Évaluer Microsoft Defender antivirus à l’aide de PowerShell
S’applique à :
- Antivirus Microsoft Defender
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
Dans Windows 10 ou version ultérieure et Windows Server 2016 ou plus récente, vous pouvez utiliser les fonctionnalités de protection de nouvelle génération offertes par Microsoft Defender Antivirus (MDAV) et Microsoft Defender Exploit Guard (Microsoft Defender EG).
Cet article explique comment activer et tester les principales fonctionnalités de protection dans Microsoft Defender AV et Microsoft Defender EG, et vous fournit des conseils et des liens vers des informations supplémentaires.
Nous vous recommandons d’utiliser ce script PowerShell d’évaluation pour configurer ces fonctionnalités, mais vous pouvez activer chaque fonctionnalité individuellement avec les applets de commande décrites dans le reste de ce document.
Pour plus d’informations sur nos produits PPE, consultez les bibliothèques de documentation produit suivantes :
Cet article décrit les options de configuration dans Windows 10 ou version ultérieure et Windows Server 2016 ou plus récente.
Si vous avez des questions sur une détection que Microsoft Defender AV effectue, ou si vous découvrez une détection manquée, vous pouvez nous envoyer un fichier sur notre site d’aide sur l’exemple de soumission.
Utiliser PowerShell pour activer les fonctionnalités
Ce guide fournit les applets de commande antivirus Microsoft Defender qui configurent les fonctionnalités que vous devez utiliser pour évaluer notre protection.
Pour utiliser ces applets de commande :
- Ouvrez une instance avec élévation de privilèges de PowerShell (choisissez Exécuter en tant qu’administrateur).
- Entrez la commande répertoriée dans ce guide, puis appuyez sur Entrée.
Vous pouvez case activée l’status de tous les paramètres avant de commencer ou pendant votre évaluation à l’aide de l’applet de commande PowerShell Get-MpPreference.
Microsoft Defender AV indique une détection par le biais de notifications Windows standard. Vous pouvez également passer en revue les détections dans l’application MICROSOFT DEFENDER AV.
Le journal des événements Windows enregistre également les événements de détection et de moteur. Consultez l’article événements Microsoft Defender Antivirus pour obtenir la liste des ID d’événements et leurs actions correspondantes.
Fonctionnalités de protection cloud
Standard mises à jour de définition peuvent prendre des heures à préparer et à fournir ; notre service de protection cloud peut fournir cette protection en quelques secondes.
Pour plus d’informations, consultez Utiliser des technologies de nouvelle génération dans Microsoft Defender Antivirus via une protection fournie par le cloud.
| Description | Commande PowerShell |
|---|---|
| Activer le cloud Microsoft Defender pour une protection quasi instantanée et une protection accrue | Set-MpPreference -MAPSReporting Avancé |
| Envoyer automatiquement des exemples pour améliorer la protection des groupes | Set-MpPreference -SubmitSamplesConsent Always |
| Toujours utiliser le cloud pour bloquer les nouveaux programmes malveillants en quelques secondes | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Analyser tous les fichiers et pièces jointes téléchargés | Set-MpPreference -DisableIOAVProtection 0 |
| Définissez le niveau de bloc cloud sur « Élevé » | Set-MpPreference -CloudBlockLevel High |
| Délai d’expiration du bloc cloud à jeu élevé à 1 minute | Set-MpPreference -CloudExtendedTimeout 50 |
Protection Always On (analyse en temps réel)
Microsoft Defender AV analyse les fichiers dès qu’ils sont vus par Windows et surveille les processus en cours d’exécution pour détecter les comportements malveillants connus ou suspects. Si le moteur antivirus détecte une modification malveillante, il bloque immédiatement l’exécution du processus ou du fichier.
Pour plus d’informations sur ces options, consultez Configurer la protection comportementale, heuristique et en temps réel.
| Description | Commande PowerShell |
|---|---|
| Surveiller constamment les fichiers et les processus pour les modifications connues des programmes malveillants | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Surveiller constamment les comportements connus des programmes malveillants, même dans les fichiers « propre » et les programmes en cours d’exécution | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Analyser les scripts dès qu’ils sont vus ou exécutés | Set-MpPreference -DisableScriptScanning 0 |
| Analyser les lecteurs amovibles dès qu’ils sont insérés ou montés | Set-MpPreference -DisableRemovableDriveScanning 0 |
Protection des applications potentiellement indésirables
Les applications potentiellement indésirables sont des fichiers et des applications qui ne sont traditionnellement pas classés comme malveillants. Il s’agit notamment des programmes d’installation non-Microsoft pour les logiciels courants, l’injection de publicité et certains types de barres d’outils dans votre navigateur.
| Description | Commande PowerShell |
|---|---|
| Empêcher l’installation des graywares, des logiciels de publicité et d’autres applications potentiellement indésirables | Set-MpPreference -PUAProtection activé |
analyse Email et archive
Vous pouvez configurer Microsoft Defender Antivirus pour analyser automatiquement certains types de fichiers de courrier électronique et de fichiers d’archive (tels que les fichiers .zip) lorsqu’ils sont vus par Windows. Vous trouverez plus d’informations sur cette fonctionnalité dans l’article Analyses de messagerie managées dans Microsoft Defender article.
| Description | Commande PowerShell |
|---|---|
| Analyser les fichiers de courrier électronique et les archives | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Gérer les mises à jour de produits et de protection
En règle générale, vous recevez Microsoft Defender mises à jour av de Windows Update une fois par jour. Toutefois, vous pouvez augmenter la fréquence de ces mises à jour en définissant les options suivantes et en vous assurant que vos mises à jour sont gérées dans System Center Configuration Manager, avec stratégie de groupe ou dans Intune.
| Description | Commande PowerShell |
|---|---|
| Mettre à jour les signatures tous les jours | Set-MpPreference -SignatureUpdateInterval |
| Vérifier la mise à jour des signatures avant d’exécuter une analyse planifiée | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Protection avancée contre les menaces et les attaques et prévention Accès contrôlé aux dossiers
Microsoft Defender Exploit Guard fournit des fonctionnalités qui aident à protéger les appareils contre les comportements malveillants connus et les attaques sur les technologies vulnérables.
| Description | Commande PowerShell |
|---|---|
| Empêcher les applications malveillantes et suspectes (telles que les rançongiciels) d’apporter des modifications aux dossiers protégés avec accès contrôlé aux dossiers | Set-MpPreference -EnableControlFolderAccess enabled |
| Bloquer les connexions à des adresses IP incorrectes connues et à d’autres connexions réseau avec protection réseau | Set-MpPreference -EnableNetworkProtection Enabled |
| Appliquer un ensemble standard d’atténuations avec Exploit Protection |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Bloquer les vecteurs d’attaque malveillants connus avec la réduction de la surface d’attaque | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEEEE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions Add-MpPreference activé -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Activé Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Activé Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9 -9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDDC7B -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Activé |
Certaines règles peuvent bloquer le comportement que vous trouvez acceptable dans votre organization. Dans ce cas, remplacez la règle activé par Audit pour empêcher les blocs indésirables.
Activer la protection contre les falsifications
Dans le portail Microsoft XDR (security.microsoft.com), accédez à Paramètres Points>de terminaisonFonctionnalités >avancéesProtection> contre lesfalsifications> activé.
Pour plus d’informations, consultez Comment faire configurer ou gérer la protection contre les falsifications.
Vérifier la connectivité réseau Cloud Protection
Il est important de case activée que la connectivité réseau Cloud Protection fonctionne pendant les tests de votre stylet.
CMD (Exécuter en tant qu’administrateur)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Pour plus d’informations, consultez Utiliser l’outil cmdline pour valider la protection fournie par le cloud.
Analyse en une seule sélection Microsoft Defender hors connexion
Microsoft Defender l’analyse hors connexion est un outil spécialisé fourni avec Windows 10 ou une version plus récente, et qui vous permet de démarrer une machine dans un environnement dédié en dehors du système d’exploitation normal. Il est particulièrement utile pour les programmes malveillants puissants, tels que les rootkits.
Pour plus d’informations sur le fonctionnement de cette fonctionnalité, consultez Microsoft Defender hors connexion.
| Description | Commande PowerShell |
|---|---|
| Vérifiez que les notifications vous permettent de démarrer le PC dans un environnement de suppression de programmes malveillants spécialisé | Set-MpPreference -UILockdown 0 |
Ressources
Cette section répertorie de nombreuses ressources qui peuvent vous aider à évaluer Microsoft Defender Antivirus.
- Microsoft Defender dans Windows 10 bibliothèque
- Microsoft Defender pour Windows Server 2016 bibliothèque
- bibliothèque de sécurité Windows 10
- Vue d’ensemble de la sécurité Windows 10
- site web Microsoft Defender Security Intelligence (Centre de protection Microsoft contre les programmes malveillants (MMPC)) – Recherche et réponse aux menaces
- Site web Microsoft Security
- Blog sur la sécurité Microsoft