Microsoft Defender virustentorjunnan arvioiminen PowerShellin avulla
Koskee seuraavia:
- Microsoft Defenderin virustentorjunta
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
Windows 10 tai uudemman version ja Windows Server 2016 tai uudemman version avulla voit käyttää seuraavan sukupolven suojausominaisuuksia, joita tarjoavat Microsoft Defender Antivirus (MDAV) ja Microsoft Defender Exploit Guard (Microsoft Defender EG).
Tässä artikkelissa kerrotaan, miten voit ottaa käyttöön ja testata Microsoft Defender AV:n ja Microsoft Defender EG:n tärkeimmät suojausominaisuudet, sekä annetaan ohjeita ja linkkejä lisätietoihin.
Suosittelemme, että käytät tätä Arviointi-PowerShell-komentosarjaa näiden ominaisuuksien määrittämiseen, mutta voit erikseen ottaa käyttöön kunkin ominaisuuden cmdlet-komennoilla, jotka on kuvattu tämän asiakirjan muissa osioissa.
Lisätietoja EPP-tuotteistamme on seuraavissa tuotedokumentaatiokirjastoissa:
Tässä artikkelissa kuvataan määritysasetukset Windows 10 tai uudemmat ja Windows Server 2016 tai uudemmat.
Jos sinulla on kysyttävää Microsoft Defender AV:n havaitsemisesta tai jos huomaat, että havaitset tunnistuksen, voit lähettää meille tiedoston lähetyksen malliapusivustossamme.
Ota ominaisuudet käyttöön PowerShellin avulla
Tässä oppaassa on Microsoft Defender virustentorjunnan cmdlet-komennot, jotka määrittävät ominaisuudet, joita sinun tulee käyttää suojauksen arviointiin.
Jos haluat käyttää näitä cmdlet-komentoja, toimi seuraavasti:
- Avaa PowerShellin laajennettu esiintymä (valitse Suorita järjestelmänvalvojana).
- Kirjoita tässä oppaassa mainittu komento ja paina Enter-näppäintä.
Voit tarkistaa kaikkien asetusten tilan ennen aloittamista tai arvioinnin aikana käyttämällä PowerShellin cmdlet-komentoa Get-MpPreference.
Microsoft Defender AV ilmaisee tunnistuksen Windowsin vakioilmoitusten kautta. Voit myös tarkastella tunnistuksia Microsoft Defender AV -sovelluksessa.
Windowsin tapahtumalokiin tallennetaan myös tunnistus- ja moduulitapahtumat. Luettelo tapahtumatunnuksista ja niitä vastaavista toiminnoista on Microsoft Defender virustentorjuntatapahtumien artikkelissa.
Pilvisuojausominaisuudet
Standard määrityspäivitysten valmistelu ja toimittaminen voi kestää tunteja. Pilvipalvelumme voi tarjota tämän suojauksen sekunneissa.
Lisätietoja on artikkelissa Seuraavan sukupolven teknologioiden käyttäminen Microsoft Defender virustentorjunta pilvipalveluun toimitetun suojauksen kautta.
| Kuvaus | PowerShell-komento |
|---|---|
| Ota Microsoft Defender Cloud käyttöön lähes välitöntä suojausta ja parannettua suojausta varten | Set-MpPreference - MAPSReporting Lisäasetukset |
| Lisää ryhmäsuojausta lähettämällä näytteitä automaattisesti | Set-MpPreference - SubmitSamplesConsent aina |
| Käytä aina pilvipalvelua uusien haittaohjelmien estämiseen sekunneissa | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Tarkista kaikki ladatut tiedostot ja liitteet | Set-MpPreference -DisableIOAVProtection 0 |
| Pilvilohkotason määrittäminen korkeaksi | Set-MpPreference - CloudBlockLevel High |
| Korkea asetettu pilvilohko aikakatkaisu 1 minuuttiin | Set-MpPreference -CloudExtendedTimeout 50 |
Aina käytössä -suojaus (reaaliaikainen skannaus)
Microsoft Defender AV tarkistaa tiedostot heti, kun Windows on nähnyt ne, ja valvoo käynnissä olevia prosesseja tunnettujen tai epäiltyjen haittaohjelmien varalta. Jos virustentorjuntaohjelma löytää haitallisia muokkauksia, se estää heti prosessin tai tiedoston suorittamisen.
Lisätietoja näistä vaihtoehdoista on kohdassa Käyttäytymisen, heuristiikan ja reaaliaikaisen suojauksen määrittäminen.
| Kuvaus | PowerShell-komento |
|---|---|
| Valvo jatkuvasti tiedostoja ja prosesseja tunnettujen haittaohjelmien muokkauksia varten | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Valvo jatkuvasti tunnettuja haittaohjelmiston toimintaa – jopa "puhtaissa" tiedostoissa ja käynnissä oleissa ohjelmissa | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Skannaa komentosarjat heti, kun ne näkyvät tai suoritetaan | Set-MpPreference -DisableScriptScanning 0 |
| Tarkista siirrettävät asemat heti, kun ne on lisätty tai asennettu | Set-MpPreference -DisableRemovableDriveScanning 0 |
Mahdollisesti ei-toivottu sovelluksen suojaus
Mahdollisesti ei-toivotut sovellukset ovat tiedostoja ja sovelluksia, joita ei ole perinteisesti luokiteltu haitallisiksi. Näitä ovat esimerkiksi muut kuin Microsoftin asennusohjelmat yleisiä ohjelmistoja varten, mainosten lisääminen ja tietyntyyppiset työkalurivit selaimessasi.
| Kuvaus | PowerShell-komento |
|---|---|
| Estä harmaaohjelmia, mainosohjelmia ja muita mahdollisesti ei-toivottuja sovelluksia asentamasta | Set-MpPreference - PUAProtection käytössä |
Sähköpostin ja arkistoinnin tarkistus
Voit määrittää Microsoft Defender virustentorjuntaohjelman tarkistamaan automaattisesti tietyntyyppiset sähköpostitiedostot ja arkistotiedostot (kuten .zip tiedostot), kun Windows näkee ne. Lisätietoja tästä ominaisuudesta on artikkelissa Hallittujen sähköpostien tarkistukset Microsoft Defender.
| Kuvaus | PowerShell-komento |
|---|---|
| Skannaa sähköpostitiedostot ja arkistot | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Tuote- ja suojauspäivitysten hallinta
Saat yleensä Microsoft Defender AV-päivityksiä Windows Updatesta kerran päivässä. Voit kuitenkin lisätä päivitysten tiheyttä määrittämällä seuraavat asetukset ja varmistamalla, että päivityksiä hallitaan joko System Center Configuration Manager, ryhmäkäytäntö tai Intune.
| Kuvaus | PowerShell-komento |
|---|---|
| Päivitä allekirjoitukset joka päivä | Set-MpPreference -SignatureUpdateInterval |
| Tarkista, päivitetäänko allekirjoitukset ennen ajoitetun tarkistuksen suorittamista | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Edistynyt uhka ja hyödyntäminen lievennyksen ja eston valvotun kansion käyttö
Microsoft Defender Exploit Guard tarjoaa ominaisuuksia, jotka auttavat suojaamaan laitteita tunnetuilta haitallisilta käyttäytymisiltä ja hyökkäyksiltä haavoittuvassa asemassa olevia teknologioita vastaan.
| Kuvaus | PowerShell-komento |
|---|---|
| Estä haitallisia ja epäilyttäviä sovelluksia (kuten kiristysohjelmia) tekemästä muutoksia suojattuihin kansioihin Valvotulla kansion käyttöoikeudella | Set-MpPreference - EnableControlledFolderAccess käytössä |
| Estä yhteydet tunnettuihin virheellisiin IP-osoitteisiin ja muihin verkkoyhteyksiin verkon suojauksella | Set-MpPreference – EnableNetworkProtection käytössä |
| Käytä vakiojoukkoa lievennyskeinoja hyödyntämissuojauksen avulla |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation - PolicyFilePath ProcessMitigation.xml |
| Estä tunnetut hyökkäysvektorit hyökkäyspinnan pienentämisellä | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA--4CDC-84E5- 9B1EE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions käytössä Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Käytössä Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Käytössä Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Käytössä Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Käytössä Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Käytössä |
Jotkin säännöt saattavat estää organisaatiossa hyväksyttävän toiminnan. Näissä tapauksissa muuta sääntö Käytössä-asetuksesta Valvonta-säännöksi epätoivottujen lohkojen välttämiseksi.
Ota käyttöön peukaloinnin suojaus
Siirry Microsoft XDR -portaalissa (security.microsoft.com) kohtaan Asetukset>PäätepisteetLisäominaisuudet>>Peukaloinnin suojaus>käytössä.
Katso lisätietoja artikkelista Ohjevalikko määrittää tai hallita peukaloinnin suojausta.
Tarkista Cloud Protection -verkkoyhteys
On tärkeää tarkistaa, että Cloud Protection -verkkoyhteys toimii kynätestauksen aikana.
CMD (Suorita järjestelmänvalvojana)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Lisätietoja on ohjeaiheessa Pilvipalveluun toimitetun suojauksen vahvistaminen cmdline-työkalun avulla.
Yksivalintainen Microsoft Defender offline-tarkistus
Microsoft Defender Offline Scan on erityinen työkalu, joka toimitetaan Windows 10 tai uudemman kanssa ja jonka avulla voit käynnistää tietokoneen erilliseen ympäristöön normaalin käyttöjärjestelmän ulkopuolella. Se on erityisen hyödyllinen tehokkaille haittaohjelmille, kuten rootkits.
Lisätietoja tämän ominaisuuden toiminnasta on kohdassa Microsoft Defender Offline.
| Kuvaus | PowerShell-komento |
|---|---|
| Varmista, että ilmoitusten avulla voit käynnistää tietokoneen tiettyyn haittaohjelmien poistoympäristöön | Set-MpPreference -UILockdown 0 |
Resurssit
Tässä osiossa on lueteltu useita resursseja, jotka voivat auttaa sinua Microsoft Defender virustentorjunnan arvioinnissa.
- Microsoft Defender Windows 10-kirjastossa
- Windows Server 2016 -kirjaston Microsoft Defender
- Windows 10 suojauskirjasto
- Windows 10 tietoturvan yleiskatsaus
- Microsoft Defender Security Intelligence (Microsoft Malware Protection Center, MMPC) -sivusto – uhkien tutkimus ja reagointi
- Microsoft Security -sivusto
- Microsoft Security -blogi