入文件
2 = 仅扫描传出文件

任何其他值,或该值不存在,则解析为默认值(0)。

如果启用此设置,则会启用指定类型的监视。

如果禁用或未配置此设置,则会启用监视传入和传出文件。

对应的注册表数据:RealtimeScanDirection

数据类型:REG_DWORD

可接受的值:

0-双向(完全on-access)

1-近扫描传入(禁用on-open)

2-仅扫描传出(禁用on-close)


20.客户端页面

对应注册表路径:HKLM\Software\Policies\Microsoft\WindowsDefender\UX Configuration

包含以下数据:

(1)启用无头 UI 模式

描述:

此策略设置,可以配置向用户显示 AM UI。
如果启用此设置不会可供用户访问 AM 用户界面。

对应的注册表数据:UILockdown

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(2)将禁用重新启动时通知

描述:

此策略设置(用于用户界面无法锁定模式中的情况下)在用户界面模式下,禁止显示重新启动时通知用户。

如果启用此设置 AM 用户界面将不会显示重新启动时通知。

对应的注册表数据:SuppressRebootNotification

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(3)当客户端需要执行操作时向其显示附加文本

描述:

使用此策略设置,可以配置在客户端需要执行操作时是否向其显示附加文本。显示的文本为管理员定义的自定义字符串。例如,呼叫公司技术支持的电话号码。客户端界面仅会显示最多 1024 个字符。显示前会截断较长的字符串。

如果启用此设置,则会显示指定的附加文本。

如果禁用或未配置此设置,则不会显示附加文本。

对应的注册表数据:CustomDefaultActionToastString

数据类型:REG_SZ

可接受的值:<附加信息>(字符串)

(4)禁止显示所有通知

描述:

使用此策略设置可以指定是否要将Microsoft Defender 防病毒通知显示在客户端上。
如果禁用或未配置此设置,MicrosoftDefender 防病毒通知将显示在客户端上。

如果启用此设置,MicrosoftDefender 防病毒通知将不会显示在客户端上。

对应的注册表数据:Notification_Suppress

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用


21.扫描

对应注册表路径:HKLM\Software\Policies\Microsoft\WindowsDefender\Scan

包含以下数据:

(1)仅当计算机处于打开但未使用状态才启动计划扫描

描述:

使用此策略设置,可以配置为仅当计算机处于打开但未使用状态启动计划扫描。

如果启用或未配置此设置,则仅当计算机处于打开但未使用状态运行计划扫描。

如果禁用此设置,则计划的扫描会在计划时间运行。

对应的注册表数据:ScanOnlyIfIdle

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(2)允许用户暂停扫描

描述:

使用此策略设置,可以管理最终用户是否可以暂停进行中的扫描。

如果启用或未配置此设置,则会向任务栏图标中添加新的上下文菜单以允许用户暂停扫描。

如果禁用此设置,则用户无法暂停扫描。

对应注册表数据:AllowPause

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(3)创建系统还原点

描述:

使用此策略设置,可以在每天清理之前在计算机上创建系统还原点。

如果启用此设置,则会创建系统还原点。

如果禁用或未配置此设置,则不会创建系统还原点。

对应注册表数据:DisableRestorePoint

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

(4)启用从扫描历史记录文件夹中删除项

描述:

此策略设置定义了项在被永久删除前保留在扫描历史记录文件夹中的天数。该值表示在文件夹中保留项的天数。如果设置为 0,则会永远保留项且不会自动删除。默认情况下,该值设置为 30 天。

如果启用此设置,则在指定天数后会从扫描历史记录文件夹中删除这些项。

如果禁用或未配置此设置,则项在扫描历史记录文件夹中保留默认天数。

对应的注册表数据:PurgeItemsAfterDelay

数据类型:REG_DWORD

可接受的值:0-4294967295

(5)启用启发

描述:

使用此策略设置可以配置启发。就在向引擎客户端报告之前,会抑制可疑检测。关闭启发会减弱标记新威胁的功能。建议不要关闭启发。

如果启用或未配置此设置,则会启用启发。

如果禁用此设置,则会禁用启发。

对应的注册表数据:DisableHeuristics

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

备注:“启发”应为“启发式扫描”

(6)启用弥补完整扫描

描述:

使用此策略设置,可以配置计划快速扫描的弥补扫描。弥补扫描为由于错过定期计划扫描而启动的扫描。通常会错过这些计划扫描,原因是计算机在计划时间关闭。

如果启用此设置,则会打开计划快速扫描的弥补扫描。如果计算机在两个连续的计划扫描期间脱机,则下次用户登录计算机时会启动弥补扫描。如果未配置计划扫描,则不会运行弥补扫描。

如果禁用或未配置此设置,则会关闭计划快速扫描的弥补扫描。

对应的注册表数据:DisableCatchupFullScan

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

(7)启用弥补快速扫描

描述:

使用此策略设置,可以配置计划快速扫描的弥补扫描。弥补扫描为由于错过定期计划扫描而启动的扫描。通常会错过这些计划扫描,原因是计算机在计划时间关闭。

如果启用此设置,则会打开计划快速扫描的弥补扫描。如果计算机在两个连续的计划扫描期间脱机,则下次用户登录计算机时会启动弥补扫描。如果未配置计划扫描,则不会运行弥补扫描。

