Оценка антивирусной программы Microsoft Defender с помощью групповая политика
Область применения:
- Антивирусная программа в Microsoft Defender
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
Платформы:
- Windows
В Windows 10 или более новых версиях и Windows Server 2016 или более новых версиях можно использовать функции защиты нового поколения, предоставляемые антивирусной программой Microsoft Defender (MDAV) и Microsoft Defender Exploit Guard (Microsoft Defender EG).
В этой статье объясняется, как включить и проверить функции защиты ключей в Microsoft Defender AV и Microsoft Defender EG, а также приводятся рекомендации и ссылки на дополнительные сведения.
В этой статье описываются параметры конфигурации в Windows 10 или более поздней версии, а также Windows Server 2016 или более поздней версии.
Использование антивирусной программы Microsoft Defender с помощью групповая политика для включения функций
В этом руководстве приведена Microsoft Defender антивирусная групповая политика, которая настраивает функции, которые следует использовать для оценки нашей защиты.
Получите последнюю версию "Административные шаблоны Windows групповая политика".
Дополнительные сведения см. в статье Создание и управление центральным магазином — клиент Windows.
Совет
- Windows one работает с серверами Windows.
- Даже если вы используете Windows 10 или Windows Server 2016, получите последние административные шаблоны для Windows 11 или более поздних версий.
Создайте "Центральное хранилище" для размещения последних шаблонов ADMX и ADML.
Дополнительные сведения см. в статье Создание и управление центральным магазином — клиент Windows.
При присоединении к домену:
Создайте новое наследование политики блока подразделения.
Откройте консоль управления групповой политикой (GPMC.msc).
Перейдите к разделу объекты групповая политика и создайте новую групповая политика.
Щелкните правой кнопкой мыши созданную политику и выберите Изменить.
Перейдите в разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа.
или
При присоединении к рабочей группе
Откройте групповая политика Редактор MMC (GPEdit.msc).
Перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа.
MDAV и потенциально нежелательные приложения (PUA)
Корень:
| Описание | Setting |
|---|---|
| Отключение антивирусной программы Microsoft Defender | Отключено |
| Настройка обнаружения для потенциально нежелательных приложений | Включено — блокировать |
Защита в режиме реального времени (постоянная защита, сканирование в режиме реального времени)
\ Защита в режиме реального времени.
| Описание | Setting |
|---|---|
| Отключение защиты в режиме реального времени | Отключено |
| Настройка мониторинга для входящих и исходящих файлов и действий программ | Включен, двунаправленный (полный доступ) |
| Включение мониторинга поведения | Включено |
| Мониторинг файлов и программ на компьютере | Включено |
Функции облачной защиты
Standard на подготовку и доставку обновлений аналитики безопасности может потребоваться несколько часов. Наша облачная служба защиты может обеспечить эту защиту за считанные секунды.
Дополнительные сведения см. в статье Использование технологий следующего поколения в Microsoft Defender Антивирусная программа с помощью облачной защиты.
\ КАРТЫ:
| Описание | Setting |
|---|---|
| Присоединение к Microsoft MAPS | Включено, Advanced MAPS |
| Настройка функции "Блокировать при первом взгляде" | Включено |
| Отправка примеров файлов при необходимости дальнейшего анализа | Включено, отправить все примеры |
\ MpEngine:
| Описание | Setting |
|---|---|
| Выбор уровня облачной защиты | Включено, высокий уровень блокировки |
| Настройка расширенных облачных проверка | Включено, 50 |
Сканирование
| Описание | Setting |
|---|---|
| Включение эвристики | Включено |
| Включение проверки электронной почты | Включено |
| Сканирование всех скачанных файлов и вложений | Включено |
| Включение сканирования скриптов | Включено |
| Сканирование архивных файлов | Включено |
| Сканирование упакованных исполняемых файлов | Включено |
| Настройка сканирования сетевых файлов (сканирование сетевых файлов) | Включено |
| Проверка съемных дисков | Включено |
| Включение проверки точек повторного анализа | Включено |
Обновления аналитики безопасности
| Описание | Setting |
|---|---|
| Укажите интервал проверка для обновлений аналитики безопасности | Включено, 4 |
| Определение порядка источников для скачивания обновлений аналитики безопасности | Включено в разделе "Определение порядка источников для скачивания обновлений аналитики безопасности" InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC Заметка: Где InternalDefinitionUpdateServer — это WSUS с разрешенными обновлениями антивирусной программы Microsoft Defender. MicrosoftUpdateServer == Центр обновления Майкрософт (ранее клиентский компонент Центра обновления Windows). MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
Отключение параметров антивирусной программы локального администратора
Отключите параметры антивирусной программы локального администратора, такие как исключения, и примените политики из Microsoft Defender для конечной точки Управление параметрами безопасности.
Корень:
| Описание | Setting |
|---|---|
| Настройка поведения слияния локального администратора для списков | Отключено |
| Управление тем, видны ли исключения локальным администраторам | Включено |
Действие по умолчанию для серьезности угроз
\ Угроз
| Описание | Setting | Уровень оповещений | Действие |
|---|---|---|---|
| Указание уровней оповещений об угрозах, на которых не следует выполнять действия по умолчанию при обнаружении | Включено | ||
| 5 (серьезный) | 2 (карантин) | ||
| 4 (высокий) | 2 (карантин) | ||
| 2 (средний) | 2 (карантин) | ||
| 1 (низкий) | 2 (карантин) |
\ Карантин
| Описание | Setting |
|---|---|
| Настройка удаления элементов из папки карантина | Включено, 60 |
\ Интерфейс клиента
| Описание | Setting |
|---|---|
| Включение режима безголового пользовательского интерфейса | Отключено |
Защита сети
\ Microsoft Defender Exploit Guard\Network Protection:
| Описание | Setting |
|---|---|
| Запрет доступа пользователей и приложений к опасным веб-сайтам | Включено, блокировать |
| Этот параметр определяет, можно ли настроить защиту сети в режиме блокировки или аудита на Windows Server | Включено |
Чтобы включить защиту сети для серверов Windows, на данный момент используйте PowerShell:
| ОС | Командлет PowerShell |
|---|---|
| Windows Server 2012 R2 и более поздних версий | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| единый клиент MDE Windows Server 2016 и Windows Server 2012 R2 | set-MpPreference -AllowNetworkProtectionOnWinServer $true set-MpPreference -AllowNetworkProtectionDownLevel $ true |
Правила уменьшения поверхности атаки
Перейдите к разделу Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа> Microsoft DefenderСокращение направлений атакExploit Guard>.
Нажмите кнопку Далее.
| Описание | Setting |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 Примечание. (Блокировать исполняемое содержимое из почтового клиента и веб-почты) |
1 (блок) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Примечание. (запретить Adobe Reader создавать дочерние процессы) |
1 (блок) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc Примечание. (Блокировать выполнение потенциально скрытых скриптов) |
1 (блок) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 Примечание. (Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами) |
1 (блок) |
| 92e97fa1-2edf-4476-bdd6-9d0b4dddc7b Примечание. (Блокировать вызовы API Win32 из макросов Office) |
1 (блок) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 Примечание. (Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия) |
1 (блок) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 Примечание. (Запретить приложению office для связи создавать дочерние процессы) |
1 (блок) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a Примечание. (Запретить всем приложениям Office создавать дочерние процессы) |
1 (блок) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Примечание. ([ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ] Запретить использование скопированных или олицетворенных системных средств) |
1 (блок) |
| d3e037e1-3eb8-44c8-a917-57927947596d Примечание. (Блокировать запуск скачаемого исполняемого содержимого в JavaScript или VBScript) |
1 (блок) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Примечание. (Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows) |
1 (блок) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 Примечание. (Создание веб-оболочки блокировать для серверов) |
1 (блок) |
| 3b576869-a4ec-4529-8536-b80a7769e899 Примечание. (Запрет приложений Office создавать исполняемое содержимое) |
1 (блок) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Примечание. (Блокировать недоверенные и неподписанные процессы, выполняемые с USB) |
1 (блок) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Примечание. (Запрет приложений Office внедрять код в другие процессы) |
1 (блок) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b Примечание. (Блокировка сохраняемости через подписку на события WMI) |
1 (блок) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 Примечание. (Используйте расширенную защиту от программ-шантажистов) |
1 (блок) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c Примечание. (Блокировать создание процессов, исходящих из команд PSExec и WMI) |
1 (блок) Заметка: Если у вас есть Configuration Manager (ранее SCCM) или другие средства управления, использующие WMI, может потребоваться задать значение 2 (аудит) вместо 1 ('block'). |
| 33ddedf1-c6e0-47cb-833e-de6133960387 Примечание. ([ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ] Блокировка перезагрузки компьютера в безопасном режиме) |
1 (блок) |
Совет
Некоторые правила могут блокировать поведение, допустимое в вашей организации. В таких случаях измените правило с "Включено" на "Аудит", чтобы предотвратить нежелательные блокировки.
Управляемый доступ к папкам
Перейдите к разделу Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа> Microsoft DefenderСокращение направлений атакExploit Guard>.
| Описание | Setting |
|---|---|
| Настройка управляемого доступа к папкам | Включено, блокировать |
Назначьте политики подразделению, в котором находятся тестовые компьютеры.
Включение защиты от незаконного изменения
На портале Microsoft XDR (security.microsoft.com) перейдите в раздел Параметры>Конечные> точкиДополнительные функции>Защита от незаконного изменения>вкл.
Дополнительные сведения см. в статье Разделы справки настройка или управление защитой от незаконного изменения?.
Проверка сетевого подключения к Cloud Protection
Важно проверка, что сетевое подключение Cloud Protection работает во время тестирования пера.
CMD (запуск от имени администратора)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Дополнительные сведения см. в статье Проверка облачной защиты с помощью средства cmdline.
Проверка версии обновления платформы
Последняя версия "Обновление платформы" Рабочий канал (GA) доступна здесь:
Чтобы проверка установленной версии "Обновление платформы", используйте следующую команду PowerShell (Запуск от имени администратора):
get-mpComputerStatus | ft AMProductVersion
Проверка версии обновления аналитики безопасности
Последняя версия "Обновление аналитики безопасности" доступна здесь:
Чтобы проверка установленной версии "Обновление аналитики безопасности", используйте следующую команду PowerShell (Запуск от имени администратора):
get-mpComputerStatus | ft AntivirusSignatureVersion
Проверка версии обновления ядра
Последняя версия обновления ядра сканирования доступна здесь:
Чтобы проверка какой версии установлено обновление ядра, используйте следующую команду PowerShell (Запуск от имени администратора):
get-mpComputerStatus | ft AMEngineVersion
Если вы обнаружили, что параметры не вдействуют, может возникнуть конфликт. Чтобы устранить конфликты, см. раздел Устранение неполадок Microsoft Defender параметров антивирусной программы.
Для отправки ложноотрицательных данных (FN)
Если у вас есть вопросы об обнаружении, которое Microsoft Defender av делает, или вы обнаружите пропущенное обнаружение, вы можете отправить нам файл.
Если у вас есть Microsoft XDR, Microsoft Defender для конечной точки P2/P1 или Microsoft Defender для бизнеса, см. раздел Отправка файлов в Microsoft Defender для конечной точки.
Если у вас Microsoft Defender антивирусная программа, см. следующие сведения:https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
Microsoft Defender AV указывает на обнаружение с помощью стандартных уведомлений Windows. Вы также можете просмотреть обнаружения в приложении Microsoft Defender AV.
Журнал событий Windows также записывает события обнаружения и обработчика. Список идентификаторов событий и соответствующих действий см. в статье о событиях антивирусной программы Microsoft Defender.
Если параметры применяются неправильно, узнайте, есть ли конфликтующие политики, которые включены в вашей среде. Дополнительные сведения см. в статье Устранение неполадок Microsoft Defender параметров антивирусной программы.
Если вам нужно обратиться в службу поддержки Майкрософт, обратитесь в службу поддержки Microsoft Defender для конечной точки.