Ocena programu antywirusowego Microsoft Defender przy użyciu programu PowerShell
Dotyczy:
- Program antywirusowy Microsoft Defender
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
W Windows 10 lub nowszych i Windows Server 2016 lub nowszych można korzystać z funkcji ochrony nowej generacji oferowanych przez oprogramowanie antywirusowe Microsoft Defender (MDAV) i Microsoft Defender Exploit Guard (Microsoft Defender EG).
W tym artykule wyjaśniono, jak włączyć i przetestować funkcje ochrony kluczy w Microsoft Defender AV i Microsoft Defender EG, oraz zawiera wskazówki i linki do dodatkowych informacji.
Zalecamy użycie tego skryptu ewaluacji programu PowerShell do skonfigurowania tych funkcji, ale można indywidualnie włączyć każdą funkcję za pomocą poleceń cmdlet opisanych w pozostałej części tego dokumentu.
Aby uzyskać więcej informacji na temat naszych produktów EPP, zobacz następujące biblioteki dokumentacji produktów:
W tym artykule opisano opcje konfiguracji w Windows 10 lub nowszych i Windows Server 2016 lub nowszych.
Jeśli masz jakiekolwiek pytania dotyczące wykrywania, które Microsoft Defender av sprawia, lub odkryjesz nieodebrane wykrywanie, możesz przesłać plik do nas w naszej przykładowej witrynie pomocy dotyczącej przesyłania.
Włączanie funkcji za pomocą programu PowerShell
Ten przewodnik zawiera polecenia cmdlet programu antywirusowego Microsoft Defender, które konfigurują funkcje, których należy użyć do oceny naszej ochrony.
Aby użyć tych poleceń cmdlet:
- Otwórz wystąpienie programu PowerShell z podwyższonym poziomem uprawnień (wybierz pozycję Uruchom jako administrator).
- Wprowadź polecenie wymienione w tym przewodniku i naciśnij Enter.
Stan wszystkich ustawień można sprawdzić przed rozpoczęciem lub podczas oceny za pomocą polecenia cmdlet Get-MpPreference programu PowerShell.
Microsoft Defender AV wskazuje wykrywanie za pośrednictwem standardowych powiadomień systemu Windows. Możesz również przejrzeć wykrycia w aplikacji Microsoft Defender AV.
Dziennik zdarzeń systemu Windows rejestruje również zdarzenia wykrywania i aparatu. Aby uzyskać listę identyfikatorów zdarzeń i odpowiadających im akcji, zobacz artykuł Microsoft Defender Zdarzenia antywirusowe.
Funkcje ochrony chmury
Przygotowanie i dostarczenie standardowych aktualizacji definicji może potrwać kilka godzin. nasza usługa ochrony dostarczana w chmurze może zapewnić tę ochronę w ciągu kilku sekund.
Więcej szczegółów można znaleźć w temacie Korzystanie z technologii nowej generacji w programie antywirusowym Microsoft Defender za pośrednictwem ochrony dostarczanej w chmurze.
| Opis | Polecenie programu PowerShell |
|---|---|
| Włączanie chmury Microsoft Defender w celu niemal natychmiastowej ochrony i zwiększonej ochrony | Set-MpPreference -MAPSRaportowanie zaawansowane |
| Automatyczne przesyłanie przykładów w celu zwiększenia ochrony grupy | Set-MpPreference —SubmitSamplesConsent Always |
| Zawsze używaj chmury do blokowania nowego złośliwego oprogramowania w ciągu kilku sekund | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Skanuj wszystkie pobrane pliki i załączniki | Set-MpPreference -DisableIOAVProtection 0 |
| Ustawianie poziomu bloku chmury na wartość "Wysoki" | Set-MpPreference —CloudBlockLevel High |
| Limit czasu blokady chmury o wysokim ustawieniu na 1 minutę | Set-MpPreference —CloudExtendedTimeout 50 |
Zawsze włączona ochrona (skanowanie w czasie rzeczywistym)
Microsoft Defender av skanuje pliki natychmiast po ich wyświetleniu przez system Windows i będzie monitorować uruchomione procesy pod kątem znanych lub podejrzanych złośliwych zachowań. Jeśli aparat antywirusowy wykryje złośliwą modyfikację, natychmiast zablokuje działanie procesu lub pliku.
Aby uzyskać więcej informacji na temat tych opcji, zobacz Konfigurowanie ochrony behawioralnej, heurystycznej i ochrony w czasie rzeczywistym.
| Opis | Polecenie programu PowerShell |
|---|---|
| Ciągłe monitorowanie plików i procesów pod kątem znanych modyfikacji złośliwego oprogramowania | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Stałe monitorowanie znanych zachowań złośliwego oprogramowania — nawet w "czystych" plikach i uruchomionych programach | Set-MpPreference —DisableBehaviorMonitoring 0 |
| Skanuj skrypty natychmiast po ich wyświetleniu lub uruchomieniu | Set-MpPreference -DisableScriptScanning 0 |
| Skanuj dyski wymienne, gdy tylko zostaną wstawione lub zainstalowane | Set-MpPreference -DisableRemovableDriveScanning 0 |
Potencjalnie niechciana ochrona aplikacji
Potencjalnie niepożądane aplikacje to pliki i aplikacje, które tradycyjnie nie są klasyfikowane jako złośliwe. Należą do nich instalatory inne niż Microsoft dla wspólnego oprogramowania, iniekcji reklam i niektórych typów pasków narzędzi w przeglądarce.
| Opis | Polecenie programu PowerShell |
|---|---|
| Zapobieganie instalowaniu programów grayware, adware i innych potencjalnie niechcianych aplikacji | Set-MpPreference -PUAProtection Włączone |
skanowanie Email i archiwum
Program antywirusowy Microsoft Defender umożliwia automatyczne skanowanie niektórych typów plików poczty e-mail i plików archiwum (takich jak pliki .zip), gdy są one widoczne dla systemu Windows. Więcej informacji na temat tej funkcji można znaleźć w artykule Managed email scans in Microsoft Defender article (Zarządzane skanowanie poczty e-mail w Microsoft Defender artykule).
| Opis | Polecenie programu PowerShell |
|---|---|
| Skanowanie plików i archiwów wiadomości e-mail | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Zarządzanie aktualizacjami produktów i ochrony
Zazwyczaj raz dziennie otrzymujesz aktualizacje av Microsoft Defender z usługi Windows Update. Można jednak zwiększyć częstotliwość tych aktualizacji, ustawiając następujące opcje i upewniając się, że aktualizacje są zarządzane w programie System Center Configuration Manager, przy użyciu zasady grupy lub w Intune.
| Opis | Polecenie programu PowerShell |
|---|---|
| Aktualizuj podpisy codziennie | Set-MpPreference -SignatureUpdateInterval |
| Przed uruchomieniem zaplanowanego skanowania sprawdź, czy chcesz zaktualizować podpisy | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Zaawansowane zagrożenie i ograniczanie zagrożeń oraz zapobieganie kontrolowanym dostępom do folderów
Microsoft Defender Exploit Guard udostępnia funkcje, które pomagają chronić urządzenia przed znanymi złośliwymi zachowaniami i atakami na technologie narażone na zagrożenia.
| Opis | Polecenie programu PowerShell |
|---|---|
| Uniemożliwianie złośliwym i podejrzanym aplikacjom (takim jak oprogramowanie wymuszające okup) wprowadzania zmian w chronionych folderach z kontrolowanym dostępem do folderów | Set-MpPreference -EnableControlledFolderAccess Włączone |
| Blokuj połączenia ze znanymi nieprawidłowymi adresami IP i innymi połączeniami sieciowymi z ochroną sieci | Set-MpPreference -EnableNetworkProtection Włączone |
| Stosowanie standardowego zestawu środków zaradczych przy użyciu ochrony przed programem Exploit |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Blokuj znane złośliwe wektory ataków dzięki zmniejszeniu obszaru ataków | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Włączone Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Włączone Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions włączone Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions włączone Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Włączone Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions włączone Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions włączone |
Niektóre reguły mogą blokować zachowanie, które można uznać za akceptowalne w organizacji. W takich przypadkach zmień regułę z Włączone na Inspekcja, aby zapobiec niepożądanym blokom.
Włączanie ochrony przed naruszeniami
W portalu Microsoft XDR (security.microsoft.com) przejdź do pozycji Ustawienia>Punkty końcowe>Funkcje> zaawansowaneOchrona> przed naruszeniami.
Aby uzyskać więcej informacji, zobacz Jak mogę konfigurowania ochrony przed naruszeniami lub zarządzania nią.
Sprawdzanie łączności sieciowej usługi Cloud Protection
Należy sprawdzić, czy łączność sieciowa usługi Cloud Protection działa podczas testowania piórem.
CMD (Uruchom jako administrator)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Aby uzyskać więcej informacji, zobacz Używanie narzędzia cmdline do weryfikowania ochrony dostarczanej w chmurze.
Skanowanie jednokrotne Microsoft Defender offline
Microsoft Defender Skanowanie w trybie offline jest wyspecjalizowanym narzędziem dostarczanym z Windows 10 lub nowszym i umożliwia rozruch maszyny w dedykowanym środowisku poza normalnym systemem operacyjnym. Jest to szczególnie przydatne w przypadku silnego złośliwego oprogramowania, takiego jak zestawy rootkit.
Aby uzyskać więcej informacji na temat działania tej funkcji, zobacz Microsoft Defender offline.
| Opis | Polecenie programu PowerShell |
|---|---|
| Upewnij się, że powiadomienia umożliwiają rozruch komputera w wyspecjalizowanym środowisku usuwania złośliwego oprogramowania | Set-MpPreference -UILockdown 0 |
Zasoby
W tej sekcji wymieniono wiele zasobów, które mogą pomóc w ocenie programu antywirusowego Microsoft Defender.
- Microsoft Defender w bibliotece Windows 10
- Microsoft Defender biblioteki Windows Server 2016
- Windows 10 biblioteki zabezpieczeń
- omówienie zabezpieczeń Windows 10
- witryna internetowa Microsoft Defender Security Intelligence (Centrum firmy Microsoft ds. ochrony przed złośliwym oprogramowaniem (MMPC)) — badanie zagrożeń i reagowanie na nie
- Witryna internetowa usługi Microsoft Security
- Blog dotyczący zabezpieczeń firmy Microsoft