Del via


Evaluer Microsoft Defender Antivirus ved hjelp av Powershell

Gjelder for:

I Windows 10 eller nyere og Windows Server 2016 eller nyere kan du bruke neste generasjons beskyttelsesfunksjoner som tilbys av Microsoft Defender Antivirus(MDAV) og Microsoft Defender Exploit Guard (Microsoft Defender EG).

Dette emnet forklarer hvordan du aktiverer og tester de viktigste beskyttelsesfunksjonene i Microsoft Defender AV og Microsoft Defender EG, og gir deg veiledning og koblinger til mer informasjon.

Vi anbefaler at du bruker dette Evaluerings-PowerShell-skriptet til å konfigurere disse funksjonene, men du kan enkeltvis aktivere hver funksjon med cmdletene som er beskrevet i resten av dette dokumentet.

Se følgende biblioteker for produktdokumentasjon for mer informasjon om EPP-produktene våre:

Denne artikkelen beskriver konfigurasjonsalternativer i Windows 10 eller nyere og Windows Server 2016 eller nyere.

Hvis du har spørsmål om en oppdagelse som Microsoft Defender AV gjør, eller du oppdager en tapt oppdagelse, kan du sende inn en fil til oss på vårt hjelpenettsted for eksempelinnsending.

Bruk PowerShell til å aktivere funksjonene

Denne veiledningen gir Microsoft Defender Antivirus-cmdleter som konfigurerer funksjonene du bør bruke til å evaluere beskyttelsen vår.

Slik bruker du disse cmdletene:

1. Åpne en opphøyd forekomst av PowerShell (velg Kjør som administrator).

2. Skriv inn kommandoen som er oppført i denne veiledningen, og trykk ENTER.

Du kan kontrollere statusen for alle innstillingene før du begynner, eller under evalueringen, ved hjelp av Get-MpPreference PowerShell-cmdleten.

Microsoft Defender AV indikerer en gjenkjenning gjennom standard Windows-varsler. Du kan også se gjennom gjenkjenninger i Microsoft Defender AV-appen.

Windows-hendelsesloggen registrerer også gjenkjenning og motorhendelser. Se artikkelen om Microsoft Defender antivirushendelser for en liste over hendelses-ID-er og tilhørende handlinger.

Skybeskyttelsesfunksjoner

Standard definisjonsoppdateringer kan ta flere timer å klargjøre og levere. vår skyleverte beskyttelsestjeneste kan levere denne beskyttelsen på sekunder.

Flere detaljer er tilgjengelige i Bruk neste generasjons teknologier i Microsoft Defender Antivirus gjennom skylevert beskyttelse.

Beskrivelse PowerShell-kommando
Aktiver Microsoft Defender Cloud for umiddelbar beskyttelse og økt beskyttelse Set-MpPreference -MAPSReporting Advanced
Send inn eksempler automatisk for å øke gruppebeskyttelsen Set-MpPreference –SubmitSamplesConsent always
Bruk alltid skyen til å blokkere ny skadelig programvare i løpet av sekunder Set-MpPreference -DisableBlockAtFirstSeen 0
Skann alle nedlastede filer og vedlegg Set-MpPreference -DisableIOAVProtection 0
Sett skyblokknivået til «Høy» Set-MpPreference -CloudBlockLevel High
Tidsavbrudd for høysett skyblokk til 1 minutt Set-MpPreference –CloudExtendedTimeout 50

Alltid på-beskyttelse (sanntidsskanning)

Microsoft Defender AV skanner filer så snart de er sett av Windows, og vil overvåke kjørende prosesser for kjente eller mistenkte ondsinnede handlinger. Hvis antivirusmotoren oppdager skadelige endringer, vil den umiddelbart blokkere prosessen eller filen fra å kjøre.

Se Konfigurere virkemåte, heuristikk og sanntidsbeskyttelse for mer informasjon om disse alternativene.

Beskrivelse PowerShell-kommando
Overvåk stadig filer og prosesser for kjente endringer i skadelig programvare Set-MpPreference -DisableRealtimeMonitoring 0
Overvåk kontinuerlig etter kjente virkemåter for skadelig programvare – selv i «rene» filer og programmer som kjører Set-MpPreference -DisableBehaviorMonitoring 0
Skanne skript så snart de vises eller kjøres Set-MpPreference –DisableScriptScanning 0
Skann flyttbare stasjoner så snart de er satt inn eller montert Set-MpPreference –DisableRemovableDriveScanning 0

Potensielt uønsket programbeskyttelse

Potensielt uønskede programmer er filer og apper som tradisjonelt ikke er klassifisert som skadelige. Disse inkluderer tredjeparts installasjonsprogrammer for vanlig programvare, annonseinjeksjon og visse typer verktøylinjer i nettleseren.

Beskrivelse PowerShell-kommando
Hindre at grayware, adware og andre potensielt uønskede apper installeres Set-MpPreference -PUAProtection aktivert

Skanne e-post og arkivere

Du kan angi Microsoft Defender Antivirus til automatisk å skanne visse typer e-postfiler og arkivfiler (for eksempel .zip filer) når de vises av Windows. Du finner mer informasjon om denne funksjonen under Behandle e-postskanninger i Microsoft Defender artikkelen.

Beskrivelse PowerShell-kommando
Skanne e-postfiler og arkiver Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0

Administrer produkt- og beskyttelsesoppdateringer

Vanligvis mottar du Microsoft Defender AV-oppdateringer fra Windows Update én gang per dag. Du kan imidlertid øke hyppigheten for disse oppdateringene ved å angi følgende alternativer og sørge for at oppdateringene administreres enten i System Center Configuration Manager, med gruppepolicy eller i Intune.

Beskrivelse PowerShell-kommando
Oppdatere signaturer hver dag Set-MpPreference -SignatureUpdateInterval
Kontroller for å oppdatere signaturer før du kjører en planlagt skanning Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

Avansert trussel og utnyttelse av begrensninger og forebygging av kontrollert mappetilgang

Microsoft Defender Exploit Guard tilbyr funksjoner som bidrar til å beskytte enheter mot kjente ondsinnede handlinger og angrep på sårbare teknologier.

Beskrivelse PowerShell-kommando
Hindre skadelige og mistenkelige apper (for eksempel løsepengevirus) fra å gjøre endringer i beskyttede mapper med kontrollert mappetilgang Set-MpPreference -EnableControlledFolderAccess aktivert
Blokkere tilkoblinger til kjente ugyldige IP-adresser og andre nettverkstilkoblinger med nettverksbeskyttelse Set-MpPreference -EnableNetworkProtection aktivert
Bruke et standard sett med begrensninger med Exploit Protection
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml
Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml
Blokker kjente ondsinnede angrepsvektorer med reduksjon av angrepsoverflaten Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Aktivert
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions aktivert
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A9 17- 57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Aktivert
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions aktivert
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Aktivert
Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions aktivert
Legg til MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions aktivert

Noen regler kan blokkere virkemåten du finner akseptabel i organisasjonen. I slike tilfeller kan du endre regelen fra Aktivert til Overvåking for å forhindre uønskede blokker.

Søk med ett klikk Microsoft Defender frakoblet

Microsoft Defender Frakoblet skanning er et spesialisert verktøy som følger med Windows 10 eller nyere, og lar deg starte en maskin i et dedikert miljø utenfor det normale operativsystemet. Det er spesielt nyttig for potent skadelig programvare, for eksempel rootkits.

Se Microsoft Defender frakoblet hvis du vil ha mer informasjon om hvordan denne funksjonen fungerer.

Beskrivelse PowerShell-kommando
Sørg for at varsler lar deg starte PC-en i et spesialisert miljø for fjerning av skadelig programvare Set-MpPreference -UILockdown 0

Ressurser

Denne delen viser mange ressurser som kan hjelpe deg med å evaluere Microsoft Defender Antivirus.