Delen via


Microsoft Defender Antivirus evalueren met powershell

Van toepassing op:

In Windows 10 of hoger en Windows Server 2016 of hoger kunt u gebruikmaken van de volgende generatie beveiligingsfuncties die worden aangeboden door Microsoft Defender Antivirus (MDAV) en Microsoft Defender Exploit Guard (Microsoft Defender EG).

In dit onderwerp wordt uitgelegd hoe u de belangrijkste beveiligingsfuncties in Microsoft Defender AV en Microsoft Defender EG inschakelt en test, en vindt u richtlijnen en koppelingen naar meer informatie.

U wordt aangeraden dit PowerShell-evaluatiescript te gebruiken om deze functies te configureren, maar u kunt elke functie afzonderlijk inschakelen met de cmdlets die in de rest van dit document worden beschreven.

Zie de volgende productdocumentatiebibliotheken voor meer informatie over onze EPP-producten:

In dit artikel worden configuratieopties beschreven in Windows 10 of hoger en Windows Server 2016 of hoger.

Als u vragen hebt over een detectie die Microsoft Defender AV uitvoert of als u een gemiste detectie ontdekt, kunt u een bestand naar ons verzenden op onze helpsite voor voorbeeldverzending.

PowerShell gebruiken om de functies in te schakelen

Deze handleiding bevat de Microsoft Defender Antivirus-cmdlets waarmee de functies worden geconfigureerd die u moet gebruiken om onze beveiliging te evalueren.

Ga als volgt te werk om deze cmdlets te gebruiken:

1. Open een exemplaar van PowerShell met verhoogde bevoegdheid (kies Uitvoeren als beheerder).

2. Voer de opdracht in die in deze handleiding wordt vermeld en druk op Enter.

U kunt de status van alle instellingen controleren voordat u begint, of tijdens de evaluatie, met behulp van de PowerShell-cmdlet Get-MpPreference.

Microsoft Defender AV geeft een detectie aan via standaard Windows-meldingen. U kunt ook detecties bekijken in de Microsoft Defender AV-app.

In het Windows-gebeurtenislogboek worden ook detectie- en engine-gebeurtenissen vastgelegd. Zie het artikel Microsoft Defender Antivirus-gebeurtenissen voor een lijst met gebeurtenis-id's en de bijbehorende acties.

Cloudbeveiligingsfuncties

Standaarddefinitieupdates kunnen uren duren om voor te bereiden en te leveren; onze cloudbeveiligingsservice kan deze beveiliging binnen enkele seconden bieden.

Meer informatie vindt u in Next-Gen-technologieën gebruiken in Microsoft Defender Antivirus via cloudbeveiliging.

Beschrijving PowerShell-opdracht
Microsoft Defender Cloud inschakelen voor vrijwel directe beveiliging en betere beveiliging Set-MpPreference -MAPSReporting Advanced
Automatisch voorbeelden verzenden om de groepsbeveiliging te verbeteren Set-MpPreference -SubmitSamplesConsent Always
Altijd de cloud gebruiken om nieuwe malware binnen enkele seconden te blokkeren Set-MpPreference -DisableBlockAtFirstSeen 0
Alle gedownloade bestanden en bijlagen scannen Set-MpPreference -DisableIOAVProtection 0
Cloudblokniveau instellen op 'Hoog' Set-MpPreference -CloudBlockLevel High
Hoge time-out voor cloudblokkering instellen op 1 minuut Set-MpPreference -CloudExtendedTimeout 50

Always-on-beveiliging (realtime scannen)

Microsoft Defender AV scant bestanden zodra ze worden gezien door Windows en controleert actieve processen op bekend of verdacht schadelijk gedrag. Als de antivirus-engine schadelijke wijzigingen detecteert, wordt het uitvoeren van het proces of bestand onmiddellijk geblokkeerd.

Zie Gedrags-, heuristische en realtime-beveiliging configureren voor meer informatie over deze opties.

Beschrijving PowerShell-opdracht
Bewaak bestanden en processen voortdurend op bekende malwarewijzigingen Set-MpPreference -DisableRealtimeMonitoring 0
Voortdurend controleren op bekend malwaregedrag , zelfs in 'schone' bestanden en actieve programma's Set-MpPreference -DisableBehaviorMonitoring 0
Scripts scannen zodra ze worden weergegeven of uitgevoerd Set-MpPreference -DisableScriptScanning 0
Verwijderbare stations scannen zodra ze zijn geplaatst of gekoppeld Set-MpPreference -DisableRemovableDriveScanning 0

Mogelijk ongewenste toepassingsbeveiliging

Mogelijk ongewenste toepassingen zijn bestanden en apps die traditioneel niet als schadelijk worden geclassificeerd. Deze omvatten installatieprogramma's van derden voor algemene software, ad-injectie en bepaalde typen werkbalken in uw browser.

Beschrijving PowerShell-opdracht
Voorkomen dat grayware, adware en andere mogelijk ongewenste apps worden geïnstalleerd Set-MpPreference -PUAProtection enabled

Scannen van e-mail en archief

U kunt Microsoft Defender Antivirus zo instellen dat bepaalde typen e-mailbestanden en archiefbestanden (zoals .zip bestanden) automatisch worden gescand wanneer ze door Windows worden gezien. Meer informatie over deze functie vindt u in het artikel E-mailscans beheren in Microsoft Defender .

Beschrijving PowerShell-opdracht
E-mailbestanden en archieven scannen Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0

Product- en beveiligingsupdates beheren

Normaal gesproken ontvangt u eenmaal per dag Microsoft Defender AV-updates van Windows Update. U kunt de frequentie van deze updates echter verhogen door de volgende opties in te stellen en ervoor te zorgen dat uw updates worden beheerd in System Center Configuration Manager, met groepsbeleid of in Intune.

Beschrijving PowerShell-opdracht
Handtekeningen elke dag bijwerken Set-MpPreference -SignatureUpdateInterval
Controleer of u handtekeningen wilt bijwerken voordat u een geplande scan uitvoert Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

Geavanceerde bedreigings- en misbruikbeperking en -preventie Gecontroleerde maptoegang

Microsoft Defender Exploit Guard biedt functies waarmee apparaten worden beschermd tegen bekend schadelijk gedrag en aanvallen op kwetsbare technologieën.

Beschrijving PowerShell-opdracht
Voorkomen dat schadelijke en verdachte apps (zoals ransomware) wijzigingen aanbrengt in beveiligde mappen met gecontroleerde maptoegang Set-MpPreference -EnableControlledFolderAccess enabled
Verbindingen met bekende ongeldige IP-adressen en andere netwerkverbindingen blokkeren met netwerkbeveiliging Set-MpPreference -EnableNetworkProtection Enabled
Een standaardset met risicobeperkingen toepassen met Exploit Protection
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml
Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml
Bekende schadelijke aanvalsvectoren blokkeren met vermindering van kwetsbaarheid voor aanvallen Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9 -9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Enabled

Sommige regels blokkeren mogelijk gedrag dat u acceptabel vindt in uw organisatie. Wijzig in deze gevallen de regel van Ingeschakeld in Controleren om ongewenste blokken te voorkomen.

Microsoft Defender Offline Scan met één klik

Microsoft Defender Offline Scan is een speciaal hulpprogramma dat wordt geleverd met Windows 10 of hoger en waarmee u een computer kunt opstarten in een speciale omgeving buiten het normale besturingssysteem. Het is vooral handig voor krachtige malware, zoals rootkits.

Zie Microsoft Defender Offline voor meer informatie over hoe deze functie werkt.

Beschrijving PowerShell-opdracht
Zorg ervoor dat u met meldingen de pc kunt opstarten in een gespecialiseerde omgeving voor het verwijderen van malware Set-MpPreference -UILockdown 0

Middelen

In deze sectie vindt u veel bronnen die u kunnen helpen bij het evalueren van Microsoft Defender Antivirus.