Evaluer Microsoft Defender Antivirus ved hjælp af Microsoft Defender Endpoint Security Settings Management (Endpoint Security Policies)
I Windows 10 eller nyere og i Windows Server 2016 eller nyere kan du bruge næste generations beskyttelsesfunktioner, der tilbydes af Microsoft Defender Antivirus (MDAV) og Microsoft Defender Exploit Guard (Microsoft Defender EG).
I denne artikel beskrives de konfigurationsindstillinger, der er tilgængelige i Windows 10 og nyere versioner samt i Windows Server 2016 og nyere versioner. Den indeholder en trinvis vejledning i, hvordan du aktiverer og tester de vigtigste beskyttelsesfunktioner i Microsoft Defender Antivirus (MDAV) og Microsoft Defender for Endpoint (EG).
Hvis du har spørgsmål om en registrering, som MDAV foretager, eller hvis du opdager en mistet registrering, kan du sende en fil til os på vores websted med hjælp til eksempelindsendelse.
Brug Microsoft Defender Endpoint Security Settings Management (Endpoint Security Policies) til at aktivere funktionerne
I dette afsnit beskrives Microsoft Defender for Endpoint Administration af sikkerhedsindstillinger (sikkerhedspolitikker for slutpunkter), der konfigurerer de funktioner, du skal bruge til at evaluere vores beskyttelse.
MDAV angiver en registrering via windows-standardmeddelelser. Du kan også gennemse registreringer i MDAV-appen. Det kan du gøre ved at se Gennemse resultater Microsoft Defender Antivirus-scanning.
Windows-hændelsesloggen registrerer også registrering og programhændelser. Se artiklen Microsoft Defender Antivirus-hændelser for at få en liste over hændelses-id'er og deres tilsvarende handlinger. Du kan finde oplysninger om listen over hændelses-id'er og deres tilsvarende handlinger under Gennemse hændelseslogge og fejlkoder for at foretage fejlfinding af problemer med Microsoft Defender Antivirus.
Udfør følgende trin for at konfigurere de indstillinger, du skal bruge til at teste beskyttelsesfunktionerne:
Log på Microsoft Defender XDR.
Gå til Slutpunkter > Konfigurationsstyring > Sikkerhedspolitikker > for slutpunkt Windows-politikker > Opret ny politik.
Vælg Windows 10, Windows 11 og Windows Server på rullelisten Vælg platform.
Vælg Microsoft Defender Antivirus på rullelisten Vælg skabelon.
Vælg Opret politik. Siden Opret en ny politik vises.
På siden Grundlæggende skal du angive et navn og en beskrivelse af profilen i felterne Navn og Beskrivelse .
Vælg Næste.
Udvid grupperne af indstillinger på siden Konfigurationsindstillinger .
Fra disse grupper af indstillinger skal du vælge de indstillinger, du vil administrere med denne profil.
Angiv politikkerne for de valgte grupper af indstillinger ved at konfigurere indstillingerne som beskrevet i følgende tabeller:
Beskyttelse i realtid (altid aktiveret, scanning i realtid):
Beskrivelse Indstillinger Tillad overvågning i realtid Tilladt Scanningsretning i realtid Overvåg alle filer (tovejs) Tillad overvågning af funktionsmåde Tilladt Tillad ved Adgangsbeskyttelse Tilladt PUA-beskyttelse PUA-beskyttelse på Funktioner til cloudbeskyttelse:
Beskrivelse Indstilling Tillad cloudbeskyttelse Tilladt Niveau for skyblokering Høj Forlænget cloud-timeout Konfigureret, 50 Indsend eksempelsamtykke Send alle eksempler automatisk
Standard sikkerhedsintelligensopdateringer kan tage timer at forberede og levere. Vores skybaserede beskyttelsestjeneste kan levere denne beskyttelse på få sekunder. Du kan finde flere oplysninger under Brug næste generations teknologier i Microsoft Defender Antivirus via skybaseret beskyttelse.
