تقييم برنامج الحماية من الفيروسات من Microsoft Defender باستخدام Powershell
ينطبق على:
- برنامج الحماية من الفيروسات من Microsoft Defender
- الخطة 1 من Microsoft Defender لنقطة النهاية
- Defender for Endpoint الخطة 2
في Windows 10 أو الإصدارات الأحدث وWindows Server 2016 أو الإصدارات الأحدث، يمكنك استخدام ميزات الحماية من الجيل التالي التي يوفرها برنامج الحماية من الفيروسات من Microsoft Defender (MDAV) وMicrosoft Defender Exploit Guard (Microsoft Defender EG).
يشرح هذا الموضوع كيفية تمكين واختبار ميزات الحماية الرئيسية في Microsoft Defender AV وMicrosoft Defender EG، ويوفر لك إرشادات وارتباطات لمزيد من المعلومات.
نوصي باستخدام برنامج PowerShell النصي للتقييم هذا لتكوين هذه الميزات، ولكن يمكنك تمكين كل ميزة بشكل فردي باستخدام أوامر cmdlets الموضحة في بقية هذا المستند.
راجع مكتبات وثائق المنتجات التالية للحصول على مزيد من المعلومات حول منتجات EPP الخاصة بنا:
توضح هذه المقالة خيارات التكوين في Windows 10 أو الإصدارات الأحدث وWindows Server 2016 أو الإصدارات الأحدث.
إذا كانت لديك أي أسئلة حول الكشف الذي يقوم به Microsoft Defender AV، أو اكتشفت اكتشافا فائتا، يمكنك إرسال ملف إلينا في موقع تعليمات إرسال العينة.
استخدام PowerShell لتمكين الميزات
يوفر هذا الدليل أوامر Cmdlets لبرنامج الحماية من الفيروسات من Microsoft Defender التي تقوم بتكوين الميزات التي يجب استخدامها لتقييم حمايتنا.
لاستخدام أوامر cmdlets هذه:
1. افتح مثيلا غير مقيد من PowerShell (اختر تشغيل كمسؤول).
2. أدخل الأمر المدرج في هذا الدليل واضغط على مفتاح الإدخال Enter.
يمكنك التحقق من حالة جميع الإعدادات قبل البدء، أو أثناء التقييم، باستخدام Get-MpPreference PowerShell cmdlet.
يشير Microsoft Defender AV إلى الكشف من خلال إعلامات Windows القياسية. يمكنك أيضا مراجعة الاكتشافات في تطبيق Microsoft Defender AV.
يسجل سجل أحداث Windows أيضا أحداث الكشف والمحرك. راجع مقالة أحداث برنامج الحماية من الفيروسات من Microsoft Defender للحصول على قائمة بمعرفات الأحداث والإجراءات المقابلة لها.
ميزات حماية السحابة
يمكن أن تستغرق تحديثات التعريف القياسي ساعات للتحضير والتسليم؛ يمكن لخدمة الحماية المقدمة من السحابة تقديم هذه الحماية في ثوان.
تتوفر المزيد من التفاصيل في استخدام تقنيات الجيل التالي في برنامج الحماية من الفيروسات من Microsoft Defender من خلال الحماية المقدمة من السحابة.
| الوصف | أمر PowerShell |
|---|---|
| تمكين Microsoft Defender Cloud للحماية شبه الفورية وزيادة الحماية | Set-MpPreference -MAPSReporting Advanced |
| إرسال عينات تلقائيا لزيادة حماية المجموعة | Set-MpPreference -SubmitSamplesConsent Always |
| استخدم السحابة دائما لحظر البرامج الضارة الجديدة في غضون ثوان | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| فحص جميع الملفات والمرفقات التي تم تنزيلها | Set-MpPreference -DisableIOAVProtection 0 |
| تعيين مستوى كتلة السحابة إلى "مرتفع" | Set-MpPreference -CloudBlockLevel High |
| مهلة كتلة السحابة عالية التعيين إلى دقيقة واحدة | Set-MpPreference -CloudExtendedTimeout 50 |
الحماية دائما (الفحص في الوقت الحقيقي)
يقوم Microsoft Defender AV بفحص الملفات بمجرد رؤيتها بواسطة Windows، وسيراقب العمليات قيد التشغيل بحثا عن السلوكيات الضارة المعروفة أو المشتبه بها. إذا اكتشف محرك مكافحة الفيروسات تعديلا ضارا، فسيمنع تشغيل العملية أو الملف على الفور.
راجع تكوين الحماية السلوكية والاستدلالية وفي الوقت الحقيقي لمزيد من التفاصيل حول هذه الخيارات.
| الوصف | أمر PowerShell |
|---|---|
| مراقبة الملفات والعمليات باستمرار لتعديلات البرامج الضارة المعروفة | Set-MpPreference -DisableRealtimeMonitoring 0 |
| المراقبة المستمرة لسلوكيات البرامج الضارة المعروفة - حتى في الملفات "النظيفة" والبرامج قيد التشغيل | Set-MpPreference -DisableBehaviorMonitoring 0 |
| مسح البرامج النصية ضوئيا بمجرد رؤيتها أو تشغيلها | Set-MpPreference -DisableScriptScanning 0 |
| فحص محركات الأقراص القابلة للإزالة بمجرد إدراجها أو تحميلها | Set-MpPreference -DisableRemovableDriveScanning 0 |
حماية التطبيقات غير المرغوب فيها
التطبيقات التي يحتمل أن تكون غير مرغوب فيها هي ملفات وتطبيقات لا يتم تصنيفها تقليديا على أنها ضارة. وتشمل هذه مثبتات الجهات الخارجية للبرامج الشائعة، وحقن الإعلان، وأنواع معينة من أشرطة الأدوات في المستعرض الخاص بك.
| الوصف | أمر PowerShell |
|---|---|
| منع تثبيت البرامج الرمادية والبرامج الإعلانية والتطبيقات الأخرى التي يحتمل أن تكون غير مرغوب فيها | تمكين Set-MpPreference -PUAProtection |
فحص البريد الإلكتروني والأرشفة
يمكنك تعيين برنامج الحماية من الفيروسات من Microsoft Defender لمسح أنواع معينة من ملفات البريد الإلكتروني وملفات الأرشيف تلقائيا (مثل ملفات .zip) عند مشاهدتها بواسطة Windows. يمكن العثور على مزيد من المعلومات حول هذه الميزة ضمن مقالة إدارة عمليات فحص البريد الإلكتروني في Microsoft Defender .
| الوصف | أمر PowerShell |
|---|---|
| مسح ملفات البريد الإلكتروني والأرشيفات ضوئيا | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
إدارة تحديثات المنتجات والحماية
عادة ما تتلقى تحديثات Microsoft Defender AV من تحديث Windows مرة واحدة في اليوم. ومع ذلك، يمكنك زيادة تكرار هذه التحديثات عن طريق تعيين الخيارات التالية، والتأكد من إدارة التحديثات إما في System Center Configuration Manager أو باستخدام نهج المجموعة أو في Intune.
| الوصف | أمر PowerShell |
|---|---|
| تحديث التواقيع كل يوم | Set-MpPreference -SignatureUpdateInterval |
| التحقق لتحديث التواقيع قبل تشغيل فحص مجدول | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
الوصول المتقدم إلى المجلدات الخاضعة للرقابة للتخفيف من المخاطر واستغلالها
يوفر Microsoft Defender Exploit Guard ميزات تساعد في حماية الأجهزة من السلوكيات الضارة المعروفة والهجمات على التقنيات المعرضة للخطر.
| الوصف | أمر PowerShell |
|---|---|
| منع التطبيقات الضارة والمريبة (مثل برامج الفدية الضارة) من إجراء تغييرات على المجلدات المحمية مع الوصول إلى المجلدات الخاضعة للرقابة | Set-MpPreference -تمكينControlledFolderAccess Enabled |
| حظر الاتصالات بعناوين IP غير الصالحة المعروفة واتصالات الشبكة الأخرى مع حماية الشبكة | تمكين Set-MpPreference -EnableNetworkProtection |
| تطبيق مجموعة قياسية من عوامل التخفيف باستخدام الحماية من الهجمات | https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| حظر ناقلات الهجوم الضارة المعروفة مع تقليل سطح الهجوم | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions ممكن Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba 52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -تمكين AttackSurfaceReductionRules_ActionsAdd-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -تمكين AttackSurfaceReductionRules_ActionsAdd-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A 917- 57927947596D -AttackSurfaceReductionRules_Actions ممكنAdd-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -تمكين AttackSurfaceReductionRules_ActionsAdd-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-1602 49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions ممكنAdd-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -تمكين AttackSurfaceReductionRules_ActionsAdd-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9 -9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions ممكنAdd-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Enabled |
قد تمنع بعض القواعد السلوك الذي تجده مقبولا في مؤسستك. في هذه الحالات، قم بتغيير القاعدة من ممكن إلى تدقيق لمنع الكتل غير المرغوب فيها.
فحص Microsoft Defender في وضع عدم الاتصال بنقرة واحدة
Microsoft Defender Offline Scan هي أداة متخصصة تأتي مع Windows 10 أو أحدث، وتسمح لك بتمهيد جهاز إلى بيئة مخصصة خارج نظام التشغيل العادي. وهو مفيد بشكل خاص للبرامج الضارة القوية، مثل rootkits.
راجع Microsoft Defender في وضع عدم الاتصال للحصول على مزيد من المعلومات حول كيفية عمل هذه الميزة.
| الوصف | أمر PowerShell |
|---|---|
| تأكد من أن الإعلامات تسمح لك بتمهيد الكمبيوتر إلى بيئة متخصصة لإزالة البرامج الضارة | Set-MpPreference -UILockdown 0 |
الموارد
يسرد هذا القسم العديد من الموارد التي يمكن أن تساعدك في تقييم برنامج الحماية من الفيروسات من Microsoft Defender.
- Microsoft Defender في مكتبة Windows 10
- مكتبة Microsoft Defender for Windows Server 2016
- مكتبة أمان Windows 10
- نظرة عامة على أمان Windows 10
- موقع ويب Microsoft Defender Security Intelligence (مركز حماية البرامج الضارة من Microsoft (MMPC) - أبحاث التهديدات والاستجابة لها
- موقع أمان Microsoft على الويب
- مدونة أمان Microsoft
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