Evaluer Microsoft Defender Antivirus ved hjelp av Powershell
Gjelder for:
- Microsoft Defender Antivirus
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
I Windows 10 eller nyere og Windows Server 2016 eller nyere kan du bruke neste generasjons beskyttelsesfunksjoner som tilbys av Microsoft Defender Antivirus(MDAV) og Microsoft Defender Exploit Guard (Microsoft Defender EG).
Dette emnet forklarer hvordan du aktiverer og tester de viktigste beskyttelsesfunksjonene i Microsoft Defender AV og Microsoft Defender EG, og gir deg veiledning og koblinger til mer informasjon.
Vi anbefaler at du bruker dette Evaluerings-PowerShell-skriptet til å konfigurere disse funksjonene, men du kan enkeltvis aktivere hver funksjon med cmdletene som er beskrevet i resten av dette dokumentet.
Se følgende biblioteker for produktdokumentasjon for mer informasjon om EPP-produktene våre:
Denne artikkelen beskriver konfigurasjonsalternativer i Windows 10 eller nyere og Windows Server 2016 eller nyere.
Hvis du har spørsmål om en oppdagelse som Microsoft Defender AV gjør, eller du oppdager en tapt oppdagelse, kan du sende inn en fil til oss på vårt hjelpenettsted for innsending.
Bruk PowerShell til å aktivere funksjonene
Denne veiledningen inneholder Microsoft Defender Antivirus-cmdleter som konfigurerer funksjonene du bør bruke til å evaluere beskyttelsen vår.
Slik bruker du disse cmdletene:
1. Åpne en opphøyd forekomst av PowerShell (velg Kjør som administrator).
2. Skriv inn kommandoen som er oppført i denne veiledningen, og trykk ENTER.
Du kan kontrollere statusen for alle innstillingene før du begynner, eller under evalueringen, ved hjelp av Get-MpPreference PowerShell-cmdleten.
Microsoft Defender AV angir en gjenkjenning gjennom standard Windows-varsler. Du kan også se gjennom gjenkjenninger i Microsoft Defender AV-appen.
Windows-hendelsesloggen registrerer også gjenkjenning og motorhendelser. Se artikkelen om Microsoft Defender Antivirus-hendelser for en liste over hendelses-ID-er og tilhørende handlinger.
Skybeskyttelsesfunksjoner
Standard definisjonsoppdateringer kan ta flere timer å klargjøre og levere. vår skyleverte beskyttelsestjeneste kan levere denne beskyttelsen på sekunder.
Flere detaljer er tilgjengelige i Bruk neste generasjons teknologier i Microsoft Defender Antivirus gjennom skybasert beskyttelse.
| Beskrivelse | PowerShell-kommando |
|---|---|
| Aktiver Microsoft Defender Cloud for umiddelbar beskyttelse og økt beskyttelse | Set-MpPreference -MAPSReporting Advanced |
| Send inn eksempler automatisk for å øke gruppebeskyttelsen | Set-MpPreference –SubmitSamplesConsent always |
| Bruk alltid skyen til å blokkere ny skadelig programvare i løpet av sekunder | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Skann alle nedlastede filer og vedlegg | Set-MpPreference -DisableIOAVProtection 0 |
| Sett skyblokknivået til «Høy» | Set-MpPreference -CloudBlockLevel High |
| Tidsavbrudd for høysett skyblokk til 1 minutt | Set-MpPreference –CloudExtendedTimeout 50 |
Alltid på-beskyttelse (sanntidsskanning)
Microsoft Defender AV skanner filer så snart de er sett av Windows, og overvåker prosessene som kjører for kjente eller mistenkte ondsinnede handlinger. Hvis antivirusmotoren oppdager skadelige endringer, vil den umiddelbart blokkere prosessen eller filen fra å kjøre.
