Arvioi Microsoft Defender virustentorjunta Microsoft Defender päätepisteen suojausasetusten hallinnan (päätepisteen suojauskäytännöt) avulla
Windows 10 tai uudemmassa versiossa ja Windows Server 2016:ssa tai uudemmassa versiossa voit käyttää seuraavan sukupolven suojausominaisuuksia, joita tarjoavat Microsoft Defender Antivirus (MDAV) ja Microsoft Defender Exploit Guard (Microsoft Defender EG).
Tässä artikkelissa esitellään määritysasetukset, jotka ovat käytettävissä Windows 10- ja uudemmissa versioissa sekä Windows Server 2016-versioissa ja uudemmissa versioissa. Se tarjoaa vaiheittaiset ohjeet Microsoft Defender Antivirus (MDAV) ja Microsoft Defender for Endpoint (EG) -virustentorjunnan tärkeimpien suojausominaisuuksien aktivoimiseen ja testaamiseen.
Jos sinulla on kysyttävää MDAV:n havaitsemisesta tai huomaat, että tunnistaminen on epäonnistunut, voit lähettää meille tiedoston lähetyksen malliapusivustosta.
Ota ominaisuudet käyttöön Microsoft Defender Päätepisteen suojausasetusten hallinnan (päätepisteen suojauskäytännöt) avulla
Tässä osiossa kuvataan Microsoft Defender for Endpoint suojausasetusten hallinta (päätepisteen suojauskäytännöt), jotka määrittävät ominaisuudet, joita sinun tulee käyttää suojauksen arvioimiseen.
MDAV ilmaisee tunnistuksen Windowsin vakioilmoitusten kautta. Voit myös tarkastella tunnistuksia MDAV-sovelluksessa. Jos haluat tehdä tämän, katso Microsoft Defender virustentorjuntatarkistuksen tulosten tarkistaminen.
Windowsin tapahtumalokiin tallennetaan myös tunnistus- ja moduulitapahtumat. Luettelo tapahtumatunnuksista ja niitä vastaavista toiminnoista on Microsoft Defender Virustentorjuntatapahtumia -artikkelissa. Lisätietoja tapahtumatunnusten luettelosta ja sitä vastaavista toiminnoista on artikkelissa Tapahtumalokien ja virhekoodien tarkasteleminen Microsoft Defender virustentorjuntaan liittyvien ongelmien vianmääritykseen.
Voit määrittää asetukset, joita sinun on käytettävä suojausominaisuuksien testaamiseen, suorittamalla seuraavat vaiheet:
Kirjaudu sisään Microsoft Defender XDR.
Siirry kohtaan Päätepisteiden määritysten > hallinta > Päätepisteen suojauskäytännöt > Windowsin käytännöt > Luo uusi käytäntö.
Valitse avattavasta Valitse käyttöympäristö -luettelosta Windows 10, Windows 11 ja Windows Server.
Valitse Microsoft Defender virustentorjuntaavattavasta Valitse malli -luettelosta.
Valitse Luo käytäntö. Luo uusi käytäntö -sivu tulee näkyviin.
Kirjoita Perustiedot-sivulle profiilin nimi ja kuvaus Nimi- ja Kuvaus-kenttiin vastaavasti.
Valitse Seuraava.
Laajenna Asetukset-sivulla asetusryhmät.
Valitse näistä asetusryhmistä asetukset, joita haluat hallita tällä profiililla.
Määritä valittujen asetusryhmien käytännöt määrittämällä asetukset seuraavissa taulukoissa kuvatulla tavalla:
Reaaliaikainen suojaus (aina käytössä oleva suojaus, reaaliaikainen skannaus):
Kuvaus Asetukset Salli reaaliaikainen valvonta Sallittu Reaaliaikainen tarkistuksen suunta Valvo kaikkia tiedostoja (kaksisuuntainen) Salli toiminnan valvonta Sallittu Salli käyttöoikeuksien suojaus Sallittu PUA-suojaus PUA-suojaus Pilvisuojausominaisuudet:
Kuvaus Asetus Salli pilvisuojaus Sallittu Pilvilohkotaso Korkea Pilvipalvelun pidennetty aikakatkaisu Määritetty, 50 Lähetä mallien suostumus Lähetä kaikki mallit automaattisesti
Standard tietoturvatietojen päivitysten valmistelu ja toimittaminen voi kestää tunteja. Pilvipalvelumme voi tarjota tämän suojauksen sekunneissa. Lisätietoja on artikkelissa Seuraavan sukupolven teknologioiden käyttäminen Microsoft Defender virustentorjunta pilvipalveluun toimitetun suojauksen kautta.
Skannaukset:
| Kuvaus | Asetus |
|---|---|
| Salli sähköpostin tarkistus | Sallittu |
| Salli kaikkien ladattujen tiedostojen ja liitteiden tarkistaminen | Sallittu |
| Salli komentosarjojen tarkistaminen | Sallittu |
| Salli Arkisto tarkistus | Sallittu |
| Salli verkkotiedostojen tarkistaminen | Sallittu |
| Salli siirrettävän aseman täysi tarkistus | Sallittu |
Verkon suojaus:
| Kuvaus | Asetus |
|---|---|
| Ota verkon suojaus käyttöön | Käytössä (lohkotila) |
| Salli verkon suojauksen alataso | Verkon suojaus on käytössä alatasossa. |
| Salli datagrammin käsittely Win Serverissä | Datagrammin käsittely Windows Server on käytössä. |
| DNS:n poistaminen käytöstä TCP-jäsennysten kautta | DNS TCP-jäsennys on käytössä. |
| Poista HTTP-jäsennys käytöstä | HTTP-jäsennys on käytössä. |
| Poista SSH-jäsennys käytöstä | SSH-jäsennys on käytössä. |
| Poista TLS-jäsennys käytöstä | TLS-jäsennys on käytössä. |
| DNS-vajoaman käyttöönotto | DNS-vajoama on käytössä. |
Suojaustietojen päivitykset:
| Kuvaus | Asetus |
|---|---|
| Allekirjoituksen päivitysväli | Määritetty, 4 |
Kuvaus: Allekirjoituspäivityksen varatilauksen asetus: Valitse allekirjoituspäivityksen varavalintaruutu
InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, jossa InternalDefinitionUpdateServer on WSUS ja jossa on sallittuja Microsoft Defender virustentorjuntapäivityksiä; 'MicrosoftUpdateServer' = Microsoft Update (aiemmin Windows Update); ja MMPC = https://www.microsoft.com/en-us/wdsi/definitions.
Paikallisen järjestelmänvalvojan AV:
Poista paikallisen järjestelmänvalvojan AV-asetukset, kuten poikkeukset, käytöstä ja määritä Microsoft Defender for Endpoint suojausasetusten hallinnan käytännöt seuraavassa taulukossa kuvatulla tavalla:
| Kuvaus | Asetus |
|---|---|
| Poista paikallisen Hallinta yhdistäminen käytöstä | Poista paikallisen Hallinta yhdistäminen käytöstä |
Uhkien vakavuuden oletustoiminto:
| Kuvaus | Asetus |
|---|---|
| Suuren vakavuusasteen uhkien korjaustoiminto | Karanteeni |
| Vakavien uhkien korjaustoiminto | Karanteeni |
| Pienen vakavuusasteen uhkien korjaustoiminto | Karanteeni |
| Normaalin vakavuusuhkien korjaustoiminto | Karanteeni |
| Kuvaus | Asetus |
|---|---|
| Säilytyspäivät puhdistettuna | Määritetty, 60 |
| Salli käyttäjän käyttöliittymän käyttö | Sallittu. Salli käyttäjien käyttää käyttöliittymää. |
- Kun olet määrittänut asetukset, valitse Seuraava.
- Valitse Määritykset-välilehdeltäLaiteryhmä tai Käyttäjäryhmä tai Kaikki laitteet tai Kaikki käyttäjät.
- Valitse Seuraava.
- Tarkista ja luo -välilehdessä käytäntöasetukset ja valitse sitten Tallenna.
Attack Surface Reduction -säännöt
Jos haluat ottaa käyttöön ATTACK Surface Reduction (ASR) -säännöt päätepisteen suojauskäytäntöjen avulla, toimi seuraavasti:
Kirjaudu sisään Microsoft Defender XDR.
Siirry kohtaan Päätepisteiden määritysten > hallinta > Päätepisteen suojauskäytännöt > Windowsin käytännöt > Luo uusi käytäntö.
Valitse avattavasta Valitse käyttöympäristö -luettelosta Windows 10, Windows 11 ja Windows Server.
Valitse avattavasta Valitse malli -luettelosta Hyökkäyspinnan pienentämissäännöt.
Valitse Luo käytäntö.
Kirjoita Perustiedot-sivulle profiilin nimi ja kuvaus. valitse sitten Seuraava.
Laajenna Määritysasetukset-sivulla asetusryhmät ja määritä asetukset, joita haluat hallita tällä profiililla.
Määritä käytännöt seuraavien suositeltujen asetusten perusteella:
Kuvaus Asetus Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista Estä Estä Adobe Readeria luomasta aliprosesseja Estä Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen Estä Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen (Laite) Estä Estä Win32-ohjelmointirajapintakutsut Office-makroista Estä Estä suoritettavan tiedoston suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettua luetteloehtoa Estä Estä Office-tietoliikennesovellusta luomasta aliprosesseja Estä Estä aliprosessien luominen kaikilta Office-sovelluksilta Estä [ESIKATSELU] Kopioitujen tai tekeytynneiden järjestelmätyökalujen käytön estäminen Estä Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä Estä Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä Estä Estä verkkoliittymän luominen palvelimia varten Estä Estä Office-sovelluksia luomasta suoritettavaa sisältöä Estä Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä Estä Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin Estä Estä pysyvyys WMI-tapahtumatilauksen kautta Estä Lisäsuojauksen käyttö kiristysohjelmia vastaan Estä Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista Block (Jos sinulla on Configuration Manager (aiemmin SCCM) tai muita WMI:tä käyttäviä hallintatyökaluja, sinun on ehkä määritettävä tämän arvoksi Valvontalohkon sijaan. [ESIKATSELU] Tietokoneen uudelleenkäynnistyksen estäminen vikasietotilassa Estä Ota käyttöön valvotun kansion käyttö Käytössä
Vihje
Mikä tahansa säännöistä saattaa estää organisaatiossa hyväksyttävän toiminnan. Lisää näissä tapauksissa sääntökohtaiset poikkeukset nimeltä "Attack Surface Reduction Only Exclusions". Muuta lisäksi sääntö Käytössä-asetuksesta Valvonta-säännöksi, jotta ei-toivotut lohkot voidaan estää.
- Valitse Seuraava.
- Valitse Määritykset-välilehdeltäLaiteryhmä tai Käyttäjäryhmä tai Kaikki laitteet tai Kaikki käyttäjät.
- Valitse Seuraava.
- Tarkista ja luo -välilehdessä käytäntöasetukset ja valitse sitten Tallenna.
Ota käyttöön peukaloinnin suojaus
Kirjaudu sisään Microsoft Defender XDR.
Siirry kohtaan Päätepisteiden määritysten > hallinta > Päätepisteen suojauskäytännöt > Windowsin käytännöt > Luo uusi käytäntö.
Valitse avattavasta Valitse käyttöympäristö -luettelosta Windows 10, Windows 11 ja Windows Server.
Valitse suojauskokemus avattavasta Valitse malli - luettelosta.
Valitse Luo käytäntö. Luo uusi käytäntö -sivu tulee näkyviin.
Kirjoita Perustiedot-sivulle profiilin nimi ja kuvaus Nimi- ja Kuvaus-kenttiin vastaavasti.
Valitse Seuraava.
Laajenna Asetukset-sivulla asetusryhmät.
Valitse näistä ryhmistä asetukset, joita haluat hallita tässä profiilissa.
Määritä valittujen asetusryhmien käytännöt määrittämällä ne seuraavassa taulukossa kuvatulla tavalla:
Kuvaus Asetus TamperProtection (Laite) Käytössä
Tarkista Cloud Protection -verkkoyhteys
On tärkeää tarkistaa, että Cloud Protection -verkkoyhteys toimii penetraatiotestauksen aikana.
CMD (Suorita järjestelmänvalvojana)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Saat lisätietoja käyttämällä cmdline-työkalua pilvipalveluun toimitetun suojauksen vahvistamiseen.
Tarkista käyttöympäristön päivitysversio
Uusin "Platform Update" -version tuotantokanava (GA) on saatavilla Microsoft Update Catalog -luettelossa.
Voit tarkistaa asentamasi käyttöympäristöpäivityksen suorittamalla seuraavan komennon PowerShellissä järjestelmänvalvojan oikeuksilla:
Get-MPComputerStatus | Format-Table AMProductVersion
Tarkista suojaustietojen päivitysversio
Uusin suojaustietojen päivitysversio on saatavilla uusimmissa tietoturvatietopäivityksissä Microsoft Defender virustentorjuntaan ja muihin Microsoftin haittaohjelmien torjuntaan – Microsoftin suojaustiedustelu.
Voit tarkistaa asentamasi suojaustietojen päivityksen version suorittamalla seuraavan komennon PowerShellissä järjestelmänvalvojan oikeuksilla:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
Tarkista moduulin päivitysversio
Uusin tarkistus "moduulipäivitys" versio on saatavilla uusimmissa tietoturvatietojen päivityksissä Microsoft Defender virustentorjuntaohjelmalle ja muille Microsoftin haittaohjelmien torjuntaohjelmille - Microsoftin suojaustiedustelu.
Voit tarkistaa asentamasi Engine Update -version suorittamalla seuraavan komennon PowerShellissä järjestelmänvalvojan oikeuksilla:
Get-MPComputerStatus | Format-Table AMEngineVersion
Jos huomaat, että asetuksesi eivät tule voimaan, sinulla voi olla ristiriita. Lisätietoja ristiriitojen ratkaisemisesta on kohdassa Microsoft Defender virustentorjunta-asetusten vianmääritys.
False-negatiivisten (FN) lähetysten osalta
Lisätietoja False Negatives (FN) -lähetysten lähettämisestä on seuraavissa tiedoissa:
- Lähetä tiedostoja Microsoft Defender for Endpoint, jos sinulla on Microsoft XDR, Microsoft Defender for Endpoint P2/P1 tai Microsoft Defender for Business.
- Lähetä tiedostot analysoitaville, jos sinulla on Microsoft Defender virustentorjuntaohjelma.