Kontrola nebo úprava zásad ochrany nové generace v Microsoft Defenderu pro firmy
V Defenderu pro firmy zahrnuje ochrana nové generace robustní antivirovou a antimalwarovou ochranu počítačů a mobilních zařízení. Výchozí zásady s doporučeným nastavením jsou součástí Defenderu pro firmy. Výchozí zásady jsou navržené tak, aby chránily vaše zařízení a uživatele, aniž by to bránilo produktivitě. Zásady si ale můžete přizpůsobit tak, aby vyhovovaly vašim obchodním potřebám.
Můžete si vybrat z několika možností správy zásad ochrany nové generace:
- Použijte portál Microsoft Defender na adrese https://security.microsoft.com (doporučeno, pokud používáte samostatnou verzi Defenderu pro firmy bez Intune) nebo
- Použijte Centrum pro správu Microsoft Intune na adrese https://intune.microsoft.com (k dispozici, pokud vaše předplatné zahrnuje Intune).
Přejděte na portál Microsoft Defender (https://security.microsoft.com) a přihlaste se.
V navigačním podokně přejděte naSpráva> konfigurace koncových bodů>Konfigurace zařízení. Zásady jsou uspořádané podle operačního systému a typu zásady.
Vyberte kartu operačního systému (například Windows).
V části Ochrana nové generace zobrazte seznam zásad. V seznamu jsou uvedeny minimálně výchozí zásady s doporučeným nastavením. Tato výchozí zásada se přiřadí všem zařízením s operačním systémem, která jste vybrali v předchozím kroku (například Windows). Můžeš:
- Ponechte výchozí zásady tak, jak jsou aktuálně nakonfigurované.
- Upravte výchozí zásady a proveďte potřebné úpravy.
- Vytvořte novou zásadu.
Použijte jeden z postupů v následující tabulce:
Úloha Postup Úprava výchozích zásad 1. V části Ochrana nové generace vyberte výchozí zásadu a pak zvolte Upravit.
2. V kroku Obecné informace zkontrolujte informace. V případě potřeby upravte popis a pak vyberte Další.
3. V kroku Skupiny zařízení použijte existující skupinu nebo nastavte novou skupinu. Pak zvolte Další.
4. V kroku Nastavení konfigurace zkontrolujte a v případě potřeby upravte nastavení zabezpečení a pak zvolte Další. Další informace o nastavení najdete v tématu Nastavení a možnosti ochrany nové generace (v tomto článku).
5. V kroku Zkontrolovat zásadu zkontrolujte aktuální nastavení. Vyberte Upravit a proveďte potřebné změny. Pak vyberte Aktualizovat zásadu.Vytvoření nové zásady 1. V části Ochrana nové generace vyberte Přidat.
2. V kroku Obecné informace zadejte název a popis zásad. Pořadí zásad můžete také zachovat nebo změnit (viz Vysvětlení pořadí zásad v Microsoft Defenderu pro firmy). Pak vyberte Další.
3. V kroku Skupiny zařízení můžete buď použít existující skupinu, nebo vytvořit novou skupinu (viz Skupiny zařízení v Microsoft Defenderu pro firmy). Pak zvolte Další.
4. V kroku Nastavení konfigurace zkontrolujte a upravte nastavení zabezpečení a pak zvolte Další. Další informace o nastavení najdete v tématu Nastavení a možnosti ochrany nové generace (v tomto článku).
5. V kroku Zkontrolovat zásadu zkontrolujte aktuální nastavení. Vyberte Upravit a proveďte potřebné změny. Pak vyberte Vytvořit zásadu.
Nastavení a možnosti ochrany nové generace
Následující tabulka uvádí nastavení a možnosti ochrany nové generace v Defenderu pro firmy.
Nastavení | Popis |
---|---|
Ochrana v reálném čase | |
Zapnutí ochrany v reálném čase | Ve výchozím nastavení je povolená ochrana v reálném čase, která vyhledá a zastaví spuštění malwaru na zařízeních. Doporučujeme nechat ochranu v reálném čase zapnutou. Když je ochrana v reálném čase zapnutá, nakonfiguruje následující nastavení: – Monitorování chování je zapnuté (AllowBehaviorMonitoring). – Zkontrolují se všechny stažené soubory a přílohy (AllowIOAVProtection). – Skripty používané v prohlížečích Microsoftu se kontrolují (AllowScriptScanning). |
Blok na první pohled | Povoleno ve výchozím nastavení, blokování na první pohled blokuje malware během několika sekund od detekce, prodlužuje dobu (v sekundách) povolené odesílání ukázkových souborů k analýze a nastaví úroveň detekce na Hodnotu Vysoká.
Doporučujeme nechat blok na první pohled zapnutý. Když je zapnuté blokování na první pohled, nakonfiguruje pro Antivirovou ochranu v programu Microsoft Defender následující nastavení: – Blokování a kontrola podezřelých souborů je nastavená na vysokou úroveň blokování (CloudBlockLevel). – Počet sekund, po který se má soubor zablokovat a zkontrolovat, je nastavený na 50 sekund (CloudExtendedTimeout). Důležitý Pokud je blokování na první pohled vypnuté, ovlivní CloudBlockLevel to antivirovou ochranu v programu Microsoft Defender a CloudExtendedTimeout . |
Zapnutí ochrany sítě | Ve výchozím nastavení je ochrana sítě povolená v režimu blokování a pomáhá chránit před útoky phishing, weby hostujícími zneužití a škodlivým obsahem na internetu. Uživatelům také brání v vypnutí ochrany sítě. Ochranu sítě je možné nastavit do následujících režimů: - Režim blokování je výchozím nastavením. Brání uživatelům v návštěvě webů, které jsou považovány za nebezpečné. Doporučujeme ponechat ochranu sítě nastavenou na režim blokování. - Režim auditování umožňuje uživatelům navštěvovat weby, které můžou být nebezpečné, a sleduje síťové aktivity na těchto webech a z těchto lokalit. - Zakázaný režim neblokuje uživatele v návštěvě webů, které by mohly být nebezpečné, ani neshledává síťové aktivity na těchto webech ani z nich. |
Náprava | |
Akce, které je třeba provést u potenciálně nežádoucích aplikací (PUA) | Ve výchozím nastavení je povolená ochrana PUA a blokuje položky, které se detekují jako PUA. PUA může zahrnovat reklamní software; sdružování softwaru, který nabízí instalaci jiného nepodepsaného softwaru; a únik softwaru, který se pokouší vyhnout bezpečnostním funkcím. I když pua nemusí být nutně virus, malware nebo jiný typ hrozby, může mít vliv na výkon zařízení. Ochranu pua můžete nastavit na následující režimy: - Povoleno je výchozí nastavení. Blokuje položky zjištěné jako PUA na zařízeních. Doporučujeme ponechat ochranu pua povolenou. - Režim auditování neprobírá žádnou akci s položkami zjištěnými jako PUA. - Funkce Zakázáno nezjistí položky, které můžou být pua, ani u položek neprovádí žádné akce. |
Skenovat | |
Typ naplánované kontroly | Ve výchozím nastavení je povoleno v režimu rychlého prohledávání a můžete určit den a čas, kdy se mají spouštět týdenní antivirové kontroly. K dispozici jsou následující možnosti typu kontroly: - Rychlá kontrola zkontroluje umístění, jako jsou klíče registru a spouštěcí složky, kde může být malware zaregistrovaný, aby se spustil společně se zařízením. Doporučujeme použít možnost rychlého skenování. - Úplná kontrola zkontroluje všechny soubory a složky na zařízení. - Zakázáno znamená, že se neprovedou žádné naplánované kontroly. Uživatelé stále můžou spouštět kontroly na svých vlastních zařízeních. (Obecně nedoporučujeme zakazovat naplánované kontroly.) Přečtěte si další informace o typech kontrol. |
Den v týdnu pro spuštění naplánované kontroly | Vyberte den, kdy se mají spouštět pravidelné týdenní antivirové kontroly. |
Denní doba spuštění naplánované kontroly | Vyberte čas spuštění pravidelně plánovaných antivirových kontrol, které se mají spustit. |
Použití nízkého výkonu | Toto nastavení je ve výchozím nastavení vypnuté. Doporučujeme nechat toto nastavení vypnuté. Toto nastavení ale můžete zapnout, pokud chcete omezit paměť zařízení a prostředky, které se používají při plánovaných kontrolách.
Důležitý Pokud zapnete možnost Použít nízký výkon, nakonfiguruje se pro Antivirovou ochranu v programu Microsoft Defender následující nastavení: – Archivní soubory se neprohledávají (AllowArchiveScanning). – Kontrolám se přiřadí nízká priorita procesoru (EnableLowCPUPriority). - Pokud je vynechána úplná antivirová kontrola, nespustí se žádná kontrola dohonětí (DisableCatchupFullScan). - Pokud zmeškáte rychlou antivirovou kontrolu, nespustí se žádná kontrola dohonětí (DisableCatchupQuickScan). – Snižuje průměrný faktor zatížení procesoru během antivirové kontroly z 50 procent na 20 procent (AvgCPULoadFactor). |
Činnost koncového uživatele | |
Povolit uživatelům přístup k aplikaci Zabezpečení Windows | Zapnutím tohoto nastavení povolíte uživatelům otevřít aplikaci Zabezpečení Windows na svých zařízeních. Uživatelé nemůžou přepsat nastavení, která konfigurujete v Defenderu pro firmy, ale můžou provést rychlou kontrolu nebo zobrazit zjištěné hrozby. |
Vyloučení antivirové ochrany | Vyloučení jsou procesy, soubory nebo složky, které jsou vynechány kontrolami antivirové ochrany v programu Microsoft Defender. Obecně platí, že vyloučení byste neměli definovat. Antivirová ochrana v programu Microsoft Defender zahrnuje mnoho automatických vyloučení, která jsou založená na známém chování operačního systému a typických souborech správy. Každé vyloučení snižuje úroveň ochrany, takže je důležité pečlivě zvážit, jaká vyloučení se mají definovat. Než přidáte vyloučení, přečtěte si téma Správa vyloučení pro Microsoft Defender for Endpoint a Antivirovou ochranu v programu Microsoft Defender. |
Vyloučení procesů | Vyloučení procesů brání tomu, aby soubory, které jsou otevřeny konkrétními procesy, byly kontrolovány antivirovou ochranou v programu Microsoft Defender. Když přidáte proces do seznamu vyloučení procesů, antivirová ochrana v programu Microsoft Defender nebude kontrolovat soubory otevřené tímto procesem bez ohledu na to, kde se soubory nacházejí. Kontroluje se samotný proces, pokud není přidán do seznamu vyloučení souborů. Viz Konfigurace vyloučení pro soubory otevřené procesy. |
Vyloučení přípon souborů | Vyloučení přípon souborů brání tomu, aby antivirová ochrana v programu Microsoft Defender zkontrolovala soubory s konkrétními příponami. Viz Konfigurace a ověření vyloučení na základě přípony souboru a umístění složky. |
Vyloučení souborů a složek | Vyloučení souborů a složek brání v kontrole souborů v konkrétních složkách antivirovou ochranou v programu Microsoft Defender. Viz Vyloučení kontextových souborů a složek. |
Další předkonfigurovaná nastavení v Defenderu pro firmy
V Defenderu pro firmy jsou předkonfigurovaná následující nastavení zabezpečení:
- Kontrola vyměnitelných jednotek je zapnutá (AllowFullScanRemovableDriveScanning).
- Denní rychlé kontroly nemají přednastavený čas (ScheduleQuickScanTime).
- Aktualizace bezpečnostních informací se kontrolují před spuštěním antivirové kontroly (CheckForSignaturesBeforeRunningScan).
- Kontroly bezpečnostních informací probíhají každé čtyři hodiny (SignatureUpdateInterval).
Jak výchozí nastavení v Defenderu pro firmy odpovídají nastavení v Microsoft Intune
Následující tabulka popisuje nastavení, která jsou předkonfigurovaná pro Defender pro firmy, a jak tato nastavení odpovídají tomu, co se může zobrazit v Intune. Pokud v Defenderu pro firmy používáte zjednodušený proces konfigurace, nemusíte tato nastavení upravovat.
Nastavení | Popis |
---|---|
Cloudová ochrana | Cloudová ochrana se někdy označuje jako cloudová ochrana nebo služba MAPS (Microsoft Advanced Protection Service) a spolupracuje s antivirovou ochranou v programu Microsoft Defender a cloudem Microsoftu k identifikaci nových hrozeb, někdy ještě před tím, než se to týká jednoho zařízení. Ve výchozím nastavení je funkce AllowCloudProtection zapnutá. Přečtěte si další informace o ochraně cloudu. |
Monitorování příchozích a odchozích souborů | Pro monitorování příchozích a odchozích souborů je realTimeScanDirection nastaven na monitorování všech souborů. |
Kontrola síťových souborů | Ve výchozím nastavení není povolená možnost AllowScanningNetworkFiles a síťové soubory se nekontrolují. |
Kontrola e-mailových zpráv | Ve výchozím nastavení není povolená funkce AllowEmailScanning a e-mailové zprávy se nekontrolují. |
Počet dnů (0 až 90) pro uchování malwaru v karanténě | Ve výchozím nastavení je nastavení DaysToRetainCleanedMalware nastaveno na nulu (0) dnů. Artefakty, které jsou v karanténě, se neodeberou automaticky. |
Odeslání souhlasu s ukázkami | Ve výchozím nastavení je možnost SubmitSamplesConsent nastavená tak, aby odesílala bezpečné vzorky automaticky. Mezi příklady bezpečných ukázek patří .bat soubory , .scr , .dll a .exe , které neobsahují identifikovatelné osobní údaje. Pokud soubor obsahuje osobní údaje, uživatel obdrží požadavek, aby mohl pokračovat v odeslání ukázky.
Přečtěte si další informace o ochraně cloudu a odeslání ukázky. |
Kontrola vyměnitelných jednotek | Ve výchozím nastavení je funkce AllowFullScanRemovableDriveScanning nakonfigurovaná tak, aby kontrolovala vyměnitelné jednotky, jako jsou usb flash disky na zařízeních. Přečtěte si další informace o nastavení antimalwarových zásad. |
Spuštění denní doby rychlé kontroly | Ve výchozím nastavení je ScheduleQuickScanTime nastavená na 2:00. Přečtěte si další informace o nastavení kontroly. |
Kontrola aktualizací podpisu před spuštěním kontroly | Ve výchozím nastavení je checkForSignaturesBeforeRunningScan nakonfigurovaný tak, aby před spuštěním antivirových nebo antimalwarových kontrol zkontroloval aktualizace bezpečnostních informací. Přečtěte si další informace o nastavení kontroly a aktualizacích bezpečnostních funkcí. |
Jak často (0 až 24 hodin) kontrolovat aktualizace bezpečnostních informací | Ve výchozím nastavení je funkce SignatureUpdateInterval nakonfigurovaná tak, aby každé čtyři hodiny kontrolovala aktualizace bezpečnostních informací. Přečtěte si další informace o nastavení kontroly a aktualizacích bezpečnostních funkcí. |
Další kroky
- Nastavte zásady brány firewall a vlastní pravidla pro zásady brány firewall.
- Nastavte zásady filtrování webového obsahu a povolte automaticky webovou ochranu.
- Nastavte zásady řízeného přístupu ke složkům pro ochranu před ransomwarem.
- Povolte pravidla omezení potenciální oblasti útoku.
- Zkontrolujte nastavení pro pokročilé funkce a portál Microsoft Defender.
- Použití řídicího panelu správy ohrožení zabezpečení v Microsoft Defenderu pro firmy