Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
I Windows 10 eller nyere og Windows Server 2016 eller nyere kan du bruke neste generasjons beskyttelsesfunksjoner som tilbys av Microsoft Defender Antivirus (MDAV) og Microsoft Defender Exploit Guard (Microsoft Defender EG).
Denne artikkelen forklarer hvordan du aktiverer og tester de viktigste beskyttelsesfunksjonene i Microsoft Defender AV og Microsoft Defender EG, og gir deg veiledning og koblinger til mer informasjon.
Denne artikkelen beskriver konfigurasjonsalternativer i Windows 10 eller nyere og Windows Server 2016 eller nyere.
Forutsetninger
Operativsystemer som støttes
- Windows
- Windows 10
- Windows 2016 og nyere
Bruke Microsoft Defender Antivirus ved hjelp av gruppepolicy for å aktivere funksjonene
Denne veiledningen gir Microsoft Defender Antivirus-gruppepolicy som konfigurerer funksjonene du bør bruke til å evaluere beskyttelsen vår.
Få den nyeste versjonen av Windows gruppepolicy Administrative maler.
Hvis du vil ha mer informasjon, kan du se Opprette og administrere Central Store – Windows Client.
Tips
- Windows-en fungerer med Windows-serverne.
- Selv om du kjører en Windows 10 eller Windows Server 2016, kan du få de nyeste administrative malene for Windows 11 eller nyere.
Opprett en Sentral butikk for å være vert for de nyeste ADMX- og ADML-malene.
Hvis du vil ha mer informasjon, kan du se Opprette og administrere Central Store – Windows Client.
Hvis du er koblet til et domene:
Opprett en ny organisasjonsblokkpolicyarv.
Åpne Konsoll for gruppepolicybehandling (GPMC.msc).
Gå til gruppepolicy Objekter, og opprett en ny gruppepolicy.
Høyreklikk på den nye policyen som ble opprettet, og velg Rediger.
Gå tilWindows-komponenter for administrative maler fordatamaskinkonfigurasjonspolicyer>>>>Microsoft Defender Antivirus.
eller
Hvis du er koblet til en arbeidsgruppe
Åpne gruppepolicy Editor MMC (GPEdit.msc).
Gå tilWindows-komponenter>> foradministrative malerfor datamaskinkonfigurasjon>Microsoft Defender Antivirus.
MDAV og potensielt uønskede programmer (PUA)
Rot:
| Beskrivelse | Innstilling |
|---|---|
| Slå av Microsoft Defender Antivirus | Ufør |
| Konfigurer gjenkjenning for potensielt uønskede programmer | Aktivert - blokk |
Sanntidsbeskyttelse (alltid på beskyttelse, sanntidsskanning)
\ Sanntidsbeskyttelse:
| Beskrivelse | Innstilling |
|---|---|
| Deaktiver sanntidsbeskyttelse | Ufør |
| Konfigurer overvåking for innkommende og utgående fil- og programaktivitet | Aktivert, toveis (full tilgang) |
| Aktiver overvåking av virkemåte | Aktivert |
| Overvåk fil- og programaktivitet på datamaskinen | Aktivert |
Skybeskyttelsesfunksjoner
Standard sikkerhetsanalyseoppdateringer kan ta flere timer å forberede og levere. Vår skyleverte beskyttelsestjeneste kan levere denne beskyttelsen på sekunder.
Hvis du vil ha mer informasjon, kan du se Bruke neste generasjons teknologier i Microsoft Defender Antivirus gjennom skybasert beskyttelse.
\ KART:
| Beskrivelse | Innstilling |
|---|---|
| Bli med i Microsoft MAPS | Aktivert, Avanserte KART |
| Konfigurer funksjonen Blokker ved første blikk | Aktivert |
| Send fileksempler når ytterligere analyse er nødvendig | Aktivert, Send alle eksempler |
\ MpEngine:
| Beskrivelse | Innstilling |
|---|---|
| Velg skybeskyttelsesnivå | Aktivert, høyt blokkeringsnivå |
| Konfigurer utvidet skykontroll | Aktivert, 50 |
Skanner
| Beskrivelse | Innstilling |
|---|---|
| Slå på Heuristikk | Aktivert |
| Slå på skanning av e-post | Aktivert |
| Skann alle nedlastede filer og vedlegg | Aktivert |
| Slå på skriptskanning | Aktivert |
| Skanne arkivfiler | Aktivert |
| Skann pakkede kjørbare filer | Aktivert |
| Konfigurere skanning av nettverksfiler (Skann nettverksfiler) | Aktivert |
| Skann flyttbare stasjoner | Aktivert |
| Slå på skanning av reanalyseringspunkt | Aktivert |
Sikkerhetsintelligensoppdateringer
| Beskrivelse | Innstilling |
|---|---|
| Angi intervallet for å se etter sikkerhetsanalyseoppdateringer | Aktivert, 4 |
| Definer rekkefølgen på kilder for nedlasting av sikkerhetsanalyseoppdateringer | Aktivert under Definer rekkefølgen på kilder for nedlasting av sikkerhetsanalyseoppdateringer InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC Notat: Der InternalDefinitionUpdateServer er WSUS med Microsoft Defender antivirusoppdateringer tillatt. MicrosoftUpdateServer == Microsoft Update (tidligere Windows Update). MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
Deaktiver AV-innstillinger for lokal administrator
Deaktiver av-innstillinger for lokal administrator, for eksempel utelatelser, og fremtving policyene fra Microsoft Defender for endepunkt Security Settings Management.
Rot:
| Beskrivelse | Innstilling |
|---|---|
| Konfigurere virkemåten for lokal administratorfletting for lister | Ufør |
| Kontroller om utelatelser er synlige for lokale administratorer eller ikke | Aktivert |
Standardhandling for alvorlighetsgrad for trussel
\ Trusler
| Beskrivelse | Innstilling | Varslingsnivå | Handling |
|---|---|---|---|
| Angi trusselvarslingsnivåer der standardhandling ikke skal utføres når det oppdages | Aktivert | ||
| 5 (Alvorlig) | 2 (Karantene) | ||
| 4 (høy) | 2 (Karantene) | ||
| 2 (middels) | 2 (Karantene) | ||
| 1 (lav) | 2 (Karantene) |
\ Karantene
| Beskrivelse | Innstilling |
|---|---|
| Konfigurer fjerning av elementer fra karantenemappen | Aktivert, 60 |
\ Klientgrensesnitt
| Beskrivelse | Innstilling |
|---|---|
| Aktiver hodeløs brukergrensesnittmodus | Ufør |
Nettverksbeskyttelse
\ Microsoft Defender Exploit Guard\Network Protection:
| Beskrivelse | Innstilling |
|---|---|
| Hindre brukere og apper i å få tilgang til farlige nettsteder | Aktivert, blokk |
| Disse innstillingene styrer om Nettverksbeskyttelse kan konfigureres i blokk- eller overvåkingsmodus på Windows Server | Aktivert |
Hvis du vil aktivere Nettverksbeskyttelse for Windows-servere, kan du for øyeblikket bruke PowerShell:
| Operativsystem | PowerShell-cmdlet |
|---|---|
| Windows Server 2012 R2 og nyere | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Windows Server 2016 og Windows Server 2012 R2 forenet MDE klient | set-MpPreference -AllowNetworkProtectionOnWinServer $true set-MpPreference -AllowNetworkProtectionDownLevel $ true |
Regler for reduksjon av angrepsoverflaten
Gå tilWindows-komponenter>> for administrativemalerfor datamaskinkonfigurasjon>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
Velg Neste.
| Beskrivelse | Innstilling |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eeeee46550 Obs! (Blokker kjørbart innhold fra e-postklient og nettpost) |
1 (Blokk) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Obs! (Blokker Adobe Reader fra å opprette underordnede prosesser) |
1 (Blokk) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc Obs! (Blokkkjøring av potensielt obfuscated skript) |
1 (Blokk) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 Obs! (Blokker misbruk av utnyttede sårbare signerte drivere) |
1 (Blokk) |
| 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b Obs! (Blokker Win32-API-kall fra Office-makroer) |
1 (Blokk) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 Obs! (Blokker kjørbare filer fra å kjøre med mindre de oppfyller vilkåret for utbredelse, alder eller klarert liste) |
1 (Blokk) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 Obs! (Blokker office-kommunikasjonsprogram fra å opprette underordnede prosesser) |
1 (Blokk) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a Obs! (Blokker alle Office-programmer fra å opprette underordnede prosesser) |
1 (Blokk) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Obs! ([FORHÅNDSVISNING] Blokker bruk av kopierte eller representerte systemverktøy) |
1 (Blokk) |
| d3e037e1-3eb8-44c8-a917-57927947596d Obs! (Blokker JavaScript eller VBScript fra å starte nedlastet kjørbart innhold) |
1 (Blokk) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Obs! (Blokker legitimasjonsstjele fra delsystemet for lokale sikkerhetsmyndigheter i Windows) |
1 (Blokk) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 Obs! (Blokker oppretting av webskallet for servere) |
1 (Blokk) |
| 3b576869-a4ec-4529-8536-b80a7769e899 Obs! (Blokker Office-programmer fra å opprette kjørbart innhold) |
1 (Blokk) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Obs! (Blokker ikke-klarerte og usignerte prosesser som kjører fra USB) |
1 (Blokk) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Obs! (Blokkere Office-programmer fra å sette inn kode i andre prosesser) |
1 (Blokk) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b Obs! (Blokker utholdenhet gjennom WMI-hendelsesabonnement) |
1 (Blokk) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 Obs! (Bruk avansert beskyttelse mot løsepengevirus) |
1 (Blokk) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c Obs! (Blokker prosessopprettinger med opprinnelse fra PSExec- og WMI-kommandoer) |
1 (Blokk) Notat: Hvis du har Configuration Manager (tidligere SCCM) eller andre administrasjonsverktøy som bruker WMI, må du kanskje sette dette til 2 («revisjon») i stedet for 1 («blokk». |
| 33ddedf1-c6e0-47cb-833e-de6133960387 Obs! ([FORHÅNDSVISNING] Blokker maskinen for omstart i sikkermodus) |
1 (Blokk) |
Tips
Noen regler kan blokkere virkemåten du finner akseptabel i organisasjonen. I slike tilfeller kan du endre regelen fra Aktivert til Overvåking for å hindre uønskede blokker.
Kontrollert mappetilgang
Gå tilWindows-komponenter>> for administrativemalerfor datamaskinkonfigurasjon>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
| Beskrivelse | Innstilling |
|---|---|
| Konfigurer kontrollert mappetilgang | Aktivert, blokk |
Tilordne policyene til OU der testmaskinene er plassert.
Aktiver manipuleringsbeskyttelse
Gå til Innstillinger-endepunkter>>Avanserte funksjoner>Tamper Protection> On i Microsoft Defender-portalenpåhttps://security.microsoft.com .
Hvis du vil ha mer informasjon, kan du se Hvordan konfigurere eller administrere manipuleringsbeskyttelse?.
Kontroller nettverkstilkoblingen til Cloud Protection
Det er viktig å kontrollere at nettverkstilkoblingen til Cloud Protection fungerer under pennetestingen.
CMD (Kjør som administrator)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Hvis du vil ha mer informasjon, kan du se Bruke cmdline-verktøyet til å validere skybasert beskyttelse.
Kontroller versjonen for plattformoppdatering
Den nyeste produksjonskanalen for plattformoppdatering (GA) er tilgjengelig her:
Hvis du vil kontrollere hvilken versjon av Plattformoppdatering som er installert, bruker du følgende PowerShell-kommando (Kjør som administrator):
get-mpComputerStatus | ft AMProductVersion
Kontroller versjonen av Sikkerhetsintelligensoppdatering
Den nyeste versjonen av "Security Intelligence Update" er tilgjengelig her:
Hvis du vil kontrollere hvilken versjon av Security Intelligence Update som er installert, bruker du følgende PowerShell-kommando (Kjør som administrator):
get-mpComputerStatus | ft AntivirusSignatureVersion
Kontroller motoroppdateringsversjonen
Den nyeste versjonen av «motoroppdatering» for skanning er tilgjengelig her:
Hvis du vil kontrollere hvilken versjon av Motoroppdatering som er installert, bruker du følgende PowerShell-kommando (Kjør som administrator):
get-mpComputerStatus | ft AMEngineVersion
Hvis du finner ut at innstillingene ikke trer i kraft, kan det hende du har en konflikt. Hvis du vil løse konflikter, kan du se: Feilsøke Microsoft Defender antivirusinnstillinger.
For usann negativer (FN)-innsendinger
Hvis du har spørsmål om en oppdagelse som Microsoft Defender AV gjør, eller du oppdager en tapt oppdagelse, kan du sende inn en fil til oss.
Hvis du har Microsoft XDR, Microsoft Defender for endepunkt P2/P1 eller Microsoft Defender for bedrifter: se Send filer i Microsoft Defender for endepunkt.
Hvis du har Microsoft Defender Antivirus, kan du se:https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
Microsoft Defender AV indikerer en gjenkjenning gjennom standard Windows-varsler. Du kan også se gjennom gjenkjenninger i Microsoft Defender AV-appen.
Windows-hendelsesloggen registrerer også gjenkjenning og motorhendelser. Se artikkelen om Microsoft Defender antivirushendelser for en liste over hendelses-ID-er og tilhørende handlinger.
Hvis innstillingene ikke brukes riktig, kan du finne ut om det finnes motstridende policyer som er aktivert i miljøet ditt. Hvis du vil ha mer informasjon, kan du se Feilsøke Microsoft Defender antivirusinnstillinger.
Hvis du trenger å åpne en microsoft kundestøttesak: Kontakt Microsoft Defender for endepunkt kundestøtte.