Evalueer Microsoft Defender Antivirus met behulp van groepsbeleid
Van toepassing op:
- Microsoft Defender Antivirus
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
Platforms:
- Windows
In Windows 10 of nieuwer en Windows Server 2016 of nieuwer kunt u beveiligingsfuncties van de volgende generatie gebruiken die worden aangeboden door Microsoft Defender Antivirus (MDAV) en Microsoft Defender Exploit Guard (Microsoft Defender EG).
In dit onderwerp wordt uitgelegd hoe u de belangrijkste beveiligingsfuncties in Microsoft Defender AV en Microsoft Defender EG inschakelt en test. Daarnaast vindt u richtlijnen en koppelingen naar meer informatie.
In dit artikel worden configuratieopties beschreven in Windows 10 of nieuwer en Windows Server 2016 of nieuwer.
Gebruik Microsoft Defender Antivirus met groepsbeleid om de functies in te schakelen
Deze handleiding bevat de Microsoft Defender Antivirus groepsbeleid waarmee de functies worden geconfigureerd die u moet gebruiken om onze beveiliging te evalueren.
Download de nieuwste 'Windows groepsbeleid-beheersjablonen'.
Zie Central Store maken en beheren - Windows Client voor meer informatie.
Tip
De Windows-versie werkt met de Windows-servers.
Zelfs als u een Windows 10 of Windows Server 2016 uitvoert, kunt u de meest recente beheersjablonen voor Windows 11 of nieuwer downloaden.
Maak een 'Central Store' om de nieuwste .admx- en .adml-sjablonen te hosten.
Zie Central Store maken en beheren - Windows Client voor meer informatie.
Indien toegevoegd aan een domein:
Maak een nieuwe overname van OE-blokbeleid.
Open Groepsbeleidsbeheerconsole (GPMC.msc).
Ga naar groepsbeleid Objecten en maak een nieuwe groepsbeleid.
Klik met de rechtermuisknop op het nieuwe beleid dat is gemaakt en selecteer Bewerken.
Navigeer naar Computerconfiguratiebeleid>>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus.
of
Als u lid bent van een werkgroep
Open groepsbeleid Editor MMC (GPEdit.msc).
Navigeer naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus.
MDAV en mogelijk ongewenste toepassingen (PUA)
Wortel:
| Beschrijving | Instelling |
|---|---|
| Microsoft Defender Antivirus uitschakelen | Uitgeschakeld |
| Detectie configureren voor mogelijk ongewenste toepassingen | Ingeschakeld - Blokkeren |
Realtime-beveiliging (always-on-beveiliging, realtime scannen)
\ Realtime-beveiliging:
| Beschrijving | Instelling |
|---|---|
| Realtime-beveiliging uitschakelen | Uitgeschakeld |
| Bewaking configureren voor binnenkomende en uitgaande bestands- en programmaactiviteit | Ingeschakeld, bidirectioneel (volledige toegang) |
| Gedragscontrole inschakelen | Ingeschakeld |
| Bestands- en programmaactiviteit op uw computer bewaken | Ingeschakeld |
Cloudbeveiligingsfuncties
Het voorbereiden en leveren van standaard updates van beveiligingsinformatie kan uren duren; onze cloudbeveiligingsservice kan deze beveiliging binnen enkele seconden bieden.
Zie Next-Gen-technologieën gebruiken in Microsoft Defender Antivirus via cloudbeveiliging voor meer informatie.
\ KAARTEN:
| Beschrijving | Instelling |
|---|---|
| Deelnemen aan Microsoft MAPS | Ingeschakeld, Advanced MAPS |
| De functie 'Blokkeren bij eerste gezicht' configureren | Ingeschakeld |
| Bestandsvoorbeelden verzenden wanneer verdere analyse is vereist | Ingeschakeld, Alle voorbeelden verzenden |
\ MpEngine:
| Beschrijving | Instelling |
|---|---|
| Cloudbeveiligingsniveau selecteren | Ingeschakeld, hoog blokkeringsniveau |
| Uitgebreide cloudcontrole configureren | Ingeschakeld, 50 |
Scans
| Beschrijving | Instelling |
|---|---|
| Heuristiek inschakelen | Ingeschakeld |
| Scannen via e-mail inschakelen | Ingeschakeld |
| Alle gedownloade bestanden en bijlagen scannen | Ingeschakeld |
| Scriptscans inschakelen | Ingeschakeld |
| Archiefbestanden scannen | Ingeschakeld |
| Ingepakte uitvoerbare bestanden scannen | Ingeschakeld |
| Scannen van netwerkbestanden configureren (Netwerkbestanden scannen) | Ingeschakeld |
| Verwisselbare stations scannen | Ingeschakeld |
| Scannen op reparsepunten inschakelen | Ingeschakeld |
Updates voor beveiligingsinformatie
| Beschrijving | Instelling |
|---|---|
| Geef het interval op om te controleren op updates van beveiligingsinformatie | Ingeschakeld, 4 |
| De volgorde van bronnen definiëren voor het downloaden van updates voor beveiligingsinformatie | Ingeschakeld onder 'De volgorde van bronnen definiëren voor het downloaden van updates voor beveiligingsinformatie' InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC Notitie: Waarbij InternalDefinitionUpdateServer WSUS is met Microsoft Defender Antivirus-updates toegestaan. MicrosoftUpdateServer == Microsoft Update (voorheen Windows Update). MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
AV-instellingen voor lokale beheerder uitschakelen
Schakel AV-instellingen voor lokale beheerders uit, zoals uitsluitingen, en dwing het beleid af vanuit de Microsoft Defender voor Eindpunt Beheer van beveiligingsinstellingen.
