Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment activer et tester les principales fonctionnalités de protection dans Microsoft Defender Antivirus et Microsoft Defender Exploit Guard dans les versions actuelles de Microsoft Windows et Windows Server.
Configuration requise
Systèmes d’exploitation pris en charge
- Windows 10 ou version ultérieure
- Windows Server 2016 ou version ultérieure
Utiliser Microsoft Defender Antivirus à l’aide de stratégie de groupe pour activer les fonctionnalités
Cette section explique comment utiliser un magasin central stratégie de groupe pour configurer Microsoft Defender Antivirus à des fins d’évaluation.
Téléchargez les derniers fichiers de modèles d’administration à partir de Liens pour télécharger les fichiers de modèles d’administration en fonction de la version du système d’exploitation.
Conseil
Consultez la section Configuration requise sur les pages de téléchargement individuelles :
- La plupart des téléchargements prennent en charge les clients Windows et les serveurs Windows.
- Obtenez le dernier téléchargement disponible et applicable.
Effectuez l’une des procédures suivantes pour créer un magasin central afin d’héberger les derniers modèles .admx et .adml :
Domaines :
- Créez une unité d’organisation pour bloquer l’héritage de la stratégie.
- Ouvrez la console de gestion des stratégies de groupe (gpmc.msc).
- Accédez à stratégie de groupe Objets et créez une stratégie de groupe.
- Cliquez avec le bouton droit sur la nouvelle stratégie de groupe, puis sélectionnez Modifier.
- Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus.
Groupes de travail :
- Ouvrez l’éditeur de stratégie de groupe (gpedit.msc).
- Accédez à Configuration> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus.
Pour plus d’informations, consultez Créer et gérer le magasin central - Client Windows.
MDAV et applications potentiellement indésirables (PUA)
Racine :
| Description | Setting |
|---|---|
| Désactiver Microsoft Defender Antivirus | Désactivé |
| Configurer la détection des applications potentiellement indésirables | Activé - Bloquer |
Protection en temps réel (protection always-on, analyse en temps réel)
Protection en temps réel :
| Description | Setting |
|---|---|
| Désactiver la protection en temps réel | Désactivé |
| Configurer la surveillance de l’activité des fichiers et des programmes entrants et sortants | Activé, bidirectionnel (accès complet) |
| Activer la surveillance du comportement | Activé |
| Surveiller l’activité des fichiers et des programmes sur votre ordinateur | Activé |
Fonctionnalités de protection cloud
Standard mises à jour du renseignement de sécurité peuvent prendre des heures à préparer et à fournir ; notre service de protection cloud peut fournir cette protection en quelques secondes.
Pour plus d’informations, consultez Utiliser des technologies de nouvelle génération dans Microsoft Defender Antivirus via une protection fournie par le cloud.
CARTES :
| Description | Setting |
|---|---|
| Rejoindre Microsoft MAPS | Enabled, Advanced MAPS |
| Configurer la fonctionnalité « Bloquer à la première consultation » | Activé |
| Envoyer des exemples de fichiers quand une analyse supplémentaire est requise | Activé, Envoyer tous les exemples |
MpEngine :
| Description | Setting |
|---|---|
| Sélectionner le niveau de protection cloud | Activé, niveau de blocage élevé |
| Configurer des case activée cloud étendus | Activé, 50 |
Scans
| Description | Setting |
|---|---|
| Activer l’heuristique | Activé |
| Activer l’analyse des e-mails | Activé |
| Analyser tous les fichiers et pièces jointes téléchargés | Activé |
| Activer l’analyse des scripts | Activé |
| Analyser les fichiers d’archive | Activé |
| Analyser les exécutables compressés | Activé |
| Configurer l’analyse des fichiers réseau (Analyser le réseau Files) | Activé |
| Analyser les lecteurs amovibles | Activé |
| Activer l’analyse des points d’analyse | Activé |
Mises à jour de Security Intelligence
| Description | Setting |
|---|---|
| Spécifier l’intervalle à case activée pour les mises à jour du renseignement de sécurité | Activé, 4 |
| Définir l’ordre des sources pour le téléchargement des mises à jour du renseignement de sécurité | Activé, sous « Définir l’ordre des sources pour le téléchargement des mises à jour du renseignement de sécurité »
|
Désactiver les paramètres AV de l’administrateur local
Désactivez les paramètres AV de l’administrateur local, tels que les exclusions, et appliquez les stratégies de la gestion des paramètres de sécurité Microsoft Defender pour point de terminaison.
