请在此处输入显示名称 请在此处输入描述 Windows Defender Endpoint Protection 排除项 网络检查系统 排除项 隔离 实时保护 修正 报告 扫描 签名更新 MAPS 威胁 客户端界面 允许反恶意软件服务使用普通优先级启动 此策略设置会控制反恶意软件服务的加载优先级。如果提高加载优先级，则服务启动速度会更快，但可能会影响性能。 如果启用或未配置此设置，则反恶意软件服务会作为普通优先级任务加载。 如果禁用此设置，则反恶意软件服务会作为低优先级任务加载。 关闭自动排除项 允许管理员指定是否应对服务器 SKU 关闭自动排除项功能。 关闭 Endpoint Protection 此策略设置关闭 Endpoint Protection。 如果启用此策略设置，则 Endpoint Protection 不会运行，不扫描计算机是否有恶意软件或其他可能不需要的软件。 如果禁用或未配置此策略设置，则默认情况下，Endpoint Protection 将会运行，扫描计算机是否有恶意软件和其他可能不需要的软件。 关闭 Windows Defender 此策略设置关闭 Windows Defender。 如果启用此策略设置，则 Windows Defender 不会运行，不扫描计算机是否有恶意软件或其他可能不需要的软件。 如果禁用或未配置此策略设置，则默认情况下，Windows Defender 将会运行，扫描计算机是否有恶意软件和其他可能不需要的软件。 为本地管理员配置列表合并行为 此策略设置会控制是否使用组策略设置合并由本地管理员配置的复杂列表设置。此设置适用于诸如威胁和排除项的列表。 如果启用或未配置此设置，则会将本地管理员配置的组策略设置中和首选设置中定义的唯一项合并为生成的有效策略。在发生冲突的情况下，组策略设置会替代首选设置。 如果禁用此设置，则生成的有效策略中仅会使用组策略定义的项。组策略设置会替代本地管理员配置的首选设置。 关闭例程更新 使用此策略设置，可以配置 Windows Defender 是否对所有检测到的威胁自动执行操作。对特定威胁执行的操作取决于策略定义的操作、用户定义的操作和签名定义的操作的组合。 如果启用此策略设置，则 Windows Defender 不会对检测到的威胁自动执行操作，但会提示用户针对每个威胁从可用操作中进行选择。 如果禁用或未配置此策略设置，则 Windows Defender 在大约 5 秒钟的不可配置延迟后对所有检测到的威胁自动执行操作。 使用此策略设置，可以配置 Endpoint Protection 是否自动对所有检测到的威胁执行操作。对特定威胁所执行的操作由策略定义的操作、用户定义的操作和签名定义的操作共同确定。 如果启用此策略设置，Endpoint Protection 不会自动对检测到的威胁执行操作，但会提示用户从每种威胁的可用操作中进行选择。 如果禁用或未配置此策略设置，则 Endpoint Protection 会在大约五秒钟延迟(不可配置)后自动对所有检测到的威胁执行操作。 定义不使用代理服务器的地址 当配置的代理服务器与指定的 IP 地址通信时，此策略(如果定义)会阻止反恶意软件使用该服务器。应以有效 URL 的形式输入地址值。 如果启用此设置，则不会使用指定地址的代理服务器。 如果禁用或未配置此设置，则会使用指定地址的代理服务器。 定义用于连接到网络的代理自动配置(.pac) 此策略设置定义当客户端尝试连接网络以进行定义更新和 MAPS 报告时应使用的代理 .pac 文件的 URL。如果代理自动配置失败或未指定代理自动配置，客户端将回退到备用选项(按顺序): 1. 代理服务器(如果指定) 2. 代理 .pac URL (如果指定) 3. 无 4. Internet Explorer 代理设置 5. 自动检测 如果启用此设置，则会按照上面指定的顺序将代理设置设为使用指定的代理 .pac。 如果禁用或未配置此设置，则代理将按照上面指定的顺序跳过此回退步骤。 定义用于连接到网络的代理服务器 此策略设置允许你配置当客户端尝试连接网络以进行定义更新和 MAPS 报告时应使用的命名代理。如果命名代理失败或未指定任何代理，客户端将回退到备用选项(按顺序): 1. 代理服务器(如果指定) 2. 代理 .pac URL (如果指定) 3. 无 4. Internet Explorer 代理设置 5. 自动检测 如果启用此设置，则会按照上面指定的顺序将代理设置为指定的 URL。该 URL 应以 http:// 或 https:// 开头。 如果禁用或未配置此设置，则代理将按照上面指定的顺序跳过此回退步骤。 随机化计划任务时间 使用此策略设置，可以启用或禁用随机化计划扫描开始时间和计划定义更新开始时间。