我正在查看 Server 2016 中的默认 Defender 配置。我不确定如何发现这些“0”对 ThreatDefaultAction 的含义:
HighThreatDefaultAction : 0
LowThreatDefaultAction : 0
MAPSReporting : 2
ModerateThreatDefaultAction : 0
我会从Set-MpPreference文档中认为它是隔离区,但同一段文本引用了一个以“清洁”而不是“隔离区”开头的参数集。这种对 ThreatIdDefaultActions 的解释在它的列表中甚至没有 0:Add-MpPreference
绝对看起来那里缺少文档。如果您查看示例,
SignatureScheduleDay它会更好地记录映射,它与参数集列出的完全一致。最好的选择是它们根据“参数集”进行映射。这也与帮助文件的语法部分映射相同:
我检查了 github 中是否列出了与此相关的问题,但没有找到。你肯定可以在那里查询更多:https ://github.com/MicrosoftDocs/windows-powershell-docs/blob/master/docset/windows/defender/set-mppreference.md
所有
HighThreatDefaultAction,LowThreatDefaultAction,ModerateThreatDefaultAction和都是枚举类型SevereThreatDefaultAction的属性。它们的值指定对给定级别的威胁采取哪种自动补救措施。UnknownThreatDefaultAction[ThreatAction]上述任何属性的零值应视为未定义,因为成功执行
Remove-MpPreference的 cmdlet 将其值设置为零。以下示例中的演示:Set-MpPreference但是,文档中还有另一个模糊之处;例如:但尝试
Set-MpPreference -HighThreatDefaultAction Ignore导致InvalidData错误,因为[ThreatAction]类型枚举不包含名称Ignore:请注意,该
Get-EnumValue功能来自我在CodeReview的回答。好的,从微软支持那里得到答案。0 与 NULL 相同(此处的文档示例),这意味着遵循 Microsoft 适用于每个威胁的默认设置。换句话说,每个病毒/恶意软件/等。附有严重性和威胁行动(即缓解)。GetMpPreference 中的“0”表示使用该缓解措施,而不是您可能在此处指定的任何值来普遍覆盖每个严重性级别。希望对未来的旅行者有所帮助。