Se Konfigurere virkemåte, heuristikk og sanntidsbeskyttelse for mer informasjon om disse alternativene.
| Beskrivelse | PowerShell-kommando |
|---|---|
| Overvåk stadig filer og prosesser for kjente endringer i skadelig programvare | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Overvåk kontinuerlig etter kjente virkemåter for skadelig programvare – selv i «rene» filer og programmer som kjører | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Skanne skript så snart de vises eller kjøres | Set-MpPreference –DisableScriptScanning 0 |
| Skann flyttbare stasjoner så snart de er satt inn eller montert | Set-MpPreference –DisableRemovableDriveScanning 0 |
Potensielt uønsket programbeskyttelse
Potensielt uønskede programmer er filer og apper som tradisjonelt ikke er klassifisert som skadelige. Disse inkluderer tredjeparts installasjonsprogrammer for vanlig programvare, annonseinjeksjon og visse typer verktøylinjer i nettleseren.
| Beskrivelse | PowerShell-kommando |
|---|---|
| Hindre at grayware, adware og andre potensielt uønskede apper installeres | Set-MpPreference -PUAProtection aktivert |
Skanne e-post og arkivere
Du kan angi at Microsoft Defender Antivirus automatisk skal skanne visse typer e-postfiler og arkivere filer (for eksempel .zip filer) når de vises av Windows. Du finner mer informasjon om denne funksjonen under artikkelen Behandle e-postskanninger i Microsoft Defender .
| Beskrivelse | PowerShell-kommando |
|---|---|
| Skanne e-postfiler og arkiver | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Administrer produkt- og beskyttelsesoppdateringer
Vanligvis mottar du Microsoft Defender AV-oppdateringer fra Windows Update én gang per dag. Du kan imidlertid øke hyppigheten av disse oppdateringene ved å angi følgende alternativer og sørge for at oppdateringene administreres enten i System Center Configuration Manager, med gruppepolicy eller i Intune.
| Beskrivelse | PowerShell-kommando |
|---|---|
| Oppdatere signaturer hver dag | Set-MpPreference -SignatureUpdateInterval |
| Kontroller for å oppdatere signaturer før du kjører en planlagt skanning | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Avansert trussel og utnyttelse av begrensninger og forebygging av kontrollert mappetilgang
Microsoft Defender Exploit Guard tilbyr funksjoner som bidrar til å beskytte enheter mot kjente ondsinnede handlinger og angrep på sårbare teknologier.
| Beskrivelse | PowerShell-kommando |
|---|---|
| Hindre skadelige og mistenkelige apper (for eksempel løsepengevirus) fra å gjøre endringer i beskyttede mapper med kontrollert mappetilgang | Set-MpPreference -EnableControlledFolderAccess aktivert |
| Blokkere tilkoblinger til kjente ugyldige IP-adresser og andre nettverkstilkoblinger med nettverksbeskyttelse | Set-MpPreference -EnableNetworkProtection aktivert |
| Bruke et standard sett med begrensninger med Exploit Protection |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Blokker kjente ondsinnede angrepsvektorer med reduksjon av angrepsoverflaten | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Aktivert Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions aktivert Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A9 17- 57927947596D -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Aktivert Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions aktivert Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Aktivert Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions aktivert Legg til MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions aktivert |
Noen regler kan blokkere virkemåten du finner akseptabel i organisasjonen. I slike tilfeller kan du endre regelen fra Aktivert til Overvåking for å forhindre uønskede blokker.
Søk i frakoblet modus med Ett klikk på Microsoft Defender
Microsoft Defender Offline Scan er et spesialisert verktøy som følger med Windows 10 eller nyere, og lar deg starte en maskin i et dedikert miljø utenfor det normale operativsystemet. Det er spesielt nyttig for potent skadelig programvare, for eksempel rootkits.
Se Microsoft Defender Offline for mer informasjon om hvordan denne funksjonen fungerer.
| Beskrivelse | PowerShell-kommando |
|---|---|
| Sørg for at varsler lar deg starte PC-en i et spesialisert miljø for fjerning av skadelig programvare | Set-MpPreference -UILockdown 0 |
Ressurser
Denne delen viser mange ressurser som kan hjelpe deg med å evaluere Microsoft Defender Antivirus.
- Microsoft Defender i Windows 10-biblioteket
- Microsoft Defender for Windows Server 2016-bibliotek
- Sikkerhetsbibliotek for Windows 10
- Sikkerhetsoversikt for Windows 10
- Nettstedet Microsoft Defender Security Intelligence (Microsoft Malware Protection Center (MMPC)) – trusselforskning og respons
- Microsoft Security-nettsted
- Microsoft Security-blogg