Vyhodnocení Microsoft Defender antivirové ochrany pomocí správy nastavení zabezpečení koncového bodu Microsoft Defender (zásady zabezpečení koncových bodů)
V Windows 10 nebo novějších a v Windows Server 2016 nebo novějších můžete používat funkce ochrany nové generace, které nabízí Microsoft Defender Antivirus (MDAV) a Microsoft Defender Exploit Guard (Microsoft Defender EG).
Tento článek popisuje možnosti konfigurace v Windows 10 nebo novějších a v Windows Server 2016 nebo novějších, které vás povedou k aktivaci a otestování klíčových funkcí ochrany v protokolu MDAV a Microsoft Defender EG a poskytuje pokyny a odkazy na další informace.
Pokud máte jakékoli dotazy týkající se detekce, kterou MDAV provádí, nebo zjistíte, že došlo k zmeškané detekci, můžete nám odeslat soubor na našem webu nápovědy pro odeslání ukázky.
Pomocí Microsoft Defender Správy nastavení zabezpečení koncového bodu (zásady zabezpečení koncových bodů) povolte funkce.
Tato část popisuje Microsoft Defender for Endpoint správa nastavení zabezpečení (zásady zabezpečení koncového bodu), které konfigurují funkce, které byste měli použít k vyhodnocení naší ochrany.
MDAV označuje detekci prostřednictvím standardních oznámení Windows. Detekce můžete také zkontrolovat v aplikaci MDAV. Postup najdete v tématu Kontrola výsledků kontroly Microsoft Defender Antivirové ochrany.
Protokol událostí systému Windows také zaznamenává události detekce a modulu. Seznam ID událostí a odpovídajících akcí najdete v článku o událostech Microsoft Defender Antivirové ochrany. Informace o seznamu ID událostí a jejich odpovídajících akcích najdete v tématu Kontrola protokolů událostí a kódů chyb při řešení potíží s Microsoft Defender Antivirovou sadou.
Pokud chcete nakonfigurovat možnosti, které musíte použít k otestování funkcí ochrany, proveďte následující kroky:
- Přihlaste se k Microsoft Defender XDR.
- Přejděte na Správa > konfigurace koncových bodů > Zásady > zabezpečení koncových bodů Zásady > Windows Vytvořit nové zásady.
- V rozevíracím seznamu Vybrat platformu vyberte Windows 10, Windows 11 a Windows Server.
- V rozevíracím seznamu Vybrat šablonu vyberte Microsoft Defender Antivirus.
- Vyberte Vytvořit zásadu. Zobrazí se stránka Vytvořit novou zásadu .
- Na stránce Základy zadejte název a popis profilu do polí Název a Popis .
- Vyberte Další.
- Na stránce Nastavení konfigurace rozbalte skupiny nastavení.
- V těchto skupinách nastavení vyberte nastavení, která chcete spravovat pomocí tohoto profilu.
- Nastavte zásady pro zvolené skupiny nastavení konfigurací nastavení, jak je popsáno v následujících tabulkách:
Ochrana v reálném čase (ochrana AlwaysOn, kontrola v reálném čase):
| Popis | Možnosti |
|---|---|
| Povolit monitorování v reálném čase | Povolený |
| Směr kontroly v reálném čase | Monitorování všech souborů (obousměrné) |
| Povolit monitorování chování | Povolený |
| Povolit při ochraně přístupu | Povolený |
| Ochrana proti PUA | PuA Protection on |
Funkce cloudové ochrany:
| Popis | Nastavení |
|---|---|
| Povolit cloudovou ochranu | Povolený |
| Úroveň bloku cloudu | High (Vysoká) |
| Prodloužený časový limit cloudu | Nakonfigurováno, 50 |
| Odeslání souhlasu s ukázkami | Automatické odesílání všech ukázek |
Příprava a doručení standardních aktualizací bezpečnostních informací může trvat hodiny. naše cloudová služba ochrany dokáže tuto ochranu zajistit během několika sekund. Další informace najdete v tématu Použití technologií nové generace v Microsoft Defender Antivirové ochrany prostřednictvím cloudové ochrany.
