Ocena programu antywirusowego Microsoft Defender przy użyciu Microsoft Defender Endpoint Security Settings Management (zasady zabezpieczeń punktu końcowego)
W Windows 10 lub nowszym, w Windows Server 2016 lub nowszym, można użyć funkcji ochrony nowej generacji oferowanych przez oprogramowanie antywirusowe Microsoft Defender (MDAV) i Microsoft Defender Exploit Guard (Microsoft Defender EG).
W tym artykule opisano opcje konfiguracji dostępne w Windows 10 i nowszych wersjach, a także w Windows Server 2016 i nowszych wersjach. Zawiera szczegółowe wskazówki dotyczące aktywacji i testowania funkcji ochrony kluczy w programach antywirusowych Microsoft Defender (MDAV) i Ochrona punktu końcowego w usłudze Microsoft Defender (EG).
Jeśli masz jakiekolwiek pytania dotyczące wykrywania przez mdav lub wykryjesz nieodebrane wykrycie, możesz przesłać do nas plik w naszej przykładowej witrynie pomocy dotyczącej przesyłania.
Użyj Microsoft Defender Endpoint Security Settings Management (zasady zabezpieczeń punktu końcowego), aby włączyć funkcje
W tej sekcji opisano Ochrona punktu końcowego w usłudze Microsoft Defender Zarządzanie ustawieniami zabezpieczeń (zasady zabezpieczeń punktu końcowego), które konfigurują funkcje, których należy użyć do oceny naszej ochrony.
MDAV wskazuje wykrywanie za pośrednictwem standardowych powiadomień systemu Windows. Możesz również przejrzeć wykrycia w aplikacji MDAV. Aby to zrobić, zobacz Przeglądanie wyników skanowania programu antywirusowego Microsoft Defender.
Dziennik zdarzeń systemu Windows rejestruje również zdarzenia wykrywania i aparatu. Aby uzyskać listę identyfikatorów zdarzeń i odpowiadających im akcji, zobacz artykuł Microsoft Defender Zdarzenia antywirusowe. Aby uzyskać informacje na temat listy identyfikatorów zdarzeń i odpowiadających im akcji, zobacz Przejrzyj dzienniki zdarzeń i kody błędów, aby rozwiązać problemy z programem antywirusowym Microsoft Defender.
Aby skonfigurować opcje, których należy użyć do testowania funkcji ochrony, wykonaj następujące kroki:
Zaloguj się do Microsoft Defender XDR.
Przejdź do pozycji Punkty końcoweZarządzanie > konfiguracją > Zasady zabezpieczeń punktu końcowego Zasady >> systemu Windows Utwórz nowe zasady.
Wybierz pozycję Windows 10, Windows 11 i Windows Server z listy rozwijanej Wybierz platformę.
Wybierz pozycję Microsoft Defender Antivirus z listy rozwijanej Wybierz szablon.
Wybierz pozycję Utwórz zasady. Zostanie wyświetlona strona Tworzenie nowych zasad .
Na stronie Podstawy wprowadź nazwę i opis profilu odpowiednio w polach Nazwa i Opis .
Wybierz pozycję Dalej.
Na stronie Ustawienia konfiguracji rozwiń grupy ustawień.
Z tych grup ustawień wybierz te ustawienia, które chcesz zarządzać przy użyciu tego profilu.
Ustaw zasady dla wybranych grup ustawień, konfigurując ustawienia zgodnie z opisem w następujących tabelach:
Ochrona w czasie rzeczywistym (ochrona zawsze włączona, skanowanie w czasie rzeczywistym):
Opis Ustawienia Zezwalaj na monitorowanie w czasie rzeczywistym Dozwolone Kierunek skanowania w czasie rzeczywistym Monitorowanie wszystkich plików (dwukierunkowych) Zezwalaj na monitorowanie zachowania Dozwolone Zezwalaj na ochronę dostępu Dozwolone Ochrona pua Ochrona pua w dniu Funkcje ochrony chmury:
Opis Ustawienie Zezwalaj na ochronę w chmurze Dozwolone Poziom bloku chmury High (Wysoki) Rozszerzony limit czasu w chmurze Skonfigurowano, 50 Przesyłanie przykładów — zgoda Automatycznie wysyłaj wszystkie przykłady
Przygotowanie i dostarczenie standardowych aktualizacji analizy zabezpieczeń może potrwać wiele godzin. nasza usługa ochrony dostarczana w chmurze może zapewnić tę ochronę w ciągu kilku sekund. Aby uzyskać więcej informacji, zobacz Korzystanie z technologii nowej generacji w programie antywirusowym Microsoft Defender za pośrednictwem ochrony dostarczanej w chmurze.
Skanuje:
| Opis | Ustawienie |
|---|---|
| Zezwalaj na skanowanie Email | Dozwolone |
| Zezwalaj na skanowanie wszystkich pobranych plików i załączników | Dozwolone |
| Zezwalaj na skanowanie skryptów | Dozwolone |
| Zezwalaj na skanowanie Archiwum | Dozwolone |
| Zezwalaj na skanowanie plików sieciowych | Dozwolone |
| Zezwalaj na skanowanie w trybie pełnego skanowania na dysku wymiennym | Dozwolone |
Ochrona sieci:
| Opis | Ustawienie |
|---|---|
| Włączanie ochrony sieci | Włączone (tryb bloku) |
| Zezwalaj na ochronę sieci na poziomie w dół | Ochrona sieci jest włączona w dół. |
| Zezwalaj na przetwarzanie datagramów na serwerze win | Przetwarzanie programu Datagram na Windows Server jest włączone. |
| Wyłączanie analizowania protokołu DNS za pośrednictwem protokołu TCP | Usługa DNS za pośrednictwem analizy TCP jest włączona. |
| Wyłączanie analizy HTTP | Analizowanie http jest włączone. |
| Wyłączanie analizowania SSH | Analizowanie SSH jest włączone. |
| Wyłączanie analizowania protokołu TLS | Analizowanie protokołu TLS jest włączone. |
| Włączanie systemu DNS Sinkhole | System DNS Sinkhole jest włączony. |
Aktualizacje analizy zabezpieczeń:
| Opis | Ustawienie |
|---|---|
| Interwał aktualizacji podpisu | Skonfigurowano, 4 |
Opis: Ustawienie kolejności rezerwowej aktualizacji sygnatury: zaznacz pole wyboru Dla rezerwowej aktualizacji sygnatury
InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, gdzie "InternalDefinitionUpdateServer" jest WSUS z Microsoft Defender aktualizacje antywirusowe dozwolone; "MicrosoftUpdateServer" = Microsoft Update (dawniej Windows Update) i MMPC = https://www.microsoft.com/en-us/wdsi/definitions.
Administrator lokalny AV:
Wyłącz ustawienia aplikacji av administratora lokalnego, takie jak wykluczenia, i ustaw zasady z Ochrona punktu końcowego w usłudze Microsoft Defender Zarządzanie ustawieniami zabezpieczeń zgodnie z opisem w poniższej tabeli:
| Opis | Ustawienie |
|---|---|
| Wyłącz scalanie Administracja lokalnej | Wyłącz scalanie Administracja lokalnej |
Domyślna akcja ważności zagrożenia:
| Opis | Ustawienie |
|---|---|
| Akcja korygowania dla zagrożeń o wysokiej ważności | Kwarantanna |
| Akcja korygowania poważnych zagrożeń | Kwarantanna |
| Akcja korygowania zagrożeń o niskiej ważności | Kwarantanna |
| Akcja korygowania dla zagrożeń o umiarkowanej ważności | Kwarantanna |
| Opis | Ustawienie |
|---|---|
| Dni do zachowania czyszczone | Skonfigurowano, 60 |
| Zezwalaj na dostęp do interfejsu użytkownika | Dozwolone. Zezwalaj użytkownikom na dostęp do interfejsu użytkownika. |
- Po zakończeniu konfigurowania ustawień wybierz pozycję Dalej.
- Na karcie Przypisania wybierz pozycję Grupa urządzeń , Grupa użytkowników , Wszystkie urządzenia lub Wszyscy użytkownicy.
- Wybierz pozycję Dalej.
- Na karcie Przeglądanie i tworzenie przejrzyj ustawienia zasad, a następnie wybierz pozycję Zapisz.
Reguły zmniejszania obszaru podatnego na ataki
Aby włączyć reguły zmniejszania obszaru ataków (ASR) przy użyciu zasad zabezpieczeń punktu końcowego, wykonaj następujące kroki:
Zaloguj się do Microsoft Defender XDR.
Przejdź do pozycji Punkty końcoweZarządzanie > konfiguracją > Zasady zabezpieczeń punktu końcowego Zasady >> systemu Windows Utwórz nowe zasady.
Wybierz pozycję Windows 10, Windows 11 i Windows Server z listy rozwijanej Wybierz platformę.
Wybierz pozycję Reguły zmniejszania obszaru podatnego na ataki z listy rozwijanej Wybierz szablon .
Wybierz pozycję Utwórz zasady.
Na stronie Podstawy wprowadź nazwę i opis profilu; następnie wybierz pozycję Dalej.
Na stronie Ustawienia konfiguracji rozwiń grupy ustawień i skonfiguruj te ustawienia, które chcesz zarządzać przy użyciu tego profilu.
