تقييم برنامج الحماية من الفيروسات Microsoft Defender باستخدام نهج المجموعة
ينطبق على:
- برنامج الحماية من الفيروسات من Microsoft Defender
- الخطة 1 من Microsoft Defender لنقطة النهاية
- Defender for Endpoint الخطة 2
الأنظمة الأساسية:
- بالنسبة لنظام التشغيل
في Windows 10 أو أحدث Windows Server 2016 أو أحدث، يمكنك استخدام ميزات الحماية من الجيل التالي التي يوفرها برنامج الحماية من الفيروسات Microsoft Defender (MDAV) Microsoft Defender Exploit Guard (Microsoft Defender EG).
تشرح هذه المقالة كيفية تمكين واختبار ميزات الحماية الرئيسية في Microsoft Defender AV Microsoft Defender EG وتوفر لك إرشادات وارتباطات لمزيد من المعلومات.
توضح هذه المقالة خيارات التكوين في Windows 10 أو الأحدث Windows Server 2016 أو الأحدث.
استخدام برنامج الحماية من الفيروسات Microsoft Defender باستخدام نهج المجموعة لتمكين الميزات
يوفر هذا الدليل نهج المجموعة مكافحة الفيروسات Microsoft Defender الذي يقوم بتكوين الميزات التي يجب استخدامها لتقييم حمايتنا.
احصل على أحدث 'قوالب إدارية نهج المجموعة Windows'.
لمزيد من المعلومات، راجع إنشاء المتجر المركزي وإدارته - عميل Windows.
تلميح
- يعمل Windows واحد مع خوادم Windows.
- حتى إذا كنت تقوم بتشغيل Windows 10 أو Windows Server 2016، فاحصل على أحدث القوالب الإدارية Windows 11 أو أحدث.
إنشاء "متجر مركزي" لاستضافة أحدث قوالب .admx و.adml.
لمزيد من المعلومات، راجع إنشاء المتجر المركزي وإدارته - عميل Windows.
إذا تم الانضمام إلى مجال:
إنشاء توريث نهج كتلة OU جديد.
افتح وحدة تحكم إدارة نهج المجموعة (GPMC.msc).
انتقل إلى نهج المجموعة Objects وأنشئ نهج المجموعة جديدة.
انقر بزر الماوس الأيمن فوق النهج الجديد الذي تم إنشاؤه وحدد Edit.
انتقل إلى نهج تكوين>>الكمبيوترالقوالب الإدارية>مكونات> Windows Microsoft Defender مكافحة الفيروسات.
أو
إذا تم الانضمام إلى مجموعة عمل
افتح نهج المجموعة المحرر MMC (GPEdit.msc).
انتقل إلى Computer Configuration>Administrative Templates>Windows Components>Microsoft Defender Antivirus.
MDAV والتطبيقات غير المرغوب فيها (PUA)
جذر:
| الوصف | اعداد |
|---|---|
| إيقاف تشغيل برنامج الحماية من الفيروسات Microsoft Defender | ذوي الاحتياجات الخاصه |
| تكوين الكشف للتطبيقات التي يحتمل أن تكون غير مرغوب فيها | ممكن - حظر |
الحماية في الوقت الحقيقي (الحماية دائما، المسح الضوئي في الوقت الحقيقي)
\ الحماية في الوقت الحقيقي:
| الوصف | اعداد |
|---|---|
| إيقاف تشغيل الحماية في الوقت الحقيقي | ذوي الاحتياجات الخاصه |
| تكوين مراقبة نشاط البرنامج والملفات الواردة والصادرة | ممكن، ثنائي الاتجاه (كامل عند الوصول) |
| تشغيل مراقبة السلوك | تمكين |
| مراقبة نشاط الملفات والبرنامج على الكمبيوتر | تمكين |
ميزات حماية السحابة
Standard قد تستغرق تحديثات التحليل الذكي للأمان ساعات للتحضير والتسليم؛ يمكن لخدمة الحماية التي توفرها السحابة تقديم هذه الحماية في ثوان.
لمزيد من المعلومات، راجع استخدام تقنيات الجيل التالي في برنامج الحماية من الفيروسات Microsoft Defender من خلال الحماية التي توفرها السحابة.
\ الخرائط:
| الوصف | اعداد |
|---|---|
| الانضمام إلى Microsoft MAPS | ممكن، خرائط متقدمة |
| تكوين ميزة "الحظر عند النظرة الأولى" | تمكين |
| إرسال عينات الملفات عند الحاجة إلى مزيد من التحليل | ممكن، إرسال جميع العينات |
\ MpEngine:
| الوصف | اعداد |
|---|---|
| تحديد مستوى الحماية السحابية | ممكن، مستوى حظر عال |
| تكوين فحص السحابة الموسعة | ممكن، 50 |
مسح
| الوصف | اعداد |
|---|---|
| تشغيل الأساليب الإرشادية | تمكين |
| تشغيل فحص البريد الإلكتروني | تمكين |
| فحص جميع الملفات والمرفقات التي تم تنزيلها | تمكين |
| تشغيل فحص البرنامج النصي | تمكين |
| مسح ملفات الأرشيف ضوئيا | تمكين |
| مسح الملفات التنفيذية المحزمة ضوئيا | تمكين |
| تكوين فحص ملفات الشبكة (مسح ملفات الشبكة ضوئيا) | تمكين |
| مسح محركات الأقراص القابلة للإزالة ضوئيا | تمكين |
| تشغيل إعادة توزيع مسح النقاط | تمكين |
تحديثات التحليل الذكي للأمان
| الوصف | اعداد |
|---|---|
| تحديد الفاصل الزمني للتحقق من وجود تحديثات التحليل الذكي للأمان | ممكن، 4 |
| تحديد ترتيب المصادر لتنزيل تحديثات التحليل الذكي للأمان | ممكن، ضمن "تحديد ترتيب المصادر لتنزيل تحديثات التحليل الذكي للأمان" InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC ملاحظه: حيث InternalDefinitionUpdateServer هو WSUS مع Microsoft Defender تحديثات مكافحة الفيروسات المسموح بها. MicrosoftUpdateServer == Microsoft Update (المعروف سابقا Windows Update). MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
تعطيل إعدادات AV للمسؤول المحلي
قم بتعطيل إعدادات AV للمسؤول المحلي مثل الاستثناءات، وفرض النهج من Microsoft Defender لنقطة النهاية Security Settings Management.
جذر:
| الوصف | اعداد |
|---|---|
| تكوين سلوك دمج المسؤول المحلي للقوائم | ذوي الاحتياجات الخاصه |
| التحكم في ما إذا كانت الاستثناءات مرئية للمسؤولين المحليين أم لا | تمكين |
الإجراء الافتراضي لخطورة التهديد
\ التهديدات
| الوصف | اعداد | مستوى التنبيه | فعل |
|---|---|---|---|
| تحديد مستويات تنبيه التهديد التي لا ينبغي اتخاذ الإجراء الافتراضي عند اكتشافها | تمكين | ||
| 5 (شديد) | 2 (العزل) | ||
| 4 (مرتفع) | 2 (العزل) | ||
| 2 (متوسط) | 2 (العزل) | ||
| 1 (منخفض) | 2 (العزل) |
\ حجر صحي
| الوصف | اعداد |
|---|---|
| تكوين إزالة العناصر من مجلد العزل | ممكن، 60 |
\ واجهة العميل
| الوصف | اعداد |
|---|---|
| تمكين وضع واجهة المستخدم بدون رأس | ذوي الاحتياجات الخاصه |
حماية الشبكة
\ Microsoft Defender Exploit Guard\Network Protection:
| الوصف | اعداد |
|---|---|
| منع المستخدمين والتطبيقات من الوصول إلى مواقع الويب الخطرة | ممكن، حظر |
| تتحكم هذه الإعدادات فيما إذا كان يمكن تكوين Network Protection في وضع الحظر أو التدقيق على Windows Server | تمكين |
لتمكين حماية الشبكة لخوادم Windows، في الوقت الحالي، يرجى استخدام PowerShell:
| نظام التشغيل | PowerShell cmdlet |
|---|---|
| Windows Server 2012 R2 والإصدارات الأحدث | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| عميل MDE الموحد Windows Server 2016 و2012 R2 Windows Server | set-MpPreference -AllowNetworkProtectionOnWinServer $true set-MpPreference -AllowNetworkProtectionDownLevel $ true |
قواعد تقليل الأجزاء المعرضة للهجوم
انتقل إلى Computer Configuration>Administrative TemplatesWindows Components>>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
حدد التالي.