如果禁用或未配置此设置,则会关闭计划快速扫描的弥补扫描。

对应的注册表数据:DisableCatchupQuickScan

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

(8)启用电子邮件扫描

描述:

使用此策略设置可以配置电子邮件扫描。启动电子邮件扫描时,引擎会根据邮箱和邮件文件的特定格式分析这些邮箱和邮件文件,以便分析邮件正文和附件。当前支持多个电子邮件格式,例如:pst (Outlook)、dbx、mbx、mime (Outlook Express)、binhex (Mac)。

如果启用此设置,则会启用电子邮件扫描。

如果禁用或未配置此设置,则会禁用电子邮件扫描。

对应的注册表数据:DisableEmailScanning

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

(9)启用重解析点扫描

描述:

使用此策略设置可以配置重解析点扫描。如果允许扫描重解析点,则可能会存在递归风险。但是,引擎支持以下重解析点到最大深度,这样最坏的情况是可能会减慢扫描速度。默认情况下会禁用重解析点扫描,且此为此功能的建议状态。

如果启用此设置,则会启用重解析点扫描。

如果禁用或未配置此设置,则会禁用重解析点扫描。

对应的注册表数据:DisableReparsePointScanning

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

备注:疑似与压缩包炸弹的扫描层次有关

(10)在映射的网络驱动器上运行完整扫描

描述:

使用此策略设置,可以配置扫描映射的网络驱动器。

如果启用此设置,则会扫描映射的网络驱动器。

如果禁用或未配置此设置,则不会扫描映射的网络驱动器。

对应的注册表数据:DisableScanningMappedNetworkDrivesForFullScan

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

备注:开启此项可能会扫描诸如OneDrive网盘中的文件,期间也许会将网盘文件下载到本地,造成系统资源占用或扫描缓慢。

(11)在运行计划的扫描之前检查最新的病毒和间谍软件安全情报

描述:

此策略设置允许你管理在运行扫描前是否检查新的病毒和间谍软件安全智能。

此设置适用于计划扫描以及命令行"mpcmdrun -SigUpdate",但是它对通过用户界面手动启动的扫描不起作用。

如果启用此设置,将在运行扫描前检查新的安全智能。

如果禁用此设置或未配置此设置,将使用现有的安全智能来启动扫描。

对应的注册表数据:CheckForSignaturesBeforeRunningScan

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(12)定义天数,经过该天数后,将强制执行后续扫描

描述:

使用此策略设置,可以定义在强制执行后续扫描后可能错过的连续计划扫描数。默认情况下,此设置的值为 2 个连续计划扫描。

如果启用此设置,将在指定次数的连续错过计划扫描后执行后续扫描。

如果禁用或未配置此设置,则将在 2 个连续错过计划扫描后执行后续扫描。


对应的注册表数据:MissedScheduledScanCountBeforeCatchup

数据类型:REG_DWORD

可接受的值:2-20(单位:天)

(13)定义要扫描的存档文件的最大大小。

描述:

使用此策略设置,可以配置进行扫描的存档文件(如 .ZIP 或 .CAB)的最大大小。该值表示文件大小,单位为千字节(KB)。默认值为 0,表示对于扫描存档大小没有限制。

如果启用此设置,则会扫描小于或等于指定大小的存档文件。

如果禁用或未配置此设置,则会根据默认值扫描存档文件。


对应的注册表数据:ArchiveMaxSize

数据类型:REG_DWORD

可接受的值:0(无限制)-4294967295(单位:KB)

备注:也可以叫“压缩文件”

(14)扫描压缩的可执行文件

描述:

使用此策略设置,可以配置扫描压缩的可执行文件。建议保持启用此类型的扫描。

如果启用或未配置此设置,则会扫描压缩的可执行文件。

如果禁用此设置,则不会扫描压缩的可执行文件。


对应的注册表数据:DisablePackedExeScanning

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

备注:这应该就是是否扫描加壳的文件的设置

(15)扫描可移动驱动器

描述:

使用此策略设置,可以管理运行完整扫描时是否扫描可移动驱动器(如 U 盘)内容中的恶意软件和不需要的软件。

如果启用此设置,则任何类型扫描期间都会扫描可移动驱动器。

如果禁用或未配置此设置,则在完整扫描期间不会扫描可移动驱动器。快速扫描和自定义扫描期间仍会扫描可移动驱动器。

对应的注册表数据:DisableRemovableDriveScanning

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

(16)扫描存档文件

描述:

使用此策略设置,可以配置扫描存档文件(如 .ZIP 或 .CAB 文件)中的恶意软件和不需要的软件。

如果启用或未配置此设置,则会扫描存档文件。

如果禁用此设置,则不会扫描存档文件。


对应的注册表数据:DisableArchiveScanning

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

(17)扫描网络文件

描述:

使用此策略设置,可以配置扫描网络文件。建议不要启用此设置。

如果启用此设置,则会扫描网络文件。

如果禁用或未配置此设置,则不会扫描网络文件。


对应的注册表数据:DisableScanningNetworkFiles

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

(18)指定扫描存档文件的最大深度

描述:

使用此策略设置,可以配置扫描期间将存档文件(如 .ZIP 或 .CAB)解压缩到的最大目录深度级别。默认目录深度级别是 0。

如果启用此设置,则会将存档文件扫描到指定的目录深度级别。

如果禁用或未配置此设置,则会将存档文件扫描到默认目录深度级别。


对应的注册表数据:ArchiveMaxDepth

数据类型:REG_DWORD

可接受的值:0-4294967295

(19)指定扫描期间 CPU 使用率的最大百分比

描述:

使用此策略设置,可以配置扫描期间所允许 CPU 使用率的最大百分比。此设置的有效值为整数 5 到 100 表示的百分比。值为零(0)表示应对 CPU 使用率无限制。默认值为 50。

如果启用此设置,则 CPU 使用率不会超过指定的百分比。

如果禁用或未配置此设置,则 CPU 使用率不会超过默认值。


对应的注册表数据:AvgCPULoadFactor

数据类型:REG_DWORD

可接受的值:0(无限制)5-100(百分比)

(20)指定每周的不同天运行计划扫描

描述:

使用此策略设置,可以指定每周的不同天执行计划扫描。还可以将扫描配置为每天运行或者从不运行。

可以使用以下序号值配置此设置:
(0x0) 每天
(0x1) 星期天
(0x2) 星期一
(0x3) 星期二
(0x4) 星期三
(0x5) 星期四
(0x6) 星期五
(0x7) 星期六
(0x8) 从不(默认值)

如果启用此设置,则会以指定的频率运行计划扫描。

如果禁用或未配置此设置,则会以默认频率运行计划扫描。


对应的注册表数据:ScheduleDay

数据类型:REG_DWORD

可接受的值:

8-从不

0-每天

1-星期日

2-星期一

3-星期二

4-星期三

5-星期四

6-星期五

7-星期六

(21)指定每天的不同时间运行计划扫描

描述:

使用此策略设置,可以指定每天的不同时间执行计划扫描。时间值采用超过午夜的分钟数(00:00)表示。 例如,120 (0x78)等同于 02:00 AM。默认情况下,将此设置设置为时间值 2:00 AM。计划基于执行扫描的计算机上的本地时间。

如果启用此设置,则计划扫描会在每天指定的时间运行。

如果禁用或未配置此设置,则计划扫描会在默认时间运行。


对应的注册表数据:ScheduleTime

数据类型:REG_DWORD

可接受的值:0-1440(单位:分钟)

(22)指定每天运行快速扫描的时间

描述:

使用此策略设置,可以指定每天的不同时间执行每日快速扫描。时间值采用超过午夜的分钟数(00:00)表示。 例如,120 (0x78)等同于 02:00 AM。默认情况下,将此设置设置为时间值 2:00 AM。计划基于执行扫描的计算机上的本地时间。

如果启用此设置,则每日快速扫描会在每天指定的时间运行。

如果禁用或未配置此设置,则会在默认时间运行每日快速扫描。


对应的注册表数据:ScheduleQuickScanTime

数据类型:REG_DWORD

可接受的值:0-1440(单位:分钟)

(23)指定每天运行快速扫描的时间间隔

描述:

使用此策略设置,可以指定执行快速扫描的时间间隔。时间值采用两次快速扫描间的小时数表示。有效值范围介于 1(每小时)和 24(每天一次)之间。如果设置为 0,则不会执行时间间隔快速扫描。默认情况下,此设置设置为 0。

如果启用此设置,则快速扫描会以指定的时间间隔运行。

如果禁用或未配置此设置,则会在默认时间运行快速扫描。


对应的注册表数据:QuickScanInterval

数据类型:REG_DWORD

可接受的值:0-24(单位:小时)

(24)指定用于计划扫描的扫描类型

描述:

使用此策略设置,可以指定计划扫描期间使用的扫描类型。扫描类型选项如下:
1 = 快速扫描(默认值)
2 = 完整扫描

如果启用此设置,则会将扫描类型设置为指定值。

如果禁用或未配置此设置,则会使用默认扫描类型。


对应的注册表数据:ScanParameters

数据类型:REG_DWORD

可接受的值:

1-快速扫描

2-完整系统扫描

(25)配置本地设置替换以获取 CPU 使用率最大百分比

描述:

此策略设置配置本地替换,用于配置扫描期间 CPU 使用率的最大百分比。此设置仅可由组策略设置。

如果启用此设置,则本地首选设置的优先级会高于组策略。

如果禁用或未配置此设置,则组策略的优先级会高于本地首选设置。


对应注册表数据:LocalSettingOverrideAvgCPULoadFactor

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(26)配置本地设置替换以获取用于计划扫描的扫描类型

描述:

此策略设置配置本地替换,用于配置计划扫描期间要使用的扫描类型。此设置仅可由组策略设置。

如果启用此设置,则本地首选设置的优先级会高于组策略。

如果禁用或未配置此设置,则组策略的优先级会高于本地首选设置。


对应的注册表数据:LocalSettingOverrideScanParameters

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(27)配置本地设置替换以获取计划快速扫描时间

描述:

此策略设置配置本地替换,用于配置计划扫描时间。此设置仅可由组策略设置。

如果启用此设置,则本地首选设置的优先级会高于组策略。

如果禁用或未配置此设置,则组策略的优先级会高于本地首选设置。


对应的注册表数据:LocalSettingOverrideScheduleQuickScanTime

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(28)配置本地设置替换以获取计划扫描日期

描述:

此策略设置配置本地替换,用于配置计划扫描时间。此设置仅可由组策略设置。

如果启用此设置,则本地首选设置的优先级会高于组策略。

如果禁用或未配置此设置,则组策略的优先级会高于本地首选设置。


对应的注册表数据:LocalSettingOverrideScheduleDay

数据类型:REG_DWORD

1-启用

0-禁用

(29)配置本地设置替换以获取计划扫描时间

描述:

此策略设置配置本地替换,用于配置计划扫描日期。此设置仅可由组策略设置。

如果启用此设置,则本地首选设置的优先级会高于组策略。

如果禁用或未配置此设置,则组策略的优先级会高于本地首选设置。

对应的注册表数据:LocalSettingOverrideScheduleTime

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(30)配置计划扫描的低 CPU 优先级

描述:

通过此策略设置,可以启用或禁用定时扫描的低 CPU 优先级。

如果启用此设置,则在定时扫描期间将使用低 CPU 优先级。

如果禁用或不配置此设置,则不会对定时扫描的 CPU 优先级进行更改。


对应的注册表数据:LowCpuPriority

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

备注:可能与之前的CPU运行级别导致的高资源占用有关?


22.报告

对应注册表路径:HKLM\Software\Policies\Microsoft\Windows Defender\Reporting

包含以下数据:

(1)为需要其他操作的检测配置超时

描述:

此策略设置配置检测操作从"其他操作"状态改为"清除"状态前的时间(以分钟为单位)。

对应的注册表数据:AdditionalActionTimeout

数据类型:REG_DWORD

可接受的值:0-4294967295(单位:分钟)

(2)禁用增强型通知

描述:

使用此策略设置可以指定是否要将 Microsoft Defender 防病毒增强型通知显示在客户端上。

如果禁用或未配置此设置,Microsoft Defender 防病毒增强型通知将显示在客户端上。

如果启用此设置,Microsoft Defender 防病毒增强型通知将不会显示在客户端上。


对应的注册表数据:DisableEnhancedNotifications

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(3)配置 Watson 事件

描述:

使用此策略设置,可以配置是否发送 Watson 事件。

如果启用或未配置此设置,则会发送 Watson 事件。

如果禁用此设置,则不会发送 Watson 事件。


对应的注册表数据:DisableGenericRePorts

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

(4)配置 Windows 软件跟踪预处理器组件

描述:

此策略配置 Windows 软件跟踪预处理器(WPP 软件跟踪)组件。

对应的注册表数据:WppTracingComponents

数据类型:REG_DWORD

可接受的值:0-4294967295

(5)配置 WPP 跟踪级别

描述:

使用此策略,可以配置 Windows 软件跟踪预处理器(WPP 软件跟踪)的跟踪级别。
跟踪级别定义如下:
1 - 错误
2 - 警告
3 - 信息
4 - 调试


对应的注册表数据:WppTracingLevel

数据类型:REG_DWORD

可接受的值:

0-禁用

1-错误

2-警告

3-信息

4-调试

(6)配置处于最新更新状态下检测操作的超时

描述:

此策略设置配置检测操作从"已完成"状态改为"清除"状态前的时间(以分钟为单位)。

对应的注册表数据:RecentlyCleanedTimeout

数据类型:REG_DWORD

可接受的值:0-4294967295(单位:分钟)

(7)配置完全失败状态下检测操作的超时

描述:

此策略设置配置检测操作从"完全失败"状态改为"其他操作"状态或"清除"状态前的时间(以分钟为单位)。

对应的注册表数据:CriticalFailureTimeout

数据类型:REG_DWORD

可接受的值:0-4294967295(单位:分钟)

(8)配置非完全失败状态下检测操作的超时

描述:

此策略设置配置检测操作从"非完全失败"状态改为"清除"状态前的时间(以分钟为单位)。

对应的注册表数据:NonCriticalTimeout

数据类型:REG_DWORD

可接受的值:0-4294967295


23.排除项

对应注册表路径:HKLM\Software\Policies\Microsoft\Windows Defender\Exclusions

包含以下数据:

(1)IP 地址排除

描述:

允许管理员明确禁用在一组特定的 IP 地址上通过 wdnisdrv 进行网络数据包检查。

对应的注册表数据:Exclusions_IpAddresses

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

配合使用的项目:

“IP地址排除”条目

对应
HKLM\Software\Policies\Microsoft\Windows Defender\Exclusions\IpAddresses


此路径中的数据名称:<IP地址>

数据类型:REG_DWORD

可接受的值:0

(2)关闭自动排除项

描述:

允许管理员指定是否应关闭服务器 SKU 的自动排除功能。

禁用(默认):
Microsoft Defender 将从扫描范围中排除预定义的路径列表,以提高性能。

启用:
Microsoft Defender 不会从扫描范围中排除预定义的路径列表。在某些情况下,这可能影响计算机性能。

未配置:
与"禁用"相同。


对应的注册表数据:DisableAutoExclusions

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

备注:此条目仅在Windows Server 2016及以上的服务器系统有效

(3)扩展名排除项

描述:

使用此策略设置,可以指定应从计划、自定义以及实时扫描中排除的一系列文件类型。应在"选项"下为此设置添加文件类型。必须将每个条目作为名称值对列出,其中名称应为文件类型扩展名(如"obj"或"lib")的字符串表示。不使用该值且建议将此值设置为 0。

对应的注册表数据:Exclusions_Extensions

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

配合使用的项目:

“扩展名排除项”条目

对应
HKLM\Software\Policies\Microsoft\Windows Defender\Exclusions\Extensions


此路径中的数据名称:<排除的扩展名>

数据类型:REG_DWORD

可接受的值:0

(4)路径排除项

描述:

使用此策略设置,可以为指定路径下的文件或指定的完全限定资源禁用计划和实时扫描。应在"选项"下为此设置添加路径。必须将每个条目作为名称值对列出,其中名称应为路径或完全限定资源名称的字符串表示。作为示例,路径可以定义为:"c:\Windows"以排除此目录下的所有文件。完全限定资源名称可以定义为:"C:\Windows\App.exe"。不使用该值且建议将此值设置为 0。

对应的注册表数据:Exclusions_Paths

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

配合使用的项目:

“路径排除项”条目

对应
HKLM\Software\Policies\Microsoft\Windows Defender\Exclusions


此路径中的数据名称:<需排除的路径>

数据类型:REG_DWORD

可接受的值:0

(5)进程排除项

描述:

此策略设置允许禁用对任何指定进程打开的任一文件进行实时扫描。此策略不适用于计划扫描。进程本身不会排除在外。若要排除进程,请使用路径排除项。必须将每个条目以名称值对的形式列出,其中名称应用进程映像路径的字符串表示。注意:仅可排除可执行文件。例如,进程可以定义为:"c:\windows\app.exe"。若不使用该值,建议将此值设置为 0。

对应的注册表数据:Exclusions_Processes

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

配合使用的项目:

“进程排除项”条目

对应
HKLM\Software\Policies\Microsoft\Windows Defender\Exclusions\Processes


此路径中的数据名称:<排除的进程(可执行文件*.exe)路径>

数据类型:REG_DWORD

可接受的值:0


24.网络检查系统

对应注册表路径:HKLM\Software\Policies\Microsoft\Windows Defender\NIS

包含以下数据:

(1)打开协议识别

描述:

使用此策略设置,可以为保护网络免遭已知漏洞攻击配置协议识别。

如果启用或未配置此设置,则会启用协议识别。

如果禁用此设置,则会禁用协议识别。


对应的注册表数据:DisableProtocolRecognition

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

(2)打开定义停用

描述:

此设置允许你配置定义停用以获取针对已知漏洞攻击的网络保护。定义停用检查计算机是否具有必要的安全更新以防止特定漏洞。如果系统不易受定义检测到的漏洞攻击,该定义为"已停用"。如果给定协议的所有安全智能都已停用,则不再分析该协议。启用此功能有助于提高性能。在具有所有最新安全更新的最新状态计算机上,网络保护将不会对网络性能产生任何影响。

如果启用或未配置此设置,将启用定义停用。

如果禁用此设置,将禁用定义停用。


对应的注册表数据:\Consumers\IPS>DisableSignatureRetirement

数据类型:REG_DWORD

可接受的值:

0-启用

1-禁用

(3)指定用于网络通讯检查的其他定义集

描述:

此策略设置定义了为网络通讯检查启用的其他定义集。应在"选项"下为此设置添加定义集 GUID。必须将每个条目作为名称值对列出,其中名称应为定义集 GUID 的字符串表示。作为示例,用于启用测试安全智能的定义集 GUID 定义为:"{b54b6ac9-a737-498e-9120-6616ad3bf590}"。不使用该值且建议将此值设置为 0。

对应的注册表数据:\Consumers\IPS\SKU Differentiation>Nis_Consumers_IPS_sku_differentiation_Signature_Set_Guid

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

配合使用的项目:

“指定用于网络通讯检查的其他定义集”条目

对应
HKLM\Software\Policies\Microsoft\Windows Defender\NIS\Consumers\IPS\SKU Differentiation\Signature Set GUID


此路径中的数据名称:<GUID>

备注:GUID参见https://learn.microsoft.com/zh-c ... view=o365-worldwide

(4)此设置控制用于网络保护的数据报处理。

描述:

已禁用 (默认):
如果未配置或已禁用,则不允许在 Windows Server 上将网络保护配置为阻止或审核模式。

功能
如果启用,管理员可以控制是否允许网络保护在 Windows Server 上配置成阻止或审核模式。
请注意,此配置依赖于 EnableNetworkProtection 配置。如果此配置为 false,则会忽略 EnableNetworkProtection,否则将根据 EnableNetworkProtection 的值在 Windows Server 上启动网络保护。


对应的注册表数据:DisableDatagramProcessing

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

备注:此项需要Windows Server 2016 或Windows 10 1709以上版本支持


25.设备控制

对应注册表路径:HKLM\Software\Policies\Microsoft\Windows Defender\Device Control\

*此项仅支持生命周期内的Windows 10及11

包含以下项目:

(1)定义设备控制策略组

描述:请按照设备控制策略组 xml 架构来填写策略组数据。

对应注册表路径:\Policy Groups

对应注册表数据:PolicyGroups

数据类型:REG_SZ

支持的填入:<xml架构的策略>(字符串)

(2)定义设备控制策略规则

描述:请按照设备控制策略规则 xml 架构填写策略规则数据。

对应的注册表路径:\Policy Rules

对应的注册表数据:PolicyRules

数据类型:REG_SZ

支持的填入:<xml架构的策略>(字符串)


26.隔离

对应注册表路径:HKLM\Software\Policies\Microsoft\Windows Defender\Quarantine

包含以下数据:

(1)配置从"隔离"文件夹中删除项

描述:

此策略设置定义了项在被删除前保留在"隔离"文件夹中的天数。

如果启用此设置,则在指定天数后会从"隔离"文件夹中删除这些项。

如果禁用或未配置此设置,则项会无限期保留在"隔离"文件夹中且不会自动删除。


对应的注册表数据:PurgeItemsAfterDelay

数据类型:REG_DWORD

可接受的值:0-10000000(单位:天)

(2)配置本地设置替换以从"隔离"文件夹中删除项

描述:

此策略设置配置本地替换,用于配置项在被删除前保留在"隔离"文件夹中的天数。此设置仅可由组策略设置。

如果启用此设置,则本地首选设置的优先级会高于组策略。

如果禁用或未配置此设置,则组策略的优先级会高于本地首选设置。


对应的注册表数据:LocalSettingOverridePurgeItemsAfterDelay

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用



二、Microsoft Defender 攻击防护>Exploit Protection(exploitguard.admx)

对应注册表路径:HKLM\Software\Policies\Microsoft\Windows Defender ExploitGuard\Exploit Protection

*此项需要 Windows Server 2016、Windows 10 版本 1709 及以上版本 Windows 的支持

包含数据:

使用常用的 Exploit Protection 设置集

描述:指定可应用于已配置此 GP 设置的所有终结点的常用 Microsoft Defender 攻击防护系统和应用程序缓解设置集。

必须具备一些先决条件才可以启用此设置:
- 使用 Set-ProcessMitigation PowerShell cmdlet、ConvertTo-ProcessMitigationPolicy PowerShell cmdlet 或直接在 Windows 安全中心中手动配置设备的系统和应用程序缓解设置。
- 通过运行 Get-ProcessMitigation PowerShell cmdlet 或使用 Windows 安全中心中的 Exploit Protection 区域底部的导出按钮从设备生成具有此设置的 XML 文件。
- 将生成的 XML 文件放入共享或本地路径。

注意: 此 GP 设置设为"启用"的终结点必须能够访问 XML 文件,否则将不会应用设置。

已启用
在"选项"部分指定 XML 文件的位置。你可以使用本地(或映射)路径、UNC 路径或 URL,例如:
- C:\MitigationSettings\Config.XML
- \\Server\Share\Config.xml
- https://localhost:8080/Config.xml

XML 文件中的设置将应用于终结点。

已禁用
不会应用常用设置,而是将使用本地配置的设置。

未配置
与"已禁用"相同。

对应数据:ExploitProtectionSettings

数据类型:REG_SZ

可接受的内容:<配置XML文件的路径,可以为本地或远程地址>(字符串)



三、Microsoft Defender 应用程序防护(apphvsi.admx)

对应注册表路径:HKLM\SOFTWARE\Policies\Microsoft\AppHVSI

*此项仅在新版本的Windows 10 Windows 11专业版、企业版及教育版上有效

包含以下数据:

(1)允许 Microsoft Defender 应用程序防护使用来自用户设备的根证书颁发机构

描述:

通过此策略设置,可与 Microsoft Defender 应用程序防护容器共享某些设备级根证书。

如果启用此设置,具有的指纹与指定指纹相匹配的证书将传输到容器中。可以使用逗号指定多个证书以分隔要传输的每个证书的指纹。

如果禁用或未配置此设置,将不会与 Microsoft Defender 应用程序防护容器共享证书。

示例: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924


对应的注册表数据:CertificateThumbprints

数据类型:REG_SZ

可接受的值:<指定证书的HASH>(字符串)

(2)允许保留 Microsoft Defender 应用程序防护的数据

描述:

通过此策略设置,你可以决定是否应在 Microsoft Defender 应用程序防护中跨不同会话保留数据。

如果启用此设置,应用程序防护将保存用户下载的文件和其他项目(如 Cookie、收藏夹等),以供在未来的应用程序防护会话中使用。

注意:
如果启用此设置,你仍然可以使用 Reset-ApplicationGuard PowerShell 命令从特定设备中删除用户的数据。运行此命令将删除所有员工数据(无论配置如何),并可能会导致员工数据丢失。

如果禁用或未配置此设置,应用程序防护会删除应用程序防护容器中的所有用户数据。


对应的注册表数据:AllowPersistence

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(3)允许审核 Microsoft Defender 应用程序防护中的事件

描述:

此策略设置允许你决定是否可从 Microsoft Defender 应用程序防护中收集审核事件。

如果你启用此设置,则应用程序防护将从你的设备继承审核策略,并将应用程序防护容器中的系统事件记录到你的主机。

如果你禁用或未配置此设置,则不会从应用程序防护容器中收集事件日志。


对应的注册表数据:AuditApplicationGuard

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(4)允许文件从 Microsoft Defender 应用程序防护下载并保存到主机操作系统

描述:

通过此策略设置,可决定是否将下载的文件从 Microsoft Defender 应用程序防护容器保存到主机操作系统。

如果启用此设置,用户可以将下载的文件从 Microsoft Defender 应用程序防护容器保存到主机操作系统。

如果禁用或未配置此设置,则用户无法将下载的文件从 Microsoft Defender 应用程序防护容器保存到主机操作系统。

对应的注册表数据:SaveFilesToHost

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(5)允许硬件加速呈现 Microsoft Defender 应用程序防护

描述:

此策略设置可确定 Microsoft Defender 应用程序防护是使用硬件还是软件加速呈现图形。

如果你启用此设置,Microsoft Defender 应用程序防护使用 Hyper-V 访问受支持的、高安全性的呈现图形硬件(GPU)。在使用 Microsoft Defender 应用程序防护时,这些 GPU 可以提高呈现性能并延长电池使用时间,对于视频播放和其他图形密集型用例尤其如此。如果你在未连接任何高安全性的呈现图形硬件的情况下启用此设置,Microsoft Defender 应用程序防护将自动恢复为基于软件(CPU)的呈现。

注意:
请注意,启用此设置可能会影响图形设备或驱动程序,从而威胁到主机设备。

如果你禁用或不配置此设置,Microsoft Defender 应用程序防护将使用基于软件的(CPU)呈现,且不会加载任何第三方图形驱动程序或与任何连接的图形硬件进行交互。


对应的注册表数据:AllowVirtualGPU

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(6)在 Microsoft Defender 应用程序防护中允许访问相机和麦克风

描述:

通过此策略,你可以确定在用户设备上启用这些设置时,Microsoft Defender 应用程序防护中的应用程序是否可以访问设备的相机和麦克风。

如果启用此策略,Microsoft Defender 应用程序防护中的应用程序将能够访问用户设备上的相机和麦克风。

如果禁用或未配置此策略,Microsoft Defender 应用程序防护中的应用程序将无法访问用户设备上的相机和麦克风。

重要提示: 如果打开此策略,受到危害的容器可以绕过相机和麦克风权限,在用户不知情的情况下访问相机和麦克风。若要防止未经授权的访问,我们建议在用户设备不需要时关闭设备上的相机和麦克风隐私设置。


对应的注册表数据:AllowCameraMicrophoneRedirection

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(7)在托管模式下打开 Microsoft Defender 应用程序防护

描述:

此策略设置支持通过 Microsoft Defender 应用程序防护隔离应用程序。

应用程序防护使用 Windows 虚拟机监控程序为配置为使用虚拟化安全隔离的应用创建虚拟化环境。在隔离时,不恰当的用户交互和应用漏洞不会影响内核或其他任何在虚拟化环境之外运行的应用。

如果你启用此设置,将会为你的组织打开应用程序防护。


对应的注册表数据:AllowAppHVSI_ProviderSet

数据类型:REG_DWORD

可接受的值:

0-禁用 Microsoft Defender 应用程序防护

1-仅为 Microsoft Edge 启用 Microsoft Defender 应用程序防护

2-仅为隔离的 Windows 环境启用 Microsoft Defender 应用程序防护

3-为 Microsoft Edge 和隔离的 Windows 环境启用 Microsoft Defender 应用程序防护

(8)配置 Microsoft Defender 应用程序防护剪贴板设置

描述:

通过此策略设置,你可以决定在使用 Microsoft Defender 应用程序防护时剪贴板的行为方式。

如果启用此设置,必须从以下行为中进行选择:

- 在主机与应用程序防护之间完全禁用剪贴板功能

- 启用剪贴板以将内容从应用程序防护复制到主机

- 启用剪贴板以将内容从主机复制到应用程序防护。

注意:
我们建议不启用从主机复制到应用程序防护。如果启用此功能,可能受到危害的应用程序防护会话将有权访问主机设备的剪贴板及其内容。

如果选择启用复制,还必须使用内容选项选择可复制的内容类型:

- 1. 允许复制文本。

- 2. 允许复制图像。

- 3. 允许同时复制文本和图像。

如果禁用或未配置此设置,将在应用程序防护中关闭所有剪贴板功能。

对应的注册表数据:AppHVSIClipboardSettings 和 AppHVSIClipboardFileType

数据类型:REG_DWORD

可接受的值:

AppHVSIClipboardSettings-剪贴板行为设置

  0-阻止剪贴板操作(默认)

  1-启用从隔离会话到主机的剪贴板操作

  2-启用从主机到隔离会话的剪贴板操作

  3-启用双向剪贴板操作

AppHVSIClipboardFileType-剪贴板内容选项

  1-允许复制文本

  2-允许复制图像

  3-允许同时复制文本和图像

(9)配置 Microsoft Defender 应用程序防护打印设置

描述:

通过此策略设置,你可以决定在使用 Microsoft Defender 应用程序防护时打印功能的行为方式。

如果启用此设置,必须选择以下一个或多个行为:

- 禁用应用程序防护中的所有打印功能。

- 启用打印到现有网络打印机。

- 启用打印到本地打印机。

- 启用打印到 PDF,允许用户以 PDF 格式打印,并将生成的文件保存在主机上。

- 启用打印到 XPS,允许用户以 XPS 格式打印,并将生成的文件保存在主机上。

如果禁用或未配置此设置,将在应用程序防护中关闭所有打印功能。


对应的注册表数据:AppHVSIPrintingSettings

数据类型:REG_DWORD

可接受的值:

0-禁用所有打印功能

1-仅启用XPS打印

2-仅启用PDF打印

3-同时启用PDF和XPS打印

4-仅启用本地打印

5-同时启用本地打印和XPS打印

6-同时启用本地打印和PDF打印

7-同时启用本地、PDF和XPS打印

8-仅启用网络打印

9-同时启用网络打印和XPS打印

10-同时启用网络打印和 PDF 打印

11-启用网络打印、PDF 打印和 XPS 打印

12-同时启用网络打印和本地打印

13-启用网络打印、本地打印和 XPS 打印

14-启用网络打印、本地打印和 PDF 打印

15-启用所有打印

(10)阻止企业网站在 Microsoft Edge 和 Internet Explorer 中加载非企业内容

描述:

通过此策略设置,你可以决定网站是否可以在 Microsoft Edge 和 Internet Explorer 中加载非企业内容。

如果启用此设置,将会阻止在 Microsoft Defender 应用程序防护之外的 Internet Explorer 或 Microsoft Edge 中打开企业站点上嵌入的非企业内容。

如果禁用或未配置此设置,非企业站点可在 Microsoft Defender 应用程序防护容器之外的 Internet Explorer 和 Microsoft Edge 中直接打开。


对应的注册表数据:BlockNonEnterpriseContent

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用



四、Microsoft Edge 中的相关项目(microsoftedge.admx)

注册表路径:HKLM\Software\Policies\Microsoft\MicrosoftEdge\PhishingFilter

包含以下数据:

(1)配置 Windows Defender SmartScreen

描述:

此策略设置让你配置是否启用 Windows Defender SmartScreen。Windows Defender SmartScreen 提供警告消息,可确保员工免受潜在的网络钓鱼诈骗和恶意软件的危害。默认情况下,Windows Defender SmartScreen 处于启用状态。

如果启用此设置,则将启用 Windows Defender SmartScreen,并且员工无法关闭它。

如果禁用此设置,则将关闭 Windows Defender SmartScreen,并且员工无法启用它。

如果未配置此设置,则员工可以选择是否使用 Windows Defender SmartScreen。


数据名称:EnabledV9

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(2)阻止绕过 Windows Defender SmartScreen 文件提示

描述:

此策略设置让你决定员工是否可以忽略关于下载未验证文件的 Windows Defender SmartScreen 警告。

如果启用此设置,将使员工无法忽略 Windows Defender SmartScreen 警告并阻止他们下载未验证的文件。

如果禁用或未配置此设置,则允许员工忽略 Windows Defender SmartScreen 警告并继续执行下载过程。


数据名称:PreventOverrideAppRepUnknown

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用

(3)阻止绕过 Windows Defender SmartScreen 站点提示

描述:

此策略设置让你决定员工是否可以忽略关于潜在恶意网站的 Windows Defender SmartScreen 警告。

如果启用此设置,将使员工无法忽略 Windows Defender SmartScreen 警告并阻止他们继续访问该站点。

如果禁用或未配置此设置,则允许员工忽略 Windows Defender SmartScreen 警告并继续访问该站点。


数据名称:PreventOverride

数据类型:REG_DWORD

可接受的值:

1-启用

0-禁用





终于整理完毕了……期间经历了一次断网提交中断、两次数据丢失、三次格式丢失以及不计其数的输入过程中出错。

以上数据由我个人整理自实践操作以及网络内容,已进行简单审阅,无法保证完全的有效性,若有需要设置可以自行查证。

(也许置顶可以帮助到更多坛友)

评分

参与人数 5魅力 +2 人气 +10 收起 理由
白露为霜 + 2 感谢整理
Shake2333 + 3 精品文章
munsimli + 3 感谢提供分享
HEMM + 1 不直接给按钮的,就是说出了事不负责。
qq340496302 + 3 版区有你更精彩: )

查看全部评分

喀反
发表于 2023-1-14 14:22:09 | 显示全部楼层
然而这些安全配置大部分都打开后并不能比在WD UI界面打开所有安全设置的病毒查杀率高多少,甚至没有区别,只是无法在UI界面修改而已
ANY.LNK
 楼主| 发表于 2023-1-14 14:42:03 | 显示全部楼层
喀反 发表于 2023-1-14 14:22
然而这些安全配置大部分都打开后并不能比在WD UI界面打开所有安全设置的病毒查杀率高多少,甚至没有区别, ...

给人的进阶设置DIY而已,总是会有人好奇去给各个设置调一调的
喀反
发表于 2023-1-14 14:44:15 | 显示全部楼层
ANY.LNK 发表于 2023-1-14 14:42
给人的进阶设置DIY而已,总是会有人好奇去给各个设置调一调的

没错,你说的这个好奇的人就是我

评分

参与人数 1人气 +1 收起 理由
ANY.LNK + 1 还有我

查看全部评分

munsimli
发表于 2023-1-29 22:34:17 | 显示全部楼层
雖然不明白跟論壇上其他大神提供的一鍵修改大法差別在哪裡,
還是3分奉上
Shake2333
发表于 2023-1-30 23:43:36 | 显示全部楼层
对我这种懒人还是configure defender好
ANY.LNK
 楼主| 发表于 2024-9-28 18:03:41 | 显示全部楼层
本文作于2023年1月,此后微软将继续更新相关策略

目前尚未寻找到更新并遗漏的策略,如有新发现,我会继续更新,也欢迎并感谢其他坛友前来提供策略!
Raven95676
发表于 2024-9-28 22:01:10 | 显示全部楼层
好文,完美的满足了我的好奇心(
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 00:53 , Processed in 0.232024 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表