Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В Windows 10 или более поздней версии и Windows Server 2016 или более поздней версии можно использовать функции защиты следующего поколения в Microsoft Defender Антивирусная программа с защитой от эксплойтов.
В этой статье объясняется, как включить и проверить ключевые функции защиты в Microsoft Defender Антивирусная программа с защитой от эксплойтов.
Мы рекомендуем использовать наш сценарий PowerShell для оценки , чтобы настроить эти функции, но вы можете включить каждую функцию по отдельности, как описано в этой статье.
Дополнительные сведения о продуктах и службах endpoint Protection см. в следующих ресурсах:
- Обзор защиты нового поколения
- Антивирусная программа в Microsoft Defender в Windows
- Антивирусная программа в Microsoft Defender в Windows Server
- Защита устройств от эксплойтов
Если у вас есть вопросы об обнаружении с помощью антивирусной программы Microsoft Defender или вы обнаружите пропущенное обнаружение, вы можете отправить файл нам. Подробно см. в статье Отправка файлов для анализа.
Включение функций с помощью PowerShell
В этом руководстве приведены командлеты антивирусной программы Microsoft Defender, которые настраивают функции, которые следует использовать для оценки нашей защиты.
Используйте эти командлеты в сеансе PowerShell с повышенными привилегиями (окно PowerShell, открытое путем выбора запуска от имени администратора).
Перед внесением изменений необходимо просмотреть и записать текущее состояние всех параметров с помощью одного или обоих следующих методов:
- Используйте командлет Get-MpPreference .
- Установите модуль DefenderEval из коллекция PowerShell, а затем используйте командлет Get-DefenderEvaluationReport.
антивирусная программа Microsoft Defender использует стандартные уведомления Windows для обнаружения. Вы также можете просмотреть сведения об обнаружении в приложении антивирусной программы Microsoft Defender.
Журнал событий Windows также записывает события обнаружения и обработчика. Дополнительные сведения см. в статье Просмотр журналов событий и кодов ошибок для устранения неполадок с Microsoft Defender антивирусной программой.
Функции облачной защиты
подготовка и доставка обновлений определений Standard может занять несколько часов. Наша облачная служба защиты может обеспечить эту защиту за считанные секунды. Дополнительные сведения см. в статье Защита облака и антивирусная программа Microsoft Defender.
Включите Microsoft Defender Cloud для почти мгновенной защиты и повышения уровня защиты:
Set-MpPreference -MAPSReporting AdvancedАвтоматическая отправка примеров для повышения защиты групп:
Set-MpPreference -SubmitSamplesConsent AlwaysВсегда используйте облако для блокировки новых вредоносных программ в течение нескольких секунд:
Set-MpPreference -DisableBlockAtFirstSeen 0Проверьте все скачанные файлы и вложения:
Set-MpPreference -DisableIOAVProtection 0Задайте для уровня блока облака значение Высокий:
Set-MpPreference -CloudBlockLevel HighЗадайте время ожидания облачного блока в 1 минуту:
Set-MpPreference -CloudExtendedTimeout 50
Постоянная защита (сканирование в режиме реального времени)
Microsoft Defender антивирусная программа сканирует файлы по мере их просмотра в Windows и отслеживает запущенные процессы на наличие вредоносных действий (известных или подозрительных). Если антивирусная программа обнаруживает вредоносные действия, подсистема немедленно блокирует выполнение процесса или файла. Дополнительные сведения об этих параметрах см. в разделе Настройка поведенческой, эвристической защиты и защиты в режиме реального времени.
Постоянно отслеживайте файлы и процессы для известных вредоносных программ:
Set-MpPreference -DisableRealtimeMonitoring 0**Постоянно отслеживайте известное поведение вредоносных программ в запущенных программах, даже в файлах, которые не считаются угрозой:
Set-MpPreference -DisableBehaviorMonitoring 0Проверьте скрипты, как только они будут видны или запущены:
Set-MpPreference -DisableScriptScanning 0Проверьте съемные диски сразу после их вставки или подключения:
Set-MpPreference -DisableRemovableDriveScanning 0
Потенциально нежелательная защита приложений
Потенциально нежелательными приложениями являются файлы и приложения, которые традиционно не классифицируются как вредоносные. К этим типам приложений относятся:
- Установщики, не относящиеся к корпорации Майкрософт.
- Приложения, которые выполняют внедрение рекламы.
- Некоторые типы панелей инструментов браузера.
Запретить установку программ серого, рекламного по и других потенциально нежелательных приложений:
Set-MpPreference -PUAProtection Enabled
сканирование Email и архивов
Вы можете настроить Microsoft Defender антивирусную программу для автоматического сканирования определенных типов файлов электронной почты и архивных файлов (таких как файлы .zip), когда Они отображаются в Windows. Дополнительные сведения см. в статье Проверка управляемой электронной почты в Microsoft Defender.
Сканирование файлов электронной почты и архивов:
Set-MpPreference -DisableArchiveScanning 0 -DisableEmailScanning 0
Управление обновлениями продуктов и защиты
Как правило, вы получаете Microsoft Defender обновления антивирусной программы из обновления Windows один раз в день. Вы можете увеличить частоту обновления, задав следующие параметры и обеспечив управление обновлениями Microsoft Configuration Manager, групповая политика или Microsoft Intune.
Обновляйте подписи каждый день (по умолчанию):
Set-MpPreference -SignatureUpdateIntervalОбновите подписи перед запуском запланированной проверки:
Set-MpPreference -CheckForSignaturesBeforeRunningScan 1
Расширенная защита от угроз и их предотвращение
Защита от эксплойтов предоставляет функции, помогающие защитить устройства от известных вредоносных действий и атак на уязвимые технологии.
Предотвращение внесения изменений в защищенные папки с управляемыми папками вредоносными и подозрительными приложениями (например, программами-шантажами):
Set-MpPreference -EnableControlledFolderAccess EnabledБлокировать подключения к известным недопустимым IP-адресам и другим сетевым подключениям с помощью защиты сети:
Set-MpPreference -EnableNetworkProtection EnabledПримените стандартный набор мер по устранению рисков с помощью защиты от эксплойтов:
Invoke-WebRequest https://demo.wd.microsoft.com/Content/ProcessMitigation.xml -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xmlБлокируйте известные вредоносные векторы атак с помощью правил сокращения направлений атак (ASR):
Важно!
Как правило, стандартные правила защиты можно включить в режиме блокировать или предупреждать без тестирования. Прежде чем переключить их в режим блокировки или предупреждения, следует протестировать другие правила ASR в режиме аудита. Дополнительные сведения см. в руководстве по развертыванию правил ASR.
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled,Enabled,Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,26190899-1602-49e8-8b27-eb1d0a1ce869 ,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,a8f5898e-1dc8-49a9-9878-85004b8a61e6,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode
Включение защиты от незаконного изменения
Дополнительные сведения см. в разделе Разделы справки настройка или управление защитой от незаконного изменения.
Проверка сетевого подключения к Cloud Protection
Важно убедиться, что сетевое подключение Cloud Protection работает во время тестирования на проникновение, выполнив следующие действия.
В командной строке с повышенными привилегиями (окно командной строки, открытое путем выбора запуска от имени администратора) выполните следующие команды:
Совет
Первая команда изменяет каталог на последнюю версию платформы> защиты от вредоносных <программ в %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Если этот путь не существует, он отправляется в %ProgramFiles%\Windows Defender.
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
MpCmdRun.exe -ValidateMapsConnection
Дополнительные сведения см. в статье Настройка и управление антивирусной программой Microsoft Defender с помощью средства командной строки MpCmdRun.
Однократное сканирование Microsoft Defender в автономном режиме
Microsoft Defender автономное сканирование — это специализированное средство, которое позволяет загружать компьютер в выделенной среде за пределами обычной операционной системы. Это особенно полезно для мощных вредоносных программ, таких как руткиты.
Дополнительные сведения см. в разделе Microsoft Defender в автономном режиме.
Убедитесь, что уведомления позволяют загрузить устройство в специализированную среду удаления вредоносных программ:
Set-MpPreference -UILockdown 0