Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Когда антивирусная программа Microsoft Defender выполняет проверку, она пытается устранить или удалить обнаруженные угрозы. Действия по исправлению могут включать удаление файла, отправку его в карантин или разрешение на сохранение. Эта статья содержит сведения и ссылки на ресурсы о том, какие действия следует предпринять при обнаружении угроз на устройствах. Вы можете выбрать один из нескольких методов, например:
Важно!
Microsoft Defender антивирусная программа обнаруживает и исправляет файлы на основе многих факторов. Иногда для завершения исправления требуется перезагрузка. Даже если позже будет установлено, что обнаружение будет ложноположительным, перезагрузка должна быть завершена, чтобы убедиться, что все дополнительные шаги по исправлению завершены.
Если вы уверены, что Microsoft Defender Antivirus поместил файл в карантин из-за ложного срабатывания, вы можете восстановить файл из карантина после перезагрузки устройства. См. Восстановление файлов из карантина в антивирусной программе Microsoft Defender. Чтобы избежать ложноположительных карантинов в будущем, можно исключить файлы из сканирования. См. Настройка и проверка исключений для сканирования антивирусной программой Microsoft Defender.
Сведения о планировании сканирования и связанных параметрах исправления см. в разделе "Сведения о регулярных быстрых и полных сканированиях с помощью антивирусной программы Microsoft Defender".
Предварительные условия
Поддерживаемые операционные системы
- Windows
Настройка параметров исправления с помощью Intune
Сведения о настройке действий по исправлению с помощью политики антивирусной программы Microsoft Intune Endpoint Security см. в статье Создание политики безопасности конечной точки (открывается на новой вкладке в документации по Intune). При создании политики используйте следующие параметры:
Тип политики: сокращение направлений атаки
Платформа: Windows
Профиль: антивирусная программа Microsoft Defender
Параметры конфигурации. В разделе Действие безопасности угроз по умолчанию настройте доступные параметры:
- Действие по исправлению угроз с высоким уровнем серьезности
- Действие по исправлению серьезных угроз
- Действие по исправлению угроз с низкой степенью серьезности
- Действие по исправлению угроз средней серьезности
с доступным значением действия:
- Не настроено (по умолчанию)
- Clean
- Карантин
- Remove
- Разрешить
- Определяемый пользователем
- Блокировка
Предупреждение
Разрешить не устраняет обнаруженные угрозы и подавляет текущие события обнаружения. Не настраивайте это действие, если включена защита от изменения. Используйте разрешить только в специализированных средах (например, промышленных системах управления или критической инфраструктуре), где:
- Автоматическое исправление нецелесообразно для операций.
- Существуют другие процедуры для реагирования на обнаруженные угрозы.
- Внедрены компенсирующие меры защиты.
Используйте стандартные действия по исправлению (очистка, карантин, удаление или блокировка) во всех остальных средах.
Дополнительные сведения о политиках антивирусной программы в Intune см. в статье Антивирусная политика для защиты конечных точек в Intune.
Настройка параметров исправления с помощью Configuration Manager
Если вы используете Configuration Manager, ознакомьтесь со следующими статьями:
Настройте параметры исправления с помощью групповой политики
Чтобы настроить параметры исправления в групповой политике, выполните следующие действия.
На компьютере, с которого выполняется управление групповыми политиками, откройте консоль управления групповыми политиками и измените объект групповой политики, который требуется настроить.
В редакторе управления групповая политикаперейдите в раздел Конфигурация компьютера и выберите Административные шаблоны.
Разверните дерево до компонентов Windows>Антивирус Microsoft Defender.
Используя следующую таблицу, измените политику при необходимости.
Настройка Описание Параметр по умолчанию (если не настроен) Сканирование
Создайте точку восстановления системы.Точка восстановления системы создается каждый день перед попыткой очистки или сканирования. Отключено Сканирование
Включите удаление элементов из папки журнала сканирования.Укажите, сколько дней элементы должны храниться в журнале сканирования. 30 дней Корень
Отключите регулярное исправление.Укажите, будет ли антивирусная программа Microsoft Defender автоматически устранять угрозы или запрашивать у пользователя. Отключён. Угрозы устраняются автоматически. Карантин
Настройте удаление элементов из папки карантина.Укажите, сколько дней элементы должны храниться в карантине перед удалением. 90 дней Угрозы > Укажите угрозы, для которых не следует выполнять действия по умолчанию при обнаружении. Укажите способ устранения конкретных угроз (с помощью их идентификатора угрозы). Можно указать, следует ли помещать в карантин, удалять или игнорировать конкретную угрозу. Неприменимо Угрозы > Укажите уровни оповещений об угрозах, при которых при обнаружении не следует выполнять действие по умолчанию. Каждой угрозе, обнаруженной антивирусной программой Microsoft Defender, назначается уровень угрозы: -
1: Низкий -
2:Средний -
4: Высокий -
5:Тяжелой
-
2:Карантина -
3:Удалить -
6:Игнорировать -
11:Ни один
6) и None (11) не устраняют обнаруженные угрозы. Игнорировать (6) подавляет текущие события обнаружения, а Нет (11) продолжает создавать оповещения и записи в журнале защиты. Не настраивайте ни одно действие, если включена защита от изменения. Используйте эти действия только в специализированных средах (например, в системах промышленного управления или критической инфраструктуре), где автоматическое исправление нецелесообразно для операций, существуют другие процедуры реагирования на обнаруженные угрозы или развертываются компенсирующие средства управления безопасностью. Используйте стандартные действия по устранению (Поместить в карантин (2) или Удалить (3)) во всех остальных средах.Неприменимо -
Нажмите OK.
Настройка параметров исправления с помощью PowerShell или WMI
Можно также использовать Set-MpPreferenceкомандлет PowerShell или MSFT_MpPreferenceкласс WMI для настройки параметров действия по умолчанию и устранения угроз.
См. также
Рекомендации по настройке Defender для конечных точек для конкретных платформ см. в следующих статьях: