Просмотр или изменение политик защиты следующего поколения в Microsoft Defender для бизнеса
В Defender для бизнеса защита следующего поколения включает надежную антивирусную и антивредоносную защиту для компьютеров и мобильных устройств. Политики по умолчанию с рекомендуемыми параметрами включены в Defender для бизнеса. Политики по умолчанию предназначены для защиты устройств и пользователей без ущерба для производительности. Однако вы можете настроить политики в соответствии с бизнес-потребностями.
Вы можете выбрать один из нескольких вариантов управления политиками защиты следующего поколения:
- Используйте портал Microsoft Defender по адресу https://security.microsoft.com (рекомендуется, если вы используете автономную версию Defender для бизнеса без Intune); или
- Используйте Центр администрирования Microsoft Intune по адресу https://intune.microsoft.com (доступно, если ваша подписка включает Intune)
Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.
В области навигации перейдите в раздел Конфигурация конечных> точекУправление конфигурацией>устройства. Политики упорядочены по операционной системе и типу политики.
Выберите вкладку операционной системы (например , Windows).
В разделе Защита следующего поколения просмотрите список политик. Как минимум, указана политика по умолчанию с рекомендуемыми параметрами. Эта политика по умолчанию назначается всем подключенным устройствам под управлением операционной системы, выбранной на предыдущем шаге (например , Windows). Варианты действий:
- Оставьте политику по умолчанию в текущей конфигурации.
- Измените политику по умолчанию, чтобы внести необходимые изменения.
- Создание новой политики.
Используйте одну из процедур, приведенных в следующей таблице:
Задача Procedure Изменение политики по умолчанию 1. В разделе Защита следующего поколения выберите политику по умолчанию и нажмите кнопку Изменить.
2. На шаге Общие сведения просмотрите сведения. При необходимости измените описание и нажмите кнопку Далее.
3. На шаге Группы устройств используйте существующую группу или настройте новую группу. Затем нажмите кнопку Далее.
4. На шаге Параметры конфигурации просмотрите и при необходимости измените параметры безопасности, а затем нажмите кнопку Далее. Дополнительные сведения о параметрах см. в разделе Параметры и параметры защиты следующего поколения (в этой статье).
5. На шаге Проверка политики просмотрите текущие параметры. Выберите Изменить , чтобы внести необходимые изменения. Затем выберите Обновить политику.Создание новой политики 1. В разделе Защита следующего поколения выберите Добавить.
2. На шаге Общие сведения укажите имя и описание политики. Вы также можете сохранить или изменить порядок политики (см . раздел Общие сведения о порядке политики в Microsoft Defender для бизнеса). Нажмите кнопку Далее.
3. На шаге Группы устройств можно использовать существующую группу или создать новую (см. раздел Группы устройств в Microsoft Defender для бизнеса). Затем нажмите кнопку Далее.
4. На шаге Параметры конфигурации просмотрите и измените параметры безопасности, а затем нажмите кнопку Далее. Дополнительные сведения о параметрах см. в разделе Параметры и параметры защиты следующего поколения (в этой статье).
5. На шаге Проверка политики просмотрите текущие параметры. Выберите Изменить , чтобы внести необходимые изменения. Затем выберите Создать политику.
Параметры и параметры защиты следующего поколения
В следующей таблице перечислены параметры и параметры защиты следующего поколения в Defender для бизнеса.
Setting | Описание |
---|---|
Защита в режиме реального времени | |
Включение защиты в режиме реального времени | Включенная по умолчанию защита в режиме реального времени находит и останавливает запуск вредоносных программ на устройствах. Мы рекомендуем оставить защиту включенной в режиме реального времени. Если включена защита в режиме реального времени, она настраивает следующие параметры: — мониторинг поведения включен (AllowBehaviorMonitoring). — Сканируются все скачанные файлы и вложения (AllowIOAVProtection). — сканируются скрипты, используемые в браузерах Майкрософт (AllowScriptScanning). |
Блокировка при первом появлении | Параметр Включен по умолчанию, блокировка при первом появлении блокирует вредоносные программы в течение нескольких секунд после обнаружения, увеличивает время (в секундах) на отправку примеров файлов для анализа и устанавливает для вашего уровня обнаружения значение Высокий.
