Ескертпе
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
В Windows 10 или более новых версиях и Windows Server 2016 или более новых версиях можно использовать функции защиты нового поколения, предоставляемые антивирусной программой Microsoft Defender (MDAV) и Microsoft Defender Exploit Guard (Microsoft Defender EG).
В этой статье объясняется, как включить и проверить функции защиты ключей в Microsoft Defender AV и Microsoft Defender EG, а также приводятся рекомендации и ссылки на дополнительные сведения.
В этой статье описываются параметры конфигурации в Windows 10 или более поздних версиях, а также Windows Server 2016 или более поздней версии.
Предварительные условия
Поддерживаемые операционные системы
- Windows
- Windows 10
- Windows 2016 и более поздних версий
Использование антивирусной программы Microsoft Defender с помощью групповая политика для включения функций
В этом руководстве приведена Microsoft Defender антивирусная групповая политика, которая настраивает функции, которые следует использовать для оценки нашей защиты.
Получите последнюю версию "Административные шаблоны Windows групповая политика".
Дополнительные сведения см. в статье Создание и управление центральным магазином — клиент Windows.
Совет
- Windows one работает с серверами Windows.
- Даже если вы используете Windows 10 или Windows Server 2016, получите последние административные шаблоны для Windows 11 или более поздних версий.
Создайте "Центральное хранилище" для размещения последних шаблонов ADMX и ADML.
Дополнительные сведения см. в статье Создание и управление центральным магазином — клиент Windows.
При присоединении к домену:
Создайте новое наследование политики блока подразделения.
Откройте консоль управления групповой политикой (GPMC.msc).
Перейдите к разделу объекты групповая политика и создайте новую групповая политика.
Щелкните правой кнопкой мыши созданную политику и выберите Изменить.
Перейдите в разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа.
или
При присоединении к рабочей группе
Откройте групповая политика редактор MMC (GPEdit.msc).
Перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа.
MDAV и потенциально нежелательные приложения (PUA)
Корневой:
| Описание | Setting |
|---|---|
| Отключение антивирусной программы Microsoft Defender | Отключено |
| Настройка обнаружения для потенциально нежелательных приложений | Включено — блокировать |
Защита в режиме реального времени (постоянная защита, сканирование в режиме реального времени)
\ Защита в режиме реального времени.
| Описание | Setting |
|---|---|
| Отключение защиты в режиме реального времени | Отключено |
| Настройка мониторинга для входящих и исходящих файлов и действий программ | Включен, двунаправленный (полный доступ) |
| Включение мониторинга поведения | Включено |
| Мониторинг файлов и программ на компьютере | Включено |
Функции облачной защиты
Standard на подготовку и доставку обновлений аналитики безопасности может потребоваться несколько часов. Наша облачная служба защиты может обеспечить эту защиту за считанные секунды.
Дополнительные сведения см. в статье Использование технологий следующего поколения в Microsoft Defender Антивирусная программа с помощью облачной защиты.
\ КАРТЫ:
| Описание | Setting |
|---|---|
| Присоединение к Microsoft MAPS | Включено, Advanced MAPS |
| Настройка функции "Блокировать при первом взгляде" | Включено |
| Отправка примеров файлов при необходимости дальнейшего анализа | Включено, отправить все примеры |
\ MpEngine:
| Описание | Setting |
|---|---|
| Выбор уровня облачной защиты | Включено, высокий уровень блокировки |
| Настройка расширенных облачных проверка | Включено, 50 |
Сканирование
| Описание | Setting |
|---|---|
| Включение эвристики | Включено |
| Включение проверки электронной почты | Включено |
| Сканирование всех скачанных файлов и вложений | Включено |
| Включение сканирования скриптов | Включено |
| Сканирование архивных файлов | Включено |
| Сканирование упакованных исполняемых файлов | Включено |
| Настройка сканирования сетевых файлов (Files сканирования сети) | Включено |
| Проверка съемных дисков | Включено |
| Включение проверки точек повторного анализа | Включено |
Обновления аналитики безопасности
| Описание | Setting |
|---|---|
| Укажите интервал проверка для обновлений аналитики безопасности | Включено, 4 |
| Определение порядка источников для скачивания обновлений аналитики безопасности | Включено в разделе "Определение порядка источников для скачивания обновлений аналитики безопасности" InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC Примечание: Где InternalDefinitionUpdateServer — это WSUS с разрешенными обновлениями антивирусной программы Microsoft Defender. MicrosoftUpdateServer == Центр обновления Майкрософт (ранее клиентский компонент Центра обновления Windows). MMPC == https://www.microsoft.com/en-us/wdsi/defenderupdates |
Отключение параметров антивирусной программы локального администратора
Отключите параметры антивирусной программы локального администратора, такие как исключения, и примените политики из Microsoft Defender для конечной точки Управление параметрами безопасности.
Корневой:
| Описание | Setting |
|---|---|
| Настройка поведения слияния локального администратора для списков | Отключено |
| Управление тем, видны ли исключения локальным администраторам | Включено |
Действие по умолчанию для серьезности угроз
\ Угроз
| Описание | Setting | Уровень оповещений | Действие |
|---|---|---|---|
| Указание уровней оповещений об угрозах, на которых не следует выполнять действия по умолчанию при обнаружении | Включено | ||
| 5 (серьезный) | 2 (карантин) | ||
| 4 (высокий) | 2 (карантин) | ||
| 2 (средний) | 2 (карантин) | ||
| 1 (низкий) | 2 (карантин) |
\ Карантина
| Описание | Setting |
|---|---|
| Настройка удаления элементов из папки карантина | Включено, 60 |
\ Интерфейс клиента
| Описание | Setting |
|---|---|
| Включение режима безголового пользовательского интерфейса | Отключено |
Защита сети
\ Microsoft Defender Exploit Guard\Network Protection:
| Описание | Setting |
|---|---|
| Запрет доступа пользователей и приложений к опасным веб-сайтам | Включено, блокировать |
| Этот параметр определяет, можно ли настроить защиту сети в режиме блокировки или аудита на Windows Server | Включено |
Чтобы включить защиту сети для серверов Windows, на данный момент используйте PowerShell:
| ОС | Командлет PowerShell |
|---|---|
| Windows Server 2012 R2 и более поздних версий | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| единый клиент MDE Windows Server 2016 и Windows Server 2012 R2 | set-MpPreference -AllowNetworkProtectionOnWinServer $true set-MpPreference -AllowNetworkProtectionDownLevel $true |
Правила уменьшения поверхности атаки
Перейдите к разделу Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа> Microsoft DefenderСокращение направлений атакExploit Guard>.
Нажмите кнопку Далее.
| Описание | Setting |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 Примечание. (Блокировать исполняемое содержимое из почтового клиента и веб-почты) |
1 (блок) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Примечание. (запретить Adobe Reader создавать дочерние процессы) |
1 (блок) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc Примечание. (Блокировать выполнение потенциально скрытых скриптов) |
1 (блок) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 Примечание. (Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами) |
1 (блок) |
| 92e97fa1-2edf-4476-bdd6-9d0b4dddc7b Примечание. (Блокировать вызовы API Win32 из макросов Office) |
1 (блок) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 Примечание. (Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия) |
1 (блок) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 Примечание. (Запретить приложению office для связи создавать дочерние процессы) |
1 (блок) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a Примечание. (Запретить всем приложениям Office создавать дочерние процессы) |
1 (блок) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Примечание. ([ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ] Запретить использование скопированных или олицетворенных системных средств) |
1 (блок) |
| d3e037e1-3eb8-44c8-a917-57927947596d Примечание. (Блокировать запуск скачаемого исполняемого содержимого в JavaScript или VBScript) |
1 (блок) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Примечание. (Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows) |
1 (блок) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 Примечание. (Создание веб-оболочки блокировать для серверов) |
1 (блок) |
| 3b576869-a4ec-4529-8536-b80a7769e899 Примечание. (Запрет приложений Office создавать исполняемое содержимое) |
1 (блок) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Примечание. (Блокировать недоверенные и неподписанные процессы, выполняемые с USB) |
1 (блок) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Примечание. (Запрет приложений Office внедрять код в другие процессы) |
1 (блок) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b Примечание. (Блокировка сохраняемости через подписку на события WMI) |
1 (блок) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 Примечание. (Используйте расширенную защиту от программ-шантажистов) |
1 (блок) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c Примечание. (Блокировать создание процессов, исходящих из команд PSExec и WMI) |
1 (блок) Примечание: Если у вас есть Configuration Manager (ранее SCCM) или другие средства управления, использующие WMI, может потребоваться задать значение 2 (аудит) вместо 1 ('block'). |
| 33ddedf1-c6e0-47cb-833e-de6133960387 Примечание. ([ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ] Блокировка перезагрузки компьютера в безопасном режиме) |
1 (блок) |
Совет
Некоторые правила могут блокировать поведение, допустимое в вашей организации. В таких случаях измените правило с "Включено" на "Аудит", чтобы предотвратить нежелательные блокировки.
