Оценка антивирусной программы Microsoft Defender с помощью PowerShell
Область применения:
- Антивирусная программа в Microsoft Defender
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
В Windows 10 или более новых и Windows Server 2016 или более новых версиях можно использовать функции защиты следующего поколения, предоставляемые антивирусной программой Microsoft Defender (MDAV) и Microsoft Defender Exploit Guard (Microsoft Defender EG).
В этой статье объясняется, как включить и проверить ключевые функции защиты в Microsoft Defender AV и Microsoft Defender EG, а также приведены рекомендации и ссылки на дополнительные сведения.
Мы рекомендуем использовать этот сценарий PowerShell для оценки , чтобы настроить эти функции, но вы можете по отдельности включить каждую функцию с помощью командлетов, описанных в оставшейся части этого документа.
Дополнительные сведения о наших продуктах EPP см. в следующих библиотеках документации по продуктам:
В этой статье описываются параметры конфигурации в Windows 10 или более поздней версии, а также Windows Server 2016 или более поздней версии.
Если у вас есть вопросы об обнаружении, которое Microsoft Defender av делает, или вы обнаружите пропущенное обнаружение, вы можете отправить нам файл на нашем сайте справки по образцу отправки.
Включение функций с помощью PowerShell
В этом руководстве приведены командлеты антивирусной программы Microsoft Defender, которые настраивают функции, которые следует использовать для оценки нашей защиты.
Чтобы использовать следующие командлеты, выполните следующие действия:
- Откройте экземпляр PowerShell с повышенными привилегиями (выберите Запуск от имени администратора).
- Введите команду, указанную в этом руководстве, и нажмите клавишу ВВОД.
Состояние всех параметров можно проверка перед началом или во время оценки с помощью командлета PowerShell Get-MpPreference.
Microsoft Defender AV указывает на обнаружение с помощью стандартных уведомлений Windows. Вы также можете просмотреть обнаружения в приложении Microsoft Defender AV.
Журнал событий Windows также записывает события обнаружения и обработчика. Список идентификаторов событий и соответствующих действий см. в статье о событиях антивирусной программы Microsoft Defender.
Функции облачной защиты
подготовка и доставка обновлений определений Standard может занять несколько часов. Наша облачная служба защиты может обеспечить эту защиту за считанные секунды.
Дополнительные сведения см. в статье Использование технологий следующего поколения в Microsoft Defender антивирусная программа с помощью облачной защиты.
| Описание | Команда PowerShell |
|---|---|
| Включение Microsoft Defender Cloud для почти мгновенной защиты и повышенной защиты | Set-MpPreference -MAPSReporting Advanced |
| Автоматическая отправка примеров для повышения защиты групп | Set-MpPreference -SubmitSamplesConsent Always |
| Всегда используйте облако для блокировки новых вредоносных программ в течение нескольких секунд | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Сканирование всех скачанных файлов и вложений | Set-MpPreference -DisableIOAVProtection 0 |
| Задайте для уровня блока облака значение "Высокий" | Set-MpPreference -CloudBlockLevel High |
| Высокая настройка времени ожидания облачного блока в 1 минуту | Set-MpPreference -CloudExtendedTimeout 50 |
Постоянная защита (сканирование в режиме реального времени)
Microsoft Defender av сканирует файлы, как только они будут видны Windows, и будет отслеживать запущенные процессы на наличие известных или предполагаемых вредоносных действий. Если антивирусная программа обнаруживает вредоносные изменения, она немедленно блокирует выполнение процесса или файла.
Дополнительные сведения об этих параметрах см. в разделе Настройка поведенческой, эвристической защиты и защиты в режиме реального времени.
| Описание | Команда PowerShell |
|---|---|
| Постоянный мониторинг файлов и процессов для известных изменений вредоносных программ | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Постоянный мониторинг известных вредоносных программ даже в "чистых" файлах и запущенных программах | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Сканирование скриптов сразу после их просмотра или запуска | Set-MpPreference -DisableScriptScanning 0 |
| Проверка съемных дисков сразу после их вставки или подключения | Set-MpPreference -DisableRemovableDriveScanning 0 |
Потенциально нежелательная защита приложений
Потенциально нежелательными приложениями являются файлы и приложения, которые традиционно не классифицируются как вредоносные. К ним относятся установщики сторонних разработчиков для общего программного обеспечения, внедрения рекламы и некоторых типов панелей инструментов в браузере.
