Включить облачную защиту в Microsoft Defender Antivirus

Облачная защита в Microsoft Defender Антивирусная программа обеспечивает точную защиту в режиме реального времени и интеллектуальную защиту. Защита облака должна быть включена по умолчанию.

Примечание.

Защита от незаконного изменения помогает предотвратить изменение защиты облака и других параметров безопасности. Так как защита от незаконного изменения предотвращает несанкционированные изменения, любые изменения, внесенные в параметры, защищенные от изменения , игнорируются при включении защиты от незаконного изменения. Если необходимо внести изменения в устройство и эти изменения блокируются защитой от незаконного изменения, рекомендуется использовать режим устранения неполадок , чтобы временно отключить защиту от незаконного изменения на устройстве. Обратите внимание, что после завершения режима устранения неполадок все изменения, внесенные в параметры, защищенные от незаконного изменения, возвращаются в настроенное состояние.

Предварительные требования

Поддерживаемые операционные системы

Следующие операционные системы поддерживают облачную защиту:

  • Windows

Почему следует включить облачную защиту

Microsoft Defender антивирусная облачная защита помогает защититься от вредоносных программ в конечных точках и в сети. Мы рекомендуем оставить облачную защиту включенной, так как некоторые функции безопасности и возможности в Microsoft Defender для конечной точки работать только при включенной облачной защите.

Схема функций Defender for Endpoint, зависящих от облачной защиты, таких как защита от подделки, блокировка при первом обнаружении и правила ASR.

В следующей таблице перечислены функции и возможности, зависящие от облачной защиты.

Функция и возможность Требование к подписке Описание
Проверка метаданных в облаке. Облачная служба антивирусной программы Microsoft Defender использует модели машинного обучения в качестве дополнительного уровня защиты. Эти модели машинного обучения включают метаданные, поэтому при обнаружении подозрительного или вредоносного файла проверяется его метаданные.

Дополнительные сведения см. в статье Блог. Знакомство с передовыми технологиями, которые лежит в основе защиты Microsoft Defender для конечной точки следующего поколения.
Microsoft Defender для конечных точек, План 1 или План 2 (как отдельный план или включённый в другой план, например Microsoft 365 E3 или E5)
Облачная защита и отправка примеров. Файлы и исполняемые файлы можно отправлять в облачный сервис антивируса Microsoft Defender на детонацию и анализ. Автоматическая отправка примеров зависит от облачной защиты, хотя ее также можно настроить как автономный параметр.

Дополнительные сведения см. в статье «Облачная защита и отправка образцов в антивирусной программе Microsoft Defender».
Microsoft Defender для конечных точек, План 1 или План 2 (как отдельный план или включённый в другой план, например Microsoft 365 E3 или E5)
Защита от незаконного изменения. Защита от незаконного изменения помогает защититься от нежелательных изменений параметров безопасности вашей организации.

Дополнительные сведения см. в статье Защита параметров безопасности с помощью защиты от незаконного изменения.
Microsoft Defender для конечной точки, план 2 (автономный или в составе плана, например Microsoft 365 E5)
Блокировка при первом обнаружении
Функция «Блокировка с первого взгляда» обнаруживает новые вредоносные программы и блокирует их за считанные секунды. При обнаружении подозрительного или вредоносного файла функция блокировки с первого взгляда обращается к серверной части облачной защиты и применяет эвристические методы, машинное обучение и автоматизированный анализ файла, чтобы определить, представляет ли он угрозу.

Дополнительные сведения см. в статье Что такое "блокировка с первого взгляда"?
Microsoft Defender для конечных точек, План 1 или План 2 (как отдельный план или включённый в другой план, например Microsoft 365 E3 или E5)
Экстренные обновления подписей. При обнаружении вредоносного содержимого развертываются экстренные обновления сигнатур и исправления. Вместо того чтобы ждать следующего регулярного обновления, вы можете получить эти исправления и обновления в течение нескольких минут.

Дополнительные сведения об обновлениях см. в статье Антивирусная программа Microsoft Defender: аналитика безопасности и обновления продукта.
Microsoft Defender для конечной точки, план 2 (автономный или в составе плана, например Microsoft 365 E5)
Обнаружение и ответ конечной точки (EDR) в блочном режиме. EDR в режиме блокировки обеспечивает дополнительную защиту, если Microsoft Defender антивирусная программа не является основным антивирусным продуктом на устройстве. EDR в режиме блокировки устраняет артефакты, обнаруженные во время проверок, инициированных EDR, которые могли быть пропущены основным антивирусным решением, не относящимся к Microsoft. Если эта функция включена для устройств, где Microsoft Defender Antivirus используется в качестве основного антивирусного решения, EDR в режиме блокировки дает дополнительное преимущество: автоматически устраняет артефакты, обнаруженные в ходе проверок, запускаемых EDR.

Дополнительные сведения см. в разделе EDR в блочном режиме.
Microsoft Defender для конечной точки план 2 (автономный или включенный в план, например Microsoft 365 E5)
Правила уменьшения поверхности атаки (ASR). Правила ASR блокируют рискованное поведение приложений. Для некоторых правил ASR требуется облачная защита. Сведения о m9ore см. в разделе Требования к правилам ASR. Microsoft Defender для конечных точек, План 1 или План 2 (как отдельный план или включённый в другой план, например Microsoft 365 E3 или E5)
Индикаторы компрометации (IoCs). В Defender для конечных точек можно настроить индикаторы компрометации (IoC) для определения правил обнаружения, предотвращения и исключения объектов. Примеры:
Индикаторы "Разрешить" можно использовать для определения исключений для антивирусных проверок и действий по исправлению.
Индикаторы "Оповещение и блокировка" можно использовать для предотвращения выполнения файлов или процессов.

Дополнительные сведения см. в статье Создание индикаторов.
Microsoft Defender для конечной точки, план 2 (автономный или в составе плана, например Microsoft 365 E5)

Методы настройки облачной защиты

Вы можете включить или отключить Microsoft Defender антивирусную облачную защиту с помощью одного из следующих методов:

Вы также можете использовать Configuration Manager. Кроме того, вы можете включить или отключить облачную защиту на отдельных конечных точках с помощью приложения Безопасность Windows.

Дополнительные сведения о конкретных требованиях к сетевому подключению для обеспечения возможности подключения конечных точек к службе облачной защиты см. в статье Настройка и проверка сетевых подключений.

Примечание.

В Windows 10 и Windows 11 нет никакой разницы между основными и расширенными параметрами отчетов, описанными в этой статье. Различие между параметрами базовой и расширенной отчетности является устаревшим, и выбор любого параметра приводит к тому же уровню защиты облака. Нет никакой разницы в типе или объеме информации, к которой предоставляется доступ. Дополнительные сведения о том, что мы собираем, см. в Заявлении о конфиденциальности Майкрософт.

Использование Microsoft Intune для включения облачной защиты

Чтобы включить облачную защиту с помощью Microsoft Intune, сначала выберите существующую политику или создадите новую политику.

Чтобы создать новую политику и включить облачную защиту в Intune, см. статью "Создание политики безопасности конечной точки " (откроется на новой вкладке в документации Intune). При создании политики безопасности конечной точки используйте следующие параметры:

  • Тип политики: Антивирусная программа
  • Платформа: Windows
  • Профиль: антивирусная программа Microsoft Defender
  • Основы. Указание имени и описания политики
  • Defender. Найдите службу "Разрешить облачную защиту" и задайте для нее значение "Разрешено".
  • Отправка согласия наотправку примеров. Выберите "Отправить все примеры" автоматически или автоматически отправлять безопасные образцы
  • Теги области: если ваша организация использует теги области, выберите теги, которые вы хотите использовать.
  • Назначения. Выберите группы, пользователи или устройства, чтобы применить эту политику.

При изменении существующей политики см. раздел "Изменение существующих политик " (открывается на новой вкладке в документации Intune). Выберите политику антивирусной программы, которую вы хотите изменить, и выберите следующие параметры:

  • Defender. Найдите службу "Разрешить облачную защиту" и задайте для нее значение "Разрешено".
  • Отправка согласия наотправку примеров. Выберите "Отправить все примеры" автоматически или автоматически отправлять безопасные образцы

Совет

Дополнительные сведения о параметрах антивирусной программы Microsoft Defender в Intune см. в статье Антивирусная политика для защиты конечных точек в Intune.

Используйте групповую политику, чтобы включить облачную защиту

Чтобы включить облачную защиту с помощью групповой политики, выполните следующие действия.

  1. На устройстве управления групповыми политиками откройте Консоль управления групповыми политиками, щелкните правой кнопкой мыши объект групповой политики, который нужно настроить, и выберите Изменить.

  2. В редакторе управления групповая политика перейдите в раздел Конфигурация компьютера.

  3. Выберите Административные шаблоны.

  4. Разверните дерево до компонентов Windows>Антивирусная программа Microsoft Defender > MAPS

    Примечание.

