הערכת האנטי-וירוס של Microsoft Defender באמצעות Powershell
חל על:
- האנטי-וירוס של Microsoft Defender
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
ב- Windows 10 ואילך וב- Windows Server 2016 ואילך, תוכל להשתמש בתכונות הגנה מהדור הבא המוצעות על-ידי האנטי-וירוס של Microsoft Defender(MDAV) ו- Microsoft Defender Exploit Guard (Microsoft Defender EG).
נושא זה מסביר כיצד להפעיל ולבחון את תכונות ההגנה העיקריות ב- Microsoft Defender AV וב- Microsoft Defender EG, ומספק לך הדרכה וקישורים למידע נוסף.
מומלץ להשתמש בקובץ Script זה של PowerShell להערכה כדי לקבוע את התצורה של תכונות אלה, אך ניתן להפוך כל תכונה לזמינה בנפרד באמצעות רכיבי ה- cmdlet המתוארים בשאר המסמך.
עיין בספריות תיעוד המוצר הבאות לקבלת מידע נוסף אודות מוצרי ה- EPP שלנו:
מאמר זה מתאר אפשרויות תצורה ב- Windows 10 ואילך וב- Windows Server 2016 ואילך.
אם יש לך שאלות לגבי זיהוי ש- Microsoft Defender AV מבצע, או אם אתה מציין זיהוי שלא נענו, באפשרותך לשלוח אלינו קובץ באתר העזרה שלנו לשליחה לדוגמה.
שימוש ב- PowerShell כדי להפוך את התכונות לזמינות
מדריך זה מספק את רכיבי ה- cmdlet של האנטי-וירוס של Microsoft Defender שמגדירים את התכונות שבהן עליך להשתמש כדי להעריך את ההגנה שלנו.
כדי להשתמש ברכיבי cmdlet אלה:
1. פתח מופע עם הרשאות מלאות של PowerShell (בחר הפעל כמנהל מערכת).
2. הזן את הפקודה המופיעה במדריך זה והקש Enter.
באפשרותך לבדוק את המצב של כל ההגדרות לפני שתתחיל, או במהלך ההערכה שלך, באמצעות ה- cmdlet Get-MpPreference PowerShell.
Microsoft Defender AV מציין זיהוי באמצעות הודעות רגילות של Windows. ניתן גם לעיין בזיהויים באפליקציית Microsoft Defender AV.
יומן האירועים של Windows גם מתעד אירועי זיהוי ומנוע. עיין במאמר אירועי אנטי-וירוס של Microsoft Defender לקבלת רשימה של מזהה אירוע והפעולות התואמות להם.
תכונות הגנה בענן
ההכנה וההעברה של עדכוני הגדרה סטנדרטית עשויה להימשך שעות; שירות ההגנה הענן שלנו יכול לספק הגנה זו בתוך שניות.
פרטים נוספים זמינים תחת שימוש בטכנולוגיות מהדור הבא באנטי-וירוס של Microsoft Defender באמצעות הגנה מבוססת ענן.
| תיאור | פקודת PowerShell |
|---|---|
| הפוך את הענן של Microsoft Defender לזמין להגנה קרובה-מיידית והגנה מוגברת | Set-MpPreference -MAPSReporting Advanced |
| שלח דוגמאות באופן אוטומטי כדי להגדיל את ההגנה על הקבוצה | Set-MpPreference -SubmitSamplesConsent Always |
| השתמש תמיד בענן כדי לחסום תוכנות זדוניות חדשות תוך שניות | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| סרוק את כל הקבצים והקבצים המצורפים שהורדו | Set-MpPreference -DisableIOAVProtection 0 |
| הגדר את רמת החסימה בענן ל'גבוהה' | Set-MpPreference -CloudBlockLevel High |
| זמן קצוב לחסימת ענן בהגדרה גבוהה כדקה אחת | Set-MpPreference -CloudExtendedTimeout 50 |
הגנה תמידית (סריקה בזמן אמת)
Microsoft Defender AV סורק קבצים ברגע ש- Windows רואה אותם, וינטר תהליכים פועלים עבור אופני פעולה זדוניים ידועים או חשודים. אם מנוע האנטי-וירוס מציין שינויים זדוניים, הוא יחסם את ההפעלה של התהליך או הקובץ באופן מיידי.