此设置用于分散扫描资源影响。例如，该设置可以在共享主机的来宾虚拟机中使用，防止多个来宾虚拟机同时执行密集使用磁盘的操作。 如果启用或未配置此设置，计划任务会在指定开始时间前后 30 分钟的时间间隔内的随机时间开始。 如果禁用此设置，计划的任务会在指定的开始时间开始。 允许反恶意软件服务始终保持运行状态 使用此策略设置，可以配置禁用防病毒定义和反恶意软件定义时反恶意软件服务是否保持运行状态。建议此设置保持禁用状态。 如果启用此设置，反恶意软件服务会始终保持运行状态，即便防病毒定义和反恶意软件定义都被禁用。 如果禁用或未配置此设置，则当防病毒定义和反间谍软件定义都被禁用时，反恶意软件服务会被停止。如果重新启动计算机，则当该服务设置为“自动启动”时会启动该服务。服务启动后，系统会检查是否启用防病毒定义和反间谍软件定义。如果启用了一个或更多，则该服务会保持运行状态。如果二者都被禁用，则会停止该服务。 扩展名排除项 使用此策略设置，可以指定应从计划、自定义以及实时扫描中排除的一系列文件类型。应在“选项”下为此设置添加文件类型。必须将每个条目作为名称值对列出，其中名称应为文件类型扩展名（如“obj”或“lib”）的字符串表示。不使用该值且建议将此值设置为 0。 路径排除项 使用此策略设置，可以为指定路径下的文件或指定的完全限定资源禁用计划和实时扫描。应在“选项”下为此设置添加路径。必须将每个条目作为名称值对列出，其中名称应为路径或完全限定资源名称的字符串表示。作为示例，路径可以定义为：“c:\Windows”以排除此目录下的所有文件。完全限定资源名称可以定义为：“C:\Windows\App.exe”。不使用该值且建议将此值设置为 0。 进程排除项 使用此策略设置，可以为使用任何指定进程打开的任一文件禁用计划和实时扫描。进程本身不会排除在外。若要排除进程，请使用路径排除项。应在“选项”下为此设置添加进程。必须将每个条目作为名称值对列出，其中名称应为进程映像路径的字符串表示。注意：仅可以排除可执行文件。例如，进程可以定义为：“c:\windows\app.exe”。不使用该值且建议将此值设置为 0。 打开协议识别 使用此策略设置，可以为保护网络免遭已知漏洞攻击配置协议识别。 如果启用或未配置此设置，则会启用协议识别。 如果禁用此设置，则会禁用协议识别。 打开定义停用 使用此策略设置，可以为保护网络免遭已知漏洞攻击配置定义停用。定义停用会检查计算机是否具备保护其免遭特定漏洞攻击所需的必备安全更新。如果系统不易受到定义所检测攻击的威胁，则该定义为“停用”。如果给定协议的所有定义都停用，则不再分析该协议。启用此功能有助于提高性能。在具备所有最新安全更新的最新状态计算机上，网络保护对网络性能没有影响。 如果启用或未配置此设置，则会启用定义停用。 如果禁用此设置，则会禁用定义停用。 指定用于网络通讯检查的其他定义集 此策略设置定义了为网络通讯检查启用的其他定义集。应在“选项”下为此设置添加定义集 GUID。必须将每个条目作为名称值对列出，其中名称应为定义集 GUID 的字符串表示。作为示例，用于启用测试定义的定义集 GUID 定义为：“{b54b6ac9-a737-498e-9120-6616ad3bf590}”。不使用该值且建议将此值设置为 0。 配置本地设置替换以从“隔离”文件夹中删除项 此策略设置配置本地替换，用于配置项在被删除前保留在“隔离”文件夹中的天数。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置从“隔离”文件夹中删除项 此策略设置定义了项在被删除前保留在“隔离”文件夹中的天数。 如果启用此设置，则在指定天数后会从“隔离”文件夹中删除这些项。 如果禁用或未配置此设置，则项会无限期保留在“隔离”文件夹中且不会自动删除。 打开行为监视 使用此策略设置可以配置行为监视。 如果启用或未配置此设置，则会启用行为监视。 如果禁用此设置，则会禁用行为监视。 扫描所有下载文件和附件 使用此策略设置，可以配置扫描所有下载文件和附件。 如果启用或未配置此设置，则会启用扫描所有下载文件和附件。 如果禁用此设置，则会禁用扫描所有下载文件和附件。 监视计算机上的文件和程序活动 使用此策略设置，可以配置监视文件和程序活动。 如果启用或未配置此设置，则会启用监视文件和程序活动。 如果禁用此设置，则会禁止监视文件和程序活动。 启用原始卷写入通知 此策略设置控制是否向行为监视发送原始卷写入通知。 如果启用或未配置此设置，则会启用原始写入通知。 如果禁用此设置，则会禁用原始写入通知。 关闭实时保护 此策略设置可关闭针对已知恶意软件检测的实时防护提示。 当恶意软件或可能不需要的软件试图在你的计算机上自行安装或运行时，Windows Defender 会向你发出警报。 如果启用此策略设置，Windows Defender 将不会提示用户对检测到的恶意软件执行操作。 如果禁用或未配置此策略设置，Windows Defender 将提示用户对检测到的恶意软件执行操作。 此策略设置可关闭针对已知恶意软件检测的实时防护提示。 当恶意软件或可能不需要的软件试图在你的计算机上自行安装或运行时，Endpoint Protection 会向你发出警报。 如果启用此策略设置，Endpoint Protection 将不会提示用户对检测到的恶意软件执行操作。 如果禁用或未配置此策略设置，Endpoint Protection 将提示用户对检测到的恶意软件执行操作。 不论何时启用实时保护，都会启用进程扫描 使用此策略设置，可以配置当启用实时保护时扫描进程。该操作有助于捕获实时保护关闭时可能会启动的恶意软件。 如果启用或未配置此设置，则会在打开实时保护时启动进程扫描。 如果禁用此设置，则不会在打开实时保护时启动进程扫描。 定义要扫描的下载文件和附件的最大大小 此策略设置定义了将扫描的下载文件和附件的最大大小(以千字节为单位)。 如果启用此设置，则会扫描小于指定大小的下载文件和附件。 如果禁用或未配置此设置，则会应用默认大小。 配置本地设置替换，用于打开行为监视 此策略设置配置本地替换，用于配置行为监视。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置本地设置替换，用于监视计算机上的文件和程序活动 此策略设置配置本地替换，用于配置监视计算机上的文件和程序活动。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置本地设置替换，用于扫描所有下载文件和附件 此策略设置配置本地替换，用于配置扫描所有下载文件和附件。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置本地设置替换以打开实时保护 此策略设置配置本地替换，用于配置打开实时保护。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置本地设置替换，用于监视传入和传出文件活动 此策略设置配置本地替换，用于配置监视传入和传出文件活动。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置监视传入和传出文件和程序活动 使用此策略设置，可以配置监视传入和传出文件，无须彻底关闭监视。建议在这样的服务器上使用: 有大量传入和传出文件活动，但是出于性能原因，需要针对特殊扫描方向禁用扫描。相应的配置应基于服务器角色进行评估。 注意:仅为 NTFS 卷优先使用此配置。对于任何其他文件系统类型，会在这些卷上执行完全监视文件和程序活动。 此设置的选项互斥独占: 0 = 扫描传入和传出文件(默认值) 1 = 仅扫描传入文件 2 = 仅扫描传出文件 任何其他值，或该值不存在，则解析为默认值(0)。 如果启用此设置，则会启用指定类型的监视。 如果禁用或未配置此设置，则会启用监视传入和传出文件。 双向（完全 on-access） 仅扫描传入（禁用 on-open） 仅扫描传出（禁用 on-close） 配置本地设置替换，以便在每天的不同时间运行计划完整扫描以完成修正 此策略设置配置本地替换，用于配置运行计划完整扫描以完成修正的时间。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 指定每周的不同天运行计划完整扫描以完成修正 使用此策略设置，可以指定每周的不同天执行计划完整扫描以完成修正。还可以将扫描配置为每天运行或者从不运行。 可以使用以下序号值配置此设置: (0x0) 每天 (0x1) 星期天 (0x2) 星期一 (0x3) 星期二 (0x4) 星期三 (0x5) 星期四 (0x6) 星期五 (0x7) 星期六 (0x8) 从不(默认值) 如果启用此设置，则会以指定的频率运行计划完整扫描以完成修正。 如果禁用或未配置此设置，则会以默认频率运行计划完整扫描以完成修正。 从不 每天 星期日 星期一 星期二 星期三 星期四 星期五 星期六 指定每天的不同时间运行计划完整扫描以完成修正 使用此策略设置，可以指定在每天的不同时间执行计划完整扫描以完成修正。时间值采用超过午夜的分钟数(00:00)表示。 例如，120 (0x78)等同于 02:00 AM。 计划基于执行扫描的计算机上的本地时间。 如果启用此设置，则会在每天指定的时间运行计划完整扫描以完成修正。 如果禁用或未配置此设置，则会在默认时间运行计划完整扫描以完成修正。 为需要其他操作的检测配置超时 此策略设置配置检测操作从“其他操作”状态改为“清除”状态前的时间（以分钟为单位）。 配置完全失败状态下检测操作的超时 此策略设置配置检测操作从“完全失败”状态改为“其他操作”状态或“清除”状态前的时间（以分钟为单位）。 配置 Watson 事件 使用此策略设置，可以配置是否发送 Watson 事件。 如果启用或未配置此设置，则会发送 Watson 事件。 如果禁用此设置，则不会发送 Watson 事件。 配置非完全失败状态下检测操作的超时 此策略设置配置检测操作从“非完全失败”状态改为“清除”状态前的时间（以分钟为单位）。 配置处于最新更新状态下检测操作的超时 此策略设置配置检测操作从“已完成”状态改为“清除”状态前的时间（以分钟为单位）。 配置 Windows 软件跟踪预处理器组件 此策略配置 Windows 软件跟踪预处理器（WPP 软件跟踪）组件。 配置 WPP 跟踪级别 使用此策略，可以配置 Windows 软件跟踪预处理器(WPP 软件跟踪)的跟踪级别。 跟踪级别定义如下: 1 - 错误 2 - 警告 3 - 信息 4 - 调试 允许用户暂停扫描 使用此策略设置，可以管理最终用户是否可以暂停进行中的扫描。 如果启用或未配置此设置，则会向任务栏图标中添加新的上下文菜单以允许用户暂停扫描。 如果禁用此设置，则用户无法暂停扫描。 指定扫描存档文件的最大深度 使用此策略设置，可以配置扫描期间将存档文件(如 .ZIP 或 .CAB)解压缩到的最大目录深度级别。默认目录深度级别是 0。 如果启用此设置，则会将存档文件扫描到指定的目录深度级别。 如果禁用或未配置此设置，则会将存档文件扫描到默认目录深度级别。 定义要扫描的存档文件的最大大小。 使用此策略设置，可以配置进行扫描的存档文件(如 .ZIP 或 .CAB)的最大大小。该值表示文件大小，单位为千字节(KB)。默认值为 0，表示对于扫描存档大小没有限制。 如果启用此设置，则会扫描小于或等于指定大小的存档文件。 如果禁用或未配置此设置，则会根据默认值扫描存档文件。 指定扫描期间 CPU 使用率的最大百分比 使用此策略设置，可以配置扫描期间所允许 CPU 使用率的最大百分比。此设置的有效值为整数 5 到 100 表示的百分比。值为零(0)表示应对 CPU 使用率无限制。默认值为 50。 如果启用此设置，则 CPU 使用率不会超过指定的百分比。 如果禁用或未配置此设置，则 CPU 使用率不会超过默认值。 在运行计划扫描前检查最新病毒定义和间谍软件定义 使用此策略设置，可以管理在运行扫描前是否检查新病毒定义和间谍软件定义。 此设置适用于计划扫描以及命令行“mpcmdrun -SigUpdate”，但是此设置对于通过用户界面手动启动的扫描无作用。 如果启用此设置，则会在运行扫描前检查新定义。 如果禁用此设置或未配置此设置，则会使用现有定义启动扫描。 扫描存档文件 使用此策略设置，可以配置扫描存档文件(如 .ZIP 或 .CAB 文件)中的恶意软件和不需要的软件。 如果启用或未配置此设置，则会扫描存档文件。 如果禁用此设置，则不会扫描存档文件。 启用弥补完整扫描 使用此策略设置，可以配置计划快速扫描的弥补扫描。弥补扫描为由于错过定期计划扫描而启动的扫描。 通常会错过这些计划扫描，原因是计算机在计划时间关闭。 如果启用此设置，则会打开计划快速扫描的弥补扫描。如果计算机在两个连续的计划扫描期间脱机，则下次用户登录计算机时会启动弥补扫描。 如果未配置计划扫描，则不会运行弥补扫描。 如果禁用或未配置此设置，则会关闭计划快速扫描的弥补扫描。 启用弥补快速扫描 使用此策略设置，可以配置计划快速扫描的弥补扫描。弥补扫描为由于错过定期计划扫描而启动的扫描。 通常会错过这些计划扫描，原因是计算机在计划时间关闭。 如果启用此设置，则会打开计划快速扫描的弥补扫描。如果计算机在两个连续的计划扫描期间脱机，则下次用户登录计算机时会启动弥补扫描。 如果未配置计划扫描，则不会运行弥补扫描。 如果禁用或未配置此设置，则会关闭计划快速扫描的弥补扫描。 启用电子邮件扫描 使用此策略设置可以配置电子邮件扫描。启动电子邮件扫描时，引擎会根据邮箱和邮件文件的特定格式分析这些邮箱和邮件文件，以便分析邮件正文和附件。当前支持多个电子邮件格式，例如:pst (Outlook)、dbx、mbx、mime (Outlook Express)、binhex (Mac)。 如果启用此设置，则会启用电子邮件扫描。 如果禁用或未配置此设置，则会禁用电子邮件扫描。 启用启发 使用此策略设置可以配置启发。就在向引擎客户端报告之前，会抑制可疑检测。关闭启发会减弱标记新威胁的功能。建议不要关闭启发。 如果启用或未配置此设置，则会启用启发。 如果禁用此设置，则会禁用启发。 