Utvärdera Microsoft Defender Antivirus med hjälp av Microsoft Defender Hantering av slutpunktssäkerhetsinställningar (slutpunktssäkerhetsprinciper)
I Windows 10 eller senare och i Windows Server 2016 eller senare kan du använda nästa generations skyddsfunktioner som erbjuds av Microsoft Defender Antivirus (MDAV) och Microsoft Defender Exploit Guard (Microsoft Defender EG).
Den här artikeln beskriver konfigurationsalternativen som är tillgängliga i Windows 10 och senare versioner, samt i Windows Server 2016 och senare versioner. Den innehåller stegvisa anvisningar för hur du aktiverar och testar viktiga skyddsfunktioner i Microsoft Defender Antivirus (MDAV) och Microsoft Defender för Endpoint (EG).
Om du har frågor om en identifiering som MDAV gör, eller om du upptäcker en missad identifiering, kan du skicka en fil till oss på vår hjälpwebbplats för sändning av exempel.
Använd Microsoft Defender Hantering av slutpunktssäkerhetsinställningar (slutpunktssäkerhetsprinciper) för att aktivera funktionerna
I det här avsnittet beskrivs Microsoft Defender för Endpoint Hantering av säkerhetsinställningar (slutpunktssäkerhetsprinciper) som konfigurerar de funktioner som du bör använda för att utvärdera vårt skydd.
MDAV anger en identifiering via vanliga Windows-meddelanden. Du kan också granska identifieringar i MDAV-appen. Det gör du genom att läsa Granska Microsoft Defender antivirusgenomsökningsresultat.
Windows-händelseloggen registrerar även identifierings- och motorhändelser. I artikeln Microsoft Defender Antivirushändelser finns en lista över händelse-ID:t och deras motsvarande åtgärder. Information om listan över händelse-ID:t och deras motsvarande åtgärder finns i Granska händelseloggar och felkoder för att felsöka problem med Microsoft Defender Antivirus.
Utför följande steg för att konfigurera de alternativ som du måste använda för att testa skyddsfunktionerna:
Logga in på Microsoft Defender XDR.
Gå till Slutpunkter Konfigurationshantering > Slutpunktssäkerhetsprinciper >> Windows-principer > Skapa ny princip.
Välj Windows 10, Windows 11 och Windows Server i listrutan Välj plattform.
Välj Microsoft Defender Antivirus i listrutan Välj mall.
Välj Skapa princip. Sidan Skapa en ny princip visas.
På sidan Grundläggande anger du ett namn och en beskrivning för profilen i fälten Namn respektive Beskrivning .
Välj Nästa.
På sidan Konfigurationsinställningar expanderar du grupperna med inställningar.
I de här grupperna med inställningar väljer du de inställningar som du vill hantera med den här profilen.
Ange principerna för de valda grupperna med inställningar genom att konfigurera inställningarna enligt beskrivningen i följande tabeller:
Realtidsskydd (alltid aktiverat skydd, realtidsgenomsökning):
Beskrivning Inställningar Tillåt realtidsövervakning Tillåts Genomsökningsriktning i realtid Övervaka alla filer (dubbelriktade) Tillåt beteendeövervakning Tillåts Tillåt åtkomstskydd Tillåts PUA-skydd PUA-skydd på Molnskyddsfunktioner:
Beskrivning Inställning Tillåt molnskydd Tillåts Molnblockeringsnivå Högsta Utökad tidsgräns för molnet Konfigurerad, 50 Medgivande för att skicka exempel Skicka alla exempel automatiskt
Standarduppdateringar för säkerhetsinformation kan ta timmar att förbereda och leverera. vår molnlevererad skyddstjänst kan leverera det här skyddet på några sekunder. Mer information finns i Använda nästa generations tekniker i Microsoft Defender Antivirus via molnlevererad skydd.
Genomsökningar:
| Beskrivning | Inställning |
|---|---|
| Tillåt Email genomsökning | Tillåts |
| Tillåt genomsökning av alla nedladdade filer och bifogade filer | Tillåts |
| Tillåt skriptgenomsökning | Tillåts |
| Tillåt Arkiv genomsökning | Tillåts |
| Tillåt genomsökning av nätverksfiler | Tillåts |
| Tillåt fullständig genomsökning av flyttbara enheter | Tillåts |
Nätverksskydd:
| Beskrivning | Inställning |
|---|---|
| Aktivera nätverksskydd | Aktiverad (blockeringsläge) |
| Tillåt nednivå för nätverksskydd | Nätverksskyddet är aktiverat på nednivå. |
| Tillåt datagrambearbetning på Win Server | Datagrambearbetning på Windows Server är aktiverat. |
| Inaktivera DNS över TCP-parsning | DNS över TCP-parsning är aktiverat. |
| Inaktivera HTTP-parsning | HTTP-parsning är aktiverat. |
| Inaktivera SSH-parsning | SSH-parsning är aktiverat. |
| Inaktivera TLS-parsning | TLS-parsning är aktiverat. |
| Aktivera DNS-slukhål | DNS-slukhål är aktiverat. |
Uppdateringar av säkerhetsinformation:
| Beskrivning | Inställning |
|---|---|
| Intervall för signaturuppdatering | Konfigurerad, 4 |
Beskrivning/ kontroller: inställning för återställningsorder för signaturuppdatering: Markera kryssrutan för återställning efter signaturuppdatering
InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, där "InternalDefinitionUpdateServer" är WSUS med Microsoft Defender Antivirus-uppdateringar tillåtna; MicrosoftUpdateServer = Microsoft Update (tidigare Windows Update); och MMPC = https://www.microsoft.com/en-us/wdsi/definitions.
Lokal administratör AV:
Inaktivera lokala av-administratörsinställningar, till exempel undantag, och ange principer från Microsoft Defender för Endpoint Hantering av säkerhetsinställningar enligt beskrivningen i följande tabell:
| Beskrivning | Inställning |
|---|---|
| Inaktivera lokal Admin sammanslagning | Inaktivera lokal Admin sammanslagning |
Standardåtgärd för allvarlighetsgrad för hot:
| Beskrivning | Inställning |
|---|---|
| Åtgärd för hot med hög allvarlighetsgrad | Karantän |
| Åtgärd för allvarliga hot | Karantän |
| Åtgärd för hot med låg allvarlighetsgrad | Karantän |
| Åtgärd för hot med måttlig allvarlighetsgrad | Karantän |
| Beskrivning | Inställning |
|---|---|
| Dagar att behålla rensad | Konfigurerad, 60 |
| Tillåt användargränssnittsåtkomst | Tillåten. Låt användarna komma åt användargränssnittet. |
- När du har konfigurerat inställningarna väljer du Nästa.
- På fliken Tilldelningar väljer du Enhetsgrupp eller Användargrupp eller Alla enheter eller Alla användare.
- Välj Nästa.
- Granska principinställningarna på fliken Granska + skapa och välj sedan Spara.
Regler för minskning av attackytan
Utför följande steg för att aktivera regler för minskning av attackytan (ASR) med hjälp av slutpunktssäkerhetsprinciperna:
Logga in på Microsoft Defender XDR.
Gå till Slutpunkter Konfigurationshantering > Slutpunktssäkerhetsprinciper >> Windows-principer > Skapa ny princip.
Välj Windows 10, Windows 11 och Windows Server i listrutan Välj plattform.
Välj Regler för minskning av attackytan i listrutan Välj mall .
Välj Skapa princip.
På sidan Grundläggande anger du ett namn och en beskrivning för profilen. välj sedan Nästa.
På sidan Konfigurationsinställningar expanderar du grupperna med inställningar och konfigurerar de inställningar som du vill hantera med den här profilen.
Ange principerna baserat på följande rekommenderade inställningar:
Beskrivning Inställning Blockera körbart innehåll från e-postklienten och webbmeddelandet Blockera Blockera Adobe Reader från att skapa underordnade processer Blockera Blockera körning av potentiellt dolda skript Blockera Blockera missbruk av utnyttjade sårbara signerade drivrutiner (enhet) Blockera Blockera Win32 API-anrop från Office-makron Blockera Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista Blockera Blockera Office-kommunikationsprogram från att skapa underordnade processer Blockera Blockera alla Office-program från att skapa underordnade processer Blockera [FÖRHANDSVERSION] Blockera användning av kopierade eller personifierade systemverktyg Blockera Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll Blockera Blockera stöld av autentiseringsuppgifter från undersystemet för den lokala säkerhetsmyndigheten i Windows Blockera Blockera skapande av webbgränssnitt för servrar Blockera Blockera Office-program från att skapa körbart innehåll Blockera Blockera obetrodda och osignerade processer som körs från USB Blockera Blockera Office-program från att mata in kod i andra processer Blockera Blockera beständighet via WMI-händelseprenumeration Blockera Använda avancerat skydd mot utpressningstrojaner Blockera Blockera processskapanden från PSExec- och WMI-kommandon Blockera (om du har Configuration Manager (tidigare SCCM) eller andra hanteringsverktyg som använder WMI kan du behöva ställa in detta på Granskning i stället för Blockera) [FÖRHANDSVERSION] Blockera omstart av datorn i felsäkert läge Blockera Aktivera kontrollerad mappåtkomst Aktiverad
Tips
Alla regler kan blockera beteenden som du tycker är godtagbara i din organisation. I dessa fall lägger du till undantag per regel med namnet "Endast undantag för minskning av attackytan". Ändra dessutom regeln från Aktiverad till Granskning för att förhindra oönskade block.
- Välj Nästa.
- På fliken Tilldelningar väljer du Enhetsgrupp eller Användargrupp eller Alla enheter eller Alla användare.
- Välj Nästa.
- Granska principinställningarna på fliken Granska + skapa och välj sedan Spara.
Aktivera manipulationsskydd
Logga in på Microsoft Defender XDR.
Gå till Slutpunkter Konfigurationshantering > Slutpunktssäkerhetsprinciper >> Windows-principer > Skapa ny princip.
Välj Windows 10, Windows 11 och Windows Server i listrutan Välj plattform.
Välj Säkerhetsupplevelse i listrutan Välj mall .
Välj Skapa princip. Sidan Skapa en ny princip visas.
På sidan Grundläggande anger du ett namn och en beskrivning för profilen i fälten Namn respektive Beskrivning .
Välj Nästa.
På sidan Konfigurationsinställningar expanderar du grupperna med inställningar.
I dessa grupper väljer du de inställningar som du vill hantera med den här profilen.
Ange principerna för de valda grupperna med inställningar genom att konfigurera dem enligt beskrivningen i följande tabell:
Beskrivning Inställning ManipulationSkydd (enhet) På
Kontrollera cloud protection-nätverksanslutningen
Det är viktigt att kontrollera att Cloud Protection-nätverksanslutningen fungerar under intrångstestningen.
CMD (Kör som administratör)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Mer information finns i Använda cmdline-verktyget för att verifiera molnlevererat skydd.
Kontrollera versionen av plattformsuppdateringen
Den senaste versionen av produktionskanalen (GA) för plattformsuppdatering är tillgänglig i Microsoft Update Catalog.
Om du vill kontrollera vilken version av plattformsuppdateringen som du har installerat kör du följande kommando i PowerShell med hjälp av administratörens behörigheter:
Get-MPComputerStatus | Format-Table AMProductVersion
Kontrollera säkerhetsinformationsuppdateringsversionen
Den senaste versionen av "Security Intelligence Update" finns i De senaste uppdateringarna av säkerhetsinformation för Microsoft Defender Antivirus och andra Microsoft-program mot skadlig kod – Microsoft Säkerhetsinsikter.
Om du vill kontrollera vilken version av "Security Intelligence Update" som du har installerat kör du följande kommando i PowerShell med en administratörs behörighet:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
Kontrollera versionen av motoruppdateringen
Den senaste genomsökningsversionen av "motoruppdatering" är tillgänglig i De senaste uppdateringarna av säkerhetsinformation för Microsoft Defender Antivirus och andra Microsoft-program mot skadlig kod – Microsoft Säkerhetsinsikter.
Om du vill kontrollera vilken version av "Engine Update" som du har installerat kör du följande kommando i PowerShell med hjälp av administratörens behörigheter:
Get-MPComputerStatus | Format-Table AMEngineVersion
Om du upptäcker att inställningarna inte börjar gälla kan det uppstå en konflikt. Information om hur du löser konflikter finns i Felsöka Microsoft Defender Antivirus-inställningar.
För inskickade falska negativa identifieringar (FN)
Information om hur du gör FN-inskickningar (False Negatives) finns i:
- Skicka filer i Microsoft Defender för Endpoint om du har Microsoft XDR, Microsoft Defender för Endpoint P2/P1 eller Microsoft Defender för företag.
- Skicka filer för analys om du har Microsoft Defender Antivirus.