ראה קביעת תצורה של הגנה התנהגותית, הרתמית והגנה בזמן אמת לקבלת פרטים נוספים על אפשרויות אלה.
| תיאור | פקודת PowerShell |
|---|---|
| ניטור קבוע של קבצים ותהליכים עבור שינויים ידועים בתוכנות זדוניות | Set-MpPreference -DisableRealtimeMonitoring 0 |
| נטר ללא הרף אחר אופני פעולה ידועים של תוכנות זדוניות – אפילו בקבצים 'נקיים' ובתוכניות פועלות | Set-MpPreference -DisableBehaviorMonitoring 0 |
| סרוק קבצי Script ברגע שהם מוצגים או פועלים | Set-MpPreference -DisableScriptScanning 0 |
| סרוק כוננים נשלפים ברגע שהם נוספים או מותקנים | Set-MpPreference -DisableRemovableDriveScanning 0 |
הגנה על יישומים שעלולים להיות בלתי רצויים
יישומים שעלולים להיות בלתי רצויים הם קבצים ואפליקציות שאינם מסווגים באופן מסורתי כד זדוני. אלה כוללים מתקינים של ספקים חיצוניים עבור תוכנות נפוצות, הזרקת פרסומות וסוגים מסוימים של סרגלי כלים בדפדפן שלך.
| תיאור | פקודת PowerShell |
|---|---|
| מנע התקנה של תוכנות אפור, תוכנות פרסום ואפליקציות אחרות שעשויות להיות בלתי רצויות | Set-MpPreference -PUAProtection זמין |
סריקת דואר אלקטרוני וסריקת ארכיון
באפשרותך להגדיר את האנטי-וירוס של Microsoft Defender לסריקה אוטומטית של סוגים מסוימים של קבצי דואר אלקטרוני וקובצי ארכיון (כגון .zip קבצים) כאשר הם מוצגים על-ידי Windows. ניתן למצוא מידע נוסף אודות תכונה זו תחת המאמר ניהול סריקות דואר אלקטרוני ב- Microsoft Defender .
| תיאור | פקודת PowerShell |
|---|---|
| סריקת קבצי דואר אלקטרוני וארכיון | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
ניהול עדכוני מוצרים והגנה
בדרך כלל, אתה מקבל עדכוני Microsoft Defender AV מעדכון Windows פעם ביום. עם זאת, באפשרותך להגדיל את התדירות של עדכונים אלה על-ידי הגדרת האפשרויות הבאות, והבטחה שהעדכונים שלך מנוהלים ב- System Center Configuration Manager, עם מדיניות קבוצתית או Intune.
| תיאור | פקודת PowerShell |
|---|---|
| עדכון חתימות מדי יום | Set-MpPreference -SignatureUpdateInterval |
| בדוק כדי לעדכן חתימות לפני הפעלת סריקה מתוזמנת | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
גישה מתקדמת לתיקיה שמנצלת צמצום סיכונים ומניעה
Microsoft Defender Exploit Guard מספק תכונות המסייעות בהגנה על מכשירים מפני אופני פעולה זדוניים ידועים ומתקפות על טכנולוגיות פגיעות.
| תיאור | פקודת PowerShell |
|---|---|
| מנע מאפליקציות זדוניות וחשודות (כגון תוכנת כופר) לבצע שינויים בתיקיות מוגנות עם גישה מבוקרת לתיקיות | Set-MpPreference -EnableControlledFolderAccess Enabled |
| חסימת חיבורים לכתובות IP מוכרות פגומות ולחיבורי רשת אחרים באמצעות הגנת רשת | Set-MpPreference -EnableNetworkProtection זמין |
| החלת ערכה סטנדרטית של צמצום סיכונים באמצעות הגנה מפני ניצול לרעה | https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| חסימת וקטורים ידועים של תקיפה זדונית באמצעות צמצום פני השטח של התקפה | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba 52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions זמיןAdd-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions מותאם Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions זמיןAdd-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions זמיןAdd-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions זמיןAdd-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions זמיןAdd-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions זמיןAdd-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions זמיןAdd-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a 9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actionsזמין Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions זמיןAdd-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions זמין |
כללים מסוימים עשויים לחסום אופן פעולה המקובל בארגון שלך. במקרים אלה, שנה את הכלל מ'זמין לביקורת' כדי למנוע חסימות לא רצויות.
סריקה של Microsoft Defender Offline בלחיצה אחת
Microsoft Defender Offline Scan הוא כלי ייעודי שמגיע עם Windows 10 ואילך, ומאפשר לך לאתחל מחשב לסביבה ייעודית מחוץ למערכת ההפעלה הרגילה. היא שימושית במיוחד עבור תוכנות זדוניות חזקות, כגון rootkit.
ראה Microsoft Defender Offline לקבלת מידע נוסף על אופן הפעולה של תכונה זו.
| תיאור | פקודת PowerShell |
|---|---|
| ודא שהודעות מאפשרות לך לאתחל את המחשב לסביבה מיוחדת להסרת תוכנות זדוניות | Set-MpPreference -UILockdown 0 |
משאבים
סעיף זה מפרט משאבים רבים שעשויים לסייע לך בהערכת האנטי-וירוס של Microsoft Defender.
- Microsoft Defender בספריית Windows 10
- ספריית Microsoft Defender for Windows Server 2016
- ספריית האבטחה של Windows 10
- מבט כולל על האבטחה של Windows 10
- אתר האינטרנט של Microsoft Defender Security Intelligence (Microsoft Malware Protection Center (MMPC)) – מחקר איום ותגובה
- אתר האינטרנט של Microsoft Security
- בלוג האבטחה של Microsoft
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור