Évaluer Microsoft Defender Antivirus à l’aide de stratégie de groupe
S’applique à :
- Antivirus Microsoft Defender
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
Plateformes :
- Windows
Dans Windows 10 ou version ultérieure et Windows Server 2016 ou plus récente, vous pouvez utiliser les fonctionnalités de protection de nouvelle génération offertes par Microsoft Defender Antivirus (MDAV) et Microsoft Defender Exploit Guard (Microsoft Defender EG).
Cette rubrique explique comment activer et tester les principales fonctionnalités de protection dans Microsoft Defender AV et Microsoft Defender EG, et vous fournit des conseils et des liens vers des informations supplémentaires.
Cet article décrit les options de configuration dans Windows 10 ou version ultérieure et Windows Server 2016 ou plus récente.
Utiliser Microsoft Defender Antivirus à l’aide de stratégie de groupe pour activer les fonctionnalités
Ce guide fournit les stratégie de groupe antivirus Microsoft Defender qui configurent les fonctionnalités que vous devez utiliser pour évaluer notre protection.
Récupérez les derniers modèles d’administration Windows stratégie de groupe.
Pour plus d’informations, consultez Créer et gérer le magasin central - Client Windows.
Conseil
Celui de Windows fonctionne avec les serveurs Windows.
Même si vous exécutez une Windows 10 ou une Windows Server 2016, obtenez les modèles d’administration les plus récents pour Windows 11 ou une version plus récente.
Créez un magasin central pour héberger les derniers modèles .admx et .adml.
Pour plus d’informations, consultez Créer et gérer le magasin central - Client Windows.
S’il est joint à un domaine :
Créez un héritage de stratégie de bloc d’unité d’organisation.
Ouvrez console de gestion des stratégies de groupe (GPMC.msc).
Accédez à stratégie de groupe Objets et créez un stratégie de groupe.
Cliquez avec le bouton droit sur la nouvelle stratégie créée, puis sélectionnez Modifier.
Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus.
ou
S’il est joint à un groupe de travail
Ouvrez stratégie de groupe Rédacteur MMC (GPEdit.msc).
Accédez à Configuration> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus.
MDAV et applications potentiellement indésirables (PUA)
Racine:
| Description | Setting |
|---|---|
| Désactiver Microsoft Defender Antivirus | Désactivé |
| Configurer la détection des applications potentiellement indésirables | Activé - Bloquer |
Protection en temps réel (protection always-on, analyse en temps réel)
\ Protection en temps réel :
| Description | Setting |
|---|---|
| Désactiver la protection en temps réel | Désactivé |
| Configurer la surveillance de l’activité des fichiers et des programmes entrants et sortants | Activé, bidirectionnel (accès complet) |
| Activer la surveillance du comportement | Activé |
| Surveiller l’activité des fichiers et des programmes sur votre ordinateur | Activé |
Fonctionnalités de protection cloud
Standard mises à jour du renseignement de sécurité peuvent prendre des heures à préparer et à fournir ; notre service de protection cloud peut fournir cette protection en quelques secondes.
Pour plus d’informations, consultez Utiliser des technologies de nouvelle génération dans Microsoft Defender Antivirus via une protection fournie par le cloud.
\ CARTES:
| Description | Setting |
|---|---|
| Rejoindre Microsoft MAPS | Enabled, Advanced MAPS |
| Configurer la fonctionnalité « Bloquer à la première consultation » | Activé |
| Envoyer des exemples de fichiers quand une analyse supplémentaire est requise | Activé, Envoyer tous les exemples |
\ MpEngine :
| Description | Setting |
|---|---|
| Sélectionner le niveau de protection cloud | Activé, niveau de blocage élevé |
| Configurer des case activée cloud étendus | Activé, 50 |
Scans
| Description | Setting |
|---|---|
| Activer l’heuristique | Activé |
| Activer l’analyse des e-mails | Activé |
| Analyser tous les fichiers et pièces jointes téléchargés | Activé |
| Activer l’analyse des scripts | Activé |
| Analyser les fichiers d’archive | Activé |
| Analyser les exécutables compressés | Activé |
| Configurer l’analyse des fichiers réseau (Analyser les fichiers réseau) | Activé |
| Analyser les lecteurs amovibles | Activé |
| Activer l’analyse des points d’analyse | Activé |
Mises à jour de Security Intelligence
| Description | Setting |
|---|---|
| Spécifier l’intervalle à case activée pour les mises à jour du renseignement de sécurité | Activé, 4 |
| Définir l’ordre des sources pour le téléchargement des mises à jour du renseignement de sécurité | Activé, sous « Définir l’ordre des sources pour le téléchargement des mises à jour du renseignement de sécurité » InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC Note: Où InternalDefinitionUpdateServer est WSUS avec Microsoft Defender mises à jour antivirus autorisées. MicrosoftUpdateServer == Microsoft Update (anciennement Windows Update). MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
Désactiver les paramètres AV de l’administrateur local
Désactivez les paramètres AV de l’administrateur local, tels que les exclusions, et appliquez les stratégies de la gestion des paramètres de sécurité Microsoft Defender pour point de terminaison.
Racine:
| Description | Setting |
|---|---|
| Configurer le comportement de fusion de l’administrateur local pour les listes | Désactivé |
| Contrôler si les exclusions sont visibles ou non par les administrateurs locaux | Activé |
Action par défaut de gravité des menaces
\ Menaces
| Description | Setting | Niveau d’alerte | Action |
|---|---|---|---|
| Spécifier les niveaux d’alerte de menace auxquels l’action par défaut ne doit pas être effectuée en cas de détection | Activé | ||
| 5 (Sévère) | 2 (Quarantaine) | ||
| 4 (élevé) | 2 (Quarantaine) | ||
| 2 (moyen) | 2 (Quarantaine) | ||
| 1 (Faible) | 2 (Quarantaine) |
\ Quarantaine
| Description | Setting |
|---|---|
| Configurer la suppression d’éléments du dossier quarantaine | Activé, 60 |
\ Interface cliente
| Description | Setting |
|---|---|
| Activer le mode d’interface utilisateur sans tête | Désactivé |
Protection réseau
\ Microsoft Defender Exploit Guard\Network Protection :
| Description | Setting |
|---|---|
| Empêcher les utilisateurs et les applications d’accéder à des sites web dangereux | Activé, Bloquer |
| Ces paramètres déterminent si la protection réseau est autorisée à être configurée en mode bloc ou audit sur Windows Server | Activé |
Pour activer la protection réseau pour les serveurs Windows, utilisez Pour l’instant, utilisez PowerShell :
| Système d’exploitation | Applet de commande PowerShell |
|---|---|
| Windows Server 2012 R2Windows Server 2022 et versions ultérieures | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| client MDE unifié Windows Server 2016 et Windows Server 2012 R2 | set-MpPreference -AllowNetworkProtectionOnWinServer $true et set-MpPreference -AllowNetworkProtectionDownLevel $true |
Règles de réduction de la surface d’attaque
Accédez à Configuration> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus> Microsoft Defender Réduction de lasurface d’attaqueExploit Guard>.
Sélectionnez Suivant.
| Description | Setting |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eeeeee46550 Remarque : (Bloquer le contenu exécutable du client de messagerie et de la messagerie web) |
1 (Bloquer) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Remarque : (Empêcher Adobe Reader de créer des processus enfants) |
1 (Bloquer) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc Remarque : (Bloquer l’exécution de scripts potentiellement obfusqués) |
1 (Bloquer) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 Remarque : (Bloquer l’abus des conducteurs signés vulnérables exploités) |
1 (Bloquer) |
| 92e97fa1-2edf-4476-bdd6-9dd0b4ddddc7b Remarque : (Bloquer les appels d’API Win32 à partir des macros Office) |
1 (Bloquer) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 Remarque : (Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste approuvée) |
1 (Bloquer) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 Remarque : (Empêcher l’application de communication Office de créer des processus enfants) |
1 (Bloquer) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a Remarque : (Empêcher toutes les applications Office de créer des processus enfants) |
1 (Bloquer) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Remarque : ( [PRÉVERSION] Bloquer l’utilisation des outils système copiés ou usurpés d’identité) |
1 (Bloquer) |
| d3e037e1-3eb8-44c8-a917-57927947596d Remarque : (Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé) |
1 (Bloquer) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Remarque : (Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows) |
1 (Bloquer) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 Remarque : (Bloquer la création de l’interpréteur de commandes Web pour les serveurs) |
1 (Bloquer) |
| 3b576869-a4ec-4529-8536-b80a7769e899 Remarque : (Empêcher les applications Office de créer du contenu exécutable) |
1 (Bloquer) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Remarque : (Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB) |
1 (Bloquer) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Remarque : (Empêcher les applications Office d’injecter du code dans d’autres processus) |
1 (Bloquer) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b Remarque : (Bloquer la persistance via l’abonnement aux événements WMI) |
1 (Bloquer) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 Remarque : (Utiliser une protection avancée contre les rançongiciels) |
1 (Bloquer) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c Remarque : (Bloquer les créations de processus provenant des commandes PSExec et WMI) |
1 (Bloquer) Note: Si vous avez Configuration Manager (anciennement SCCM) ou d’autres outils de gestion qui utilisent WMI, vous devrez peut-être définir ce paramètre sur 2 (« audit ») au lieu de 1 (bloc). |
| 33ddedf1-c6e0-47cb-833e-de6133960387 Remarque : ( [PRÉVERSION] Bloquer le redémarrage de l’ordinateur en mode sans échec) |
1 (Bloquer) |
Conseil
Certaines règles peuvent bloquer le comportement que vous trouvez acceptable dans votre organization. Dans ce cas, remplacez la règle « Activé » par « Audit » pour empêcher les blocs indésirables.
Accès contrôlé aux dossiers
Accédez à Configuration> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus> Microsoft Defender Réduction de lasurface d’attaqueExploit Guard>.
| Description | Setting |
|---|---|
| Configurer l’accès contrôlé aux dossiers | Activé, Bloquer |
Affectez les stratégies à l’unité d’organisation où se trouvent les machines de test.
Vérifier la version de la mise à jour de la plateforme
Le dernier canal de production de la version « Mise à jour de la plateforme » est disponible ici :
Pour case activée la version « Mise à jour de la plateforme » que vous avez installée, utilisez la commande PowerShell suivante (Exécuter en tant qu’administrateur) :
get-mpComputerStatus | ft AMProductVersion
Vérifier la version de security Intelligence Update
La dernière version de « Security Intelligence Update » est disponible ici :
Pour case activée la version « Security Intelligence Update » que vous avez installée, utilisez la commande PowerShell suivante (Exécuter en tant qu’administrateur) :
get-mpComputerStatus | ft AntivirusSignatureVersion
Vérifier la version de la mise à jour du moteur
La dernière version de l’analyse « mise à jour du moteur » est disponible ici :
Pour case activée la version de mise à jour du moteur que vous avez installée, utilisez la commande PowerShell suivante (Exécuter en tant qu’administrateur) :
get-mpComputerStatus | ft AMEngineVersion
Si vous constatez que vos paramètres ne prennent pas effet, vous risquez d’avoir un conflit. Pour résoudre les conflits, consultez : Résoudre les problèmes Microsoft Defender paramètres antivirus.
Pour les envois de faux négatifs (FN)
Si vous avez des questions sur une détection que Microsoft Defender AV effectue, ou si vous découvrez une détection manquée, vous pouvez nous envoyer un fichier.
Si vous disposez de Microsoft XDR, Microsoft Defender pour point de terminaison P2/P1 ou Microsoft Defender pour entreprises : consultez Envoyer des fichiers dans Microsoft Defender pour point de terminaison.
Si vous avez Microsoft Defender Antivirus, reportez-vous à :https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
Microsoft Defender AV indique une détection par le biais de notifications Windows standard. Vous pouvez également passer en revue les détections dans l’application MICROSOFT DEFENDER AV.
Le journal des événements Windows enregistre également les événements de détection et de moteur. Consultez l’article événements antivirus Microsoft Defender pour obtenir la liste des ID d’événements et leurs actions correspondantes.
Si vos paramètres ne sont pas appliqués correctement, vérifiez s’il existe des stratégies en conflit activées dans votre environnement. Pour plus d’informations, consultez Résoudre les problèmes Microsoft Defender paramètres antivirus.
Si vous avez besoin d’ouvrir un cas de support Microsoft : contactez Microsoft Defender pour point de terminaison support technique.