Ocena programu antywirusowego Microsoft Defender przy użyciu programu PowerShell
Dotyczy:
- Program antywirusowy Microsoft Defender
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
W systemie Windows 10 lub nowszym oraz w systemie Windows Server 2016 lub nowszym można użyć funkcji ochrony nowej generacji oferowanych przez programy antywirusowe Microsoft Defender (MDAV) i Microsoft Defender Exploit Guard (Microsoft Defender EG).
W tym temacie wyjaśniono, jak włączyć i przetestować funkcje ochrony kluczy w usługach Microsoft Defender AV i Microsoft Defender EG, a także zawiera wskazówki i linki do dodatkowych informacji.
Zalecamy użycie tego skryptu ewaluacji programu PowerShell do skonfigurowania tych funkcji, ale można indywidualnie włączyć każdą funkcję za pomocą poleceń cmdlet opisanych w pozostałej części tego dokumentu.
Aby uzyskać więcej informacji o naszych produktach EPP, zobacz następujące biblioteki dokumentacji produktów:
W tym artykule opisano opcje konfiguracji w systemie Windows 10 lub nowszym oraz w systemie Windows Server 2016 lub nowszym.
Jeśli masz jakiekolwiek pytania dotyczące wykrywania przez usługę Microsoft Defender AV lub wykryjesz nieodebrane wykrycie, możesz przesłać do nas plik w naszej przykładowej witrynie pomocy dotyczącej przesyłania.
Włączanie funkcji za pomocą programu PowerShell
Ten przewodnik zawiera polecenia cmdlet programu antywirusowego Microsoft Defender , które konfigurują funkcje, których należy użyć do oceny naszej ochrony.
Aby użyć tych poleceń cmdlet:
1. Otwórz wystąpienie programu PowerShell z podwyższonym poziomem uprawnień (wybierz pozycję Uruchom jako administrator).
2. Wprowadź polecenie wymienione w tym przewodniku i naciśnij Enter.
Stan wszystkich ustawień można sprawdzić przed rozpoczęciem lub podczas oceny za pomocą polecenia cmdlet Get-MpPreference programu PowerShell.
Usługa Microsoft Defender AV wskazuje wykrywanie za pośrednictwem standardowych powiadomień systemu Windows. Możesz również przejrzeć wykrycia w aplikacji Microsoft Defender AV.
Dziennik zdarzeń systemu Windows rejestruje również zdarzenia wykrywania i aparatu. Aby uzyskać listę identyfikatorów zdarzeń i odpowiadających im akcji, zobacz artykuł Zdarzenia programu antywirusowego Microsoft Defender .
Funkcje ochrony chmury
Przygotowanie i dostarczenie standardowych aktualizacji definicji może potrwać kilka godzin. nasza usługa ochrony dostarczana w chmurze może zapewnić tę ochronę w ciągu kilku sekund.
Więcej szczegółów można znaleźć w temacie Korzystanie z technologii nowej generacji w programie antywirusowym Microsoft Defender za pośrednictwem ochrony dostarczanej w chmurze.
| Opis | Polecenie programu PowerShell |
|---|---|
| Włączanie usługi Microsoft Defender Cloud w celu niemal natychmiastowej ochrony i zwiększonej ochrony | Set-MpPreference -MAPSRaportowanie zaawansowane |
| Automatyczne przesyłanie przykładów w celu zwiększenia ochrony grupy | Set-MpPreference —SubmitSamplesConsent Always |
| Zawsze używaj chmury do blokowania nowego złośliwego oprogramowania w ciągu kilku sekund | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Skanuj wszystkie pobrane pliki i załączniki | Set-MpPreference -DisableIOAVProtection 0 |
| Ustawianie poziomu bloku chmury na wartość "Wysoki" | Set-MpPreference —CloudBlockLevel High |
| Limit czasu blokady chmury wysokiego zestawu na 1 minutę | Set-MpPreference —CloudExtendedTimeout 50 |
Zawsze włączona ochrona (skanowanie w czasie rzeczywistym)
Usługa Microsoft Defender AV skanuje pliki natychmiast po ich wyświetleniu przez system Windows i będzie monitorować uruchomione procesy pod kątem znanych lub podejrzanych złośliwych zachowań. Jeśli aparat antywirusowy wykryje złośliwą modyfikację, natychmiast zablokuje działanie procesu lub pliku.
