使用 Microsoft Defender Endpoint Security Settings Management (Endpoint 安全策略) 评估Microsoft Defender防病毒
在Windows 10或更高版本以及Windows Server 2016或更高版本中,可以使用Microsoft Defender防病毒 (MDAV) 和 Microsoft Defender Exploit Guard (Microsoft Defender EG) 提供的下一代保护功能.
本文概述了Windows 10及更高版本中以及Windows Server 2016及更高版本中可用的配置选项。 它提供有关如何激活和测试 Microsoft Defender 防病毒 (MDAV) 和 Microsoft Defender for Endpoint (EG) 中的密钥保护功能的分步指南。
如果对 MDAV 所做的检测有任何疑问,或者发现检测缺失,可以在 我们的示例提交帮助站点上向我们提交文件。
使用 Microsoft Defender Endpoint Security Settings Management (Endpoint security policies) 启用这些功能
本部分介绍Microsoft Defender for Endpoint安全设置管理 (终结点安全策略) 配置评估保护时应使用的功能。
MDAV 指示通过 标准 Windows 通知进行检测。 还可以在 MDAV 应用中查看检测。 为此,请参阅查看防病毒扫描结果Microsoft Defender。
Windows 事件日志还记录检测和引擎事件。 有关事件 ID 及其相应作的列表,请参阅Microsoft Defender防病毒事件一文。 有关事件 ID 列表及其相应作的信息,请参阅查看事件日志和错误代码以排查Microsoft Defender防病毒问题。
若要配置用于测试保护功能的选项,请执行以下步骤:
转到 “终结点 > 配置管理 > ”“终结点安全策略 > ”“Windows 策略 > ”“创建新策略”。
从“选择平台”下拉列表中选择“Windows 10”、“Windows 11”和“Windows Server”。
从“选择模板”下拉列表中选择“Microsoft Defender防病毒”。
选择“创建策略”。 此时会显示 “创建新策略 ”页。
在 “基本信息 ”页上,分别在“ 名称 ”和“说明”字段中输入配置文件的名称和 说明 。
选择 下一步。
在 “配置设置” 页上,展开设置组。
从这些设置组中,选择要使用此配置文件管理的那些设置。
通过配置设置,为所选设置组设置设置策略,如下表所述:
实时保护 (始终启用保护,实时扫描) :
说明 设置 允许实时监视 Allowed 实时扫描方向 (双向) 监视所有文件 允许行为监视 Allowed 允许访问保护 Allowed PUA 保护 PUA 保护 云保护功能:
说明 Setting 允许云保护 Allowed 云块级别 高 云扩展超时 已配置,50 提交示例同意 自动发送所有示例
Standard安全智能更新可能需要数小时才能准备和交付;云提供的保护服务可在数秒内提供此保护。 有关详细信息,请参阅通过云提供的保护在 Microsoft Defender 防病毒中使用下一代技术。
扫描:
| 说明 | Setting |
|---|---|
| 允许Email扫描 | Allowed |
| 允许扫描所有下载的文件和附件 | Allowed |
| 允许脚本扫描 | Allowed |
| 允许存档扫描 | Allowed |
| 允许扫描网络文件 | Allowed |
| 允许完全扫描可移动驱动器扫描 | Allowed |
网络保护:
| 说明 | Setting |
|---|---|
| 启用网络保护 | 已启用 (块模式) |
| 允许网络保护下一级 | 网络保护处于下层启用状态。 |
| 允许在 Win 服务器上处理数据报 | 启用Windows Server上的数据报处理。 |
| 禁用 DNS over TCP 分析 | 已启用基于 TCP 的 DNS 分析。 |
| 禁用 HTTP 分析 | HTTP 分析已启用。 |
| 禁用 SSH 分析 | 已启用 SSH 分析。 |
| 禁用 TLS 分析 | TLS 分析已启用。 |
| 启用 DNS 接收器 | DNS Sinkhole 已启用。 |
安全智能更新:
| 说明 | Setting |
|---|---|
| 签名更新间隔 | 已配置,4 |
说明:签名更新回退顺序设置:选中“签名更新回退”复选框
InternalDefinitionUpdateServer |MicrosoftUpdateServer |MMPC,其中“InternalDefinitionUpdateServer”为 WSUS,允许Microsoft Defender防病毒更新;“MicrosoftUpdateServer”= Microsoft更新 (以前Windows 更新) ;MMPC = https://www.microsoft.com/en-us/wdsi/definitions。
本地管理员 AV:
禁用本地管理员 AV 设置(如排除项),并从Microsoft Defender for Endpoint安全设置管理中设置策略,如下表所述:
| 说明 | Setting |
|---|---|
| 禁用本地管理员合并 | 禁用本地管理员合并 |
威胁严重性默认作:
| 说明 | Setting |
|---|---|
| 针对高严重性威胁的修正作 | Quarantine |
| 严重威胁的修正作 | Quarantine |
| 针对低严重性威胁的修正作 | Quarantine |
| 中等严重性威胁的修正作 | Quarantine |
| 说明 | Setting |
|---|---|
| 保留天数已清理 | 已配置,60 |
| 允许用户 UI 访问 | 允许。 允许用户访问 UI。 |
- 完成配置设置后,选择“下一步”。
- 在 “分配 ”选项卡上,选择“ 设备组 ”或“ 用户组” 或“ 所有设备 ”或 “所有用户”。
- 选择 下一步。
- 在“ 查看 + 创建 ”选项卡上,查看策略设置,然后选择“ 保存”。
攻击面减少规则
若要使用终结点安全策略启用攻击面减少 (ASR) 规则,请执行以下步骤:
转到 “终结点 > 配置管理 > ”“终结点安全策略 > ”“Windows 策略 > ”“创建新策略”。
从“选择平台”下拉列表中选择“Windows 10”、“Windows 11”和“Windows Server”。
从“选择模板”下拉列表中选择“攻击面减少规则”。
选择“创建策略”。
在 “基本信息 ”页上,输入配置文件的名称和说明;然后选择 “下一步”。
在 “配置设置 ”页上,展开设置组,并配置要使用此配置文件管理的那些设置。
根据以下建议设置设置策略:
说明 Setting 阻止来自电子邮件客户端和 Webmail 的可执行内容 阻止 阻止 Adobe Reader 创建子进程 阻止 阻止执行可能已模糊处理的脚本 阻止 阻止滥用被利用的易受攻击的已签名驱动程序 (设备) 阻止 阻止来自 Office 宏的 Win32 API 调用 阻止 阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表条件 阻止 阻止 Office 通信应用程序创建子进程 阻止 阻止所有 Office 应用程序创建子进程 阻止 [预览]阻止使用复制或模拟的系统工具 阻止 阻止 JavaScript 或 VBScript 启动下载的可执行内容 阻止 阻止从 Windows 本地安全机构子系统窃取凭据 阻止 阻止为服务器创建 Web shell 阻止 阻止 Office 应用程序创建可执行内容 阻止 阻止从 USB 运行的不受信任和未签名的进程 阻止 阻止 Office 应用程序将代码注入其他进程 阻止 通过 WMI 事件订阅阻止持久性 阻止 使用针对勒索软件的高级防护 阻止 阻止源自 PSExec 和 WMI 命令的进程创建 阻止 (如果以前Configuration Manager (SCCM) 或其他使用 WMI 的管理工具,则可能需要将此设置为“审核”而不是“阻止) [预览]在安全模式下阻止重新启动计算机 阻止 启用受控文件夹访问 已启用
提示
任何规则都可能会阻止组织中可接受的行为。 在这些情况下,请添加名为“仅攻击面减少排除项”的每个规则排除项。此外,将规则从 “已启用” 更改为 “审核 ”,以防止不需要的块。
- 选择 下一步。
- 在 “分配 ”选项卡上,选择“ 设备组 ”或“ 用户组” 或“ 所有设备 ”或 “所有用户”。
- 选择 下一步。
- 在“ 查看 + 创建 ”选项卡上,查看策略设置,然后选择“ 保存”。
启用篡改防护
转到 “终结点 > 配置管理 > ”“终结点安全策略 > ”“Windows 策略 > ”“创建新策略”。
从“选择平台”下拉列表中选择“Windows 10”、“Windows 11”和“Windows Server”。
从“选择模板”下拉列表中选择“安全体验”。
选择“创建策略”。 此时会显示 “创建新策略 ”页。
在 “基本信息 ”页上,分别在“ 名称 ”和“说明”字段中输入配置文件的名称和 说明 。
选择 下一步。
在 “配置设置” 页上,展开设置组。
从这些组中,选择要使用此配置文件管理的设置。
通过配置所选设置组的策略,设置这些策略,如下表所述:
说明 Setting 篡改保护 (设备) 打开
检查云保护网络连接
必须检查云保护网络连接在渗透测试期间正常工作。
CMD (以管理员身份运行)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
有关详细信息 ,请使用 cmdline 工具验证云提供的保护。
检查平台更新版本
Microsoft更新 目录中提供了最新的“平台更新”版本, (正式版) 。
若要检查已安装的“平台更新”版本,请使用管理员的权限在 PowerShell 中运行以下命令:
Get-MPComputerStatus | Format-Table AMProductVersion
检查安全智能更新版本
最新的“安全智能更新”版本在Microsoft Defender防病毒和其他Microsoft反恶意软件 - Microsoft 安全智能中提供。
若要检查已安装的“安全智能更新”版本,请使用管理员的权限在 PowerShell 中运行以下命令:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
检查引擎更新版本
最新的扫描“引擎更新”版本在最新的安全智能更新中提供,适用于Microsoft Defender防病毒和其他Microsoft反恶意软件 - Microsoft 安全智能。
若要检查已安装的“引擎更新”版本,请使用管理员的权限在 PowerShell 中运行以下命令:
Get-MPComputerStatus | Format-Table AMEngineVersion
如果发现设置未生效,则可能存在冲突。 有关如何解决冲突的信息,请参阅排查Microsoft Defender防病毒设置问题。
对于假负 (FN) 提交
若要了解如何) 提交 (FN 进行假负,请参阅:
- 如果有Microsoft XDR、Microsoft Defender for Endpoint P2/P1 或Microsoft Defender 商业版,请在 Microsoft Defender for Endpoint 提交文件。
- 如果Microsoft Defender防病毒,请提交文件进行分析。