Scanninger:
| Beskrivelse | Indstilling |
|---|---|
| Tillad mailscanning | Tilladt |
| Tillad scanning af alle downloadede filer og vedhæftede filer | Tilladt |
| Tillad scriptscanning | Tilladt |
| Tillad scanning af Arkiv | Tilladt |
| Tillad scanning af netværksfiler | Tilladt |
| Tillad scanning af flytbart drev med fuld scanning | Tilladt |
Netværksbeskyttelse:
| Beskrivelse | Indstilling |
|---|---|
| Aktivér netværksbeskyttelse | Aktiveret (bloktilstand) |
| Tillad nedeniveau for netværksbeskyttelse | Netværksbeskyttelse er aktiveret på et lavere niveau. |
| Tillad behandling af datagram på Win-server | Behandling af datagram på Windows Server er aktiveret. |
| Deaktiver DNS via TCP-parsing | DNS via TCP-fortolkning er aktiveret. |
| Deaktiver HTTP-parsing | HTTP-fortolkning er aktiveret. |
| Deaktiver SSH-fortolkning | SSH-fortolkning er aktiveret. |
| Deaktiver TLS-fortolkning | TLS-fortolkning er aktiveret. |
| Aktivér DNS-hul | DNS Sinkhole er aktiveret. |
Sikkerhedsintelligensopdateringer:
| Beskrivelse | Indstilling |
|---|---|
| Interval for signaturopdatering | Konfigureret, 4 |
Beskrivelse: Indstilling for fallbackrækkefølge for signaturopdatering: Markér afkrydsningsfeltet for Fallback for signaturopdatering
InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, hvor 'InternalDefinitionUpdateServer' er WSUS med Microsoft Defender Tilladte Antivirus-opdateringer. 'MicrosoftUpdateServer' = Microsoft Update (tidligere Windows Update); og MMPC = https://www.microsoft.com/en-us/wdsi/definitions.
Lokal administrator-AV:
Deaktiver av-indstillinger for lokale administratorer, f.eks. udeladelser, og angiv politikkerne fra Microsoft Defender for Endpoint Administration af sikkerhedsindstillinger som beskrevet i følgende tabel:
| Beskrivelse | Indstilling |
|---|---|
| Deaktiver lokal Administration fletning | Deaktiver lokal Administration fletning |
Standardhandling for trussels alvorsgrad:
| Beskrivelse | Indstilling |
|---|---|
| Afhjælpningshandling for trusler med høj alvorsgrad | Karantæne |
| Afhjælpningshandling for alvorlige trusler | Karantæne |
| Afhjælpningshandling for trusler med lav alvorsgrad | Karantæne |
| Afhjælpningshandling for moderate alvorstrusler | Karantæne |
| Beskrivelse | Indstilling |
|---|---|
| Dage, der skal bevares renset | Konfigureret, 60 |
| Tillad brugeradgang til brugergrænsefladen | Tilladt. Giv brugerne adgang til brugergrænsefladen. |
- Når du er færdig med at konfigurere indstillinger, skal du vælge Næste.
- Under fanen Tildelinger skal du vælge Enhedsgruppe eller Brugergruppe eller Alle enheder eller Alle brugere.
- Vælg Næste.
- Gennemse dine politikindstillinger under fanen Gennemse + opret , og vælg derefter Gem.
Regler for reduktion af angrebsoverflade
Hvis du vil aktivere ASR-regler (Attack Surface Reduction) ved hjælp af sikkerhedspolitikker for slutpunkter, skal du udføre følgende trin:
Log på Microsoft Defender XDR.
Gå til Slutpunkter > Konfigurationsstyring > Sikkerhedspolitikker > for slutpunkt Windows-politikker > Opret ny politik.
Vælg Windows 10, Windows 11 og Windows Server på rullelisten Vælg platform.
Vælg Regler for reduktion af angrebsoverflade på rullelisten Vælg skabelon .
Vælg Opret politik.
Angiv et navn og en beskrivelse til profilen på siden Grundlæggende . vælg derefter Næste.
Udvid grupperne af indstillinger på siden Konfigurationsindstillinger , og konfigurer de indstillinger, du vil administrere med denne profil.
Angiv politikkerne på baggrund af følgende anbefalede indstillinger:
Beskrivelse Indstilling Bloker eksekverbart indhold fra mailklient og webmail Bloker Bloker Adobe Reader fra at oprette underordnede processer Bloker Bloker udførelse af potentielt slørede scripts Bloker Bloker misbrug af udnyttede sårbare signerede drivere (enhed) Bloker Bloker Win32 API-kald fra Office-makroer Bloker Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til Bloker Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer Bloker Bloker alle Office-programmer, så de ikke kan oprette underordnede processer Bloker [EKSEMPELVISNING] Bloker brugen af kopierede eller repræsenterede systemværktøjer Bloker Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold Bloker Bloker tyveri af legitimationsoplysninger fra det lokale Windows-undersystem til sikkerhedsmyndighed Bloker Bloker oprettelse af webshell for servere Bloker Bloker Office-programmer fra at oprette eksekverbart indhold Bloker Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB Bloker Bloker Office-programmer fra at indsætte kode i andre processer Bloker Bloker vedholdenhed via WMI-hændelsesabonnement Bloker Brug avanceret beskyttelse mod ransomware Bloker Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI Bloker (hvis du har Configuration Manager (tidligere SCCM) eller andre administrationsværktøjer, der bruger WMI, skal du muligvis angive dette til Overvågning i stedet for Bloker) [EKSEMPELVISNING] Bloker genstart af computeren i fejlsikret tilstand Bloker Aktivér adgang til styrede mapper Aktiveret
Tip
En af reglerne kan blokere funktionsmåder, som du finder acceptable i din organisation. I disse tilfælde skal du tilføje undtagelser pr. regel med navnet "Kun udeladelser for angrebsoverfladereduktion". Du kan også ændre reglen fra Aktiveret til Overvågning for at forhindre uønskede blokke.
- Vælg Næste.
- Under fanen Tildelinger skal du vælge Enhedsgruppe eller Brugergruppe eller Alle enheder eller Alle brugere.
- Vælg Næste.
- Gennemse dine politikindstillinger under fanen Gennemse + opret , og vælg derefter Gem.
Aktivér beskyttelse mod ændring
Log på Microsoft Defender XDR.
Gå til Slutpunkter > Konfigurationsstyring > Sikkerhedspolitikker > for slutpunkt Windows-politikker > Opret ny politik.
Vælg Windows 10, Windows 11 og Windows Server på rullelisten Vælg platform.
Vælg Sikkerhedsoplevelse på rullelisten Vælg skabelon .
Vælg Opret politik. Siden Opret en ny politik vises.
På siden Grundlæggende skal du angive et navn og en beskrivelse af profilen i felterne Navn og Beskrivelse .
Vælg Næste.
Udvid grupperne af indstillinger på siden Konfigurationsindstillinger .
Vælg de indstillinger, du vil administrere med denne profil, i disse grupper.
Angiv politikkerne for de valgte grupper af indstillinger ved at konfigurere dem som beskrevet i følgende tabel:
Beskrivelse Indstilling TamperProtection (enhed) Til
Kontrollér netværksforbindelsen til Cloud Protection
Det er vigtigt at kontrollere, at cloudbeskyttelsesnetværksforbindelsen fungerer under indtrængningstest.
CMD (Kør som administrator)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Du kan få flere oplysninger ved at bruge cmdlineværktøjet til at validere skybaseret beskyttelse.
Kontrollér platformens opdateringsversion
Den nyeste "Platform Update"-version produktion kanal (GA) er tilgængelig i Microsoft Update Catalog.
Hvis du vil kontrollere, hvilken version af "Platform Update", du har installeret, skal du køre følgende kommando i PowerShell ved hjælp af rettigheder som administrator:
Get-MPComputerStatus | Format-Table AMProductVersion
Kontrollér versionen af Sikkerhedsintelligensopdatering
Den nyeste version af "Security Intelligence Update" er tilgængelig i Seneste sikkerhedsintelligensopdateringer til Microsoft Defender Antivirus og anden antimalware fra Microsoft – Microsoft Sikkerhedsviden.
Hvis du vil kontrollere, hvilken version af "Security Intelligence Update", du har installeret, skal du køre følgende kommando i PowerShell ved hjælp af rettigheder som administrator:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
Kontrollér programopdateringsversionen
Den nyeste scanningsversion af "programopdatering" er tilgængelig i Seneste sikkerhedsintelligensopdateringer til Microsoft Defender Antivirus og anden Microsoft-antimalware – Microsoft Sikkerhedsviden.
Hvis du vil kontrollere, hvilken version af "Programopdatering", du har installeret, skal du køre følgende kommando i PowerShell ved hjælp af rettigheder som administrator:
Get-MPComputerStatus | Format-Table AMEngineVersion
Hvis du finder ud af, at dine indstillinger ikke træder i kraft, kan du have en konflikt. Du kan finde oplysninger om, hvordan du løser konflikter, under Fejlfinding Microsoft Defender Antivirusindstillinger.
FNs-indsendelser (False Negatives)
Hvis du vil have oplysninger om, hvordan du foretager FNs-indsendelser (False Negatives), skal du se:
- Indsend filer i Microsoft Defender for Endpoint, hvis du har Microsoft XDR, Microsoft Defender for Endpoint P2/P1 eller Microsoft Defender til virksomheder.
- Indsend filer til analyse, hvis du har Microsoft Defender Antivirus.