Evalueer Microsoft Defender Antivirus met behulp van Microsoft Defender Endpoint Security Settings Management (Eindpuntbeveiligingsbeleid)
In Windows 10 of hoger en in Windows Server 2016 of hoger kunt u gebruikmaken van beveiligingsfuncties van de volgende generatie die worden aangeboden door Microsoft Defender Antivirus (MDAV) en Microsoft Defender Exploit Guard (Microsoft Defender EG).
In dit artikel worden configuratieopties in Windows 10 of hoger en in Windows Server 2016 of hoger beschreven waarmee u de belangrijkste beveiligingsfuncties in MDAV en Microsoft Defender EG kunt activeren en testen. Daarnaast vindt u richtlijnen en koppelingen naar meer informatie.
Als u vragen hebt over een detectie die MDAV maakt of als u een gemiste detectie ontdekt, kunt u een bestand naar ons verzenden op onze helpsite voor voorbeeldinzending.
Beheer van Microsoft Defender eindpuntbeveiligingsinstellingen (eindpuntbeveiligingsbeleid) gebruiken om de functies in te schakelen
In deze sectie wordt het Microsoft Defender voor Eindpunt Beheer van beveiligingsinstellingen (eindpuntbeveiligingsbeleid) beschreven waarmee de functies worden geconfigureerd die u moet gebruiken om onze beveiliging te evalueren.
MDAV geeft een detectie aan via standaard Windows-meldingen. U kunt ook detecties bekijken in de MDAV-app. Zie Scanresultaten van Microsoft Defender Antivirus controleren om dit te doen.
In het Windows-gebeurtenislogboek worden ook detectie- en engine-gebeurtenissen vastgelegd. Zie het artikel Microsoft Defender Antivirusgebeurtenissen voor een lijst met gebeurtenis-id's en de bijbehorende acties. Zie Gebeurtenislogboeken en foutcodes controleren om problemen met Microsoft Defender Antivirus op te lossen voor meer informatie over de lijst met gebeurtenis-id's en de bijbehorende acties.
Voer de volgende stappen uit om de opties te configureren die u moet gebruiken om de beveiligingsfuncties te testen:
- Meld u aan bij Microsoft Defender XDR.
- Ga naar Eindpunten > Configuratiebeheer > Eindpuntbeveiligingsbeleid > Windows-beleid > Nieuw beleid maken.
- Selecteer Windows 10, Windows 11 en Windows Server in de vervolgkeuzelijst Platform selecteren.
- Selecteer Microsoft Defender Antivirus in de vervolgkeuzelijst Sjabloon selecteren.
- Selecteer Beleid maken. De pagina Een nieuw beleid maken wordt weergegeven.
- Voer op de pagina Basisbeginselen een naam en beschrijving in voor het profiel in respectievelijk de velden Naam en Beschrijving .
- Selecteer Volgende.
- Vouw op de pagina Configuratie-instellingen de groepen instellingen uit.
- Selecteer in deze groepen instellingen de instellingen die u met dit profiel wilt beheren.
- Stel het beleid in voor de gekozen groepen instellingen door de instellingen te configureren zoals beschreven in de volgende tabellen:
Realtime-beveiliging (always-on-beveiliging, realtime scannen):
| Beschrijving | Instellingen |
|---|---|
| Realtime-bewaking toestaan | Toegestaan |
| Realtime scanrichting | Alle bestanden bewaken (bidirectioneel) |
| Gedragscontrole toestaan | Toegestaan |
| Toegangsbeveiliging toestaan | Toegestaan |
| PUA-beveiliging | PUA-beveiliging op |
Cloudbeveiligingsfuncties:
| Beschrijving | Instelling |
|---|---|
| Cloudbeveiliging toestaan | Toegestaan |
| Blokniveau van cloud | Hoog |
| Uitgebreide time-out voor cloud | Geconfigureerd, 50 |
| Toestemming voor het verzenden van voorbeelden | Alle voorbeelden automatisch verzenden |
Het voorbereiden en leveren van standaard updates van beveiligingsinformatie kan uren duren; onze cloudbeveiligingsservice kan deze beveiliging binnen enkele seconden bieden. Zie Next-Gen-technologieën gebruiken in Microsoft Defender Antivirus via cloudbeveiliging voor meer informatie.
Scans:
| Beschrijving | Instelling |
|---|---|
| Scannen Email toestaan | Toegestaan |
| Scannen van alle gedownloade bestanden en bijlagen toestaan | Toegestaan |
| Scannen van scripts toestaan | Toegestaan |
| Scannen Archief toestaan | Toegestaan |
| Scannen van netwerkbestanden toestaan | Toegestaan |
| Scannen van verwisselbaar station volledig scannen toestaan | Toegestaan |
Netwerkbeveiliging:
| Beschrijving | Instelling |
|---|---|
| Netwerkbeveiliging inschakelen | Ingeschakeld (blokmodus) |
| Offlineniveau netwerkbeveiliging toestaan | Netwerkbeveiliging wordt downlevel ingeschakeld. |
| Datagramverwerking toestaan op Win Server | Gegevensverwerking op Windows Server is ingeschakeld. |
| DNS via TCP-parsering uitschakelen | DNS via TCP parseren is ingeschakeld. |
| HTTP-parsering uitschakelen | HTTP-parsering is ingeschakeld. |
| SSH-parsering uitschakelen | SSH-parseren is ingeschakeld. |
| TLS-parsering uitschakelen | TLS-parsering is ingeschakeld. |
| DNS-sinkhole inschakelen | DNS Sinkhole is ingeschakeld. |
Updates voor beveiligingsinformatie:
| Beschrijving | Instelling |
|---|---|
| Interval voor bijwerken van handtekening | Geconfigureerd, 4 |
Beschrijving: Instelling voor terugvalvolgorde voor handtekeningupdates: schakel het selectievakje voor terugval van handtekeningupdate in
InternalDefinitionUpdateServer |MicrosoftUpdateServer|MMPC, waarbij 'InternalDefinitionUpdateServer' WSUS is met Microsoft Defender Antivirus-updates toegestaan; 'MicrosoftUpdateServer' = Microsoft Update (voorheen Windows Update); en MMPC = https://www.microsoft.com/en-us/wdsi/definitions.
Lokale beheerder AV:
Schakel AV-instellingen voor lokale beheerders, zoals uitsluitingen, uit en stel het beleid in vanuit de Microsoft Defender voor Eindpunt Beheer van beveiligingsinstellingen, zoals beschreven in de volgende tabel:
| Beschrijving | Instelling |
|---|---|
| Lokale Beheer samenvoegen uitschakelen | Lokale Beheer samenvoegen uitschakelen |
Standaardactie ernst bedreiging:
| Beschrijving | Instelling |
|---|---|
| Herstelactie voor bedreigingen met hoge ernst | Quarantaine |
| Herstelactie voor ernstige bedreigingen | Quarantaine |
| Herstelactie voor bedreigingen met een lage ernst | Quarantaine |
| Herstelactie voor bedreigingen met gemiddelde ernst | Quarantaine |
| Beschrijving | Instelling |
|---|---|
| Dagen om schoon te houden | Geconfigureerd, 60 |
| Gebruikersinterfacetoegang toestaan | Toegestaan. Gebruikers toegang geven tot de gebruikersinterface. |
- Wanneer je klaar bent met het configureren van instellingen, selecteer je Volgende.
- Selecteer op het tabblad Toewijzingende optie Apparaatgroep of Gebruikersgroep of Alle apparaten of Alle gebruikers.
- Selecteer Volgende.
- Controleer op het tabblad Controleren en maken uw beleidsinstellingen en selecteer vervolgens Opslaan.
Regels voor het verminderen van kwetsbaarheid voor aanvallen
Voer de volgende stappen uit om ASR-regels (Attack Surface Reduction) in te schakelen met behulp van het eindpuntbeveiligingsbeleid:
Meld u aan bij Microsoft Defender XDR.
Ga naar Eindpunten > Configuratiebeheer > Eindpuntbeveiligingsbeleid > Windows-beleid > Nieuw beleid maken.
Selecteer Windows 10, Windows 11 en Windows Server in de vervolgkeuzelijst Platform selecteren.
Selecteer Regels voor het verminderen van kwetsbaarheid voor aanvallen in de vervolgkeuzelijst Sjabloon selecteren .
Selecteer Beleid maken.
Voer op de pagina Basisinformatie een naam en beschrijving in voor het profiel. kies vervolgens Volgende.
Vouw op de pagina Configuratie-instellingen de groepen instellingen uit en configureer de instellingen die u wilt beheren met dit profiel.
Stel het beleid in op basis van de volgende aanbevolen instellingen:
Beschrijving Instelling Uitvoerbare inhoud van e-mailclient en webmail blokkeren Blokkeren Voorkomen dat Adobe Reader onderliggende processen kan maken Blokkeren Uitvoering van mogelijk verborgen scripts blokkeren Blokkeren Misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren (apparaat) Blokkeren Win32 API-aanroepen blokkeren vanuit Office-macro's Blokkeren Uitvoerbare bestanden blokkeren, tenzij ze voldoen aan een criterium voor de prevalentie, leeftijd of vertrouwde lijst Blokkeren Office-communicatietoepassing blokkeren voor het maken van onderliggende processen Blokkeren Voorkomen dat alle Office-toepassingen onderliggende processen kunnen maken Blokkeren [PREVIEW] Het gebruik van gekopieerde of geïmiteerde systeemhulpprogramma's blokkeren Blokkeren JavaScript of VBScript blokkeren voor het starten van gedownloade uitvoerbare inhoud Blokkeren Het stelen van referenties van het windows-subsysteem voor lokale beveiligingsinstantie blokkeren Blokkeren Het maken van webshells voor servers blokkeren Blokkeren Office-toepassingen blokkeren voor het maken van uitvoerbare inhoud Blokkeren Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Blokkeren Voorkomen dat Office-toepassingen code in andere processen injecteren Blokkeren Persistentie blokkeren via WMI-gebeurtenisabonnement Blokkeren Geavanceerde beveiliging tegen ransomware gebruiken Blokkeren Procescreaties blokkeren die afkomstig zijn van PSExec- en WMI-opdrachten Blokkeren
OPMERKING: als u Configuration Manager (voorheen SCCM) of andere beheerhulpprogramma's hebt die gebruikmaken van WMI, moet u dit mogelijk instellen op Controleren in plaats van Blokkeren.[PREVIEW] Het opnieuw opstarten van de computer in de veilige modus blokkeren Blokkeren Gecontroleerde maptoegang inschakelen Ingeschakeld
Tip
Een van de regels kan gedrag blokkeren dat u acceptabel vindt in uw organisatie. In deze gevallen voegt u de uitsluitingen per regel toe met de naam 'Alleen uitsluitingen voor kwetsbaarheid voor aanvallen verminderen'. Wijzig de regel van Ingeschakeld in Controleren om ongewenste blokken te voorkomen.
- Selecteer Volgende.
- Selecteer op het tabblad Toewijzingende optie Apparaatgroep of Gebruikersgroep of Alle apparaten of Alle gebruikers.
- Selecteer Volgende.
- Controleer op het tabblad Controleren en maken uw beleidsinstellingen en selecteer vervolgens Opslaan.
De updateversie van het platform controleren
Het meest recente Productiekanaal (GA) van de platformupdate is beschikbaar in de Microsoft Update-catalogus.
Als u wilt controleren welke versie van Platform Update u hebt geïnstalleerd, voert u de volgende opdracht uit in PowerShell met de bevoegdheden van een beheerder:
Get-MPComputerStatus | Format-Table AMProductVersion
De versie van de Security Intelligence Update controleren
De meest recente versie van security intelligence update is beschikbaar in De nieuwste updates voor beveiligingsinformatie voor Microsoft Defender Antivirus en andere Microsoft-antimalware - Microsoft-beveiligingsinformatie.
Als u wilt controleren welke versie van Security Intelligence Update u hebt geïnstalleerd, voert u de volgende opdracht uit in PowerShell met de bevoegdheden van een beheerder:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
De engine-updateversie controleren
De meest recente versie van de scan 'engine update' is beschikbaar in Meest recente updates voor beveiligingsupdates voor Microsoft Defender Antivirus en andere Microsoft-antimalware - Microsoft-beveiligingsinformatie.
Als u wilt controleren welke versie van engine-update u hebt geïnstalleerd, voert u de volgende opdracht uit in PowerShell met de bevoegdheden van een beheerder:
Get-MPComputerStatus | Format-Table AMEngineVersion
Als u merkt dat uw instellingen niet van kracht worden, is er mogelijk een conflict. Zie Problemen met Microsoft Defender antivirusinstellingen oplossen voor meer informatie over het oplossen van conflicten.
Voor inzendingen met fout-negatieven (FN's)
Zie voor informatie over het indienen van fout-negatieven (FN's):
- Dien bestanden in Microsoft Defender voor Eindpunt als u Microsoft XDR, Microsoft Defender voor Eindpunt P2/P1 of Microsoft Defender voor Bedrijven hebt.
- Dien bestanden in voor analyse als u Microsoft Defender Antivirus hebt.