Vyhodnocení Microsoft Defender Antivirové ochrany pomocí Zásady skupiny
Platí pro:
- Antivirová ochrana v Microsoft Defenderu
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
Platformy:
- Windows
V Windows 10 nebo novějších a Windows Server 2016 nebo novějších můžete používat funkce ochrany nové generace, které nabízí Microsoft Defender Antivirus (MDAV) a Microsoft Defender Exploit Guard (Microsoft Defender EG).
Toto téma vysvětluje, jak povolit a otestovat funkce ochrany klíčů v Microsoft Defender AV a Microsoft Defender EG, a poskytuje pokyny a odkazy na další informace.
Tento článek popisuje možnosti konfigurace v Windows 10 nebo novějších a Windows Server 2016 nebo novějších.
Povolte funkce pomocí Microsoft Defender Antivirové ochrany pomocí Zásady skupiny.
Tato příručka obsahuje Zásady skupiny Microsoft Defender Antivirus, který konfiguruje funkce, které byste měli použít k vyhodnocení naší ochrany.
Získejte nejnovější "Šablony pro správu Windows Zásady skupiny".
Další informace najdete v tématu Vytvoření a správa Centrálního úložiště – klient Windows.
Tip
Windows one funguje s Windows Servery.
I když používáte Windows 10 nebo Windows Server 2016, získejte nejnovější šablony pro správu pro Windows 11 nebo novější.
Vytvořte centrální úložiště pro hostování nejnovějších šablon .admx a .adml.
Další informace najdete v tématu Vytvoření a správa Centrálního úložiště – klient Windows.
Pokud je připojeno k doméně:
Vytvořte novou dědičnost zásad blokování organizačních jednotky.
Otevřete Konzolu pro správu zásad skupiny (GPMC.msc).
Přejděte na Zásady skupiny Objekty a vytvořte nový Zásady skupiny.
Klikněte pravým tlačítkem na nově vytvořenou zásadu a vyberte Upravit.
Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti>systému Windows Microsoft Defender Antivirová ochrana.
nebo
Pokud je připojen k pracovní skupině
Otevřete Zásady skupiny Editor MMC (GPEdit.msc).
Přejděte na Konfigurace> počítačeŠablony pro správu>Součásti systému> Windows Microsoft Defender Antivirus.
MDAV a potenciálně nežádoucí aplikace (PUA)
Kořen:
| Popis | Nastavení |
|---|---|
| Vypnutí Microsoft Defender Antivirové ochrany | Zakázáno |
| Konfigurace detekce pro potenciálně nežádoucí aplikace | Povoleno – blokovat |
Ochrana v reálném čase (ochrana always-on, kontrola v reálném čase)
\ Ochrana v reálném čase:
| Popis | Nastavení |
|---|---|
| Vypnutí ochrany v reálném čase | Zakázáno |
| Konfigurace monitorování pro aktivitu příchozích a odchozích souborů a programů | Povoleno, obousměrné (úplné při přístupu) |
| Zapnutí monitorování chování | Zpřístupněný |
| Monitorování aktivity souborů a programů na počítači | Zpřístupněný |
Funkce cloudové ochrany
Příprava a doručení standardních aktualizací bezpečnostních informací může trvat hodiny. naše cloudová služba ochrany dokáže tuto ochranu zajistit během několika sekund.
Další informace najdete v tématu Použití technologií nové generace v Microsoft Defender Antivirové ochrany prostřednictvím cloudové ochrany.
\ MAPY:
| Popis | Nastavení |
|---|---|
| Připojte se k Microsoft MAPS | Povoleno, Pokročilé mapy |
| Konfigurace funkce Blokovat na první pohled | Zpřístupněný |
| Odeslání ukázek souborů v případě potřeby další analýzy | Povoleno, odesílání všech ukázek |
\ MpEngine:
| Popis | Nastavení |
|---|---|
| Výběr úrovně cloudové ochrany | Povoleno, vysoká úroveň blokování |
| Konfigurace rozšířené kontroly cloudu | Povoleno, 50 |
Skenuje
| Popis | Nastavení |
|---|---|
| Zapnutí heuristiky | Zpřístupněný |
| Zapnutí kontroly e-mailů | Zpřístupněný |
| Kontrola všech stažených souborů a příloh | Zpřístupněný |
| Zapnutí kontroly skriptů | Zpřístupněný |
| Prohledat archivní soubory | Zpřístupněný |
| Kontrola sbalených spustitelných souborů | Zpřístupněný |
| Konfigurace kontroly síťových souborů (kontrola síťových souborů) | Zpřístupněný |
| Kontrola vyměnitelných jednotek | Zpřístupněný |
| Zapnutí prohledávání spojovacího bodu | Zpřístupněný |
Aktualizace bezpečnostních informací
| Popis | Nastavení |
|---|---|
| Zadejte interval pro kontrolu aktualizací bezpečnostních funkcí. | Povoleno, 4 |
| Definování pořadí zdrojů pro stahování aktualizací inteligentních informací zabezpečení | Povoleno v části Definovat pořadí zdrojů pro stahování aktualizací bezpečnostních informací InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC Poznámka: Kde InternalDefinitionUpdateServer je WSUS s povolenými aktualizacemi antivirové ochrany Microsoft Defender. MicrosoftUpdateServer == Microsoft Update (dříve služba Windows Update). MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
Zakázat nastavení AV místního správce
Zakažte nastavení AV místního správce, jako jsou vyloučení, a vynucujte zásady ze správy nastavení zabezpečení Microsoft Defender for Endpoint.
Kořen:
| Popis | Nastavení |
|---|---|
| Konfigurace chování při slučování místních správců pro seznamy | Zakázáno |
| Určení, jestli se mají vyloučení zobrazovat místním správcům | Zpřístupněný |
Výchozí akce závažnosti hrozby
\ Hrozby
| Popis | Nastavení | Úroveň upozornění | Akce |
|---|---|---|---|
| Zadejte úrovně upozornění na hrozby, při kterých by se při zjištění neměla provést výchozí akce. | Zpřístupněný | ||
| 5 (závažná) | 2 (karanténa) | ||
| 4 (vysoká) | 2 (karanténa) | ||
| 2 (střední) | 2 (karanténa) | ||
| 1 (nízká) | 2 (karanténa) |
\ Karanténa
| Popis | Nastavení |
|---|---|
| Konfigurace odebrání položek ze složky Karanténa | Povoleno, 60 |
\ Klientské rozhraní
| Popis | Nastavení |
|---|---|
| Povolení režimu bezhlavé uživatelské rozhraní | Zakázáno |
Ochrana sítě
\ Microsoft Defender Exploit Guard\Network Protection:
| Popis | Nastavení |
|---|---|
| Zabránění uživatelům a aplikacím v přístupu k nebezpečným webům | Povoleno, blokovat |
| Toto nastavení určuje, jestli je možné službu Network Protection nakonfigurovat do režimu blokování nebo auditování na Windows Server | Zpřístupněný |
Pokud chcete povolit ochranu sítě pro windows servery, použijte prozatím PowerShell:
| Operační systém | Rutina PowerShellu |
|---|---|
| Windows Server 2012 R2Windows Server 2022 a novější | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Klient MDE Windows Server 2016 a Windows Server 2012 R2 | set-MpPreference -AllowNetworkProtectionOnWinServer $true a set-MpPreference -AllowNetworkProtectionDownLevel $true |
Pravidla pro omezení potenciální oblasti útoku
Přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti> systému Windows Microsoft Defender Antivirová ochrana> Microsoft DefenderZmenšení prostoru útokuexploit guard>.
Vyberte Další.
| Popis | Nastavení |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 Poznámka: (Blokovat spustitelný obsah z e-mailového klienta a webové pošty) |
1 (blok) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Poznámka: (Blokovat aplikaci Adobe Reader vytváření podřízených procesů) |
1 (blok) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc Poznámka: (Blokovat spouštění potenciálně obfuskovaných skriptů) |
1 (blok) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 Poznámka: (Blokovat zneužití zneužívaného ohroženého podepsaného ovladače) |
1 (blok) |
| 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b Poznámka: (Blokování volání rozhraní API Win32 z maker Office) |
1 (blok) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 Poznámka: (Blokovat spuštění spustitelných souborů, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu) |
1 (blok) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 Poznámka: (Blokovat komunikační aplikaci Office ve vytváření podřízených procesů) |
1 (blok) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a Poznámka: (Blokovat vytváření podřízených procesů všem aplikacím Office) |
1 (blok) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Poznámka: ( [PREVIEW] Blokování použití zkopírovaných nebo zosobněných systémových nástrojů) |
1 (blok) |
| d3e037e1-3eb8-44c8-a917-57927947596d Poznámka: (Blokovat spuštění staženého spustitelného obsahu javascriptu nebo jazyka VBScript) |
1 (blok) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Poznámka: (Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows) |
1 (blok) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 Poznámka: (Blokovat vytvoření webového prostředí pro servery) |
1 (blok) |
| 3b576869-a4ec-4529-8536-b80a7769e899 Poznámka: (Blokovat aplikacím Office vytváření spustitelného obsahu) |
1 (blok) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Poznámka: (Blokovat nedůvěryhodné a nepodepsané procesy spouštěné z USB) |
1 (blok) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Poznámka: (Blokovat aplikacím Office vkládání kódu do jiných procesů) |
1 (blok) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b Poznámka: (Blokování trvalosti prostřednictvím odběru událostí WMI) |
1 (blok) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 Poznámka: (Použijte pokročilou ochranu proti ransomwaru) |
1 (blok) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c Poznámka: (Blokování vytváření procesů pocházejících z příkazů PSExec a WMI) |
1 (blok) Poznámka: Pokud máte Configuration Manager (dříve SCCM) nebo jiné nástroje pro správu, které používají rozhraní WMI, možná budete muset nastavit hodnotu 2 (audit) místo 1 ("block"). |
| 33ddedf1-c6e0-47cb-833e-de6133960387 Poznámka: ( [PREVIEW] Blokovat restartování počítače v nouzovém režimu) |
1 (blok) |
Tip
Některá pravidla můžou blokovat chování, které je ve vaší organizaci přijatelné. V těchto případech změňte pravidlo z Povoleno na Audit, aby se zabránilo nežádoucím blokům.
Řízený přístup ke složkě
Přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti> systému Windows Microsoft Defender Antivirová ochrana> Microsoft DefenderZmenšení prostoru útokuexploit guard>.
| Popis | Nastavení |
|---|---|
| Konfigurace řízeného přístupu ke složkách | Povoleno, blokovat |
Přiřaďte zásady organizační jednotky, ve které se nacházejí testovací počítače.
Kontrola verze aktualizace platformy
Nejnovější verze Aktualizace platformy – Produkční kanál (GA) je k dispozici tady:
Katalog služby Microsoft Update
Pokud chcete zkontrolovat, jakou verzi platformy Update máte nainstalovanou, použijte následující příkaz PowerShellu (Spustit jako správce):
get-mpComputerStatus | ft AMProductVersion
Kontrola verze aktualizace analýzy zabezpečení
Nejnovější verze aktualizace security intelligence je k dispozici tady:
Pokud chcete zkontrolovat, jakou verzi aktualizace bezpečnostních informací máte nainstalovanou, použijte následující příkaz PowerShellu (Spustit jako správce):
get-mpComputerStatus | ft AntivirusSignatureVersion
Kontrola verze aktualizace modulu
Nejnovější verze aktualizace modulu je k dispozici tady:
Pokud chcete zkontrolovat, jakou verzi aktualizace modulu máte nainstalovanou, použijte následující příkaz PowerShellu (Spustit jako správce):
get-mpComputerStatus | ft AMEngineVersion
Pokud zjistíte, že se vaše nastavení neprojevuje, může dojít ke konfliktu. Informace o řešení konfliktů najdete v tématu Řešení potíží s nastavením Microsoft Defender Antivirové ochrany.
Pro odesílání falešně negativních výsledků (FN)
Pokud máte jakékoli dotazy týkající se detekce, kterou provádí Microsoft Defender AV, nebo zjistíte, že je detekce zmeškaná, můžete nám odeslat soubor.
Pokud máte Microsoft XDR, Microsoft Defender for Endpoint P2/P1 nebo Microsoft Defender pro firmy: přečtěte si téma Odeslání souborů v Microsoft Defender for Endpoint.
Pokud máte Microsoft Defender Antivirus, přečtěte si následující informace:https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
Microsoft Defender AV indikuje detekci prostřednictvím standardních oznámení Systému Windows. Detekce můžete také zkontrolovat v Microsoft Defender AV aplikaci.
Protokol událostí systému Windows také zaznamenává události detekce a modulu. Seznam ID událostí a odpovídajících akcí najdete v článku o událostech Microsoft Defender Antivirus.
Pokud se vaše nastavení nepoužijí správně, zjistěte, jestli ve vašem prostředí nejsou povolené konfliktní zásady. Další informace najdete v tématu Řešení potíží s nastavením Microsoft Defender antivirové ochrany.
Pokud potřebujete otevřít případ podpory Microsoftu: Kontaktujte podporu Microsoft Defender for Endpoint.