Microsoft Defender virustentorjuntaohjelman arvioiminen ryhmäkäytäntö avulla
Koskee seuraavia:
- Microsoft Defenderin virustentorjunta
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
Ympäristöt:
- Windows
Windows 10 tai uudemman version ja Windows Server 2016 tai sitä uudemman version jälkeen voit käyttää seuraavan sukupolven suojausominaisuuksia, joita tarjoavat Microsoft Defender Antivirus (MDAV) ja Microsoft Defender Exploit Guard (Microsoft Defender EG).
Tässä artikkelissa kerrotaan, miten voit ottaa käyttöön ja testata Microsoft Defender AV:n ja Microsoft Defender EG:n tärkeimmät suojausominaisuudet, sekä annetaan ohjeita ja linkkejä lisätietoihin.
Tässä artikkelissa kuvataan määritysasetukset Windows 10 tai uudemmat ja Windows Server 2016 tai uudemmat.
Käytä Microsoft Defender virustentorjuntaohjelmaa ryhmäkäytäntö ominaisuuksien ottamiseksi käyttöön
Tämä opas sisältää Microsoft Defender virustentorjuntaohjelman ryhmäkäytäntö, joka määrittää ominaisuudet, joita sinun tulee käyttää suojauksen arvioimiseen.
Hae uusimmat Windows ryhmäkäytäntö hallintamallit.
Lisätietoja on ohjeaiheessa Central Store - Windows-asiakasohjelman luominen ja hallinta.
Vihje
- Windows-ikkuna toimii Windows Server -palvelimien kanssa.
- Vaikka käytössäsi olisi Windows 10 tai Windows Server 2016, hanki uusimmat hallintamallit Windows 11 tai uudempaa varten.
Luo Keskitetty säilö, joka isännöi uusimpia .admx- ja .adml-malleja.
Lisätietoja on ohjeaiheessa Central Store - Windows-asiakasohjelman luominen ja hallinta.
Jos liitetty toimialueeseen:
Luo uusi OU-lohkokäytännön periytyminen.
Avaa ryhmäkäytäntöjen hallintakonsoli (GPMC.msc).
Siirry kohtaan ryhmäkäytäntö Objektit ja luo uusi ryhmäkäytäntö.
Napsauta hiiren kakkospainikkeella luotua uutta käytäntöä ja valitse Muokkaa.
Siirry kohtaan Tietokoneasetukset>Käytännöt>Hallintamallit Windowsin>osat>Microsoft Defender virustentorjunta.
TAI
Jos on liitetty työryhmään
Avaa MMC ryhmäkäytäntö Kirjoitusavustaja (GPEdit.msc).
Siirry kohtaan Tietokoneasetukset>Hallintamallit Windowsin>osat>Microsoft Defender virustentorjunta.
MDAV ja mahdollisesti ei-toivotut sovellukset (PUA)
Juuri:
| Kuvaus | Asetus |
|---|---|
| Poista Microsoft Defender virustentorjunta käytöstä | Vammainen |
| Tunnistaminen mahdollisesti ei-toivotuille sovelluksille | Käytössä - Lohko |
Reaaliaikainen suojaus (aina käytössä oleva suojaus, reaaliaikainen skannaus)
\ Reaaliaikainen suojaus:
| Kuvaus | Asetus |
|---|---|
| Poista käytöstä reaaliaikainen suojaus | Vammainen |
| Määritä saapuvan ja lähtevän tiedoston ja ohjelman toiminnan valvonta | Käytössä, kaksisuuntainen (täydet käyttöoikeudet) |
| Ota käyttöön toiminnan valvonta | Käytössä |
| Valvo tietokoneen tiedosto- ja ohjelmatoimintoja | Käytössä |
Pilvisuojausominaisuudet
Standard tietoturvatietojen päivitysten valmistelu ja toimittaminen voi kestää tunteja. Pilvipalvelumme voi tarjota tämän suojauksen sekunneissa.
Lisätietoja on artikkelissa Seuraavan sukupolven teknologioiden käyttäminen Microsoft Defender virustentorjunta pilvipalveluun toimitetun suojauksen kautta.