扫描压缩的可执行文件 使用此策略设置，可以配置扫描压缩的可执行文件。建议保持启用此类型的扫描。 如果启用或未配置此设置，则会扫描压缩的可执行文件。 如果禁用此设置，则不会扫描压缩的可执行文件。 扫描可移动驱动器 使用此策略设置，可以管理运行完整扫描时是否扫描可移动驱动器(如 U 盘)内容中的恶意软件和不需要的软件。 如果启用此设置，则任何类型扫描期间都会扫描可移动驱动器。 如果禁用或未配置此设置，则在完整扫描期间不会扫描可移动驱动器。快速扫描和自定义扫描期间仍会扫描可移动驱动器。 启用重解析点扫描 使用此策略设置可以配置重解析点扫描。如果允许扫描重解析点，则可能会存在递归风险。但是，引擎支持以下重解析点到最大深度，这样最坏的情况是可能会减慢扫描速度。默认情况下会禁用重解析点扫描，且此为此功能的建议状态。 如果启用此设置，则会启用重解析点扫描。 如果禁用或未配置此设置，则会禁用重解析点扫描。 创建系统还原点 使用此策略设置，可以在每天清理之前在计算机上创建系统还原点。 如果启用此设置，则会创建系统还原点。 如果禁用或未配置此设置，则不会创建系统还原点。 在映射的网络驱动器上运行完整扫描 使用此策略设置，可以配置扫描映射的网络驱动器。 如果启用此设置，则会扫描映射的网络驱动器。 如果禁用或未配置此设置，则不会扫描映射的网络驱动器。 扫描网络文件 使用此策略设置，可以配置扫描网络文件。建议不要启用此设置。 如果启用此设置，则会扫描网络文件。 如果禁用或未配置此设置，则不会扫描网络文件。 配置本地设置替换以获取 CPU 使用率最大百分比 此策略设置配置本地替换，用于配置扫描期间 CPU 使用率的最大百分比。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置本地设置替换以获取用于计划扫描的扫描类型 此策略设置配置本地替换，用于配置计划扫描期间要使用的扫描类型。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置本地设置替换以获取计划扫描日期 此策略设置配置本地替换，用于配置计划扫描时间。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置本地设置替换以获取计划快速扫描时间 此策略设置配置本地替换，用于配置计划扫描时间。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置本地设置替换以获取计划扫描时间 此策略设置配置本地替换，用于配置计划扫描日期。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 启用从扫描历史记录文件夹中删除项 此策略设置定义了项在被永久删除前保留在扫描历史记录文件夹中的天数。该值表示在文件夹中保留项的天数。如果设置为 0，则会永远保留项且不会自动删除。默认情况下，该值设置为 30 天。 如果启用此设置，则在指定天数后会从扫描历史记录文件夹中删除这些项。 如果禁用或未配置此设置，则项在扫描历史记录文件夹中保留默认天数。 指定每天运行快速扫描的时间间隔 使用此策略设置，可以指定执行快速扫描的时间间隔。时间值采用两次快速扫描间的小时数表示。有效值范围介于 1(每小时)和 24(每天一次)之间。如果设置为 0，则不会执行时间间隔快速扫描。默认情况下，此设置设置为 0。 如果启用此设置，则快速扫描会以指定的时间间隔运行。 如果禁用或未配置此设置，则会在默认时间运行快速扫描。 仅当计算机处于打开但未使用状态才启动计划扫描 使用此策略设置，可以配置为仅当计算机处于打开但未使用状态启动计划扫描。 如果启用或未配置此设置，则仅当计算机处于打开但未使用状态运行计划扫描。 如果禁用此设置，则计划的扫描会在计划时间运行。 指定用于计划扫描的扫描类型 使用此策略设置，可以指定计划扫描期间使用的扫描类型。扫描类型选项如下: 1 = 快速扫描(默认值) 2 = 完整扫描 如果启用此设置，则会将扫描类型设置为指定值。 如果禁用或未配置此设置，则会使用默认扫描类型。 快速扫描 完整系统扫描 指定每周的不同天运行计划扫描 使用此策略设置，可以指定每周的不同天执行计划扫描。还可以将扫描配置为每天运行或者从不运行。 可以使用以下序号值配置此设置: (0x0) 每天 (0x1) 星期天 (0x2) 星期一 (0x3) 星期二 (0x4) 星期三 (0x5) 星期四 (0x6) 星期五 (0x7) 星期六 (0x8) 从不(默认值) 如果启用此设置，则会以指定的频率运行计划扫描。 如果禁用或未配置此设置，则会以默认频率运行计划扫描。 从不 每天 星期日 星期一 星期二 星期三 星期四 星期五 星期六 指定每天运行快速扫描的时间 使用此策略设置，可以指定每天的不同时间执行每日快速扫描。