Оценка антивирусной программы в Microsoft Defender с помощью PowerShell
Область применения:
- Антивирусная программа в Microsoft Defender
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
В Windows 10 или более поздней версии и Windows Server 2016 или более поздней версии можно использовать функции защиты следующего поколения, предоставляемые антивирусной программой Microsoft Defender (MDAV) и Microsoft Defender Exploit Guard (Microsoft Defender EG).
В этом разделе объясняется, как включить и протестировать ключевые функции защиты в Microsoft Defender AV и Microsoft Defender EG, а также приведены рекомендации и ссылки на дополнительные сведения.
Мы рекомендуем использовать этот сценарий PowerShell для оценки , чтобы настроить эти функции, но вы можете по отдельности включить каждую функцию с помощью командлетов, описанных в оставшейся части этого документа.
Дополнительные сведения о наших продуктах EPP см. в следующих библиотеках документации по продуктам:
В этой статье описываются параметры конфигурации в Windows 10 или более поздней версии и Windows Server 2016 или более поздней версии.
Если у вас есть вопросы об обнаружении, которое делает Microsoft Defender AV, или вы обнаружите, что обнаружено пропущенное обнаружение, вы можете отправить нам файл на нашем сайте справки по образцу отправки.
Включение функций с помощью PowerShell
В этом руководстве приведены командлеты антивирусной программы Microsoft Defender , которые настраивают функции, которые следует использовать для оценки нашей защиты.
Чтобы использовать следующие командлеты, выполните следующие действия:
1. Откройте экземпляр PowerShell с повышенными привилегиями (выберите Запуск от имени администратора).
2. Введите команду, указанную в этом руководстве, и нажмите клавишу ВВОД.
Состояние всех параметров можно проверить перед началом или во время оценки с помощью командлета PowerShell Get-MpPreference.
Антивирус Microsoft Defender указывает на обнаружение с помощью стандартных уведомлений Windows. Вы также можете просмотреть обнаружения в приложении Microsoft Defender AV.
Журнал событий Windows также записывает события обнаружения и обработчика. Список идентификаторов событий и соответствующих действий см. в статье События антивирусной программы Microsoft Defender .
Функции облачной защиты
Подготовка и доставка обновлений стандартных определений может занять несколько часов. наша облачная служба защиты может обеспечить эту защиту за считанные секунды.
Дополнительные сведения см. в статье Использование технологий следующего поколения в антивирусной программе Microsoft Defender с помощью облачной защиты.
| Описание | Команда PowerShell |
|---|---|
| Включение Microsoft Defender Cloud для почти мгновенной защиты и повышенной защиты | Set-MpPreference -MAPSReporting Advanced |
| Автоматическая отправка примеров для повышения защиты групп | Set-MpPreference -SubmitSamplesConsent Always |
| Всегда используйте облако для блокировки новых вредоносных программ в течение нескольких секунд | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Сканирование всех скачанных файлов и вложений | Set-MpPreference -DisableIOAVProtection 0 |
| Задайте для уровня блока облака значение "Высокий" | Set-MpPreference -CloudBlockLevel High |
| Высокая настройка времени ожидания блока облака в 1 минуту | Set-MpPreference -CloudExtendedTimeout 50 |
Постоянная защита (сканирование в режиме реального времени)
АнтивирусНая программа Microsoft Defender сканирует файлы, как только они будут видны Windows, и будет отслеживать запущенные процессы на наличие известных или предполагаемых вредоносных действий. Если антивирусная программа обнаруживает вредоносные изменения, она немедленно блокирует выполнение процесса или файла.
Дополнительные сведения об этих параметрах см. в разделе Настройка поведенческой, эвристической защиты и защиты в режиме реального времени .
| Описание | Команда PowerShell |
|---|---|
| Постоянный мониторинг файлов и процессов для известных изменений вредоносных программ | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Постоянный мониторинг известных вредоносных программ даже в "чистых" файлах и запущенных программах | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Сканирование скриптов, как только они будут видны или выполняются | Set-MpPreference -DisableScriptScanning 0 |
| Проверка съемных дисков сразу после их вставки или подключения | Set-MpPreference -DisableRemovableDriveScanning 0 |
Потенциально нежелательная защита приложений
Потенциально нежелательными приложениями являются файлы и приложения, которые традиционно не классифицируются как вредоносные. К ним относятся сторонние установщики для общего программного обеспечения, внедрения рекламы и некоторых типов панелей инструментов в браузере.
| Описание | Команда PowerShell |
|---|---|
| Запрет установки программ серого, рекламного по и других потенциально нежелательных приложений | Set-MpPreference -PUAProtection enabled |
Проверка электронной почты и архива
Вы можете настроить антивирусную программу Microsoft Defender для автоматического сканирования определенных типов файлов электронной почты и архивных файлов (таких как файлы .zip), когда они отображаются Windows. Дополнительные сведения об этой функции см. в статье Управление проверками электронной почты в Microsoft Defender .
| Описание | Команда PowerShell |
|---|---|
| Сканирование файлов и архивов электронной почты | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Управление обновлениями продуктов и защиты
Как правило, вы получаете обновления антивирусной программы Microsoft Defender из обновления Windows один раз в день. Однако вы можете увеличить частоту этих обновлений, задав следующие параметры и убедив, что управление обновлениями осуществляется в System Center Configuration Manager, с помощью групповой политики или Intune.
| Описание | Команда PowerShell |
|---|---|
| Обновление подписей каждый день | Set-MpPreference -SignatureUpdateInterval |
| Проверка на обновление подписей перед запуском запланированной проверки | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Расширенное устранение угроз и эксплойтов и предотвращение управляемого доступа к папкам
Exploit Guard в Microsoft Defender предоставляет функции, которые помогают защитить устройства от известных вредоносных действий и атак на уязвимые технологии.
| Описание | Команда PowerShell |
|---|---|
| Предотвращение внесения изменений в защищенные папки с управляемым доступом к папкам вредоносными и подозрительными приложениями (например, программами-шантажами) | Set-MpPreference — EnableControlledFolderAccess Enabled |
| Блокировка подключений к известным недопустимым IP-адресам и другим сетевым подключениям с помощью защиты сети | Set-MpPreference —EnableNetworkProtection enabled |
| Применение стандартного набора мер по устранению рисков с помощью защиты от эксплойтов |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Блокировка известных векторов вредоносных атак с помощью сокращения направлений атаки | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba 52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions включено add-mpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions с поддержкой Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-1602-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33dddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Enabled |
Некоторые правила могут блокировать поведение, допустимое в организации. В таких случаях измените правило с Включено на Аудит, чтобы предотвратить нежелательные блокировки.
Автономное сканирование в Microsoft Defender одним щелчком
Автономное сканирование в Microsoft Defender — это специализированное средство, которое поставляется с Windows 10 или более поздней версии и позволяет загружать компьютер в выделенную среду за пределами обычной операционной системы. Это особенно полезно для мощных вредоносных программ, таких как руткиты.
Дополнительные сведения о работе этой функции см. в статье Microsoft Defender в автономном режиме.
| Описание | Команда PowerShell |
|---|---|
| Убедитесь, что уведомления позволяют загрузить компьютер в специализированную среду удаления вредоносных программ. | Set-MpPreference -UILockdown 0 |
Ресурсы
В этом разделе перечислены многие ресурсы, которые могут помочь в оценке антивирусной программы Microsoft Defender.
- Библиотека Microsoft Defender в Windows 10
- Библиотека Microsoft Defender для Windows Server 2016
- Библиотека безопасности Windows 10
- Общие сведения о безопасности Windows 10
- Аналитика безопасности Microsoft Defender (Центр защиты от вредоносных программ Майкрософт (MMPC)) — исследование угроз и реагирование на нее
- Веб-сайт Безопасности Майкрософт
- Блог о безопасности Майкрософт