Aby uzyskać więcej informacji na temat tych opcji , zobacz Konfigurowanie ochrony behawioralnej, heurystycznej i ochrony w czasie rzeczywistym .
| Opis | Polecenie programu PowerShell |
|---|---|
| Ciągłe monitorowanie plików i procesów pod kątem znanych modyfikacji złośliwego oprogramowania | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Stałe monitorowanie znanych zachowań złośliwego oprogramowania — nawet w "czystych" plikach i uruchomionych programach | Set-MpPreference —DisableBehaviorMonitoring 0 |
| Skanuj skrypty, gdy tylko zostaną wyświetlone lub uruchomione | Set-MpPreference -DisableScriptScanning 0 |
| Skanuj dyski wymienne natychmiast po ich włożeniu lub zainstalowaniu | Set-MpPreference -DisableRemovableDriveScanning 0 |
Potencjalnie niechciana ochrona aplikacji
Potencjalnie niechciane aplikacje to pliki i aplikacje, które tradycyjnie nie są klasyfikowane jako złośliwe. Należą do nich instalatory innych firm dla wspólnego oprogramowania, iniekcji reklam i niektórych typów pasków narzędzi w przeglądarce.
| Opis | Polecenie programu PowerShell |
|---|---|
| Zapobieganie instalowaniu programów grayware, adware i innych potencjalnie niechcianych aplikacji | Set-MpPreference -PUAProtection Włączone |
Skanowanie poczty e-mail i archiwum
Program antywirusowy Microsoft Defender umożliwia automatyczne skanowanie niektórych typów plików poczty e-mail i plików archiwum (takich jak pliki .zip), gdy są one widoczne dla systemu Windows. Więcej informacji na temat tej funkcji można znaleźć w artykule Zarządzanie skanowaniem poczty e-mail w usłudze Microsoft Defender .
| Opis | Polecenie programu PowerShell |
|---|---|
| Skanowanie plików i archiwów wiadomości e-mail | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Zarządzanie aktualizacjami produktów i ochrony
Zazwyczaj aktualizacje usługi Microsoft Defender AV są otrzymywane z usługi Windows Update raz dziennie. Można jednak zwiększyć częstotliwość tych aktualizacji, ustawiając następujące opcje i upewniając się, że aktualizacje są zarządzane w programie System Center Configuration Manager, przy użyciu zasad grupy lub w usłudze Intune.
| Opis | Polecenie programu PowerShell |
|---|---|
| Aktualizuj podpisy codziennie | Set-MpPreference -SignatureUpdateInterval |
| Przed uruchomieniem zaplanowanego skanowania sprawdź, czy chcesz zaktualizować podpisy | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Zaawansowane zagrożenie i ograniczanie zagrożeń oraz zapobieganie kontrolowanym dostępom do folderów
Funkcja Microsoft Defender Exploit Guard udostępnia funkcje, które pomagają chronić urządzenia przed znanymi złośliwymi zachowaniami i atakami na technologie wrażliwe.
| Opis | Polecenie programu PowerShell |
|---|---|
| Uniemożliwianie złośliwym i podejrzanym aplikacjom (takim jak oprogramowanie wymuszające okup) wprowadzania zmian w chronionych folderach z kontrolowanym dostępem do folderów | Set-MpPreference -EnableControlledFolderAccess Włączone |
| Blokuj połączenia ze znanymi nieprawidłowymi adresami IP i innymi połączeniami sieciowymi z ochroną sieci | Set-MpPreference -EnableNetworkProtection Włączone |
| Stosowanie standardowego zestawu środków zaradczych przy użyciu ochrony przed programem Exploit |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Blokuj znane złośliwe wektory ataków dzięki zmniejszeniu obszaru ataków | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Włączone Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Włączone Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions włączone Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions włączone Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Włączone Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions włączone Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions włączone |
Niektóre reguły mogą blokować zachowanie, które można uznać za akceptowalne w organizacji. W takich przypadkach zmień regułę z Włączone na Inspekcja, aby zapobiec niepożądanym blokom.
Skanowanie w trybie offline usługi Microsoft Defender jednym kliknięciem
Skanowanie w trybie offline usługi Microsoft Defender to wyspecjalizowane narzędzie, które jest dostarczane z systemem Windows 10 lub nowszym i umożliwia rozruch maszyny w dedykowanym środowisku poza normalnym systemem operacyjnym. Jest to szczególnie przydatne w przypadku silnego złośliwego oprogramowania, takiego jak zestawy rootkit.
Aby uzyskać więcej informacji na temat działania tej funkcji, zobacz Microsoft Defender Offline .
| Opis | Polecenie programu PowerShell |
|---|---|
| Upewnij się, że powiadomienia umożliwiają rozruch komputera w wyspecjalizowanym środowisku usuwania złośliwego oprogramowania | Set-MpPreference -UILockdown 0 |
Zasoby
W tej sekcji wymieniono wiele zasobów, które mogą pomóc w ocenie programu antywirusowego Microsoft Defender.
- Microsoft Defender w bibliotece systemu Windows 10
- Biblioteka usługi Microsoft Defender dla systemu Windows Server 2016
- Biblioteka zabezpieczeń systemu Windows 10
- Omówienie zabezpieczeń systemu Windows 10
- Witryna internetowa usługi Microsoft Defender Security Intelligence (Microsoft Malware Protection Center (MMPC) — badanie zagrożeń i reagowanie na nie
- Witryna internetowa usługi Microsoft Security
- Blog dotyczący zabezpieczeń firmy Microsoft