Delen via


Uw beveiligingsbeleid van de volgende generatie controleren of bewerken in Microsoft Defender voor Bedrijven

In Defender voor Bedrijven omvat beveiliging van de volgende generatie robuuste antivirus- en antimalwarebeveiliging voor computers en mobiele apparaten. Standaardbeleid met aanbevolen instellingen is opgenomen in Defender voor Bedrijven. Het standaardbeleid is ontworpen om uw apparaten en gebruikers te beschermen zonder de productiviteit te belemmeren. U kunt uw beleid echter aanpassen aan de behoeften van uw bedrijf.

U kunt kiezen uit verschillende opties voor het beheren van uw beveiligingsbeleid van de volgende generatie:

  1. Ga naar de Microsoft Defender-portal (https://security.microsoft.com) en meld u aan.

  2. Ga in het navigatiedeelvenster naar Eindpunten>Configuratiebeheer>Apparaatconfiguratie. Beleidsregels zijn ingedeeld op besturingssysteem en beleidstype.

  3. Selecteer een besturingssysteemtabblad (zoals Windows).

  4. Bekijk onder Beveiliging van de volgende generatie uw lijst met beleidsregels. Er wordt minimaal een standaardbeleid met aanbevolen instellingen weergegeven. Dit standaardbeleid wordt toegewezen aan alle onboarded apparaten met het besturingssysteem dat u in de vorige stap hebt geselecteerd (zoals Windows). U kunt:

    • Uw standaardbeleid behouden zoals momenteel is geconfigureerd.
    • Bewerk uw standaardbeleid om de benodigde aanpassingen aan te brengen.
    • Een nieuw beleid maken.
  5. Gebruik een van de procedures in de volgende tabel:

    Taak Procedure
    Uw standaardbeleid bewerken 1. Selecteer in de sectie Beveiliging van de volgende generatie uw standaardbeleid en kies vervolgens Bewerken.

    2. Bekijk de informatie in de stap Algemene informatie . Bewerk zo nodig de beschrijving en selecteer volgende.

    3. Gebruik in de stap Apparaatgroepen een bestaande groep of stel een nieuwe groep in. Kies dan Volgende.

    4. Controleer in de stap Configuratie-instellingen uw beveiligingsinstellingen en bewerk indien nodig uw beveiligingsinstellingen en kies vervolgens Volgende. Zie Beveiligingsinstellingen en -opties van de volgende generatie (in dit artikel) voor meer informatie over de instellingen.

    5. Controleer uw huidige instellingen in de stap Uw beleid controleren. Selecteer Bewerken om de benodigde wijzigingen aan te brengen. Selecteer vervolgens Beleid bijwerken.
    Een nieuw beleid maken 1. Selecteer toevoegen in de sectie Beveiliging van de volgende generatie.

    2. Geef in de stap Algemene informatie een naam en beschrijving op voor uw beleid. U kunt ook een beleidsvolgorde behouden of wijzigen (zie Informatie over beleidsvolgorde in Microsoft Defender voor Bedrijven). Selecteer Volgende.

    3. In de stap Apparaatgroepen kunt u een bestaande groep gebruiken of een nieuwe groep maken (zie Apparaatgroepen in Microsoft Defender voor Bedrijven). Kies dan Volgende.

    4. Controleer en bewerk uw beveiligingsinstellingen in de stap Configuratie-instellingen en kies vervolgens Volgende. Zie Beveiligingsinstellingen en -opties van de volgende generatie (in dit artikel) voor meer informatie over de instellingen.

    5. Controleer uw huidige instellingen in de stap Uw beleid controleren. Selecteer Bewerken om de benodigde wijzigingen aan te brengen. Selecteer vervolgens Beleid maken.

Beveiligingsinstellingen en -opties van de volgende generatie

De volgende tabel bevat instellingen en opties voor beveiliging van de volgende generatie in Defender voor Bedrijven.

Instelling Beschrijving
Realtime-beveiliging
Realtime-beveiliging inschakelen Realtime-beveiliging is standaard ingeschakeld en voorkomt dat malware op apparaten wordt uitgevoerd. We raden u aan realtime-beveiliging ingeschakeld te houden. Wanneer realtime-beveiliging is ingeschakeld, worden de volgende instellingen geconfigureerd:
- Gedragscontrole is ingeschakeld (AllowBehaviorMonitoring).
- Alle gedownloade bestanden en bijlagen worden gescand (AllowIOAVProtection).
- Scripts die worden gebruikt in Microsoft-browsers worden gescand (AllowScriptScanning).
Blokkeren bij eerste aanblik Blokkeren bij eerste detectie is standaard ingeschakeld en blokkeert malware binnen enkele seconden na detectie, verhoogt de tijd (in seconden) die is toegestaan om voorbeeldbestanden in te dienen voor analyse en stelt uw detectieniveau in op Hoog. We raden u aan blok bij eerste detectie ingeschakeld te houden.

