A Microsoft Defender víruskereső értékelése a PowerShell használatával
Érintett szolgáltatás:
- Microsoft Defender víruskereső
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
A Windows 10 vagy újabb, valamint a Windows Server 2016 vagy újabb rendszereken a Microsoft Defender víruskereső (MDAV) és a Microsoft Defender Exploit Guard (Microsoft Defender EG) által kínált következő generációs védelmi funkciókat használhatja.
Ez a témakör a Microsoft Defender AV és a Microsoft Defender EG fő védelmi funkcióinak engedélyezését és tesztelését ismerteti, valamint útmutatást és további információkra mutató hivatkozásokat tartalmaz.
Javasoljuk, hogy ezt a kiértékelési PowerShell-szkriptet használja a funkciók konfigurálásához, de egyenként engedélyezheti az egyes funkciókat a dokumentum többi részében ismertetett parancsmagokkal.
Az EPP-termékekkel kapcsolatos további információkért tekintse meg az alábbi termékdokumentációkat:
Ez a cikk a Windows 10 vagy újabb, valamint a Windows Server 2016 vagy újabb rendszerek konfigurációs beállításait ismerteti.
Ha bármilyen kérdése van a Microsoft Defender AV által észlelt észleléssel kapcsolatban, vagy elmulasztott észlelést észlel, elküldhet nekünk egy fájlt a mintabeküldési súgóoldalunkon.
A funkciók engedélyezése a PowerShell használatával
Ez az útmutató a Microsoft Defender víruskereső parancsmagjait tartalmazza, amelyek a védelem kiértékeléséhez használandó funkciókat konfigurálják.
A következő parancsmagok használata:
1. Nyissa meg a PowerShell emelt szintű példányát (válassza a Futtatás rendszergazdaként lehetőséget).
2. Írja be az útmutatóban felsorolt parancsot, és nyomja le az Enter billentyűt.
A Get-MpPreference PowerShell-parancsmaggal ellenőrizheti az összes beállítás állapotát a kezdés előtt vagy a kiértékelés során.
A Microsoft Defender AV szabványos Windows-értesítéseken keresztül észlelést jelez. Az észleléseket a Microsoft Defender AV alkalmazásban is áttekintheti.
A Windows eseménynaplója az észlelési és a motoreseményeket is rögzíti. Az eseményazonosítók és a hozzájuk tartozó műveletek listáját a Microsoft Defender víruskereső eseményeit ismertető cikkben találja.
Felhővédelmi funkciók
A standard definíciófrissítések előkészítése és kézbesítése órákat is igénybe vehet; a felhőben biztosított védelmi szolgáltatás másodpercek alatt képes biztosítani ezt a védelmet.
További részletekért tekintse meg a Következő generációs technológiák használata a Microsoft Defender víruskeresőben felhőalapú védelemmel című témakört.
| Leírás | PowerShell-parancs |
|---|---|
| A Microsoft Defender Cloud engedélyezése a közel azonnali védelemhez és a fokozott védelemhez | Set-MpPreference -MAPSReporting Advanced |
| Minták automatikus beküldése a csoportvédelem növelése érdekében | Set-MpPreference -SubmitSamplesConsent Always |
| Mindig a felhő használatával tiltsa le az új kártevőket másodpercek alatt | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Az összes letöltött fájl és melléklet vizsgálata | Set-MpPreference -DisableIOAVProtection 0 |
| Állítsa a felhőblokk szintjét "Magas" értékre | Set-MpPreference -CloudBlockLevel High |
| Magas szintű felhőblokk időtúllépése 1 percre | Set-MpPreference -CloudExtendedTimeout 50 |
Folyamatos védelem (valós idejű vizsgálat)
A Microsoft Defender AV azonnal megvizsgálja a fájlokat, amint a Windows látja őket, és figyeli a futó folyamatokat az ismert vagy gyanús rosszindulatú viselkedések esetén. Ha a víruskereső motor kártékony módosítást észlel, azonnal letiltja a folyamat vagy fájl futtatását.
