Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В Windows 10 или более поздней версии, а также в Windows Server 2016 или более поздней версии можно использовать функции защиты следующего поколения, предоставляемые антивирусной программой Microsoft Defender (MDAV) и Microsoft Defender Exploit Guard (Microsoft Defender EG).
В этой статье описываются параметры конфигурации, доступные в Windows 10 и более поздних версиях, а также в Windows Server 2016 и более поздних версиях. В ней содержатся пошаговые инструкции по активации и тестированию ключевых функций защиты в Microsoft Defender Антивирусная программа (MDAV) и Microsoft Defender для конечной точки (EG).
Если у вас есть вопросы об обнаружении, которое выполняет MDAV, или вы обнаружили пропущенное обнаружение, вы можете отправить нам файл на нашем сайте справки по образцу отправки.
Использование Microsoft Defender управления параметрами безопасности конечных точек (политики безопасности конечных точек) для включения функций
В этом разделе описывается управление параметрами безопасности Microsoft Defender для конечной точки (политики безопасности конечных точек), которые настраивают функции, которые следует использовать для оценки нашей защиты.
MDAV указывает на обнаружение с помощью стандартных уведомлений Windows. Вы также можете просмотреть обнаружения в приложении MDAV. Для этого см. раздел Проверка результатов проверки Microsoft Defender антивирусной программы.
Журнал событий Windows также записывает события обнаружения и обработчика. Список идентификаторов событий и соответствующих действий см. в статье события антивирусной программы Microsoft Defender. Сведения о списке идентификаторов событий и их соответствующих действиях см. в статье Просмотр журналов событий и кодов ошибок для устранения неполадок с антивирусной программой Microsoft Defender.
Чтобы настроить параметры, которые необходимо использовать для тестирования функций защиты, выполните следующие действия.
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политикибезопасности конечных точекуправления>конфигурацией конечных> точек. Или, чтобы перейти непосредственно на страницу Политики безопасности конечных точек , используйте https://security.microsoft.com/policy-inventory политики Windows.
На странице Политики безопасности конечных точек убедитесь, что выбрана вкладка Политики Windows, а затем выберите Создать новую политику.
Во всплывающем окне Создание политики настройте следующие параметры:
- Выберите платформу. Выберите Windows.
- Выбор шаблона: выберите Microsoft Defender Антивирусная программа.
Нажмите Создать политику.
Откроется мастер создания новой политики. На странице Основные настройте следующие параметры:
- Имя: введите уникальное имя политики.
- Описание: введите необязательное описание.
Нажмите Далее.
На странице Параметры конфигурации настройте параметры в разделе Defender , как описано в следующих таблицах:
Защита в режиме реального времени:
Параметр Значение Разрешить мониторинг в режиме реального времени Разрешены. Включает и запускает службу мониторинга в режиме реального времени. (по умолчанию) Направление сканирования в режиме реального времени Мониторинг всех файлов (двунаправленный). (по умолчанию) Разрешить мониторинг поведения Разрешены. Включает мониторинг поведения в режиме реального времени (по умолчанию). Разрешить защиту доступа Разрешены. (по умолчанию) Защита от pua Защита от pua включено. Обнаруженные элементы блокируются. Они будут отображаться в истории вместе с другими угрозами. Функции облачной защиты:
Параметр Значение Разрешить облачную защиту Разрешены. Включает облачную защиту. (по умолчанию) Уровень блокировки облака Высокая Время ожидания расширенного облака Настроено, 50 Согласие на отправку примеров Автоматическая отправка всех примеров подготовка и доставка обновлений аналитики безопасности Standard может занять несколько часов. Наша облачная служба защиты может обеспечить эту защиту за считанные секунды. Дополнительные сведения см. в статье Использование технологий следующего поколения в Microsoft Defender Антивирусная программа с помощью облачной защиты.
Сканирование:
Параметр Значение Разрешить сканирование Email Разрешены. Включает проверку электронной почты. Разрешить сканирование всех скачанных файлов и вложений Разрешены. (по умолчанию) Разрешить сканирование скриптов Разрешены. (по умолчанию) Разрешить сканирование Архив Разрешены. Сканирует архивные файлы. (по умолчанию) Разрешить сканирование сетевых Files Разрешены. Сканирует сетевые файлы. (по умолчанию) Разрешить полное сканирование съемного диска Разрешены. Проверяет съемные диски. Защита сети:
Параметр Значение Включение защиты сети Включено (блочный режим) Разрешить защиту сети на нижнем уровне Защита сети будет включена в нижнем уровневом режиме. Разрешить обработку datagram на Win Server Обработка данных на Windows Server включена. Отключение синтаксического анализа DNS через TCP Синтаксический анализ DNS через TCP включен (по умолчанию) Отключение синтаксического анализа HTTP Синтаксический анализ HTTP включен (по умолчанию) Отключение синтаксического анализа SSH Синтаксический анализ SSH включен (по умолчанию) Отключение синтаксического анализа TLS Синтаксический анализ включен (по умолчанию) Обновления аналитики безопасности:
Параметр Значение Интервал обновления подписи Настроено, 4 Резервный порядок обновления подписи - Выберите Добавить для того количества резервных источников, сколько нужно указать.
- Введите одно из следующих значений в каждом поле в нужном порядке:
-
InternalDefinitionUpdateServer: ваш собственный сервер WSUS с разрешенными обновлениями антивирусной программы Microsoft Defender. -
MicrosoftUpdateServer: Центр обновления Майкрософт. -
MMPC:https://www.microsoft.com/wdsi/definitions
-
Чтобы удалить резервный источник (заполненный или пустой), выберите поле проверка рядом с полем и нажмите кнопку Удалить.Антивирусная программа локального администратора:
Отключите параметры антивирусной программы локального администратора, такие как исключения, и задайте политики из Microsoft Defender для конечной точки Управление параметрами безопасности, как описано в следующей таблице.
Параметр Значение Отключение локального Администратор слияния Отключение локального Администратор слияния Действие по умолчанию для серьезности угроз:
Параметр Значение Действие по исправлению угроз с высоким уровнем серьезности Карантин. Перемещение файлов в карантин. Действие по исправлению серьезных угроз Карантин. Перемещение файлов в карантин. Действие по исправлению угроз с низкой степенью серьезности Карантин. Перемещение файлов в карантин. Действие по исправлению угроз средней серьезности Карантин. Перемещение файлов в карантин. Параметры карантина
Параметр Значение Дни для хранения очищенных вредоносных программ Настроено, 60 Разрешение доступа пользователей к пользовательскому интерфейсу Разрешены. Предоставление пользователям доступа к пользовательскому интерфейсу. (по умолчанию)
Завершив работу на странице Параметры конфигурации , нажмите кнопку Далее.
На странице Назначения щелкните поле и выберите из следующих значений:
- Все пользователи или Все устройства.
- При поиске и выборе одной или нескольких доступных групп можно использовать значение Целевой тип в записи группы для включения или исключения участников группы.
Завершив работу на странице Назначения , нажмите кнопку Далее.
На странице Просмотр и создание просмотрите параметры. Выберите Назад или выберите имя страницы, чтобы внести изменения.
Завершив работу на странице Проверка и создание , нажмите кнопку Сохранить.
После создания политики вы перейдете на страницу сведений о новой политике.
Выберите Политики безопасности конечных точек в верхней части страницы, чтобы вернуться на страницу Политики безопасности конечных точек, где указана новая политика со значением типа политикиMicrosoft Defender Антивирусная программа.
Правила сокращения направлений атак
Чтобы включить правила сокращения направлений атак (ASR) с помощью политик безопасности конечных точек, сделайте следующее:
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политикибезопасности конечных точекуправления>конфигурацией конечных> точек. Или, чтобы перейти непосредственно на страницу Политики безопасности конечных точек , используйте https://security.microsoft.com/policy-inventory политики Windows.
На странице Политики безопасности конечных точек убедитесь, что выбрана вкладка Политики Windows, а затем выберите Создать новую политику.
Во всплывающем окне Создание политики настройте следующие параметры:
- Выберите платформу. Выберите Windows.
- Выберите шаблон: выберите Правила сокращения направлений атак.
Нажмите Создать политику.
Откроется мастер создания новой политики. На странице Основные настройте следующие параметры:
- Имя: введите уникальное имя политики.
- Описание: введите необязательное описание.
Нажмите Далее.
На странице Параметры конфигурации настройте параметры на основе следующих рекомендаций:
Параметр Значение Блокировка исполняемого содержимого из почтового клиента и веб-почты Блокировка Запретить Adobe Reader создавать дочерние процессы Блокировка Блокировать выполнение потенциально запутывающихся скриптов Блокировка Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами (устройство) Блокировка Блокировка вызовов API Win32 из макросов Office Блокировка Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия Блокировка Запретить приложению Office для общения создавать дочерние процессы Блокировка Запретить всем приложениям Office создавать дочерние процессы Блокировка Блокировать использование скопированных или олицетворенных системных средств Блокировка Блокировка запуска скачаемого исполняемого содержимого в JavaScript или VBScript Блокировка Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows Блокировка Блокировать создание WebShell для серверов Блокировка Запрет приложениям Office создавать исполняемое содержимое Блокировка Блокировка недоверенных и неподписанных процессов, выполняемых с USB Блокировка Запрет приложений Office от внедрения кода в другие процессы Блокировка Блокировка сохраняемости с помощью подписки на события WMI Блокировка Использование расширенной защиты от программ-шантажистов Блокировка Блокировать создание процессов из команд PSExec и WMI Блокировать (если у вас есть Configuration Manager (ранее SCCM) или другие средства управления, использующие WMI, может потребоваться задать значение Аудит, а не Блокировать. Блокировка перезагрузки компьютера в безопасном режиме Блокировка Включение управляемого доступа к папкам Включено
Совет
Любое из правил может блокировать поведение, допустимое в организации. В таких случаях добавьте исключения для каждого правила с именем "Исключения только для уменьшения направлений атак". Кроме того, измените правило с Включено на Аудит , чтобы предотвратить нежелательные блокировки.
