Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье объясняется, как включить и проверить ключевые функции защиты в Microsoft Defender Антивирусная программа и Microsoft Defender Exploit Guard в текущих версиях Microsoft Windows и Windows Server.
Предварительные условия
Поддерживаемые операционные системы
- Windows 10 или более поздней версии
- Windows Server 2016 или более поздней версии
Использование антивирусной программы Microsoft Defender с помощью групповая политика для включения функций
В этом разделе описывается использование центрального хранилища групповая политика для настройки Microsoft Defender антивирусной программы для оценки.
Скачайте последние файлы административных шаблонов по ссылкам, чтобы скачать файлы административных шаблонов на основе версии операционной системы.
Совет
Ознакомьтесь с разделом Требования к системе на отдельных страницах скачивания:
- Большинство загрузок поддерживают клиенты Windows и серверы Windows.
- Получите последнюю доступную и применимую загрузку.
Выполните одну из следующих процедур, чтобы создать центральное хранилище для размещения последних шаблонов ADMX и ADML:
Домены:
- Создайте новое подразделение, чтобы заблокировать наследование политики.
- Откройте консоль управления групповой политикой (gpmc.msc).
- Перейдите в раздел групповая политика Объекты и создайте групповую политику.
- Щелкните правой кнопкой мыши новую групповую политику и выберите изменить.
- Перейдите в разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа.
Рабочие группы:
- Откройте редактор групповых политик (gpedit.msc).
- Перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа.
Дополнительные сведения см. в статье Создание и управление центральным магазином — клиент Windows.
MDAV и потенциально нежелательные приложения (PUA)
Корневой каталог:
| Описание | Setting |
|---|---|
| Отключение антивирусной программы Microsoft Defender | Отключено |
| Настройка обнаружения для потенциально нежелательных приложений | Включено — блокировать |
Защита в режиме реального времени (постоянная защита, сканирование в режиме реального времени)
Защита в режиме реального времени:
| Описание | Setting |
|---|---|
| Отключение защиты в режиме реального времени | Отключено |
| Настройка мониторинга для входящих и исходящих файлов и действий программ | Включен, двунаправленный (полный доступ) |
| Включение мониторинга поведения | Включено |
| Мониторинг файлов и программ на компьютере | Включено |
Функции облачной защиты
Standard на подготовку и доставку обновлений аналитики безопасности может потребоваться несколько часов. Наша облачная служба защиты может обеспечить эту защиту за считанные секунды.
Дополнительные сведения см. в статье Использование технологий следующего поколения в Microsoft Defender Антивирусная программа с помощью облачной защиты.
MAPS:
| Описание | Setting |
|---|---|
| Присоединение к Microsoft MAPS | Включено, Advanced MAPS |
| Настройка функции "Блокировать при первом взгляде" | Включено |
| Отправка примеров файлов при необходимости дальнейшего анализа | Включено, отправить все примеры |
MpEngine:
| Описание | Setting |
|---|---|
| Выбор уровня облачной защиты | Включено, высокий уровень блокировки |
| Настройка расширенных облачных проверка | Включено, 50 |
Сканирование
| Описание | Setting |
|---|---|
| Включение эвристики | Включено |
| Включение проверки электронной почты | Включено |
| Сканирование всех скачанных файлов и вложений | Включено |
| Включение сканирования скриптов | Включено |
| Сканирование архивных файлов | Включено |
| Сканирование упакованных исполняемых файлов | Включено |
| Настройка сканирования сетевых файлов (Files сканирования сети) | Включено |
| Проверка съемных дисков | Включено |
| Включение проверки точек повторного анализа | Включено |
Обновления аналитики безопасности
| Описание | Setting |
|---|---|
| Укажите интервал проверка для обновлений аналитики безопасности | Включено, 4 |
| Определение порядка источников для скачивания обновлений аналитики безопасности | Включено в разделе "Определение порядка источников для скачивания обновлений аналитики безопасности"
|
Отключение параметров антивирусной программы локального администратора
Отключите параметры антивирусной программы локального администратора, такие как исключения, и примените политики из Microsoft Defender для конечной точки Управление параметрами безопасности.
Корневой каталог:
| Описание | Setting |
|---|---|
| Настройка поведения слияния локального администратора для списков | Отключено |
| Управление тем, видны ли исключения локальным администраторам | Включено |
Действие по умолчанию для серьезности угроз
Угрозы:
| Описание | Setting | Уровень оповещений | Действие |
|---|---|---|---|
| Указание уровней оповещений об угрозах, на которых не следует выполнять действия по умолчанию при обнаружении | Включено | ||
| 5 (серьезный) | 2 (карантин) | ||
| 4 (высокий) | 2 (карантин) | ||
| 2 (средний) | 2 (карантин) | ||
| 1 (низкий) | 2 (карантин) |
Карантин:
| Описание | Setting |
|---|---|
| Настройка удаления элементов из папки карантина | Включено, 60 |
Интерфейс клиента:
| Описание | Setting |
|---|---|
| Включение режима безголового пользовательского интерфейса | Отключено |
Защита сети
Microsoft Defender Exploit Guard\Network Protection:
| Описание | Setting |
|---|---|
| Запрет доступа пользователей и приложений к опасным веб-сайтам | Включено, блокировать |
| Этот параметр определяет, можно ли настроить защиту сети в режиме блокировки или аудита на Windows Server | Включено |
Чтобы включить защиту сети для серверов Windows, на данный момент используйте PowerShell:
| ОС | Команда PowerShell |
|---|---|
| Windows Server 2012 R2 и более поздних версий | Set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| единый клиент MDE Windows Server 2016 и Windows Server 2012 R2 | Set-MpPreference -AllowNetworkProtectionOnWinServer $true -AllowNetworkProtectionDownLevel $true |
Правила сокращения направлений атак
Перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа> Microsoft DefenderСокращение направлений атакExploit Guard>.
Нажмите кнопку Далее.
*Если вы используете Microsoft Configuration Manager (ранее — Microsoft Endpoint Configuration Manager и Microsoft System Center Configuration Manager) или другие средства управления, использующие WMI, используйте значение 2 (Аудит). Клиент Configuration Manager в значительной степени зависит от WMI.
Совет
Некоторые правила могут блокировать поведение, допустимое в вашей организации. В таких случаях измените правило с 1 (блок) на 2 (аудит), чтобы предотвратить нежелательные блоки.
Управляемый доступ к папкам
Перейдите к разделу Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа> Microsoft DefenderСокращение направлений атакExploit Guard>.
| Описание | Setting |
|---|---|
| Настройка управляемого доступа к папкам | Включено, блокировать |
Назначьте политики подразделению, в котором находятся тестовые компьютеры.
Включение защиты от незаконного изменения
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Параметры>Конечные> точкиДополнительные функции>Защита от незаконного>изменения включена.
Дополнительные сведения см. в статье Разделы справки настройка или управление защитой от незаконного изменения?.
Проверка сетевого подключения к Cloud Protection
Важно убедиться, что сетевое подключение Cloud Protection работает во время тестирования на проникновение.
В командной строке с повышенными привилегиями (окно командной строки, открытое путем выбора запуска от имени администратора) выполните следующие команды:
Совет
Первая команда изменяет каталог на последнюю версию платформы> защиты от вредоносных <программ в %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Если этот путь не существует, он отправляется в %ProgramFiles%\Windows Defender.
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
MpCmdRun.exe -ValidateMapsConnection
Дополнительные сведения см. в статье Настройка и управление антивирусной программой Microsoft Defender с помощью средства командной строки MpCmdRun.
Проверка версии обновления платформы
Последняя версия "Обновление платформы" Рабочий канал (GA) доступна здесь:
Чтобы просмотреть установленную версию "Обновление платформы", выполните следующую команду в сеансе PowerShell с повышенными привилегиями (окно PowerShell, открытое путем выбора запуска от имени администратора):
Get-MpComputerStatus | Format-Table AMProductVersion
Проверка версии обновления аналитики безопасности
Последняя версия "Обновление аналитики безопасности" доступна здесь:
Чтобы просмотреть установленную версию "Обновление аналитики безопасности", выполните следующую команду в сеансе PowerShell с повышенными привилегиями:
Get-MpComputerStatus | Format-Table AntivirusSignatureVersion
Проверка версии обновления ядра
Последняя версия обновления ядра сканирования доступна здесь:
Чтобы просмотреть установленную версию обновления ядра, выполните следующую команду в сеансе PowerShell с повышенными привилегиями:
Get-MpComputerStatus | Format-Table AMEngineVersion
Если параметры не вступают в силу, может возникнуть конфликт. Сведения об устранении конфликтов см. в статье Устранение неполадок Microsoft Defender параметров антивирусной программы.
Для отправки ложноотрицательных данных (FN)
Если у вас есть вопросы об обнаружении, которое Microsoft Defender av делает, или вы обнаружите пропущенное обнаружение, вы можете отправить нам файл.
Если у вас есть Microsoft XDR, Microsoft Defender для конечной точки P2/P1 или Microsoft Defender для бизнеса, см. раздел Отправка файлов в Microsoft Defender для конечной точки.
Если у вас Microsoft Defender антивирусная программа, см. раздел Отправка файлов для анализа.
Microsoft Defender AV указывает на обнаружение с помощью стандартных уведомлений Windows. Вы также можете просмотреть обнаружения в приложении Microsoft Defender AV.
Журнал событий Windows также записывает события обнаружения и обработчика. Список идентификаторов событий и соответствующих действий см. в статье о событиях антивирусной программы Microsoft Defender.
Если параметры применяются неправильно, узнайте, есть ли конфликтующие политики, которые включены в вашей среде. Дополнительные сведения см. в статье Устранение неполадок Microsoft Defender параметров антивирусной программы.
Если вам нужно обратиться в службу поддержки Майкрософт, обратитесь в службу поддержки Microsoft Defender для конечной точки.