Ustaw zasady na podstawie następujących zalecanych ustawień:
Opis Ustawienie Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej Blokuj Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych Blokuj Blokuj wykonywanie potencjalnie zaciemnionych skryptów Blokuj Blokuj nadużywanie wykorzystywanych, narażonych na zagrożenia podpisanych sterowników (Urządzenie) Blokuj Blokuj wywołania interfejsu API Win32 z makr pakietu Office Blokuj Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych Blokuj Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office Blokuj Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office Blokuj [WERSJA ZAPOZNAWCZA] Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych Blokuj Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript Blokuj Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows Blokuj Blokuj tworzenie powłoki internetowej dla serwerów Blokuj Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office Blokuj Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB Blokuj Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów Blokuj Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI Blokuj Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup Blokuj Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI Blokuj (jeśli masz Configuration Manager (dawniej SCCM) lub inne narzędzia do zarządzania korzystające z usługi WMI, może być konieczne ustawienie tej opcji na Wartość Inspekcja zamiast Blokuj) [WERSJA ZAPOZNAWCZA] Blokuj ponowne uruchamianie maszyny w trybie awaryjnym Blokuj Włączanie kontrolowanego dostępu do folderów Włączone
Porada
Dowolna z reguł może blokować zachowanie, które można uznać za akceptowalne w organizacji. W takich przypadkach dodaj wykluczenia dla reguł o nazwie "Wykluczenia tylko do zmniejszania obszaru podatnego na ataki". Ponadto zmień regułę z Włączone na Inspekcja , aby zapobiec niepożądanym blokom.
- Wybierz pozycję Dalej.
- Na karcie Przypisania wybierz pozycję Grupa urządzeń , Grupa użytkowników , Wszystkie urządzenia lub Wszyscy użytkownicy.
- Wybierz pozycję Dalej.
- Na karcie Przeglądanie i tworzenie przejrzyj ustawienia zasad, a następnie wybierz pozycję Zapisz.
Włączanie ochrony przed naruszeniami
Zaloguj się do Microsoft Defender XDR.
Przejdź do pozycji Punkty końcoweZarządzanie > konfiguracją > Zasady zabezpieczeń punktu końcowego Zasady >> systemu Windows Utwórz nowe zasady.
Wybierz pozycję Windows 10, Windows 11 i Windows Server z listy rozwijanej Wybierz platformę.
Wybierz pozycję Środowisko zabezpieczeń z listy rozwijanej Wybierz szablon .
Wybierz pozycję Utwórz zasady. Zostanie wyświetlona strona Tworzenie nowych zasad .
Na stronie Podstawy wprowadź nazwę i opis profilu odpowiednio w polach Nazwa i Opis .
Wybierz pozycję Dalej.
Na stronie Ustawienia konfiguracji rozwiń grupy ustawień.
W tych grupach wybierz ustawienia, które chcesz zarządzać przy użyciu tego profilu.
Ustaw zasady dla wybranych grup ustawień, konfigurując je zgodnie z opisem w poniższej tabeli:
Opis Ustawienie TamperProtection (urządzenie) Włączone
Sprawdzanie łączności sieciowej usługi Cloud Protection
Należy sprawdzić, czy łączność sieciowa usługi Cloud Protection działa podczas testowania penetracyjnego.
CMD (Uruchom jako administrator)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Aby uzyskać więcej informacji , zweryfikuj ochronę dostarczaną przez chmurę za pomocą narzędzia cmdline.
Sprawdzanie wersji aktualizacji platformy
Najnowsza wersja kanału produkcyjnego "Aktualizacja platformy" jest dostępna w katalogu microsoft update.
Aby sprawdzić zainstalowaną wersję "Aktualizacja platformy", uruchom następujące polecenie w programie PowerShell przy użyciu uprawnień administratora:
Get-MPComputerStatus | Format-Table AMProductVersion
Sprawdzanie wersji aktualizacji analizy zabezpieczeń
Najnowsza wersja "Security Intelligence Update" jest dostępna w najnowszych aktualizacjach analizy zabezpieczeń dla programu antywirusowego Microsoft Defender i innych programów antywirusowych firmy Microsoft chroniących przed złośliwym oprogramowaniem — Microsoft Security Intelligence.
Aby sprawdzić zainstalowaną wersję "Security Intelligence Update", uruchom następujące polecenie w programie PowerShell przy użyciu uprawnień administratora:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
Sprawdzanie wersji aktualizacji aparatu
Najnowsza wersja skanowania "aktualizacja aparatu" jest dostępna w najnowszych aktualizacjach analizy zabezpieczeń dla programu antywirusowego Microsoft Defender i innych programów antywirusowych firmy Microsoft chroniących przed złośliwym oprogramowaniem — Microsoft Security Intelligence.
Aby sprawdzić zainstalowaną wersję "Aktualizacja aparatu", uruchom następujące polecenie w programie PowerShell przy użyciu uprawnień administratora:
Get-MPComputerStatus | Format-Table AMEngineVersion
Jeśli okaże się, że ustawienia nie wchodzą w życie, może wystąpić konflikt. Aby uzyskać informacje na temat rozwiązywania konfliktów, zobacz Rozwiązywanie problemów z ustawieniami programu antywirusowego Microsoft Defender.
W przypadku przesyłania fałszywych negatywów (FN)
Aby uzyskać informacje na temat sposobu przesyłania fałszywych negatywów ,zobacz:
- Prześlij pliki w Ochrona punktu końcowego w usłudze Microsoft Defender, jeśli masz usługę Microsoft XDR, Ochrona punktu końcowego w usłudze Microsoft Defender P2/P1 lub Microsoft Defender dla Firm.
- Prześlij pliki do analizy, jeśli masz program antywirusowy Microsoft Defender.