Проверьте или измените политики защиты следующего поколения в Microsoft Defender для бизнеса

  • Статья

В Defender для бизнеса защита следующего поколения включает надежную антивирусную и антивредоносную защиту для компьютеров и мобильных устройств. Политики по умолчанию с рекомендуемыми параметрами включены в Defender для бизнеса. Политики по умолчанию предназначены для защиты устройств и пользователей без ущерба для производительности. Однако вы можете настроить политики в соответствии с бизнес-потребностями.

Вы можете выбрать один из нескольких вариантов управления политиками защиты следующего поколения:

  • Используйте портал Microsoft Defender по адресу https://security.microsoft.com (рекомендуется, если вы используете автономную версию Defender для бизнеса без Intune); или
  • Используйте Центр администрирования Microsoft Intune по адресу https://intune.microsoft.com (доступно, если ваша подписка содержит Intune).

  1. Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.

  2. В области навигации перейдите к разделу Настройка управления устройством>. Политики упорядочены по операционной системе и типу политики.

  3. Выберите вкладку операционной системы (например , Windows).

  4. Разверните раздел Защита следующего поколения , чтобы просмотреть список политик. Как минимум, указана политика по умолчанию с рекомендуемыми параметрами. Эта политика по умолчанию назначается всем подключенным устройствам под управлением операционной системы, выбранной на предыдущем шаге (например , Windows). Варианты действий:

    • Оставьте политику по умолчанию в текущей конфигурации.
    • Измените политику по умолчанию, чтобы внести необходимые изменения.
    • Создание новой политики.

  5. Используйте одну из процедур, приведенных в следующей таблице:

    Задача Procedure
    Изменение политики по умолчанию 1. В разделе Защита следующего поколения выберите политику по умолчанию и нажмите кнопку Изменить.

    2. На шаге Общие сведения просмотрите сведения. При необходимости измените описание и нажмите кнопку Далее.

    3. На шаге Группы устройств используйте существующую группу или настройте новую группу. Затем нажмите кнопку Далее.

    4. На шаге Параметры конфигурации просмотрите и при необходимости измените параметры безопасности, а затем нажмите кнопку Далее. Дополнительные сведения о параметрах см. в разделе Параметры и параметры защиты следующего поколения (в этой статье).

    5. На шаге Проверка политики просмотрите текущие параметры. Выберите Изменить , чтобы внести необходимые изменения. Затем выберите Обновить политику.
    Создание новой политики 1. В разделе Защита следующего поколения выберите Добавить.

    2. На шаге Общие сведения укажите имя и описание политики. Вы также можете сохранить или изменить порядок политики (см. раздел Общие сведения о порядке политики в Microsoft Defender для бизнеса). Нажмите кнопку Далее.

    3. На шаге Группы устройств можно использовать существующую группу или создать новую (см. раздел Группы устройств в Microsoft Defender для бизнеса). Затем нажмите кнопку Далее.

    4. На шаге Параметры конфигурации просмотрите и измените параметры безопасности, а затем нажмите кнопку Далее. Дополнительные сведения о параметрах см. в разделе Параметры и параметры защиты следующего поколения (в этой статье).

    5. На шаге Проверка политики просмотрите текущие параметры. Выберите Изменить , чтобы внести необходимые изменения. Затем выберите Create политику.

Параметры и параметры защиты следующего поколения

В следующей таблице перечислены параметры и параметры защиты следующего поколения в Defender для бизнеса.

Параметр Описание
Защита в режиме реального времени
Включение защиты в режиме реального времени Включенная по умолчанию защита в режиме реального времени находит и останавливает запуск вредоносных программ на устройствах. Мы рекомендуем оставить защиту включенной в режиме реального времени. Если включена защита в режиме реального времени, она настраивает следующие параметры:
— мониторинг поведения включен (AllowBehaviorMonitoring).
— Сканируются все скачанные файлы и вложения (AllowIOAVProtection).
— сканируются скрипты, используемые в браузерах Майкрософт (AllowScriptScanning).
Блокировка при первом появлении Параметр Включен по умолчанию, блокировка при первом появлении блокирует вредоносные программы в течение нескольких секунд после обнаружения, увеличивает время (в секундах) на отправку примеров файлов для анализа и устанавливает для вашего уровня обнаружения значение Высокий. Рекомендуется оставить блок включенным при первом взгляде.

Если параметр Блокировать при первом появлении включен, он настраивает следующие параметры для Microsoft Defender антивирусной программы:
— Для блокировки и сканирования подозрительных файлов задано значение Высокий уровень блокировки (CloudBlockLevel).
— Количество секунд для блокировки и проверки файла равно 50 секундам (CloudExtendedTimeout).
Важно Если блокировка при первом взгляде отключена, это влияет и CloudBlockLevelCloudExtendedTimeout на Microsoft Defender антивирусную программу.
Включить защиту сети Включенная в режиме блокировки по умолчанию, защита сети помогает защититься от фишинга, сайтов размещения эксплойтов и вредоносного содержимого в Интернете. Кроме того, пользователи не могут отключить защиту сети.

Для защиты сети можно задать следующие режимы:
- Режим блокировки является параметром по умолчанию. Он запрещает пользователям посещать сайты, которые считаются небезопасными. Рекомендуется оставить защиту сети в режиме блокировки.
- Режим аудита позволяет пользователям посещать сайты, которые могут быть небезопасными, и отслеживает сетевую активность на таких сайтах и с таких сайтов.
- Отключенный режим не запрещает пользователям посещать сайты, которые могут быть небезопасными, и не отслеживает сетевую активность на таких сайтах и с таких сайтов.
Исправления
Действия по принятию потенциально нежелательных приложений (PUA) Включено по умолчанию, защита от puA блокирует элементы, обнаруженные как PUA. PUA может включать рекламное программное обеспечение; объединение программного обеспечения, которое предлагает установить другое, неподписаное программное обеспечение; и программное обеспечение для уклонения, которое пытается избежать функций безопасности. Хотя puA не обязательно является вирусом, вредоносными программами или другой угрозой, это может повлиять на производительность устройства. Вы можете настроить защиту от puA в следующих режимах:
- Значение по умолчанию включено . Он блокирует элементы, обнаруженные как PUA на устройствах. Мы рекомендуем оставить защиту puA включенной.
- Режим аудита не выполняет никаких действий с элементами, обнаруженными как PUA.
- Отключено не обнаруживает и не выполняет действия с элементами, которые могут быть ПС.
Сканирование
Тип запланированного сканирования В режиме быстрого сканирования по умолчанию можно указать день и время для еженедельного сканирования антивирусной программы. Доступны следующие параметры типа сканирования:
- Быстрое сканирование проверяет расположения, такие как разделы реестра и папки запуска, где можно зарегистрировать вредоносную программу для запуска вместе с устройством. Рекомендуется использовать параметр быстрого сканирования.
- Функция fullscan проверяет все файлы и папки на устройстве.
- Отключено означает, что запланированные проверки не будут выполняться. Пользователи по-прежнему могут выполнять проверки на своих устройствах. (Как правило, не рекомендуется отключать запланированные проверки.)
Дополнительные сведения о типах сканирования.
День недели для выполнения запланированной проверки Выберите день для выполнения регулярных еженедельных антивирусных проверок.
Время суток для выполнения запланированной проверки Выберите время для запуска регулярных запланированных проверок антивирусной программы.
Использование низкой производительности Этот параметр отключен по умолчанию. Рекомендуется оставить этот параметр отключенным. Однако этот параметр можно включить, чтобы ограничить объем памяти и ресурсов устройства, используемых во время запланированных проверок. Важно Если включить параметр Использовать низкую производительность, для Microsoft Defender антивирусной программы будут настроены следующие параметры:
— Архивные файлы не сканируются (AllowArchiveScanning).
— проверкам назначается низкий приоритет ЦП (EnableLowCPUPriority).
— Если полная антивирусная проверка пропущена, проверка наверста не будет выполняться (DisableCatchupFullScan).
— Если быстрая антивирусная проверка пропущена, проверка наверста не будет выполняться (DisableCatchupQuickScan).
— снижает средний коэффициент загрузки ЦП во время антивирусной проверки с 50 до 20 процентов (AvgCPULoadFactor).
Взаимодействие с пользователем
Разрешить пользователям доступ к приложению Безопасность Windows Включите этот параметр, чтобы разрешить пользователям открывать приложение Безопасность Windows на своих устройствах. Пользователи не смогут переопределить параметры, настроенные в Defender для бизнеса, но смогут выполнить быструю проверку или просмотреть обнаруженные угрозы.
Исключения антивирусной программы Исключениями являются процессы, файлы или папки, которые пропускаются Microsoft Defender антивирусной проверкой. Как правило, не нужно определять исключения. антивирусная программа Microsoft Defender включает множество автоматических исключений, основанных на известном поведении операционной системы и типичных файлах управления. Каждое исключение снижает уровень защиты, поэтому важно тщательно рассмотреть, какие исключения следует определить. Прежде чем добавлять исключения, см. статью Управление исключениями для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender.
Исключения для процессов Исключения процессов предотвращают проверку файлов, открытых определенными процессами, с помощью антивирусной программы Microsoft Defender. При добавлении процесса в список исключений процессов антивирусная программа Microsoft Defender не будет сканировать файлы, открытые этим процессом, независимо от расположения файлов. Сам процесс сканируется, если он не добавлен в список исключений файлов. См . раздел Настройка исключений для файлов, открытых процессами.
Исключения расширений файлов Исключения расширений файлов не позволяют проверять файлы с определенными расширениями с помощью антивирусной программы Microsoft Defender. См . раздел Настройка и проверка исключений на основе расширения файла и расположения папки.
Исключения файлов и папок Исключения файлов и папок предотвращают проверку файлов, которые находятся в определенных папках, с помощью антивирусной программы Microsoft Defender. См . раздел Исключения контекстных файлов и папок.

Другие предварительно настроенные параметры в Defender для бизнеса

В Defender для бизнеса предварительно настроены следующие параметры безопасности:

  • Сканирование съемных дисков включено (AllowFullScanRemovableDriveScanning).
  • Ежедневное быстрое сканирование не имеет предустановленного времени (ScheduleQuickScanTime).
  • Обновления аналитики безопасности проверяются перед запуском антивирусной проверки (CheckForSignaturesBeforeRunningScan).
  • Проверки аналитики безопасности выполняются каждые четыре часа (SignatureUpdateInterval).

Как параметры по умолчанию в Defender для бизнеса соответствуют параметрам в Microsoft Intune

В следующей таблице описаны параметры, предварительно настроенные для Defender для бизнеса, а также то, как эти параметры соответствуют тому, что может отображаться в Intune. Если вы используете упрощенный процесс настройки в Defender для бизнеса, изменять эти параметры не нужно.

Параметр Описание
Защита облака Иногда называется облачной защитой или службой Microsoft Advanced Protection Service (MAPS), облачная защита работает с антивирусной программой Microsoft Defender и облаком Майкрософт для выявления новых угроз, иногда даже до того, как будет затронуто одно устройство. По умолчанию параметр AllowCloudProtection включен. Узнайте больше об облачной защите.
Мониторинг входящих и исходящих файлов Для мониторинга входящих и исходящих файлов в realTimeScanDirection настроено отслеживание всех файлов.
Проверка сетевых файлов По умолчанию Параметр AllowScanningNetworkFiles не включен, а сетевые файлы не сканируются.
Сканирование сообщений электронной почты По умолчанию AllowEmailScanning не включен, а сообщения электронной почты не сканируются.
Количество дней (0–90) для хранения вредоносных программ в карантине По умолчанию параметр DaysToRetainCleanedMalware имеет значение ноль (0) дней. Артефакты, которые находятся в карантине, не удаляются автоматически.
Отправка примера согласия По умолчанию параметр SubmitSamplesConsent настроен на автоматическую отправку безопасных примеров. Примеры безопасных примеров включают .batфайлы , .scr, .dll, и .exe , которые не содержат персональных данных. Если файл содержит личные данные, пользователь получает запрос на продолжение отправки примера. Узнайте больше об облачной защите и отправке примеров.
Проверка съемных дисков По умолчанию AllowFullScanRemovableDriveScanning настроен для сканирования съемных дисков, таких как USB-накопители на устройствах. Дополнительные сведения о параметрах политики защиты от вредоносных программ.
Выполнение ежедневной быстрой проверки По умолчанию параметр ScheduleQuickScanTime имеет значение 2:00. Дополнительные сведения о параметрах сканирования.
Проверка наличия обновлений сигнатур перед выполнением проверки По умолчанию CheckForSignaturesBeforeRunningScan настроен для проверка обновлений аналитики безопасности перед запуском антивирусной или антивредоносной проверки. Дополнительные сведения о параметрах сканирования и обновлениях аналитики безопасности.
Как часто (0–24 часа) проверка для обновлений аналитики безопасности По умолчанию SignatureUpdateInterval настраивается для проверка обновлений аналитики безопасности каждые четыре часа. Дополнительные сведения о параметрах сканирования и обновлениях аналитики безопасности.

Дальнейшие действия