Arvioi Microsoft Defenderin virustentorjunta Powershellin avulla
Koskee seuraavia:
- Microsoft Defenderin virustentorjunta
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
Windows 10:ssä tai uudemmat versiot sekä Windows Server 2016:ssa tai uudemmat versioissa voit käyttää seuraavan sukupolven suojausominaisuuksia, joita tarjoavat Microsoft Defender Antivirus (MDAV) ja Microsoft Defender Exploit Guard (Microsoft Defender EG).
Tässä ohjeaiheessa kerrotaan, miten voit ottaa käyttöön ja testata Microsoft Defender AV:n ja Microsoft Defender EG:n tärkeimpiä suojausominaisuuksia, sekä annetaan ohjeita ja linkkejä lisätietoihin.
Suosittelemme, että käytät tätä Arviointi-PowerShell-komentosarjaa näiden ominaisuuksien määrittämiseen, mutta voit erikseen ottaa käyttöön kunkin ominaisuuden cmdlet-komennoilla, jotka on kuvattu tämän asiakirjan muissa osioissa.
Seuraavissa tuotedokumentaatiokirjastoissa on lisätietoja EPP-tuotteistamme:
Tässä artikkelissa kuvataan määritysasetukset Windows 10:ssä tai uudemmat versioissa sekä Windows Server 2016:ssa tai uudemmat versioissa.
Jos sinulla on kysyttävää Microsoft Defender AV:n havaitsemisesta tai havaitset havaitsematta jääneen tunnistuksen, voit lähettää meille tiedoston lähetyksen malliapusivustossamme.
Ota ominaisuudet käyttöön PowerShellin avulla
Tässä oppaassa on Microsoft Defenderin virustentorjunnan cmdlet-komennot , jotka määrittävät ominaisuudet, joita sinun tulee käyttää suojauksen arviointiin.
Jos haluat käyttää näitä cmdlet-komentoja, toimi seuraavasti:
1. Avaa Laajennettu PowerShell-esiintymä (valitse Suorita järjestelmänvalvojana).
2. Kirjoita tässä oppaassa mainittu komento ja paina Enter-näppäintä.
Voit tarkistaa kaikkien asetusten tilan ennen aloittamista tai arvioinnin aikana käyttämällä PowerShellin cmdlet-komentoa Get-MpPreference.
Microsoft Defender AV ilmaisee tunnistuksen Windowsin vakioilmoitusten kautta. Voit myös tarkastella tunnistuksia Microsoft Defender AV -sovelluksessa.
Windowsin tapahtumalokiin tallennetaan myös tunnistus- ja moduulitapahtumat. Luettelo tapahtumatunnuksista ja niitä vastaavista toiminnoista on Microsoft Defenderin virustentorjuntaa käsittelevien tapahtumien artikkelissa .
Pilvisuojausominaisuudet
Vakiomääritelmän päivitysten valmistelu ja toimitus voi kestää tunteja. pilvipalvelun tarjoama suojauspalvelumme voi tarjota tämän suojauksen sekunneissa.
Lisätietoja on artikkelissa Seuraavan sukupolven teknologioiden käyttäminen Microsoft Defenderin virustentorjuntaohjelmassa pilvipalveluun toimitetun suojauksen kautta.
| Kuvaus | PowerShell-komento |
|---|---|
| Ota Microsoft Defender Cloud käyttöön lähes välitöntä suojausta varten ja lisää suojausta | Set-MpPreference - MAPSReporting Lisäasetukset |
| Lisää ryhmäsuojausta lähettämällä näytteitä automaattisesti | Set-MpPreference - SubmitSamplesConsent aina |
| Käytä aina pilvipalvelua uusien haittaohjelmien estämiseen sekunneissa | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Tarkista kaikki ladatut tiedostot ja liitteet | Set-MpPreference -DisableIOAVProtection 0 |
| Pilvilohkotason määrittäminen korkeaksi | Set-MpPreference - CloudBlockLevel High |
| Korkea asetus pilvilohkon aikakatkaisusta 1 minuuttiin | Set-MpPreference -CloudExtendedTimeout 50 |
Aina käytössä -suojaus (reaaliaikainen skannaus)
Microsoft Defender AV tarkistaa tiedostot heti, kun Windows on nähnyt ne, ja valvoo käynnissä olevia prosesseja tunnettujen tai epäiltyjen haittaohjelmien varalta. Jos virustentorjuntaohjelma löytää haitallisia muokkauksia, se estää heti prosessin tai tiedoston suorittamisen.
