Microsoft Defender víruskereső kiértékelése a Csoportházirend használatával
Érintett szolgáltatás:
- Microsoft Defender víruskereső
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
Platformok:
- A Windows
Az Windows 10 vagy újabb, Windows Server 2016 vagy újabb verzióban használhatja a Microsoft Defender Antivirus (MDAV) és a Microsoft Defender Exploit Guard (Microsoft Defender EG) következő generációs védelmi funkcióit.
Ez a cikk azt ismerteti, hogyan engedélyezheti és tesztelheti a fő védelmi funkciókat az Microsoft Defender AV-ben és az Microsoft Defender EG-ben, és útmutatást és további információkra mutató hivatkozásokat biztosít.
Ez a cikk Windows 10 vagy újabb, illetve Windows Server 2016 vagy újabb konfigurációs beállításait ismerteti.
A Microsoft Defender víruskereső használata a Csoportházirend használatával a funkciók engedélyezéséhez
Ez az útmutató a Microsoft Defender víruskereső Csoportházirend tartalmazza, amely a védelem kiértékeléséhez használandó funkciókat konfigurálja.
Szerezze be a legújabb "Windows Csoportházirend felügyeleti sablonokat".
További információ: Központi áruház létrehozása és kezelése – Windows-ügyfél.
Tipp
- A Windows rendszerű kiszolgáló együttműködik a Windows-kiszolgálókkal.
- Még ha Windows 10 vagy Windows Server 2016 is futtat, szerezze be a legújabb felügyeleti sablonokat Windows 11 vagy újabb verzióhoz.
Hozzon létre egy központi áruházat a legújabb .admx és .adml sablonok üzemeltetéséhez.
További információ: Központi áruház létrehozása és kezelése – Windows-ügyfél.
Ha tartományhoz csatlakozik:
Hozzon létre egy új szervezeti egység blokkszabályzat-öröklést.
Nyissa meg a Csoportházirend kezelése konzolt (GPMC.msc).
Lépjen Csoportházirend Objektumok lapra, és hozzon létre egy új Csoportházirend.
Kattintson a jobb gombbal a létrehozott új szabályzatra, és válassza a Szerkesztés parancsot.
Lépjen a Számítógép-konfigurációs>házirendek>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender víruskereső lapra.
vagy
Munkacsoporthoz való csatlakozás esetén
Nyissa meg Csoportházirend Szerkesztő MMC -t (GPEdit.msc).
Lépjen a Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender víruskereső elemre.
MDAV és potenciálisan nemkívánatos alkalmazások (PUA)
Gyökér:
| Leírás | Beállítás |
|---|---|
| A Microsoft Defender víruskereső kikapcsolása | Letiltva |
| Potenciálisan nemkívánatos alkalmazások észlelésének konfigurálása | Engedélyezve – Blokk |
Valós idejű védelem (folyamatos védelem, valós idejű vizsgálat)
\ Valós idejű védelem:
| Leírás | Beállítás |
|---|---|
| A valós idejű védelem kikapcsolása | Letiltva |
| Bejövő és kimenő fájlok és programok figyelésének konfigurálása | Engedélyezve, kétirányú (teljes hozzáférés) |
| Viselkedésfigyelés bekapcsolása | Engedélyezve. |
| Fájl- és programtevékenység figyelése a számítógépen | Engedélyezve. |
Felhővédelmi funkciók
A standard biztonságiintelligencia-frissítések előkészítése és kézbesítése órákat is igénybe vehet; a felhőben biztosított védelmi szolgáltatás másodpercek alatt képes biztosítani ezt a védelmet.
További információ: Következő generációs technológiák használata Microsoft Defender víruskeresőben felhőalapú védelemmel.
\ TÉRKÉPEK:
| Leírás | Beállítás |
|---|---|
| Csatlakozás a Microsoft MAPS-hez | Engedélyezve, Speciális TÉRKÉPEK |
| A "Block at First Sight" funkció konfigurálása | Engedélyezve. |
| Fájlminták küldése, ha további elemzésre van szükség | Engedélyezve, Az összes minta elküldése |
\ MpEngine:
| Leírás | Beállítás |
|---|---|
| Felhővédelmi szint kiválasztása | Engedélyezve, Magas blokkolási szint |
| Kiterjesztett felhőellenőrzés konfigurálása | Engedélyezve, 50 |
Vizsgál
| Leírás | Beállítás |
|---|---|
| A Heurisztika bekapcsolása | Engedélyezve. |
| Az e-mailek vizsgálatának bekapcsolása | Engedélyezve. |
| Az összes letöltött fájl és melléklet vizsgálata | Engedélyezve. |
| Szkriptvizsgálat bekapcsolása | Engedélyezve. |
| Archív fájlok vizsgálata | Engedélyezve. |
| Csomagolt végrehajtható fájlok vizsgálata | Engedélyezve. |
| Hálózati fájlok vizsgálatának konfigurálása (Hálózati fájlok vizsgálata) | Engedélyezve. |
| Cserélhető meghajtók vizsgálata | Engedélyezve. |
| Az újraelemzési pontok vizsgálatának bekapcsolása | Engedélyezve. |
Biztonságiintelligencia-frissítések
| Leírás | Beállítás |
|---|---|
| Adja meg a biztonságiintelligencia-frissítések keresésének időközét | Engedélyezve, 4 |
| A források sorrendjének meghatározása a biztonságiintelligencia-frissítések letöltéséhez | Engedélyezve, a "Források sorrendjének meghatározása a biztonságiintelligencia-frissítések letöltéséhez" területen InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC Jegyzet: Ahol az InternalDefinitionUpdateServer a WSUS, Microsoft Defender víruskereső frissítések engedélyezettek. MicrosoftUpdateServer == Microsoft Update (korábban Windows Update). MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
Helyi rendszergazdaIV-beállítások letiltása
Tiltsa le a helyi rendszergazdaIV-beállításokat, például a kizárásokat, és kényszerítse ki a szabályzatokat a Végponthoz készült Microsoft Defender Biztonsági beállítások kezelése területen.
Gyökér:
| Leírás | Beállítás |
|---|---|
| Helyi rendszergazdai egyesítési viselkedés konfigurálása listákhoz | Letiltva |
| Annak szabályozása, hogy a kizárások láthatók-e a helyi rendszergazdák számára | Engedélyezve. |
Fenyegetés súlyossága – alapértelmezett művelet
\ Fenyegetések
| Leírás | Beállítás | Riasztási szint | Művelet |
|---|---|---|---|
| Adja meg a fenyegetésriasztási szinteket, amelyeknél az alapértelmezett műveletet nem szabad tenni az észleléskor | Engedélyezve. | ||
| 5 (súlyos) | 2 (Karantén) | ||
| 4 (magas) | 2 (Karantén) | ||
| 2 (közepes) | 2 (Karantén) | ||
| 1 (alacsony) | 2 (Karantén) |
\ Karantén
| Leírás | Beállítás |
|---|---|
| Elemek eltávolításának konfigurálása a Karantén mappából | Engedélyezve, 60 |
\ Ügyféloldali felület
| Leírás | Beállítás |
|---|---|
| Fej nélküli felhasználói felületi mód engedélyezése | Letiltva |
Hálózatvédelem
\ Microsoft Defender Exploit Guard\Network Protection:
| Leírás | Beállítás |
|---|---|
| A felhasználók és alkalmazások veszélyes webhelyekhez való hozzáférésének megakadályozása | Engedélyezve, Letiltva |
| Ez a beállítás azt szabályozza, hogy a Hálózatvédelem konfigurálható-e blokk- vagy naplózási módba Windows Server | Engedélyezve. |
A Windows Server hálózati védelmének engedélyezéséhez egyelőre használja a PowerShellt:
| Operációs rendszer | PowerShell-parancsmag |
|---|---|
| Windows Server 2012 R2 és újabb verziók | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Windows Server 2016 és Windows Server 2012 R2 egyesített MDE-ügyfél | set-MpPreference -AllowNetworkProtectionOnWinServer $true set-MpPreference -AllowNetworkProtectionDownLevel $ true |
Támadásifelület-csökkentési szabályok
Lépjen a Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender víruskereső>Microsoft Defender Biztonsági rés kiaknázása elleni védelem>támadási felületének csökkentése területére.
Válassza a Tovább gombot.
| Leírás | Beállítás |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 Megjegyzés: (A végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostáról) |
1 (Blokk) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Megjegyzés: (Az Adobe Reader gyermekfolyamatok létrehozásának letiltása) |
1 (Blokk) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc Megjegyzés: (Tiltsa le a potenciálisan elfedt szkriptek végrehajtását) |
1 (Blokk) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 Megjegyzés: (A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása) |
1 (Blokk) |
| 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b Megjegyzés: (Win32 API-hívások letiltása Office-makrókból) |
1 (Blokk) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 Megjegyzés: (Tiltsa le a futtatható fájlok futtatását, hacsak nem felelnek meg az előfordulási gyakoriságnak, az életkornak vagy a megbízható listafeltételnek) |
1 (Blokk) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 Megjegyzés: (Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása) |
1 (Blokk) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a Megjegyzés: (Az összes Office-alkalmazás gyermekfolyamatok létrehozásának letiltása) |
1 (Blokk) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Megjegyzés: ([ELŐZETES VERZIÓ] Másolt vagy megszemélyesített rendszereszközök használatának letiltása) |
1 (Blokk) |
| d3e037e1-3eb8-44c8-a917-57927947596d Megjegyzés: (A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában) |
1 (Blokk) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Megjegyzés: (Blokkolja a hitelesítő adatok ellopása a Windows helyi biztonsági hatóság alrendszeréből) |
1 (Blokk) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 Megjegyzés: (Webfelület-létrehozás letiltása kiszolgálókhoz) |
1 (Blokk) |
| 3b576869-a4ec-4529-8536-b80a7769e899 Megjegyzés: (Az Office-alkalmazások nem hozhatnak létre végrehajtható tartalmakat) |
1 (Blokk) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Megjegyzés: (USB-n futó nem megbízható és aláíratlan folyamatok letiltása) |
1 (Blokk) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Megjegyzés: (Megakadályozza, hogy az Office-alkalmazások kódot injektálnak más folyamatokba) |
1 (Blokk) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b Megjegyzés: (Az adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül) |
1 (Blokk) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 Megjegyzés: (Speciális védelem használata zsarolóprogramok ellen) |
1 (Blokk) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c Megjegyzés: (PSExec- és WMI-parancsokból származó folyamatlétrehozások blokkolása) |
1 (Blokk) Jegyzet: Ha Configuration Manager (korábban SCCM) vagy más, WMI-t használó felügyeleti eszközökkel rendelkezik, előfordulhat, hogy ezt az 1(blokk) helyett a 2 ('audit') értékre kell állítania. |
| 33ddedf1-c6e0-47cb-833e-de6133960387 Megjegyzés: ([ELŐZETES VERZIÓ] A gép újraindításának letiltása csökkentett módban) |
1 (Blokk) |
Tipp
Egyes szabályok blokkolhatják a szervezetben elfogadhatónak talált viselkedést. Ezekben az esetekben módosítsa a szabályt "Engedélyezve" állapotról "Naplózás" beállításra a nemkívánatos blokkok elkerülése érdekében.
Szabályozott mappahozzáférés
Lépjen a Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender víruskereső>Microsoft Defender Biztonsági rés kiaknázása elleni védelem>támadási felületének csökkentése területére.
| Leírás | Beállítás |
|---|---|
| Szabályozott mappahozzáférés konfigurálása | Engedélyezve, Letiltva |
Rendelje hozzá a szabályzatokat ahhoz a szervezeti egységhez, ahol a tesztgépek találhatók.
Illetéktelen módosítás elleni védelem engedélyezése
A Microsoft XDR portálon (security.microsoft.com) lépjen a Beállítások>Végpontok>Speciális funkciók>Illetéktelen módosítás elleni védelem>bekapcsolva területre.
További információ: Hogyan illetéktelen hozzáférés elleni védelem konfigurálása vagy kezelése?
A Cloud Protection hálózati kapcsolatának ellenőrzése
Fontos ellenőrizni, hogy a Cloud Protection hálózati kapcsolata működik-e a toll tesztelése során.
CMD (futtatás rendszergazdaként)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
További információ: A cmdline eszköz használata a felhőben biztosított védelem ellenőrzéséhez.
A platformfrissítés verziójának ellenőrzése
A legújabb "Platform Update" verziójú Éles csatorna (GA) itt érhető el:
Annak ellenőrzéséhez, hogy melyik platformfrissítési verzió van telepítve, használja a következő PowerShell-parancsot (futtatás rendszergazdaként):
get-mpComputerStatus | ft AMProductVersion
A biztonságiintelligencia-frissítés verziójának ellenőrzése
A biztonságiintelligencia-frissítés legújabb verziója itt érhető el:
A biztonságiintelligencia-frissítés telepített verziójának ellenőrzéséhez használja a következő PowerShell-parancsot (futtatás rendszergazdaként):
get-mpComputerStatus | ft AntivirusSignatureVersion
A motorfrissítés verziójának ellenőrzése
A legújabb "motorfrissítési" verzió itt érhető el:
Annak ellenőrzéséhez, hogy melyik motorfrissítési verzió van telepítve, használja a következő PowerShell-parancsot (futtatás rendszergazdaként):
get-mpComputerStatus | ft AMEngineVersion
Ha azt állapítja meg, hogy a beállítások nem lépnek érvénybe, ütközés történhet. Az ütközések elhárításához lásd: Microsoft Defender víruskereső beállításainak hibaelhárítása.
Hamis negatív (FN) beküldések esetén
Ha bármilyen kérdése van az AV Microsoft Defender által észlelt észleléssel kapcsolatban, vagy elmulasztott észlelést észlel, elküldhet nekünk egy fájlt.
Ha Microsoft XDR- vagy P2/P1-Végponthoz készült Microsoft Defender vagy Microsoft Defender Vállalati verzió rendelkezik: lásd: Fájlok küldése Végponthoz készült Microsoft Defender.
Ha Microsoft Defender víruskeresőt, tekintse meg a következőt:https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
Microsoft Defender AV szabványos Windows-értesítéseken keresztül észlelést jelez. Az észleléseket az Microsoft Defender AV alkalmazásban is áttekintheti.
A Windows eseménynaplója az észlelési és a motoreseményeket is rögzíti. Az eseményazonosítók és a hozzájuk tartozó műveletek listáját a Microsoft Defender Víruskereső eseményekkel foglalkozó cikkben találja.
Ha a beállítások nincsenek megfelelően alkalmazva, ellenőrizze, hogy vannak-e olyan ütköző szabályzatok, amelyek engedélyezve vannak a környezetben. További információ: Microsoft Defender víruskereső beállításainak hibaelhárítása.
Ha microsoftos támogatási esetet kell megnyitnia: Forduljon Végponthoz készült Microsoft Defender ügyfélszolgálathoz.