تقييم برنامج الحماية من الفيروسات Microsoft Defender باستخدام Powershell

ينطبق على:

في Windows 10 أو الإصدارات الأحدث وWindows Server 2016 أو أحدث، يمكنك استخدام ميزات الحماية من الجيل التالي التي تقدمها Microsoft Defender Antivirus (MDAV) Microsoft Defender Exploit Guard (Microsoft Defender EG).

يشرح هذا الموضوع كيفية تمكين واختبار ميزات الحماية الرئيسية في Microsoft Defender AV Microsoft Defender EG، ويوفر لك إرشادات وارتباطات لمزيد من المعلومات.

نوصي باستخدام برنامج PowerShell النصي للتقييم هذا لتكوين هذه الميزات، ولكن يمكنك تمكين كل ميزة بشكل فردي باستخدام أوامر cmdlets الموضحة في بقية هذا المستند.

راجع مكتبات وثائق المنتجات التالية للحصول على مزيد من المعلومات حول منتجات EPP الخاصة بنا:

توضح هذه المقالة خيارات التكوين في Windows 10 أو الإصدارات الأحدث وWindows Server 2016 أو الإصدارات الأحدث.

إذا كانت لديك أي أسئلة حول الكشف الذي يقوم به Microsoft Defender AV، أو اكتشفت اكتشافا فائتا، يمكنك إرسال ملف إلينا في عينة موقع تعليمات الإرسال.

استخدام PowerShell لتمكين الميزات

يوفر هذا الدليل أوامر cmdlets Microsoft Defender Antivirus التي تقوم بتكوين الميزات التي يجب استخدامها لتقييم حمايتها.

لاستخدام أوامر cmdlets هذه:

1. افتح مثيلا غير مقيد من PowerShell (اختر تشغيل كمسؤول).

2. أدخل الأمر المدرج في هذا الدليل واضغط على مفتاح الإدخال Enter.

يمكنك التحقق من حالة جميع الإعدادات قبل البدء، أو أثناء التقييم، باستخدام Get-MpPreference PowerShell cmdlet.

يشير Microsoft Defender AV إلى اكتشاف من خلال إعلامات Windows القياسية. يمكنك أيضا مراجعة الاكتشافات في تطبيق Microsoft Defender AV.

يسجل سجل أحداث Windows أيضا أحداث الكشف والمحرك. راجع مقالة أحداث برنامج الحماية من الفيروسات Microsoft Defender للحصول على قائمة بمعرفات الأحداث والإجراءات المقابلة لها.

ميزات حماية السحابة

يمكن أن تستغرق تحديثات التعريف القياسي ساعات للتحضير والتسليم؛ يمكن لخدمة الحماية المقدمة من السحابة تقديم هذه الحماية في ثوان.

تتوفر المزيد من التفاصيل في استخدام تقنيات الجيل التالي في برنامج الحماية من الفيروسات Microsoft Defender من خلال الحماية المقدمة من السحابة.

الوصف أمر PowerShell
تمكين Microsoft Defender Cloud للحماية شبه الفورية وزيادة الحماية Set-MpPreference -MAPSReporting Advanced
إرسال عينات تلقائيا لزيادة حماية المجموعة Set-MpPreference -SubmitSamplesConsent Always
استخدم السحابة دائما لحظر البرامج الضارة الجديدة في غضون ثوان Set-MpPreference -DisableBlockAtFirstSeen 0
فحص جميع الملفات والمرفقات التي تم تنزيلها Set-MpPreference -DisableIOAVProtection 0
تعيين مستوى كتلة السحابة إلى "مرتفع" Set-MpPreference -CloudBlockLevel High
مهلة كتلة السحابة عالية التعيين إلى دقيقة واحدة Set-MpPreference -CloudExtendedTimeout 50

الحماية دائما (الفحص في الوقت الحقيقي)

يقوم Microsoft Defender AV بفحص الملفات بمجرد رؤيتها بواسطة Windows، وسيراقب العمليات قيد التشغيل بحثا عن السلوكيات الضارة المعروفة أو المشتبه بها. إذا اكتشف محرك مكافحة الفيروسات تعديلا ضارا، فسيمنع تشغيل العملية أو الملف على الفور.

راجع تكوين الحماية السلوكية والاستدلالية وفي الوقت الحقيقي لمزيد من التفاصيل حول هذه الخيارات.

الوصف أمر PowerShell
مراقبة الملفات والعمليات باستمرار لتعديلات البرامج الضارة المعروفة Set-MpPreference -DisableRealtimeMonitoring 0
المراقبة المستمرة لسلوكيات البرامج الضارة المعروفة - حتى في الملفات "النظيفة" والبرامج قيد التشغيل Set-MpPreference -DisableBehaviorMonitoring 0
مسح البرامج النصية ضوئيا بمجرد رؤيتها أو تشغيلها Set-MpPreference -DisableScriptScanning 0
فحص محركات الأقراص القابلة للإزالة بمجرد إدراجها أو تحميلها Set-MpPreference -DisableRemovableDriveScanning 0

حماية التطبيقات غير المرغوب فيها

التطبيقات التي يحتمل أن تكون غير مرغوب فيها هي ملفات وتطبيقات لا يتم تصنيفها تقليديا على أنها ضارة. وتشمل هذه مثبتات الجهات الخارجية للبرامج الشائعة، وحقن الإعلان، وأنواع معينة من أشرطة الأدوات في المستعرض الخاص بك.

الوصف أمر PowerShell
منع تثبيت البرامج الرمادية والبرامج الإعلانية والتطبيقات الأخرى التي يحتمل أن تكون غير مرغوب فيها تمكين Set-MpPreference -PUAProtection

فحص البريد الإلكتروني والأرشفة

يمكنك تعيين Microsoft Defender مكافحة الفيروسات لمسح أنواع معينة من ملفات البريد الإلكتروني وملفات الأرشيف تلقائيا (مثل ملفات .zip) عند رؤيتها بواسطة Windows. يمكن العثور على مزيد من المعلومات حول هذه الميزة ضمن مقالة إدارة عمليات فحص البريد الإلكتروني في Microsoft Defender.

الوصف أمر PowerShell
مسح ملفات البريد الإلكتروني والأرشيفات ضوئيا Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0

إدارة تحديثات المنتجات والحماية

عادة ما تتلقى Microsoft Defender تحديثات AV من Windows update مرة واحدة في اليوم. ومع ذلك، يمكنك زيادة تكرار هذه التحديثات عن طريق تعيين الخيارات التالية، والتأكد من إدارة التحديثات إما في مركز النظام Configuration Manager، مع نهج المجموعة، أو في Intune.

الوصف أمر PowerShell
تحديث التواقيع كل يوم Set-MpPreference -SignatureUpdateInterval
التحقق لتحديث التواقيع قبل تشغيل فحص مجدول Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

الوصول المتقدم إلى المجلدات الخاضعة للرقابة للتخفيف من المخاطر واستغلالها

يوفر Microsoft Defender Exploit Guard ميزات تساعد في حماية الأجهزة من السلوكيات الضارة المعروفة والهجمات على التقنيات المعرضة للخطر.

الوصف أمر PowerShell
منع التطبيقات الضارة والمريبة (مثل برامج الفدية الضارة) من إجراء تغييرات على المجلدات المحمية مع الوصول إلى المجلدات الخاضعة للرقابة Set-MpPreference -تمكينControlledFolderAccess Enabled
حظر الاتصالات بعناوين IP غير الصالحة المعروفة واتصالات الشبكة الأخرى مع حماية الشبكة تمكين Set-MpPreference -EnableNetworkProtection
تطبيق مجموعة قياسية من عوامل التخفيف باستخدام الحماية من الهجمات
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml
Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml
حظر ناقلات الهجوم الضارة المعروفة مع تقليل سطح الهجوم Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions ممكن
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba 52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -تمكين AttackSurfaceReductionRules_Actions
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -تمكين AttackSurfaceReductionRules_Actions
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A 917- 57927947596D -AttackSurfaceReductionRules_Actions ممكن
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -تمكين AttackSurfaceReductionRules_Actions
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-1602 49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions ممكن
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -تمكين AttackSurfaceReductionRules_Actions
Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9 -9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions ممكن
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Enabled

قد تمنع بعض القواعد السلوك الذي تجده مقبولا في مؤسستك. في هذه الحالات، قم بتغيير القاعدة من ممكن إلى تدقيق لمنع الكتل غير المرغوب فيها.

فحص Microsoft Defender دون اتصال بنقرة واحدة

Microsoft Defender الفحص دون اتصال هي أداة متخصصة تأتي مع Windows 10 أو أحدث، وتسمح لك بتمهيد جهاز إلى بيئة مخصصة خارج نظام التشغيل العادي. وهو مفيد بشكل خاص للبرامج الضارة القوية، مثل rootkits.

راجع Microsoft Defender دون اتصال للحصول على مزيد من المعلومات حول كيفية عمل هذه الميزة.

الوصف أمر PowerShell
تأكد من أن الإعلامات تسمح لك بتمهيد الكمبيوتر إلى بيئة متخصصة لإزالة البرامج الضارة Set-MpPreference -UILockdown 0

الموارد

يسرد هذا القسم العديد من الموارد التي يمكن أن تساعدك في تقييم Microsoft Defender مكافحة الفيروسات.