שתף באמצעות


הערכת Microsoft Defender באמצעות Powershell

חל על:

ב- Windows 10 ואילך וב- Windows Server 2016 ואילך, באפשרותך להשתמש בתכונות הגנה מהדור הבא המוצעות על-ידי Microsoft Defender Antivirus(MDAV) ו- Microsoft Defender Exploit Guard (Microsoft Defender EG).

נושא זה מסביר כיצד להפעיל ולבחון את תכונות ההגנה העיקריות ב- Microsoft Defender AV ו- Microsoft Defender EG, ומספק לך הדרכה וקישורים למידע נוסף.

מומלץ להשתמש בקובץ Script זה של PowerShell להערכה כדי לקבוע את התצורה של תכונות אלה, אך ניתן להפוך כל תכונה לזמינה בנפרד באמצעות רכיבי ה- cmdlet המתוארים בשאר המסמך.

עיין בספריות תיעוד המוצר הבאות לקבלת מידע נוסף אודות מוצרי ה- EPP שלנו:

מאמר זה מתאר אפשרויות תצורה ב- Windows 10 ו- Windows Server 2016 ואילך.

אם יש לך שאלות לגבי זיהוי ש- MICROSOFT DEFENDER AV יוצר, או אם אתה מציין זיהוי שלא נענו, באפשרותך לשלוח אלינו קובץ באתר העזרה שלנו לשליחה לדוגמה.

שימוש ב- PowerShell כדי להפוך את התכונות לזמינות

מדריך זה מספק את רכיבי ה Microsoft Defender cmdlet של האנטי-וירוס שמגדירים את התכונות שבהן עליך להשתמש כדי להעריך את ההגנה שלנו.

כדי להשתמש ברכיבי cmdlet אלה:

1. פתח מופע עם הרשאות מלאות של PowerShell (בחר הפעל כמנהל מערכת).

2. הזן את הפקודה המופיעה במדריך זה והקש Enter.

באפשרותך לבדוק את המצב של כל ההגדרות לפני שתתחיל, או במהלך ההערכה שלך, באמצעות ה- cmdlet Get-MpPreference PowerShell.

Microsoft Defender AV מציין זיהוי באמצעות הודעות רגילות של Windows. ניתן גם לעיין בזיהויים באפליקציית Microsoft Defender AV.

יומן האירועים של Windows גם מתעד אירועי זיהוי ומנוע. עיין במאמר Microsoft Defender אנטי-וירוס לקבלת רשימה של מזהה אירוע והפעולות התואמות להם.

תכונות הגנה בענן

ההכנה וההעברה של עדכוני הגדרה סטנדרטית עשויה להימשך שעות; שירות ההגנה הענן שלנו יכול לספק הגנה זו בתוך שניות.

פרטים נוספים זמינים תחת השתמש בטכנולוגיות מהדור הבא ב- Microsoft Defender Antivirus באמצעות הגנה מבוססת ענן.

תיאור פקודת PowerShell
הפוך את הענן Microsoft Defender לזמין להגנה קרובה מיידית והגנה מוגברת Set-MpPreference -MAPSReporting Advanced
שלח דוגמאות באופן אוטומטי כדי להגדיל את ההגנה על הקבוצה Set-MpPreference -SubmitSamplesConsent Always
השתמש תמיד בענן כדי לחסום תוכנות זדוניות חדשות תוך שניות Set-MpPreference -DisableBlockAtFirstSeen 0
סרוק את כל הקבצים והקבצים המצורפים שהורדו Set-MpPreference -DisableIOAVProtection 0
הגדר את רמת החסימה בענן ל'גבוהה' Set-MpPreference -CloudBlockLevel High
זמן קצוב לחסימת ענן בהגדרה גבוהה כדקה אחת Set-MpPreference -CloudExtendedTimeout 50

הגנה תמידית (סריקה בזמן אמת)

Microsoft Defender AV סורקת קבצים ברגע ש- Windows רואה אותם, וינטר תהליכים פועלים עבור אופני פעולה זדוניים ידועים או חשודים. אם מנוע האנטי-וירוס מציין שינויים זדוניים, הוא יחסם את ההפעלה של התהליך או הקובץ באופן מיידי.

ראה קביעת תצורה של הגנה התנהגותית, הרתמית והגנה בזמן אמת לקבלת פרטים נוספים על אפשרויות אלה.

תיאור פקודת PowerShell
ניטור קבוע של קבצים ותהליכים עבור שינויים ידועים בתוכנות זדוניות Set-MpPreference -DisableRealtimeMonitoring 0
נטר ללא הרף אחר אופני פעולה ידועים של תוכנות זדוניות – אפילו בקבצים 'נקיים' ובתוכניות פועלות Set-MpPreference -DisableBehaviorMonitoring 0
סרוק קבצי Script ברגע שהם מוצגים או פועלים Set-MpPreference -DisableScriptScanning 0
סרוק כוננים נשלפים ברגע שהם נוספים או מותקנים Set-MpPreference -DisableRemovableDriveScanning 0

הגנה על יישומים שעלולים להיות בלתי רצויים

יישומים שעלולים להיות בלתי רצויים הם קבצים ואפליקציות שאינם מסווגים באופן מסורתי כד זדוני. אלה כוללים מתקינים של ספקים חיצוניים עבור תוכנות נפוצות, הזרקת פרסומות וסוגים מסוימים של סרגלי כלים בדפדפן שלך.

תיאור פקודת PowerShell
מנע התקנה של תוכנות אפור, תוכנות פרסום ואפליקציות אחרות שעשויות להיות בלתי רצויות Set-MpPreference -PUAProtection זמין

סריקת דואר אלקטרוני וסריקת ארכיון

באפשרותך להגדיר את Microsoft Defender-וירוס לסריקה אוטומטית של סוגים מסוימים של קבצי דואר אלקטרוני וקובצי ארכיון (כגון .zip קבצים) כאשר הם מוצגים על-ידי Windows. ניתן למצוא מידע נוסף אודות תכונה זו תחת המאמר ניהול סריקות דואר Microsoft Defender אלקטרוני.

תיאור פקודת PowerShell
סריקת קבצי דואר אלקטרוני וארכיון Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0

ניהול עדכוני מוצרים והגנה

בדרך כלל, אתה Microsoft Defender AV מעדכון Windows פעם ביום. עם זאת, באפשרותך להגדיל את התדירות של עדכונים אלה על-ידי הגדרת האפשרויות הבאות, ולהבטיח שהעדכונים שלך מנוהלים ב- System Center Configuration Manager, באמצעות מדיניות קבוצתית, או ב- Intune.

תיאור פקודת PowerShell
עדכון חתימות מדי יום Set-MpPreference -SignatureUpdateInterval
בדוק כדי לעדכן חתימות לפני הפעלת סריקה מתוזמנת Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

גישה מתקדמת לתיקיה שמנצלת צמצום סיכונים ומניעה

Microsoft Defender Exploit Guard מספק תכונות המסייעות בהגנה על מכשירים מפני אופני פעולה זדוניים ידועים ומתקפות על טכנולוגיות פגיעות.

תיאור פקודת PowerShell
מנע מאפליקציות זדוניות וחשודות (כגון תוכנת כופר) לבצע שינויים בתיקיות מוגנות עם גישה מבוקרת לתיקיות Set-MpPreference -EnableControlledFolderAccess Enabled
חסימת חיבורים לכתובות IP מוכרות פגומות ולחיבורי רשת אחרים באמצעות הגנת רשת Set-MpPreference -EnableNetworkProtection זמין
החלת ערכה סטנדרטית של צמצום סיכונים באמצעות הגנה מפני ניצול לרעה
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml
Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml
חסימת וקטורים ידועים של תקיפה זדונית באמצעות צמצום פני השטח של התקפה Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba 52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions זמין
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions
מותאם Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions זמין
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions זמין
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions זמין
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions זמין
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions זמין
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions זמין
Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a 9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions
זמין Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions זמין
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions זמין

כללים מסוימים עשויים לחסום אופן פעולה המקובל בארגון שלך. במקרים אלה, שנה את הכלל מ'זמין לביקורת' כדי למנוע חסימות לא רצויות.

סריקה לא מקוונת בלחיצה Microsoft Defender אחת

Microsoft Defender Offline Scan הוא כלי ייעודי שמגיע עם Windows 10 או גירסה חדשה יותר, ומאפשר לך לאתחל מחשב לסביבה ייעודית מחוץ למערכת ההפעלה הרגילה. היא שימושית במיוחד עבור תוכנות זדוניות חזקות, כגון rootkit.

ראה Microsoft Defender לא מקוון לקבלת מידע נוסף אודות אופן הפעולה של תכונה זו.

תיאור פקודת PowerShell
ודא שהודעות מאפשרות לך לאתחל את המחשב לסביבה מיוחדת להסרת תוכנות זדוניות Set-MpPreference -UILockdown 0

משאבים

סעיף זה מפרט משאבים רבים שעשויים לסייע לך בהערכת Microsoft Defender אנטי-וירוס.