Kontroly:
| Popis | Nastavení |
|---|---|
| Povolit kontrolu Email | Povolený |
| Povolit kontrolu všech stažených souborů a příloh | Povolený |
| Povolit kontrolu skriptů | Povolený |
| Povolit kontrolu Archive | Povolený |
| Povolit prohledávání síťových souborů | Povolený |
| Povolit úplnou kontrolu vyměnitelné jednotky | Povolený |
Ochrana sítě:
| Popis | Nastavení |
|---|---|
| Povolení ochrany sítě | Povoleno (režim blokování) |
| Povolit nižší úroveň ochrany sítě | Ochrana sítě bude povolena na nižší úrovni. |
| Povolit zpracování Datagramu na Win Serveru | Zpracování datagramů na Windows Server je povolené. |
| Zakázání analýzy DNS přes TCP | Analýza DNS přes TCP je povolená. |
| Zakázání analýzy HTTP | Analýza HTTP je povolená. |
| Zakázání analýzy SSH | Analýza SSH je povolená. |
| Zakázání analýzy PROTOKOLU TLS | Analýza TLS je povolená. |
| Povolení jímky DNS | Je povolená jímka DNS. |
Aktualizace bezpečnostních funkcí:
| Popis | Nastavení |
|---|---|
| Interval aktualizace podpisu | Nakonfigurováno, 4 |
Popis: Nastavení pořadí náhradních aktualizací podpisů: Zaškrtněte políčko Pro záložní aktualizaci podpisu
InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, kde InternalDefinitionUpdateServer je WSUS s povolenými aktualizacemi antivirové ochrany Microsoft Defender; 'MicrosoftUpdateServer' = Microsoft Update (dříve služba Windows Update); a MMPC = https://www.microsoft.com/en-us/wdsi/definitions.
Av místního správce:
Zakažte nastavení AV místního správce, jako jsou vyloučení, a nastavte zásady ze správy nastavení zabezpečení Microsoft Defender for Endpoint, jak je popsáno v následující tabulce:
| Popis | Nastavení |
|---|---|
| Zakázat místní sloučení Správa | Zakázat místní sloučení Správa |
Výchozí akce závažnosti hrozby:
| Popis | Nastavení |
|---|---|
| Nápravná akce pro vysoce závažné hrozby | Karanténa |
| Nápravná akce pro závažné hrozby | Karanténa |
| Nápravná akce pro hrozby s nízkou závažností | Karanténa |
| Nápravná akce pro středně závažné hrozby | Karanténa |
| Popis | Nastavení |
|---|---|
| Dny, které se mají zachovat vyčištěné | Nakonfigurováno, 60 |
| Povolit přístup k uživatelskému rozhraní | Povolený. Uvolněte uživatelům přístup k uživatelskému rozhraní. |
- Po dokončení konfigurace nastavení vyberte Další.
- Na kartě Přiřazení vyberte Skupina zařízení nebo Skupina uživatelů nebo Všechna zařízení nebo Všichni uživatelé.
- Vyberte Další.
- Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení zásad a pak vyberte Uložit.
Pravidla omezení potenciální oblasti útoku
Pokud chcete povolit pravidla omezení potenciální oblasti útoku (ASR) pomocí zásad zabezpečení koncového bodu, proveďte následující kroky:
Přihlaste se k Microsoft Defender XDR.
Přejděte na Správa > konfigurace koncových bodů > Zásady > zabezpečení koncových bodů Zásady > Windows Vytvořit nové zásady.
V rozevíracím seznamu Vybrat platformu vyberte Windows 10, Windows 11 a Windows Server.
V rozevíracím seznamu Vybrat šablonu vyberte Pravidla omezení potenciální oblasti útoku.
Vyberte Vytvořit zásadu.
Na stránce Základy zadejte název a popis profilu. pak zvolte Další.
Na stránce Nastavení konfigurace rozbalte skupiny nastavení a nakonfigurujte nastavení, která chcete spravovat pomocí tohoto profilu.
