Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W Windows 10 (lub nowszych) i Windows Server 2016 (lub nowszych) można korzystać z funkcji ochrony nowej generacji oferowanych przez program antywirusowy Microsoft Defender z ochroną przed programem wykorzystującym luki w zabezpieczeniach.
W tym artykule wyjaśniono, jak włączyć i przetestować kluczowe funkcje ochrony w programie antywirusowym Microsoft Defender z ochroną przed lukami w zabezpieczeniach, oraz zawiera wskazówki i linki do dodatkowych informacji.
Zalecamy skonfigurowanie tych funkcji przy użyciu naszego skryptu ewaluacji programu PowerShell , ale można indywidualnie włączyć każdą funkcję za pomocą poleceń cmdlet opisanych w pozostałej części tego dokumentu.
Aby uzyskać więcej informacji na temat produktów i usług ochrony punktów końcowych, zobacz następujące zasoby:
- Omówienie ochrony nowej generacji
- Program antywirusowy Microsoft Defender w systemie Windows
- program antywirusowy Microsoft Defender na Windows Server
- Chroń urządzenia przed wykorzystaniem
W tym artykule opisano opcje konfiguracji w Windows 10 lub nowszych i Windows Server 2016 lub nowszych. Jeśli masz jakiekolwiek pytania dotyczące wykrywania, które Microsoft Defender program antywirusowy lub wykryjesz nieodebrane wykrycie, możesz przesłać do nas plik w naszej przykładowej witrynie pomocy dotyczącej przesyłania.
Włączanie funkcji za pomocą programu PowerShell
Ten przewodnik zawiera polecenia cmdlet programu antywirusowego Microsoft Defender, które konfigurują funkcje, których należy użyć do oceny naszej ochrony.
Aby użyć tych poleceń cmdlet, otwórz program PowerShell jako administrator, uruchom polecenie, a następnie naciśnij Enter.
Stan wszystkich ustawień można sprawdzić przed rozpoczęciem lub podczas oceny przy użyciu polecenia cmdlet Get-MpPreference programu PowerShell lub przez zainstalowanie modułu DefenderEval z Galeria programu PowerShell, a następnie za pomocą Get-DefenderEvaluationReport polecenia .
Microsoft Defender Antivirus wskazuje wykrywanie za pośrednictwem standardowych powiadomień systemu Windows. Możesz również przejrzeć wykrycia w aplikacji antywirusowej Microsoft Defender.
Dziennik zdarzeń systemu Windows rejestruje również zdarzenia wykrywania i aparatu. Aby uzyskać listę identyfikatorów zdarzeń i odpowiadających im akcji, zobacz artykuł Microsoft Defender Zdarzenia antywirusowe.
Funkcje ochrony chmury
Przygotowanie i dostarczenie standardowych aktualizacji definicji może potrwać kilka godzin. nasza usługa ochrony dostarczana w chmurze może zapewnić tę ochronę w ciągu kilku sekund.
Aby uzyskać więcej informacji, zobacz Ochrona w chmurze i program antywirusowy Microsoft Defender.
| Opis | Polecenie programu PowerShell |
|---|---|
| Włączanie chmury Microsoft Defender w celu niemal natychmiastowej ochrony i zwiększonej ochrony | Set-MpPreference -MAPSReporting Advanced |
| Automatyczne przesyłanie przykładów w celu zwiększenia ochrony grupy | Set-MpPreference -SubmitSamplesConsent Always |
| Zawsze używaj chmury do blokowania nowego złośliwego oprogramowania w ciągu kilku sekund | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Skanuj wszystkie pobrane pliki i załączniki | Set-MpPreference -DisableIOAVProtection 0 |
| Ustawianie wysokiego poziomu bloku chmury | Set-MpPreference -CloudBlockLevel High |
| Limit czasu blokady chmury o wysokim ustawieniu na 1 minutę | Set-MpPreference -CloudExtendedTimeout 50 |
Zawsze włączona ochrona (skanowanie w czasie rzeczywistym)
Microsoft Defender Program antywirusowy skanuje pliki natychmiast po ich wyświetleniu przez system Windows, monitoruje wszystkie uruchomione procesy pod kątem znanych lub podejrzanych złośliwych zachowań. Jeśli aparat antywirusowy wykryje złośliwe modyfikacje, natychmiast zablokuje działanie procesu lub pliku.
Aby uzyskać więcej informacji na temat tych opcji, zobacz Konfigurowanie ochrony behawioralnej, heurystycznej i ochrony w czasie rzeczywistym.
| Opis | Polecenie programu PowerShell |
|---|---|
| Ciągłe monitorowanie plików i procesów pod kątem znanych modyfikacji złośliwego oprogramowania | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Stale monitoruj znane zachowania złośliwego oprogramowania, nawet w plikach, które nie są uważane za zagrożenie, i uruchamianiu programów | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Skanuj skrypty natychmiast po ich wyświetleniu lub uruchomieniu | Set-MpPreference -DisableScriptScanning 0 |
| Skanuj dyski wymienne, gdy tylko zostaną wstawione lub zainstalowane | Set-MpPreference -DisableRemovableDriveScanning 0 |
Potencjalnie niechciana ochrona aplikacji
Potencjalnie niepożądane aplikacje to pliki i aplikacje, które tradycyjnie nie są klasyfikowane jako złośliwe. Takie aplikacje obejmują instalatorów innych niż Microsoft dla wspólnego oprogramowania, iniekcji reklam i niektórych typów pasków narzędzi w przeglądarce.
| Opis | Polecenie programu PowerShell |
|---|---|
| Zapobieganie instalowaniu programów grayware, adware i innych potencjalnie niechcianych aplikacji | Set-MpPreference -PUAProtection Enabled |
skanowanie Email i archiwum
Program antywirusowy Microsoft Defender umożliwia automatyczne skanowanie niektórych typów plików poczty e-mail i plików archiwum (takich jak pliki .zip), gdy są one widoczne dla systemu Windows. Aby uzyskać więcej informacji, zobacz Managed email scans in Microsoft Defender (Zarządzane skanowanie poczty e-mail w Microsoft Defender).
| Opis | Polecenie programu PowerShell |
|---|---|
| Skanowanie plików i archiwów wiadomości e-mail |
Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0
|
Zarządzanie aktualizacjami produktów i ochrony
Zazwyczaj raz dziennie otrzymujesz aktualizacje programu antywirusowego Microsoft Defender z usługi Windows Update. Można jednak zwiększyć częstotliwość tych aktualizacji, ustawiając następujące opcje i upewniając się, że aktualizacje są zarządzane w programie System Center Configuration Manager, przy użyciu zasady grupy lub w usłudze Intune.
| Opis | Polecenie programu PowerShell |
|---|---|
| Aktualizuj podpisy codziennie | Set-MpPreference -SignatureUpdateInterval |
| Przed uruchomieniem zaplanowanego skanowania sprawdź, czy chcesz zaktualizować podpisy | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Zaawansowane zagrożenie i ograniczanie zagrożeń oraz zapobieganie kontrolowanym dostępom do folderów
Ochrona przed lukami w zabezpieczeniach zapewnia funkcje, które pomagają chronić urządzenia przed znanymi złośliwymi zachowaniami i atakami na wrażliwe technologie.
| Opis | Polecenie programu PowerShell |
|---|---|
| Uniemożliwianie złośliwym i podejrzanym aplikacjom (takim jak oprogramowanie wymuszające okup) wprowadzania zmian w chronionych folderach z kontrolowanym dostępem do folderów | Set-MpPreference -EnableControlledFolderAccess Enabled |
| Blokuj połączenia ze znanymi nieprawidłowymi adresami IP i innymi połączeniami sieciowymi z ochroną sieci | Set-MpPreference -EnableNetworkProtection Enabled |
| Stosowanie standardowego zestawu środków zaradczych przy użyciu ochrony przed programem Exploit | Invoke-WebRequesthttps://demo.wd.microsoft.com/Content/ProcessMitigation.xml -OutFile ProcessMitigation.xmlSet-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Blokuj znane złośliwe wektory ataków dzięki zmniejszeniu obszaru ataków | Add-MpPreference -AttackSurfaceReductionRules\_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules\_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules\_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules\_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules\_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules\_Actions Enabled |
Niektóre reguły mogą blokować zachowanie, które można uznać za akceptowalne w organizacji. W takich przypadkach zmień regułę z Enabled , aby Audit zapobiec niepożądanym blokom.
Włączanie ochrony przed naruszeniami
W portalu Microsoft Defender przejdź do pozycji Ustawienia>Punkty końcowe> Funkcje zaawansowaneOchrona przed>naruszeniami>.
Aby uzyskać więcej informacji, zobacz Jak mogę konfigurowania ochrony przed naruszeniami lub zarządzania nią.
Sprawdzanie łączności sieciowej usługi Cloud Protection
Należy sprawdzić, czy łączność sieciowa usługi Cloud Protection działa podczas testowania piórem. Używając wiersza polecenia jako administrator, uruchom następujące polecenie:
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Aby uzyskać więcej informacji, zobacz Używanie narzędzia cmdline do weryfikowania ochrony dostarczanej w chmurze.
Skanowanie jednokrotne Microsoft Defender offline
Microsoft Defender Skanowanie w trybie offline jest wyspecjalizowanym narzędziem dostarczanym z Windows 10 lub nowszym i umożliwia rozruch maszyny w dedykowanym środowisku poza normalnym systemem operacyjnym. Jest to szczególnie przydatne w przypadku silnego złośliwego oprogramowania, takiego jak zestawy rootkit.
Aby uzyskać więcej informacji, zobacz Microsoft Defender Offline.
| Opis | Polecenie programu PowerShell |
|---|---|
| Upewnij się, że powiadomienia umożliwiają rozruch urządzenia w wyspecjalizowanym środowisku usuwania złośliwego oprogramowania | Set-MpPreference -UILockdown 0 |