使用 Microsoft Defender 端點安全性設定管理 (端點安全策略來評估 Microsoft Defender 防病毒軟體)
在 Windows 10 或更新版本中,Windows Server 2016 或更新版本中,您可以使用 Microsoft Defender 防病毒軟體 (MDAV) 和 Microsoft Defender 惡意探索防護 (Microsoft Defender EG) 所提供的新一代保護功能.
本文說明 Windows 10 或更新版本,以及 Windows Server 2016 或更新版本中的組態選項,可引導您在 MDAV 和 Microsoft Defender EG 中啟用和測試密鑰保護功能;並提供指引和詳細資訊的連結。
如果您有任何有關 MDAV 偵測的問題,或您發現遺漏的偵測,您可以在我們的範 例提交說明網站將檔案提交給我們。
使用 Microsoft Defender 端點安全性設定管理 (端點安全策略) 啟用功能
本節說明 適用於端點的 Microsoft Defender 安全性設定管理 (端點安全策略) ,以設定您應該用來評估保護的功能。
MDAV 表示透過 標準 Windows 通知偵測。 您也可以檢閱 MDAV 應用程式中的偵測。 若要這樣做,請參閱檢閱 Microsoft Defender 防病毒軟體掃描結果。
Windows 事件記錄檔也會記錄偵測和引擎事件。 如需事件標識碼及其對應動作的清單,請參閱 Microsoft Defender 防病毒軟體事件一文。 如需事件標識碼清單及其對應動作的相關信息,請參閱檢閱事件記錄檔和錯誤碼,以針對 Microsoft Defender 防病毒軟體的問題進行疑難解答。
若要設定測試保護功能時必須使用的選項,請執行下列步驟:
- 登入 Microsoft Defender 全面偵測回應。
- 移至 [端點設定 > 管理 > ] [端點安全策略 > ][Windows 原則 > ][建立新原則]。
- 從 [選取平臺] 下拉式清單中選取 [Windows 10]、[Windows 11] 和 [Windows Server]。
- 從 [選取範本] 下拉式清單中選取 [Microsoft Defender 防病毒軟體]。
- 選取 [建立原則]。 [ 建立新原則] 頁面隨即出現。
- 在 [ 基本概念] 頁面上,分別在 [名稱] 和 [描述] 字段中輸入配置檔的 名稱 和 描述 。
- 選取 [下一步]。
- 在 [ 組態設定] 頁面上,展開設定群組。
- 從這些設定群組中,選取您想要使用此設定檔管理的設定。
- 設定所選設定群組的原則,如下表所述:
即時保護 (Always-on 保護、實時掃描) :
| 描述 | 設定 |
|---|---|
| 允許即時監視 | 允許 |
| 實時掃描方向 | (雙向) 監視所有檔案 |
| 允許行為監視 | 允許 |
| 允許存取保護 | 允許 |
| PUA 保護 | PUA 保護開啟 |
雲端保護功能:
| 描述 | 設定 |
|---|---|
| 允許雲端保護 | 允許 |
| 雲端封鎖層級 | 高 |
| 雲端延伸逾時 | 已設定,50 |
| 提交範例同意 | 自動傳送所有範例 |
Standard 安全性情報更新可能需要數小時的時間來準備和傳遞;我們的雲端式保護服務可在數秒內提供此保護。 如需詳細資訊,請參閱在透過雲端提供的保護 Microsoft Defender 防病毒軟體中使用新一代技術。
掃描:
| 描述 | 設定 |
|---|---|
| 允許 Email 掃描 | 允許 |
| 允許掃描所有下載的檔案和附件 | 允許 |
| 允許文稿掃描 | 允許 |
| 允許 封存 掃描 | 允許 |
| 允許掃描網路檔案 | 允許 |
| 允許完整掃描卸載式磁碟驅動器掃描 | 允許 |
網路保護:
| 描述 | 設定 |
|---|---|
| 啟用網路保護 | 啟用 (區塊模式) |
| 允許網路保護向下層級 | 網路保護將會向下啟用。 |
| 允許在 Win Server 上處理數據報 | 已啟用 Windows Server 上的數據報處理。 |
| 停用透過 TCP 剖析的 DNS | 已啟用透過 TCP 剖析的 DNS。 |
| 停用 HTTP 剖析 | 已啟用 HTTP 剖析。 |
| 停用 SSH 剖析 | 已啟用 SSH 剖析。 |
| 停用 TLS 剖析 | 已啟用 TLS 剖析。 |
| 啟用 DNS 接收洞 | 已啟用 DNS 接收洞。 |
安全性情報更新:
| 描述 | 設定 |
|---|---|
| 簽章更新間隔 | 已設定,4 |
描述:簽章更新後援順序設定:選取 [簽章更新後援] 的複選框
InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC,其中 'InternalDefinitionUpdateServer' 是允許 Microsoft Defender 防病毒軟體更新的 WSUS;'MicrosoftUpdateServer' = Microsoft Update (先前 Windows Update) ;而 MMPC = https://www.microsoft.com/en-us/wdsi/definitions。
本機系統管理員防變數:
