Evalueer Microsoft Defender Antivirus met behulp van PowerShell
Van toepassing op:
- Microsoft Defender Antivirus
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
In Windows 10 of nieuwer en Windows Server 2016 of nieuwer kunt u gebruikmaken van de volgende generatie beveiligingsfuncties van Microsoft Defender Antivirus (MDAV) en Microsoft Defender Exploit Guard (Microsoft Defender EG).
In dit onderwerp wordt uitgelegd hoe u de belangrijkste beveiligingsfuncties in Microsoft Defender AV en Microsoft Defender EG kunt inschakelen en testen, en vindt u richtlijnen en koppelingen naar meer informatie.
U wordt aangeraden dit PowerShell-evaluatiescript te gebruiken om deze functies te configureren, maar u kunt elke functie afzonderlijk inschakelen met de cmdlets die in de rest van dit document worden beschreven.
Zie de volgende productdocumentatiebibliotheken voor meer informatie over onze EPP-producten:
In dit artikel worden configuratieopties beschreven in Windows 10 of nieuwer en Windows Server 2016 of nieuwer.
Als u vragen hebt over een detectie die Microsoft Defender AV maakt, of als u een gemiste detectie ontdekt, kunt u een bestand naar ons verzenden op onze helpsite voor voorbeeldinzending.
PowerShell gebruiken om de functies in te schakelen
Deze handleiding bevat de Microsoft Defender Antivirus-cmdlets waarmee de functies worden geconfigureerd die u moet gebruiken om onze beveiliging te evalueren.
Ga als volgt te werk om deze cmdlets te gebruiken:
1. Open een exemplaar van PowerShell met verhoogde bevoegdheid (kies Uitvoeren als beheerder).
2. Voer de opdracht in die in deze handleiding wordt vermeld en druk op Enter.
U kunt de status van alle instellingen controleren voordat u begint, of tijdens de evaluatie, met behulp van de PowerShell-cmdlet Get-MpPreference.
Microsoft Defender AV geeft een detectie aan via standaard Windows-meldingen. U kunt ook detecties bekijken in de Microsoft Defender AV-app.
In het Windows-gebeurtenislogboek worden ook detectie- en engine-gebeurtenissen vastgelegd. Zie het artikel Microsoft Defender Antivirusgebeurtenissen voor een lijst met gebeurtenis-id's en de bijbehorende acties.
Cloudbeveiligingsfuncties
Standaarddefinitieupdates kunnen uren duren om voor te bereiden en te leveren; onze cloudbeveiligingsservice kan deze beveiliging binnen enkele seconden bieden.
Meer informatie vindt u in Next-Gen-technologieën gebruiken in Microsoft Defender Antivirus via cloudbeveiliging.
| Beschrijving | PowerShell-opdracht |
|---|---|
| De Microsoft Defender Cloud inschakelen voor vrijwel directe beveiliging en betere beveiliging | Set-MpPreference -MAPSReporting Advanced |
| Automatisch voorbeelden verzenden om de groepsbeveiliging te verbeteren | Set-MpPreference -SubmitSamplesConsent Always |
| Altijd de cloud gebruiken om nieuwe malware binnen enkele seconden te blokkeren | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Alle gedownloade bestanden en bijlagen scannen | Set-MpPreference -DisableIOAVProtection 0 |
| Cloudblokniveau instellen op 'Hoog' | Set-MpPreference -CloudBlockLevel High |
| Hoge time-out voor cloudblokkering instellen op 1 minuut | Set-MpPreference -CloudExtendedTimeout 50 |
Always-on-beveiliging (realtime scannen)
Microsoft Defender AV scant bestanden zodra ze door Windows worden gezien en controleert actieve processen op bekend of verdacht schadelijk gedrag. Als de antivirus-engine schadelijke wijzigingen detecteert, wordt het uitvoeren van het proces of bestand onmiddellijk geblokkeerd.
Zie Gedrags-, heuristische en realtime-beveiliging configureren voor meer informatie over deze opties.
| Beschrijving | PowerShell-opdracht |
|---|---|
| Bewaak bestanden en processen voortdurend op bekende malwarewijzigingen | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Voortdurend controleren op bekend malwaregedrag , zelfs in 'schone' bestanden en actieve programma's | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Scripts scannen zodra ze worden weergegeven of uitgevoerd | Set-MpPreference -DisableScriptScanning 0 |
| Verwijderbare stations scannen zodra ze zijn geplaatst of gekoppeld | Set-MpPreference -DisableRemovableDriveScanning 0 |
Mogelijk ongewenste toepassingsbeveiliging
Mogelijk ongewenste toepassingen zijn bestanden en apps die traditioneel niet als schadelijk worden geclassificeerd. Deze omvatten installatieprogramma's van derden voor algemene software, ad-injectie en bepaalde typen werkbalken in uw browser.
| Beschrijving | PowerShell-opdracht |
|---|---|
| Voorkomen dat grayware, adware en andere mogelijk ongewenste apps worden geïnstalleerd | Set-MpPreference -PUAProtection enabled |
scannen op Email en archiveren
U kunt Microsoft Defender Antivirus zo instellen dat bepaalde typen e-mailbestanden en archiefbestanden (zoals .zip bestanden) automatisch worden gescand wanneer ze door Windows worden gezien. Meer informatie over deze functie vindt u in het artikel E-mailscans beheren in Microsoft Defender artikel.
| Beschrijving | PowerShell-opdracht |
|---|---|
| E-mailbestanden en archieven scannen | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Product- en beveiligingsupdates beheren
Normaal gesproken ontvangt u eenmaal per dag Microsoft Defender AV-updates van Windows Update. U kunt de frequentie van deze updates echter verhogen door de volgende opties in te stellen en ervoor te zorgen dat uw updates worden beheerd in System Center Configuration Manager, met groepsbeleid of in Intune.
| Beschrijving | PowerShell-opdracht |
|---|---|
| Handtekeningen elke dag bijwerken | Set-MpPreference -SignatureUpdateInterval |
| Controleer of u handtekeningen wilt bijwerken voordat u een geplande scan uitvoert | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Geavanceerde bedreigings- en misbruikbeperking en -preventie Gecontroleerde maptoegang
Microsoft Defender Exploit Guard biedt functies waarmee apparaten worden beschermd tegen bekend schadelijk gedrag en aanvallen op kwetsbare technologieën.
| Beschrijving | PowerShell-opdracht |
|---|---|
| Voorkomen dat schadelijke en verdachte apps (zoals ransomware) wijzigingen aanbrengt in beveiligde mappen met gecontroleerde maptoegang | Set-MpPreference -EnableControlledFolderAccess enabled |
| Verbindingen met bekende ongeldige IP-adressen en andere netwerkverbindingen blokkeren met netwerkbeveiliging | Set-MpPreference -EnableNetworkProtection Enabled |
| Een standaardset met risicobeperkingen toepassen met Exploit Protection | https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Bekende schadelijke aanvalsvectoren blokkeren met vermindering van kwetsbaarheid voor aanvallen | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9 -9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Enabled |
Sommige regels blokkeren mogelijk gedrag dat u acceptabel vindt in uw organisatie. Wijzig in deze gevallen de regel van Ingeschakeld in Controleren om ongewenste blokken te voorkomen.
Offlinescan met één klik Microsoft Defender
Microsoft Defender Offline Scannen is een gespecialiseerd hulpprogramma dat wordt geleverd met Windows 10 of nieuwer en waarmee u een machine kunt opstarten in een speciale omgeving buiten het normale besturingssysteem. Het is vooral handig voor krachtige malware, zoals rootkits.
Zie offline Microsoft Defender voor meer informatie over hoe deze functie werkt.
| Beschrijving | PowerShell-opdracht |
|---|---|
| Zorg ervoor dat u met meldingen de pc kunt opstarten in een gespecialiseerde omgeving voor het verwijderen van malware | Set-MpPreference -UILockdown 0 |
Middelen
In deze sectie vindt u veel bronnen die u kunnen helpen bij het evalueren van Microsoft Defender Antivirus.
- Microsoft Defender in Windows 10 bibliotheek
- Microsoft Defender voor Windows Server 2016 bibliotheek
- Windows 10 beveiligingsbibliotheek
- Windows 10 beveiligingsoverzicht
- website van Microsoft Defender security intelligence (Microsoft Centrum voor beveiliging tegen schadelijke software) – bedreigingsonderzoek en -respons
- Microsoft Security-website
- Microsoft Security-blog
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor