تعيين تفضيلات Microsoft Defender لنقطة النهاية على نظام التشغيل macOS
ينطبق على:
- Microsoft Defender لنقطة النهاية على macOS
- الخطة 1 من Microsoft Defender لنقطة النهاية
- Defender for Endpoint الخطة 2
هام
تحتوي هذه المقالة على إرشادات حول كيفية تعيين تفضيلات Microsoft Defender لنقطة النهاية على macOS في مؤسسات المؤسسة. لتكوين Microsoft Defender لنقطة النهاية على macOS باستخدام واجهة سطر الأوامر، راجع الموارد.
الملخص
في مؤسسات المؤسسة، يمكن إدارة Microsoft Defender لنقطة النهاية على macOS من خلال ملف تعريف تكوين يتم نشره باستخدام إحدى أدوات الإدارة المتعددة. التفضيلات التي يديرها فريق عمليات الأمان لديك لها الأسبقية على التفضيلات التي تم تعيينها محليا على الجهاز. يتطلب تغيير التفضيلات التي تم تعيينها من خلال ملف تعريف التكوين امتيازات متصاعدة ولا يتوفر للمستخدمين الذين ليس لديهم أذونات إدارية.
توضح هذه المقالة بنية ملف تعريف التكوين، وتتضمن ملف تعريف موصى به يمكنك استخدامه للبدء، وتوفر إرشادات حول كيفية نشر ملف التعريف.
بنية ملف تعريف التكوين
ملف تعريف التكوين هو ملف .plist يتكون من إدخالات تم تحديدها بواسطة مفتاح (الذي يشير إلى اسم التفضيل)، متبوعا بقيمة، والتي تعتمد على طبيعة التفضيل. يمكن أن تكون القيم إما بسيطة (مثل قيمة رقمية) أو معقدة، مثل قائمة متداخلة من التفضيلات.
أنذر
يعتمد تخطيط ملف تعريف التكوين على وحدة تحكم الإدارة التي تستخدمها. تحتوي الأقسام التالية على أمثلة على ملفات تعريف التكوين ل JAMF Intune.
يتضمن المستوى الأعلى لملف تعريف التكوين تفضيلات وإدخالات على مستوى المنتج للمساحات الفرعية Microsoft Defender لنقطة النهاية، والتي يتم شرحها بمزيد من التفصيل في الأقسام التالية.
تفضيلات محرك مكافحة الفيروسات
يتم استخدام قسم antivirusEngine في ملف تعريف التكوين لإدارة تفضيلات مكون مكافحة الفيروسات Microsoft Defender لنقطة النهاية.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | برنامج الحماية من الفيروساتEngine |
| نوع البيانات | القاموس (التفضيل المتداخل) |
| التعليقات | راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. |
مستوى الإنفاذ لمحرك مكافحة الفيروسات
يحدد تفضيل فرض محرك مكافحة الفيروسات. هناك ثلاث قيم لتعيين مستوى الإنفاذ:
- في الوقت الحقيقي (
real_time): يتم تمكين الحماية في الوقت الحقيقي (فحص الملفات عند الوصول إليها). - عند الطلب (
on_demand): يتم فحص الملفات فقط عند الطلب. في هذا:- تم إيقاف تشغيل الحماية في الوقت الحقيقي.
- الخامل (
passive): يشغل محرك مكافحة الفيروسات في الوضع السلبي. في هذا:- تم إيقاف تشغيل الحماية في الوقت الحقيقي.
- يتم تشغيل الفحص عند الطلب.
- تم إيقاف تشغيل المعالجة التلقائية للمخاطر.
- يتم تشغيل تحديثات التحليل الذكي للأمان.
- أيقونة قائمة الحالة مخفية.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | مستوى الإنفاذ |
| نوع البيانات | سلسلة |
| القيم المحتملة | real_time (افتراضي) on_demand السلبي |
| التعليقات | متوفر في الإصدار Microsoft Defender لنقطة النهاية 101.10.72 أو أعلى. |
تمكين/تعطيل مراقبة السلوك
تحديد ما إذا كانت إمكانية مراقبة السلوك والحظر ممكنة على الجهاز أم لا.
