Évaluer l’antivirus Microsoft Defender à l’aide de PowerShell
S’applique à :
- Antivirus Microsoft Defender
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
Dans Windows 10 ou version ultérieure et Windows Server 2016 ou version ultérieure, vous pouvez utiliser les fonctionnalités de protection de nouvelle génération offertes par Antivirus Microsoft Defender (MDAV) et Microsoft Defender Exploit Guard (Microsoft Defender EG).
Cette rubrique explique comment activer et tester les principales fonctionnalités de protection dans Microsoft Defender AV et Microsoft Defender EG, et vous fournit des conseils et des liens vers des informations supplémentaires.
Nous vous recommandons d’utiliser ce script PowerShell d’évaluation pour configurer ces fonctionnalités, mais vous pouvez activer chaque fonctionnalité individuellement avec les applets de commande décrites dans le reste de ce document.
Pour plus d’informations sur nos produits PPE, consultez les bibliothèques de documentation produit suivantes :
Cet article décrit les options de configuration dans Windows 10 ou version ultérieure et Windows Server 2016 ou version ultérieure.
Si vous avez des questions sur une détection que Microsoft Defender AV effectue, ou si vous découvrez une détection manquée, vous pouvez nous envoyer un fichier sur notre site d’aide sur l’exemple de soumission.
Utiliser PowerShell pour activer les fonctionnalités
Ce guide fournit les applets de commande de l’Antivirus Microsoft Defender qui configurent les fonctionnalités que vous devez utiliser pour évaluer notre protection.
Pour utiliser ces applets de commande :
1. Ouvrez une instance avec élévation de privilèges de PowerShell (choisissez Exécuter en tant qu’administrateur).
2. Entrez la commande répertoriée dans ce guide et appuyez sur Entrée.
Vous pouvez vérifier l’état de tous les paramètres avant de commencer ou pendant votre évaluation à l’aide de l’applet de commande PowerShell Get-MpPreference.
Microsoft Defender AV indique une détection par le biais de notifications Windows standard. Vous pouvez également passer en revue les détections dans l’application Microsoft Defender AV.
Le journal des événements Windows enregistre également les événements de détection et de moteur. Consultez l’article Événements de l’Antivirus Microsoft Defender pour obtenir la liste des ID d’événements et leurs actions correspondantes .
Fonctionnalités de protection cloud
La préparation et la livraison des mises à jour de définitions standard peuvent prendre des heures. notre service de protection fourni par le cloud peut fournir cette protection en quelques secondes.
Pour plus d’informations, consultez Utiliser les technologies de nouvelle génération dans Antivirus Microsoft Defender via la protection fournie par le cloud.
| Description | Commande PowerShell |
|---|---|
| Activer Microsoft Defender Cloud pour une protection quasi instantanée et une protection accrue | Set-MpPreference -MAPSReporting Avancé |
| Envoyer automatiquement des exemples pour améliorer la protection des groupes | Set-MpPreference -SubmitSamplesConsent Always |
| Toujours utiliser le cloud pour bloquer les nouveaux programmes malveillants en quelques secondes | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Analyser tous les fichiers et pièces jointes téléchargés | Set-MpPreference -DisableIOAVProtection 0 |
| Définissez le niveau de bloc cloud sur « Élevé » | Set-MpPreference -CloudBlockLevel High |
| Délai d’expiration du bloc cloud défini à 1 minute | Set-MpPreference -CloudExtendedTimeout 50 |
Protection Always On (analyse en temps réel)
Microsoft Defender AV analyse les fichiers dès qu’ils sont vus par Windows et surveille les processus en cours d’exécution pour détecter les comportements malveillants connus ou suspects. Si le moteur antivirus détecte une modification malveillante, il bloque immédiatement l’exécution du processus ou du fichier.
Pour plus d’informations sur ces options , consultez Configurer la protection comportementale, heuristique et en temps réel .
| Description | Commande PowerShell |
|---|---|
| Surveiller constamment les fichiers et les processus pour les modifications connues des programmes malveillants | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Surveiller constamment les comportements connus des programmes malveillants, même dans les fichiers « propres » et les programmes en cours d’exécution | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Analyser les scripts dès qu’ils sont vus ou exécutés | Set-MpPreference -DisableScriptScanning 0 |
| Analyser les lecteurs amovibles dès qu’ils sont insérés ou montés | Set-MpPreference -DisableRemovableDriveScanning 0 |
Protection des applications potentiellement indésirables
Les applications potentiellement indésirables sont des fichiers et des applications qui ne sont pas traditionnellement classés comme malveillants. Il s’agit notamment des programmes d’installation tiers pour les logiciels courants, l’injection de publicité et certains types de barres d’outils dans votre navigateur.
| Description | Commande PowerShell |
|---|---|
| Empêcher l’installation des graywares, des logiciels de publicité et d’autres applications potentiellement indésirables | Set-MpPreference -PUAProtection activé |
Analyse des e-mails et des archives
Vous pouvez configurer l’Antivirus Microsoft Defender pour analyser automatiquement certains types de fichiers de courrier électronique et de fichiers d’archivage (tels que les fichiers .zip) lorsqu’ils sont vus par Windows. Pour plus d’informations sur cette fonctionnalité, consultez l’article Gérer les analyses de courrier électronique dans Microsoft Defender .
| Description | Commande PowerShell |
|---|---|
| Analyser les fichiers de courrier électronique et les archives | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Gérer les mises à jour de produits et de protection
En règle générale, vous recevez des mises à jour de Microsoft Defender AV à partir de Windows Update une fois par jour. Toutefois, vous pouvez augmenter la fréquence de ces mises à jour en définissant les options suivantes et en veillant à ce que vos mises à jour soient gérées dans System Center Configuration Manager, avec une stratégie de groupe ou dans Intune.
| Description | Commande PowerShell |
|---|---|
| Mettre à jour les signatures tous les jours | Set-MpPreference -SignatureUpdateInterval |
| Vérifier la mise à jour des signatures avant d’exécuter une analyse planifiée | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Protection avancée contre les menaces et les attaques et prévention Accès contrôlé aux dossiers
Microsoft Defender Exploit Guard fournit des fonctionnalités qui aident à protéger les appareils contre les comportements malveillants connus et les attaques sur les technologies vulnérables.
| Description | Commande PowerShell |
|---|---|
| Empêcher les applications malveillantes et suspectes (telles que les rançongiciels) d’apporter des modifications aux dossiers protégés avec accès contrôlé aux dossiers | Set-MpPreference -EnableControlFolderAccess enabled |
| Bloquer les connexions à des adresses IP incorrectes connues et à d’autres connexions réseau avec protection réseau | Set-MpPreference -EnableNetworkProtection Enabled |
| Appliquer un ensemble standard d’atténuations avec Exploit Protection |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Bloquer les vecteurs d’attaque malveillants connus avec la réduction de la surface d’attaque | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEEEE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions Add-MpPreference activé -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Activé Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Activé Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9 -9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDDC7B -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Activé |
Certaines règles peuvent bloquer le comportement que vous trouvez acceptable dans votre organisation. Dans ce cas, remplacez la règle activé par Audit pour empêcher les blocs indésirables.
Analyse hors connexion de Microsoft Defender en un clic
Microsoft Defender Offline Scan est un outil spécialisé fourni avec Windows 10 ou version ultérieure. Il vous permet de démarrer un ordinateur dans un environnement dédié en dehors du système d’exploitation normal. Il est particulièrement utile pour les programmes malveillants puissants, tels que les rootkits.
Pour plus d’informations sur le fonctionnement de cette fonctionnalité, consultez Microsoft Defender hors connexion .
| Description | Commande PowerShell |
|---|---|
| Vérifiez que les notifications vous permettent de démarrer le PC dans un environnement de suppression de programmes malveillants spécialisé | Set-MpPreference -UILockdown 0 |
Ressources
Cette section répertorie de nombreuses ressources qui peuvent vous aider à évaluer Antivirus Microsoft Defender.
- Microsoft Defender dans la bibliothèque Windows 10
- Bibliothèque Microsoft Defender pour Windows Server 2016
- Bibliothèque de sécurité Windows 10
- Vue d’ensemble de la sécurité Windows 10
- Site web Microsoft Defender Security Intelligence (Centre de protection microsoft contre les programmes malveillants (MMPC)) – Recherche et réponse aux menaces
- Site web Microsoft Security
- Blog sur la sécurité Microsoft