Definir preferências para o Microsoft Defender para Endpoint no macOS
Aplica-se a:
- Microsoft Defender para Endpoint no macOS
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
Importante
Este artigo contém instruções sobre como definir preferências para o Microsoft Defender para Endpoint no macOS em organizações empresariais. Para configurar o Microsoft Defender para Endpoint no macOS com a interface de linha de comandos, veja Recursos.
Resumo
Em organizações empresariais, o Microsoft Defender para Endpoint no macOS pode ser gerido através de um perfil de configuração implementado através de uma das várias ferramentas de gestão. As preferências geridas pela equipa de operações de segurança têm precedência sobre as preferências definidas localmente no dispositivo. Alterar as preferências definidas através do perfil de configuração requer privilégios escalados e não está disponível para utilizadores sem permissões administrativas.
Este artigo descreve a estrutura do perfil de configuração, inclui um perfil recomendado que pode utilizar para começar e fornece instruções sobre como implementar o perfil.
Estrutura do perfil de configuração
O perfil de configuração é um ficheiro .plist que consiste em entradas identificadas por uma chave (que indica o nome da preferência), seguido de um valor, que depende da natureza da preferência. Os valores podem ser simples (como um valor numérico) ou complexos, como uma lista aninhada de preferências.
Atenção
O esquema do perfil de configuração depende da consola de gestão que está a utilizar. As secções seguintes contêm exemplos de perfis de configuração para JAMF e Intune.
O nível superior do perfil de configuração inclui preferências e entradas ao nível do produto para subáreas do Microsoft Defender para Endpoint, que são explicadas mais detalhadamente nas secções seguintes.
Preferências do motor antivírus
A secção antivírusEngine do perfil de configuração é utilizada para gerir as preferências do componente antivírus do Microsoft Defender para Endpoint.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | antivírusEngine |
Tipo de dados | Dicionário (preferência aninhada) |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Nível de imposição do motor antivírus
Especifica a preferência de imposição do motor antivírus. Existem três valores para definir o nível de imposição:
- Em tempo real (
real_time
): a proteção em tempo real (analisar ficheiros à medida que são acedidos) está ativada. - A pedido (
on_demand
): os ficheiros são analisados apenas a pedido. Neste:- A proteção em tempo real está desativada.
- Passivo (
passive
): executa o motor antivírus no modo passivo. Neste:- A proteção em tempo real está desativada.
- A análise a pedido está ativada.
- A remediação automática de ameaças está desativada.
- As atualizações de informações de segurança estão ativadas.
- O ícone do menu de estado está oculto.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | enforcementLevel |
Tipo de dados | Cadeia |
Valores possíveis | real_time (predefinição) on_demand passivo |
Comentários | Disponível no Microsoft Defender para Endpoint versão 101.10.72 ou superior. |
Ativar/desativar a monitorização de comportamento
Determina se a capacidade de monitorização e bloqueio de comportamento está ou não ativada no dispositivo.
Nota
Esta funcionalidade só é aplicável quando a funcionalidade proteção Real-Time está ativada.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | behaviorMonitoring |
Tipo de dados | Cadeia |
Valores possíveis | desativado ativado (predefinição) |
Comentários | Disponível no Microsoft Defender para Endpoint versão 101.24042.0002 ou superior. |
Configurar a funcionalidade de computação hash de ficheiros
Ativa ou desativa a funcionalidade de computação hash de ficheiros. Quando esta funcionalidade está ativada, o Defender para Endpoint calcula os hashes dos ficheiros que analisa para permitir uma melhor correspondência com as regras do indicador. No macOS, apenas os ficheiros de script e Mach-O (32 e 64 bits) são considerados para esta computação hash (a partir da versão do motor 1.1.20000.2 ou superior). Tenha em atenção que ativar esta funcionalidade pode afetar o desempenho do dispositivo. Para obter mais detalhes, veja: Criar indicadores para ficheiros.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | enableFileHashComputation |
Tipo de dados | Booleano |
Valores possíveis | falso (predefinição) verdadeiro |
Comentários | Disponível no Defender para Endpoint versão 101.86.81 ou superior. |
Executar uma análise após a atualização das definições
Especifica se pretende iniciar uma análise de processo após a transferência de novas atualizações de informações de segurança no dispositivo. Ativar esta definição aciona uma análise antivírus nos processos em execução do dispositivo.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | scanAfterDefinitionUpdate |
Tipo de dados | Booleano |
Valores possíveis | true (predefinição) falso |
Comentários | Disponível no Microsoft Defender para Endpoint versão 101.41.10 ou superior. |
Analisar arquivos (apenas análises antivírus a pedido)
Especifica se pretende analisar arquivos durante análises antivírus a pedido.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | scanArchives |
Tipo de dados | Booleano |
Valores possíveis | true (predefinição) falso |
Comentários | Disponível no Microsoft Defender para Endpoint versão 101.41.10 ou superior. |
Grau de paralelismo para análises a pedido
Especifica o grau de paralelismo para análises a pedido. Isto corresponde ao número de threads utilizados para efetuar a análise e afeta a utilização da CPU, bem como a duração da análise a pedido.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | maximumOnDemandScanThreads |
Tipo de dados | Número inteiro |
Valores possíveis | 2 (predefinição). Os valores permitidos são números inteiros entre 1 e 64. |
Comentários | Disponível no Microsoft Defender para Endpoint versão 101.41.10 ou superior. |
Política de intercalação de exclusão
Especifique a política de intercalação para exclusões. Pode ser uma combinação de exclusões definidas pelo administrador e definidas pelo utilizador (merge
) ou apenas exclusões definidas pelo administrador (admin_only
). Esta definição pode ser utilizada para impedir que os utilizadores locais definam as suas próprias exclusões.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | exclusionsMergePolicy |
Tipo de dados | Cadeia |
Valores possíveis | intercalação (predefinição) admin_only |
Comentários | Disponível no Microsoft Defender para Endpoint versão 100.83.73 ou superior. |
Analisar exclusões
Especifique as entidades excluídas de serem analisadas. As exclusões podem ser especificadas por caminhos completos, extensões ou nomes de ficheiros. (As exclusões são especificadas como uma matriz de itens, o administrador pode especificar o número de elementos necessários, por qualquer ordem.)
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | exclusões |
Tipo de dados | Dicionário (preferência aninhada) |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Tipo de exclusão
Especifique o conteúdo excluído de ser analisado por tipo.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | $type |
Tipo de dados | Cadeia |
Valores possíveis | excludedPath excludedFileExtension excludedFileName |
Caminho para conteúdo excluído
Especifique o conteúdo excluído de ser analisado pelo caminho completo do ficheiro.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | caminho |
Tipo de dados | Cadeia |
Valores possíveis | caminhos válidos |
Comentários | Aplicável apenas se $type for excluídoPath |
Tipos de exclusão suportados
A tabela seguinte mostra os tipos de exclusão suportados pelo Defender para Endpoint no Mac.
Exclusão | Definição | Exemplos |
---|---|---|
Extensão de ficheiro | Todos os ficheiros com a extensão, em qualquer lugar no dispositivo | .test |
Ficheiro | Um ficheiro específico identificado pelo caminho completo | /var/log/test.log |
Pasta | Todos os ficheiros na pasta especificada (recursivamente) | /var/log/ |
Processo | Um processo específico (especificado pelo caminho completo ou nome do ficheiro) e todos os ficheiros abertos pelo mesmo | /bin/cat |
Importante
Os caminhos acima têm de ser ligações fixas, não ligações simbólicas, para serem excluídos com êxito. Pode verificar se um caminho é uma ligação simbólica ao executar file <path-name>
.
As exclusões de ficheiros, pastas e processos suportam os seguintes carateres universais:
Caráter universal | Descrição | Exemplos: | Correspondências | Não corresponde |
---|---|---|---|---|
* | Corresponde a qualquer número de carateres, incluindo nenhum (tenha em atenção que, quando este caráter universal é utilizado dentro de um caminho, irá substituir apenas uma pasta) | /var/\*/\*.log |
/var/log/system.log |
/var/log/nested/system.log |
? | Corresponde a qualquer caráter individual | file?.log |
file1.log |
file123.log |
Tipo de caminho (ficheiro/diretório)
Indique se a propriedade path se refere a um ficheiro ou diretório.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | isDirectory |
Tipo de dados | Booleano |
Valores possíveis | falso (predefinição) verdadeiro |
Comentários | Aplicável apenas se $type for excluídoPath |
Extensão de ficheiro excluída da análise
Especifique o conteúdo excluído de ser analisado pela extensão de ficheiro.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | extensão |
Tipo de dados | Cadeia |
Valores possíveis | extensões de ficheiro válidas |
Comentários | Aplicável apenas se $type for excluídoFileExtension |
Processo excluído da análise
Especifique um processo para o qual toda a atividade de ficheiro é excluída da análise. O processo pode ser especificado pelo respetivo nome (por exemplo, cat
) ou caminho completo (por exemplo, /bin/cat
).
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | nome |
Tipo de dados | Cadeia |
Valores possíveis | qualquer cadeia |
Comentários | Aplicável apenas se $type for excluídoFileName |
Ameaças permitidas
Especifique ameaças por nome que não sejam bloqueadas pelo Defender para Endpoint no Mac. Estas ameaças serão autorizadas a ser executadas.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | allowedThreats |
Tipo de dados | Matriz de cadeias |
Ações de ameaça não permitidas
Restringe as ações que o utilizador local de um dispositivo pode efetuar quando são detetadas ameaças. As ações incluídas nesta lista não são apresentadas na interface de utilizador.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | disallowedThreatActions |
Tipo de dados | Matriz de cadeias |
Valores possíveis | permitir (impede os utilizadores de permitir ameaças) restaurar (impede os utilizadores de restaurar ameaças a partir da quarentena) |
Comentários | Disponível no Microsoft Defender para Endpoint versão 100.83.73 ou superior. |
Definições de tipo de ameaça
Especifique a forma como determinados tipos de ameaças são processados pelo Microsoft Defender para Endpoint no macOS.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | threatTypeSettings |
Tipo de dados | Dicionário (preferência aninhada) |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Tipo de ameaça
Especifique tipos de ameaças.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | tecla |
Tipo de dados | Cadeia |
Valores possíveis | potentially_unwanted_application archive_bomb |
Ação a tomar
Especifique a ação a efetuar quando for detetada uma ameaça do tipo especificado na secção anterior. Escolha uma das seguintes opções:
- Auditoria: o dispositivo não está protegido contra este tipo de ameaça, mas é registada uma entrada sobre a ameaça.
- Bloco: o seu dispositivo está protegido contra este tipo de ameaça e é notificado na interface de utilizador e na consola de segurança.
