Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
- Антивирусная программа в Microsoft Defender
- Microsoft Defender для конечной точки план 1 и план 2
В Windows 10 (или более поздней версии) и Windows Server 2016 (или более поздней версии) можно использовать функции защиты следующего поколения, предоставляемые антивирусной программой Microsoft Defender с защитой от эксплойтов.
В этой статье объясняется, как включить и протестировать ключевые функции защиты в Microsoft Defender Антивирусная программа с защитой от эксплойтов, а также приведены рекомендации и ссылки на дополнительные сведения.
Мы рекомендуем использовать сценарий PowerShell для оценки , чтобы настроить эти функции, но вы можете по отдельности включить каждую функцию с помощью командлетов, описанных в оставшейся части этого документа.
Дополнительные сведения о продуктах и службах endpoint Protection см. в следующих ресурсах:
- Обзор защиты нового поколения
- Антивирусная программа в Microsoft Defender в Windows
- Антивирусная программа в Microsoft Defender в Windows Server
- Защита устройств от эксплойтов
В этой статье описываются параметры конфигурации в Windows 10 или более поздней версии, а также Windows Server 2016 или более поздней версии. Если у вас есть вопросы об обнаружении, которое Microsoft Defender антивирусная программа, или вы обнаружили пропущенное обнаружение, вы можете отправить нам файл на нашем сайте справки по образцу отправки.
Включение функций с помощью PowerShell
В этом руководстве приведены командлеты антивирусной программы Microsoft Defender, которые настраивают функции, которые следует использовать для оценки нашей защиты.
Чтобы использовать эти командлеты, откройте PowerShell от имени администратора, выполните команду и нажмите клавишу ВВОД.
Состояние всех параметров можно проверка перед началом или во время оценки с помощью командлета PowerShell Get-MpPreference.
Microsoft Defender антивирусная программа указывает на обнаружение с помощью стандартных уведомлений Windows. Вы также можете просмотреть сведения об обнаружении в приложении антивирусной программы Microsoft Defender.
Журнал событий Windows также записывает события обнаружения и обработчика. Список идентификаторов событий и соответствующих действий см. в статье о событиях антивирусной программы Microsoft Defender.
Функции облачной защиты
подготовка и доставка обновлений определений Standard может занять несколько часов. Наша облачная служба защиты может обеспечить эту защиту за считанные секунды.
Дополнительные сведения см. в статье Защита облака и антивирусная программа Microsoft Defender.
| Описание | Команда PowerShell |
|---|---|
| Включение Microsoft Defender Cloud для почти мгновенной защиты и повышенной защиты | Set-MpPreference -MAPSReporting Advanced |
| Автоматическая отправка примеров для повышения защиты групп | Set-MpPreference -SubmitSamplesConsent Always |
| Всегда используйте облако для блокировки новых вредоносных программ в течение нескольких секунд | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Сканирование всех скачанных файлов и вложений | Set-MpPreference -DisableIOAVProtection 0 |
| Задайте высокий уровень блока облака. | Set-MpPreference -CloudBlockLevel High |
| Высокая настройка времени ожидания облачного блока в 1 минуту | Set-MpPreference -CloudExtendedTimeout 50 |
Постоянная защита (сканирование в режиме реального времени)
Microsoft Defender антивирусная программа проверяет файлы, как только они будут видны Windows, отслеживает все запущенные процессы на наличие известных или предполагаемых вредоносных действий. Если антивирусная программа обнаруживает вредоносные изменения, немедленно блокирует запуск процесса или файла.
Дополнительные сведения об этих параметрах см. в разделе Настройка поведенческой, эвристической защиты и защиты в режиме реального времени.
| Описание | Команда PowerShell |
|---|---|
| Постоянный мониторинг файлов и процессов для известных изменений вредоносных программ | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Постоянно отслеживайте известные вредоносные программы, даже в файлах, которые не считаются угрозой, и запуская программы | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Сканирование скриптов сразу после их просмотра или запуска | Set-MpPreference -DisableScriptScanning 0 |
| Проверка съемных дисков сразу после их вставки или подключения | Set-MpPreference -DisableRemovableDriveScanning 0 |
Потенциально нежелательная защита приложений
Потенциально нежелательными приложениями являются файлы и приложения, которые традиционно не классифицируются как вредоносные. К таким приложениям относятся установщики сторонних разработчиков для общего программного обеспечения, внедрения рекламы и некоторых типов панелей инструментов в браузере.
| Описание | Команда PowerShell |
|---|---|
| Запрет установки программ серого, рекламного по и других потенциально нежелательных приложений | Set-MpPreference -PUAProtection Enabled |
сканирование Email и архивов
Вы можете настроить Microsoft Defender антивирусную программу для автоматического сканирования определенных типов файлов электронной почты и архивных файлов (таких как файлы .zip), когда они отображаются в Windows. Дополнительные сведения см. в статье Проверка управляемой электронной почты в Microsoft Defender.
| Описание | Команда PowerShell |
|---|---|
| Сканирование файлов и архивов электронной почты |
Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0
|
Управление обновлениями продуктов и защиты
Как правило, вы получаете Microsoft Defender обновления антивирусной программы из обновления Windows один раз в день. Однако вы можете увеличить частоту этих обновлений, задав следующие параметры и убедив, что управление обновлениями осуществляется в System Center Configuration Manager, с помощью групповая политика или в Intune.
| Описание | Команда PowerShell |
|---|---|
| Обновление подписей каждый день | Set-MpPreference -SignatureUpdateInterval |
| Проверка на обновление подписей перед запуском запланированной проверки | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Расширенное устранение угроз и эксплойтов и предотвращение управляемого доступа к папкам
Защита от эксплойтов предоставляет функции, помогающие защитить устройства от известных вредоносных действий и атак на уязвимые технологии.
| Описание | Команда PowerShell |
|---|---|
| Предотвращение внесения изменений в защищенные папки с управляемым доступом к папкам вредоносными и подозрительными приложениями (например, программами-шантажами) | Set-MpPreference -EnableControlledFolderAccess Enabled |
| Блокировка подключений к известным недопустимым IP-адресам и другим сетевым подключениям с помощью защиты сети | Set-MpPreference -EnableNetworkProtection Enabled |
| Применение стандартного набора мер по устранению рисков с помощью защиты от эксплойтов | Invoke-WebRequesthttps://demo.wd.microsoft.com/Content/ProcessMitigation.xml -OutFile ProcessMitigation.xmlSet-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Блокировка известных векторов вредоносных атак с помощью сокращения направлений атаки | Add-MpPreference -AttackSurfaceReductionRules\_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules\_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules\_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules\_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules\_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules\_Actions Enabled |
Некоторые правила могут блокировать поведение, допустимое в вашей организации. В таких случаях измените правило с Enabled на , Audit чтобы предотвратить нежелательные блокировки.
Включение защиты от незаконного изменения
На портале Microsoft Defender перейдите в раздел Параметры>Конечные> точкиДополнительные функции>Защита от незаконного изменения>включена.
Дополнительные сведения см. в разделе Разделы справки настройка или управление защитой от незаконного изменения.
Проверка сетевого подключения к Cloud Protection
Важно проверка, что сетевое подключение Cloud Protection работает во время тестирования пера. В командной строке от имени администратора выполните следующую команду:
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Дополнительные сведения см. в статье Проверка облачной защиты с помощью средства cmdline.
Однократное сканирование Microsoft Defender в автономном режиме
Microsoft Defender автономное сканирование — это специализированное средство, которое поставляется с Windows 10 или более поздней версии и позволяет загружать компьютер в выделенную среду за пределами обычной операционной системы. Это особенно полезно для мощных вредоносных программ, таких как руткиты.
Дополнительные сведения см. в разделе Microsoft Defender в автономном режиме.
| Описание | Команда PowerShell |
|---|---|
| Убедитесь, что уведомления позволяют загрузить устройство в специализированную среду удаления вредоносных программ. | Set-MpPreference -UILockdown 0 |