Lisätietoja näistä vaihtoehdoista on kohdassa Käyttäytymisen, heuristiikan ja reaaliaikaisen suojauksen määrittäminen .
| Kuvaus | PowerShell-komento |
|---|---|
| Valvo jatkuvasti tiedostoja ja prosesseja tunnettujen haittaohjelmien muokkauksia varten | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Valvo jatkuvasti tunnettuja haittaohjelmiston toimintaa – jopa "puhtaissa" tiedostoissa ja käynnissä oleissa ohjelmissa | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Skannaa komentosarjat heti, kun ne näkyvät tai suoritetaan | Set-MpPreference -DisableScriptScanning 0 |
| Tarkista siirrettävät asemat heti, kun ne on lisätty tai otettu käyttöön | Set-MpPreference -DisableRemovableDriveScanning 0 |
Mahdollisesti ei-toivottu sovelluksen suojaus
Mahdollisesti ei-toivotut sovellukset ovat tiedostoja ja sovelluksia, joita ei ole perinteisesti luokiteltu haitallisiksi. Näitä ovat esimerkiksi kolmannen osapuolen asennusohjelmat yleisiä ohjelmistoja varten, mainosten lisääminen ja tietyntyyppiset työkalurivit selaimessasi.
| Kuvaus | PowerShell-komento |
|---|---|
| Estä harmaaohjelmia, mainosohjelmia ja muita mahdollisesti ei-toivottuja sovelluksia asentamasta | Set-MpPreference - PUAProtection käytössä |
Sähköpostin ja arkistoinnin tarkistus
Voit määrittää Microsoft Defenderin virustentorjuntaohjelman tarkistamaan automaattisesti tietyntyyppiset sähköpostitiedostot ja arkistotiedostot (kuten .zip tiedostot), kun Windows näkee ne. Lisätietoja tästä ominaisuudesta on artikkelissa Sähköpostitarkistusten hallinta Microsoft Defenderissä .
| Kuvaus | PowerShell-komento |
|---|---|
| Skannaa sähköpostitiedostot ja arkistot | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Tuote- ja suojauspäivitysten hallinta
Saat Yleensä Microsoft Defender AV -päivityksiä Windows Updatesta kerran päivässä. Voit kuitenkin lisätä päivitysten tiheyttä määrittämällä seuraavat asetukset ja varmistamalla, että päivityksiä hallitaan joko System Center Configuration Managerissa, ryhmäkäytännöllä tai Intunessa.
| Kuvaus | PowerShell-komento |
|---|---|
| Päivitä allekirjoitukset joka päivä | Set-MpPreference -SignatureUpdateInterval |
| Tarkista, päivitetäänko allekirjoitukset ennen ajoitetun tarkistuksen suorittamista | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Edistynyt uhka ja hyödyntäminen lievennyksen ja eston valvotun kansion käyttö
Microsoft Defender Exploit Guard tarjoaa ominaisuuksia, jotka auttavat suojaamaan laitteita tunnetuilta haitallisilta käyttäytymisiltä ja hyökkäyksiltä haavoittuvassa asemassa olevia teknologioita vastaan.
| Kuvaus | PowerShell-komento |
|---|---|
| Estä haitallisia ja epäilyttäviä sovelluksia (kuten kiristysohjelmia) tekemästä muutoksia suojattuihin kansioihin Valvotulla kansion käyttöoikeudella | Set-MpPreference - EnableControlledFolderAccess käytössä |
| Estä yhteydet tunnettuihin virheellisiin IP-osoitteisiin ja muihin verkkoyhteyksiin verkon suojauksella | Set-MpPreference – EnableNetworkProtection käytössä |
| Käytä vakiojoukkoa lievennyskeinoja hyödyntämissuojauksen avulla |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation - PolicyFilePath ProcessMitigation.xml |
| Estä tunnetut hyökkäysvektorit hyökkäyspinnan pienentämisellä | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA--4CDC-84E5- 9B1EE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions käytössä Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Käytössä Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Käytössä Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Käytössä Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Käytössä Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Käytössä |
Jotkin säännöt saattavat estää organisaatiossa hyväksyttävän toiminnan. Näissä tapauksissa muuta sääntö Käytössä-asetuksesta Valvonta-säännöksi epätoivottujen lohkojen välttämiseksi.
Napsauta Microsoft Defenderin offline-tarkistusta yhdellä napsautuksella
Microsoft Defenderin offline-tarkistus on erityinen työkalu, joka toimitetaan Windows 10: n tai uudemman mukana, ja sen avulla voit käynnistää tietokoneen erilliseen ympäristöön normaalin käyttöjärjestelmän ulkopuolella. Se on erityisen hyödyllinen tehokkaille haittaohjelmille, kuten rootkits.
Lisätietoja tämän ominaisuuden toiminnasta on microsoft Defender Offlinessa .
| Kuvaus | PowerShell-komento |
|---|---|
| Varmista, että ilmoitusten avulla voit käynnistää tietokoneen tiettyyn haittaohjelmien poistoympäristöön | Set-MpPreference -UILockdown 0 |
Resurssit
Tässä osiossa on lueteltu useita resursseja, jotka voivat auttaa sinua Microsoft Defenderin virustentorjunnan arvioinnissa.
- Microsoft Defender Windows 10 -kirjastossa
- Microsoft Defender for Windows Server 2016 -kirjasto
- Windows 10:n suojauskirjasto
- Windows 10:n suojauksen yleiskatsaus
- Microsoft Defender Security Intelligencen (Microsoft Malware Protection Center (MMPC) verkkosivusto – uhkien tutkimus ja reagointi
- Microsoft Security -sivusto
- Microsoft Security -blogi