Megosztás a következőn keresztül:


Microsoft Defender víruskereső kiértékelése a PowerShell használatával

Érintett szolgáltatás:

Az Windows 10 vagy újabb és Windows Server 2016 vagy újabb verzióban használhatja a Microsoft Defender Antivirus (MDAV) és a Microsoft Defender Exploit Guard (Microsoft Defender EG) következő generációs védelmi funkcióit.

Ez a témakör azt ismerteti, hogyan engedélyezheti és tesztelheti a fő védelmi funkciókat az Microsoft Defender AV-ben és az Microsoft Defender EG-ben, valamint útmutatást és további információkra mutató hivatkozásokat biztosít.

Javasoljuk, hogy ezt a kiértékelési PowerShell-szkriptet használja a funkciók konfigurálásához, de egyenként engedélyezheti az egyes funkciókat a dokumentum többi részében ismertetett parancsmagokkal.

Az EPP-termékekkel kapcsolatos további információkért tekintse meg az alábbi termékdokumentációkat:

Ez a cikk Windows 10 vagy újabb, illetve Windows Server 2016 vagy újabb konfigurációs beállításait ismerteti.

Ha bármilyen kérdése van egy olyan észleléssel kapcsolatban, amelyet Microsoft Defender AV készít, vagy ha elmulasztott észlelést észlel, elküldhet nekünk egy fájlt a mintabeküldési súgóoldalunkon.

A funkciók engedélyezése a PowerShell használatával

Ez az útmutató a Microsoft Defender víruskereső parancsmagokat tartalmazza, amelyek a védelem kiértékeléséhez használandó funkciókat konfigurálják.

A következő parancsmagok használata:

1. Nyissa meg a PowerShell emelt szintű példányát (válassza a Futtatás rendszergazdaként lehetőséget).

2. Írja be az útmutatóban felsorolt parancsot, és nyomja le az Enter billentyűt.

A Get-MpPreference PowerShell-parancsmaggal ellenőrizheti az összes beállítás állapotát a kezdés előtt vagy a kiértékelés során.

Microsoft Defender AV szabványos Windows-értesítéseken keresztül észlelést jelez. Az észleléseket az Microsoft Defender AV alkalmazásban is áttekintheti.

A Windows eseménynaplója az észlelési és a motoreseményeket is rögzíti. Az eseményazonosítók és a hozzájuk tartozó műveletek listáját a Microsoft Defender víruskereső eseményeket ismertető cikkben találja.

Felhővédelmi funkciók

A standard definíciófrissítések előkészítése és kézbesítése órákat is igénybe vehet; a felhőben biztosított védelmi szolgáltatás másodpercek alatt képes biztosítani ezt a védelmet.

További részletekért tekintse meg a Következő generációs technológiák használata Microsoft Defender víruskeresőben felhőalapú védelemmel című témakört.

Leírás PowerShell-parancs
A Microsoft Defender Cloud engedélyezése a közel azonnali védelemhez és a fokozott védelemhez Set-MpPreference -MAPSReporting Advanced
Minták automatikus beküldése a csoportvédelem növelése érdekében Set-MpPreference -SubmitSamplesConsent Always
Mindig a felhő használatával tiltsa le az új kártevőket másodpercek alatt Set-MpPreference -DisableBlockAtFirstSeen 0
Az összes letöltött fájl és melléklet vizsgálata Set-MpPreference -DisableIOAVProtection 0
Állítsa a felhőblokk szintjét "Magas" értékre Set-MpPreference -CloudBlockLevel High
Magas szintű felhőblokk időtúllépése 1 percre Set-MpPreference -CloudExtendedTimeout 50

Folyamatos védelem (valós idejű vizsgálat)

Microsoft Defender AV azonnal megvizsgálja a fájlokat, amint a Windows látja őket, és figyeli a futó folyamatokat az ismert vagy gyanús rosszindulatú viselkedések esetén. Ha a víruskereső motor kártékony módosítást észlel, azonnal letiltja a folyamat vagy fájl futtatását.

Ezekről a lehetőségekről további információt a Viselkedési, heurisztikus és valós idejű védelem konfigurálása című témakörben talál.

Leírás PowerShell-parancs
Fájlok és folyamatok folyamatos monitorozása az ismert kártevő-módosítások esetén Set-MpPreference -DisableRealtimeMonitoring 0
Folyamatosan monitorozza az ismert kártevők viselkedését – még a "tiszta" fájlokban és a futó programokban is Set-MpPreference -DisableBehaviorMonitoring 0
Szkennelje be a szkripteket, amint látják vagy futtatják őket Set-MpPreference -DisableScriptScanning 0
A cserélhető meghajtók beszúrása vagy csatlakoztatása után azonnal vizsgálja meg a meghajtókat Set-MpPreference -DisableRemovableDriveScanning 0

Potenciálisan nemkívánatos alkalmazásvédelem

A potenciálisan nemkívánatos alkalmazások olyan fájlok és alkalmazások, amelyek hagyományosan nem minősülnek rosszindulatúnak. Ezek közé tartoznak a gyakori szoftverek külső telepítői, a hirdetésinjektálás és bizonyos típusú eszköztárak a böngészőben.

Leírás PowerShell-parancs
A grayware, adware és más vélhetően nemkívánatos alkalmazások telepítésének megakadályozása Set-MpPreference -PUAProtection engedélyezve

Email és archív vizsgálat

Beállíthatja, hogy a Microsoft Defender víruskereső automatikusan megvizsgálja bizonyos típusú e-mail- és archív fájlokat (például .zip fájlokat), amikor a Windows látja őket. Erről a funkcióról további információt az E-mail vizsgálatok kezelése Microsoft Defender cikkben talál.

Leírás PowerShell-parancs
E-mail fájlok és archívumok vizsgálata Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0

Termék- és védelmi frissítések kezelése

Általában naponta egyszer kap Microsoft Defender AV-frissítéseket a Windows Update-ből. A frissítések gyakoriságának növeléséhez azonban megadhatja a következő beállításokat, és gondoskodhat arról, hogy a frissítéseket a System Center Configuration Manager, a Csoportházirend vagy a Intune kezelje.

Leírás PowerShell-parancs
Aláírások frissítése minden nap Set-MpPreference -SignatureUpdateInterval
Az aláírások frissítésének ellenőrzése ütemezett vizsgálat futtatása előtt Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

Speciális fenyegetés- és biztonsági rés kiaknázása elleni védelem és megelőzés – Mappahozzáférés vezérlése

Microsoft Defender Exploit Guard olyan funkciókat biztosít, amelyek segítenek megvédeni az eszközöket az ismert rosszindulatú viselkedésektől és a sebezhető technológiák elleni támadásoktól.

Leírás PowerShell-parancs
Megakadályozza, hogy rosszindulatú és gyanús alkalmazások (például zsarolóprogramok) módosításokat hajtanak végre a védett mappákon szabályozott mappahozzáféréssel Set-MpPreference -EnableControlledFolderAccess engedélyezve
Hálózatvédelemmel blokkolhatja az ismert rossz IP-címekhez és más hálózati kapcsolatokhoz való csatlakozást Set-MpPreference -EnableNetworkProtection engedélyezve
Kockázatcsökkentések standard készletének alkalmazása biztonsági rés kiaknázása elleni védelemmel
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml
Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml
Ismert rosszindulatú támadási vektorok blokkolása a támadási felület csökkentésével Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba 52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Engedélyezve
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A 917- 57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9 -9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Enabled

Egyes szabályok blokkolhatják a szervezetben elfogadhatónak talált viselkedést. Ezekben az esetekben módosítsa a szabályt Engedélyezve beállításról Naplózásra a nemkívánatos blokkok elkerülése érdekében.

Egy kattintással Microsoft Defender offline vizsgálat

Microsoft Defender Offline Scan egy speciális eszköz, amely Windows 10 vagy újabb, és lehetővé teszi, hogy indítsa el a gépet egy dedikált környezetben kívül a normál operációs rendszer. Különösen hasznos erős kártevők, például rootkits esetén.

A funkció működéséről további információt az Microsoft Defender Offline című témakörben talál.

Leírás PowerShell-parancs
Győződjön meg arról, hogy az értesítések lehetővé teszik a számítógép speciális kártevő-eltávolító környezetbe való indítását Set-MpPreference -UILockdown 0

Források

Ez a szakasz számos olyan erőforrást sorol fel, amelyek segíthetnek Microsoft Defender víruskereső értékelésében.