Dela via


Utvärdera Microsoft Defender Antivirus med powershell

Gäller för:

I Windows 10 eller senare och Windows Server 2016 eller senare kan du använda nästa generations skyddsfunktioner som erbjuds av Microsoft Defender Antivirus (MDAV) och Microsoft Defender Exploit Guard (Microsoft Defender EG).

Det här avsnittet beskriver hur du aktiverar och testar viktiga skyddsfunktioner i Microsoft Defender AV och Microsoft Defender EG, och ger vägledning och länkar till mer information.

Vi rekommenderar att du använder det här PowerShell-skriptet för utvärdering för att konfigurera dessa funktioner, men du kan aktivera varje funktion individuellt med de cmdletar som beskrivs i resten av det här dokumentet.

Mer information om våra EPP-produkter finns i följande produktdokumentationsbibliotek:

I den här artikeln beskrivs konfigurationsalternativ i Windows 10 eller senare och Windows Server 2016 eller senare.

Om du har frågor om en identifiering som Microsoft Defender AV gör, eller om du upptäcker en missad identifiering, kan du skicka en fil till oss på vår hjälpwebbplats för exempelöverföring.

Använda PowerShell för att aktivera funktionerna

Den här guiden innehåller Microsoft Defender Antivirus-cmdletar som konfigurerar de funktioner som du bör använda för att utvärdera vårt skydd.

Så här använder du dessa cmdletar:

1. Öppna en upphöjd instans av PowerShell (välj Kör som administratör).

2. Ange kommandot i den här guiden och tryck på Retur.

Du kan kontrollera statusen för alla inställningar innan du börjar, eller under utvärderingen, med hjälp av PowerShell-cmdleten Get-MpPreference.

Microsoft Defender AV anger en identifiering via vanliga Windows-meddelanden. Du kan också granska identifieringar i Microsoft Defender AV-appen.

Windows-händelseloggen registrerar även identifierings- och motorhändelser. I artikeln Microsoft Defender Antivirushändelser finns en lista över händelse-ID:t och deras motsvarande åtgärder.

Molnskyddsfunktioner

Standarddefinitionsuppdateringar kan ta timmar att förbereda och leverera. vår molnlevererad skyddstjänst kan leverera det här skyddet på några sekunder.

Mer information finns i Använda nästa generations tekniker i Microsoft Defender Antivirus via molnlevererad skydd.

Beskrivning PowerShell-kommando
Aktivera Microsoft Defender Cloud för nästan omedelbart skydd och ökat skydd Set-MpPreference -MAPSReporting Avancerat
Skicka exempel automatiskt för att öka gruppskyddet Set-MpPreference -SubmitSamplesConsent Always
Använd alltid molnet för att blockera ny skadlig kod inom några sekunder Set-MpPreference -DisableBlockAtFirstSeen 0
Sök igenom alla nedladdade filer och bifogade filer Set-MpPreference -DisableIOAVProtection 0
Ange molnblocknivå till "Hög" Set-MpPreference –CloudBlockLevel High
High Set cloud block timeout till 1 minut Set-MpPreference -CloudExtendedTimeout 50

Alltid aktiverat skydd (genomsökning i realtid)

Microsoft Defender AV söker igenom filer så snart de ses av Windows och övervakar processer som körs för kända eller misstänkta skadliga beteenden. Om antivirusmotorn upptäcker skadliga ändringar blockerar den omedelbart processen eller filen från att köras.

Mer information om dessa alternativ finns i Konfigurera beteende- och heuristiskt skydd och realtidsskydd .

Beskrivning PowerShell-kommando
Övervaka ständigt filer och processer för kända ändringar av skadlig kod Set-MpPreference -DisableRealtimeMonitoring 0
Övervaka ständigt kända beteenden för skadlig kod – även i "rena" filer och program som körs Set-MpPreference -DisableBehaviorMonitoring 0
Skanna skript så fort de visas eller körs Set-MpPreference -DisableScriptScanning 0
Sök igenom flyttbara enheter så snart de har infogats eller monterats Set-MpPreference -DisableRemovableDriveScanning 0

Potentiellt oönskat programskydd

Potentiellt oönskade program är filer och appar som traditionellt inte klassificeras som skadliga. Dessa inkluderar installationsprogram från tredje part för vanlig programvara, annonsinmatning och vissa typer av verktygsfält i webbläsaren.

Beskrivning PowerShell-kommando
Förhindra att grå program, adware och andra potentiellt oönskade appar installeras Set-MpPreference -PUAProtection aktiverat

Email och arkivgenomsökning

Du kan ställa in Microsoft Defender Antivirus för att automatiskt söka igenom vissa typer av e-postfiler och arkivfiler (till exempel .zip filer) när de visas av Windows. Mer information om den här funktionen finns i artikeln Hantera e-postgenomsökningar i Microsoft Defender.

Beskrivning PowerShell-kommando
Skanna e-postfiler och arkiv Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0

Hantera produkt- och skyddsuppdateringar

Vanligtvis får du Microsoft Defender AV-uppdateringar från Windows Update en gång per dag. Du kan dock öka frekvensen för dessa uppdateringar genom att ange följande alternativ och se till att dina uppdateringar hanteras antingen i System Center Configuration Manager, med grupprincip eller i Intune.

Beskrivning PowerShell-kommando
Uppdatera signaturer varje dag Set-MpPreference -SignatureUpdateInterval
Kontrollera om du vill uppdatera signaturer innan du kör en schemalagd genomsökning Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

Advanced threat and exploit mitigation and prevention Controlled folder access (Avancerad hot- och sårbarhetsminskning och förebyggande kontroll av mappåtkomst)

Microsoft Defender Exploit Guard innehåller funktioner som skyddar enheter från kända skadliga beteenden och attacker på sårbara tekniker.

Beskrivning PowerShell-kommando
Förhindra att skadliga och misstänkta appar (till exempel utpressningstrojaner) gör ändringar i skyddade mappar med kontrollerad mappåtkomst Set-MpPreference -EnableControlledFolderAccess aktiverat
Blockera anslutningar till kända felaktiga IP-adresser och andra nätverksanslutningar med nätverksskydd Set-MpPreference -EnableNetworkProtection aktiverat
Tillämpa en standarduppsättning med åtgärder med sårbarhetsskydd
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml
Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml
Blockera kända skadliga attackvektorer med minskning av attackytan Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A 917- 57927947596D -AttackSurfaceReductionRules_Actions aktiverat
tilläggs-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions aktiverat
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Aktiverat
Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions aktiverat
tilläggs-mppreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions aktiverat
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Enabled

Vissa regler kan blockera beteenden som du tycker är godtagbara i din organisation. I dessa fall ändrar du regeln från Aktiverad till Granskning för att förhindra oönskade block.

Genomsökning med ett klick Microsoft Defender offline

Microsoft Defender offlinegenomsökning är ett specialiserat verktyg som levereras med Windows 10 eller senare, och gör att du kan starta en dator i en dedikerad miljö utanför det normala operativsystemet. Det är särskilt användbart för potent skadlig kod, till exempel rootkits.

Mer information om hur den här funktionen fungerar finns i Microsoft Defender Offline.

Beskrivning PowerShell-kommando
Se till att meddelanden gör att du kan starta datorn i en specialiserad miljö för borttagning av skadlig kod Set-MpPreference -UILockdown 0

Resurser

Det här avsnittet innehåller många resurser som kan hjälpa dig att utvärdera Microsoft Defender Antivirus.