Ocena programu antywirusowego Microsoft Defender przy użyciu zasady grupy
Dotyczy:
- Program antywirusowy Microsoft Defender
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
Platformy:
- System Windows
W Windows 10 lub nowszych i Windows Server 2016 lub nowszych można użyć funkcji ochrony nowej generacji oferowanych przez oprogramowanie antywirusowe Microsoft Defender (MDAV) i Microsoft Defender Exploit Guard (Microsoft Defender EG).
W tym artykule wyjaśniono, jak włączyć i przetestować funkcje ochrony kluczy w Microsoft Defender AV i Microsoft Defender EG oraz udostępnia wskazówki i linki do dodatkowych informacji.
W tym artykule opisano opcje konfiguracji w Windows 10 lub nowszych i Windows Server 2016 lub nowszych.
Używanie programu antywirusowego Microsoft Defender przy użyciu zasady grupy w celu włączenia funkcji
Ten przewodnik zawiera zasady grupy antywirusowego Microsoft Defender, który konfiguruje funkcje, których należy użyć do oceny naszej ochrony.
Pobierz najnowsze szablony administracyjne zasady grupy systemu Windows.
Aby uzyskać więcej informacji, zobacz Tworzenie magazynu centralnego i zarządzanie nimi — klient systemu Windows.
Porada
- System Windows działa z systemami Windows Server.
- Nawet jeśli używasz Windows 10 lub Windows Server 2016, uzyskaj najnowsze szablony administracyjne dla Windows 11 lub nowszych.
Utwórz magazyn "Central Store" do hostowania najnowszych szablonów admx i adml.
Aby uzyskać więcej informacji, zobacz Tworzenie magazynu centralnego i zarządzanie nimi — klient systemu Windows.
W przypadku dołączenia do domeny:
Utwórz nowe dziedziczenie zasad bloku jednostki organizacyjnej.
Otwórz konsolę zarządzania zasadami grupy (GPMC.msc).
Przejdź do zasady grupy Objects i utwórz nowy zasady grupy.
Kliknij prawym przyciskiem myszy utworzone nowe zasady i wybierz pozycję Edytuj.
Przejdź do pozycjiZasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft Defender program antywirusowy.
lub
W przypadku dołączenia do grupy roboczej
Otwórz zasady grupy Redaktor MMC (GPEdit.msc).
Przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft Defender program antywirusowy.
MDAV i potencjalnie niechciane aplikacje (PUA)
Korzeń:
| Opis | Ustawienie |
|---|---|
| Wyłączanie programu antywirusowego Microsoft Defender | Wyłączona |
| Konfigurowanie wykrywania dla potencjalnie niechcianych aplikacji | Włączone — blokuj |
Ochrona w czasie rzeczywistym (ochrona zawsze włączona, skanowanie w czasie rzeczywistym)
\ Ochrona w czasie rzeczywistym:
| Opis | Ustawienie |
|---|---|
| Wyłączanie ochrony w czasie rzeczywistym | Wyłączona |
| Konfigurowanie monitorowania dla działań przychodzących i wychodzących plików i programów | Włączone, dwukierunkowe (pełny dostęp) |
| Włączanie monitorowania zachowania | Włączone |
| Monitorowanie aktywności plików i programów na komputerze | Włączone |
Funkcje ochrony chmury
Przygotowanie i dostarczenie standardowych aktualizacji analizy zabezpieczeń może potrwać wiele godzin. nasza usługa ochrony dostarczana w chmurze może zapewnić tę ochronę w ciągu kilku sekund.
Aby uzyskać więcej informacji, zobacz Korzystanie z technologii nowej generacji w programie antywirusowym Microsoft Defender za pośrednictwem ochrony dostarczanej w chmurze.
\ MAPY:
| Opis | Ustawienie |
|---|---|
| Dołącz do usługi Microsoft MAPS | Włączone, Zaawansowane MAPY |
| Konfigurowanie funkcji "Blokuj od pierwszego wejrzenia" | Włączone |
| Wysyłanie przykładów plików, gdy wymagana jest dalsza analiza | Włączone, Wyślij wszystkie przykłady |
\ MpEngine:
| Opis | Ustawienie |
|---|---|
| Wybieranie poziomu ochrony w chmurze | Włączony, wysoki poziom blokowania |
| Konfigurowanie rozszerzonego sprawdzania chmury | Włączone, 50 |
Skanuje
| Opis | Ustawienie |
|---|---|
| Włączanie heurystyki | Włączone |
| Włączanie skanowania poczty e-mail | Włączone |
| Skanuj wszystkie pobrane pliki i załączniki | Włączone |
| Włączanie skanowania skryptów | Włączone |
| Skanowanie plików archiwum | Włączone |
| Skanowanie spakowanych plików wykonywalnych | Włączone |
| Konfigurowanie skanowania plików sieciowych (skanowanie plików sieciowych) | Włączone |
| Skanowanie dysków wymiennych | Włączone |
| Włączanie skanowania punktów ponownej analizy | Włączone |
Aktualizacje analizy zabezpieczeń
| Opis | Ustawienie |
|---|---|
| Określ interwał sprawdzania dostępności aktualizacji analizy zabezpieczeń | Włączone, 4 |
| Definiowanie kolejności źródeł pobierania aktualizacji analizy zabezpieczeń | Włączone w obszarze "Definiowanie kolejności źródeł pobierania aktualizacji analizy zabezpieczeń" InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC Nuta: Gdzie InternalDefinitionUpdateServer jest WSUS z Microsoft Defender aktualizacje antywirusowe dozwolone. MicrosoftUpdateServer == Microsoft Update (dawniej Windows Update). MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
Wyłączanie ustawień lokalnego administratora av
Wyłącz ustawienia aplikacji av administratora lokalnego, takie jak wykluczenia, i wymuś zasady z Ochrona punktu końcowego w usłudze Microsoft Defender Zarządzania ustawieniami zabezpieczeń.
