Valutare Microsoft Defender antivirus con PowerShell
Si applica a:
- Antivirus Microsoft Defender
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
In Windows 10 o più recenti e Windows Server 2016 o più recenti è possibile usare le funzionalità di protezione di nuova generazione offerte da Microsoft Defender Antivirus (MDAV) e Microsoft Defender Exploit Guard (Microsoft Defender EG).
Questo argomento illustra come abilitare e testare le principali funzionalità di protezione in Microsoft Defender AV e Microsoft Defender EG e fornisce indicazioni e collegamenti ad altre informazioni.
È consigliabile usare questo script di PowerShell di valutazione per configurare queste funzionalità, ma è possibile abilitare singolarmente ogni funzionalità con i cmdlet descritti nel resto di questo documento.
Per altre informazioni sui prodotti EPP, vedere le librerie di documentazione dei prodotti seguenti:
Questo articolo descrive le opzioni di configurazione in Windows 10 o più recenti e Windows Server 2016 o versioni successive.
Se si hanno domande su un rilevamento eseguito da Microsoft Defender AV o si individua un rilevamento perso, è possibile inviare un file al sito della Guida per l'invio di esempio.
Usare PowerShell per abilitare le funzionalità
Questa guida fornisce i cmdlet Microsoft Defender Antivirus che configurano le funzionalità da usare per valutare la protezione.
Per usare questi cmdlet:
1. Aprire un'istanza con privilegi elevati di PowerShell (scegliere Esegui come amministratore).
2. Immettere il comando elencato in questa guida e premere INVIO.
È possibile controllare lo stato di tutte le impostazioni prima di iniziare o durante la valutazione usando il cmdlet Di PowerShell Get-MpPreference.
Microsoft Defender AV indica un rilevamento tramite notifiche Windows standard. È anche possibile esaminare i rilevamenti nell'app av Microsoft Defender.
Il registro eventi di Windows registra anche il rilevamento e gli eventi del motore. Per un elenco degli ID evento e delle azioni corrispondenti, vedere l'articolo Microsoft Defender Eventi antivirus.
Funzionalità di protezione del cloud
Gli aggiornamenti delle definizioni standard possono richiedere ore per la preparazione e la distribuzione; il servizio di protezione fornito dal cloud può offrire questa protezione in pochi secondi.
Altri dettagli sono disponibili in Usare tecnologie di nuova generazione in Microsoft Defender Antivirus tramite la protezione fornita dal cloud.
| Descrizione | Comando di PowerShell |
|---|---|
| Abilitare il cloud Microsoft Defender per una protezione quasi immediata e una maggiore protezione | Set-MpPreference -MAPSReporting Advanced |
| Inviare automaticamente esempi per aumentare la protezione dei gruppi | Set-MpPreference -SubmitSamplesConsent Always |
| Usare sempre il cloud per bloccare il nuovo malware in pochi secondi | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Analizzare tutti i file e gli allegati scaricati | Set-MpPreference -DisableIOAVProtection 0 |
| Impostare il livello del blocco cloud su 'High' | Set-MpPreference -CloudBlockLevel High |
| Timeout del blocco del cloud con impostazione elevata su 1 minuto | Set-MpPreference -CloudExtendedTimeout 50 |
Protezione always-on (analisi in tempo reale)
Microsoft Defender AV analizza i file non appena vengono visualizzati da Windows e monitora i processi in esecuzione per individuare comportamenti dannosi noti o sospetti. Se il motore antivirus rileva modifiche dannose, blocca immediatamente l'esecuzione del processo o del file.
Per altre informazioni su queste opzioni , vedere Configurare la protezione comportamentale, euristica e in tempo reale .
| Descrizione | Comando di PowerShell |
|---|---|
| Monitorare costantemente i file e i processi per le modifiche note al malware | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Monitorare costantemente i comportamenti malware noti, anche nei file "puliti" e nei programmi in esecuzione | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Analizzare gli script non appena vengono visualizzati o eseguiti | Set-MpPreference -DisableScriptScanning 0 |
| Analizza le unità rimovibili non appena vengono inserite o montate | Set-MpPreference -DisableRemovableDriveScanning 0 |
Protezione di applicazioni potenzialmente indesiderate
Le applicazioni potenzialmente indesiderate sono file e app che tradizionalmente non sono classificati come dannosi. Questi includono programmi di installazione di terze parti per software comune, ad injection e alcuni tipi di barre degli strumenti nel browser.
| Descrizione | Comando di PowerShell |
|---|---|
| Impedire l'installazione di grayware, adware e altre app potenzialmente indesiderate | Set-MpPreference -PUAProtection Abilitato |
Email e analisi degli archivi
È possibile impostare Microsoft Defender Antivirus per analizzare automaticamente determinati tipi di file di posta elettronica e di archivio (ad esempio .zip file) quando vengono visualizzati da Windows. Altre informazioni su questa funzionalità sono disponibili nell'articolo Gestire le analisi della posta elettronica in Microsoft Defender.
| Descrizione | Comando di PowerShell |
|---|---|
| Analizzare file e archivi di posta elettronica | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Gestire gli aggiornamenti di prodotti e protezione
In genere, si ricevono Microsoft Defender aggiornamenti AV da Windows Update una volta al giorno. È tuttavia possibile aumentare la frequenza di tali aggiornamenti impostando le opzioni seguenti e assicurandosi che gli aggiornamenti vengano gestiti in System Center Configuration Manager, con Criteri di gruppo o in Intune.
| Descrizione | Comando di PowerShell |
|---|---|
| Aggiornare le firme ogni giorno | Set-MpPreference -SignatureUpdateInterval |
| Verificare di aggiornare le firme prima di eseguire un'analisi pianificata | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Prevenzione e mitigazione avanzata delle minacce e degli exploit Accesso controllato alle cartelle
Microsoft Defender Exploit Guard offre funzionalità che consentono di proteggere i dispositivi da comportamenti dannosi noti e attacchi alle tecnologie vulnerabili.
| Descrizione | Comando di PowerShell |
|---|---|
| Impedire alle app dannose e sospette (ad esempio ransomware) di apportare modifiche alle cartelle protette con accesso controllato alle cartelle | Set-MpPreference -EnableControlledFolderAccess Abilitato |
| Bloccare le connessioni a indirizzi IP non validi noti e ad altre connessioni di rete con protezione di rete | Set-MpPreference -EnableNetworkProtection Abilitato |
| Applicare un set standard di mitigazioni con protezione dagli exploit | https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Bloccare i vettori di attacco dannosi noti con riduzione della superficie di attacco | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Abilitato |
Alcune regole possono bloccare il comportamento che si ritiene accettabile nell'organizzazione. In questi casi, modificare la regola da Abilitato a Controllo per evitare blocchi indesiderati.
Un clic Microsoft Defender analisi offline
Microsoft Defender Analisi offline è uno strumento specializzato fornito con Windows 10 o versioni successive e consente di avviare un computer in un ambiente dedicato al di fuori del normale sistema operativo. È particolarmente utile per malware potenti, ad esempio rootkit.
Per altre informazioni sul funzionamento di questa funzionalità, vedere Microsoft Defender Offline.
| Descrizione | Comando di PowerShell |
|---|---|
| Assicurarsi che le notifiche consentano di avviare il PC in un ambiente specializzato per la rimozione di malware | Set-MpPreference -UILockdown 0 |
Risorse
Questa sezione elenca molte risorse che consentono di valutare Microsoft Defender Antivirus.
- Microsoft Defender nella libreria Windows 10
- Microsoft Defender per la libreria Windows Server 2016
- libreria di sicurezza Windows 10
- panoramica della sicurezza Windows 10
- sito Web Microsoft Defender Security Intelligence (Microsoft Malware Protection Center (MMPC)): ricerca e risposta alle minacce
- Sito Web di Microsoft Security
- Blog sulla sicurezza Microsoft
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per