| Описание | Команда PowerShell |
|---|---|
| Запрет установки программ серого, рекламного по и других потенциально нежелательных приложений | Set-MpPreference -PUAProtection enabled |
сканирование Email и архивов
Вы можете настроить Microsoft Defender антивирусную программу для автоматического сканирования определенных типов файлов электронной почты и архивных файлов (таких как файлы .zip), когда они отображаются в Windows. Дополнительные сведения об этой функции см. в статье Управляемые проверки электронной почты в Microsoft Defender.
| Описание | Команда PowerShell |
|---|---|
| Сканирование файлов и архивов электронной почты | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Управление обновлениями продуктов и защиты
Как правило, вы получаете Microsoft Defender обновления av из обновления Windows один раз в день. Однако вы можете увеличить частоту этих обновлений, задав следующие параметры и убедив, что управление обновлениями осуществляется в System Center Configuration Manager, с помощью групповая политика или в Intune.
| Описание | Команда PowerShell |
|---|---|
| Обновление подписей каждый день | Set-MpPreference -SignatureUpdateInterval |
| Проверка на обновление подписей перед запуском запланированной проверки | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Расширенное устранение угроз и эксплойтов и предотвращение управляемого доступа к папкам
Microsoft Defender Exploit Guard предоставляет функции, помогающие защитить устройства от известных вредоносных действий и атак на уязвимые технологии.
| Описание | Команда PowerShell |
|---|---|
| Предотвращение внесения изменений в защищенные папки с управляемым доступом к папкам вредоносными и подозрительными приложениями (например, программами-шантажами) | Set-MpPreference — EnableControlledFolderAccess Enabled |
| Блокировка подключений к известным недопустимым IP-адресам и другим сетевым подключениям с помощью защиты сети | Set-MpPreference —EnableNetworkProtection enabled |
| Применение стандартного набора мер по устранению рисков с помощью защиты от эксплойтов |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Блокировка известных векторов вредоносных атак с помощью сокращения направлений атаки | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba 52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions включено add-mpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions с поддержкой Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-1602-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33dddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Enabled |
Некоторые правила могут блокировать поведение, допустимое в вашей организации. В таких случаях измените правило с Включено на Аудит, чтобы предотвратить нежелательные блокировки.
Включение защиты от незаконного изменения
На портале Microsoft XDR (security.microsoft.com) перейдите в раздел Параметры>Конечные> точкиДополнительные функции>Защита от незаконного изменения>вкл.
Дополнительные сведения см. в разделе Разделы справки настройка или управление защитой от незаконного изменения.
Проверка сетевого подключения к Cloud Protection
Важно проверка, что сетевое подключение Cloud Protection работает во время тестирования пера.
CMD (запуск от имени администратора)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Дополнительные сведения см. в статье Проверка облачной защиты с помощью средства cmdline.
Однократное сканирование Microsoft Defender в автономном режиме
Microsoft Defender автономное сканирование — это специализированное средство, которое поставляется с Windows 10 или более поздней версии и позволяет загружать компьютер в выделенную среду за пределами обычной операционной системы. Это особенно полезно для мощных вредоносных программ, таких как руткиты.
Дополнительные сведения о работе этой функции см. в разделе Microsoft Defender в автономном режиме.
| Описание | Команда PowerShell |
|---|---|
| Убедитесь, что уведомления позволяют загрузить компьютер в специализированную среду удаления вредоносных программ. | Set-MpPreference -UILockdown 0 |
Ресурсы
В этом разделе перечислены многие ресурсы, которые могут помочь в оценке Microsoft Defender антивирусной программы.
- Microsoft Defender в библиотеке Windows 10
- Microsoft Defender для библиотеки Windows Server 2016
- библиотека безопасности Windows 10
- Общие сведения о безопасности Windows 10
- Microsoft Defender аналитика безопасности (Центр Майкрософт по защите от вредоносных программ (MMPC)) — исследование угроз и реагирование на нее
- Веб-сайт Безопасности Майкрософт
- Блог о безопасности Майкрософт