\ KARTAT:
| Kuvaus | Asetus |
|---|---|
| Liity Microsoft MAPSIIN | Käytössä, Lisäkartat |
| Estä ensi silmäyksellä -ominaisuuden määrittäminen | Käytössä |
| Lähetä tiedostonäytteet, kun lisäanalyyseja tarvitaan | Käytössä, Lähetä kaikki mallit |
\ MpEngine:
| Kuvaus | Asetus |
|---|---|
| Valitse pilvipalvelujen suojaustaso | Käytössä, suuri estotaso |
| Laajennetun pilvipalvelun tarkistuksen määrittäminen | Käytössä, 50 |
Skannaa
| Kuvaus | Asetus |
|---|---|
| Ota heuristiikko käyttöön | Käytössä |
| Sähköpostin tarkistuksen ottaminen käyttöön | Käytössä |
| Tarkista kaikki ladatut tiedostot ja liitteet | Käytössä |
| Ota komentosarjojen tarkistus käyttöön | Käytössä |
| Skannaa arkistotiedostot | Käytössä |
| Skannaa pakatut suoritettavat tiedostot | Käytössä |
| Verkkotiedostojen tarkistuksen määrittäminen (Tarkista verkkotiedostot) | Käytössä |
| Tarkista siirrettävät asemat | Käytössä |
| Ota uudelleen jäsennyspisteskannaus käyttöön | Käytössä |
Suojaustietojen päivitykset
| Kuvaus | Asetus |
|---|---|
| Määritä suojaustietojen päivitysten tarkistusväli | Käytössä, 4 |
| Suojaustietojen päivitysten lataamisen lähteiden järjestyksen määrittäminen | Otettu käyttöön kohdassa "Määritä lähteiden järjestys suojaustietojen päivitysten lataamista varten" InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC Muistiinpano: Jos InternalDefinitionUpdateServer on WSUS ja Microsoft Defender virustentorjunta on sallittu. MicrosoftUpdateServer == Microsoft Update (aiemmin Windows Update). MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
Poista paikallisen järjestelmänvalvojan AV-asetukset käytöstä
Poista paikallisen järjestelmänvalvojan AV-asetukset, kuten poikkeukset, käytöstä ja ota käytännöt käyttöön Microsoft Defender for Endpoint suojausasetusten hallinnassa.
Juuri:
| Kuvaus | Asetus |
|---|---|
| Määritä luetteloiden paikallisen järjestelmänvalvojan yhdistämistoiminnot | Vammainen |
| Määritä, näkyvätkö poikkeukset paikallisille järjestelmänvalvojille | Käytössä |
Uhkien vakavuus -oletustoiminto
\ Uhkia
| Kuvaus | Asetus | Ilmoitustaso | Toiminta |
|---|---|---|---|
| Määritä uhkailmoitustasot, joilla oletustoimintoa ei tule tehdä, kun se havaitaan | Käytössä | ||
| 5 (vakava) | 2 (karanteeni) | ||
| 4 (suuri) | 2 (karanteeni) | ||
| 2 (normaali) | 2 (karanteeni) | ||
| 1 (pieni) | 2 (karanteeni) |
\ Karanteeni
| Kuvaus | Asetus |
|---|---|
| Kohteiden poistamisen määrittäminen karanteenikansiosta | Käytössä, 60 |
\ Asiakasliittymä
| Kuvaus | Asetus |
|---|---|
| Ota käyttöön päätön käyttöliittymätila | Vammainen |
Verkon suojaus
\ Microsoft Defender Exploit Guard\Network Protection:
| Kuvaus | Asetus |
|---|---|
| Estä käyttäjiä ja sovelluksia käyttämästä vaarallisia sivustoja | Käytössä, Lohko |
| Nämä asetukset määrittävät, voidaanko verkkosuojaus määrittää esto- vai valvontatilaan Windows Server | Käytössä |
Jos haluat ottaa windows-palvelimien verkon suojauksen käyttöön, käytä PowerShelliä:
| OS | PowerShellin cmdlet-komento |
|---|---|
| Windows Server 2012 R2 ja uudemmat versiot | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Windows Server 2016 ja Windows Server 2012 R2 unified MDE -asiakas | set-MpPreference -AllowNetworkProtectionOnWinServer $true set-MpPreference -AllowNetworkProtectionDownLevel $ true |
Attack Surface Reduction Rules
Siirry kohtaan Tietokoneasetukset>Hallintamallit Windowsin>osat>Microsoft Defender virustentorjunta>Microsoft Defender Hyödynnä Guard>Attack Surfacen pienennystä.
Valitse Seuraava.
| Kuvaus | Asetus |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1ee46550 Huomautus: (Estä suoritettava sisältö sähköpostiasiakkaasta ja verkkosähköpostista) |
1 (lohko) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Huomautus: (Estä Adobe Readeria luomasta aliprosesseja) |
1 (lohko) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc Huomautus: (Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen) |
1 (lohko) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 Huomautus: (Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen) |
1 (lohko) |
| 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b Huomautus: (Estä Win32-ohjelmointirajapintakutsut Office-makroista) |
1 (lohko) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 Huomautus: (Estä suoritettavan tiedoston suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettua luetteloehtoa) |
1 (lohko) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 Huomautus: (Estä Office-viestintäsovellusta luomasta aliprosesseja) |
1 (lohko) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a Huomautus: (Estä kaikkia Office-sovelluksia luomasta aliprosesseja) |
1 (lohko) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Huomautus: ([ESIKATSELU] Kopioitujen tai tekeytyneiden järjestelmätyökalujen käytön estäminen) |
1 (lohko) |
| d3e037e1-3eb8-44c8-a917-57927947596d Huomautus: (Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä) |
1 (lohko) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Huomautus: (Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä) |
1 (lohko) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 Huomautus: (Estä verkkoliittymän luominen palvelimille) |
1 (lohko) |
| 3b576869-a4ec-4529-8536-b80a7769e899 Huomautus: (Estä Office-sovelluksia luomasta suoritettavaa sisältöä) |
1 (lohko) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Huomautus: (Estä USB:stä suoritettavat ei-luotetut ja allekirjoittamattomat prosessit) |
1 (lohko) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Huomautus: (Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin) |
1 (lohko) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b Huomautus: (Estä pysyvyys WMI-tapahtuman tilauksen kautta) |
1 (lohko) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 Huomautus: (Käytä lisäsuojausta kiristyshaittaohjelmia vastaan) |
1 (lohko) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c Huomautus: (Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista) |
1 (lohko) Muistiinpano: Jos sinulla on Configuration Manager (aiemmin SCCM) tai muita WMI:tä käyttäviä hallintatyökaluja, sinun on ehkä määritettävä arvoksi 2 ('audit') 1('block') sijaan. |
| 33ddedf1-c6e0-47cb-833e-de6133960387 Huomautus: ([ESIKATSELU] Estä tietokoneen uudelleenkäynnistys vikasietotilassa) |
1 (lohko) |
Vihje
Jotkin säännöt saattavat estää organisaatiossa hyväksyttävän toiminnan. Vaihda näissä tapauksissa sääntö Käytössä-asetuksesta "Audit"-säännöksi, jotta ei-toivotut lohkot voidaan estää.