Ezekről a lehetőségekről további információt a Viselkedési, heurisztikus és valós idejű védelem konfigurálása című témakörben talál.
| Leírás | PowerShell-parancs |
|---|---|
| Fájlok és folyamatok folyamatos monitorozása az ismert kártevő-módosítások esetén | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Folyamatosan monitorozza az ismert kártevők viselkedését – még a "tiszta" fájlokban és a futó programokban is | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Szkennelje be a szkripteket, amint látják vagy futtatják őket | Set-MpPreference -DisableScriptScanning 0 |
| A cserélhető meghajtók beszúrása vagy csatlakoztatása után azonnal vizsgálja meg a meghajtókat | Set-MpPreference -DisableRemovableDriveScanning 0 |
Potenciálisan nemkívánatos alkalmazásvédelem
A potenciálisan nemkívánatos alkalmazások olyan fájlok és alkalmazások, amelyek hagyományosan nem minősülnek rosszindulatúnak. Ezek közé tartoznak a gyakori szoftverek külső telepítői, a hirdetésinjektálás és bizonyos típusú eszköztárak a böngészőben.
| Leírás | PowerShell-parancs |
|---|---|
| A grayware, adware és más vélhetően nemkívánatos alkalmazások telepítésének megakadályozása | Set-MpPreference -PUAProtection engedélyezve |
E-mailek és archív keresés
Beállíthatja, hogy a Microsoft Defender víruskereső automatikusan megvizsgálja bizonyos típusú e-mail- és archív fájlokat (például .zip fájlokat), amikor a Windows látja őket. Erről a funkcióról további információt az E-mail-vizsgálatok kezelése a Microsoft Defenderben című cikkben talál.
| Leírás | PowerShell-parancs |
|---|---|
| E-mail fájlok és archívumok vizsgálata | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Termék- és védelmi frissítések kezelése
A Microsoft Defender AV-frissítéseket általában naponta egyszer kapja meg a Windows-frissítéstől. A frissítések gyakoriságát azonban növelheti a következő beállítások megadásával, valamint a frissítések kezelésének biztosításával a System Center Configuration Managerben, csoportházirenddel vagy az Intune-ban.
| Leírás | PowerShell-parancs |
|---|---|
| Aláírások frissítése minden nap | Set-MpPreference -SignatureUpdateInterval |
| Az aláírások frissítésének ellenőrzése ütemezett vizsgálat futtatása előtt | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Speciális fenyegetés- és biztonsági rés kiaknázása elleni védelem és megelőzés – Mappahozzáférés vezérlése
A Microsoft Defender Exploit Guard olyan funkciókat biztosít, amelyek segítenek megvédeni az eszközöket az ismert rosszindulatú viselkedésektől és a sebezhető technológiák elleni támadásoktól.
| Leírás | PowerShell-parancs |
|---|---|
| Megakadályozza, hogy rosszindulatú és gyanús alkalmazások (például zsarolóprogramok) módosításokat hajtanak végre a védett mappákon szabályozott mappahozzáféréssel | Set-MpPreference -EnableControlledFolderAccess engedélyezve |
| Hálózatvédelemmel blokkolhatja az ismert rossz IP-címekhez és más hálózati kapcsolatokhoz való csatlakozást | Set-MpPreference -EnableNetworkProtection engedélyezve |
| Kockázatcsökkentések standard készletének alkalmazása biztonsági rés kiaknázása elleni védelemmel | https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Ismert rosszindulatú támadási vektorok blokkolása a támadási felület csökkentésével | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba 52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions EngedélyezveAdd-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A 917- 57927947596D -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9 -9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Enabled |
Egyes szabályok blokkolhatják a szervezetben elfogadhatónak talált viselkedést. Ezekben az esetekben módosítsa a szabályt Engedélyezve beállításról Naplózásra a nemkívánatos blokkok elkerülése érdekében.
Egy kattintással a Microsoft Defender offline vizsgálata
A Microsoft Defender Offline Scan egy speciális eszköz, amely Windows 10-et vagy újabb verziót tartalmaz, és lehetővé teszi, hogy a gépet a normál operációs rendszeren kívüli dedikált környezetbe indítsa. Különösen hasznos erős kártevők, például rootkits esetén.
A funkció működéséről további információt a Microsoft Defender Offline című témakörben talál.
| Leírás | PowerShell-parancs |
|---|---|
| Győződjön meg arról, hogy az értesítések lehetővé teszik a számítógép speciális kártevő-eltávolító környezetbe való indítását | Set-MpPreference -UILockdown 0 |
Források
Ez a szakasz számos olyan erőforrást sorol fel, amelyek segíthetnek a Microsoft Defender víruskereső kiértékelésében.
- Microsoft Defender a Windows 10-tárban
- A Windows Server 2016-hoz készült Microsoft Defender könyvtára
- Windows 10 biztonsági kódtár
- A Windows 10 biztonsági áttekintése
- A Microsoft Defender biztonsági intelligencia (Microsoft Malware Protection Center (MMPC) webhelye – veszélyforrás-kutatás és reagálás
- Microsoft Security webhely
- Microsoft Security blog
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: