Bu yazımda sizlere Microsoft Intune tarafından yönetilen mac cihazlarda Microsoft Defender taramasını nasıl yapılandırabileceğiniz hakkında bilgi vermeye çalışacağım. macOS cihazlarında Microsoft Defender aracılığıyla Hızlı Tarama, Tam Tarama ve Özel Tarama işlemlerini planlayabilirsiniz.
-Hızlı Tarama: Sistemin başlaması için kötü amaçlı yazılımların olabileceği tüm konumlara bakar. Cihazdaki işlemleri, hafızayı, profilleri ve belirli konumları kontrol eder ve bu işlem genellikle yalnızca birkaç saniye sürer.
-Tam Tarama: Hızlı taramanın çalıştırılması ile başlar ve ardından tüm takılı sabit disklerin ve çıkarılabilir disklerin sıralı dosya taraması ile devam eder. Tam taramanın tamamlanması birkaç dakikadan bir saate kadar veya daha uzun sürebilir.
-Özel Tarama: Kullanıcıların belirli konumları, klasörleri veya dosyaları seçmesine olanak tanır ve hızlı tarama gerçekleştirir.
Temel olarak macOS sistemdeki zamanlanmış tarama işlemleri /Library/LaunchDaemons/ dizini altındaki bir cihazda PLIST dosyaları oluşturularak eklenebilir veya kaldırılabilir.
Hızlı tarama dosyası:
com.microsoft.wdav.schedquickscan.plist
Tam tarama dosyası:
com.microsoft.wdav.schedfullscan.plist
Microsoft Intune bash komut dosyalarını kullanarak özel PLIST dosyalarını gerekli Launch Daemons dizinine yükleyebilir, değiştirebilir veya silebilir. Komut dosyasında iş gereksinimlerine bağlı olarak özelleştirilmesi gereken isteğe bağlı anahtarlar bulunur. Örneğin belirli bir saat ve tarihte bir taramanın çalıştırılması veya yeniden başlatmanın ardından ek taramaların çalıştırılması gibi.
StartCalendarInterval: İşin belirtilen şekilde her takvim aralığında başlatılmasına neden olan bir anahtardır.
-Dakika
-Saat
-Gün
-Hafta İçin (0 ve 7 Pazar günüdür.)
-Ay
RunAtLoad ve KeepAlive cihaz yeniden başlatıldıktan sonra antivirüs taramasını başlatmayı planlıyorsanız faydalı olabilecek diğer isteğe bağlı anahtarlardır. (Hızlı Taramalar)
Sabah 09:00’da ve mac cihazı yeniden başlatıldığında günlük hızlı taramayı çalıştırmasını sağlayan Quick Scan örneği:
<key>RunAtLoad</key>
<true/>
<key>KeepAlive</key>
<dict>
<key>SuccessfulExit</key>
<false/>
</dict>
<key>StartCalendarInterval</key>
<dict>
<key>Hour</key>
<integer>9</integer>
<key>Minute</key>
<integer>0</integer>
</dict>
Cihaz her yeniden başlatıldığında Quick Scan komut dosyasının çalışmasını istemiyorsanız RunAtLoad ve KeepAlive anahtarlarını ve bunların değerlerini kaldırmanız yeterlidir.
Resim-1
- Run script as signed-in user: No
- Hide script notifications on devices: Yes
- Script frequency: Not configured
- Max number of times to retry if script fails: 3 times
Script frequency değeri Intune tarafından başlatılan ve yapılandırılan zamanlamanın dışında ek taramaları önlemek için komut dosyası sıklığını kesinlikle yapılandırmayın.
Haftalık tam tarama perşembe günü 12:30’da çalıştırılmasına yönelik komut dosyası aşağıdaki gibidir. Tam tarama birkaç dakikadan birkaç saate kadar sürebilir.
<key>StartCalendarInterval</key>
<dict>
<key>Weekday</key>
<integer>4</integer>
<key>Hour</key>
<integer>12</integer>
<key>Minute</key>
<integer>30</integer>
</dict>
Hafta boyunca kullanıcının çalışmasını etkileyebilecek ek tam tarama yapılmaması önerilir. (Ek olarak cihaz yeniden başlatıldıktan sonra tam tarama yapılmamalıdır.)
Zamanlamayı özelleştirmek için StartCalenderInterval anahtarını değiştirmeniz yeterli olacaktır.
RunAtLoad ve KeepAlive anahtarlarını cihaz yeniden başlatıldıktan sonra başlatılabilecek ek taramaları önlemek için yapılandırmamanız önerilir.
Son olarak zamanlanan işi kaldırmak, Intune kullanılarak yükleme scripti tarafından oluşturulan PLIST dosyasını silmek kadar kolaydır.
Resim-2
Mac cihazlarındaki kullanıcı günlük dosyalarını /var/log dizini altında schedquickscan.log ve schedfullscan.log adı altında bulabilirsiniz.
Faydalı olması dileğiyle…
Referanslar
