Evaluer Microsoft Defender Antivirus ved hjælp af Gruppepolitik
Gælder for:
- Microsoft Defender Antivirus
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
Platforme:
- Windows
I Windows 10 eller nyere og Windows Server 2016 eller nyere kan du bruge næste generations beskyttelsesfunktioner, der tilbydes af Microsoft Defender Antivirus (MDAV) og Microsoft Defender Exploit Guard (Microsoft Defender EG).
I denne artikel forklares det, hvordan du aktiverer og tester de vigtigste beskyttelsesfunktioner i Microsoft Defender AV og Microsoft Defender EG og giver dig vejledning og links til flere oplysninger.
I denne artikel beskrives konfigurationsindstillinger i Windows 10 eller nyere og Windows Server 2016 eller nyere.
Brug Microsoft Defender Antivirus ved hjælp af Gruppepolitik til at aktivere funktionerne
Denne vejledning indeholder Microsoft Defender Antivirus-Gruppepolitik, der konfigurerer de funktioner, du skal bruge til at evaluere vores beskyttelse.
Tag de nyeste "Windows Gruppepolitik Administrative skabeloner".
Du kan få flere oplysninger under Opret og administrer Central Store – Windows-klient.
Tip
- Windows one fungerer sammen med Windows Servers.
- Selvom du kører en Windows 10 eller Windows Server 2016, kan du hente de nyeste administrative skabeloner til Windows 11 eller nyere.
Opret et 'Central Store' for at hoste de nyeste .admx- og .adml-skabeloner.
Du kan få flere oplysninger under Opret og administrer Central Store – Windows-klient.
Hvis du er tilmeldt et domæne:
Opret en ny OU-bloker nedarvning af politik.
Åbn Administrationskonsol for gruppepolitik (GPMC.msc).
Gå til Gruppepolitik Objekter, og opret en ny Gruppepolitik.
Højreklik på den nye politik, der er oprettet, og vælg Rediger.
Gå til Computerkonfigurationspolitikker>>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus.
eller
Hvis du er tilmeldt en arbejdsgruppe
Åbn Gruppepolitik Editor MMC (GPEdit.msc).
Gå til Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus.
MDAV og potentielt uønskede programmer (PUA)
Rod:
| Beskrivelse | Indstilling |
|---|---|
| Deaktiver Microsoft Defender Antivirus | Handicappet |
| Konfigurer registrering for potentielt uønskede programmer | Aktiveret – blok |
Beskyttelse i realtid (altid aktiveret, scanning i realtid)
\ Beskyttelse i realtid:
| Beskrivelse | Indstilling |
|---|---|
| Slå beskyttelse i realtid fra | Handicappet |
| Konfigurer overvågning for indgående og udgående fil- og programaktivitet | Aktiveret, tovejs (fuld adgang) |
| Slå overvågning af funktionsmåde til | Aktiveret |
| Overvåg fil- og programaktivitet på computeren | Aktiveret |
Funktioner til beskyttelse i skyen
Standard sikkerhedsintelligensopdateringer kan tage timer at forberede og levere. Vores skybaserede beskyttelsestjeneste kan levere denne beskyttelse på få sekunder.
Du kan finde flere oplysninger under Brug næste generations teknologier i Microsoft Defender Antivirus via skybaseret beskyttelse.
\ KORT:
| Beskrivelse | Indstilling |
|---|---|
| Deltag i Microsoft MAPS | Aktiveret, Avancerede KORT |
| Konfigurer funktionen 'Blok ved første øjekast' | Aktiveret |
| Send fileksempler, når der kræves yderligere analyse | Aktiveret. Send alle eksempler |
\ MpEngine:
| Beskrivelse | Indstilling |
|---|---|
| Vælg skybeskyttelsesniveau | Aktiveret, højt blokeringsniveau |
| Konfigurer udvidet cloudkontrol | Aktiveret, 50 |
Scanninger
| Beskrivelse | Indstilling |
|---|---|
| Slå heuristik til | Aktiveret |
| Slå mailscanning til | Aktiveret |
| Scan alle downloadede filer og vedhæftede filer | Aktiveret |
| Slå scriptscanning til | Aktiveret |
| Scan arkivfiler | Aktiveret |
| Scan pakkede eksekverbare filer | Aktiveret |
| Konfigurer scanning af netværksfiler (Scan netværksfiler) | Aktiveret |
| Scan flytbare drev | Aktiveret |
| Slå scanning af genfortolkningspunkt til | Aktiveret |
Sikkerhedsintelligensopdateringer
| Beskrivelse | Indstilling |
|---|---|
| Angiv det interval, der skal kontrolleres for sikkerhedsintelligensopdateringer | Aktiveret, 4 |
| Definer rækkefølgen af kilder til download af sikkerhedsintelligensopdateringer | Aktiveret under 'Definer rækkefølgen af kilder til download af sikkerhedsintelligensopdateringer' InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC Seddel: Hvor InternalDefinitionUpdateServer er WSUS med Microsoft Defender Tilladte Antivirus-opdateringer. MicrosoftUpdateServer == Microsoft Update (tidligere Windows Update). MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
Deaktiver lokale administrator-AV-indstillinger
Deaktiver av-indstillinger for lokale administratorer, f.eks. udeladelser, og gennemtving politikkerne fra Microsoft Defender for Endpoint Administration af sikkerhedsindstillinger.
Rod:
| Beskrivelse | Indstilling |
|---|---|
| Konfigurer funktionsmåden for fletning af lokale administratorer for lister | Handicappet |
| Kontrollér, om udeladelser skal være synlige for lokale administratorer | Aktiveret |
Standardhandling for trussels alvorsgrad
\ Trusler
| Beskrivelse | Indstilling | Beskedniveau | Handling |
|---|---|---|---|
| Angiv niveauer for trusselsbeskeder, hvor standardhandlingen ikke skal udføres, når den registreres | Aktiveret | ||
| 5 (svær) | 2 (karantæne) | ||
| 4 (høj) | 2 (karantæne) | ||
| 2 (mellem) | 2 (karantæne) | ||
| 1 (lav) | 2 (karantæne) |
\ Karantæne
| Beskrivelse | Indstilling |
|---|---|
| Konfigurer fjernelse af elementer fra karantænemappen | Aktiveret, 60 |
\ Klientgrænseflade
| Beskrivelse | Indstilling |
|---|---|
| Aktivér hovedløs brugergrænsefladetilstand | Handicappet |
Netværksbeskyttelse
\ Microsoft Defender Exploit Guard\Network Protection:
| Beskrivelse | Indstilling |
|---|---|
| Forhindre brugere og apps i at få adgang til farlige websteder | Aktiveret, Blok |
| Disse indstillinger styrer, om Netværksbeskyttelse kan konfigureres til blokerings- eller overvågningstilstand på Windows Server | Aktiveret |
Hvis du vil aktivere Netværksbeskyttelse af Windows-servere, skal du bruge PowerShell:
| OPERATIVSYSTEM | PowerShell-cmdlet |
|---|---|
| Windows Server 2012 R2 og nyere | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Windows Server 2016 og Windows Server 2012 R2 Unified MDE klient | set-MpPreference -AllowNetworkProtectionOnWinServer $true set-MpPreference -AllowNetworkProtectionDownLevel $ true |
Regler for reduktion af angrebsoverflade
Gå til Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
Vælg Næste.
| Beskrivelse | Indstilling |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 Bemærk! (Bloker eksekverbart indhold fra mailklient og webmail) |
1 (blok) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Bemærk! (Bloker Adobe Reader fra at oprette underordnede processer) |
1 (blok) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc Bemærk! (Bloker udførelse af potentielt slørede scripts) |
1 (blok) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 Bemærk! (Bloker misbrug af udnyttede sårbare signerede drivere) |
1 (blok) |
| 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b Bemærk! (Bloker Win32-API-kald fra Office-makroer) |
1 (blok) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 Bemærk! (Bloker eksekverbare filer fra kørsel, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til) |
1 (blok) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 Bemærk! (Bloker Office-kommunikationsprogram, så det ikke kan oprette underordnede processer) |
1 (blok) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a Bemærk! (Bloker alle Office-programmer fra at oprette underordnede processer) |
1 (blok) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Bemærk! ([PREVIEW] Bloker brugen af kopierede eller repræsenterede systemværktøjer) |
1 (blok) |
| d3e037e1-3eb8-44c8-a917-57927947596d Bemærk! (Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold) |
1 (blok) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Bemærk! (Bloker tyveri af legitimationsoplysninger fra det lokale Windows-undersystem til sikkerhedsmyndighed) |
1 (blok) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 Bemærk! (Bloker oprettelse af webshell for servere) |
1 (blok) |
| 3b576869-a4ec-4529-8536-b80a7769e899 Bemærk! (Bloker Office-programmer fra oprettelse af eksekverbart indhold) |
1 (blok) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Bemærk! (Bloker upålidelige og usignerede processer, der kører fra USB) |
1 (blok) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Bemærk! (Bloker Office-programmer fra at indsætte kode i andre processer) |
1 (blok) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b Bemærk! (Bloker vedholdenhed via WMI-hændelsesabonnement) |
1 (blok) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 Bemærk! (Brug avanceret beskyttelse mod ransomware) |
1 (blok) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c Bemærk! (Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI) |
1 (blok) Seddel: Hvis du har Configuration Manager (tidligere SCCM) eller andre administrationsværktøjer, der bruger WMI, skal du muligvis angive dette til 2 ('audit') i stedet for 1('block'). |
| 33ddedf1-c6e0-47cb-833e-de6133960387 Bemærk! ([PREVIEW] Bloker computeren til genstart i fejlsikret tilstand) |
1 (blok) |
Tip
Nogle regler kan blokere funktionsmåder, som du finder acceptable i din organisation. I disse tilfælde skal du ændre reglen fra "Aktiveret" til "Overvågning" for at forhindre uønskede blokke.
