Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В Windows 10 или более поздней версии, а также в Windows Server 2016 или более поздней версии можно использовать функции защиты следующего поколения, предоставляемые антивирусной программой Microsoft Defender (MDAV) и Microsoft Defender Exploit Guard (Microsoft Defender EG).
В этой статье описываются параметры конфигурации, доступные в Windows 10 и более поздних версиях, а также в Windows Server 2016 и более поздних версиях. В ней содержатся пошаговые инструкции по активации и тестированию ключевых функций защиты в Microsoft Defender Антивирусная программа (MDAV) и Microsoft Defender для конечной точки (EG).
Если у вас есть вопросы об обнаружении, которое выполняет MDAV, или вы обнаружили пропущенное обнаружение, вы можете отправить нам файл на нашем сайте справки по образцу отправки.
Использование Microsoft Defender управления параметрами безопасности конечных точек (политики безопасности конечных точек) для включения функций
В этом разделе описывается управление параметрами безопасности Microsoft Defender для конечной точки (политики безопасности конечных точек), которые настраивают функции, которые следует использовать для оценки нашей защиты.
MDAV указывает на обнаружение с помощью стандартных уведомлений Windows. Вы также можете просмотреть обнаружения в приложении MDAV. Для этого см. раздел Проверка результатов проверки Microsoft Defender антивирусной программы.
Журнал событий Windows также записывает события обнаружения и обработчика. Список идентификаторов событий и соответствующих действий см. в статье события антивирусной программы Microsoft Defender. Сведения о списке идентификаторов событий и их соответствующих действиях см. в статье Просмотр журналов событий и кодов ошибок для устранения неполадок с антивирусной программой Microsoft Defender.
Чтобы настроить параметры, которые необходимо использовать для тестирования функций защиты, выполните следующие действия.
Войдите в Microsoft Defender XDR.
Перейдите в раздел Конечные точки Управление конфигурацией >> Политики > безопасности конечных точек Политики > Windows Создать новую политику.
Выберите Windows 10, Windows 11 и Windows Server в раскрывающемся списке Выбор платформы.
Выберите Microsoft Defender Антивирусная программа в раскрывающемся списке Выбор шаблона.
Нажмите Создать политику. Откроется страница Создание политики .
На странице Основные сведения введите имя и описание профиля в полях Имя и Описание соответственно.
Нажмите кнопку Далее.
На странице Параметры конфигурации разверните группы параметров.
В этих группах параметров выберите параметры, которыми вы хотите управлять с помощью этого профиля.
Задайте политики для выбранных групп параметров, настроив параметры, как описано в следующих таблицах:
Защита в режиме реального времени (постоянная защита, сканирование в режиме реального времени):
Описание Параметры Разрешить мониторинг в режиме реального времени Разрешено Направление сканирования в режиме реального времени Мониторинг всех файлов (двунаправленный) Разрешить мониторинг поведения Разрешено Разрешить защиту доступа Разрешено Защита от pua Защита puA в Функции облачной защиты:
Описание Setting Разрешить облачную защиту Разрешено Уровень блокировки облака Высокая Время ожидания расширенного облака Настроено, 50 Согласие на отправку примеров Автоматическая отправка всех примеров
Standard на подготовку и доставку обновлений аналитики безопасности может потребоваться несколько часов. Наша облачная служба защиты может обеспечить эту защиту за считанные секунды. Дополнительные сведения см. в статье Использование технологий следующего поколения в Microsoft Defender Антивирусная программа с помощью облачной защиты.
Сканирование:
| Описание | Setting |
|---|---|
| Разрешить сканирование Email | Разрешено |
| Разрешить сканирование всех скачанных файлов и вложений | Разрешено |
| Разрешить сканирование скриптов | Разрешено |
| Разрешить сканирование Архив | Разрешено |
| Разрешить сканирование сетевых файлов | Разрешено |
| Разрешить полное сканирование съемного диска | Разрешено |
Защита сети:
| Описание | Setting |
|---|---|
| Включение защиты сети | Включено (блочный режим) |
| Разрешить защиту сети на нижнем уровне | Защита сети включена в нижнем уровневом режиме. |
| Разрешить обработку datagram на Win Server | Обработка данных на Windows Server включена. |
| Отключение синтаксического анализа DNS через TCP | Синтаксический анализ DNS через TCP включен. |
| Отключение синтаксического анализа HTTP | Синтаксический анализ HTTP включен. |
| Отключение синтаксического анализа SSH | Синтаксический анализ SSH включен. |
| Отключение синтаксического анализа TLS | Синтаксический анализ TLS включен. |
| Включение приемника DNS | Включена воронка DNS. |
Обновления аналитики безопасности:
| Описание | Setting |
|---|---|
| Интервал обновления подписи | Настроено, 4 |
Описание. Настройка резервного порядка обновления подписи. Установите флажок для резервного обновления подписи
InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, где InternalDefinitionUpdateServer — это WSUS с разрешенными обновлениями антивирусной программы Microsoft Defender; MicrosoftUpdateServer = Центр обновления Майкрософт (ранее клиентский компонент Центра обновления Windows); и MMPC = https://www.microsoft.com/en-us/wdsi/definitions.
Антивирусная программа локального администратора:
Отключите параметры антивирусной программы локального администратора, такие как исключения, и задайте политики из Microsoft Defender для конечной точки Управление параметрами безопасности, как описано в следующей таблице.
| Описание | Setting |
|---|---|
| Отключение локального Администратор слияния | Отключение локального Администратор слияния |
Действие по умолчанию для серьезности угроз:
| Описание | Setting |
|---|---|
| Действие по исправлению угроз с высоким уровнем серьезности | Quarantine |
| Действие по исправлению серьезных угроз | Quarantine |
| Действие по исправлению угроз с низкой степенью серьезности | Quarantine |
| Действие по исправлению угроз средней серьезности | Карантин |
| Описание | Setting |
|---|---|
| Количество дней, в течение нескольких дней для очистки | Настроено, 60 |
| Разрешение доступа пользователей к пользовательскому интерфейсу | Дозволенный. Предоставление пользователям доступа к пользовательскому интерфейсу. |
- Завершив настройку параметров, нажмите Далее.
- На вкладке Назначения выберите Группа устройств или Группа пользователей или Все устройства или Все пользователи.
- Нажмите кнопку Далее.
- На вкладке Просмотр и создание проверьте параметры политики и нажмите кнопку Сохранить.
Правила сокращения направлений атак
Чтобы включить правила сокращения направлений атак (ASR) с помощью политик безопасности конечных точек, выполните следующие действия.
Войдите в Microsoft Defender XDR.
Перейдите в раздел Конечные точки Управление конфигурацией >> Политики > безопасности конечных точек Политики > Windows Создать новую политику.
Выберите Windows 10, Windows 11 и Windows Server в раскрывающемся списке Выбор платформы.
Выберите Правила сокращения направлений атак в раскрывающемся списке Выбор шаблона .
Нажмите Создать политику.
На странице Основные сведения введите имя и описание профиля. затем нажмите кнопку Далее.
На странице Параметры конфигурации разверните группы параметров и настройте параметры, которыми вы хотите управлять с помощью этого профиля.