| الوصف | اعداد |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1ee46550 ملاحظة: (حظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني والبريد الإلكتروني) |
1 (كتلة) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c ملاحظة: (حظر Adobe Reader من إنشاء عمليات تابعة) |
1 (كتلة) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc ملاحظة: (حظر تنفيذ البرامج النصية التي يحتمل أن تكون محجوبة) |
1 (كتلة) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 ملاحظة: (حظر إساءة استخدام برامج التشغيل الموقعة المعرضة للاستغلال) |
1 (كتلة) |
| 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b ملاحظة: (حظر مكالمات واجهة برمجة التطبيقات Win32 من وحدات ماكرو Office) |
1 (كتلة) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 ملاحظة: (منع تشغيل الملفات القابلة للتنفيذ إلا إذا كانت تفي بمعيار انتشار أو عمر أو قائمة موثوق بها) |
1 (كتلة) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 ملاحظة: (حظر تطبيق اتصال Office من إنشاء عمليات تابعة) |
1 (كتلة) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a ملاحظة: (حظر جميع تطبيقات Office من إنشاء عمليات تابعة) |
1 (كتلة) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb ملاحظة: ([PREVIEW] حظر استخدام أدوات النظام المنسخة أو المنتحلة الهوية) |
1 (كتلة) |
| d3e037e1-3eb8-44c8-a917-57927947596d ملاحظة: (حظر JavaScript أو VBScript من بدء تشغيل المحتوى القابل للتنفيذ الذي تم تنزيله) |
1 (كتلة) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 ملاحظة: (حظر سرقة بيانات الاعتماد من النظام الفرعي لمرجع الأمان المحلي ل Windows) |
1 (كتلة) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 ملاحظة: (حظر إنشاء Web shell للخوادم) |
1 (كتلة) |
| 3b576869-a4ec-4529-8536-b80a7769e899 ملاحظة: (منع تطبيقات Office من إنشاء محتوى قابل للتنفيذ) |
1 (كتلة) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 ملاحظة: (حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB) |
1 (كتلة) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 ملاحظة: (منع تطبيقات Office من إدخال التعليمات البرمجية في عمليات أخرى) |
1 (كتلة) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b ملاحظة: (حظر الاستمرارية من خلال اشتراك حدث WMI) |
1 (كتلة) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 ملاحظة: (استخدم الحماية المتقدمة ضد برامج الفدية الضارة) |
1 (كتلة) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c ملاحظة: (حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI) |
1 (كتلة) ملاحظه: إذا كان لديك Configuration Manager (SCCM سابقا) أو أدوات إدارة أخرى تستخدم WMI، فقد تحتاج إلى تعيين هذا إلى 2 ('التدقيق') بدلا من 1 ('كتلة'). |
| 33ddedf1-c6e0-47cb-833e-de6133960387 ملاحظة: ([PREVIEW] حظر جهاز إعادة التشغيل في الوضع الآمن) |
1 (كتلة) |
تلميح
قد تمنع بعض القواعد السلوك الذي تجده مقبولا في مؤسستك. في هذه الحالات، قم بتغيير القاعدة من "ممكن" إلى "تدقيق" لمنع الكتل غير المرغوب فيها.
الوصول المتحكم به إلى المجلدات
انتقل إلى Computer Configuration>Administrative TemplatesWindows Components>>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
| الوصف | اعداد |
|---|---|
| تكوين الوصول المتحكم به إلى المجلد | ممكن، حظر |
تعيين النهج إلى الوحدة التنظيمية حيث توجد أجهزة الاختبار.
تمكين الحماية من العبث
في مدخل Microsoft XDR (security.microsoft.com)، انتقل إلى الإعدادات>ميزات نقاط> النهايةالمتقدمة>الحماية> من العبثفي.
لمزيد من المعلومات، راجع كيف أعمل تكوين الحماية من العبث أو إدارتها؟.
التحقق من اتصال شبكة حماية السحابة
من المهم التحقق من أن اتصال شبكة حماية السحابة يعمل أثناء اختبار القلم.
CMD (تشغيل كمسؤول)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
لمزيد من المعلومات، راجع استخدام أداة cmdline للتحقق من صحة الحماية المقدمة من السحابة.
تحقق من إصدار تحديث النظام الأساسي
يتوفر أحدث إصدار من "تحديث النظام الأساسي" لقناة الإنتاج (GA) هنا:
للتحقق من إصدار "تحديث النظام الأساسي" المثبت، استخدم أمر PowerShell التالي (تشغيل كمسؤول):
get-mpComputerStatus | ft AMProductVersion
تحقق من إصدار Security Intelligence Update
يتوفر أحدث إصدار من "تحديث معلومات الأمان" هنا:
للتحقق من إصدار "Security Intelligence Update" المثبت، استخدم أمر PowerShell التالي (تشغيل كمسؤول):
get-mpComputerStatus | ft AntivirusSignatureVersion
تحقق من إصدار تحديث المحرك
يتوفر أحدث إصدار من "تحديث المحرك" للمسح الضوئي هنا:
للتحقق من إصدار "تحديث المحرك" المثبت، استخدم أمر PowerShell التالي (تشغيل كمسؤول):
get-mpComputerStatus | ft AMEngineVersion
إذا كنت تجد أن إعداداتك لا تسري، فقد يكون لديك تعارض. لحل التعارضات، راجع: استكشاف أخطاء Microsoft Defender إعدادات مكافحة الفيروسات وإصلاحها.
بالنسبة إلى عمليات الإرسال السلبية الخاطئة (FNs)
إذا كانت لديك أي أسئلة حول الكشف الذي يقوم به Microsoft Defender AV، أو اكتشفت اكتشافا فائتا، يمكنك إرسال ملف إلينا.
إذا كان لديك Microsoft XDR أو Microsoft Defender لنقطة النهاية P2/P1 أو Microsoft Defender for Business: راجع إرسال الملفات في Microsoft Defender لنقطة النهاية.
إذا كان لديك برنامج الحماية من الفيروسات Microsoft Defender، فراجع:https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
يشير Microsoft Defender AV إلى اكتشاف من خلال إعلامات Windows القياسية. يمكنك أيضا مراجعة الاكتشافات في تطبيق Microsoft Defender AV.
يسجل سجل أحداث Windows أيضا أحداث الكشف والمحرك. راجع مقالة أحداث برنامج الحماية من الفيروسات Microsoft Defender للحصول على قائمة بمعرفات الأحداث والإجراءات المقابلة لها.
إذا لم يتم تطبيق الإعدادات بشكل صحيح، فتعرف على ما إذا كانت هناك نهج متعارضة تم تمكينها في بيئتك. لمزيد من المعلومات، راجع استكشاف أخطاء Microsoft Defender إعدادات مكافحة الفيروسات وإصلاحها.
إذا كنت بحاجة إلى فتح حالة دعم Microsoft: اتصل بدعم Microsoft Defender لنقطة النهاية.