Evaluer Microsoft Defender Antivirus ved hjælp af Powershell
Gælder for:
- Microsoft Defender Antivirus
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
I Windows 10 eller nyere og Windows Server 2016 eller nyere kan du bruge næste generations beskyttelsesfunktioner, der tilbydes af Microsoft Defender Antivirus (MDAV) og Microsoft Defender Exploit Guard (Microsoft Defender EG).
I dette emne forklares det, hvordan du aktiverer og tester vigtige beskyttelsesfunktioner i Microsoft Defender AV og Microsoft Defender EG, og du får vejledning og links til flere oplysninger.
Vi anbefaler, at du bruger dette PowerShell-evalueringsscript til at konfigurere disse funktioner, men du kan aktivere hver enkelt funktion med de cmdlet'er, der er beskrevet i resten af dette dokument.
Se følgende biblioteker med produktdokumentation for at få flere oplysninger om vores EPP-produkter:
I denne artikel beskrives konfigurationsindstillinger i Windows 10 eller nyere og Windows Server 2016 eller nyere.
Hvis du har spørgsmål om en registrering, som Microsoft Defender AV foretager, eller hvis du opdager en mistet registrering, kan du sende en fil til os på vores websted med hjælp til indsendelse af eksempler.
Brug PowerShell til at aktivere funktionerne
Denne vejledning indeholder De Microsoft Defender Antivirus-cmdlet'er , der konfigurerer de funktioner, du skal bruge til at evaluere vores beskyttelse.
Sådan bruger du disse cmdlet'er:
1. Åbn en administratorforekomst af PowerShell (vælg at køre som administrator).
2. Indtast den kommando, der er angivet i denne vejledning, og tryk på Enter.
Du kan kontrollere status for alle indstillinger, før du starter eller under din evaluering, ved hjælp af PowerShell-cmdlet'en Get-MpPreference.
Microsoft Defender AV angiver en registrering via windows-standardmeddelelser. Du kan også gennemse registreringer i Microsoft Defender AV-appen.
Windows-hændelsesloggen registrerer også registrering og programhændelser. Se artiklen Microsoft Defender Antivirus-hændelser for at få en liste over hændelses-id'er og deres tilsvarende handlinger.
Funktioner til beskyttelse i skyen
Det kan tage timer at forberede og levere opdateringer af standarddefinitioner. Vores skybaserede beskyttelsestjeneste kan levere denne beskyttelse på få sekunder.
Du kan finde flere oplysninger i Brug næste generations teknologier i Microsoft Defender Antivirus via cloudbaseret beskyttelse.
| Beskrivelse | PowerShell-kommando |
|---|---|
| Aktivér Microsoft Defender Cloud for beskyttelse næsten øjeblikkeligt og øget beskyttelse | Set-MpPreference -MAPSRapportering avanceret |
| Send automatisk eksempler for at øge gruppebeskyttelsen | Set-MpPreference –SubmitSamplesConsent Altid |
| Brug altid skyen til at blokere ny malware på få sekunder | Set-MpPreference – DisableBlockAtFirstSeen 0 |
| Scan alle downloadede filer og vedhæftede filer | Set-MpPreference - DisableIOAVProtection 0 |
| Angiv skyblokeringsniveauet til 'Høj' | Set-MpPreference – CloudBlockLevel High |
| Høj angivet timeout for skyblokering til 1 minut | Set-MpPreference – CloudExtendedTimeout 50 |
Altid på beskyttelse (scanning i realtid)
Microsoft Defender AV scanner filer, så snart de ses af Windows, og overvåger kørende processer for kendte eller formodede skadelige funktionsmåder. Hvis antivirusprogrammet opdager skadelig ændring, blokerer det straks processen eller filen fra at køre.