    Параметры MAPS равны облачной защите.

  5. Дважды щелкните Присоединиться к Microsoft MAPS. Убедитесь, что параметр включен и имеет значение Basic MAPS или Advanced MAPS. Нажмите OK.

    Вы можете отправить базовую или дополнительную информацию об обнаружении программного обеспечения:

    • Basic MAPS. Базовый членский состав отправляет в корпорацию Майкрософт основную информацию о вредоносных программах и потенциально нежелательных программах, обнаруженных на вашем устройстве. Сведения о том, откуда поступило программное обеспечение (например, URL-адреса и частичные пути), действия, предпринятые для устранения угрозы, а также сведения о том, были ли выполнены эти действия.

    • Advanced MAPS. Помимо основных сведений, расширенное членство отправляет подробные сведения о вредоносных программах и потенциально нежелательных программах, включая полный путь к программному обеспечению, а также подробные сведения о том, как программное обеспечение повлияло на ваше устройство.

  6. Дважды щелкните Отправить примеры файлов, если требуется дальнейший анализ. Убедитесь, что для первого параметра задано значение Включено , а для остальных — одно из следующих:

    • Отправка безопасных примеров (1)
    • Отправка всех примеров (3)

    Примечание.

    Параметр Отправить безопасные примеры (1) означает, что большинство примеров отправляются автоматически. Для файлов, которые могут содержать персональные данные, система запрашивает у пользователя дополнительное подтверждение. Установка параметра Always Prompt (0) снижает состояние защиты устройства. Если задать значение Никогда не отправлять (2), функция Block at First Sight в Microsoft Defender для конечных точек не будет работать.

  7. Нажмите OK.

Включение облачной защиты с помощью командлетов PowerShell

Следующие командлеты включают расширенную облачную защиту и отчетность для Службы активной защиты Microsoft (MAPS), а также настраивают автоматическую отправку образцов файлов всех типов:

Set-MpPreference -MAPSReporting Advanced
Set-MpPreference -SubmitSamplesConsent SendAllSamples

Дополнительные сведения об использовании PowerShell с антивирусной программой Microsoft Defender см. в статьях Использование командлетов PowerShell для настройки и запуска антивирусной программы Microsoft Defender и Командлеты Microsoft Defender Antivirus. CSP политики — Defender также содержит дополнительную информацию, в частности о -SubmitSamplesConsent.

Важно!

Можно задать для параметра -SubmitSamplesConsent значение SendSafeSamples (по умолчанию, рекомендуемый параметр), NeverSend, или AlwaysPrompt. Этот SendSafeSamples параметр означает, что большинство примеров отправляются автоматически. Файлы, которые могут содержать персональные данные, вызывают запрос пользователю на продолжение и требуют подтверждения. Параметры NeverSend и AlwaysPrompt снижают уровень защиты устройства. Кроме того, этот параметр означает, что функция Block at First Sight в Microsoft Defender для конечных точек NeverSend не будет работать.

Включение облачной защиты с помощью инструментария управления Windows (WMI)

Используйте метод Set класса MSFT_MpPreference для настройки следующих свойств, управляющих облачной защитой (отчетностью MAPS) и поведением отправки образцов:

MAPSReporting
SubmitSamplesConsent

Дополнительные сведения о допустимых параметрах см. в разделе API WMIv2 в Защитнике Windows.

Включение облачной защиты для отдельных клиентов с помощью приложения Безопасность Windows

Примечание.

Если параметр групповой политики Настроить переопределение локального параметра для отправки отчетов в Microsoft MAPS имеет значение Отключено, то параметр Облачная защита в разделе Безопасность Windows > Параметры защиты от вирусов и угроз отображается серым и недоступен. Изменения, внесенные с помощью объекта групповой политики, необходимо сначала развернуть в отдельных конечных точках, прежде чем параметр будет обновлен в параметрах защиты от вирусов и угроз Безопасность Windows>.

  1. Откройте приложение Безопасность Windows, щелкнув значок щита на панели задач или выполнив поиск Безопасность Windows в меню "Пуск".

  2. Выберите плитку Антивирусная & защита от угроз (или значок щита в строке меню слева), а затем в разделе Параметры защиты от угроз & вирусов выберите Управление параметрами.

    Параметры защиты от угроз & вирусов

  3. Убедитесь, что облачная защита и автоматическая отправка примеров переключились в положение Включено.

    Примечание.

    Если автоматическая отправка образцов настроена с помощью групповой политики, то этот параметр становится неактивным и недоступным.

См. также