Vyhodnocení antivirové ochrany v programu Microsoft Defender pomocí PowerShellu
Platí pro:
- Antivirová ochrana v Microsoft Defenderu
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
Ve Windows 10 nebo novějším a Windows Serveru 2016 nebo novějším můžete používat funkce ochrany nové generace, které nabízí Antivirová ochrana v programu Microsoft Defender (MDAV) a Ochrana Exploit Guard v programu Microsoft Defender (Microsoft Defender EG).
Toto téma vysvětluje, jak povolit a otestovat funkce ochrany klíčů ve službě Microsoft Defender AV a Microsoft Defender EG, a poskytuje pokyny a odkazy na další informace.
Ke konfiguraci těchto funkcí doporučujeme použít tento zkušební skript PowerShellu , ale jednotlivé funkce můžete povolit jednotlivě pomocí rutin popsaných ve zbývající části tohoto dokumentu.
Další informace o našich produktech ePP najdete v následujících knihovnách produktové dokumentace:
Tento článek popisuje možnosti konfigurace ve Windows 10 nebo novějším a Windows Serveru 2016 nebo novějším.
Pokud máte jakékoli dotazy týkající se detekce, kterou microsoft defender AV provádí, nebo zjistíte zmeškané zjištění, můžete nám odeslat soubor na našem webu nápovědy pro odeslání ukázky.
Povolení funkcí pomocí PowerShellu
Tato příručka obsahuje rutiny Antivirové ochrany v programu Microsoft Defender , které konfigurují funkce, které byste měli použít k vyhodnocení naší ochrany.
Použití těchto rutin:
1. Otevřete instanci PowerShellu se zvýšenými oprávněními (zvolte Spustit jako správce).
2. Zadejte příkaz uvedený v této příručce a stiskněte klávesu Enter.
Stav všech nastavení můžete zkontrolovat před zahájením nebo během vyhodnocení pomocí rutiny PowerShellu Get-MpPreference.
Microsoft Defender AV indikuje detekci prostřednictvím standardních oznámení Windows. Detekce můžete také zkontrolovat v av aplikaci Microsoft Defender.
Protokol událostí systému Windows také zaznamenává události detekce a modulu. Seznam ID událostí a odpovídajících akcí najdete v článku o událostech Antivirové ochrany v programu Microsoft Defender .
Funkce cloudové ochrany
Příprava a doručení aktualizací standardních definic může trvat hodiny. naše cloudová služba ochrany dokáže tuto ochranu zajistit během několika sekund.
Další podrobnosti najdete v tématu Použití technologií nové generace v Antivirové ochraně v programu Microsoft Defender prostřednictvím cloudové ochrany.
| Popis | Příkaz PowerShellu |
|---|---|
| Povolení služby Microsoft Defender Cloud pro téměř okamžitou ochranu a zvýšenou ochranu | Set-MpPreference –MAPSReporting Advanced |
| Automatické odesílání ukázek za účelem zvýšení ochrany skupiny | Set-MpPreference -SubmitSamplesConsent Always |
| Vždy používejte cloud k blokování nového malwaru během několika sekund. | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Kontrola všech stažených souborů a příloh | Set-MpPreference -DisableIOAVProtection 0 |
| Nastavte úroveň bloku cloudu na Vysokou. | Set-MpPreference –CloudBlockLevel High |
| Vysoké nastavení časového limitu cloudového bloku na 1 minutu | Set-MpPreference -CloudExtendedTimeout 50 |
Ochrana AlwaysOn (kontrola v reálném čase)
Av programu Microsoft Defender kontroluje soubory, jakmile je systém Windows uvidí, a bude monitorovat spuštěné procesy a sledovat známé nebo podezřelé škodlivé chování. Pokud antivirový modul zjistí škodlivé úpravy, okamžitě zablokuje spuštění procesu nebo souboru.
