Utvärdera Microsoft Defender Antivirus med hjälp av grupprincip
Gäller för:
- Microsoft Defender Antivirus
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
Plattformar:
- Windows
I Windows 10 eller senare och Windows Server 2016 eller senare kan du använda nästa generations skyddsfunktioner som erbjuds av Microsoft Defender Antivirus (MDAV) och Microsoft Defender Exploit Guard (Microsoft Defender EG).
Den här artikeln beskriver hur du aktiverar och testar viktiga skyddsfunktioner i Microsoft Defender AV och Microsoft Defender EG och ger dig vägledning och länkar till mer information.
I den här artikeln beskrivs konfigurationsalternativ i Windows 10 eller senare och Windows Server 2016 eller senare.
Använd Microsoft Defender Antivirus med hjälp av grupprincip för att aktivera funktionerna
Den här guiden innehåller Microsoft Defender Antivirus grupprincip som konfigurerar de funktioner som du bör använda för att utvärdera vårt skydd.
Hämta de senaste administrationsmallarna för Windows grupprincip.
Mer information finns i Skapa och hantera Central Store – Windows-klient.
Tips
- Windows fungerar med Windows-servrarna.
- Även om du kör en Windows 10 eller Windows Server 2016 hämtar du de senaste administrativa mallarna för Windows 11 eller senare.
Skapa en Central Store som värd för de senaste .admx- och .adml-mallarna.
Mer information finns i Skapa och hantera Central Store – Windows-klient.
Om du är ansluten till en domän:
Skapa ett nytt arv av organisationsenhetsblockeringsprinciper.
Öppna konsolen Grupprinciphantering (GPMC.msc).
Gå till grupprincip objekt och skapa en ny grupprincip.
Högerklicka på den nya princip som skapats och välj Redigera.
Gå till Datorkonfigurationsprinciper>>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus.
eller
Om du är ansluten till en arbetsgrupp
Öppna grupprincip Editor MMC (GPEdit.msc).
Gå till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus.
MDAV och potentiellt oönskade program (PUA)
Rot:
| Beskrivning | Inställning |
|---|---|
| Inaktivera Microsoft Defender Antivirus | Inaktiverad |
| Konfigurera identifiering för potentiellt oönskade program | Aktiverad – blockera |
Realtidsskydd (alltid aktiverat skydd, genomsökning i realtid)
\ Realtidsskydd:
| Beskrivning | Inställning |
|---|---|
| Inaktivera realtidsskydd | Inaktiverad |
| Konfigurera övervakning för inkommande och utgående fil- och programaktivitet | Aktiverad dubbelriktad (fullständig åtkomst) |
| Aktivera beteendeövervakning | Aktiverad |
| Övervaka fil- och programaktivitet på datorn | Aktiverad |
Molnskyddsfunktioner
Standarduppdateringar för säkerhetsinformation kan ta timmar att förbereda och leverera. vår molnlevererad skyddstjänst kan leverera det här skyddet på några sekunder.
Mer information finns i Använda nästa generations tekniker i Microsoft Defender Antivirus via molnlevererad skydd.
\ KARTOR:
| Beskrivning | Inställning |
|---|---|
| Gå med i Microsoft MAPS | Aktiverad, Avancerade KARTOR |
| Konfigurera funktionen Blockera vid första anblicken | Aktiverad |
| Skicka filexempel när ytterligare analys krävs | Aktiverad, Skicka alla exempel |
\ MpEngine:
| Beskrivning | Inställning |
|---|---|
| Välj molnskyddsnivå | Aktiverad, hög blockeringsnivå |
| Konfigurera utökad molnkontroll | Aktiverad, 50 |
Skannar
| Beskrivning | Inställning |
|---|---|
| Aktivera heuristik | Aktiverad |
| Aktivera e-postgenomsökning | Aktiverad |
| Sök igenom alla nedladdade filer och bifogade filer | Aktiverad |
| Aktivera skriptgenomsökning | Aktiverad |
| Sök igenom arkivfiler | Aktiverad |
| Genomsöka körbara filer som är paketerade | Aktiverad |
| Konfigurera genomsökning av nätverksfiler (Genomsök nätverksfiler) | Aktiverad |
| Sök igenom flyttbara enheter | Aktiverad |
| Aktivera genomsökning av referenspunkter | Aktiverad |
Uppdateringar av säkerhetsinformation
| Beskrivning | Inställning |
|---|---|
| Ange intervallet för att söka efter säkerhetsinformationsuppdateringar | Aktiverad, 4 |
| Definiera ordningen på källor för nedladdning av uppdateringar av säkerhetsinformation | Aktiverad under "Definiera ordningen på källor för nedladdning av säkerhetsinformationsuppdateringar" InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC Not: Där InternalDefinitionUpdateServer är WSUS med Microsoft Defender Tillåtna antivirusuppdateringar. MicrosoftUpdateServer == Microsoft Update (tidigare Windows Update). MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
Inaktivera av-inställningar för lokal administratör
Inaktivera lokala av-administratörsinställningar, till exempel undantag, och framtvinga principerna från Microsoft Defender för Endpoint Hantering av säkerhetsinställningar.
Rot:
| Beskrivning | Inställning |
|---|---|
| Konfigurera beteende för lokal administratörssammanslagning för listor | Inaktiverad |
| Kontrollera om undantag är synliga för lokala administratörer eller inte | Aktiverad |
Standardåtgärd för allvarlighetsgrad för hot
\ Hot
| Beskrivning | Inställning | Aviseringsnivå | Åtgärd |
|---|---|---|---|
| Ange hotaviseringsnivåer där standardåtgärden inte ska vidtas när den identifieras | Aktiverad | ||
| 5 (svår) | 2 (karantän) | ||
| 4 (hög) | 2 (karantän) | ||
| 2 (medel) | 2 (karantän) | ||
| 1 (låg) | 2 (karantän) |
\ Karantän
| Beskrivning | Inställning |
|---|---|
| Konfigurera borttagning av objekt från karantänmappen | Aktiverad, 60 |
\ Klientgränssnitt
| Beskrivning | Inställning |
|---|---|
| Aktivera huvudlöst användargränssnittsläge | Inaktiverad |
Nätverksskydd
\ Microsoft Defender Exploit Guard\Network Protection:
| Beskrivning | Inställning |
|---|---|
| Förhindra användare och appar från att komma åt farliga webbplatser | Aktiverad, Blockera |
| De här inställningarna styr om nätverksskydd kan konfigureras i blockerings- eller granskningsläge på Windows Server | Aktiverad |
Om du vill aktivera nätverksskydd för Windows-servrar använder du PowerShell för tillfället:
| ÅS | PowerShell-cmdlet |
|---|---|
| Windows Server 2012 R2Windows Server 2022 och senare | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Windows Server 2016- och Windows Server 2012 R2-klienten för enhetliga MDE | set-MpPreference -AllowNetworkProtectionOnWinServer $true och set-MpPreference -AllowNetworkProtectionDownLevel $ true |
Regler för minskning av attackytan
Gå till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
Välj Nästa.
| Beskrivning | Inställning |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 Obs! (Blockera körbart innehåll från e-postklienten och webbmeddelandet) |
1 (blockera) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Obs! (Blockera Adobe Reader från att skapa underordnade processer) |
1 (blockera) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc Obs! (Blockera körning av potentiellt dolda skript) |
1 (blockera) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 Obs! (Blockera missbruk av utnyttjade sårbara signerade drivrutiner) |
1 (blockera) |
| 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b Obs! (Blockera Win32 API-anrop från Office-makron) |
1 (blockera) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 Obs! (Blockera körbara filer från att köras om de inte uppfyller ett kriterium för prevalens, ålder eller betrodd lista) |
1 (blockera) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 Obs! (Blockera Office-kommunikationsprogram från att skapa underordnade processer) |
1 (blockera) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a Obs! (Blockera alla Office-program från att skapa underordnade processer) |
1 (blockera) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Obs! ([FÖRHANDSVERSION] Blockera användning av kopierade eller personifierade systemverktyg) |
1 (blockera) |
| d3e037e1-3eb8-44c8-a917-57927947596d Obs! (Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll) |
1 (blockera) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Obs! (Blockera stöld av autentiseringsuppgifter från undersystemet för den lokala Windows-säkerhetsmyndigheten) |
1 (blockera) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 Obs! (Blockera skapande av webbgränssnitt för servrar) |
1 (blockera) |
| 3b576869-a4ec-4529-8536-b80a7769e899 Obs! (Blockera Office-program från att skapa körbart innehåll) |
1 (blockera) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Obs! (Blockera obetrodda och osignerade processer som körs från USB) |
1 (blockera) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Obs! (Blockera Office-program från att mata in kod i andra processer) |
1 (blockera) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b Obs! (Blockera beständighet via WMI-händelseprenumeration) |
1 (blockera) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 Obs! (Använd avancerat skydd mot utpressningstrojaner) |
1 (blockera) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c Obs! (Blockera processskapanden som kommer från PSExec- och WMI-kommandon) |
1 (blockera) Not: Om du har Configuration Manager (tidigare SCCM) eller andra hanteringsverktyg som använder WMI kan du behöva ange 2 ("granskning") i stället för 1('block'). |
| 33ddedf1-c6e0-47cb-833e-de6133960387 Obs! ([FÖRHANDSVERSION] Blockera omstart av datorn i felsäkert läge) |
1 (blockera) |
Tips
Vissa regler kan blockera beteende som du tycker är acceptabelt i din organisation. I dessa fall ändrar du regeln från "Aktiverad" till "Granskning" för att förhindra oönskade block.
