请在此处输入显示名称 请在此处输入描述 Windows Defender 排除项 网络检查系统 网络检查系统排除项 隔离 实时保护 修正 报告 扫描 签名更新 MAPS 威胁 客户端界面 允许反恶意软件服务使用普通优先级启动 此策略设置会控制反恶意软件服务的加载优先级。如果提高加载优先级，则服务启动速度会更快，但可能会影响性能。 如果启用或未配置此设置，则反恶意软件服务会作为普通优先级任务加载。 如果禁用此设置，则反恶意软件服务会作为低优先级任务加载。 关闭 Windows Defender 此策略设置关闭 Windows Defender。 如果启用此策略设置，则 Windows Defender 不会运行，不扫描计算机是否有恶意软件或其他可能不需要的软件。 如果禁用或未配置此策略设置，则默认情况下，Windows Defender 将会运行，扫描计算机是否有恶意软件和其他可能不需要的软件。 为本地管理员配置列表合并行为 此策略设置会控制是否使用组策略设置合并由本地管理员配置的复杂列表设置。此设置适用于诸如威胁和排除项的列表。 如果启用或未配置此设置，则会将本地管理员配置的组策略设置中和首选设置中定义的唯一项合并为产生的有效策略。在发生冲突的情况下，组策略设置会替代首选设置。 如果禁用此设置，则产生的有效策略中仅会使用组策略定义的项。组策略设置会替代本地管理员配置的首选设置。 关闭例程更新 使用此策略设置，可以配置 Windows Defender 是否自动对所有检测到的威胁执行操作。对特定威胁所执行的操作由策略定义的操作、用户定义的操作和签名定义的操作共同确定。 如果启用此策略设置，Windows Defender 不会自动对检测到的威胁执行操作，但会提示用户从每种威胁的可用操作中进行选择。 如果禁用或未配置此策略设置，则 Windows Defender 会在大约十分钟的延迟（不可配置）后自动对所有检测到的威胁执行操作。 定义不使用代理服务器的地址 当配置的代理服务器与指定的 IP 地址通信时，此策略（如果定义）会阻止反恶意软件使用该服务器。应以有效 URL 的形式输入地址值。 如果启用此设置，则不会使用指定地址的代理服务器。 如果禁用或未配置此设置，则会使用指定地址的代理服务器。 定义用于连接到网络的代理服务器 使用此策略设置，可以配置在客户端尝试连接到网络以执行定义更新和 MAPS 报告时应使用的指定代理。如果指定的代理失败或未指定任何代理，则会使用以下设置（按顺序）： 1.Internet Explorer 代理设置 2.自动检测 3.无 如果启用此设置，则会将代理设置为指定的 URL。 如果禁用或未配置此设置，则会根据以上指定的顺序设置代理。 随机化计划任务时间 使用此策略设置，可以启用或禁用随机化计划扫描开始时间和计划定义更新开始时间。此设置用于分散扫描资源影响。例如，该设置可以在共享主机的来宾虚拟机中使用，防止多个来宾虚拟机同时执行密集使用磁盘的操作。 如果启用或未配置此设置，计划任务会在指定开始时间前后 30 分钟的时间间隔内的随机时间开始。 如果禁用此设置，计划的任务会在指定的开始时间开始。 允许反恶意软件服务始终保持运行状态 使用此策略设置，可以配置禁用防病毒定义和反恶意软件定义时反恶意软件服务是否保持运行状态。建议此设置保持禁用状态。 如果启用此设置，反恶意软件服务会始终保持运行状态，即便防病毒定义和反恶意软件定义都被禁用。 如果禁用或未配置此设置，则当防病毒定义和反间谍软件定义都被禁用时，反恶意软件服务会被停止。如果重新启动计算机，则当该服务设置为“自动启动”时会启动该服务。服务启动后，系统会检查是否启用防病毒定义和反间谍软件定义。如果启用了一个或更多，则该服务会保持运行状态。如果二者都被禁用，则会停止该服务。 扩展名排除项 使用此策略设置，可以指定应从计划、自定义以及实时扫描中排除的一系列文件类型。应在“选项”下为此设置添加文件类型。必须将每个条目作为名称值对列出，其中名称应为文件类型扩展名（如“obj”或“lib”）的字符串表示。不使用该值且建议将此值设置为 0。 路径排除项 使用此策略设置，可以为指定路径下的文件或指定的完全限定资源禁用计划和实时扫描。应在“选项”下为此设置添加路径。必须将每个条目作为名称值对列出，其中名称应为路径或完全限定资源名称的字符串表示。作为示例，路径可以定义为：“c:\Windows”以排除此目录下的所有文件。完全限定资源名称可以定义为：“C:\Windows\App.exe”。不使用该值且建议将此值设置为 0。 进程排除项 使用此策略设置，可以为使用任何指定进程打开的任一文件禁用计划和实时扫描。进程本身不会排除在外。若要排除进程，请使用路径排除项。应在“选项”下为此设置添加进程。必须将每个条目作为名称值对列出，其中名称应为进程映像路径的字符串表示。注意：仅可以排除可执行文件。例如，进程可以定义为：“c:\windows\app.exe”。不使用该值且建议将此值设置为 0。 打开协议识别 使用此策略设置，可以为保护网络免遭已知漏洞攻击配置协议识别。 如果启用或未配置此设置，则会启用协议识别。 如果禁用此设置，则会禁用协议识别。 打开定义停用 使用此策略设置，可以为保护网络免遭已知漏洞攻击配置定义停用。定义停用会检查计算机是否具备保护其免遭特定漏洞攻击所需的必备安全更新。如果系统不易受到定义所检测攻击的威胁，则该定义为“停用”。如果给定协议的所有定义都停用，则不再分析该协议。启用此功能有助于提高性能。在具备所有最新安全更新的最新状态计算机上，网络保护对网络性能没有影响。 如果启用或未配置此设置，则会启用定义停用。 如果禁用此设置，则会禁用定义停用。 定义记录检测事件的速率 此策略设置会限制保护网络免遭已知漏洞攻击的检测事件的记录速率。记录会限制为每个定义时间间隔记录一个事件。以分钟为单位定义时间间隔值。默认时间间隔值为 60 分钟。 如果启用此设置，则当指定的分钟数内有多个类似报告（根据定义 GUID）时不会记录检测事件。 如果禁用或未配置此设置，则会以默认速率记录检测事件。 IP 地址范围排除项 此策略（如果定义）会通过检查指定的 IP 地址防止网络受到已知漏洞攻击。应在“选项”下为此设置添加 IP 地址。必须将每个条目作为名称值对列出，其中名称应为 IP 地址范围的字符串表示。作为示例，范围可能会定义为：157.1.45.123-60.1.1.1。不使用该值且建议将此值设置为 0。 端口号排除项 此策略设置定义了通过其禁用网络通讯检查的一系列 TCP 端口号。应在“选项”下为此设置添加端口号。必须将每个条目作为名称值对列出，其中名称应为 TCP 端口号的字符串表示。作为示例，范围可能会定义为：8080。不使用该值且建议将此值设置为 0。 出站流量的进程排除项 此策略设置定义了不会从中检查出站网络流量的进程。 应在“选项”下为此设置添加进程名称。必须将每个条目作为名称值对列出，其中名称应为进程路径和名称的字符串表示。作为示例，进程可以定义为：“C:\Windows\System32\App.exe”。不使用该值且建议将此值设置为 0。 威胁 ID 排除项 此策略设置定义了网络流量检查期间从检测中排除的威胁。应在“选项”下为此设置添加威胁。必须将每个条目作为名称值对列出，其中名称应为威胁 ID 的字符串表示。作为示例，威胁 ID 可能会定义为：2925110632。不使用该值且建议将此值设置为 0。 指定用于网络通讯检查的其他定义集 此策略设置定义了为网络通讯检查启用的其他定义集。应在“选项”下为此设置添加定义集 GUID。必须将每个条目作为名称值对列出，其中名称应为定义集 GUID 的字符串表示。作为示例，用于启用测试定义的定义集 GUID 定义为：“{b54b6ac9-a737-498e-9120-6616ad3bf590}”。不使用该值且建议将此值设置为 0。 配置本地设置替换以从“隔离”文件夹中删除项 此策略设置配置本地替换，用于配置项在被删除前保留在“隔离”文件夹中的天数。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置从“隔离”文件夹中删除项 此策略设置定义了项在被删除前保留在“隔离”文件夹中的天数。 如果启用此设置，则在指定天数后会从“隔离”文件夹中删除这些项。 如果禁用或未配置此设置，则项会无限期保留在“隔离”文件夹中且不会自动删除。 打开行为监视 使用此策略设置可以配置行为监视。 如果启用或未配置此设置，则会启用行为监视。 如果禁用此设置，则会禁用行为监视。 打开信息保护控制 使用此策略设置，可以配置信息保护控制 (IPC)。 如果启用此设置，则会启用 IPC。 如果禁用或未配置此设置，则会禁用 IPC。 启用保护网络不受已知漏洞攻击功能 使用此策略设置，可以配置保护网络免遭已知漏洞攻击。 如果启用或未配置此设置，则会启用网络保护。 如果禁用此设置，则会禁用网络保护。 