Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In Windows 10 (of nieuwer) en Windows Server 2016 (of nieuwer) kunt u gebruikmaken van beveiligingsfuncties van de volgende generatie die worden aangeboden door Microsoft Defender Antivirus met exploit protection.
In dit artikel wordt uitgelegd hoe u de belangrijkste beveiligingsfuncties in Microsoft Defender Antivirus met exploit protection inschakelt en test, en biedt u richtlijnen en koppelingen naar meer informatie.
U wordt aangeraden ons PowerShell-evaluatiescript te gebruiken om deze functies te configureren, maar u kunt elke functie afzonderlijk inschakelen met de cmdlets die in de rest van dit document worden beschreven.
Zie de volgende resources voor meer informatie over onze endpoint protection-producten en -services:
- Overzicht van beveiliging van de volgende generatie
- Microsoft Defender Antivirus in Windows
- Microsoft Defender Antivirus op Windows Server
- Apparaten beschermen tegen misbruik
In dit artikel worden configuratieopties beschreven in Windows 10 of nieuwer en Windows Server 2016 of nieuwer. Als u vragen hebt over een detectie die Microsoft Defender Antivirus maakt of als u een gemiste detectie ontdekt, kunt u een bestand naar ons verzenden op onze helpsite voor voorbeeldinzending.
PowerShell gebruiken om de functies in te schakelen
Deze handleiding bevat de Microsoft Defender Antivirus-cmdlets waarmee de functies worden geconfigureerd die u moet gebruiken om onze beveiliging te evalueren.
Als u deze cmdlets wilt gebruiken, opent u PowerShell als beheerder, voert u een opdracht uit en drukt u op Enter.
U kunt de status van alle instellingen controleren voordat u begint, of tijdens de evaluatie, met behulp van de PowerShell-cmdlet Get-MpPreference of door de DefenderEval-module te installeren vanuit de PowerShell Gallery en vervolgens de Get-DefenderEvaluationReport opdracht te gebruiken.
Microsoft Defender Antivirus geeft een detectie aan via standaard Windows-meldingen. U kunt ook detecties bekijken in de Microsoft Defender Antivirus-app.
In het Windows-gebeurtenislogboek worden ook detectie- en engine-gebeurtenissen vastgelegd. Zie het artikel Microsoft Defender Antivirusgebeurtenissen voor een lijst met gebeurtenis-id's en de bijbehorende acties.
Cloudbeveiligingsfuncties
Standaarddefinitieupdates kunnen uren duren om voor te bereiden en te leveren; onze cloudbeveiligingsservice kan deze beveiliging binnen enkele seconden bieden.
Zie Cloudbeveiliging en Microsoft Defender Antivirus voor meer informatie.
| Beschrijving | PowerShell-opdracht |
|---|---|
| De Microsoft Defender Cloud inschakelen voor vrijwel directe beveiliging en betere beveiliging | Set-MpPreference -MAPSReporting Advanced |
| Automatisch voorbeelden verzenden om de groepsbeveiliging te verbeteren | Set-MpPreference -SubmitSamplesConsent Always |
| Altijd de cloud gebruiken om nieuwe malware binnen enkele seconden te blokkeren | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Alle gedownloade bestanden en bijlagen scannen | Set-MpPreference -DisableIOAVProtection 0 |
| Cloudblokniveau instellen op Hoog | Set-MpPreference -CloudBlockLevel High |
| Hoge time-out van cloudblok instellen op 1 minuut | Set-MpPreference -CloudExtendedTimeout 50 |
Always-on-beveiliging (realtime scannen)
Microsoft Defender Antivirus bestanden scant zodra ze door Windows worden gezien, controleert eventuele actieve processen op bekend of verdacht schadelijk gedrag. Als de antivirus-engine schadelijke wijzigingen detecteert, wordt het proces of bestand onmiddellijk geblokkeerd.
Zie Gedrags-, heuristische en realtime-beveiliging configureren voor meer informatie over deze opties.
| Beschrijving | PowerShell-opdracht |
|---|---|
| Bewaak bestanden en processen voortdurend op bekende malwarewijzigingen | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Controleer voortdurend op bekend malwaregedrag, zelfs in bestanden die niet als bedreiging worden beschouwd, en programma's worden uitgevoerd | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Scripts scannen zodra ze worden weergegeven of uitgevoerd | Set-MpPreference -DisableScriptScanning 0 |
| Verwijderbare stations scannen zodra ze zijn ingevoegd of gekoppeld | Set-MpPreference -DisableRemovableDriveScanning 0 |
Mogelijk ongewenste toepassingsbeveiliging
Mogelijk ongewenste toepassingen zijn bestanden en apps die traditioneel niet als schadelijk worden geclassificeerd. Dergelijke toepassingen omvatten niet-Microsoft-installatieprogramma's voor algemene software, advertentie-injectie en bepaalde typen werkbalken in uw browser.
| Beschrijving | PowerShell-opdracht |
|---|---|
| Voorkomen dat grayware, adware en andere mogelijk ongewenste apps worden geïnstalleerd | Set-MpPreference -PUAProtection Enabled |
scannen op Email en archiveren
U kunt Microsoft Defender Antivirus zo instellen dat bepaalde typen e-mailbestanden en archiefbestanden (zoals .zip bestanden) automatisch worden gescand wanneer deze worden gezien door Windows. Zie Beheerde e-mailscans in Microsoft Defender voor meer informatie.
| Beschrijving | PowerShell-opdracht |
|---|---|
| E-mailbestanden en archieven scannen |
Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0
|
Product- en beveiligingsupdates beheren
Normaal gesproken ontvangt u eenmaal per dag Microsoft Defender Antivirus-updates van Windows Update. U kunt de frequentie van deze updates echter verhogen door de volgende opties in te stellen en ervoor te zorgen dat uw updates worden beheerd in System Center Configuration Manager, met groepsbeleid of in Intune.
| Beschrijving | PowerShell-opdracht |
|---|---|
| Handtekeningen elke dag bijwerken | Set-MpPreference -SignatureUpdateInterval |
| Controleer of u handtekeningen wilt bijwerken voordat u een geplande scan uitvoert | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Geavanceerde bedreigings- en misbruikbeperking en -preventie Gecontroleerde maptoegang
Exploit Protection biedt functies waarmee apparaten worden beschermd tegen bekend schadelijk gedrag en aanvallen op kwetsbare technologieën.
| Beschrijving | PowerShell-opdracht |
|---|---|
| Voorkomen dat schadelijke en verdachte apps (zoals ransomware) wijzigingen aanbrengt in beveiligde mappen met gecontroleerde maptoegang | Set-MpPreference -EnableControlledFolderAccess Enabled |
| Verbindingen met bekende ongeldige IP-adressen en andere netwerkverbindingen blokkeren met netwerkbeveiliging | Set-MpPreference -EnableNetworkProtection Enabled |
| Een standaardset met risicobeperkingen toepassen met Exploit Protection | Invoke-WebRequesthttps://demo.wd.microsoft.com/Content/ProcessMitigation.xml -OutFile ProcessMitigation.xmlSet-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Bekende schadelijke aanvalsvectoren blokkeren met vermindering van kwetsbaarheid voor aanvallen | Add-MpPreference -AttackSurfaceReductionRules\_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules\_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules\_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules\_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules\_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules\_Actions Enabled |
Sommige regels blokkeren mogelijk gedrag dat u acceptabel vindt in uw organisatie. Wijzig in deze gevallen de regel van Enabled in Audit om ongewenste blokken te voorkomen.
Manipulatiebeveiliging inschakelen
Ga in de Microsoft Defender-portal naar Instellingen>Eindpunten>Geavanceerde functies>Manipulatiebeveiliging>Aan.
Zie Hoe kan ik manipulatiebeveiliging configureren of beheren voor meer informatie.
De cloudbeveiligingsnetwerkverbinding controleren
Het is belangrijk om te controleren of de Cloud Protection-netwerkverbinding werkt tijdens het testen van de pen. Voer de volgende opdracht uit met behulp van de opdrachtprompt als beheerder:
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Zie Het hulpprogramma cmdline gebruiken om cloudbeveiliging te valideren voor meer informatie.
Microsoft Defender offlinescan met één selectie
Microsoft Defender Offline Scannen is een gespecialiseerd hulpprogramma dat wordt geleverd met Windows 10 of nieuwer en waarmee u een machine kunt opstarten in een speciale omgeving buiten het normale besturingssysteem. Het is vooral handig voor krachtige malware, zoals rootkits.
Zie Microsoft Defender Offline voor meer informatie.
| Beschrijving | PowerShell-opdracht |
|---|---|
| Zorg ervoor dat u met meldingen het apparaat kunt opstarten in een gespecialiseerde omgeving voor het verwijderen van malware | Set-MpPreference -UILockdown 0 |