Wortel:
| Beschrijving | Instelling |
|---|---|
| Samenvoeggedrag van lokale beheerders configureren voor lijsten | Uitgeschakeld |
| Bepalen of uitsluitingen zichtbaar zijn voor lokale beheerders | Ingeschakeld |
Standaardactie ernst bedreiging
\ Bedreigingen
| Beschrijving | Instelling | Waarschuwingsniveau | Actie |
|---|---|---|---|
| Waarschuwingsniveaus voor bedreigingen opgeven waarbij standaardactie niet moet worden uitgevoerd wanneer deze worden gedetecteerd | Ingeschakeld | ||
| 5 (ernstig) | 2 (Quarantaine) | ||
| 4 (hoog) | 2 (Quarantaine) | ||
| 2 (gemiddeld) | 2 (Quarantaine) | ||
| 1 (laag) | 2 (Quarantaine) |
\ Quarantaine
| Beschrijving | Instelling |
|---|---|
| Het verwijderen van items uit de map Quarantaine configureren | Ingeschakeld, 60 |
\ Clientinterface
| Beschrijving | Instelling |
|---|---|
| Modus voor hoofdloze gebruikersinterface inschakelen | Uitgeschakeld |
Netwerkbeveiliging
\ Microsoft Defender Exploit Guard\Network Protection:
| Beschrijving | Instelling |
|---|---|
| Voorkomen dat gebruikers en apps toegang hebben tot gevaarlijke websites | Ingeschakeld, blokkeren |
| Met deze instellingen bepaalt u of Netwerkbeveiliging mag worden geconfigureerd in de blok- of controlemodus op Windows Server | Ingeschakeld |
Als u Netwerkbeveiliging voor Windows-servers wilt inschakelen, gebruikt u voorlopig Powershell:
| BESTURINGSSYSTEEM | PowerShell-cmdlet |
|---|---|
| Windows Server 2012 R2Windows Server 2022 en hoger | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Windows Server 2016- en Windows Server 2012 R2-client voor geïntegreerde MDE | set-MpPreference -AllowNetworkProtectionOnWinServer $true en set-MpPreference -AllowNetworkProtectionDownLevel $true |
Regels voor het verminderen van kwetsbaarheid voor aanvallen
Navigeer naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
Selecteer Volgende.
| Beschrijving | Instelling |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eee46550 Opmerking: (Uitvoerbare inhoud van e-mailclient en webmail blokkeren) |
1 (blok) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Opmerking: (Voorkomen dat Adobe Reader onderliggende processen maakt) |
1 (blok) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc Opmerking: (Uitvoering van mogelijk verborgen scripts blokkeren) |
1 (blok) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 Opmerking: (Misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren) |
1 (blok) |
| 92e97fa1-2edf-4476-bdd6-9ddb4dddc7b Opmerking: (Win32-API-aanroepen vanuit Office-macro's blokkeren) |
1 (blok) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 Opmerking: (Voorkomen dat uitvoerbare bestanden worden uitgevoerd, tenzij ze voldoen aan een criterium voor prevalentie, leeftijd of vertrouwde lijst) |
1 (blok) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 Opmerking: (Voorkomen dat de Office-communicatietoepassing onderliggende processen maakt) |
1 (blok) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a Opmerking: (Alle Office-toepassingen blokkeren voor het maken van onderliggende processen) |
1 (blok) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Opmerking: ( [PREVIEW] Het gebruik van gekopieerde of geïmiteerde systeemhulpprogramma's blokkeren) |
1 (blok) |
| d3e037e1-3eb8-44c8-a917-57927947596d Opmerking: (JavaScript of VBScript blokkeren voor het starten van gedownloade uitvoerbare inhoud) |
1 (blok) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Opmerking: (Het stelen van referenties van het Windows-subsysteem voor lokale beveiligingsinstantie blokkeren) |
1 (blok) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 Opmerking: (Het maken van webshells voor servers blokkeren) |
1 (blok) |
| 3b576869-a4ec-4529-8536-b80a7769e899 Opmerking: (Voorkomen dat Office-toepassingen uitvoerbare inhoud kunnen maken) |
1 (blok) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Opmerking: (Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB) |
1 (blok) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Opmerking: (Voorkomen dat Office-toepassingen code in andere processen injecteren) |
1 (blok) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b Opmerking: (Persistentie blokkeren via WMI-gebeurtenisabonnement) |
1 (blok) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 Opmerking: (Geavanceerde beveiliging tegen ransomware gebruiken) |
1 (blok) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c Opmerking: (Procescreaties blokkeren die afkomstig zijn van PSExec- en WMI-opdrachten) |
1 (blok) Notitie: Als u Configuration Manager (voorheen SCCM) of andere beheerhulpprogramma's hebt die gebruikmaken van WMI, moet u dit mogelijk instellen op 2 ('audit') in plaats van 1('block'). |
| 33ddedf1-c6e0-47cb-833e-de6133960387 Opmerking: ( [PREVIEW] Het opnieuw opstarten van de computer in de veilige modus blokkeren) |
1 (blok) |
Tip
Sommige regels blokkeren mogelijk gedrag dat u acceptabel vindt in uw organisatie. Wijzig in deze gevallen de regel van 'Ingeschakeld' in 'Audit' om ongewenste blokken te voorkomen.
Gecontroleerde maptoegang
Navigeer naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
| Beschrijving | Instelling |
|---|---|
| Gecontroleerde maptoegang configureren | Ingeschakeld, blokkeren |
Wijs het beleid toe aan de organisatie-eenheid waar de testmachines zich bevinden.
De platformupdateversie controleren
Het meest recente productiekanaal (GA) van de platformupdate is hier beschikbaar:
Als u wilt controleren welke versie van platformupdate u hebt geïnstalleerd, gebruikt u de volgende PowerShell-opdracht (Uitvoeren als beheerder):
get-mpComputerStatus | ft AMProductVersion
De versie van de Security Intelligence Update controleren
De nieuwste versie van 'Security Intelligence Update' is hier beschikbaar:
Als u wilt controleren welke versie van Security Intelligence Update u hebt geïnstalleerd, gebruikt u de volgende PowerShell-opdracht (Uitvoeren als beheerder):
get-mpComputerStatus | ft AntivirusSignatureVersion
De engine-updateversie controleren
De meest recente versie van de scan 'engine update' is hier beschikbaar:
Als u wilt controleren welke versie van engine-update u hebt geïnstalleerd, gebruikt u de volgende PowerShell-opdracht (Uitvoeren als beheerder):
get-mpComputerStatus | ft AMEngineVersion
Als u ziet dat uw instellingen niet van kracht worden, is er mogelijk een conflict. Als u conflicten wilt oplossen, raadpleegt u: Problemen met Microsoft Defender antivirusinstellingen oplossen.
Voor inzendingen met fout-negatieven (FN's)
Als u vragen hebt over een detectie die Microsoft Defender AV maakt, of als u een gemiste detectie ontdekt, kunt u een bestand naar ons verzenden.
Als u Microsoft XDR, Microsoft Defender voor Eindpunt P2/P1 of Microsoft Defender voor Bedrijven hebt: raadpleeg Bestanden verzenden in Microsoft Defender voor Eindpunt.
Als u Microsoft Defender Antivirus hebt, raadpleegt u:https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
Microsoft Defender AV geeft een detectie aan via standaard Windows-meldingen. U kunt ook detecties bekijken in de Microsoft Defender AV-app.
In het Windows-gebeurtenislogboek worden ook detectie- en engine-gebeurtenissen vastgelegd. Zie het artikel Microsoft Defender Antivirusgebeurtenissen voor een lijst met gebeurtenis-id's en de bijbehorende acties.
Als uw instellingen niet correct worden toegepast, controleert u of er conflicterende beleidsregels zijn ingeschakeld in uw omgeving. Zie Problemen met Microsoft Defender Antivirusinstellingen oplossen voor meer informatie.
Als u een Microsoft-ondersteuningsaanvraag wilt openen: Neem contact op met Microsoft Defender voor Eindpunt ondersteuning.