ملاحظة
تنطبق هذه الميزة فقط عند تمكين ميزة Real-Time Protection.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | المراقبة السلوكية |
| نوع البيانات | سلسلة |
| القيم المحتملة | ذوي الاحتياجات الخاصه ممكن (افتراضي) |
| التعليقات | متوفر في الإصدار Microsoft Defender لنقطة النهاية 101.24042.0002 أو أعلى. |
تكوين ميزة حساب تجزئة الملف
تمكين ميزة حساب تجزئة الملف أو تعطيلها. عند تمكين هذه الميزة، يحسب Defender لنقطة النهاية التجزئة للملفات التي يفحصها لتمكين مطابقة أفضل لقواعد المؤشر. على macOS، يتم النظر فقط في البرنامج النصي وملفات Mach-O (32 و64 بت) لحساب التجزئة هذا (من إصدار المحرك 1.1.20000.2 أو أعلى). لاحظ أن تمكين هذه الميزة قد يؤثر على أداء الجهاز. لمزيد من التفاصيل، يرجى الرجوع إلى: إنشاء مؤشرات للملفات.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | enableFileHashComputation |
| نوع البيانات | منطقي |
| القيم المحتملة | خطأ (افتراضي) صحيح |
| التعليقات | متوفر في Defender لنقطة النهاية الإصدار 101.86.81 أو أعلى. |
تشغيل فحص بعد تحديث التعريفات
يحدد ما إذا كنت تريد بدء فحص العملية بعد تنزيل تحديثات معلومات الأمان الجديدة على الجهاز. يؤدي تمكين هذا الإعداد إلى تشغيل فحص مكافحة الفيروسات على عمليات تشغيل الجهاز.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | scanAfterDefinitionUpdate |
| نوع البيانات | منطقي |
| القيم المحتملة | true (افتراضي) خطأ |
| التعليقات | متوفر في الإصدار Microsoft Defender لنقطة النهاية 101.41.10 أو أعلى. |
مسح أرشيفات الفحص (عمليات فحص مكافحة الفيروسات عند الطلب فقط)
يحدد ما إذا كنت تريد مسح الأرشيفات ضوئيا أثناء عمليات فحص مكافحة الفيروسات عند الطلب.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | scanArchives |
| نوع البيانات | منطقي |
| القيم المحتملة | true (افتراضي) خطأ |
| التعليقات | متوفر في الإصدار Microsoft Defender لنقطة النهاية 101.41.10 أو أعلى. |
درجة التوازي للمسح الضوئي عند الطلب
يحدد درجة التوازي لإجراء عمليات الفحص عند الطلب. يتوافق هذا مع عدد مؤشرات الترابط المستخدمة لإجراء الفحص ويؤثر على استخدام وحدة المعالجة المركزية، بالإضافة إلى مدة الفحص عند الطلب.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | maximumOnDemandScanThreads |
| نوع البيانات | العدد الصحيح |
| القيم المحتملة | 2 (افتراضي). القيم المسموح بها هي أعداد صحيحة بين 1 و64. |
| التعليقات | متوفر في الإصدار Microsoft Defender لنقطة النهاية 101.41.10 أو أعلى. |
نهج دمج الاستبعاد
حدد نهج الدمج للاستبعادات. يمكن أن يكون هذا مزيجا من الاستثناءات المعرفة من قبل المسؤول والمعرفة من قبل المستخدم (merge)، أو الاستثناءات المعرفة من قبل المسؤول فقط (admin_only). يمكن استخدام هذا الإعداد لتقييد المستخدمين المحليين من تحديد استثناءاتهم.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | exclusionsMergePolicy |
| نوع البيانات | سلسلة |
| القيم المحتملة | دمج (افتراضي) admin_only |
| التعليقات | متوفر في الإصدار Microsoft Defender لنقطة النهاية 100.83.73 أو أعلى. |
استثناءات الفحص
حدد الكيانات المستبعدة من الفحص. يمكن تحديد الاستثناءات بواسطة المسارات الكاملة أو الملحقات أو أسماء الملفات. (يتم تحديد الاستثناءات كصفيف من العناصر، يمكن للمسؤول تحديد العديد من العناصر حسب الضرورة، بأي ترتيب.)
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | الاستبعادات |
| نوع البيانات | القاموس (التفضيل المتداخل) |
| التعليقات | راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. |
نوع الاستبعاد
حدد المحتوى المستبعد من أن يتم مسحه ضوئيا حسب النوع.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | $type |
| نوع البيانات | سلسلة |
| القيم المحتملة | مسار مستبعد excludedFileExtension excludedFileName |
المسار إلى المحتوى المستبعد
حدد المحتوى المستبعد من أن يتم مسحه ضوئيا بواسطة مسار الملف الكامل.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | مسار |
| نوع البيانات | سلسلة |
| القيم المحتملة | مسارات صالحة |
| التعليقات | ينطبق فقط إذا تم استبعاد $type Path |
أنواع الاستبعاد المدعومة
يعرض الجدول التالي أنواع الاستبعاد التي يدعمها Defender لنقطة النهاية على Mac.
| الاستبعاد | التعريف | أمثلة |
|---|---|---|
| ملحق الملف | جميع الملفات ذات الملحق، في أي مكان على الجهاز | .test |
| ملف | ملف محدد تم تحديده بواسطة المسار الكامل | /var/log/test.log |
| مجلد | كافة الملفات ضمن المجلد المحدد (بشكل متكرر) | /var/log/ |
| عملية | عملية معينة (محددة إما بواسطة المسار الكامل أو اسم الملف) وجميع الملفات التي تم فتحها بواسطةها | /bin/cat |
هام
يجب أن تكون المسارات أعلاه روابط ثابتة، وليست ارتباطات رمزية، حتى يتم استبعادها بنجاح. يمكنك التحقق مما إذا كان المسار ارتباطا رمزيا عن طريق تشغيل file <path-name>.
تدعم استثناءات الملفات والمجلدات والعملية أحرف البدل التالية:
| بدل | الوصف | مثل | مباريات | لا يتطابق |
|---|---|---|---|---|
| * | يطابق أي عدد من الأحرف بما في ذلك لا شيء (لاحظ أنه عند استخدام حرف البدل هذا داخل مسار، فإنه سيستبدل مجلدا واحدا فقط) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
| ? | يطابق أي حرف واحد | file?.log |
file1.log |
file123.log |
نوع المسار (ملف / دليل)
الإشارة إلى ما إذا كانت خاصية المسار تشير إلى ملف أو دليل.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | isDirectory |
| نوع البيانات | منطقي |
| القيم المحتملة | خطأ (افتراضي) صحيح |
| التعليقات | ينطبق فقط إذا تم استبعاد $type Path |
تم استبعاد ملحق الملف من الفحص
حدد المحتوى المستبعد من أن يتم مسحه ضوئيا بواسطة ملحق الملف.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | امتداد |
| نوع البيانات | سلسلة |
| القيم المحتملة | ملحقات الملفات الصالحة |
| التعليقات | ينطبق فقط إذا تم استبعاد $type FileExtension |
العملية المستبعدة من الفحص
حدد عملية يتم استبعاد جميع نشاط الملف من الفحص لها. يمكن تحديد العملية إما باسمها (على سبيل المثال، cat) أو المسار الكامل (على سبيل المثال، /bin/cat).
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | اسم |
| نوع البيانات | سلسلة |
| القيم المحتملة | أي سلسلة |
| التعليقات | ينطبق فقط إذا تم استبعاد $type FileName |
التهديدات المسموح بها
حدد التهديدات حسب الاسم التي لم يتم حظرها بواسطة Defender لنقطة النهاية على Mac. سيتم السماح بتشغيل هذه التهديدات.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | التهديدات المسموح بها |
| نوع البيانات | صفيف من السلاسل |
إجراءات التهديد غير المسموح بها
يقيد الإجراءات التي يمكن للمستخدم المحلي للجهاز اتخاذها عند اكتشاف التهديدات. لا يتم عرض الإجراءات المضمنة في هذه القائمة في واجهة المستخدم.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | غير مسموح بهThreatActions |
| نوع البيانات | صفيف من السلاسل |
| القيم المحتملة | السماح (يقيد المستخدمين من السماح بالتهديدات) استعادة (يقيد المستخدمين من استعادة التهديدات من العزل) |
| التعليقات | متوفر في الإصدار Microsoft Defender لنقطة النهاية 100.83.73 أو أعلى. |
إعدادات نوع التهديد
حدد كيفية معالجة أنواع معينة من التهديدات بواسطة Microsoft Defender لنقطة النهاية على macOS.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | threatTypeSettings |
| نوع البيانات | القاموس (التفضيل المتداخل) |
| التعليقات | راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. |
نوع التهديد
حدد أنواع التهديدات.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | مفتاح |
| نوع البيانات | سلسلة |
| القيم المحتملة | potentially_unwanted_application archive_bomb |
الإجراء الذي يجب اتخاذه
حدد الإجراء الذي يجب اتخاذه عند اكتشاف تهديد من النوع المحدد في القسم السابق. اختر من الخيارات التالية:
- التدقيق: جهازك غير محمي من هذا النوع من التهديدات، ولكن يتم تسجيل إدخال حول التهديد.
