Оценка антивирусной программы Microsoft Defender с помощью групповая политика
Область применения:
- Антивирусная программа в Microsoft Defender
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
Платформы:
- Windows
В Windows 10 или более новых версиях и Windows Server 2016 или более новых версиях можно использовать функции защиты нового поколения, предоставляемые антивирусной программой Microsoft Defender (MDAV) и Microsoft Defender Exploit Guard (Microsoft Defender EG).
В этом разделе объясняется, как включить и протестировать ключевые функции защиты в Microsoft Defender AV и Microsoft Defender EG, а также приводятся рекомендации и ссылки на дополнительные сведения.
В этой статье описываются параметры конфигурации в Windows 10 или более поздней версии, а также Windows Server 2016 или более поздней версии.
Использование антивирусной программы Microsoft Defender с помощью групповая политика для включения функций
В этом руководстве приведена Microsoft Defender антивирусная групповая политика, которая настраивает функции, которые следует использовать для оценки нашей защиты.
Получите последнюю версию "Административные шаблоны Windows групповая политика".
Дополнительные сведения см. в статье Создание и управление центральным магазином — клиент Windows.
Совет
Windows one работает с серверами Windows.
Даже если вы используете Windows 10 или Windows Server 2016, получите последние административные шаблоны для Windows 11 или более поздних версий.
Создайте "Центральное хранилище" для размещения последних шаблонов ADMX и ADML.
Дополнительные сведения см. в статье Создание и управление центральным магазином — клиент Windows.
При присоединении к домену:
Создайте новое наследование политики блока подразделения.
Откройте консоль управления групповой политикой (GPMC.msc).
Перейдите к разделу объекты групповая политика и создайте новую групповая политика.
Щелкните правой кнопкой мыши созданную политику и выберите Изменить.
Перейдите в разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа.
или
При присоединении к рабочей группе
Откройте групповая политика Редактор MMC (GPEdit.msc).
Перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа.
MDAV и потенциально нежелательные приложения (PUA)
Корень:
| Описание | Setting |
|---|---|
| Отключение антивирусной программы Microsoft Defender | Отключено |
| Настройка обнаружения для потенциально нежелательных приложений | Включено — блокировать |
Защита в режиме реального времени (постоянная защита, сканирование в режиме реального времени)
\ Защита в режиме реального времени.
| Описание | Setting |
|---|---|
| Отключение защиты в режиме реального времени | Отключено |
| Настройка мониторинга для входящих и исходящих файлов и действий программ | Включен, двунаправленный (полный доступ) |
| Включение мониторинга поведения | Включено |
| Мониторинг файлов и программ на компьютере | Включено |
Функции облачной защиты
Standard на подготовку и доставку обновлений аналитики безопасности может потребоваться несколько часов. Наша облачная служба защиты может обеспечить эту защиту за считанные секунды.
Дополнительные сведения см. в статье Использование технологий следующего поколения в Microsoft Defender Антивирусная программа с помощью облачной защиты.
\ КАРТЫ:
| Описание | Setting |
|---|---|
| Присоединение к Microsoft MAPS | Включено, Advanced MAPS |
| Настройка функции "Блокировать при первом взгляде" | Включено |
| Отправка примеров файлов при необходимости дальнейшего анализа | Включено, отправить все примеры |
\ MpEngine:
| Описание | Setting |
|---|---|
| Выбор уровня облачной защиты | Включено, высокий уровень блокировки |
| Настройка расширенных облачных проверка | Включено, 50 |
Сканирование
| Описание | Setting |
|---|---|
| Включение эвристики | Включено |
| Включение проверки электронной почты | Включено |
| Сканирование всех скачанных файлов и вложений | Включено |
| Включение сканирования скриптов | Включено |
| Сканирование архивных файлов | Включено |
| Сканирование упакованных исполняемых файлов | Включено |
| Настройка сканирования сетевых файлов (сканирование сетевых файлов) | Включено |
| Проверка съемных дисков | Включено |
| Включение проверки точек повторного анализа | Включено |
Обновления аналитики безопасности
| Описание | Setting |
|---|---|
| Укажите интервал проверка для обновлений аналитики безопасности | Включено, 4 |
| Определение порядка источников для скачивания обновлений аналитики безопасности | Включено в разделе "Определение порядка источников для скачивания обновлений аналитики безопасности" InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC Заметка: Где InternalDefinitionUpdateServer — это WSUS с разрешенными обновлениями антивирусной программы Microsoft Defender. MicrosoftUpdateServer == Центр обновления Майкрософт (ранее клиентский компонент Центра обновления Windows). MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
Отключение параметров антивирусной программы локального администратора
Отключите параметры антивирусной программы локального администратора, такие как исключения, и примените политики из Microsoft Defender для конечной точки Управление параметрами безопасности.
Корень:
| Описание | Setting |
|---|---|
| Настройка поведения слияния локального администратора для списков | Отключено |
| Управление тем, видны ли исключения локальным администраторам | Включено |
Действие по умолчанию для серьезности угроз
\ Угроз
| Описание | Setting | Уровень оповещений | Действие |
|---|---|---|---|
| Указание уровней оповещений об угрозах, на которых не следует выполнять действия по умолчанию при обнаружении | Включено | ||
| 5 (серьезный) | 2 (карантин) | ||
| 4 (высокий) | 2 (карантин) | ||
| 2 (средний) | 2 (карантин) | ||
| 1 (низкий) | 2 (карантин) |
\ Карантин
| Описание | Setting |
|---|---|
| Настройка удаления элементов из папки карантина | Включено, 60 |
\ Интерфейс клиента
| Описание | Setting |
|---|---|
| Включение режима безголового пользовательского интерфейса | Отключено |
Защита сети
\ Microsoft Defender Exploit Guard\Network Protection:
| Описание | Setting |
|---|---|
| Запрет доступа пользователей и приложений к опасным веб-сайтам | Включено, блокировать |
| С помощью этих параметров можно настроить защиту сети в режиме блокировки или аудита на Windows Server | Включено |
Чтобы включить защиту сети для серверов Windows, на данный момент используйте PowerShell:
| ОС | Командлет PowerShell |
|---|---|
| Windows Server 2012 R2Windows Server 2022 и более поздних версий | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| единый клиент MDE Windows Server 2016 и Windows Server 2012 R2 | set-MpPreference -AllowNetworkProtectionOnWinServer $true и set-MpPreference -AllowNetworkProtectionDownLevel $true |
Правила уменьшения поверхности атаки
Перейдите к разделу Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа> Microsoft DefenderСокращение направлений атакExploit Guard>.
Нажмите кнопку Далее.
| Описание | Setting |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 Примечание. (Блокировать исполняемое содержимое из почтового клиента и веб-почты) |
1 (блок) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Примечание. (запретить Adobe Reader создавать дочерние процессы) |
1 (блок) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc Примечание. (Блокировать выполнение потенциально скрытых скриптов) |
1 (блок) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 Примечание. (Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами) |
1 (блок) |
| 92e97fa1-2edf-4476-bdd6-9d0b4dddc7b Примечание. (Блокировать вызовы API Win32 из макросов Office) |
1 (блок) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 Примечание. (Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия) |
1 (блок) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 Примечание. (Запретить приложению office для связи создавать дочерние процессы) |
1 (блок) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a Примечание. (Запретить всем приложениям Office создавать дочерние процессы) |
1 (блок) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Примечание. ( [ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ] Запретить использование скопированных или олицетворенных системных средств) |
1 (блок) |
| d3e037e1-3eb8-44c8-a917-57927947596d Примечание. (Блокировать запуск скачаемого исполняемого содержимого в JavaScript или VBScript) |
1 (блок) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Примечание. (Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows) |
1 (блок) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 Примечание. (Создание веб-оболочки блокировать для серверов) |
1 (блок) |
| 3b576869-a4ec-4529-8536-b80a7769e899 Примечание. (Запрет приложений Office создавать исполняемое содержимое) |
1 (блок) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Примечание. (Блокировать недоверенные и неподписанные процессы, выполняемые с USB) |
1 (блок) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Примечание. (Запрет приложений Office внедрять код в другие процессы) |
1 (блок) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b Примечание. (Блокировка сохраняемости через подписку на события WMI) |
1 (блок) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 Примечание. (Используйте расширенную защиту от программ-шантажистов) |
1 (блок) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c Примечание. (Блокировать создание процессов, исходящих из команд PSExec и WMI) |
1 (блок) Заметка: Если у вас есть Configuration Manager (ранее SCCM) или другие средства управления, использующие WMI, может потребоваться задать значение 2 (аудит) вместо 1 ('block'). |
| 33ddedf1-c6e0-47cb-833e-de6133960387 Примечание. ( [ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ] Блокировка перезагрузки компьютера в безопасном режиме) |
1 (блок) |
Совет
Некоторые правила могут блокировать поведение, допустимое в организации. В таких случаях измените правило с "Включено" на "Аудит", чтобы предотвратить нежелательные блокировки.
Управляемый доступ к папкам
Перейдите к разделу Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа> Microsoft DefenderСокращение направлений атакExploit Guard>.
| Описание | Setting |
|---|---|
| Настройка управляемого доступа к папкам | Включено, блокировать |
Назначьте политики подразделению, в котором находятся тестовые компьютеры.
Проверка версии обновления платформы
Последняя версия "Обновление платформы" Рабочий канал (GA) доступна здесь:
Чтобы проверка установленной версии "Обновление платформы", используйте следующую команду PowerShell (Запуск от имени администратора):
get-mpComputerStatus | ft AMProductVersion
Проверка версии обновления аналитики безопасности
Последняя версия "Обновление аналитики безопасности" доступна здесь:
Чтобы проверка установленной версии "Обновление аналитики безопасности", используйте следующую команду PowerShell (Запуск от имени администратора):
get-mpComputerStatus | ft AntivirusSignatureVersion
Проверка версии обновления ядра
Последняя версия обновления ядра сканирования доступна здесь:
Чтобы проверка установленной версии обновления ядра, используйте следующую команду PowerShell (Запуск от имени администратора):
get-mpComputerStatus | ft AMEngineVersion
Если вы обнаружили, что параметры не вдействуют, может возникнуть конфликт. Чтобы устранить конфликты, см. раздел Устранение неполадок Microsoft Defender параметров антивирусной программы.
Для отправки ложноотрицательных данных (FN)
Если у вас есть вопросы об обнаружении, которое Microsoft Defender av делает, или вы обнаружите пропущенное обнаружение, вы можете отправить нам файл.
Если у вас есть Microsoft XDR, Microsoft Defender для конечной точки P2/P1 или Microsoft Defender для бизнеса, см. раздел Отправка файлов в Microsoft Defender для конечной точки.
Если у вас Microsoft Defender антивирусная программа, см. следующие сведения:https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
Microsoft Defender AV указывает на обнаружение с помощью стандартных уведомлений Windows. Вы также можете просмотреть обнаружения в приложении Microsoft Defender AV.
Журнал событий Windows также записывает события обнаружения и обработчика. Список идентификаторов событий и соответствующих действий см. в статье о событиях антивирусной программы Microsoft Defender.
Если параметры применяются неправильно, узнайте, есть ли конфликтующие политики, которые включены в вашей среде. Дополнительные сведения см. в статье Устранение неполадок Microsoft Defender параметров антивирусной программы.
Если вам нужно обратиться в службу поддержки Майкрософт, обратитесь в службу поддержки Microsoft Defender для конечной точки.