Wanneer blokkeren bij eerste detectie is ingeschakeld, worden de volgende instellingen voor Microsoft Defender Antivirus geconfigureerd:
- Het blokkeren en scannen van verdachte bestanden is ingesteld op hoog blokkeringsniveau (CloudBlockLevel).
- Het aantal seconden dat een bestand moet worden geblokkeerd en gecontroleerd, is ingesteld op 50 seconden (CloudExtendedTimeout).
Belangrijk Als blokkeren bij eerste detectie is uitgeschakeld, is dit van invloed op CloudBlockLevel en CloudExtendedTimeout voor Microsoft Defender Antivirus.
Netwerkbeveiliging inschakelen Netwerkbeveiliging is standaard ingeschakeld in de modus Blokkeren en beschermt tegen phishing-oplichting, exploit-hostingsites en schadelijke inhoud op internet. Het voorkomt ook dat gebruikers netwerkbeveiliging uitschakelen.

Netwerkbeveiliging kan worden ingesteld op de volgende modi:
- De blokmodus is de standaardinstelling. Hiermee voorkomt u dat gebruikers sites bezoeken die als onveilig worden beschouwd. We raden u aan netwerkbeveiliging ingesteld te houden op de modus Blokkeren.
- Met de controlemodus kunnen gebruikers sites bezoeken die mogelijk onveilig zijn en kunnen ze netwerkactiviteiten van/naar dergelijke sites volgen.
- De uitgeschakelde modus blokkeert noch dat gebruikers sites bezoeken die mogelijk onveilig zijn, en houdt netwerkactiviteiten bij van/naar dergelijke sites.
Herstellen
Actie voor mogelijk ongewenste apps (PUA) Pua-beveiliging blokkeert standaard items die zijn gedetecteerd als PUA. PUA kan reclamesoftware bevatten; bundelingssoftware die aanbiedt om andere, niet-ondertekende software te installeren; en ontwijkingssoftware die probeert beveiligingsfuncties te omzeilen. Hoewel PUA niet noodzakelijkerwijs een virus, malware of een ander type bedreiging is, kan het de prestaties van het apparaat beïnvloeden. U kunt PUA-beveiliging instellen op de volgende modi:
- Ingeschakeld is de standaardinstelling. Hiermee worden items geblokkeerd die zijn gedetecteerd als PUA op apparaten. We raden u aan PUA-beveiliging ingeschakeld te houden.
- De controlemodus voert geen actie uit op items die zijn gedetecteerd als PUA.
- Uitgeschakeld detecteert of onderneemt geen actie op items die mogelijk pua zijn.
Scannen
Gepland scantype In de Quickscan-modus standaard ingeschakeld, kunt u een dag en tijd opgeven om wekelijkse antivirusscans uit te voeren. De volgende opties voor scantypen zijn beschikbaar:
- Quickscan controleert locaties, zoals registersleutels en opstartmappen, waar malware kan worden geregistreerd om samen met een apparaat te starten. We raden u aan de quickscan-optie te gebruiken.
- Fullscan controleert alle bestanden en mappen op een apparaat.
- Uitgeschakeld betekent dat er geen geplande scans worden uitgevoerd. Gebruikers kunnen nog steeds scans uitvoeren op hun eigen apparaten. (Over het algemeen raden we u af om geplande scans uit te schakelen.)
Meer informatie over scantypen.
Dag van de week om een geplande scan uit te voeren Selecteer een dag waarop uw normale, wekelijkse antivirusscans moeten worden uitgevoerd.
Tijdstip waarop een geplande scan moet worden uitgevoerd Selecteer een tijdstip waarop u regelmatig geplande antivirusscans wilt uitvoeren.
Lage prestaties gebruiken Deze instelling is standaard uitgeschakeld. We raden u aan deze instelling uitgeschakeld te houden. U kunt deze instelling echter inschakelen om het geheugen en de resources van het apparaat te beperken die tijdens geplande scans worden gebruikt. Belangrijk Als u Lage prestaties gebruiken inschakelt, worden de volgende instellingen voor Microsoft Defender Antivirus geconfigureerd:
- Archiefbestanden worden niet gescand (AllowArchiveScanning).
- Scans krijgen een lage CPU-prioriteit (EnableLowCPUPriority).
- Als een volledige antivirusscan wordt gemist, wordt er geen inhaalscan uitgevoerd (DisableCatchupFullScan).
- Als een snelle antivirusscan wordt gemist, wordt er geen inhaalscan uitgevoerd (DisableCatchupQuickScan).
- Vermindert de gemiddelde CPU-belastingsfactor tijdens een antivirusscan van 50 procent naar 20 procent (AvgCPULoadFactor).
Gebruikerservaring
Gebruikers toegang geven tot de Windows-beveiligingsapp Schakel deze instelling in om gebruikers in staat te stellen de App Windows-beveiliging op hun apparaten te openen. Gebruikers kunnen instellingen die u in Defender voor Bedrijven configureert niet overschrijven, maar ze kunnen wel een snelle scan uitvoeren of gedetecteerde bedreigingen bekijken.
Antivirusuitsluitingen Uitsluitingen zijn processen, bestanden of mappen die worden overgeslagen door Microsoft Defender Antivirus-scans. Over het algemeen hoeft u geen uitsluitingen te definiëren. Microsoft Defender Antivirus bevat veel automatische uitsluitingen die zijn gebaseerd op bekend gedrag van het besturingssysteem en typische beheerbestanden. Elke uitsluiting vermindert uw beveiligingsniveau, dus het is belangrijk om zorgvuldig te overwegen welke uitsluitingen moeten worden gedefinieerd. Zie Uitsluitingen beheren voor Microsoft Defender for Endpoint en Microsoft Defender Antivirus voordat u uitsluitingen toevoegt.
Procesuitsluitingen Uitsluitingen van processen voorkomen dat bestanden die worden geopend door specifieke processen worden gescand door Microsoft Defender Antivirus. Wanneer u een proces toevoegt aan de lijst met procesuitsluitingen, scant Microsoft Defender Antivirus geen bestanden die door dat proces worden geopend, ongeacht waar de bestanden zich bevinden. Het proces zelf wordt gescand, tenzij het wordt toegevoegd aan de lijst met bestandsuitsluitingen. Zie Uitsluitingen configureren voor bestanden die zijn geopend door processen.
Uitsluitingen van bestandsextensies Uitsluitingen van bestandsextensies voorkomen dat bestanden met specifieke extensies worden gescand door Microsoft Defender Antivirus. Zie Uitsluitingen configureren en valideren op basis van de bestandsextensie en maplocatie.
Uitsluitingen van bestanden en mappen Bestands- en mapuitsluitingen voorkomen dat bestanden die zich in specifieke mappen bevinden, worden gescand door Microsoft Defender Antivirus. Zie Uitsluitingen van contextuele bestanden en mappen.

Andere vooraf geconfigureerde instellingen in Defender voor Bedrijven

De volgende beveiligingsinstellingen zijn vooraf geconfigureerd in Defender voor Bedrijven:

Hoe standaardinstellingen in Defender voor Bedrijven overeenkomen met instellingen in Microsoft Intune

In de volgende tabel worden instellingen beschreven die vooraf zijn geconfigureerd voor Defender voor Bedrijven en hoe deze instellingen overeenkomen met wat u mogelijk in Intune ziet. Als u het vereenvoudigde configuratieproces in Defender voor Bedrijven gebruikt, hoeft u deze instellingen niet te bewerken.

Instelling Beschrijving
Cloudbeveiliging Cloudbeveiliging wordt soms cloudbeveiliging of Microsoft Advanced Protection Service (MAPS) genoemd, en werkt met Microsoft Defender Antivirus en de Microsoft-cloud om nieuwe bedreigingen te identificeren, soms zelfs voordat één apparaat wordt beïnvloed. AllowCloudProtection is standaard ingeschakeld. Meer informatie over cloudbeveiliging.
Bewaking voor binnenkomende en uitgaande bestanden Als u binnenkomende en uitgaande bestanden wilt bewaken, is RealTimeScanDirection ingesteld op het bewaken van alle bestanden.
Netwerkbestanden scannen AllowScanningNetworkFiles is standaard niet ingeschakeld en netwerkbestanden worden niet gescand.
E-mailberichten scannen AllowEmailScanning is standaard niet ingeschakeld en e-mailberichten worden niet gescand.
Aantal dagen (0-90) om malware in quarantaine te houden De instelling DaysToRetainCleanedMalware is standaard ingesteld op nul (0) dagen. Artefacten die zich in quarantaine bevinden, worden niet automatisch verwijderd.
Toestemming voor voorbeelden verzenden SubmitSamplesConsent is standaard ingesteld op het automatisch verzenden van veilige voorbeelden. Voorbeelden van veilige voorbeelden zijn .bat, .scr, .dllen .exe bestanden die geen persoonlijk identificeerbare informatie (PII) bevatten. Als een bestand wel PII bevat, ontvangt de gebruiker een aanvraag om het indienen van het voorbeeld door te laten gaan. Meer informatie over cloudbeveiliging en het indienen van voorbeelden.
Verwisselbare stations scannen AllowFullScanRemovableDriveScanning is standaard geconfigureerd voor het scannen van verwisselbare stations, zoals USB-sticks op apparaten. Meer informatie over instellingen voor antimalwarebeleid.
Dagelijkse snelle scantijd uitvoeren ScheduleQuickScanTime is standaard ingesteld op 2:00 uur. Meer informatie over scaninstellingen.
Controleren op handtekeningupdates voordat u een scan uitvoert CheckForSignaturesBeforeRunningScan is standaard geconfigureerd om te controleren op updates van beveiligingsinformatie voordat antivirus-/antimalwarescans worden uitgevoerd. Meer informatie over scaninstellingen en updates van beveiligingsinformatie.
Hoe vaak (0-24 uur) om te controleren op updates voor beveiligingsinformatie SignatureUpdateInterval is standaard geconfigureerd om elke vier uur te controleren op updates van beveiligingsinformatie. Meer informatie over scaninstellingen en updates van beveiligingsinformatie.

Volgende stappen