Nastavte zásady na základě následujících doporučených nastavení:
Popis Nastavení Blokování spustitelného obsahu z e-mailového klienta a webové pošty Blokování Blokovat Adobe Readeru vytváření podřízených procesů Blokování Blokování spouštění potenciálně obfuskovaných skriptů Blokování Blokování zneužití zneužít ohrožených podepsaných ovladačů (zařízení) Blokování Blokování volání rozhraní API Win32 z maker Office Blokování Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu Blokování Blokovat komunikační aplikaci Office ve vytváření podřízených procesů Blokování Blokovat vytváření podřízených procesů všem aplikacím Office Blokování [PREVIEW] Blokování použití zkopírovaných nebo zosobněných systémových nástrojů Blokování Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu Blokování Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows Blokování Blokování vytváření webového prostředí pro servery Blokování Blokování aplikací Office ve vytváření spustitelného obsahu Blokování Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Blokování Blokování vkládání kódu do jiných procesů aplikací Office Blokování Blokování trvalosti prostřednictvím odběru událostí WMI Blokování Použití pokročilé ochrany proti ransomwaru Blokování Blokování vytváření procesů pocházejících z příkazů PSExec a WMI Blokování
POZNÁMKA: Pokud máte Configuration Manager (dříve SCCM) nebo jiné nástroje pro správu, které používají rozhraní WMI, možná budete muset místo Blokovat nastavit audit.[PREVIEW] Blokovat restartování počítače v nouzovém režimu Blokování Povolení řízeného přístupu ke složkách Zpřístupněný
Tip
Jakékoli z těchto pravidel může blokovat chování, které je pro vás ve vaší organizaci přijatelné. V těchto případech přidejte vyloučení pro jednotlivá pravidla s názvem "Pouze vyloučení omezení oblasti útoku". A změňte pravidlo z Povoleno na Audit, abyste zabránili nežádoucím blokům.
- Vyberte Další.
- Na kartě Přiřazení vyberte Skupina zařízení nebo Skupina uživatelů nebo Všechna zařízení nebo Všichni uživatelé.
- Vyberte Další.
- Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení zásad a pak vyberte Uložit.
Kontrola verze aktualizace platformy
Nejnovější verze "Aktualizace platformy" Produkční kanál (GA) je k dispozici v Katalogu služby Microsoft Update.
Pokud chcete zkontrolovat, jakou verzi aktualizace platformy máte nainstalovanou, spusťte v PowerShellu následující příkaz s oprávněními správce:
Get-MPComputerStatus | Format-Table AMProductVersion
Kontrola verze aktualizace analýzy zabezpečení
Nejnovější verze "Aktualizace bezpečnostních informací" je k dispozici v tématu Nejnovější aktualizace bezpečnostních funkcí pro antivirovou ochranu Microsoft Defender a další antimalwarové programy společnosti Microsoft – Microsoft Bezpečnostní analýza.
Pokud chcete zkontrolovat, jakou verzi aktualizace bezpečnostních informací máte nainstalovanou, spusťte v PowerShellu následující příkaz s oprávněními správce:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
Kontrola verze aktualizace modulu
Nejnovější verze aktualizace modulu kontroly je k dispozici v části Nejnovější aktualizace bezpečnostních funkcí pro antivirovou ochranu Microsoft Defender a další antimalwarové aplikace microsoftu – Microsoft Bezpečnostní analýza.
Pokud chcete zkontrolovat, jakou verzi aktualizace modulu máte nainstalovanou, spusťte v PowerShellu následující příkaz s oprávněními správce:
Get-MPComputerStatus | Format-Table AMEngineVersion
Pokud zjistíte, že se vaše nastavení neprojevuje, můžete mít konflikt. Informace o řešení konfliktů najdete v tématu Řešení potíží s nastavením Microsoft Defender antivirové ochrany.
Pro odesílání falešně negativních výsledků (FN)
Informace o tom, jak odeslat falešně negativní hodnoty (FN), najdete tady:
- Pokud máte Microsoft XDR, Microsoft Defender for Endpoint P2/P1 nebo Microsoft Defender pro firmy, odešlete soubory v Microsoft Defender for Endpoint.
- Pokud máte Microsoft Defender Antivirovou ochranu, odešlete soubory k analýze.