Kontrollerad mappåtkomst
Gå till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
| Beskrivning | Inställning |
|---|---|
| Konfigurera kontrollerad mappåtkomst | Aktiverad, Blockera |
Tilldela principerna till den organisationsenhet där testdatorerna finns.
Aktivera manipulationsskydd
I Microsoft XDR-portalen (security.microsoft.com) går du till Inställningar>Slutpunkter>Avancerade funktioner>Manipulationsskydd>på.
Mer information finns i Hur gör jag för att konfigurera eller hantera manipuleringsskydd?.
Kontrollera cloud protection-nätverksanslutningen
Det är viktigt att kontrollera att Cloud Protection-nätverksanslutningen fungerar under penntestningen.
CMD (Kör som administratör)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Mer information finns i Använda cmdline-verktyget för att validera molnlevererat skydd.
Kontrollera versionen av plattformsuppdateringen
Den senaste versionen av Produktionskanal för plattformsuppdatering (GA) finns här:
Om du vill kontrollera vilken version av plattformsuppdateringen som är installerad använder du följande PowerShell-kommando (Kör som administratör):
get-mpComputerStatus | ft AMProductVersion
Kontrollera säkerhetsinformationsuppdateringsversionen
Den senaste versionen av "Security Intelligence Update" finns här:
Om du vill kontrollera vilken version av säkerhetsinformationsuppdateringen som är installerad använder du följande PowerShell-kommando (Kör som administratör):
get-mpComputerStatus | ft AntivirusSignatureVersion
Kontrollera versionen av motoruppdateringen
Den senaste genomsökningsversionen av "motoruppdatering" finns här:
Om du vill kontrollera vilken version av motoruppdateringen som är installerad använder du följande PowerShell-kommando (Kör som administratör):
get-mpComputerStatus | ft AMEngineVersion
Om du ser att inställningarna inte börjar gälla kan det uppstå en konflikt. Information om hur du löser konflikter finns i: Felsöka Microsoft Defender Antivirus-inställningar.
För inskickade falska negativa identifieringar (FN)
Om du har frågor om en identifiering som Microsoft Defender AV gör, eller om du upptäcker en missad identifiering, kan du skicka en fil till oss.
Om du har Microsoft XDR, Microsoft Defender för Endpoint P2/P1 eller Microsoft Defender för företag: se Skicka filer i Microsoft Defender för Endpoint.
Om du har Microsoft Defender Antivirus läser du:https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
Microsoft Defender AV anger en identifiering via vanliga Windows-meddelanden. Du kan också granska identifieringar i Microsoft Defender AV-appen.
Windows-händelseloggen registrerar även identifierings- och motorhändelser. I artikeln Microsoft Defender Antivirushändelser finns en lista över händelse-ID:t och deras motsvarande åtgärder.
Om inställningarna inte tillämpas korrekt tar du reda på om det finns motstridiga principer som är aktiverade i din miljö. Mer information finns i Felsöka Microsoft Defender Antivirusinställningar.
Om du behöver öppna ett Microsoft-supportärende: Kontakta Microsoft Defender för Endpoint support.