Se Konfigurer funktionsmåde, heuristisk og beskyttelse i realtid for at få flere oplysninger om disse indstillinger.
| Beskrivelse | PowerShell-kommando |
|---|---|
| Overvåg hele tiden filer og processer for kendte malwareændringer | Set-MpPreference – DisableRealtimeMonitoring 0 |
| Konstant overvåge for kendte malware adfærd - selv i "rene" filer og kører programmer | Set-MpPreference – DisableBehaviorMonitoring 0 |
| Scan scripts, så snart de ses eller køres | Set-MpPreference -DisableScriptScanning 0 |
| Scan flytbare drev, så snart de indsættes eller monteres | Set-MpPreference –DisableRemovableDriveScanning 0 |
Potentielt uønsket programbeskyttelse
Potentielt uønskede programmer er filer og apps, der traditionelt ikke er klassificeret som skadelige. Disse omfatter tredjepartsinstallationsprogrammer til almindelig software, annonceinjektion og visse typer værktøjslinjer i din browser.
| Beskrivelse | PowerShell-kommando |
|---|---|
| Undgå, at grayware, adware og andre potentielt uønskede apps installeres | Set-MpPreference -PUAProtection er aktiveret |
Mail- og arkivscanning
Du kan indstille Microsoft Defender Antivirus til automatisk at scanne visse typer mailfiler og arkivere filer (f.eks. .zip filer), når de ses af Windows. Du kan finde flere oplysninger om denne funktion i artiklen Administrer mailscanninger i Microsoft Defender .
| Beskrivelse | PowerShell-kommando |
|---|---|
| Scan mailfiler og arkiver | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Administrer opdateringer til produkter og beskyttelse
Du modtager typisk Microsoft Defender AV-opdateringer fra Windows Update én gang om dagen. Du kan dog øge hyppigheden af disse opdateringer ved at angive følgende indstillinger og sikre, at dine opdateringer administreres enten i System Center Configuration Manager, med Gruppepolitik eller i Intune.
| Beskrivelse | PowerShell-kommando |
|---|---|
| Opdater signaturer hver dag | Set-MpPreference -SignatureUpdateInterval |
| Markér for at opdatere signaturer, før du kører en planlagt scanning | Set-MpPreference –CheckForSignaturesBeforeRunningScan 1 |
Avanceret adgang til trussels- og udnyttelseskontrolleret mappe
Microsoft Defender Exploit Guard indeholder funktioner, der hjælper med at beskytte enheder mod kendte skadelige funktionsmåder og angreb på sårbare teknologier.
| Beskrivelse | PowerShell-kommando |
|---|---|
| Undgå skadelige og mistænkelige apps (f.eks. ransomware) i at foretage ændringer af beskyttede mapper med adgang til kontrollerede mapper | Set-MpPreference - EnableControlledFolderAccess aktiveret |
| Bloker forbindelser til kendte forkerte IP-adresser og andre netværksforbindelser med netværksbeskyttelse | Set-MpPreference -EnableNetworkProtection er aktiveret |
| Anvend et standardsæt af afhjælpninger med beskyttelse mod udnyttelse |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile-ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath-ProcessMitigation.xml |
| Bloker kendte skadelige angrebsvektorer med reduktion af angrebsoverfladen | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba 52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions aktiveret Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions aktiveret Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A 917- 57927947596D -AttackSurfaceReductionRules_Actions enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions aktiveret Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions aktiveret Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 –AttackSurfaceReductionRules_Actions aktiveret Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a 9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions aktiveret Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions aktiveret |
Nogle regler kan blokere funktionsmåder, som du finder acceptable i din organisation. I disse tilfælde skal du ændre reglen fra Aktiveret til Overvågning for at forhindre uønskede blokke.
One-click Microsoft Defender Offline Scan
Microsoft Defender Offline Scan er et specialiseret værktøj, der følger med Windows 10 eller nyere, og giver dig mulighed for at starte en computer i et dedikeret miljø uden for det normale operativsystem. Det er især nyttigt for potent malware, såsom rootkits.
Se Microsoft Defender Offline for at få flere oplysninger om, hvordan denne funktion fungerer.
| Beskrivelse | PowerShell-kommando |
|---|---|
| Sørg for, at meddelelser giver dig mulighed for at starte pc'en i et specielt miljø til fjernelse af skadelig software | Set-MpPreference -UILockdown 0 |
Ressourcer
I dette afsnit vises en liste over mange ressourcer, der kan hjælpe dig med at evaluere Microsoft Defender Antivirus.
- Microsoft Defender i Windows 10-bibliotek
- Microsoft Defender til Windows Server 2016-bibliotek
- Windows 10-sikkerhedsbibliotek
- Oversigt over sikkerhed i Windows 10
- Webstedet Microsoft Defender Security Intelligence (Microsoft Malware Protection Center (MMPC)) – trusselsforskning og -svar
- Microsoft Security-websted
- Microsoft Security-blog