Korzeń:
| Opis | Ustawienie |
|---|---|
| Konfigurowanie zachowania scalania administratora lokalnego dla list | Wyłączona |
| Kontrolowanie, czy wykluczenia są widoczne dla administratorów lokalnych | Włączone |
Domyślna akcja ważności zagrożenia
\ Zagrożeń
| Opis | Ustawienie | Poziom alertu | Akcja |
|---|---|---|---|
| Określanie poziomów alertów o zagrożeniach, na których nie należy wykonywać akcji domyślnej po wykryciu | Włączone | ||
| 5 (Poważne) | 2 (Kwarantanna) | ||
| 4 (wysoki) | 2 (Kwarantanna) | ||
| 2 (średni) | 2 (Kwarantanna) | ||
| 1 (niski) | 2 (Kwarantanna) |
\ Kwarantanna
| Opis | Ustawienie |
|---|---|
| Konfigurowanie usuwania elementów z folderu Kwarantanna | Włączone, 60 |
\ Interfejs klienta
| Opis | Ustawienie |
|---|---|
| Włączanie trybu bezgłowego interfejsu użytkownika | Wyłączona |
Ochrona sieci
\ Microsoft Defender Exploit Guard\Network Protection:
| Opis | Ustawienie |
|---|---|
| Uniemożliwianie użytkownikom i aplikacjom uzyskiwania dostępu do niebezpiecznych witryn internetowych | Włączone, Blokuj |
| Te ustawienia określają, czy ochronę sieci można skonfigurować w trybie bloku lub inspekcji w Windows Server | Włączone |
Aby włączyć ochronę sieci dla systemu Windows Server, na razie użyj programu PowerShell:
| System operacyjny | Polecenie cmdlet programu PowerShell |
|---|---|
| Windows Server 2012 R2Windows Server 2022 i nowsze | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Ujednolicony klient MDE Windows Server 2016 i Windows Server 2012 R2 | set-MpPreference -AllowNetworkProtectionOnWinServer $true i set-MpPreference -AllowNetworkProtectionDownLevel $ true |
Reguły zmniejszania obszaru podatnego na ataki
Przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft Defender Program antywirusowy>Microsoft Defender Exploit Guard>Attack Surface Reduction.
Wybierz pozycję Dalej.
| Opis | Ustawienie |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 Uwaga: (Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej) |
1 (Blok) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Uwaga: (Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych) |
1 (Blok) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc Uwaga: (Blokuj wykonywanie potencjalnie zaciemnionych skryptów) |
1 (Blok) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 Uwaga: (Blokuj nadużywanie wykorzystywanych, narażonych na zagrożenia podpisanych sterowników) |
1 (Blok) |
| 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b Uwaga: (Blokuj wywołania interfejsu API Win32 z makr pakietu Office) |
1 (Blok) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 Uwaga: (Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanej) |
1 (Blok) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 Uwaga: (Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office) |
1 (Blok) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a Uwaga: (Blokuj wszystkim aplikacjom pakietu Office możliwość tworzenia procesów podrzędnych) |
1 (Blok) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Uwaga: ([WERSJA ZAPOZNAWCZA] Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych) |
1 (Blok) |
| d3e037e1-3eb8-44c8-a917-57927947596d Uwaga: (Blokuj uruchamianie pobranej zawartości wykonywalnej w języku JavaScript lub VBScript) |
1 (Blok) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Uwaga: (Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows) |
1 (Blok) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 Uwaga: (Blokuj tworzenie powłoki internetowej dla serwerów) |
1 (Blok) |
| 3b576869-a4ec-4529-8536-b80a7769e899 Uwaga: (Zablokuj aplikacjom pakietu Office tworzenie zawartości wykonywalnej) |
1 (Blok) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Uwaga: (Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB) |
1 (Blok) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Uwaga: (Zablokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów) |
1 (Blok) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b Uwaga: (Blokuj trwałość za pomocą subskrypcji zdarzeń WMI) |
1 (Blok) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 Uwaga: (Użyj zaawansowanej ochrony przed oprogramowaniem wymuszającym okup) |
1 (Blok) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c Uwaga: (Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI) |
1 (Blok) Nuta: Jeśli masz Configuration Manager (dawniej SCCM) lub inne narzędzia do zarządzania korzystające z usługi WMI, może być konieczne ustawienie wartości 2 ("audit") zamiast 1("block"). |
| 33ddedf1-c6e0-47cb-833e-de6133960387 Uwaga: ([WERSJA ZAPOZNAWCZA] Blokowanie ponownego uruchamiania maszyny w trybie awaryjnym) |
1 (Blok) |
Porada
Niektóre reguły mogą blokować zachowanie, które można uznać za akceptowalne w organizacji. W takich przypadkach zmień regułę z "Włączone" na "Inspekcja", aby zapobiec niepożądanym blokom.
Kontrolowany dostęp do folderów
Przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft Defender Program antywirusowy>Microsoft Defender Exploit Guard>Attack Surface Reduction.
| Opis | Ustawienie |
|---|---|
| Konfigurowanie kontrolowanego dostępu do folderów | Włączone, Blokuj |
Przypisz zasady do jednostki organizacyjnej, w której znajdują się maszyny testowe.
Włączanie ochrony przed naruszeniami
W portalu Microsoft XDR (security.microsoft.com) przejdź do pozycji Ustawienia>Punkty końcowe>Funkcje> zaawansowaneOchrona> przed naruszeniami.
Aby uzyskać więcej informacji, zobacz Jak mogę konfigurowania ochrony przed naruszeniami lub zarządzania nią?.
Sprawdzanie łączności sieciowej usługi Cloud Protection
Należy sprawdzić, czy łączność sieciowa usługi Cloud Protection działa podczas testowania piórem.
CMD (Uruchom jako administrator)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Aby uzyskać więcej informacji, zobacz Używanie narzędzia cmdline do weryfikowania ochrony dostarczanej w chmurze.
Sprawdzanie wersji aktualizacji platformy
Najnowsza wersja kanału produkcyjnego (GA) w wersji "Aktualizacja platformy" jest dostępna tutaj:
Aby sprawdzić, która wersja aktualizacji platformy jest zainstalowana, użyj następującego polecenia programu PowerShell (Uruchom jako administrator):
get-mpComputerStatus | ft AMProductVersion
Sprawdzanie wersji aktualizacji analizy zabezpieczeń
Najnowsza wersja "Security Intelligence Update" jest dostępna tutaj:
Aby sprawdzić, która wersja programu "Security Intelligence Update" jest zainstalowana, użyj następującego polecenia programu PowerShell (Uruchom jako administrator):
get-mpComputerStatus | ft AntivirusSignatureVersion
Sprawdzanie wersji aktualizacji aparatu
Najnowsza wersja skanowania "aktualizacja aparatu" jest dostępna tutaj:
Aby sprawdzić, która wersja "Aktualizacja aparatu" jest zainstalowana, użyj następującego polecenia programu PowerShell (Uruchom jako administrator):
get-mpComputerStatus | ft AMEngineVersion
Jeśli zauważysz, że ustawienia nie wchodzą w życie, może wystąpić konflikt. Aby rozwiązać konflikty, zobacz Rozwiązywanie problemów z Microsoft Defender ustawieniami programu antywirusowego.
W przypadku przesyłania fałszywych negatywów (FN)
Jeśli masz jakiekolwiek pytania dotyczące wykrywania, które Microsoft Defender av sprawia, lub odkryjesz nieodebrane wykrywanie, możesz przesłać do nas plik.
Jeśli masz usługę Microsoft XDR, Ochrona punktu końcowego w usłudze Microsoft Defender P2/P1 lub Microsoft Defender dla Firm: zapoznaj się z tematem Przesyłanie plików Ochrona punktu końcowego w usłudze Microsoft Defender.
Jeśli masz program antywirusowy Microsoft Defender, zapoznaj się z tematem:https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
Microsoft Defender AV wskazuje wykrywanie za pośrednictwem standardowych powiadomień systemu Windows. Możesz również przejrzeć wykrycia w aplikacji Microsoft Defender AV.
Dziennik zdarzeń systemu Windows rejestruje również zdarzenia wykrywania i aparatu. Aby uzyskać listę identyfikatorów zdarzeń i odpowiadających im akcji, zobacz artykuł Microsoft Defender Zdarzenia antywirusowe.
Jeśli ustawienia nie są prawidłowo stosowane, sprawdź, czy istnieją zasady powodujące konflikt, które są włączone w danym środowisku. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z ustawieniami programu antywirusowego Microsoft Defender.
Jeśli chcesz otworzyć zgłoszenie do pomocy technicznej firmy Microsoft: skontaktuj się z pomocą techniczną Ochrona punktu końcowego w usłudze Microsoft Defender.