На странице Назначения щелкните поле и выберите из следующих значений:
- Все пользователи или Все устройства.
- При поиске и выборе одной или нескольких доступных групп можно использовать значение Целевой тип в записи группы для включения или исключения участников группы.
Завершив работу на странице Назначения , нажмите кнопку Далее.
На странице Просмотр и создание просмотрите параметры. Выберите Назад или выберите имя страницы, чтобы внести изменения.
Завершив работу на странице Проверка и создание , нажмите кнопку Сохранить.
После создания политики вы перейдете на страницу сведений о новой политике.
Выберите Политики безопасности конечных точек в верхней части страницы, чтобы вернуться на страницу Политики безопасности конечных точек , где указана новая политика со значением Тип политикиПравила сокращения направлений атак.
Включение защиты от незаконного изменения
Войдите в Microsoft Defender XDR.
Перейдите в раздел Конечные точки Управление конфигурацией >> Политики > безопасности конечных точек Политики > Windows Создать новую политику.
Выберите Windows 10, Windows 11 и Windows Server в раскрывающемся списке Выбор платформы.
Выберите Интерфейс безопасности в раскрывающемся списке Выбор шаблона .
Нажмите Создать политику. Откроется страница Создание политики .
На странице Основные сведения введите имя и описание профиля в полях Имя и Описание соответственно.
Нажмите кнопку Далее.
На странице Параметры конфигурации разверните группы параметров.
В этих группах выберите параметры, которыми вы хотите управлять с помощью этого профиля.
Настройте политики для выбранных групп параметров, настроив их, как описано в следующей таблице:
Описание Setting TamperProtection (Device) Вкл.
Проверка сетевого подключения к Cloud Protection
Важно убедиться, что сетевое подключение Cloud Protection работает во время тестирования на проникновение.
В командной строке с повышенными привилегиями (окно командной строки, открытое путем выбора запуска от имени администратора) выполните следующие команды:
Совет
Первая команда изменяет каталог на последнюю версию платформы> защиты от вредоносных <программ в %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Если этот путь не существует, он отправляется в %ProgramFiles%\Windows Defender.
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
MpCmdRun.exe -ValidateMapsConnection
Дополнительные сведения см. в статье Настройка и управление антивирусной программой Microsoft Defender с помощью средства командной строки MpCmdRun.
Проверка версии обновления платформы
Последняя версия "Обновление платформы" Рабочий канал (GA) доступна в каталоге Центра обновления Майкрософт.
Чтобы проверка установленной версии "Обновление платформы", выполните следующую команду в PowerShell с правами администратора:
Get-MPComputerStatus | Format-Table AMProductVersion
Проверка версии обновления аналитики безопасности
Последняя версия "Security Intelligence Update" доступна в разделе Последние обновления аналитики безопасности для антивирусной программы Microsoft Defender и других вредоносных программ Майкрософт — портал для обнаружения угроз (Microsoft).
Чтобы проверка установленной версии "Обновление аналитики безопасности", выполните следующую команду в PowerShell с правами администратора:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
Проверка версии обновления ядра
Последняя версия обновления ядра доступна в разделе Последние обновления аналитики безопасности для Microsoft Defender антивирусной программы и других вредоносных программ Майкрософт — портал для обнаружения угроз (Microsoft).
Чтобы проверка установленной версии обновления ядра, выполните следующую команду в PowerShell с правами администратора:
Get-MPComputerStatus | Format-Table AMEngineVersion
Если вы обнаружите, что параметры не действуют, может возникнуть конфликт. Сведения об устранении конфликтов см. в статье Устранение неполадок Microsoft Defender параметров антивирусной программы.
Для отправки ложноотрицательных данных (FN)
Сведения о том, как отправлять ложные отрицательные типы (FN), см. в разделе:
- Отправляйте файлы в Microsoft Defender для конечной точки, если у вас есть Microsoft XDR, Microsoft Defender для конечной точки P2/P1 или Microsoft Defender для бизнеса.
- Отправьте файлы для анализа, если у вас Microsoft Defender антивирусная программа.