- الحظر: جهازك محمي من هذا النوع من التهديدات ويتم إعلامك في واجهة المستخدم ومدخل Microsoft Defender.
- إيقاف التشغيل: جهازك غير محمي من هذا النوع من التهديدات ولا يتم تسجيل أي شيء.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | قيمة |
| نوع البيانات | سلسلة |
| القيم المحتملة | التدقيق (افتراضي) حجز قباله |
نهج دمج إعدادات نوع التهديد
حدد نهج الدمج لإعدادات نوع التهديد. يمكن أن يكون هذا مزيجا من الإعدادات المعرفة من قبل المسؤول والمعرفة من قبل المستخدم (merge) أو الإعدادات المعرفة من قبل المسؤول فقط (admin_only). يمكن استخدام هذا الإعداد لتقييد المستخدمين المحليين من تحديد الإعدادات الخاصة بهم للأنوع المختلفة من التهديدات.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | threatTypeSettingsMergePolicy |
| نوع البيانات | سلسلة |
| القيم المحتملة | دمج (افتراضي) admin_only |
| التعليقات | متوفر في الإصدار Microsoft Defender لنقطة النهاية 100.83.73 أو أعلى. |
استبقاء محفوظات فحص برنامج الحماية من الفيروسات (بالأيام)
حدد عدد الأيام التي يتم فيها الاحتفاظ بالنتائج في محفوظات الفحص على الجهاز. تتم إزالة نتائج الفحص القديمة من المحفوظات. الملفات المعزولة القديمة التي تتم إزالتها أيضا من القرص.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | scanResultsRetentionDays |
| نوع البيانات | سلسلة |
| القيم المحتملة | 90 (افتراضي). تتراوح القيم المسموح بها من يوم واحد إلى 180 يوما. |
| التعليقات | متوفر في الإصدار Microsoft Defender لنقطة النهاية 101.07.23 أو أعلى. |
الحد الأقصى لعدد العناصر في سجل فحص مكافحة الفيروسات
حدد الحد الأقصى لعدد الإدخالات التي يجب الاحتفاظ بها في محفوظات الفحص. تتضمن الإدخالات جميع عمليات الفحص عند الطلب التي تم إجراؤها في الماضي وجميع عمليات الكشف عن مكافحة الفيروسات.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | scanHistoryMaximumItems |
| نوع البيانات | سلسلة |
| القيم المحتملة | 10000 (افتراضي). القيم المسموح بها هي من 5000 عنصر إلى 15000 عنصر. |
| التعليقات | متوفر في الإصدار Microsoft Defender لنقطة النهاية 101.07.23 أو أعلى. |
تفضيلات الحماية المقدمة من السحابة
تكوين ميزات الحماية المستندة إلى السحابة Microsoft Defender لنقطة النهاية على macOS.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | خدمة السحابة |
| نوع البيانات | القاموس (التفضيل المتداخل) |
| التعليقات | راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. |
تمكين / تعطيل الحماية المقدمة من السحابة
حدد ما إذا كنت تريد تمكين الحماية التي توفرها السحابة للجهاز أم لا. لتحسين أمان خدماتك، نوصي بالاحتفاظ بهذه الميزة قيد التشغيل.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | تمكين |
| نوع البيانات | منطقي |
| القيم المحتملة | true (افتراضي) خطأ |
مستوى مجموعة التشخيص
يتم استخدام البيانات التشخيصية للحفاظ على Microsoft Defender لنقطة النهاية آمنة ومحدثة، واكتشاف المشاكل وتشخيصها وإصلاحها، وكذلك إجراء تحسينات على المنتج. يحدد هذا الإعداد مستوى التشخيصات المرسلة بواسطة Microsoft Defender لنقطة النهاية إلى Microsoft.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | مستوى التشخيص |
| نوع البيانات | سلسلة |
| القيم المحتملة | اختياري (افتراضي) مطلوب |
تكوين مستوى كتلة السحابة
يحدد هذا الإعداد مدى قوة Defender لنقطة النهاية في حظر الملفات المشبوهة ومسحها ضوئيا. إذا كان هذا الإعداد قيد التشغيل، فسيكون Defender لنقطة النهاية أكثر عدوانية عند تحديد الملفات المشبوهة لحظرها ومسحها ضوئيا؛ وإلا، سيكون أقل عدوانية وبالتالي حظر ومسح ضوئي بتردد أقل. هناك خمس قيم لتعيين مستوى كتلة السحابة:
- عادي (
normal): مستوى الحظر الافتراضي. - معتدل (
moderate): يصدر الحكم فقط للكشف عن الثقة العالية. - عالي (
high): يحظر بشدة الملفات غير المعروفة أثناء التحسين للأداء (فرصة أكبر لحظر الملفات غير الضارة). - High Plus (
high_plus): يحظر بشدة الملفات غير المعروفة ويطبق مقاييس حماية إضافية (قد يؤثر على أداء جهاز العميل). - عدم التسامح (
zero_tolerance): حظر جميع البرامج غير المعروفة.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | cloudBlockLevel |
| نوع البيانات | سلسلة |
| القيم المحتملة | عادي (افتراضي) المعتدل عال high_plus zero_tolerance |
| التعليقات | متوفر في Defender لنقطة النهاية الإصدار 101.56.62 أو أعلى. |
تمكين / تعطيل عمليات إرسال العينة التلقائية
تحديد ما إذا كانت العينات المشبوهة (التي من المحتمل أن تحتوي على تهديدات) يتم إرسالها إلى Microsoft. هناك ثلاثة مستويات للتحكم في إرسال العينة:
- لا شيء: لا يتم إرسال أي عينات مريبة إلى Microsoft.
- آمن: يتم إرسال العينات المشبوهة التي لا تحتوي على معلومات تعريف شخصية (PII) فقط تلقائيا. هذه هي القيمة الافتراضية لهذا الإعداد.
- الكل: يتم إرسال جميع العينات المشبوهة إلى Microsoft.
| الوصف | قيمة |
|---|---|
| المفتاح | automaticSampleSubmissionConsent |
| نوع البيانات | سلسلة |
| القيم المحتملة | اي آمن (افتراضي) كل |
تمكين / تعطيل تحديثات التحليل الذكي للأمان التلقائي
تحديد ما إذا كانت تحديثات التحليل الذكي للأمان مثبتة تلقائيا:
| قسم | قيمة |
|---|---|
| المفتاح | automaticDefinitionUpdateEnabled |
| نوع البيانات | منطقي |
| القيم المحتملة | true (افتراضي) خطأ |
مدة تحديثات التحليل الذكي للأمان المستحقة (بالأيام)
يحدد عدد الأيام التي تعتبر بعدها آخر تحديثات التحليل الذكي للأمان المثبتة قديمة.
| قسم | قيمة |
|---|---|
| المفتاح | definitionUpdateDue |
| نوع البيانات | العدد الصحيح |
| القيم المحتملة | 7 (افتراضي). القيم المسموح بها هي أعداد صحيحة بين 1 و30 |
تفضيلات واجهة المستخدم
إدارة تفضيلات واجهة المستخدم Microsoft Defender لنقطة النهاية على macOS.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | userInterface |
| نوع البيانات | القاموس (التفضيل المتداخل) |
| التعليقات | راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. |
إظهار / إخفاء أيقونة قائمة الحالة
حدد ما إذا كنت تريد إظهار أيقونة قائمة الحالة أو إخفاؤها في الزاوية العلوية اليسرى من الشاشة.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | hideStatusMenuIcon |
| نوع البيانات | منطقي |
| القيم المحتملة | خطأ (افتراضي) صحيح |
إظهار / إخفاء الخيار لإرسال الملاحظات
حدد ما إذا كان يمكن للمستخدمين إرسال ملاحظاتهم إلى Microsoft بالانتقال إلى Help>Send Feedback.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | userInitiatedFeedback |
| نوع البيانات | سلسلة |
| القيم المحتملة | ممكن (افتراضي) ذوي الاحتياجات الخاصه |
| التعليقات | متوفر في الإصدار Microsoft Defender لنقطة النهاية 101.19.61 أو أعلى. |
التحكم في تسجيل الدخول إلى إصدار المستهلك من Microsoft Defender
حدد ما إذا كان يمكن للمستخدمين تسجيل الدخول إلى إصدار المستهلك من Microsoft Defender.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | الخبرة الاستهلاكية |
| نوع البيانات | سلسلة |
| القيم المحتملة | ممكن (افتراضي) ذوي الاحتياجات الخاصه |
| التعليقات | متوفر في الإصدار Microsoft Defender لنقطة النهاية 101.60.18 أو أعلى. |
تفضيلات الكشف عن نقطة النهاية والاستجابة لها
إدارة تفضيلات مكون الكشف عن نقطة النهاية والاستجابة لها (EDR) Microsoft Defender لنقطة النهاية على macOS.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | edr |
| نوع البيانات | القاموس (التفضيل المتداخل) |
| التعليقات | راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. |
علامات الجهاز
حدد اسم علامة وقيمتها.
- علامة GROUP تحدد الجهاز بالقيمة المحددة. تنعكس العلامة في المدخل ضمن صفحة الجهاز ويمكن استخدامها لتصفية الأجهزة وتجميعها.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | العلامات |
| نوع البيانات | القاموس (التفضيل المتداخل) |
| التعليقات | راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. |
نوع العلامة
تحديد نوع العلامة
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | مفتاح |
| نوع البيانات | سلسلة |
| القيم المحتملة | GROUP |
قيمة العلامة
تحديد قيمة العلامة
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | قيمة |
| نوع البيانات | سلسلة |
| القيم المحتملة | أي سلسلة |
هام
- يمكن تعيين قيمة واحدة فقط لكل نوع علامة.
- نوع العلامات فريد، ويجب عدم تكراره في نفس ملف تعريف التكوين.
معرف المجموعة
معرفات مجموعة EDR
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | معرفات المجموعة |
| نوع البيانات | سلسلة |
| التعليقات | معرف المجموعة |
الحماية من العبث
إدارة تفضيلات مكون الحماية من العبث Microsoft Defender لنقطة النهاية على macOS.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | الحماية من العبث |
| نوع البيانات | القاموس (التفضيل المتداخل) |
| التعليقات | راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. |
مستوى الإنفاذ
إذا تم تمكين الحماية من العبث وإذا كان في الوضع الصارم
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | مستوى الإنفاذ |
| نوع البيانات | سلسلة |
| التعليقات | واحد من "معطل" أو "تدقيق" أو "كتلة" |
القيم المحتملة:
- معطل - تم إيقاف تشغيل الحماية من العبث، ولا يتم منع الهجمات أو الإبلاغ إلى السحابة
- التدقيق - تبلغ الحماية من العبث عن محاولات العبث بالسحابة فقط، ولكنها لا تحظرها
- block - الحماية من العبث بكل من الكتل والتقارير عن الهجمات إلى السحابة
الاستثناءات
يحدد العمليات المسموح بها لتغيير أصل Microsoft Defender، دون التفكير في العبث. يجب توفير إما المسار أو teamId أو signingId أو تركيبتها. يمكن توفير Args بالإضافة إلى ذلك، لتحديد العملية المسموح بها بشكل أكثر دقة.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | الاستبعادات |
| نوع البيانات | القاموس (التفضيل المتداخل) |
| التعليقات | راجع الأقسام التالية للحصول على وصف لمحتويات القاموس. |
مسار
المسار الدقيق للعملية القابلة للتنفيذ.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | مسار |
| نوع البيانات | سلسلة |
| التعليقات | في حالة وجود برنامج نصي shell، سيكون المسار الدقيق إلى ثنائي المترجم، على سبيل المثال. /bin/zsh لا يسمح باستخدام أحرف البدل. |
معرف الفريق
Apple's "Team Id" للمورد.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | معرف الفريق |
| نوع البيانات | سلسلة |
| التعليقات | على سبيل المثال، UBF8T346G9 ل Microsoft |
معرف التوقيع
Apple 's Signing Id' للحزمة.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | معرف التوقيع |
| نوع البيانات | سلسلة |
| التعليقات | على سبيل المثال، com.apple.ruby لمترجم Ruby |
وسيطات المعالجة
يستخدم بالاشتراك مع معلمات أخرى لتحديد العملية.
| قسم | قيمة |
|---|---|
| المجال | com.microsoft.wdav |
| المفتاح | معرف التوقيع |
| نوع البيانات | صفيف من السلاسل |
| التعليقات | إذا تم تحديدها، يجب أن تتطابق وسيطة العملية مع هذه الوسيطات تماما، حساسة لحالة الأحرف |
ملف تعريف التكوين الموصى به
للبدء، نوصي بالتكوين التالي لمؤسستك للاستفادة من جميع ميزات الحماية التي توفرها Microsoft Defender لنقطة النهاية.
سيقوم ملف تعريف التكوين التالي (أو، في حالة JAMF، قائمة خصائص يمكن تحميلها في ملف تعريف تكوين الإعدادات المخصصة) بما يلي:
- تمكين الحماية في الوقت الحقيقي (RTP)
- حدد كيفية معالجة أنواع التهديدات التالية:
- يتم حظر التطبيقات غير المرغوب فيها (PUA)
- يتم تدقيق الأرشيف القنابل (ملف بمعدل ضغط عال) على سجلات Microsoft Defender لنقطة النهاية
- تمكين تحديثات التحليل الذكي للأمان التلقائي
- تمكين الحماية المقدمة من السحابة
- تمكين إرسال العينة التلقائي
قائمة الخصائص لملف تعريف التكوين الموصى به ل JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Intune ملف التعريف الموصى به
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>definitionUpdateDue</key>
<integer>7</integer>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
مثال على ملف تعريف التكوين الكامل
تحتوي القوالب التالية على إدخالات لجميع الإعدادات الموضحة في هذا المستند ويمكن استخدامها لسيناريوهات أكثر تقدما حيث تريد المزيد من التحكم في Microsoft Defender لنقطة النهاية على macOS.
قائمة الخصائص لملف تعريف التكوين الكامل ل JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
<key>definitionUpdateDue</key>
<integer>7</integer>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Intune ملف التعريف الكامل
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
<key>definitionUpdateDue</key>
<integer>7</integer>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
التحقق من صحة قائمة الخصائص
يجب أن تكون قائمة الخصائص ملف .plist صالحا. يمكن التحقق من ذلك عن طريق تنفيذ:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
إذا كان الملف جيد التكوين، يقوم الأمر أعلاه بإخراج OK وإرجاع رمز خروج من 0. وإلا، يتم عرض خطأ يصف المشكلة ويعيد الأمر رمز خروج من 1.
توزيع ملف تعريف التكوين
بمجرد إنشاء ملف تعريف التكوين لمؤسستك، يمكنك توزيعه من خلال وحدة تحكم الإدارة التي تستخدمها مؤسستك. توفر الأقسام التالية إرشادات حول كيفية نشر ملف التعريف هذا باستخدام JAMF Intune.
توزيع JAMF
من وحدة تحكم JAMF، افتحملفات تعريف تكوينأجهزة الكمبيوتر>، وانتقل إلى ملف تعريف التكوين الذي تريد استخدامه، ثم حدد إعدادات مخصصة. قم بإنشاء إدخال باستخدام com.microsoft.wdav كمجال التفضيل وقم بتحميل .plist الذي تم إنتاجه سابقا.
أنذر
يجب إدخال مجال التفضيل الصحيح (com.microsoft.wdav)؛ وإلا، فلن يتم التعرف على التفضيلات من قبل Microsoft Defender لنقطة النهاية.
توزيع Intune
افتحملفات تعريف تكوينالأجهزة>. حدد إنشاء ملف تعريف.
اختر اسما لملف التعريف. قم بتغيير Platform=macOS إلى Profile type=Templates واختر Custom في قسم template name. حدد تكوين.
احفظ .plist الذي تم إنتاجه سابقا باسم
com.microsoft.wdav.xml.أدخل
com.microsoft.wdavكاسم ملف تعريف التكوين المخصص.افتح ملف تعريف التكوين وقم بتحميل
com.microsoft.wdav.xmlالملف. (تم إنشاء هذا الملف في الخطوة 3.)حدد موافق.
حدد إدارة>التعيينات. في علامة التبويب Include ، حدد Assign to All Users & All devices.
أنذر
يجب إدخال اسم ملف تعريف التكوين المخصص الصحيح؛ وإلا، فلن يتم التعرف على هذه التفضيلات من قبل Microsoft Defender لنقطة النهاية.
الموارد
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.