时间值采用超过午夜的分钟数(00:00)表示。 例如，120 (0x78)等同于 02:00 AM。默认情况下，将此设置设置为时间值 2:00 AM。计划基于执行扫描的计算机上的本地时间。 如果启用此设置，则每日快速扫描会在每天指定的时间运行。 如果禁用或未配置此设置，则会在默认时间运行每日快速扫描。 指定每天的不同时间运行计划扫描 使用此策略设置，可以指定每天的不同时间执行计划扫描。时间值采用超过午夜的分钟数(00:00)表示。 例如，120 (0x78)等同于 02:00 AM。默认情况下，将此设置设置为时间值 2:00 AM。计划基于执行扫描的计算机上的本地时间。 如果启用此设置，则计划扫描会在每天指定的时间运行。 如果禁用或未配置此设置，则计划扫描会在默认时间运行。 定义天数，经过该天数后，将强制执行后续扫描 使用此策略设置，可以定义在强制执行后续扫描后可能错过的连续计划扫描数。默认情况下，此设置的值为 2 个连续计划扫描。 如果启用此设置，将在指定次数的连续错过计划扫描后执行后续扫描。 如果禁用或未配置此设置，则将在 2 个连续错过计划扫描后执行后续扫描。 定义间谍软件定义视为过期前的天数 使用此策略设置，可以定义在间谍软件定义视为过期前必须经过的天数。如果确定定义过期，则此状态可能会触发多个其他操作，包括回退到备用更新源或在用户界面上显示警告图标。默认情况下，此值设置为 14 天。 如果启用此设置，则在已超过指定天数而无更新后将间谍软件定义视为过期。 如果禁用或未配置此设置，则在已超过默认天数而无更新后将间谍软件定义视为过期。 定义病毒定义视为过期前的天数 使用此策略设置，可以在病毒定义视为过期前必须经过的天数。如果确定定义过期，则此状态可能会触发多个其他操作，包括回退到备用更新源或在用户界面上显示警告图标。默认情况下，此值设置为 14 天。 如果启用此设置，则在已超过指定天数而无更新后将病毒定义视为过期。 如果禁用或未配置此设置，则在已超过默认天数而无更新后将病毒定义视为过期。 定义用于下载定义更新的文件共享 使用此策略设置，可以配置用于下载定义更新的 UNC 文件共享源。采用指定的顺序连接源。此设置的值应作为枚举定义更新源的竖线分隔的字符串输入。例如:“{\\unc1 | \\unc2 }”。默认情况下该列表为空。 如果启用此设置，则会连接指定的源获取定义更新。从一个指定源成功下载定义更新后，就不会连接列表中剩余的源。 如果禁用或未配置此设置，则默认情况下该列表保留为空且不会连接任何源。 启用签名更新后扫描 使用此策略设置，可以配置在执行定义更新后启动的自动扫描。 如果启用或未配置此设置，则扫描会开始关注定义更新。 如果禁用此设置，则扫描不会开始关注定义更新。 使用电池电源运行时允许使用定义更新 使用此策略设置，可以在计算机使用电池电源运行时配置定义更新。 如果启用或未配置此设置，则定义更新会如常执行，不论电源状态如何。 如果禁用此设置，则当计算机使用电池电源运行时会关闭定义更新。 启动时启动定义更新 使用此策略设置，当没有反恶意软件引擎时，可以在启动时配置定义更新。 如果启用或未配置此设置，当没有反恶意软件引擎时，可以在启动时启动定义更新。 如果禁用此设置，当没有反恶意软件引擎时，不会在启动时启动定义更新。 定义下载定义更新的源的顺序 使用此策略设置，可以定义应连接不同定义更新源的顺序。此设置的值应作为按顺序枚举定义更新源的竖线分隔的字符串输入。可能的值如下:“InternalDefinitionUpdateServer”、“MicrosoftUpdateServer”、“MMPC”以及“FileShares” 例如:{ InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC } 如果启用此设置，则会按指定的顺序连接定义更新源。从一个指定源成功下载定义更新后，就不会连接列表中剩余的源。 如果禁用或未配置此设置，则会按默认顺序连接定义更新源。 允许使用 Microsoft 更新提供的定义更新 使用此策略设置，可以启用从 Microsoft 更新下载定义更新，即便将“自动更新”默认服务器配置为另一下载源(如 Windows 更新)。 如果启用此设置，则会从 Microsoft 更新下载定义更新。 如果禁用或未配置此设置，则会从配置的下载源下载定义更新。 允许根据 Microsoft MAPS 报告执行实时定义更新 使用此策略设置，可以依据发送到 Microsoft MAPS 的报告启用实时定义更新。如果服务报告的文件为未知文件并且 Microsoft MAPS 发现最新定义更新包含相关文件面临的某种威胁的定义，该服务将会立即收到该威胁的所有最新定义。为了使这项功能发挥作用，必须配置计算机加入 Microsoft MAPS。 如果启用或未配置此设置，则会启用实时定义更新。 如果禁用此设置，则会禁用实时定义更新。 指定每周的不同天检查定义更新 使用此策略设置，可以指定每周的不同天检查定义更新。还可以将检查配置为每天运行或从不运行。 可以使用以下序号值配置此设置: (0x0) 每天 (0x1) 星期天 (0x2) 星期一 (0x3) 星期二 (0x4) 星期三 (0x5) 星期四 (0x6) 星期五 (0x7) 星期六 (0x8) 从不 如果启用此设置，则会以指定的频率检查定义更新。 如果禁用或未配置此设置，则会以默认频率检查定义更新。 从不 每天 星期日 星期一 星期二 星期三 星期四 星期五 星期六 指定检查定义更新的时间 使用此策略设置，可以指定每天的不同时间检查定义更新。时间值采用超过午夜的分钟数 (00:00) 表示。 例如，120 (0x78) 等同于 02:00 AM。默认情况下，将此设置配置为在计划扫描时间前 15 分钟检查定义更新。计划基于执行检查的计算机上的本地时间。 如果启用此设置，则会在每天指定的时间检查定义更新。 如果禁用或未配置此设置，则会在默认时间检查定义更新。 允许接收基于禁用定义的 Microsoft MAPS 报告的通知 使用此策略设置，可以配置反恶意软件服务接收依据发送给 Microsoft MAPS 的报告发出的禁用各定义的通知。Microsoft MAPS 使用这些通知禁用导致误报的定义。为了使这项功能发挥作用，必须配置计算机加入 Microsoft MAPS。 如果启用或未配置此设置，则反恶意软件服务会收到禁用定义的通知。 如果禁用此设置，则反恶意软件服务不会收到禁用定义的通知。 定义在其后需要弥补定义更新的天数 使用此策略设置，可以定义在其后需要弥补定义更新的天数。默认情况下，此设置的值为 1 天。 如果启用此设置，则会在指定天数后执行弥补定义更新。 如果禁用或未配置此设置，则在默认天数后需要执行弥补定义更新。 指定到期通知的间隔 使用此策略设置，可以指定到期通知的间隔(以天为单位)。 如果签名或平台即将到期，则此值表示 AM UI 将多快通知客户。 值应该大于零，该策略才能有效。 指定检查定义更新的时间间隔 使用此策略设置，可以指定检查定义更新的时间间隔。时间值采用两次更新检查之间的小时数表示。有效值范围介于 1(每小时)和 24(每天一次)之间。 如果启用此设置，则会以指定的时间间隔检查定义更新。 如果禁用或未配置此设置，则会以默认时间间隔检查定义更新。 启动时检查最新病毒定义和间谍软件定义 使用此策略设置，可以管理服务启动后是否立即检查新病毒定义和间谍软件定义。 如果启用此设置，则会在服务启动后检查新定义。 如果禁用此设置或未配置此设置，则不会在服务启动后检查新定义。 配置“首次看到时阻止”功能 此功能可确保设备在允许运行或访问特定的内容之前，实时使用 Microsoft Active Protection Service (MAPS)进行检查。如果禁用此功能，则不执行检查，这会降低设备的保护状态。 Enabled - 已打开“首次看到时阻止”设置。 Disabled - 已关闭“首次看到时阻止”设置。 此功能要求按如下所示设置这些组策略: MAPS -> 必须启用“加入 Microsoft MAPS”，否则“首次看到时阻止”功能将无法正常运行。 MAPS ->“需要进一步分析时发送文件示例”应设置为 1 (发送安全示例)或 3 (发送所有示例)。设置为 0 (始终提示)会降低设备的保护状态。设置为 2 (永不发送)意味着“首次看到时阻止”功能将无法正常运行。 实时保护 -> 必须启用“扫描所有下载的文件和附件”策略，否则“首次看到时阻止”功能将无法正常运行。 实时保护 -> 请不要启用“关闭实时保护”策略，否则“首次看到时阻止”功能将无法正常运行。 配置局部设置替换以便向 Microsoft MAPS 报告 此策略设置配置将局部替换配置以加入 Microsoft MAPS。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 需要进一步分析时发送文件示例 在已选择进行 MAPS 遥测的情况下，此策略设置可配置样本提交行为。 可能的选项包括: (0x0)始终提示 (0x1)自动发送安全样本 (0x2)从不发送 (0x3)自动发送所有样本 始终提示 发送安全示例 从不发送 发送所有示例 加入 Microsoft MAPS 使用此策略设置，可以加入 Microsoft MAPS。Microsoft MAPS 是可帮助你选择如何应对潜在威胁的在线社区。该社区还可帮助停止新恶意软件感染的传播。 你可以选择发送所检测到的软件的基本信息或附加信息。附加信息可帮助 Microsoft 创建新定义，并有助于保护你的计算机。该信息可能包括计算机上检测到的项的位置等内容(如果有害软件已删除)。将会自动收集和发送该信息。在某些情况下，可能会无意中将个人信息发送到 Microsoft。但是，Microsoft 不会使用这些信息来识别你的身份或与你联系。 可能的选项如下: (0x0) 禁用(默认值) (0x1) 基本成员身份 (0x2) 高级成员身份 基本成员身份: 将所检测到的软件的基本信息发送至 Microsoft，包括软件来源、你应用或系统自动应用的操作以及操作是否成功。 高级成员身份: 除了基本信息以外，还会向 Microsoft 发送有关恶意软件、间谍软件和可能不需要的软件的详细信息(包括软件位置、文件名、软件运行方式以及对计算机产生的影响)。 如果启用此设置，则将使用指定的成员身份加入 Microsoft MAPS。 如果禁用或未配置此设置，则不会加入 Microsoft MAPS。 在 Windows 10 中，基本成员身份不再可用，因此将值设置为 1 或 2 可将设备注册为高级成员身份。 禁用 基本 MAPS 高级 MAPS 指定检测到其后不应对其采取默认操作的威胁 此策略设置自定义扫描期间检测到每个列出的威胁 ID 后会对其采取的修正操作。应在“选项”下为此设置添加威胁。每个条目必须作为名称值对列出。名称定义了有效威胁 ID，值中包含应采取修正操作的操作 ID。 有效修正操作值如下: 2 = 隔离 3 = 删除 6 = 忽略 指定检测到其后不应对其采取默认操作的威胁警报级别 使用此策略设置，可以自定义对每个威胁警报级别采取的自动修正操作。对于此设置，应在“选项”下添加威胁警报级别。每个条目必须作为名称值对列出。名称定义威胁警报级别。值中包含应采取修正操作的操作 ID。 有效威胁警报级别如下: 1 = 低 2 = 中 4 = 高 5 = 严重 有效修正操作值如下: 2 = 隔离 3 =删除 6 = 忽略 启用无头 UI 模式 此策略设置，可以配置向用户显示 AM UI。 如果启用此设置不会可供用户访问 AM 用户界面。 将禁用重新启动时通知 此策略设置(用于用户界面无法锁定模式中的情况下)在用户界面模式下，禁止显示重新启动时通知用户。 如果启用此设置 AM 用户界面将不会显示重新启动时通知。 禁止显示所有通知 使用此策略设置可以指定是否要将 Windows Defender 通知显示在客户端上。 如果禁用或未配置此设置，则 Windows Defender 通知将显示在客户端上。 如果启用此设置，则 Windows Defender 通知将不会显示在客户端上。 当客户端需要执行操作时向其显示附加文本 使用此策略设置，可以配置在客户端需要执行操作时是否向其显示附加文本。显示的文本为管理员定义的自定义字符串。例如，呼叫公司技术支持的电话号码。客户端界面仅会显示最多 1024 个字符。显示前会截断较长的字符串。 如果启用此设置，则会显示指定的附加文本。 如果禁用或未配置此设置，则不会显示附加文本。 定义不使用代理服务器的地址 定义用于连接到网络的代理自动配置(.pac) 定义用于连接到网络的代理服务器 扩展名排除项 路径排除项 进程排除项 指定用于网络通讯检查的其他定义集 配置从“隔离”文件夹中删除项 定义要扫描的下载文件和附件的最大大小 配置监视传入和传出文件和程序活动 指定每周的不同天运行计划完整扫描以完成修正 指定每天的不同时间运行计划完整扫描以完成修正 定义可以被强制更新扫描后丢失的计划扫描的次数 为需要其他操作的检测配置超时 配置完全失败状态下检测操作的超时 配置非完全失败状态下检测操作的超时 配置处于最新更新状态下检测操作的超时 配置 Windows 软件跟踪预处理器组件 配置 WPP 跟踪级别 指定扫描存档文件的最大深度 定义要扫描的存档文件的最大大小 指定扫描期间 CPU 使用率的最大百分比 启用从扫描历史记录文件夹中删除项 指定每天运行快速扫描的时间间隔 指定用于计划扫描的扫描类型 指定每周的不同天运行计划扫描 指定每天运行快速扫描的时间 指定每天的不同时间运行计划扫描 定义间谍软件定义视为过期前的天数 定义病毒定义视为过期前的天数 定义用于下载定义更新的文件共享 定义下载定义更新的源的顺序 指定每周的不同天检查定义更新 指定检查定义更新的时间 定义在其后需要弥补定义更新的天数 指定检查定义更新的时间间隔 加入 Microsoft MAPS 需要进一步分析时发送文件示例 指定检测到其后不应对其采取默认操作的威胁 指定检测到其后不应对其采取默认操作的威胁警报级别 当客户端需要执行操作时向其显示附加文本 指定到期通知的间隔