使用 组策略 评估Microsoft Defender防病毒

适用于：

• Microsoft Defender 防病毒
• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2

平台：

• Windows

在 Windows 10 或更高版本以及Windows Server 2016或更高版本中，可以使用 Microsoft Defender 防病毒 (MDAV) 和 Microsoft Defender Exploit Guard (Microsoft Defender EG) 提供的下一代保护功能。

本文介绍如何在 Microsoft Defender AV 和 Microsoft Defender EG 中启用和测试密钥保护功能，并提供指向详细信息的指导和链接。

本文介绍Windows 10或更高版本以及Windows Server 2016或更高版本中的配置选项。

使用 组策略 Microsoft Defender 防病毒来启用这些功能

本指南提供Microsoft Defender防病毒组策略，用于配置评估保护时应使用的功能。

1. 获取最新的“Windows 组策略管理模板”。

   有关详细信息，请参阅 创建和管理中央存储 - Windows 客户端。

   提示

   1. Windows 一个适用于 Windows Server。
   2. 即使正在运行Windows 10或Windows Server 2016，也可获取Windows 11或更高版本的最新管理模板。

2. 创建“中央存储”以托管最新的 .admx 和 .adml 模板。

   有关详细信息，请参阅 创建和管理中央存储 - Windows 客户端。

   如果已加入域：

   1. 创建新的 OU 块策略继承。

   2. 打开组策略管理控制台 (GPMC.msc) 。

   3. 转到组策略对象并创建新的组策略。

   4. 右键单击创建的新策略，然后选择 “编辑”。

   5. 导航到“计算机配置>策略>”“管理模板>”“Windows 组件>Microsoft Defender防病毒”。

   或

   如果已加入工作组

   6. 打开 组策略 编辑器 MMC (GPEdit.msc) 。

   7. 导航到“计算机配置>管理模板>”“Windows 组件>Microsoft Defender防病毒”。

MDAV 和可能不需要的应用程序 (PUA)

根：

说明	Setting
关闭Microsoft Defender防病毒	Disabled
为可能不需要的应用程序配置检测	已启用 - 阻止

实时保护 (始终启用保护、实时扫描)

\ 实时保护：

说明	Setting
关闭实时保护	Disabled
配置对传入和传出文件和程序活动的监视	已启用双向 (完全访问)
启用行为监视	已启用
监视计算机上的文件和程序活动	已启用

云保护功能

Standard安全智能更新可能需要数小时才能准备和交付;云提供的保护服务可在数秒内提供此保护。

有关详细信息，请参阅通过云提供的保护在 Microsoft Defender 防病毒中使用下一代技术。

\ 地图：

说明	Setting
加入Microsoft MAPS	已启用，高级 MAPS
配置“首次看到时阻止”功能	已启用
需要进一步分析时发送文件样本	已启用，发送所有示例

\ MpEngine：

说明	Setting
选择云保护级别	已启用，阻止级别较高
配置扩展云检查	已启用，50

扫描

说明	Setting
打开启发式	已启用
启用电子邮件扫描	已启用
扫描所有下载的文件和附件	已启用
启用脚本扫描	已启用
扫描存档文件	已启用
扫描打包的可执行文件	已启用
配置网络文件扫描 (扫描网络文件)	已启用
扫描可移动驱动器	已启用
启用重新分析点扫描	已启用

安全智能更新

说明	Setting
指定要为安全智能更新检查的间隔	已启用，4
定义下载安全智能更新的源顺序	已启用，在“定义下载安全智能更新的源顺序”下 InternalDefinitionUpdateServer |MicrosoftUpdateServer |MMPC 注意：其中 InternalDefinitionUpdateServer 为 WSUS，允许Microsoft Defender防病毒更新。 MicrosoftUpdateServer == Microsoft 更新 (以前Windows 更新) 。 MMPC == https://www.microsoft.com/en-us/wdsi/definitions

禁用本地管理员 AV 设置

禁用本地管理员 AV 设置（如排除项），并强制实施Microsoft Defender for Endpoint安全设置管理中的策略。

根：

说明	Setting
为列表配置本地管理员合并行为	Disabled
控制排除项是否对本地管理员可见	已启用

威胁严重性默认作

\ 威胁

说明	Setting	警报级别	操作
指定检测到时不应采取默认作的威胁警报级别	已启用
		5 (严重)	2 (隔离)
		4 (高)	2 (隔离)
		2 (中等)	2 (隔离)
		1 (低)	2 (隔离)

\ 检疫

说明	Setting
配置从“隔离”文件夹中删除项目	已启用，60

\ 客户端接口

说明	Setting
启用无外设 UI 模式	Disabled

网络保护

\ Microsoft Defender Exploit Guard\Network Protection：

说明	Setting
防止用户和应用访问危险网站	已启用、阻止
此设置控制是否可以在Windows Server上将网络保护配置为阻止模式或审核模式	已启用

若要为 Windows Server 启用网络保护，目前请使用 PowerShell：

操作系统	PowerShell cmdlet
Windows Server 2012 R2 及更高版本	set-MpPreference -AllowNetworkProtectionOnWinServer $true
Windows Server 2016和Windows Server 2012 R2 统一MDE客户端	set-MpPreference -AllowNetworkProtectionOnWinServer $true set-MpPreference -AllowNetworkProtectionDownLevel $ true

攻击面减少规则

1. 导航到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>Microsoft Defender攻击防护>攻击面减少。

2. 选择 下一步。

说明	Setting
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 注意： (阻止电子邮件客户端和 Webmail) 的可执行内容	1 (块)
7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c 注意： (阻止 Adobe Reader 创建子进程)	1 (块)
5beb7efe-fd9a-4556-801d-275e5ffc04cc 注意： (阻止执行潜在的模糊脚本)	1 (块)
56a863a9-875e-4185-98a7-b882c64b5ce5 注意： (阻止滥用被攻击的易受攻击的已签名驱动程序)	1 (块)
92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b 注意： (阻止来自 Office 宏的 Win32 API 调用)	1 (块)
01443614-cd74-433a-b99e-2ecdc07bfc25 注意： (阻止可执行文件运行，除非它们满足流行率、年龄或受信任列表条件)	1 (块)
26190899-1602-49e8-8b27-eb1d0a1ce869 注意： (阻止 Office 通信应用程序创建子进程)	1 (块)
d4f940ab-401b-4efc-aadc-ad5f3c50688a 注意： (阻止所有 Office 应用程序创建子进程)	1 (块)
c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb 注意： ([预览] 阻止使用复制或模拟的系统工具)	1 (块)
d3e037e1-3eb8-44c8-a917-57927947596d 注意： (阻止 JavaScript 或 VBScript 启动下载的可执行内容)	1 (块)
9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 注意： (阻止从 Windows 本地安全机构子系统窃取凭据)	1 (块)
a8f5898e-1dc8-49a9-9878-85004b8a61e6 注意： (阻止为服务器创建 Web shell)	1 (块)
3b576869-a4ec-4529-8536-b80a7769e899 注意： (阻止 Office 应用程序创建可执行内容)	1 (块)
b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 注意： (阻止从 USB) 运行的不受信任和未签名的进程	1 (块)
75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 注意： (阻止 Office 应用程序将代码注入其他进程)	1 (块)
e6db77e5-3df2-4cf1-b95a-636979351e5b 注意： (阻止通过 WMI 事件订阅) 持久性	1 (块)
c1db55ab-c21a-4637-bb3f-a12568109d35 注意： (使用高级防护来防范勒索软件)	1 (块)
d1e49aac-8f56-4280-b9ba-993a6d77406c 注意： (阻止源自 PSExec 和 WMI 命令的进程创建)	1 (块) 注意：如果以前Configuration Manager (SCCM) 或其他使用 WMI 的管理工具，则可能需要将此设置为 2 ('audit') ，而不是 1 个 ('block') 。
33ddedf1-c6e0-47cb-833e-de6133960387 注意： ([预览] 阻止在安全模式下重启计算机)	1 (块)

提示

某些规则可能会阻止你认为组织中可接受的行为。 在这些情况下，请将规则从“Enabled”更改为“Audit”，以防止不需要的块。

受控文件夹访问权限

导航到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>Microsoft Defender攻击防护>攻击面减少。

说明	Setting
配置受控文件夹访问	已启用、阻止

将策略分配给测试计算机所在的 OU。

启用篡改防护

在 Microsoft XDR 门户 (security.microsoft.com) 中，转到 “设置>终结点>高级功能>篡改防护>打开”。

有关详细信息，请参阅如何实现配置或管理篡改防护？。

检查云保护网络连接

请务必检查云保护网络连接在笔测试期间是否正常工作。

CMD (以管理员身份运行)

cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection

有关详细信息，请参阅 使用 cmdline 工具验证云提供的保护。

检查平台更新版本

此处提供了最新的“平台更新”版本生产频道 (正式版) ：

Microsoft 更新目录

若要检查安装了哪个“平台更新”版本，请使用以下 PowerShell 命令 (以管理员身份运行) ：

get-mpComputerStatus | ft AMProductVersion

检查安全智能更新版本

此处提供了最新的“安全智能更新”版本：

Microsoft Defender防病毒和其他Microsoft反恶意软件的最新安全智能更新 - Microsoft 安全智能

若要检查安装了哪个“安全智能更新”版本，请使用以下 PowerShell 命令 (以管理员身份运行) ：

get-mpComputerStatus | ft AntivirusSignatureVersion

检查引擎更新版本

此处提供了最新的扫描“引擎更新”版本：

Microsoft Defender防病毒和其他Microsoft反恶意软件的最新安全智能更新 - Microsoft 安全智能

若要检查安装了哪个“引擎更新”版本，请使用以下 PowerShell 命令 (以管理员身份运行) ：

get-mpComputerStatus | ft AMEngineVersion

如果发现设置未生效，则可能存在冲突。 若要解决冲突，请参阅：排查Microsoft Defender防病毒设置问题。

对于假负 (FN) 提交

如果对 AV 进行Microsoft Defender检测有任何疑问，或者发现错过了检测，可以向我们提交文件。

如果你有Microsoft XDR、Microsoft Defender for Endpoint P2/P1 或Microsoft Defender 商业版：请参阅在 Microsoft Defender for Endpoint 中提交文件。

如果Microsoft Defender防病毒，请参阅：https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx

Microsoft Defender AV 指示通过标准 Windows 通知进行检测。 还可以在 Microsoft Defender AV 应用中查看检测。

Windows 事件日志还记录检测和引擎事件。 有关事件 ID 及其相应作的列表，请参阅Microsoft Defender防病毒事件一文。

如果设置未正确应用，请确定环境中是否启用了冲突策略。 有关详细信息，请参阅排查Microsoft Defender防病毒设置问题。

如果需要提交Microsoft支持案例：联系Microsoft Defender for Endpoint支持人员。