停用本機系統管理員AV設定,例如排除專案,並從 適用於端點的 Microsoft Defender 安全性設定管理設定原則,如下表所述:
| 描述 | 設定 |
|---|---|
| 停用本機 管理員 合併 | 停用本機 管理員 合併 |
威脅嚴重性預設動作:
| 描述 | 設定 |
|---|---|
| 高嚴重性威脅的補救動作 | 隔離 |
| 嚴重威脅的補救動作 | 隔離 |
| 低嚴重性威脅的補救動作 | 隔離 |
| 中等嚴重性威脅的補救動作 | 隔離 |
| 描述 | 設定 |
|---|---|
| 保留已清除的天數 | 已設定,60 |
| 允許使用者 UI 存取 | 允許。 讓使用者存取UI。 |
- 完成設定後,請選取 [下一步]。
- 在 [ 指派] 索引標籤 上,選取 [ 裝置群組 ] 或 [ 使用者群組 ] 或 [ 所有裝置 ] 或 [ 所有使用者]。
- 選取 [下一步]。
- 在 [ 檢閱 + 建立] 索引 標籤上,檢閱您的原則設定,然後選取 [ 儲存]。
受攻擊面縮小規則
若要使用端點安全策略啟用受攻擊面縮小 (ASR) 規則,請執行下列步驟:
移至 [端點設定 > 管理 > ] [端點安全策略 > ][Windows 原則 > ][建立新原則]。
從 [選取平臺] 下拉式清單中選取 [Windows 10]、[Windows 11] 和 [Windows Server]。
從 [選取範本] 下拉式清單中選取 [受攻擊面縮小規則]。
選取 [建立原則]。
在 [ 基本] 頁面上,輸入配置檔的名稱和描述;然後,選擇 [下一步]。
在 [ 組態設定 ] 頁面上,展開設定群組,並使用此配置檔設定您想要管理的設定。
根據下列建議設定來設定原則:
描述 設定 封鎖來自電子郵件用戶端及網路郵件的可執行內容 封鎖 封鎖 Adobe Reader 使其無法建立子程序 封鎖 封鎖可能經過模糊化的指令碼的執行 封鎖 在裝置) (封鎖惡意探索易受攻擊的已簽署驅動程序濫用 封鎖 封鎖來自 Office 巨集的 Win32 API 呼叫 封鎖 除非可執行檔符合普遍性、存留期或受信任清單準則,否則封鎖其執行 封鎖 封鎖 Office 通訊應用程式使其無法建立子程序 封鎖 封鎖所有 Office 應用程式使其無法建立子程序 封鎖 [預覽]封鎖使用複製或仿真的系統工具 封鎖 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容 封鎖 封鎖從 Windows 本機安全性授權子系統竊取認證 封鎖 封鎖建立伺服器的 WebShell 封鎖 封鎖 Office 應用程式使其無法建立可執行的內容 封鎖 封鎖從 USB 執行的未受信任與未簽署程序 封鎖 封鎖 Office 應用程式使其無法將程式碼插入其他程序 封鎖 透過 WMI 事件訂閱封鎖持續性 封鎖 對惡意勒索軟體使用進階保護 封鎖 封鎖源自 PSExec 與 WMI 命令的程序建立 封鎖
注意:如果您先前 Configuration Manager (SCCM) 或其他使用 WMI 的管理工具,您可能需要將此設定為 [稽核],而不是 [封鎖]。[預覽]在安全模式中封鎖重新啟動機器 封鎖 啟用受控資料夾存取 Enabled
提示
任何規則都可能會封鎖您在組織中可接受的行為。 在這些情況下,請新增名為「僅限受攻擊面縮小排除範圍」的個別規則排除專案。 此外,將規則從 [已啟用 ] 變更為 [稽核 ],以防止不必要的區塊。
- 選取 [下一步]。
- 在 [ 指派] 索引標籤 上,選取 [ 裝置群組 ] 或 [ 使用者群組 ] 或 [ 所有裝置 ] 或 [ 所有使用者]。
- 選取 [下一步]。
- 在 [ 檢閱 + 建立] 索引 標籤上,檢閱您的原則設定,然後選取 [ 儲存]。
檢查平臺更新版本
MICROSOFT更新 類別目錄中提供最新的「平臺更新」版本生產通道 (GA) 。
若要檢查您已安裝的「平臺更新」版本,請使用系統管理員的許可權在 PowerShell 中執行下列命令:
Get-MPComputerStatus | Format-Table AMProductVersion
檢查安全性情報更新版本
Microsoft Defender 防病毒軟體和其他Microsoft反惡意代碼軟體的最新安全情報更新中提供最新的「安全情報更新」版本 - Microsoft 安全情報。
若要檢查您已安裝的「安全情報更新」版本,請使用系統管理員的許可權在 PowerShell 中執行下列命令:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
檢查引擎更新版本
最新的掃描「引擎更新」版本可在 Microsoft Defender 防病毒軟體和其他Microsoft反惡意代碼軟體的最新安全性情報更新中取得 - Microsoft 安全情報。
若要檢查您已安裝的「引擎更新」版本,請使用系統管理員的許可權在 PowerShell 中執行下列命令:
Get-MPComputerStatus | Format-Table AMEngineVersion
如果yo發現您的設定未生效,您可能會發生衝突。 如需如何解決衝突的詳細資訊,請參閱針對 Microsoft Defender 防病毒軟體設定進行疑難解答。
若為 False 負 (FN) 提交
如需如何將 False 負值 (FN) 提交的資訊,請參閱: