Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek vysvětluje, jak povolit a otestovat funkce ochrany klíčů v Microsoft Defender Antivirus a Microsoft Defender Exploit Guard v aktuálních verzích systému Microsoft Windows a Windows Server.
Požadavky
Podporované operační systémy
- Windows 10 nebo novější
- Windows Server 2016 nebo novější
Povolte funkce pomocí Microsoft Defender Antivirové ochrany pomocí Zásady skupiny.
Tato část popisuje, jak pomocí centrálního úložiště Zásady skupiny nakonfigurovat Microsoft Defender Antivirus pro vyhodnocení.
Stáhněte si nejnovější soubory šablon pro správu z webu Odkazy a stáhněte si soubory šablon pro správu na základě verze operačního systému.
Tip
Projděte si část Požadavky na systém na jednotlivých stránkách pro stažení:
- Většina souborů ke stažení podporuje klienty Windows a servery s Windows.
- Získejte nejnovější dostupné a použitelné soubory ke stažení.
Jedním z následujících postupů vytvořte centrální úložiště pro hostování nejnovějších šablon .admx a .adml:
Domény:
- Vytvořte novou organizační jednotky pro blokování dědičnosti zásad.
- Otevřete Konzolu pro správu zásad skupiny (gpmc.msc).
- Přejděte na Zásady skupiny Objekty a vytvořte novou zásadu skupiny.
- Klikněte pravým tlačítkem na novou zásadu skupiny a pak vyberte Upravit.
- Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti systému> Windows Microsoft Defender Antivirus.
Pracovní skupiny:
- Otevřete editor Zásady skupiny (gpedit.msc).
- Přejděte na Konfigurace> počítačeŠablony pro správu>Součásti systému> Windows Microsoft Defender Antivirus.
Další informace najdete v tématu Vytvoření a správa Centrálního úložiště – klient Windows.
MDAV a potenciálně nežádoucí aplikace (PUA)
Kořen:
| Popis | Nastavení |
|---|---|
| Vypnutí Microsoft Defender Antivirové ochrany | Zakázáno |
| Konfigurace detekce pro potenciálně nežádoucí aplikace | Povoleno – blokovat |
Ochrana v reálném čase (ochrana always-on, kontrola v reálném čase)
Ochrana v reálném čase:
| Popis | Nastavení |
|---|---|
| Vypnutí ochrany v reálném čase | Zakázáno |
| Konfigurace monitorování pro aktivitu příchozích a odchozích souborů a programů | Povoleno, obousměrné (úplné při přístupu) |
| Zapnutí monitorování chování | Povoleno |
| Monitorování aktivity souborů a programů na počítači | Povoleno |
Funkce cloudové ochrany
Příprava a doručení standardních aktualizací bezpečnostních informací může trvat hodiny. naše cloudová služba ochrany dokáže tuto ochranu zajistit během několika sekund.
Další informace najdete v tématu Použití technologií nové generace v Microsoft Defender Antivirové ochrany prostřednictvím cloudové ochrany.
MAPY:
| Popis | Nastavení |
|---|---|
| Připojte se k Microsoft MAPS | Povoleno, Pokročilé mapy |
| Konfigurace funkce Blokovat na první pohled | Povoleno |
| Odeslání ukázek souborů v případě potřeby další analýzy | Povoleno, odesílání všech ukázek |
MpEngine:
| Popis | Nastavení |
|---|---|
| Výběr úrovně cloudové ochrany | Povoleno, vysoká úroveň blokování |
| Konfigurace rozšířené kontroly cloudu | Povoleno, 50 |
Prohledává
| Popis | Nastavení |
|---|---|
| Zapnutí heuristiky | Povoleno |
| Zapnutí kontroly e-mailů | Povoleno |
| Kontrola všech stažených souborů a příloh | Povoleno |
| Zapnutí kontroly skriptů | Povoleno |
| Prohledat archivní soubory | Povoleno |
| Kontrola sbalených spustitelných souborů | Povoleno |
| Konfigurace kontroly síťových souborů (kontrola Files sítě) | Povoleno |
| Kontrola vyměnitelných jednotek | Povoleno |
| Zapnutí prohledávání spojovacího bodu | Povoleno |
Aktualizace bezpečnostních informací
| Popis | Nastavení |
|---|---|
| Zadejte interval pro kontrolu aktualizací bezpečnostních funkcí. | Povoleno, 4 |
| Definování pořadí zdrojů pro stahování aktualizací inteligentních informací zabezpečení | Povoleno v části Definovat pořadí zdrojů pro stahování aktualizací bezpečnostních informací
|
Zakázat nastavení AV místního správce
Zakažte nastavení AV místního správce, jako jsou vyloučení, a vynucujte zásady ze správy nastavení zabezpečení Microsoft Defender for Endpoint.
Kořen:
| Popis | Nastavení |
|---|---|
| Konfigurace chování při slučování místních správců pro seznamy | Zakázáno |
| Určení, jestli se mají vyloučení zobrazovat místním správcům | Povoleno |
Výchozí akce závažnosti hrozby
Hrozby:
| Popis | Nastavení | Úroveň upozornění | Akce |
|---|---|---|---|
| Zadejte úrovně upozornění na hrozby, při kterých by se při zjištění neměla provést výchozí akce. | Povoleno | ||
| 5 (závažná) | 2 (karanténa) | ||
| 4 (vysoká) | 2 (karanténa) | ||
| 2 (střední) | 2 (karanténa) | ||
| 1 (nízká) | 2 (karanténa) |
Karanténa:
| Popis | Nastavení |
|---|---|
| Konfigurace odebrání položek ze složky Karanténa | Povoleno, 60 |
Klientské rozhraní:
| Popis | Nastavení |
|---|---|
| Povolení režimu bezhlavé uživatelské rozhraní | Zakázáno |
Ochrana sítě
Microsoft Defender Exploit Guard\Network Protection:
| Popis | Nastavení |
|---|---|
| Zabránění uživatelům a aplikacím v přístupu k nebezpečným webům | Povoleno, blokovat |
| Toto nastavení určuje, jestli je možné službu Network Protection nakonfigurovat do režimu blokování nebo auditování na Windows Server | Povoleno |
Pokud chcete povolit ochranu sítě pro servery s Windows, prozatím použijte PowerShell:
| Operační systém | Příkaz PowerShellu |
|---|---|
| Windows Server 2012 R2 a novější | Set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Klient MDE Windows Server 2016 a Windows Server 2012 R2 | Set-MpPreference -AllowNetworkProtectionOnWinServer $true -AllowNetworkProtectionDownLevel $true |
Pravidla pro omezení potenciální oblasti útoku
Přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti systému> Windows Microsoft Defender Antivirová ochrana> Microsoft DefenderZmenšení prostoru útokuochrany Exploit Guard>.
Vyberte Další.
*Pokud používáte Microsoft Configuration Manager (dříve označované jako Microsoft Endpoint Configuration Manager a Microsoft System Center Configuration Manager) nebo jiné nástroje pro správu, které používají rozhraní WMI, použijte hodnotu 2 (Audit). Klient Správce konfigurace do značné míry spoléhá na rozhraní WMI.
Tip
Některá pravidla můžou blokovat chování, které je ve vaší organizaci přijatelné. V těchto případech změňte pravidlo z 1 (Blok) na 2 (Audit), aby se zabránilo nežádoucím blokům.
Řízený přístup ke složkě
Přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti> systému Windows Microsoft Defender Antivirová ochrana> Microsoft DefenderZmenšení prostoru útokuexploit guard>.
| Popis | Nastavení |
|---|---|
| Konfigurace řízeného přístupu ke složkách | Povoleno, blokovat |
Přiřaďte zásady organizační jednotky, ve které se nacházejí testovací počítače.
Povolení ochrany před falšováním
Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte na Nastavení>Koncové body>Pokročilé funkce>Ochrany před>falšováním Zapnuto.
Další informace najdete v tématu Návody konfigurace nebo správa ochrany před falšováním.
Kontrola síťového připojení služby Cloud Protection
Během penetračního testování je důležité ověřit, jestli funguje síťové připojení služby Cloud Protection.
Na příkazovém řádku se zvýšenými oprávněními (okno příkazového řádku, které jste otevřeli výběrem možnosti Spustit jako správce) spusťte následující příkazy:
Tip
První příkaz změní adresář na nejnovější verzi antimalwarové <verze> platformy v nástroji %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Pokud tato cesta neexistuje, přejde do %ProgramFiles%\Windows Defender.
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
MpCmdRun.exe -ValidateMapsConnection
Další informace najdete v tématu Konfigurace a správa Microsoft Defender Antivirové ochrany pomocí nástroje příkazového řádku MpCmdRun.
Kontrola verze aktualizace platformy
Nejnovější verze Aktualizace platformy – Produkční kanál (GA) je k dispozici tady:
Katalog služby Microsoft Update
Pokud chcete zobrazit nainstalovanou verzi aktualizace platformy, spusťte následující příkaz v relaci PowerShellu se zvýšenými oprávněními (okno PowerShellu, které jste otevřeli výběrem možnosti Spustit jako správce):
Get-MpComputerStatus | Format-Table AMProductVersion
Kontrola verze aktualizace analýzy zabezpečení
Nejnovější verze aktualizace security intelligence je k dispozici tady:
Pokud chcete zobrazit nainstalovanou verzi aktualizace bezpečnostních informací, spusťte následující příkaz v relaci PowerShellu se zvýšenými oprávněními:
Get-MpComputerStatus | Format-Table AntivirusSignatureVersion
Kontrola verze aktualizace modulu
Nejnovější verze aktualizace modulu je k dispozici tady:
Pokud chcete zobrazit nainstalovanou verzi modulu Update, spusťte následující příkaz v relaci PowerShellu se zvýšenými oprávněními:
Get-MpComputerStatus | Format-Table AMEngineVersion
Pokud se nastavení neprojeví, může dojít ke konfliktu. Informace o řešení konfliktů najdete v tématu Řešení potíží s nastavením Microsoft Defender antivirové ochrany.
Pro odesílání falešně negativních výsledků (FN)
Pokud máte jakékoli dotazy týkající se detekce, kterou provádí Microsoft Defender AV, nebo zjistíte, že je detekce zmeškaná, můžete nám odeslat soubor.
Pokud máte Microsoft XDR, Microsoft Defender for Endpoint P2/P1 nebo Microsoft Defender pro firmy: přečtěte si téma Odeslání souborů v Microsoft Defender for Endpoint.
Pokud máte Microsoft Defender Antivirus, přečtěte si téma Odeslání souborů k analýze.
Microsoft Defender AV indikuje detekci prostřednictvím standardních oznámení Systému Windows. Detekce můžete také zkontrolovat v Microsoft Defender AV aplikaci.
Protokol událostí systému Windows také zaznamenává události detekce a modulu. Seznam ID událostí a odpovídajících akcí najdete v článku o událostech Microsoft Defender Antivirus.
Pokud se vaše nastavení nepoužijí správně, zjistěte, jestli ve vašem prostředí nejsou povolené konfliktní zásady. Další informace najdete v tématu Řešení potíží s nastavením Microsoft Defender antivirové ochrany.
Pokud potřebujete otevřít případ podpory Microsoftu: Kontaktujte podporu Microsoft Defender for Endpoint.