Настройте политики на основе следующих рекомендуемых параметров:
Описание Setting Блокировка исполняемого содержимого из почтового клиента и веб-почты Блокировка Запретить Adobe Reader создавать дочерние процессы Блокировка Блокировать выполнение потенциально запутывающихся скриптов Блокировка Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами (устройство) Блокировка Блокировка вызовов API Win32 из макросов Office Блокировка Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия Блокировка Запретить приложению Office для общения создавать дочерние процессы Блокировка Запретить всем приложениям Office создавать дочерние процессы Блокировка [ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ] Блокировать использование скопированных или олицетворенных системных средств Блокировка Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript Блокировка Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows Блокировка Блокировать создание веб-оболочки для серверов Блокировка Запрет приложениям Office создавать исполняемое содержимое Блокировка Блокировка недоверенных и неподписанных процессов, выполняемых с USB Блокировка Запрет приложений Office от внедрения кода в другие процессы Блокировка Блокировка сохраняемости с помощью подписки на события WMI Блокировка Использование расширенной защиты от программ-шантажистов Блокировка Блокировать создание процессов из команд PSExec и WMI Блокировать (если у вас есть Configuration Manager (ранее SCCM) или другие средства управления, использующие WMI, может потребоваться задать значение Аудит, а не Блокировать. [ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ] Блокировка перезагрузки компьютера в безопасном режиме Блокировка Включение управляемого доступа к папкам Включено
Совет
Любое из правил может блокировать поведение, допустимое в организации. В таких случаях добавьте исключения для каждого правила с именем "Исключения только для уменьшения направлений атак". Кроме того, измените правило с Включено на Аудит , чтобы предотвратить нежелательные блокировки.
- Нажмите кнопку Далее.
- На вкладке Назначения выберите Группа устройств или Группа пользователей или Все устройства или Все пользователи.
- Нажмите кнопку Далее.
- На вкладке Просмотр и создание проверьте параметры политики и нажмите кнопку Сохранить.
Включение защиты от незаконного изменения
Войдите в Microsoft Defender XDR.
Перейдите в раздел Конечные точки Управление конфигурацией >> Политики > безопасности конечных точек Политики > Windows Создать новую политику.
Выберите Windows 10, Windows 11 и Windows Server в раскрывающемся списке Выбор платформы.
Выберите Интерфейс безопасности в раскрывающемся списке Выбор шаблона .
Нажмите Создать политику. Откроется страница Создание политики .
На странице Основные сведения введите имя и описание профиля в полях Имя и Описание соответственно.
Нажмите кнопку Далее.
На странице Параметры конфигурации разверните группы параметров.
В этих группах выберите параметры, которыми вы хотите управлять с помощью этого профиля.
Настройте политики для выбранных групп параметров, настроив их, как описано в следующей таблице:
Описание Setting TamperProtection (Device) Вкл.
Проверка сетевого подключения к Cloud Protection
Важно проверка, что сетевое подключение Cloud Protection работает во время тестирования на проникновение.
CMD (запуск от имени администратора)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Дополнительные сведения См. в средстве cmdline для проверки облачной защиты.
Проверка версии обновления платформы
Последняя версия "Обновление платформы" Рабочий канал (GA) доступна в каталоге Центра обновления Майкрософт.
Чтобы проверка установленной версии "Обновление платформы", выполните следующую команду в PowerShell с правами администратора:
Get-MPComputerStatus | Format-Table AMProductVersion
Проверка версии обновления аналитики безопасности
Последняя версия "Security Intelligence Update" доступна в разделе Последние обновления аналитики безопасности для антивирусной программы Microsoft Defender и других вредоносных программ Майкрософт — портал для обнаружения угроз (Microsoft).
Чтобы проверка установленной версии "Обновление аналитики безопасности", выполните следующую команду в PowerShell с правами администратора:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
Проверка версии обновления ядра
Последняя версия обновления ядра доступна в разделе Последние обновления аналитики безопасности для Microsoft Defender антивирусной программы и других вредоносных программ Майкрософт — портал для обнаружения угроз (Microsoft).
Чтобы проверка установленной версии обновления ядра, выполните следующую команду в PowerShell с правами администратора:
Get-MPComputerStatus | Format-Table AMEngineVersion
Если вы обнаружите, что ваши параметры не действуют, может возникнуть конфликт. Сведения об устранении конфликтов см. в статье Устранение неполадок Microsoft Defender параметров антивирусной программы.
Для отправки ложноотрицательных данных (FN)
Сведения о том, как отправлять ложные отрицательные данные (FN), см. в разделе:
- Отправляйте файлы в Microsoft Defender для конечной точки, если у вас есть Microsoft XDR, Microsoft Defender для конечной точки P2/P1 или Microsoft Defender для бизнеса.
- Отправьте файлы для анализа, если у вас Microsoft Defender антивирусная программа.