Kontrolleret mappeadgang
Gå til Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
| Beskrivelse | Indstilling |
|---|---|
| Konfigurer adgang til styrede mapper | Aktiveret, Blok |
Tildel politikkerne til den organisationsenhed, hvor testcomputerne er placeret.
Aktivér beskyttelse mod ændring
På Microsoft XDR-portalen (security.microsoft.com) skal du gå til Indstillinger>Slutpunkter>Avancerede funktioner>Tamper Protection>On.
Du kan få flere oplysninger under Hvordan gør jeg konfigurere eller administrere beskyttelse mod manipulation?.
Kontrollér netværksforbindelsen til Cloud Protection
Det er vigtigt at kontrollere, at cloudbeskyttelsesnetværksforbindelsen fungerer under pennetest.
CMD (Kør som administrator)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Du kan få flere oplysninger under Brug cmdlineværktøjet til at validere skybaseret beskyttelse.
Kontrollér platformsopdateringsversionen
Den nyeste "Platform Update"-version produktion kanal (GA) er tilgængelig her:
Hvis du vil kontrollere, hvilken version af platformsopdateringen der er installeret, skal du bruge følgende PowerShell-kommando (Kør som administrator):
get-mpComputerStatus | ft AMProductVersion
Kontrollér versionen af Sikkerhedsintelligensopdatering
Den seneste version af 'Security Intelligence Update' er tilgængelig her:
Hvis du vil kontrollere, hvilken version af 'Security Intelligence Update', der er installeret, skal du bruge følgende PowerShell-kommando (Kør som administrator):
get-mpComputerStatus | ft AntivirusSignatureVersion
Kontrollér programopdateringsversionen
Den seneste scanningsversion af 'programopdatering' er tilgængelig her:
Hvis du vil kontrollere, hvilken version af programopdateringen der er installeret, skal du bruge følgende PowerShell-kommando(Kør som administrator):
get-mpComputerStatus | ft AMEngineVersion
Hvis du finder ud af, at dine indstillinger ikke træder i kraft, kan du have en konflikt. Du kan løse konflikter ved at se: Foretag fejlfinding af Microsoft Defender Antivirus-indstillinger.
FNs-indsendelser (False Negatives)
Hvis du har spørgsmål om en registrering, som Microsoft Defender AV foretager, eller hvis du opdager en mistet registrering, kan du sende en fil til os.
Hvis du har Microsoft XDR, Microsoft Defender for Endpoint P2/P1 eller Microsoft Defender til virksomheder: Se Send filer i Microsoft Defender for Endpoint.
Hvis du har Microsoft Defender Antivirus, skal du se:https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
Microsoft Defender AV angiver en registrering via windows-standardmeddelelser. Du kan også gennemse registreringer i Microsoft Defender AV-appen.
Windows-hændelsesloggen registrerer også registrering og programhændelser. Se artiklen Microsoft Defender Antivirus-hændelser for at få en liste over hændelses-id'er og deres tilsvarende handlinger.
Hvis dine indstillinger ikke anvendes korrekt, skal du finde ud af, om der er modstridende politikker, der er aktiveret i dit miljø. Du kan finde flere oplysninger under Fejlfinding Microsoft Defender antivirusindstillinger.
Hvis du har brug for at åbne en Microsoft-supportsag: Kontakt Microsoft Defender for Endpoint support.