Racine :
| Description | Setting |
|---|---|
| Configurer le comportement de fusion de l’administrateur local pour les listes | Désactivé |
| Contrôler si les exclusions sont visibles ou non par les administrateurs locaux | Activé |
Action par défaut de gravité des menaces
Menaces :
| Description | Setting | Niveau d’alerte | Action |
|---|---|---|---|
| Spécifier les niveaux d’alerte de menace auxquels l’action par défaut ne doit pas être effectuée en cas de détection | Activé | ||
| 5 (Sévère) | 2 (Quarantaine) | ||
| 4 (élevé) | 2 (Quarantaine) | ||
| 2 (moyen) | 2 (Quarantaine) | ||
| 1 (Faible) | 2 (Quarantaine) |
Mise en quarantaine :
| Description | Setting |
|---|---|
| Configurer la suppression d’éléments du dossier quarantaine | Activé, 60 |
Interface cliente :
| Description | Setting |
|---|---|
| Activer le mode d’interface utilisateur sans tête | Désactivé |
Protection réseau
Microsoft Defender Exploit Guard\Network Protection :
| Description | Setting |
|---|---|
| Empêcher les utilisateurs et les applications d’accéder à des sites web dangereux | Activé, Bloquer |
| Ces paramètres déterminent si la protection réseau peut être configurée en mode bloc ou audit sur Windows Server | Activé |
Pour activer la protection réseau pour les serveurs Windows, utilisez Pour l’instant, utilisez PowerShell :
| Système d’exploitation | Commande PowerShell |
|---|---|
| Windows Server 2012 R2 et versions ultérieures | Set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| client MDE unifié Windows Server 2016 et Windows Server 2012 R2 | Set-MpPreference -AllowNetworkProtectionOnWinServer $true -AllowNetworkProtectionDownLevel $true |
Règles de réduction des surfaces d'attaque
Accédez à Configuration> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus> Microsoft Defender Réduction de lasurface d’attaqueExploit Guard>.
Sélectionnez Suivant.
*Si vous utilisez Microsoft Configuration Manager (anciennement Microsoft Endpoint Configuration Manager et Microsoft System Center Configuration Manager) ou d’autres outils de gestion qui utilisent WMI, utilisez la valeur 2 (Audit). Le client Configuration Manager s’appuie fortement sur WMI.
Conseil
Certaines règles peuvent bloquer le comportement que vous trouvez acceptable dans votre organization. Dans ce cas, remplacez la règle 1 (Bloquer) par 2 (Audit) pour empêcher les blocs indésirables.
Accès contrôlé aux dossiers
Accédez à Configuration> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus> Microsoft Defender Réduction de lasurface d’attaqueExploit Guard>.
| Description | Setting |
|---|---|
| Configurer l’accès contrôlé aux dossiers | Activé, Bloquer |
Affectez les stratégies à l’unité d’organisation où se trouvent les machines de test.
Activer la protection contre les falsifications
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Paramètres Points>de terminaisonFonctionnalités avancées>Protection contre> lesfalsifications> activé.
Pour plus d’informations, consultez Comment faire configurer ou gérer la protection contre les falsifications ?.
Vérifier la connectivité réseau Cloud Protection
Il est important de vérifier que la connectivité réseau Cloud Protection fonctionne pendant vos tests d’intrusion.
Dans une invite de commandes avec élévation de privilèges (fenêtre d’invite de commandes que vous avez ouverte en sélectionnant Exécuter en tant qu’administrateur), exécutez les commandes suivantes :
Conseil
La première commande remplace le répertoire par la dernière version de la <plateforme> anti-programme malveillant dans %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Si ce chemin n’existe pas, il passe à %ProgramFiles%\Windows Defender.
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
MpCmdRun.exe -ValidateMapsConnection
Pour plus d’informations, consultez Configurer et gérer Microsoft Defender Antivirus avec l’outil en ligne de commande MpCmdRun.
Vérifier la version de la mise à jour de la plateforme
Le dernier canal de production de la version « Mise à jour de la plateforme » est disponible ici :
Pour afficher la version installée de « Mise à jour de la plateforme », exécutez la commande suivante dans une session PowerShell avec élévation de privilèges (une fenêtre PowerShell que vous avez ouverte en sélectionnant Exécuter en tant qu’administrateur) :
Get-MpComputerStatus | Format-Table AMProductVersion
Vérifier la version de security Intelligence Update
La dernière version de « Security Intelligence Update » est disponible ici :
Pour afficher la version installée de « Security Intelligence Update », exécutez la commande suivante dans une session PowerShell avec élévation de privilèges :
Get-MpComputerStatus | Format-Table AntivirusSignatureVersion
Vérifier la version de la mise à jour du moteur
La dernière version de l’analyse « mise à jour du moteur » est disponible ici :
Pour afficher la version installée de « Mise à jour du moteur », exécutez la commande suivante dans une session PowerShell avec élévation de privilèges :
Get-MpComputerStatus | Format-Table AMEngineVersion
Si vos paramètres ne prennent pas effet, vous risquez d’avoir un conflit. Pour résoudre les conflits, consultez Résoudre les problèmes Microsoft Defender paramètres antivirus.
Pour les envois de faux négatifs (FN)
Si vous avez des questions sur une détection que Microsoft Defender AV effectue, ou si vous découvrez une détection manquée, vous pouvez nous envoyer un fichier.
Si vous disposez de Microsoft XDR, Microsoft Defender pour point de terminaison P2/P1 ou Microsoft Defender pour entreprises : consultez Envoyer des fichiers dans Microsoft Defender pour point de terminaison.
Si vous avez Microsoft Defender Antivirus, consultez Envoyer des fichiers à des fins d’analyse.
Microsoft Defender AV indique une détection par le biais de notifications Windows standard. Vous pouvez également passer en revue les détections dans l’application MICROSOFT DEFENDER AV.
Le journal des événements Windows enregistre également les événements de détection et de moteur. Consultez l’article événements antivirus Microsoft Defender pour obtenir la liste des ID d’événements et leurs actions correspondantes.
Si vos paramètres ne sont pas appliqués correctement, vérifiez s’il existe des stratégies en conflit activées dans votre environnement. Pour plus d’informations, consultez Résoudre les problèmes Microsoft Defender paramètres antivirus.
Si vous avez besoin d’ouvrir un cas de support Microsoft : contactez Microsoft Defender pour point de terminaison support technique.