扫描所有下载文件和附件 使用此策略设置，可以配置扫描所有下载文件和附件。 如果启用或未配置此设置，则会启用扫描所有下载文件和附件。 如果禁用此设置，则会禁用扫描所有下载文件和附件。 监视计算机上的文件和程序活动 使用此策略设置，可以配置监视文件和程序活动。 如果启用或未配置此设置，则会启用监视文件和程序活动。 如果禁用此设置，则会禁止监视文件和程序活动。 启用原始卷写入通知 此策略设置控制是否向行为监视发送原始卷写入通知。 如果启用或未配置此设置，则会启用原始写入通知。 如果禁用此设置，则会禁用原始写入通知。 关闭实时保护 此策略设置可关闭针对已知恶意软件检测的实时防护提示。 当恶意软件或可能不需要的软件试图在你的计算机上自行安装或运行时，Windows Defender 会向你发出警报。 如果启用此策略设置，Windows Defender 将不会提示用户对检测到的恶意软件执行操作。 如果禁用或未配置此策略设置，Windows Defender 将提示用户对检测到的恶意软件执行操作。 不论何时启用实时保护，都会启用进程扫描 使用此策略设置，可以配置当启用实时保护时扫描进程。该操作有助于捕获实时保护关闭时可能会启动的恶意软件。 如果启用或未配置此设置，则会在打开实时保护时启动进程扫描。 如果禁用此设置，则不会在打开实时保护时启动进程扫描。 定义要扫描的下载文件和附件的最大大小 此策略设置定义了将扫描的下载文件和附件的最大大小（以千字节为单位）。 如果启用此设置，则会扫描小于指定大小的下载文件和附件。 如果禁用或未配置此设置，则会应用默认大小。 配置本地设置替换，用于打开行为监视 此策略设置配置本地替换，用于配置行为监视。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置本地设置替换，用于监视计算机上的文件和程序活动 此策略设置配置本地替换，用于配置监视计算机上的文件和程序活动。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置本地设置替换以关闭入侵防护系统 此策略设置配置本地替换，用于配置免遭已知漏洞攻击的网络保护。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置本地设置替换，用于扫描所有下载文件和附件 此策略设置配置本地替换，用于配置扫描所有下载文件和附件。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置本地设置替换以打开实时保护 此策略设置配置本地替换，用于配置打开实时保护。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置本地设置替换，用于监视传入和传出文件活动 此策略设置配置本地替换，用于配置监视传入和传出文件活动。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置监视传入和传出文件和程序活动 使用此策略设置，可以配置监视传入和传出文件，无须彻底关闭监视。建议在这样的服务器上使用：有大量传入和传出文件活动，但是出于性能原因，需要针对特殊扫描方向禁用扫描。相应的配置应基于服务器角色进行评估。 注意：仅为 NTFS 卷优先使用此配置。对于任何其他文件系统类型，会在这些卷上执行完全监视文件和程序活动。 此设置的选项互斥独占： 0 = 扫描传入和传出文件（默认值） 1 = 仅扫描传入文件 2 = 仅扫描传出文件 任何其他值，或该值不存在，则解析为默认值 (0)。 如果启用此设置，则会启用指定类型的监视。 如果禁用或未配置此设置，则会启用监视传入和传出文件。 双向（完全 on-access） 仅扫描传入（禁用 on-open） 仅扫描传出（禁用 on-close） 配置本地设置替换，以便在每天的不同时间运行计划完整扫描以完成修正 此策略设置配置本地替换，用于配置运行计划完整扫描以完成修正的时间。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 指定每周的不同天运行计划完整扫描以完成修正 使用此策略设置，可以指定每周的不同天执行计划完整扫描以完成修正。还可以将扫描配置为每天运行或者从不运行。 可以使用以下序号值配置此设置： (0x0) 每天 (0x1) 星期天 (0x2) 星期一 (0x3) 星期二 (0x4) 星期三 (0x5) 星期四 (0x6) 星期五 (0x7) 星期六 (0x8) 从不（默认值） 如果启用此设置，则会以指定的频率运行计划完整扫描以完成修正。 如果禁用或未配置此设置，则会以默认频率运行计划完整扫描以完成修正。 从不 每天 星期日 星期一 星期二 星期三 星期四 星期五 星期六 指定每天的不同时间运行计划完整扫描以完成修正 使用此策略设置，可以指定在每天的不同时间执行计划完整扫描以完成修正。时间值采用超过午夜的分钟数 (00:00) 表示。 例如，120 (0x78) 等同于 02:00 AM。 计划基于执行扫描的计算机上的本地时间。 如果启用此设置，则会在每天指定的时间运行计划完整扫描以完成修正。 如果禁用或未配置此设置，则会在默认时间运行计划完整扫描以完成修正。 为需要其他操作的检测配置超时 此策略设置配置检测操作从“其他操作”状态改为“清除”状态前的时间（以分钟为单位）。 配置完全失败状态下检测操作的超时 此策略设置配置检测操作从“完全失败”状态改为“其他操作”状态或“清除”状态前的时间（以分钟为单位）。 配置 Watson 事件 使用此策略设置，可以配置是否发送 Watson 事件。 如果启用或未配置此设置，则会发送 Watson 事件。 如果禁用此设置，则不会发送 Watson 事件。 配置非完全失败状态下检测操作的超时 此策略设置配置检测操作从“非完全失败”状态改为“清除”状态前的时间（以分钟为单位）。 配置处于最新更新状态下检测操作的超时 此策略设置配置检测操作从“已完成”状态改为“清除”状态前的时间（以分钟为单位）。 配置 Windows 软件跟踪预处理器组件 此策略配置 Windows 软件跟踪预处理器（WPP 软件跟踪）组件。 配置 WPP 跟踪级别 使用此策略，可以配置 Windows 软件跟踪预处理器（WPP 软件跟踪）的跟踪级别。 跟踪级别定义如下： 1 - 错误 2 - 警告 3 - 信息 4 - 调试 允许用户暂停扫描 使用此策略设置，可以管理最终用户是否可以暂停进行中的扫描。 如果启用或未配置此设置，则会向任务栏图标中添加新的上下文菜单以允许用户暂停扫描。 如果禁用此设置，则用户无法暂停扫描。 指定扫描存档文件的最大深度 使用此策略设置，可以配置扫描期间将存档文件（如 .ZIP 或 .CAB）解压缩到的最大目录深度级别。默认目录深度级别是 0。 如果启用此设置，则会将存档文件扫描到指定的目录深度级别。 如果禁用或未配置此设置，则会将存档文件扫描到默认目录深度级别。 定义要扫描的存档文件的最大大小。 使用此策略设置，可以配置进行扫描的存档文件（如 .ZIP 或 .CAB）的最大大小。该值表示文件大小，单位为千字节 (KB)。默认值为 0，表示对于扫描存档大小没有限制。 如果启用此设置，则会扫描小于或等于指定大小的存档文件。 如果禁用或未配置此设置，则会根据默认值扫描存档文件。 指定扫描期间 CPU 使用率的最大百分比 使用此策略设置，可以配置扫描期间所允许 CPU 使用率的最大百分比。此设置的有效值为整数 5 到 100 表示的百分比。值为零 (0) 表示应对 CPU 使用率无限制。默认值为 50。 如果启用此设置，则 CPU 使用率不会超过指定的百分比。 如果禁用或未配置此设置，则 CPU 使用率不会超过默认值。 在运行计划扫描前检查最新病毒定义和间谍软件定义 使用此策略设置，可以管理在运行扫描前是否检查新病毒定义和间谍软件定义。 此设置适用于计划扫描以及命令行“mpcmdrun -SigUpdate”，但是此设置对于通过用户界面手动启动的扫描无作用。 如果启用此设置，则会在运行扫描前检查新定义。 如果禁用此设置或未配置此设置，则会使用现有定义启动扫描。 扫描存档文件 使用此策略设置，可以配置扫描存档文件（如 .ZIP 或 .CAB 文件）中的恶意软件和不需要的软件。 如果启用或未配置此设置，则会扫描存档文件。 如果禁用此设置，则不会扫描存档文件。 启用弥补完整扫描 使用此策略设置，可以配置计划完整扫描的弥补扫描。弥补扫描为由于错过定期计划扫描而启动的扫描。 通常会错过这些计划扫描，原因是计算机在计划时间关闭。 如果启用此设置，则会打开计划完整扫描的弥补扫描。 如果计算机在两个连续的计划扫描期间脱机，则下次用户登录计算机时会启动弥补扫描。 如果未配置计划扫描，则不会运行弥补扫描。 如果禁用或未配置此设置，则会关闭计划完整扫描的弥补扫描。 启用弥补快速扫描 使用此策略设置，可以配置计划快速扫描的弥补扫描。弥补扫描为由于错过定期计划扫描而启动的扫描。 通常会错过这些计划扫描，原因是计算机在计划时间关闭。 如果启用此设置，则会打开计划快速扫描的弥补扫描。如果计算机在两个连续的计划扫描期间脱机，则下次用户登录计算机时会启动弥补扫描。 如果未配置计划扫描，则不会运行弥补扫描。 如果禁用或未配置此设置，则会关闭计划快速扫描的弥补扫描。 启用电子邮件扫描 使用此策略设置可以配置电子邮件扫描。启动电子邮件扫描时，引擎会根据邮箱和邮件文件的特定格式分析这些邮箱和邮件文件，以便分析邮件正文和附件。当前支持多个电子邮件格式，例如：pst (Outlook)、dbx、mbx、mime (Outlook Express)、binhex (Mac)。 如果启用此设置，则会启用电子邮件扫描。 如果禁用或未配置此设置，则会禁用电子邮件扫描。 启用启发 使用此策略设置可以配置启发。就在向引擎客户端报告之前，会抑制可疑检测。关闭启发会减弱标记新威胁的功能。建议不要关闭启发。 如果启用或未配置此设置，则会启用启发。 如果禁用此设置，则会禁用启发。 扫描压缩的可执行文件 使用此策略设置，可以配置扫描压缩的可执行文件。建议保持启用此类型的扫描。 如果启用或未配置此设置，则会扫描压缩的可执行文件。 如果禁用此设置，则不会扫描压缩的可执行文件。 扫描可移动驱动器 使用此策略设置，可以管理运行完整扫描时是否扫描可移动驱动器（如 U 盘）内容中的恶意软件和不需要的软件。 如果启用此设置，则任何类型扫描期间都会扫描可移动驱动器。 如果禁用或未配置此设置，则在完整扫描期间不会扫描可移动驱动器。快速扫描和自定义扫描期间仍会扫描可移动驱动器。 启用重解析点扫描 使用此策略设置可以配置重解析点扫描。如果允许扫描重解析点，则可能会存在递归风险。但是，引擎支持以下重解析点到最大深度，这样最坏的情况是可能会减慢扫描速度。默认情况下会禁用重解析点扫描，且此为此功能的建议状态。 如果启用此设置，则会启用重解析点扫描。 如果禁用或未配置此设置，则会禁用重解析点扫描。 创建系统还原点 使用此策略设置，可以在每天清理之前在计算机上创建系统还原点。 如果启用此设置，则会创建系统还原点。 如果禁用或未配置此设置，则不会创建系统还原点。 在映射的网络驱动器上运行完整扫描 使用此策略设置，可以配置扫描映射的网络驱动器。 如果启用此设置，则会扫描映射的网络驱动器。 如果禁用或未配置此设置，则不会扫描映射的网络驱动器。 扫描网络文件 使用此策略设置，可以配置扫描网络文件。建议不要启用此设置。 如果启用此设置，则会扫描网络文件。 如果禁用或未配置此设置，则不会扫描网络文件。 配置本地设置替换以获取 CPU 使用率最大百分比 此策略设置配置本地替换，用于配置扫描期间 CPU 使用率的最大百分比。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置本地设置替换以获取用于计划扫描的扫描类型 此策略设置配置本地替换，用于配置计划扫描期间要使用的扫描类型。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置本地设置替换以获取计划扫描日期 此策略设置配置本地替换，用于配置计划扫描日期。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置本地设置替换以获取计划快速扫描时间 此策略设置配置本地替换，用于配置计划快速扫描时间。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 配置本地设置替换以获取计划扫描时间 此策略设置配置本地替换，用于配置计划扫描时间。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 启用从扫描历史记录文件夹中删除项 此策略设置定义了项在被永久删除前保留在扫描历史记录文件夹中的天数。该值表示在文件夹中保留项的天数。如果设置为 0，则会永远保留项且不会自动删除。默认情况下，该值设置为 30 天。 如果启用此设置，则在指定天数后会从扫描历史记录文件夹中删除这些项。 如果禁用或未配置此设置，则项在扫描历史记录文件夹中保留默认天数。 指定每天运行快速扫描的时间间隔 使用此策略设置，可以指定执行快速扫描的时间间隔。时间值采用两次快速扫描间的小时数表示。有效值范围介于 1（每小时）和 24（每天一次）之间。如果设置为 0，则不会执行时间间隔快速扫描。默认情况下，此设置设置为 0。 如果启用此设置，则快速扫描会以指定的时间间隔运行。 如果禁用或未配置此设置，则会在默认时间运行快速扫描。 仅当计算机处于打开但未使用状态才启动计划扫描 使用此策略设置，可以配置为仅当计算机处于打开但未使用状态启动计划扫描。 如果启用或未配置此设置，则仅当计算机处于打开但未使用状态运行计划扫描。 如果禁用此设置，则计划的扫描会在计划时间运行。 指定用于计划扫描的扫描类型 使用此策略设置，可以指定计划扫描期间使用的扫描类型。扫描类型选项如下： 1 = 快速扫描（默认值） 2 = 完整扫描 如果启用此设置，则会将扫描类型设置为指定值。 如果禁用或未配置此设置，则会使用默认扫描类型。 快速扫描 完整系统扫描 指定每周的不同天运行计划扫描 使用此策略设置，可以指定每周的不同天执行计划扫描。还可以将扫描配置为每天运行或者从不运行。 可以使用以下序号值配置此设置： (0x0) 每天 (0x1) 星期天 (0x2) 星期一 (0x3) 星期二 (0x4) 星期三 (0x5) 星期四 (0x6) 星期五 (0x7) 星期六 (0x8) 从不（默认值） 如果启用此设置，则会以指定的频率运行计划扫描。 如果禁用或未配置此设置，则会以默认频率运行计划扫描。 从不 每天 星期日 星期一 星期二 星期三 星期四 星期五 星期六 指定每天运行快速扫描的时间 使用此策略设置，可以指定每天的不同时间执行每日快速扫描。时间值采用超过午夜的分钟数 (00:00) 表示。 例如，120 (0x78) 等同于 02:00 AM。默认情况下，将此设置设置为时间值 2:00 AM。计划基于执行扫描的计算机上的本地时间。 如果启用此设置，则每日快速扫描会在每天指定的时间运行。 如果禁用或未配置此设置，则会在默认时间运行每日快速扫描。 指定每天的不同时间运行计划扫描 使用此策略设置，可以指定每天的不同时间执行计划扫描。时间值采用超过午夜的分钟数 (00:00) 表示。 例如，120 (0x78) 等同于 02:00 AM。默认情况下，将此设置设置为时间值 2:00 AM。计划基于执行扫描的计算机上的本地时间。 如果启用此设置，则计划扫描会在每天指定的时间运行。 如果禁用或未配置此设置，则计划扫描会在默认时间运行。 定义间谍软件定义视为过期前的天数 使用此策略设置，可以定义在间谍软件定义视为过期前必须经过的天数。如果确定定义过期，则此状态可能会触发多个其他操作，包括回滚到备用更新源或在用户界面上显示警告图标。默认情况下，此值设置为 14 天。 如果启用此设置，则在已超过指定天数而无更新后将间谍软件定义视为过期。 如果禁用或未配置此设置，则在已超过默认天数而无更新后将间谍软件定义视为过期。 定义病毒定义视为过期前的天数 使用此策略设置，可以在病毒定义视为过期前必须经过的天数。如果确定定义过期，则此状态可能会触发多个其他操作，包括回滚到备用更新源或在用户界面上显示警告图标。默认情况下，此值设置为 14 天。 如果启用此设置，则在已超过指定天数而无更新后将病毒定义视为过期。 如果禁用或未配置此设置，则在已超过默认天数而无更新后将病毒定义视为过期。 定义用于下载定义更新的文件共享 使用此策略设置，可以配置用于下载定义更新的 UNC 文件共享源。采用指定的顺序连接源。此设置的值应作为枚举定义更新源的竖线分隔的字符串输入。例如：“{\\unc1 | \\unc2 }”。默认情况下该列表为空。 如果启用此设置，则会连接指定的源获取定义更新。从一个指定源成功下载定义更新后，就不会连接列表中剩余的源。 如果禁用或未配置此设置，则默认情况下该列表保留为空且不会连接任何源。 启用签名更新后扫描 使用此策略设置，可以配置在执行定义更新后启动的自动扫描。 如果启用或未配置此设置，则扫描会开始关注定义更新。 如果禁用此设置，则扫描不会开始关注定义更新。 使用电池电源运行时允许使用定义更新 使用此策略设置，可以在计算机使用电池电源运行时配置定义更新。 如果启用或未配置此设置，则定义更新会如常执行，不论电源状态如何。 如果禁用此设置，则当计算机使用电池电源运行时会关闭定义更新。 启动时启动定义更新 使用此策略设置，当没有反恶意软件引擎时，可以在启动时配置定义更新。 如果启用或未配置此设置，当没有反恶意软件引擎时，可以在启动时启动定义更新。 如果禁用此设置，当没有反恶意软件引擎时，不会在启动时启动定义更新。 定义下载定义更新的源的顺序 使用此策略设置，可以定义应连接不同定义更新源的顺序。此设置的值应作为按顺序枚举定义更新源的竖线分隔的字符串输入。可能的值如下：“InternalDefinitionUpdateServer”、“MicrosoftUpdateServer”、“MMPC”以及“FileShares” 例如：{ InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC } 如果启用此设置，则会按指定的顺序连接定义更新源。从一个指定源成功下载定义更新后，就不会连接列表中剩余的源。 如果禁用或未配置此设置，则会按默认顺序连接定义更新源。 允许使用 Microsoft 更新提供的定义更新 使用此策略设置，可以启用从 Microsoft 更新下载定义更新，即便将“自动更新”默认服务器配置为另一下载源（如 Windows 更新）。 如果启用此设置，则会从 Microsoft 更新下载定义更新。 如果禁用或未配置此设置，则会从配置的下载源下载定义更新。 允许根据 Microsoft MAPS 报告执行实时定义更新 使用此策略设置，可以依据发送到 Microsoft MAPS 的报告启用实时定义更新。如果服务报告的文件为未知文件并且 Microsoft MAPS 发现最新定义更新包含相关文件面临的某种威胁的定义，该服务将会立即收到该威胁的所有最新定义。为了使这项功能发挥作用，必须配置计算机加入 Microsoft MAPS。 如果启用或未配置此设置，则会启用实时定义更新。 如果禁用此设置，则会禁用实时定义更新。 指定每周的不同天检查定义更新 使用此策略设置，可以指定每周的不同天检查定义更新。还可以将检查配置为每天运行或从不运行。 可以使用以下序号值配置此设置： (0x0) 每天 (0x1) 星期天 (0x2) 星期一 (0x3) 星期二 (0x4) 星期三 (0x5) 星期四 (0x6) 星期五 (0x7) 星期六 (0x8) 从不 如果启用此设置，则会以指定的频率检查定义更新。 如果禁用或未配置此设置，则会以默认频率检查定义更新。 从不 每天 星期日 星期一 星期二 星期三 星期四 星期五 星期六 指定检查定义更新的时间 使用此策略设置，可以指定每天的不同时间检查定义更新。时间值采用超过午夜的分钟数 (00:00) 表示。 例如，120 (0x78) 等同于 02:00 AM。默认情况下，将此设置配置为在计划扫描时间前 15 分钟检查定义更新。计划基于执行检查的计算机上的本地时间。 如果启用此设置，则会在每天指定的时间检查定义更新。 如果禁用或未配置此设置，则会在默认时间检查定义更新。 允许接收基于禁用定义的 Microsoft MAPS 报告的通知 使用此策略设置，可以配置反恶意软件服务接收依据发送给 Microsoft MAPS 的报告发出的禁用各定义的通知。Microsoft MAPS 使用这些通知禁用导致误报的定义。为了使这项功能发挥作用，必须配置计算机加入 Microsoft MAPS。 如果启用或未配置此设置，则反恶意软件服务会收到禁用定义的通知。 如果禁用此设置，则反恶意软件服务不会收到禁用定义的通知。 定义在其后需要弥补定义更新的天数 使用此策略设置，可以定义在其后需要弥补定义更新的天数。默认情况下，此设置的值为 1 天。 如果启用此设置，则会在指定天数后执行弥补定义更新。 如果禁用或未配置此设置，则在默认天数后需要执行弥补定义更新。 指定检查定义更新的时间间隔 使用此策略设置，可以指定检查定义更新的时间间隔。时间值采用两次更新检查之间的小时数表示。有效值范围介于 1（每小时）和 24（每天一次）之间。 如果启用此设置，则会以指定的时间间隔检查定义更新。 如果禁用或未配置此设置，则会以默认时间间隔检查定义更新。 启动时检查最新病毒定义和间谍软件定义 使用此策略设置，可以管理服务启动后是否立即检查新病毒定义和间谍软件定义。 如果启用此设置，则会在服务启动后检查新定义。 如果禁用此设置或未配置此设置，则不会在服务启动后检查新定义。 配置局部设置替换以便向 Microsoft MAPS 报告 此策略设置配置将局部替换配置以加入 Microsoft MAPS。此设置仅可由组策略设置。 如果启用此设置，则本地首选设置的优先级会高于组策略。 如果禁用或未配置此设置，则组策略的优先级会高于本地首选设置。 加入 Microsoft MAPS 使用此策略设置，可以加入 Microsoft MAPS。Microsoft MAPS 是协助你决定如何响应潜在恶意软件威胁的在线社区。该社区还有助于停止新恶意软件感染的传播。 你可以选择发送检测到的软件的基本信息或附加信息。附加信息帮助 Microsoft 创建新定义，并帮助其保护你的计算机。这些信息中可能包括以下内容：计算机上已检测到的项的位置、有害软件是否已删除。该信息将会自动进行收集和发送。在某些情况下，可能会无意中将个人信息发送到 Microsoft。但是，Microsoft 不会将这些信息用于识别你的身份或与你联系。 可能的选项如下： (0x0) 禁用（默认值） (0x1) 基本成员身份 (0x2) 高级成员身份 基本成员身份会将有关已检测到的软件的基本信息发送至 Microsoft，包括软件来源、用户应用或系统自动应用的操作以及操作是否成功。 高级成员身份，除了基本信息以外，还会向 Microsoft 发送有关恶意软件、间谍软件和可能不需要的软件的详细信息（包括软件位置、文件名、软件运行方式以及对你的计算机产生的影响）。 如果启用此设置，则将按照指定的成员身份加入 Microsoft MAPS。 如果禁用或未配置此设置，则不会加入 Microsoft MAPS。 禁用 基本 MAPS 高级 MAPS 指定检测到其后不应对其采取默认操作的威胁 此策略设置自定义扫描期间检测到每个列出的威胁 ID 后会对其采取的修正操作。应在“选项”下为此设置添加威胁。每个条目必须作为名称值对列出。名称定义了有效威胁 ID，值中包含应采取修正操作的操作 ID。 有效修正操作值如下： 2 = 隔离 3 = 删除 6 = 忽略 指定检测到其后不应对其采取默认操作的威胁警报级别 使用此策略设置，可以自定义对每个威胁警报级别采取的自动修正操作。对于此设置，应在“选项”下添加威胁警报级别。每个条目必须作为名称值对列出。名称定义威胁警报级别。值中包含应采取修正操作的操作 ID。 有效威胁警报级别如下： 1 = 低 2 = 中 4 = 高 5 = 严重 有效修正操作值如下： 2 = 隔离 3 =删除 6 = 忽略 当客户端需要执行操作时向其显示通知 使用此策略设置，可以配置在客户端需要执行以下操作时是否向其显示通知： 运行完整扫描 下载最新病毒和间谍软件定义 下载独立系统清理程序 如果启用或未配置此设置，则会在客户端需要执行指定操作时向其显示通知。 如果禁用此设置，则不会在客户端需要执行指定操作时向其显示通知。 当客户端需要执行操作时向其显示附加文本 使用此策略设置，可以配置在客户端需要执行操作时是否向其显示附加文本。显示的文本为管理员定义的自定义字符串。例如，呼叫公司技术支持的电话号码。客户端界面仅会显示最多 1024 个字符。显示前会截断较长的字符串。 如果启用此设置，则会显示指定的附加文本。 如果禁用或未配置此设置，则不会显示附加文本。 定义不使用代理服务器的地址 定义用于连接到网络的代理服务器 扩展名排除项 路径排除项 进程排除项 定义记录检测事件的速率 IP 地址范围排除项 端口号排除项 出站流量的进程排除项 威胁 ID 排除项 指定用于网络通讯检查的其他定义集 配置从“隔离”文件夹中删除项 定义要扫描的下载文件和附件的最大大小 配置监视传入和传出文件和程序活动 指定每周的不同天运行计划完整扫描以完成修正 指定每天的不同时间运行计划完整扫描以完成修正 为需要其他操作的检测配置超时 配置完全失败状态下检测操作的超时 配置非完全失败状态下检测操作的超时 配置处于最新更新状态下检测操作的超时 配置 Windows 软件跟踪预处理器组件 配置 WPP 跟踪级别 指定扫描存档文件的最大深度 定义要扫描的存档文件的最大大小 指定扫描期间 CPU 使用率的最大百分比 启用从扫描历史记录文件夹中删除项 指定每天运行快速扫描的时间间隔 指定用于计划扫描的扫描类型 指定每周的不同天运行计划扫描 指定每天运行快速扫描的时间 指定每天的不同时间运行计划扫描 定义间谍软件定义视为过期前的天数 定义病毒定义视为过期前的天数 定义用于下载定义更新的文件共享 定义下载定义更新的源的顺序 指定每周的不同天检查定义更新 指定检查定义更新的时间 定义在其后需要弥补定义更新的天数 指定检查定义更新的时间间隔 加入 Microsoft MAPS 指定检测到其后不应对其采取默认操作的威胁 指定检测到其后不应对其采取默认操作的威胁警报级别 当客户端需要执行操作时向其显示附加文本