Управляемый доступ к папкам
Перейдите к разделу Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа> Microsoft DefenderСокращение направлений атакExploit Guard>.
| Описание | Setting |
|---|---|
| Настройка управляемого доступа к папкам | Включено, блокировать |
Назначьте политики подразделению, в котором находятся тестовые компьютеры.
Включение защиты от незаконного изменения
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Параметры>Конечные> точкиДополнительные функции>Защита от незаконного>изменения включена.
Дополнительные сведения см. в статье Разделы справки настройка или управление защитой от незаконного изменения?.
Проверка сетевого подключения к Cloud Protection
Важно убедиться, что сетевое подключение Cloud Protection работает во время тестирования на проникновение.
Откройте командную строку с повышенными привилегиями (окно командной строки, открытое путем выбора запуска от имени администратора). Например, вы можете:
- Откройте меню Пуск и введите cmd.
- Щелкните правой кнопкой мыши результат командной строки и выберите Запуск от имени администратора.
В командной строке с повышенными привилегиями выполните следующие команды:
Совет
Первая команда изменяет каталог на последнюю версию платформы> защиты от вредоносных <программ в
%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Если этот путь не существует, он отправляется в%ProgramFiles%\Windows Defender.(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1 MpCmdRun.exe -ValidateMapsConnection
Дополнительные сведения см. в статье Настройка и управление антивирусной программой Microsoft Defender с помощью средства командной строки MpCmdRun.
Проверка версии обновления платформы
Последняя версия "Обновление платформы" Рабочий канал (GA) доступна здесь:
Чтобы просмотреть установленную версию "Обновление платформы", выполните следующую команду в сеансе PowerShell с повышенными привилегиями (окно PowerShell, открытое путем выбора запуска от имени администратора):
Get-MpComputerStatus | Format-Table AMProductVersion
Проверка версии обновления аналитики безопасности
Последняя версия "Обновление аналитики безопасности" доступна здесь:
Чтобы просмотреть установленную версию "Обновление аналитики безопасности", выполните следующую команду в сеансе PowerShell с повышенными привилегиями:
Get-MpComputerStatus | Format-Table AntivirusSignatureVersion
Проверка версии обновления ядра
Последняя версия обновления ядра сканирования доступна здесь:
Чтобы просмотреть установленную версию обновления ядра, выполните следующую команду в сеансе PowerShell с повышенными привилегиями:
Get-MpComputerStatus | Format-Table AMEngineVersion
Если параметры не вступают в силу, может возникнуть конфликт. Сведения об устранении конфликтов см. в статье Устранение неполадок Microsoft Defender параметров антивирусной программы.
Для отправки ложноотрицательных данных (FN)
Если у вас есть вопросы об обнаружении, которое Microsoft Defender av делает, или вы обнаружите пропущенное обнаружение, вы можете отправить нам файл.
Если у вас есть Microsoft XDR, Microsoft Defender для конечной точки P2/P1 или Microsoft Defender для бизнеса, см. раздел Отправка файлов в Microsoft Defender для конечной точки.
Если у вас Microsoft Defender антивирусная программа, см. раздел Отправка файлов для анализа.
Microsoft Defender AV указывает на обнаружение с помощью стандартных уведомлений Windows. Вы также можете просмотреть обнаружения в приложении Microsoft Defender AV.
Журнал событий Windows также записывает события обнаружения и обработчика. Список идентификаторов событий и соответствующих действий см. в статье о событиях антивирусной программы Microsoft Defender.
Если параметры применяются неправильно, узнайте, есть ли конфликтующие политики, которые включены в вашей среде. Дополнительные сведения см. в статье Устранение неполадок Microsoft Defender параметров антивирусной программы.
Если вам нужно обратиться в службу поддержки Майкрософт, обратитесь в службу поддержки Microsoft Defender для конечной точки.