Megosztás a következőn keresztül:


Microsoft Defender víruskereső kiértékelése a Csoportházirend használatával

Érintett szolgáltatás:

Platformok:

  • A Windows

Az Windows 10 vagy újabb, Windows Server 2016 vagy újabb verzióban használhatja a Microsoft Defender Antivirus (MDAV) és a Microsoft Defender Exploit Guard (Microsoft Defender EG) következő generációs védelmi funkcióit.

Ez a cikk azt ismerteti, hogyan engedélyezheti és tesztelheti a fő védelmi funkciókat az Microsoft Defender AV-ben és az Microsoft Defender EG-ben, és útmutatást és további információkra mutató hivatkozásokat biztosít.

Ez a cikk Windows 10 vagy újabb, illetve Windows Server 2016 vagy újabb konfigurációs beállításait ismerteti.

A Microsoft Defender víruskereső használata a Csoportházirend használatával a funkciók engedélyezéséhez

Ez az útmutató a Microsoft Defender víruskereső Csoportházirend tartalmazza, amely a védelem kiértékeléséhez használandó funkciókat konfigurálja.

  1. Szerezze be a legújabb "Windows Csoportházirend felügyeleti sablonokat".

    További információ: Központi áruház létrehozása és kezelése – Windows-ügyfél.

    Tipp

    1. A Windows rendszerű kiszolgáló együttműködik a Windows-kiszolgálókkal.
    2. Még ha Windows 10 vagy Windows Server 2016 is futtat, szerezze be a legújabb felügyeleti sablonokat Windows 11 vagy újabb verzióhoz.
  2. Hozzon létre egy központi áruházat a legújabb .admx és .adml sablonok üzemeltetéséhez.

    További információ: Központi áruház létrehozása és kezelése – Windows-ügyfél.

    Ha tartományhoz csatlakozik:

    1. Hozzon létre egy új szervezeti egység blokkszabályzat-öröklést.

    2. Nyissa meg a Csoportházirend kezelése konzolt (GPMC.msc).

    3. Lépjen Csoportházirend Objektumok lapra, és hozzon létre egy új Csoportházirend.

    4. Kattintson a jobb gombbal a létrehozott új szabályzatra, és válassza a Szerkesztés parancsot.

    5. Lépjen a Számítógép-konfigurációs>házirendek>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender víruskereső lapra.

    vagy

    Munkacsoporthoz való csatlakozás esetén

    1. Nyissa meg Csoportházirend Szerkesztő MMC -t (GPEdit.msc).

    2. Lépjen a Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender víruskereső elemre.

MDAV és potenciálisan nemkívánatos alkalmazások (PUA)

Gyökér:

Leírás Beállítás
A Microsoft Defender víruskereső kikapcsolása Letiltva
Potenciálisan nemkívánatos alkalmazások észlelésének konfigurálása Engedélyezve – Blokk

Valós idejű védelem (folyamatos védelem, valós idejű vizsgálat)

\ Valós idejű védelem:

Leírás Beállítás
A valós idejű védelem kikapcsolása Letiltva
Bejövő és kimenő fájlok és programok figyelésének konfigurálása Engedélyezve, kétirányú (teljes hozzáférés)
Viselkedésfigyelés bekapcsolása Engedélyezve.
Fájl- és programtevékenység figyelése a számítógépen Engedélyezve.

Felhővédelmi funkciók

A standard biztonságiintelligencia-frissítések előkészítése és kézbesítése órákat is igénybe vehet; a felhőben biztosított védelmi szolgáltatás másodpercek alatt képes biztosítani ezt a védelmet.

További információ: Következő generációs technológiák használata Microsoft Defender víruskeresőben felhőalapú védelemmel.