Ohjattu kansion käyttö
Siirry kohtaan Tietokoneasetukset>Hallintamallit Windowsin>osat>Microsoft Defender virustentorjunta>Microsoft Defender Hyödynnä Guard>Attack Surfacen pienennystä.
| Kuvaus | Asetus |
|---|---|
| Määritä valvotun kansion käyttö | Käytössä, Lohko |
Määritä käytännöt OU:lle, jossa testikoneet sijaitsevat.
Ota käyttöön peukaloinnin suojaus
Siirry Microsoft XDR -portaalissa (security.microsoft.com) kohtaan Asetukset>PäätepisteetLisäominaisuudet>>Peukaloinnin suojaus>käytössä.
Lisätietoja on artikkelissa Ohjevalikko määrittää tai hallita peukaloinnin suojausta?.
Tarkista Cloud Protection -verkkoyhteys
On tärkeää tarkistaa, että Cloud Protection -verkkoyhteys toimii kynätestauksen aikana.
CMD (Suorita järjestelmänvalvojana)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Lisätietoja on ohjeaiheessa Pilvipalveluun toimitetun suojauksen vahvistaminen cmdline-työkalun avulla.
Tarkista käyttöympäristön päivitysversio
Uusin Platform Update -version tuotantokanava (GA) on saatavilla täällä:
Voit tarkistaa, mikä Platform Update -versio on asennettu, käyttämällä seuraavaa PowerShell-komentoa (Suorita järjestelmänvalvojana):
get-mpComputerStatus | ft AMProductVersion
Tarkista suojaustietojen päivitysversio
Uusin suojaustietojen päivityksen versio on saatavilla täältä:
Voit tarkistaa, mikä suojaustietojen päivityksen versio on asennettu, käyttämällä seuraavaa PowerShell-komentoa (Suorita järjestelmänvalvojana):
get-mpComputerStatus | ft AntivirusSignatureVersion
Tarkista moduulin päivitysversio
Uusin tarkistusmoduulin päivitysversio on saatavilla täältä:
Voit tarkistaa, mikä Engine Update -versio on asennettu, käyttämällä seuraavaa PowerShell-komentoa (Suorita järjestelmänvalvojana):
get-mpComputerStatus | ft AMEngineVersion
Jos huomaat, että asetuksesi eivät tule voimaan, kyseessä voi olla ristiriita. Lisätietoja ristiriitojen ratkaisemisesta on artikkelissa: Microsoft Defender virustentorjunta-asetusten vianmääritys.
False-negatiivisten (FN) lähetysten osalta
Jos sinulla on kysyttävää tunnistamisesta, jonka Microsoft Defender AV tekee, tai jos huomaat, että tunnistaminen ei onnistunut, voit lähettää meille tiedoston.
Jos käytössäsi on Microsoft XDR, Microsoft Defender for Endpoint P2/P1 tai Microsoft Defender for Business: katso Tiedostojen lähettäminen Microsoft Defender for Endpoint.
Jos käytössäsi on Microsoft Defender virustentorjunta, katso lisätietoja:https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
Microsoft Defender AV ilmaisee tunnistuksen Windowsin vakioilmoitusten kautta. Voit myös tarkastella tunnistuksia Microsoft Defender AV -sovelluksessa.
Windowsin tapahtumalokiin tallennetaan myös tunnistus- ja moduulitapahtumat. Luettelo tapahtumatunnuksista ja niitä vastaavista toiminnoista on Microsoft Defender virustentorjuntatapahtumien artikkelissa.
Jos asetuksia ei käytetä oikein, selvitä, onko ympäristössäsi käytössä ristiriitaisia käytäntöjä. Lisätietoja on kohdassa Microsoft Defender virustentorjunta-asetusten vianmääritys.
Jos sinun on avattava Microsoftin tukipyyntö: Ota yhteyttä Microsoft Defender for Endpoint tukeen.