Vyhodnocení Microsoft Defender Antivirové ochrany pomocí PowerShellu
Platí pro:
- Antivirová ochrana v Microsoft Defenderu
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
V Windows 10 nebo novějších a Windows Server 2016 nebo novějších můžete používat funkce ochrany nové generace, které nabízí Microsoft Defender Antivirus (MDAV) a Microsoft Defender Exploit Guard (Microsoft Defender EG).
Tento článek vysvětluje, jak povolit a otestovat funkce ochrany klíčů v Microsoft Defender AV a Microsoft Defender EG, a poskytuje pokyny a odkazy na další informace.
Ke konfiguraci těchto funkcí doporučujeme použít tento zkušební skript PowerShellu , ale jednotlivé funkce můžete povolit jednotlivě pomocí rutin popsaných ve zbývající části tohoto dokumentu.
Další informace o našich produktech EPP najdete v následujících knihovnách dokumentace k produktům:
Tento článek popisuje možnosti konfigurace v Windows 10 nebo novějších a Windows Server 2016 nebo novějších.
Pokud máte jakékoli dotazy týkající se detekce, kterou Microsoft Defender AV provádí, nebo zjistíte zmeškanou detekci, můžete nám odeslat soubor na našem webu nápovědy pro odeslání ukázky.
Povolení funkcí pomocí PowerShellu
Tato příručka obsahuje rutiny Microsoft Defender Antivirové ochrany, které konfigurují funkce, které byste měli použít k vyhodnocení naší ochrany.
Použití těchto rutin:
- Otevřete instanci PowerShellu se zvýšenými oprávněními (zvolte Spustit jako správce).
- Zadejte příkaz uvedený v této příručce a stiskněte Enter.
Stav všech nastavení můžete zkontrolovat před zahájením nebo během vyhodnocení pomocí rutiny PowerShellu Get-MpPreference.
Microsoft Defender AV indikuje detekci prostřednictvím standardních oznámení Systému Windows. Detekce můžete také zkontrolovat v Microsoft Defender AV aplikaci.
Protokol událostí systému Windows také zaznamenává události detekce a modulu. Seznam ID událostí a odpovídajících akcí najdete v článku o událostech Microsoft Defender Antivirus.
Funkce cloudové ochrany
Příprava a doručení aktualizací standardních definic může trvat hodiny. naše cloudová služba ochrany dokáže tuto ochranu zajistit během několika sekund.
Další podrobnosti najdete v tématu Použití technologií nové generace v Microsoft Defender Antivirové ochrany prostřednictvím cloudové ochrany.
| Popis | Příkaz PowerShellu |
|---|---|
| Povolení Microsoft Defender Cloudu pro téměř okamžitou ochranu a zvýšenou ochranu | Set-MpPreference –MAPSReporting Advanced |
| Automatické odesílání ukázek za účelem zvýšení ochrany skupiny | Set-MpPreference -SubmitSamplesConsent Always |
| Vždy používejte cloud k blokování nového malwaru během několika sekund. | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Kontrola všech stažených souborů a příloh | Set-MpPreference -DisableIOAVProtection 0 |
| Nastavte úroveň bloku cloudu na Vysokou. | Set-MpPreference –CloudBlockLevel High |
| Vysoké nastavení časového limitu cloudového bloku na 1 minutu | Set-MpPreference -CloudExtendedTimeout 50 |
Ochrana AlwaysOn (kontrola v reálném čase)
Microsoft Defender AV kontroluje soubory, jakmile je systém Windows uvidí, a monitoruje spuštěné procesy, jestli nejdou známé nebo podezřelé škodlivé chování. Pokud antivirový modul zjistí škodlivé úpravy, okamžitě zablokuje spuštění procesu nebo souboru.
Další podrobnosti o těchto možnostech najdete v tématu Konfigurace behaviorální, heuristické ochrany a ochrany v reálném čase.
| Popis | Příkaz PowerShellu |
|---|---|
| Neustálé monitorování souborů a procesů kvůli známým úpravám malwaru | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Neustálé monitorování známého chování malwaru – i v "čistých" souborech a spuštěných programech | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Prohledávat skripty, jakmile je uvidíte nebo spustíte. | Set-MpPreference -DisableScriptScanning 0 |
| Kontrola vyměnitelných jednotek hned po jejich vložení nebo připojení | Set-MpPreference -DisableRemovableDriveScanning 0 |
Ochrana potenciálně nežádoucích aplikací
Potenciálně nežádoucí aplikace jsou soubory a aplikace, které nejsou tradičně klasifikovány jako škodlivé. Patří mezi ně instalační programy pro běžný software, injektáž reklam a určité typy panelů nástrojů v prohlížeči, které nejsou od microsoftu.
| Popis | Příkaz PowerShellu |
|---|---|
| Zabránění instalaci graywaru, adwaru a dalších potenciálně nežádoucích aplikací | Set-MpPreference -PUAProtection Enabled |
skenování Email a archivu
Můžete nastavit Microsoft Defender Antivirus tak, aby automaticky kontrolovali určité typy e-mailových souborů a archivních souborů (například soubory .zip), když je systém Windows uvidí. Další informace o této funkci najdete v článku o spravovaných kontrolách e-mailů v Microsoft Defender článku.
| Popis | Příkaz PowerShellu |
|---|---|
| Kontrola e-mailových souborů a archivů | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Správa aktualizací produktů a ochrany
Aktualizace Microsoft Defender AV ze služby Windows Update obvykle dostáváte jednou denně. Četnost těchto aktualizací ale můžete zvýšit nastavením následujících možností a zajištěním správy aktualizací v nástroji System Center Configuration Manager, s Zásady skupiny nebo v Intune.
| Popis | Příkaz PowerShellu |
|---|---|
| Aktualizace podpisů každý den | Set-MpPreference -SignatureUpdateInterval |
| Před spuštěním naplánované kontroly zkontrolujte, jestli chcete aktualizovat podpisy. | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Pokročilé zmírnění hrozeb a zneužití a prevence Řízený přístup ke složkám
Microsoft Defender Exploit Guard poskytuje funkce, které pomáhají chránit zařízení před známým škodlivým chováním a útoky na zranitelné technologie.
| Popis | Příkaz PowerShellu |
|---|---|
| Zabránění škodlivým a podezřelým aplikacím (jako je ransomware) v provádění změn v chráněných složkách pomocí řízeného přístupu ke složkám | Set-MpPreference –EnableControlledFolderAccess povoleno |
| Blokování připojení ke známým špatným IP adresm a dalším síťovým připojením pomocí ochrany sítě | Set-MpPreference –EnableNetworkProtection Enabled |
| Použití standardní sady zmírnění rizik s ochranou exploit protection |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Blokování známých škodlivých vektorů útoku pomocí zmenšení potenciální oblasti útoku | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Povoleno add-mpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Povoleno Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Povoleno Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Povoleno add-mpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Povoleno Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Povoleno add-mpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Povoleno Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Enabled |
Některá pravidla můžou blokovat chování, které je ve vaší organizaci přijatelné. V těchto případech změňte pravidlo z Povoleno na Audit, aby se zabránilo nežádoucím blokům.
Povolení ochrany před falšováním
Na portálu Microsoft XDR (security.microsoft.com) přejděte na Nastavení>Koncové body>Pokročilé funkce>Ochrany před falšováním>.
Další informace najdete v tématu Návody konfiguraci nebo správě ochrany před neoprávněnou manipulací.
Kontrola síťového připojení služby Cloud Protection
Během testování pera je důležité zkontrolovat, jestli funguje síťové připojení služby Cloud Protection.
CMD (Spustit jako správce)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Další informace najdete v tématu Ověření cloudové ochrany pomocí nástroje cmdline.
Jeden výběr Microsoft Defender Offline kontrola
Microsoft Defender Offline Scan je specializovaný nástroj, který se dodává s Windows 10 nebo novějšími a umožňuje spustit počítač ve vyhrazeném prostředí mimo normální operační systém. Je zvlášť užitečný pro silný malware, jako jsou rootkity.
Další informace o tom, jak tato funkce funguje, najdete v Microsoft Defender Offline.
| Popis | Příkaz PowerShellu |
|---|---|
| Ujistěte se, že oznámení umožňují spustit počítač ve specializovaném prostředí pro odstranění malwaru. | Set-MpPreference -UILockdown 0 |
Zdroje
Tato část obsahuje mnoho zdrojů informací, které vám můžou pomoct s vyhodnocením Microsoft Defender Antivirové ochrany.
- Microsoft Defender v knihovně Windows 10
- Microsoft Defender pro knihovnu Windows Server 2016
- knihovna zabezpečení Windows 10
- přehled zabezpečení Windows 10
- Web Microsoft Defender Security Intelligence (Centrum společnosti Microsoft pro ochranu před škodlivým softwarem (MMPC)) – výzkum hrozeb a reakce na ně
- Web Microsoft Security
- Blog o zabezpečení Microsoftu