Další podrobnosti o těchto možnostech najdete v tématu Konfigurace behaviorální, heuristické ochrany a ochrany v reálném čase .
| Popis | Příkaz PowerShellu |
|---|---|
| Neustálé monitorování souborů a procesů kvůli známým úpravám malwaru | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Neustálé monitorování známého chování malwaru – i v "čistých" souborech a spuštěných programech | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Prohledávat skripty hned po jejich spuštění | Set-MpPreference -DisableScriptScanning 0 |
| Kontrola vyměnitelných jednotek hned po jejich vložení nebo připojení | Set-MpPreference -DisableRemovableDriveScanning 0 |
Ochrana potenciálně nežádoucích aplikací
Potenciálně nežádoucí aplikace jsou soubory a aplikace, které nejsou tradičně klasifikovány jako škodlivé. Patří mezi ně instalační programy jiných výrobců pro běžný software, injektáž reklamy a určité typy panelů nástrojů v prohlížeči.
| Popis | Příkaz PowerShellu |
|---|---|
| Zabránění instalaci graywaru, adwaru a dalších potenciálně nežádoucích aplikací | Set-MpPreference -PUAProtection Enabled |
Kontrola e-mailu a archivu
Antivirová ochrana v programu Microsoft Defender můžete nastavit tak, aby automaticky kontrolovali určité typy e-mailových souborů a archivních souborů (například soubory .zip), když je systém Windows uvidí. Další informace o této funkci najdete v článku Správa kontrol e-mailů v Microsoft Defenderu .
| Popis | Příkaz PowerShellu |
|---|---|
| Kontrola e-mailových souborů a archivů | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Správa aktualizací produktů a ochrany
Aktualizace AV programu Microsoft Defender obvykle dostáváte z windows update jednou denně. Frekvenci těchto aktualizací ale můžete zvýšit nastavením následujících možností a zajištěním, že se aktualizace spravují buď v Nástroji Configuration Manageru, pomocí zásad skupiny, nebo v Intune.
| Popis | Příkaz PowerShellu |
|---|---|
| Aktualizace podpisů každý den | Set-MpPreference -SignatureUpdateInterval |
| Před spuštěním naplánované kontroly zkontrolujte, jestli chcete aktualizovat podpisy. | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Pokročilé zmírnění hrozeb a zneužití a prevence Řízený přístup ke složkám
Ochrana Exploit Guard v programu Microsoft Defender poskytuje funkce, které pomáhají chránit zařízení před známým škodlivým chováním a útoky na zranitelné technologie.
| Popis | Příkaz PowerShellu |
|---|---|
| Zabránění škodlivým a podezřelým aplikacím (jako je ransomware) v provádění změn v chráněných složkách pomocí řízeného přístupu ke složkám | Set-MpPreference –EnableControlledFolderAccess povoleno |
| Blokování připojení ke známým špatným IP adresm a dalším síťovým připojením pomocí ochrany sítě | Set-MpPreference –EnableNetworkProtection Enabled |
| Použití standardní sady zmírnění rizik s ochranou exploit protection |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Blokování známých škodlivých vektorů útoku pomocí zmenšení potenciální oblasti útoku | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Povoleno add-mpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Povoleno Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Povoleno Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Povoleno add-mpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Povoleno Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Povoleno add-mpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Povoleno Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Enabled |
Některá pravidla můžou blokovat chování, které je ve vaší organizaci přijatelné. V těchto případech změňte pravidlo z Povoleno na Audit, aby se zabránilo nežádoucím blokům.
Offline kontrola v programu Microsoft Defender jedním kliknutím
Microsoft Defender Offline Scan je specializovaný nástroj, který se dodává s Windows 10 nebo novějším a umožňuje spustit počítač ve vyhrazeném prostředí mimo normální operační systém. Je zvlášť užitečný pro silný malware, jako jsou rootkity.
Další informace o tom, jak tato funkce funguje, najdete v tématu Microsoft Defender Offline .
| Popis | Příkaz PowerShellu |
|---|---|
| Ujistěte se, že oznámení umožňují spustit počítač ve specializovaném prostředí pro odstranění malwaru. | Set-MpPreference -UILockdown 0 |
Zdroje
Tato část obsahuje mnoho zdrojů informací, které vám můžou pomoct s vyhodnocením antivirové ochrany v programu Microsoft Defender.
- Microsoft Defender v knihovně Windows 10
- Knihovna Microsoft Defenderu pro Windows Server 2016
- Knihovna zabezpečení Windows 10
- Přehled zabezpečení Windows 10
- Web Microsoft Defender Security Intelligence (Microsoft Malware Protection Center (MMPC)) – výzkum hrozeb a reakce na ně
- Web Microsoft Security
- Blog o zabezpečení Microsoftu