Рекомендуется оставить блок включенным при первом взгляде. Если блокировка при первом появлении включена, для антивирусной программы в Microsoft Defender настраиваются следующие параметры: — Для блокировки и сканирования подозрительных файлов задано значение Высокий уровень блокировки (CloudBlockLevel). — Количество секунд для блокировки и проверки файла равно 50 секундам (CloudExtendedTimeout). Важный Если блокировка на первый взгляд отключена, это влияет и CloudExtendedTimeout на CloudBlockLevel антивирусную программу в Microsoft Defender. |
Включить защиту сети | Включенная в режиме блокировки по умолчанию, защита сети помогает защититься от фишинга, сайтов размещения эксплойтов и вредоносного содержимого в Интернете. Кроме того, пользователи не могут отключить защиту сети. Для защиты сети можно задать следующие режимы: - Режим блокировки является параметром по умолчанию. Он запрещает пользователям посещать сайты, которые считаются небезопасными. Рекомендуется оставить защиту сети в режиме блокировки. - Режим аудита позволяет пользователям посещать сайты, которые могут быть небезопасными, и отслеживает сетевую активность на таких сайтах и с таких сайтов. - Отключенный режим не запрещает пользователям посещать сайты, которые могут быть небезопасными, и не отслеживает сетевую активность на таких сайтах и с таких сайтов. |
Исправление | |
Действия по принятию потенциально нежелательных приложений (PUA) | Включено по умолчанию, защита от puA блокирует элементы, обнаруженные как PUA. PUA может включать рекламное программное обеспечение; объединение программного обеспечения, которое предлагает установить другое, неподписаное программное обеспечение; и программное обеспечение для уклонения, которое пытается избежать функций безопасности. Хотя puA не обязательно является вирусом, вредоносными программами или другой угрозой, это может повлиять на производительность устройства. Вы можете настроить защиту от puA в следующих режимах: - Значение по умолчанию включено . Он блокирует элементы, обнаруженные как PUA на устройствах. Мы рекомендуем оставить защиту puA включенной. - Режим аудита не выполняет никаких действий с элементами, обнаруженными как PUA. - Отключено не обнаруживает и не выполняет действия с элементами, которые могут быть ПС. |
Сканирование | |
Тип запланированного сканирования | В режиме быстрого сканирования по умолчанию можно указать день и время для еженедельного сканирования антивирусной программы. Доступны следующие параметры типа сканирования: - Быстрое сканирование проверяет расположения, такие как разделы реестра и папки запуска, где можно зарегистрировать вредоносную программу для запуска вместе с устройством. Рекомендуется использовать параметр быстрого сканирования. - Функция fullscan проверяет все файлы и папки на устройстве. - Отключено означает, что запланированные проверки не будут выполняться. Пользователи по-прежнему могут выполнять проверки на своих устройствах. (Как правило, не рекомендуется отключать запланированные проверки.) Дополнительные сведения о типах сканирования. |
День недели для выполнения запланированной проверки | Выберите день для выполнения регулярных еженедельных антивирусных проверок. |
Время суток для выполнения запланированной проверки | Выберите время для запуска регулярных запланированных проверок антивирусной программы. |
Использование низкой производительности | Этот параметр отключен по умолчанию. Рекомендуется оставить этот параметр отключенным. Однако этот параметр можно включить, чтобы ограничить объем памяти и ресурсов устройства, используемых во время запланированных проверок.
Важный Если включить параметр Использовать низкую производительность, для антивирусной программы в Microsoft Defender будут настроены следующие параметры: — Архивные файлы не сканируются (AllowArchiveScanning). — проверкам назначается низкий приоритет ЦП (EnableLowCPUPriority). — Если полная антивирусная проверка пропущена, проверка наверста не будет выполняться (DisableCatchupFullScan). — Если быстрая антивирусная проверка пропущена, проверка наверста не будет выполняться (DisableCatchupQuickScan). — снижает средний коэффициент загрузки ЦП во время антивирусной проверки с 50 до 20 процентов (AvgCPULoadFactor). |
Взаимодействие с пользователем | |
Разрешить пользователям доступ к приложению "Безопасность Windows" | Включите этот параметр, чтобы разрешить пользователям открывать приложение "Безопасность Windows" на своих устройствах. Пользователи не могут переопределить параметры, настроенные в Defender для бизнеса, но могут запустить быструю проверку или просмотреть все обнаруженные угрозы. |
Исключения антивирусной программы | Исключения — это процессы, файлы или папки, которые пропускаются при проверке антивирусной программы в Microsoft Defender. Как правило, не нужно определять исключения. Антивирусная программа Microsoft Defender включает множество автоматических исключений, основанных на известном поведении операционной системы и типичных файлах управления. Каждое исключение снижает уровень защиты, поэтому важно тщательно рассмотреть, какие исключения следует определить. Перед добавлением исключений см. статью Управление исключениями для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender. |
Исключения для процессов | Исключения процессов не позволяют проверять файлы, открытые определенными процессами, антивирусной программой в Microsoft Defender. При добавлении процесса в список исключений процесса антивирусная программа Microsoft Defender не будет сканировать файлы, открытые этим процессом, независимо от расположения файлов. Сам процесс сканируется, если он не добавлен в список исключений файлов. См . раздел Настройка исключений для файлов, открытых процессами. |
Исключения расширений файлов | Исключения расширений файлов не позволяют проверять файлы с определенными расширениями антивирусной программой в Microsoft Defender. См . раздел Настройка и проверка исключений на основе расширения файла и расположения папки. |
Исключения файлов и папок | Исключения файлов и папок предотвращают проверку файлов, которые находятся в определенных папках, антивирусной программой Microsoft Defender. См . раздел Исключения контекстных файлов и папок. |
Другие предварительно настроенные параметры в Defender для бизнеса
В Defender для бизнеса предварительно настроены следующие параметры безопасности:
- Сканирование съемных дисков включено (AllowFullScanRemovableDriveScanning).
- Ежедневное быстрое сканирование не имеет предустановленного времени (ScheduleQuickScanTime).
- Обновления аналитики безопасности проверяются перед запуском антивирусной проверки (CheckForSignaturesBeforeRunningScan).
- Проверки аналитики безопасности выполняются каждые четыре часа (SignatureUpdateInterval).
Как параметры по умолчанию в Defender для бизнеса соответствуют параметрам в Microsoft Intune
В следующей таблице описаны параметры, предварительно настроенные для Defender для бизнеса, а также то, как эти параметры соответствуют тому, что может отображаться в Intune. Если вы используете упрощенный процесс настройки в Defender для бизнеса, изменять эти параметры не нужно.
Setting | Описание |
---|---|
Защита облака | Иногда называется облачной защитой или службой Расширенной защиты Майкрософт (MAPS), облачная защита работает с антивирусной программой Microsoft Defender и облаком Майкрософт для выявления новых угроз, иногда даже до того, как будет затронуто одно устройство. По умолчанию параметр AllowCloudProtection включен. Узнайте больше об облачной защите. |
Мониторинг входящих и исходящих файлов | Для мониторинга входящих и исходящих файлов в realTimeScanDirection настроено отслеживание всех файлов. |
Проверка сетевых файлов | По умолчанию Параметр AllowScanningNetworkFiles не включен, а сетевые файлы не сканируются. |
Сканирование сообщений электронной почты | По умолчанию AllowEmailScanning не включен, а сообщения электронной почты не сканируются. |
Количество дней (0–90) для хранения вредоносных программ в карантине | По умолчанию параметр DaysToRetainCleanedMalware имеет значение ноль (0) дней. Артефакты, которые находятся в карантине, не удаляются автоматически. |
Отправка примера согласия | По умолчанию параметр SubmitSamplesConsent настроен на автоматическую отправку безопасных примеров. Примеры безопасных примеров включают .bat файлы , .scr , .dll , и .exe , которые не содержат персональных данных. Если файл содержит личные данные, пользователь получает запрос на продолжение отправки примера.
Узнайте больше об облачной защите и отправке примеров. |
Проверка съемных дисков | По умолчанию AllowFullScanRemovableDriveScanning настроен для сканирования съемных дисков, таких как USB-накопители на устройствах. Дополнительные сведения о параметрах политики защиты от вредоносных программ. |
Выполнение ежедневной быстрой проверки | По умолчанию параметр ScheduleQuickScanTime имеет значение 2:00. Дополнительные сведения о параметрах сканирования. |
Проверка наличия обновлений сигнатур перед выполнением проверки | По умолчанию CheckForSignaturesBeforeRunningScan настроен для проверки наличия обновлений аналитики безопасности перед запуском антивирусной или антивредоносной проверки. Дополнительные сведения о параметрах сканирования и обновлениях аналитики безопасности. |
Как часто (0–24 часа) проверять наличие обновлений аналитики безопасности | По умолчанию SignatureUpdateInterval настроен для проверки наличия обновлений аналитики безопасности каждые четыре часа. Дополнительные сведения о параметрах сканирования и обновлениях аналитики безопасности. |
Дальнейшие действия
- Настройте политики брандмауэра и настраиваемые правила для политик брандмауэра.
- Настройте политику фильтрации веб-содержимого и включите защиту веб-сайта автоматически.
- Настройте политику управляемого доступа к папкам для защиты от программ-шантажистов.
- Включите правила сокращения направлений атак.
- Ознакомьтесь с параметрами дополнительных функций и порталом Microsoft Defender.
- Использование панели мониторинга управления уязвимостями в Microsoft Defender для бизнеса