- Desativado: o seu dispositivo não está protegido contra este tipo de ameaça e nada é registado.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | valor |
Tipo de dados | Cadeia |
Valores possíveis | auditoria (predefinição) bloquear desativado |
Política de intercalação de definições de tipo de ameaça
Especifique a política de intercalação para definições de tipo de ameaça. Pode ser uma combinação de definições definidas pelo administrador e definidas pelo utilizador (merge
) ou apenas definições definidas pelo administrador (admin_only
). Esta definição pode ser utilizada para impedir que os utilizadores locais definam as suas próprias definições para diferentes tipos de ameaças.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | threatTypeSettingsMergePolicy |
Tipo de dados | Cadeia |
Valores possíveis | intercalação (predefinição) admin_only |
Comentários | Disponível no Microsoft Defender para Endpoint versão 100.83.73 ou superior. |
Retenção do histórico de análises de antivírus (em dias)
Especifique o número de dias que os resultados são retidos no histórico de análises no dispositivo. Os resultados da análise antigos são removidos do histórico. Ficheiros antigos em quarentena que também são removidos do disco.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | scanResultsRetentionDays |
Tipo de dados | Cadeia |
Valores possíveis | 90 (predefinição). Os valores permitidos são de 1 dia a 180 dias. |
Comentários | Disponível no Microsoft Defender para Endpoint versão 101.07.23 ou superior. |
Número máximo de itens no histórico de análise de antivírus
Especifique o número máximo de entradas a manter no histórico de análises. As entradas incluem todas as análises a pedido realizadas no passado e todas as deteções de antivírus.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | scanHistoryMaximumItems |
Tipo de dados | Cadeia |
Valores possíveis | 10000 (predefinição). Os valores permitidos são de 5000 itens a 15000 itens. |
Comentários | Disponível no Microsoft Defender para Endpoint versão 101.07.23 ou superior. |
Preferências de proteção fornecidas pela cloud
Configure as funcionalidades de proteção baseada na cloud do Microsoft Defender para Endpoint no macOS.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | cloudService |
Tipo de dados | Dicionário (preferência aninhada) |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Ativar/desativar a proteção fornecida pela cloud
Especifique se pretende ativar ou não a proteção fornecida pela cloud no dispositivo. Para melhorar a segurança dos seus serviços, recomendamos que mantenha esta funcionalidade ativada.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | ativado |
Tipo de dados | Booleano |
Valores possíveis | true (predefinição) falso |
Nível de recolha de diagnósticos
Os dados de diagnóstico são utilizados para manter o Microsoft Defender para Endpoint seguro e atualizado, detetar, diagnosticar e corrigir problemas e também melhorar o produto. Esta definição determina o nível de diagnóstico enviado pelo Microsoft Defender para Endpoint à Microsoft.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | diagnosticLevel |
Tipo de dados | Cadeia |
Valores possíveis | opcional (predefinição) necessário |
Configurar o nível de bloco da cloud
Esta definição determina o quão agressivo será o Defender para Endpoint ao bloquear e analisar ficheiros suspeitos. Se esta definição estiver ativada, o Defender para Endpoint será mais agressivo ao identificar ficheiros suspeitos para bloquear e analisar; caso contrário, será menos agressivo e, portanto, bloqueará e analisará com menos frequência. Existem cinco valores para definir o nível de bloco da cloud:
- Normal (
normal
): o nível de bloqueio predefinido. - Moderado (
moderate
): dá um veredicto apenas para deteções de alta confiança. - Alto (
high
): bloqueia agressivamente ficheiros desconhecidos ao otimizar o desempenho (maior probabilidade de bloquear ficheiros não prejudiciais). - High Plus (
high_plus
): bloqueia agressivamente ficheiros desconhecidos e aplica medidas de proteção adicionais (podem afetar o desempenho do dispositivo cliente). - Tolerância Zero (
zero_tolerance
): bloqueia todos os programas desconhecidos.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | cloudBlockLevel |
Tipo de dados | Cadeia |
Valores possíveis | normal (predefinição) moderado alto high_plus zero_tolerance |
Comentários | Disponível no Defender para Endpoint versão 101.56.62 ou superior. |
Ativar/desativar submissões automáticas de exemplo
Determina se as amostras suspeitas (que são susceptíveis de conter ameaças) são enviadas para a Microsoft. Existem três níveis para controlar a submissão de amostras:
- Nenhum: não são submetidos exemplos suspeitos à Microsoft.
- Seguro: apenas os exemplos suspeitos que não contenham informações pessoais (PII) são submetidos automaticamente. Este é o valor predefinido para esta definição.
- Todos: todos os exemplos suspeitos são submetidos à Microsoft.
Descrição | Valor |
---|---|
Chave | automaticSampleSubmissionConsent |
Tipo de dados | Cadeia |
Valores possíveis | nenhum seguro (predefinição) todos |
Ativar/desativar atualizações automáticas de informações de segurança
Determina se as atualizações de informações de segurança são instaladas automaticamente:
Secção | Valor |
---|---|
Chave | automaticDefinitionUpdateEnabled |
Tipo de dados | Booleano |
Valores possíveis | true (predefinição) falso |
Preferências de interface de utilizador
Faça a gestão das preferências da interface de utilizador do Microsoft Defender para Endpoint no macOS.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | userInterface |
Tipo de dados | Dicionário (preferência aninhada) |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Mostrar/ocultar ícone do menu de estado
Especifique se pretende mostrar ou ocultar o ícone do menu de estado no canto superior direito do ecrã.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | hideStatusMenuIcon |
Tipo de dados | Booleano |
Valores possíveis | falso (predefinição) verdadeiro |
Mostrar/ocultar opção para enviar comentários
Especifique se os utilizadores podem submeter comentários à Microsoft acedendo a Help
>Send Feedback
.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | userInitiatedFeedback |
Tipo de dados | Cadeia |
Valores possíveis | ativado (predefinição) desativado |
Comentários | Disponível no Microsoft Defender para Endpoint versão 101.19.61 ou superior. |
Controlar o início de sessão na versão de consumidor do Microsoft Defender
Especifique se os utilizadores podem iniciar sessão na versão de consumidor do Microsoft Defender.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | consumerExperience |
Tipo de dados | Cadeia |
Valores possíveis | ativado (predefinição) desativado |
Comentários | Disponível no Microsoft Defender para Endpoint versão 101.60.18 ou superior. |
Deteção de pontos finais e preferências de resposta
Gerir as preferências do componente de deteção e resposta de pontos finais (EDR) do Microsoft Defender para Endpoint no macOS.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | edr |
Tipo de dados | Dicionário (preferência aninhada) |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Etiquetas de dispositivo
Especifique um nome de etiqueta e o respetivo valor.
- A etiqueta GROUP marca o dispositivo com o valor especificado. A etiqueta é refletida no portal na página do dispositivo e pode ser utilizada para filtrar e agrupar dispositivos.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | etiquetas |
Tipo de dados | Dicionário (preferência aninhada) |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Tipo de etiqueta
Especifica o tipo de etiqueta
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | tecla |
Tipo de dados | Cadeia |
Valores possíveis | GROUP |
Valor da etiqueta
Especifica o valor da etiqueta
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | valor |
Tipo de dados | Cadeia |
Valores possíveis | qualquer cadeia |
Importante
- Só é possível definir um valor por tipo de etiqueta.
- Os tipos de etiquetas são exclusivos e não devem ser repetidos no mesmo perfil de configuração.
Identificador de grupo
Identificadores do Grupo EDR
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | groupIds |
Tipo de dados | Cadeia |
Comentários | Identificador de grupo |
Proteção contra Adulteração
Faça a gestão das preferências do componente Proteção contra Adulteração do Microsoft Defender para Endpoint no macOS.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | tamperProtection |
Tipo de dados | Dicionário (preferência aninhada) |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Nível de imposição
Se a Proteção contra Adulteração estiver ativada e estiver no modo restrito
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | enforcementLevel |
Tipo de dados | Cadeia |
Comentários | Um de "desativado", "auditoria" ou "bloco" |
Valores possíveis:
- desativado – a Proteção contra Adulteração está desativada, sem prevenção de ataques ou comunicação à Cloud
- auditoria – a Proteção contra Adulteração comunica tentativas de adulteração apenas para a Cloud, mas não as bloqueia
- block - Proteção contra Adulteração bloqueia e reporta ataques à Cloud
Exclusões
Define processos que são permitidos para alterar o recurso do Microsoft Defender, sem considerar a adulteração. O caminho, o teamId, o signingId ou a respetiva combinação têm de ser fornecidos. Os args podem ser fornecidos adicionalmente, para especificar o processo permitido com mais precisão.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | exclusões |
Tipo de dados | Dicionário (preferência aninhada) |
Comentários | Consulte as secções seguintes para obter uma descrição do conteúdo do dicionário. |
Caminho
Caminho exato do executável do processo.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | caminho |
Tipo de dados | Cadeia |
Comentários | No caso de um script de shell, será o caminho exato para o binário do intérprete, por exemplo, /bin/zsh . Não são permitidos carateres universais. |
ID da Equipa
O "Team Id" da Apple do fornecedor.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | teamId |
Tipo de dados | Cadeia |
Comentários | Por exemplo, UBF8T346G9 para a Microsoft |
ID de Assinatura
O "ID de Assinatura" da Apple do pacote.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | signingId |
Tipo de dados | Cadeia |
Comentários | Por exemplo, com.apple.ruby para o interpretador Ruby |
Argumentos do processo
Utilizado em combinação com outros parâmetros para identificar o processo.
Secção | Valor |
---|---|
Domínio | com.microsoft.wdav |
Chave | signingId |
Tipo de dados | Matriz de cadeias |
Comentários | Se especificado, o argumento do processo tem de corresponder exatamente a esses argumentos, sensíveis às maiúsculas e minúsculas |
Perfil de configuração recomendado
Para começar, recomendamos a seguinte configuração para a sua empresa para tirar partido de todas as funcionalidades de proteção fornecidas pelo Microsoft Defender para Endpoint.
O seguinte perfil de configuração (ou, no caso do JAMF, uma lista de propriedades que pode ser carregada para o perfil de configuração de definições personalizadas) irá:
- Ativar a proteção em tempo real (RTP)
- Especifique a forma como os seguintes tipos de ameaças são processados:
- As aplicações potencialmente indesejadas (PUA) estão bloqueadas
- As bombas de arquivo (ficheiro com uma taxa de compressão elevada) são auditadas aos registos do Microsoft Defender para Endpoint
- Ativar atualizações automáticas de informações de segurança
- Ativar a proteção fornecida pela cloud
- Ativar a submissão automática de exemplo
Lista de propriedades do perfil de configuração recomendado do JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Perfil recomendado do Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</array>
</dict>
</plist>
Exemplo de perfil de configuração completo
Os seguintes modelos contêm entradas para todas as definições descritas neste documento e podem ser utilizados para cenários mais avançados em que pretende ter mais controlo sobre o Microsoft Defender para Endpoint no macOS.
Lista de propriedades do perfil de configuração completo JAMF
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>2</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/usr/local/jamf/bin/jamf</string>
<key>teamId</key>
<string>483DWKW443</string>
<key>signingId</key>
<string>com.jamfsoftware.jamf</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</plist>
Perfil completo do Intune
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>antivirusEngine</key>
<dict>
<key>enforcementLevel</key>
<string>real_time</string>
<key>scanAfterDefinitionUpdate</key>
<true/>
<key>scanArchives</key>
<true/>
<key>maximumOnDemandScanThreads</key>
<integer>1</integer>
<key>exclusions</key>
<array>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<false/>
<key>path</key>
<string>/var/log/system.log</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/home</string>
</dict>
<dict>
<key>$type</key>
<string>excludedPath</string>
<key>isDirectory</key>
<true/>
<key>path</key>
<string>/Users/*/git</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileExtension</string>
<key>extension</key>
<string>pdf</string>
</dict>
<dict>
<key>$type</key>
<string>excludedFileName</string>
<key>name</key>
<string>cat</string>
</dict>
</array>
<key>exclusionsMergePolicy</key>
<string>merge</string>
<key>allowedThreats</key>
<array>
<string>EICAR-Test-File (not a virus)</string>
</array>
<key>disallowedThreatActions</key>
<array>
<string>allow</string>
<string>restore</string>
</array>
<key>threatTypeSettings</key>
<array>
<dict>
<key>key</key>
<string>potentially_unwanted_application</string>
<key>value</key>
<string>block</string>
</dict>
<dict>
<key>key</key>
<string>archive_bomb</string>
<key>value</key>
<string>audit</string>
</dict>
</array>
<key>threatTypeSettingsMergePolicy</key>
<string>merge</string>
</dict>
<key>cloudService</key>
<dict>
<key>enabled</key>
<true/>
<key>diagnosticLevel</key>
<string>optional</string>
<key>automaticSampleSubmission</key>
<true/>
<key>automaticDefinitionUpdateEnabled</key>
<true/>
<key>cloudBlockLevel</key>
<string>normal</string>
</dict>
<key>edr</key>
<dict>
<key>tags</key>
<array>
<dict>
<key>key</key>
<string>GROUP</string>
<key>value</key>
<string>ExampleTag</string>
</dict>
</array>
</dict>
<key>tamperProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
<key>exclusions</key>
<array>
<dict>
<key>path</key>
<string>/bin/zsh</string>
<key>teamId</key>
<string/>
<key>signingId</key>
<string>com.apple.zsh</string>
<key>args</key>
<array>
<string>/usr/local/bin/test.sh</string>
</array>
</dict>
<dict>
<key>path</key>
<string>/Library/Intune/Microsoft Intune Agent.app/Contents/MacOS/IntuneMdmDaemon</string>
<key>teamId</key>
<string>UBF8T346G9</string>
<key>signingId</key>
<string>IntuneMdmDaemon</string>
</dict>
</array>
</dict>
<key>userInterface</key>
<dict>
<key>hideStatusMenuIcon</key>
<false/>
<key>userInitiatedFeedback</key>
<string>enabled</string>
</dict>
</dict>
</array>
</dict>
</plist>
Validação da lista de propriedades
A lista de propriedades tem de ser um ficheiro .plist válido. Isto pode ser verificado ao executar:
plutil -lint com.microsoft.wdav.plist
com.microsoft.wdav.plist: OK
Se o ficheiro estiver bem formado, o comando acima será exportado OK
e devolverá um código de saída de 0
. Caso contrário, é apresentado um erro que descreve o problema e o comando devolve um código de saída de 1
.
Implementação do perfil de configuração
Depois de criar o perfil de configuração para a sua empresa, pode implementá-lo através da consola de gestão que a sua empresa está a utilizar. As secções seguintes fornecem instruções sobre como implementar este perfil com o JAMF e o Intune.
Implementação do JAMF
Na consola JAMF, abraPerfis de Configuração de Computadores>, navegue para o perfil de configuração que pretende utilizar e, em seguida, selecione Definições Personalizadas. Crie uma entrada com com.microsoft.wdav
como o domínio de preferência e carregue o .plist produzido anteriormente.
Atenção
Tem de introduzir o domínio de preferência correto (com.microsoft.wdav
); caso contrário, as preferências não serão reconhecidas pelo Microsoft Defender para Endpoint.
Implementação do Intune
AbraPerfis de Configuração de Dispositivos>. Selecione Criar Perfil.
Escolha um nome para o perfil. Altere Platform=macOS para Profile type=Templates e selecione Personalizar na secção nome do modelo. Selecione Configurar.
Guarde o .plist produzido anteriormente como
com.microsoft.wdav.xml
.Introduza
com.microsoft.wdav
como o nome do perfil de configuração personalizada.Abra o perfil de configuração e carregue o
com.microsoft.wdav.xml
ficheiro. (Este ficheiro foi criado no passo 3.)Selecione OK.
Selecione Gerir>Atribuições. No separador Incluir , selecione Atribuir a Todos os Utilizadores & Todos os dispositivos.
Atenção
Tem de introduzir o nome de perfil de configuração personalizado correto; caso contrário, estas preferências não serão reconhecidas pelo Microsoft Defender para Endpoint.
Recursos
Sugestão
Quer saber mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.