\ TÉRKÉPEK:

Leírás Beállítás
Csatlakozás a Microsoft MAPS-hez Engedélyezve, Speciális TÉRKÉPEK
A "Block at First Sight" funkció konfigurálása Engedélyezve.
Fájlminták küldése, ha további elemzésre van szükség Engedélyezve, Az összes minta elküldése

\ MpEngine:

Leírás Beállítás
Felhővédelmi szint kiválasztása Engedélyezve, Magas blokkolási szint
Kiterjesztett felhőellenőrzés konfigurálása Engedélyezve, 50

Vizsgál

Leírás Beállítás
A Heurisztika bekapcsolása Engedélyezve.
Az e-mailek vizsgálatának bekapcsolása Engedélyezve.
Az összes letöltött fájl és melléklet vizsgálata Engedélyezve.
Szkriptvizsgálat bekapcsolása Engedélyezve.
Archív fájlok vizsgálata Engedélyezve.
Csomagolt végrehajtható fájlok vizsgálata Engedélyezve.
Hálózati fájlok vizsgálatának konfigurálása (Hálózati fájlok vizsgálata) Engedélyezve.
Cserélhető meghajtók vizsgálata Engedélyezve.
Az újraelemzési pontok vizsgálatának bekapcsolása Engedélyezve.

Biztonságiintelligencia-frissítések

Leírás Beállítás
Adja meg a biztonságiintelligencia-frissítések keresésének időközét Engedélyezve, 4
A források sorrendjének meghatározása a biztonságiintelligencia-frissítések letöltéséhez Engedélyezve, a "Források sorrendjének meghatározása a biztonságiintelligencia-frissítések letöltéséhez" területen

InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC

Jegyzet: Ahol az InternalDefinitionUpdateServer a WSUS, Microsoft Defender víruskereső frissítések engedélyezettek.

MicrosoftUpdateServer == Microsoft Update (korábban Windows Update).

MMPC == https://www.microsoft.com/en-us/wdsi/definitions

Helyi rendszergazdaIV-beállítások letiltása

Tiltsa le a helyi rendszergazdaIV-beállításokat, például a kizárásokat, és kényszerítse ki a szabályzatokat a Végponthoz készült Microsoft Defender Biztonsági beállítások kezelése területen.

Gyökér:

Leírás Beállítás
Helyi rendszergazdai egyesítési viselkedés konfigurálása listákhoz Letiltva
Annak szabályozása, hogy a kizárások láthatók-e a helyi rendszergazdák számára Engedélyezve.

Fenyegetés súlyossága – alapértelmezett művelet

\ Fenyegetések

Leírás Beállítás Riasztási szint Művelet
Adja meg a fenyegetésriasztási szinteket, amelyeknél az alapértelmezett műveletet nem szabad tenni az észleléskor Engedélyezve.
5 (súlyos) 2 (Karantén)
4 (magas) 2 (Karantén)
2 (közepes) 2 (Karantén)
1 (alacsony) 2 (Karantén)

\ Karantén

Leírás Beállítás
Elemek eltávolításának konfigurálása a Karantén mappából Engedélyezve, 60

\ Ügyféloldali felület

Leírás Beállítás
Fej nélküli felhasználói felületi mód engedélyezése Letiltva

Hálózatvédelem

\ Microsoft Defender Exploit Guard\Network Protection:

Leírás Beállítás
A felhasználók és alkalmazások veszélyes webhelyekhez való hozzáférésének megakadályozása Engedélyezve, Letiltva
Ez a beállítás azt szabályozza, hogy a Hálózatvédelem konfigurálható-e blokk- vagy naplózási módba Windows Server Engedélyezve.

A Windows Server hálózati védelmének engedélyezéséhez egyelőre használja a PowerShellt:

Operációs rendszer PowerShell-parancsmag
Windows Server 2012 R2 és újabb verziók set-MpPreference -AllowNetworkProtectionOnWinServer $true
Windows Server 2016 és Windows Server 2012 R2 egyesített MDE-ügyfél set-MpPreference -AllowNetworkProtectionOnWinServer $true

set-MpPreference -AllowNetworkProtectionDownLevel $ true

Támadásifelület-csökkentési szabályok

  1. Lépjen a Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender víruskereső>Microsoft Defender Biztonsági rés kiaknázása elleni védelem>támadási felületének csökkentése területére.

  2. Válassza a Tovább gombot.

Leírás Beállítás
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Megjegyzés: (A végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostáról)
1 (Blokk)
7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Megjegyzés: (Az Adobe Reader gyermekfolyamatok létrehozásának letiltása)
1 (Blokk)
5beb7efe-fd9a-4556-801d-275e5ffc04cc

Megjegyzés: (Tiltsa le a potenciálisan elfedt szkriptek végrehajtását)
1 (Blokk)
56a863a9-875e-4185-98a7-b882c64b5ce5

Megjegyzés: (A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása)
1 (Blokk)
92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Megjegyzés: (Win32 API-hívások letiltása Office-makrókból)
1 (Blokk)
01443614-cd74-433a-b99e-2ecdc07bfc25

Megjegyzés: (Tiltsa le a futtatható fájlok futtatását, hacsak nem felelnek meg az előfordulási gyakoriságnak, az életkornak vagy a megbízható listafeltételnek)
1 (Blokk)
26190899-1602-49e8-8b27-eb1d0a1ce869

Megjegyzés: (Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása)
1 (Blokk)
d4f940ab-401b-4efc-aadc-ad5f3c50688a

Megjegyzés: (Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása)
1 (Blokk)
c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

Megjegyzés: ([ELŐZETES VERZIÓ] Másolt vagy megszemélyesített rendszereszközök használatának letiltása)
1 (Blokk)
d3e037e1-3eb8-44c8-a917-57927947596d

Megjegyzés: (A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában)
1 (Blokk)
9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Megjegyzés: (Blokkolja a hitelesítő adatok ellopása a Windows helyi biztonsági hatóság alrendszeréből)
1 (Blokk)
a8f5898e-1dc8-49a9-9878-85004b8a61e6

Megjegyzés: (Webfelület-létrehozás letiltása kiszolgálókhoz)
1 (Blokk)
3b576869-a4ec-4529-8536-b80a7769e899

Megjegyzés: (Az Office-alkalmazások nem hozhatnak létre végrehajtható tartalmakat)
1 (Blokk)
b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Megjegyzés: (USB-n futó nem megbízható és aláíratlan folyamatok letiltása)
1 (Blokk)
75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Megjegyzés: (Megakadályozza, hogy az Office-alkalmazások kódot injektálnak más folyamatokba)
1 (Blokk)
e6db77e5-3df2-4cf1-b95a-636979351e5b

Megjegyzés: (Az adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül)
1 (Blokk)
c1db55ab-c21a-4637-bb3f-a12568109d35

Megjegyzés: (Speciális védelem használata zsarolóprogramok ellen)
1 (Blokk)
d1e49aac-8f56-4280-b9ba-993a6d77406c

Megjegyzés: (PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása)
1 (Blokk)

Jegyzet: Ha Configuration Manager (korábban SCCM) vagy más, WMI-t használó felügyeleti eszközökkel rendelkezik, előfordulhat, hogy ezt az 1(blokk) helyett a 2 ('audit') értékre kell állítania.
33ddedf1-c6e0-47cb-833e-de6133960387

Megjegyzés: ([ELŐZETES VERZIÓ] A gép újraindításának letiltása csökkentett módban)
1 (Blokk)

Tipp

Egyes szabályok blokkolhatják a szervezetben elfogadhatónak talált viselkedést. Ezekben az esetekben módosítsa a szabályt "Engedélyezve" állapotról "Naplózás" beállításra a nemkívánatos blokkok elkerülése érdekében.

Szabályozott mappahozzáférés

Lépjen a Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender víruskereső>Microsoft Defender Biztonsági rés kiaknázása elleni védelem>támadási felületének csökkentése területére.

Leírás Beállítás
Szabályozott mappahozzáférés konfigurálása Engedélyezve, Letiltva

Rendelje hozzá a szabályzatokat ahhoz a szervezeti egységhez, ahol a tesztgépek találhatók.

Illetéktelen módosítás elleni védelem engedélyezése

A Microsoft XDR portálon (security.microsoft.com) lépjen a Beállítások>Végpontok>Speciális funkciók>Illetéktelen módosítás elleni védelem>bekapcsolva területre.

További információ: Hogyan illetéktelen hozzáférés elleni védelem konfigurálása vagy kezelése?

A Cloud Protection hálózati kapcsolatának ellenőrzése

Fontos ellenőrizni, hogy a Cloud Protection hálózati kapcsolata működik-e a toll tesztelése során.

CMD (futtatás rendszergazdaként)

cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection

További információ: A cmdline eszköz használata a felhőben biztosított védelem ellenőrzéséhez.

A platformfrissítés verziójának ellenőrzése

A legújabb "Platform Update" verziójú Éles csatorna (GA) itt érhető el:

Microsoft Update-katalógus

Annak ellenőrzéséhez, hogy melyik platformfrissítési verzió van telepítve, használja a következő PowerShell-parancsot (futtatás rendszergazdaként):

get-mpComputerStatus | ft AMProductVersion

A biztonságiintelligencia-frissítés verziójának ellenőrzése

A biztonságiintelligencia-frissítés legújabb verziója itt érhető el:

Legújabb biztonságiintelligencia-frissítések Microsoft Defender víruskeresőhöz és más Microsoft kártevőirtókhoz – Microsoft biztonsági intelligencia

A biztonságiintelligencia-frissítés telepített verziójának ellenőrzéséhez használja a következő PowerShell-parancsot (futtatás rendszergazdaként):

get-mpComputerStatus | ft AntivirusSignatureVersion

A motorfrissítés verziójának ellenőrzése

A legújabb "motorfrissítési" verzió itt érhető el:

Legújabb biztonságiintelligencia-frissítések Microsoft Defender víruskeresőhöz és más Microsoft kártevőirtókhoz – Microsoft biztonsági intelligencia

Annak ellenőrzéséhez, hogy melyik motorfrissítési verzió van telepítve, használja a következő PowerShell-parancsot (futtatás rendszergazdaként):

get-mpComputerStatus | ft AMEngineVersion

Ha azt állapítja meg, hogy a beállítások nem lépnek érvénybe, ütközés történhet. Az ütközések elhárításához lásd: Microsoft Defender víruskereső beállításainak hibaelhárítása.

Hamis negatív (FN) beküldések esetén

Ha bármilyen kérdése van az AV Microsoft Defender által észlelt észleléssel kapcsolatban, vagy elmulasztott észlelést észlel, elküldhet nekünk egy fájlt.

Ha Microsoft XDR- vagy P2/P1-Végponthoz készült Microsoft Defender vagy Microsoft Defender Vállalati verzió rendelkezik: lásd: Fájlok küldése Végponthoz készült Microsoft Defender.

Ha Microsoft Defender víruskeresőt, tekintse meg a következőt:https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx

Microsoft Defender AV szabványos Windows-értesítéseken keresztül észlelést jelez. Az észleléseket az Microsoft Defender AV alkalmazásban is áttekintheti.

A Windows eseménynaplója az észlelési és a motoreseményeket is rögzíti. Az eseményazonosítók és a hozzájuk tartozó műveletek listáját a Microsoft Defender Víruskereső eseményekkel foglalkozó cikkben találja.

Ha a beállítások nincsenek megfelelően alkalmazva, ellenőrizze, hogy vannak-e olyan ütköző szabályzatok, amelyek engedélyezve vannak a környezetben. További információ: Microsoft Defender víruskereső beállításainak hibaelhárítása.

Ha microsoftos támogatási esetet kell megnyitnia: Forduljon Végponthoz készült Microsoft Defender ügyfélszolgálathoz.