在 Windows 10 或更新版本、Windows Server 2016 或更新版本中,你可以使用Microsoft Defender防毒軟體 (MDAV) 以及 EG) (Microsoft Defender Microsoft Defender Exploit Guard 所提供的次世代防護功能。
本文說明如何啟用及測試 Microsoft Defender 防毒軟體及 Microsoft Defender EG 中的主要保護功能,並提供指引及更多資訊連結。
本文說明 Windows 10 或更新版本,以及 Windows Server 2016 或更新版本的設定選項。
必要條件
支援的作業系統
- Windows
- Windows 10
- Windows 2016 及以後版本
使用 Microsoft Defender 防毒軟體,使用群組原則來啟用這些功能
本指南提供 Microsoft Defender 防毒群組原則,規範您應該使用的功能來評估我們的防護措施。
下載最新的「Windows 群組原則管理範本」。
欲了解更多資訊,請參閱 「建立與管理中央商店 - Windows 用戶端」。
提示
- Windows 版本是支援 Windows 伺服器的。
- 即使你使用的是 Windows 10 或 Windows Server 2016,也要取得 Windows 11 或更新版本的最新管理範本。
建立一個「中央商店」來存放最新的 .admx 和 .adml 範本。
欲了解更多資訊,請參閱 「建立與管理中央商店 - Windows 用戶端」。
如果連接到網域:
建立新的 OU 區塊政策繼承。
開啟群組政策管理主控台 (GPMC.msc) 。
到群組原則物件並建立新的群組原則。
右鍵點擊新建立的政策,然後選擇 編輯。
前往電腦設定>政策>管理範本>Windows 元件>Microsoft Defender 防毒軟體。
或
如果加入工作群組
開啟 群組原則 編輯器 MMC (GPEdit.msc) 。
前往電腦設定>管理範本>Windows 元件>Microsoft Defender 防毒軟體。
MDAV 與可能不受歡迎的應用 (PUA)
根:
| 描述 | 設定 |
|---|---|
| 關閉 Microsoft Defender 防毒軟體 | 已停用 |
| 設定偵測潛在不受歡迎的應用程式 | 啟用 - 封鎖 |
即時保護 (全天候保護、即時掃描)
\ 即時保護:
| 描述 | 設定 |
|---|---|
| 關閉即時保護 | 已停用 |
| 設定監控進出檔案與程式活動 | 啟用雙向 (完整開通) |
| 開啟行為監控 | Enabled |
| 監控電腦上的檔案和程式活動 | Enabled |
雲端保護功能
Standard Security intelligence 更新可能需要數小時準備與交付;我們的雲端防護服務能在數秒內提供這些保護。
欲了解更多資訊,請參閱「透過雲端防護在 Microsoft Defender 防毒軟體中使用次世代技術」。
\ 地圖:
| 描述 | 設定 |
|---|---|
| 加入 Microsoft MAPS | 啟用,進階 MAPS |
| 設定「一見即阻」功能 | Enabled |
| 需要進一步分析時,請傳送檔案樣本 | 啟用,傳送所有樣本 |
\ MpEngine:
| 描述 | 設定 |
|---|---|
| 選擇雲端保護等級 | 啟用,阻擋程度高 |
| 設定擴展雲端檢查 | 啟用,50 |
掃描
| 描述 | 設定 |
|---|---|
| 開啟啟發式 | Enabled |
| 開啟電子郵件掃描功能 | Enabled |
| 掃描所有下載的檔案和附件 | Enabled |
| 開啟腳本掃描 | Enabled |
| 掃描壓縮檔 | Enabled |
| 掃描封裝的可執行檔 | Enabled |
| 設定掃描網路檔案 (掃描網路檔案) | Enabled |
| 掃描卸除式磁碟機 | Enabled |
| 開啟重解析點掃描 | Enabled |
安全情報更新
| 描述 | 設定 |
|---|---|
| 指定檢查安全情報更新的間隔 | 啟用,4 |
| 定義下載安全情報更新來源的順序 | 啟用,在「定義下載安全情報更新的來源順序」中 InternalDefinitionUpdateServer |MicrosoftUpdateServer |MMPC 便條:其中 InternalDefinitionUpdateServer 是 WSUS,並允許 Microsoft Defender 防毒軟體更新。 MicrosoftUpdateServer == Microsoft 更新 (前身為 Windows Update) 。 MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
停用本地管理員防毒設定
關閉本地管理員的防毒設定,例如排除項目,並強制執行適用於端點的 Microsoft Defender 安全設定管理中的政策。
根:
| 描述 | 設定 |
|---|---|
| 設定本地管理員對清單的合併行為 | 已停用 |
| 控制排除項目是否對本地管理員可見 | Enabled |
威脅嚴重度預設行動
\ 威脅
| 描述 | 設定 | 警戒等級 | 動作 |
|---|---|---|---|
| 指定威脅警示等級,偵測到時不應採取預設行動 | Enabled | ||
| 5 (嚴重) | 2 (隔離) | ||
| 4 (高) | 2 (隔離) | ||
| 2 (中) | 2 (隔離) | ||
| 1 (低) | 2 (隔離) |
\ 隔離
| 描述 | 設定 |
|---|---|
| 設定從隔離資料夾移除項目 | 啟用,60 |
\ 用戶端介面
| 描述 | 設定 |
|---|---|
| 啟用無頭使用者介面模式 | 已停用 |
網路保護
\ Microsoft Defender 漏洞保護/網路保護:
| 描述 | 設定 |
|---|---|
| 防止使用者和應用程式存取危險網站 | 啟用,封鎖 |
| 此設定控制網路保護是否能在 Windows Server 上設定為封鎖或稽核模式 | Enabled |
目前要啟用 Windows Server 網路保護,請使用 PowerShell:
| 作業系統 | PowerShell cmdlet |
|---|---|
| Windows Server 2012 R2 及以後版本 | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Windows Server 2016 與 Windows Server 2012 R2 統一 MDE 用戶端 | set-MpPreference -AllowNetworkProtectionOnWinServer $true set-MpPreference -AllowNetworkProtectionDownLevel $ true |
受攻擊面縮小規則
前往電腦配置>管理範本>Windows 元件>Microsoft Defender 防毒>軟體 Microsoft Defender Exploit Guard>攻擊面面積縮小。
選取 [下一步]。
| 描述 | 設定 |
|---|---|
| BE9ba2D9-53EA-4CDC-84E5-9B1EEEE46550 注意: (從電子郵件客戶端和網頁郵件中封鎖可執行內容) |
1 (區塊) |
| 7674ba52-37eb-4a4f-a9a1-f0F9A1619A2C 注意: (阻擋 Adobe Reader 建立子程序) |
1 (區塊) |
| 5beb7efe-fd9a-4556-801d-275e5FFC04cc 注意: (區塊執行可能混淆的腳本) |
1 (區塊) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 注意: (封鎖被利用的易受攻擊簽署驅動程式) |
1 (區塊) |
| 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDc7b 注意: (從 Office 巨集) 阻擋 Win32 API 呼叫 |
1 (區塊) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 注意: 除非執行檔符合盛行率、年齡或信任清單標準,否則 (阻止執行檔執行) |
1 (區塊) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 注意: (Block Office 通訊應用程式無法建立子程序) |
1 (區塊) |
| D4F940AB-401B-4EFC-AADC-AD5F3C50688A 注意: (阻止所有 Office 應用程式建立子程序) |
1 (區塊) |
| c0033C00-D16D-4114-A5A0-DC9B3A7D2CEB 注意: ([預覽]) 封鎖使用複製或冒充的系統工具 |
1 (區塊) |
| d3E037E1-3eb8-44c8-a917-57927947596d 注意: (阻止 JavaScript 或 VBScript 啟動下載的執行檔內容) |
1 (區塊) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669E4B2 注意: (從 Windows 本地安全權限子系統) 阻擋憑證竊取 |
1 (區塊) |
| A8F5898E-1DC8-49A9-9878-85004B8A61E6 注意: (阻止伺服器 Web shell 建立) |
1 (區塊) |
| 3b576869-a4ec-4529-8536-b80a7769e899 注意: (封鎖 Office 應用程式產生可執行內容) |
1 (區塊) |
| B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 注意: (封鎖從 USB) 執行的不受信任且未簽署的程序 |
1 (區塊) |
| 75668C1F-73B5-4CF0-bb93-3ECF5CB7CC84 注意: (Block Office 應用程式無法將程式碼注入其他程序) |
1 (區塊) |
| e6db77e5-3df2-4CF1-B95A-636979351E5b 注意: (透過 WMI 事件訂閱) 阻擋持久性 |
1 (區塊) |
| C1db55ab-C21A-4637-bb3f-A12568109D35 注意: (使用先進的勒索軟體防護) |
1 (區塊) |
| D1E49AAC-8F56-4280-B9BA-993A6D77406C 注意: (來自 PSExec 與 WMI 指令的區塊程序建立) |
1 (區塊) 便條:如果你有Configuration Manager (以前SCCM) 或其他使用 WMI 的管理工具,可能需要將此設定為 2 個 (「稽核」) 而不是 1 個 (「區塊」) 。 |
| 33ddedf1-c6e0-47cb-833e-de6133960387 注意: ([預覽] 在安全模式中阻擋重啟機器) |
1 (區塊) |
提示
有些規則可能會阻擋你認為在組織中可以接受的行為。 在這種情況下,將規則從「啟用」改為「稽核」以防止不必要的封鎖。
受控資料夾存取
前往電腦配置>管理範本>Windows 元件>Microsoft Defender 防毒>軟體 Microsoft Defender Exploit Guard>攻擊面面積縮小。
| 描述 | 設定 |
|---|---|
| 設定受控資料夾存取 | 啟用,封鎖 |
將政策指派給測試機器所在的組織單位。
啟用防震保護
在 Microsoft Defender 入口網站https://security.microsoft.com中,請前往設定>端點>進階功能>「Tamper Protection>On」。
欲了解更多資訊,請參閱如何?配置或管理防篡改防護?
檢查 Cloud Protection 網路連線
在滲透測試時,檢查 Cloud Protection 網路連線是否正常非常重要。
CMD (以管理員身份執行)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
欲了解更多資訊,請參閱 使用 cmdline 工具驗證雲端提供的保護。
請查看平台更新版本
最新的「平台更新」版本製作頻道 (GA) 可在此取得:
要確認安裝的是哪個「平台更新」版本,請使用以下 PowerShell 指令 (「以管理員身份執行」) :
get-mpComputerStatus | ft AMProductVersion
請查看安全情報更新版本
最新版「安全情報更新」可在此取得:
Microsoft Defender 防毒軟體及其他 Microsoft 反惡意軟體的最新安全情報更新 - Microsoft 安全情報
要檢查安裝的是哪個「安全智慧更新」版本,請使用以下 PowerShell 指令 (以管理員身份執行) :
get-mpComputerStatus | ft AntivirusSignatureVersion
請檢查引擎更新版本
最新的掃描「引擎更新」版本可在此取得:
Microsoft Defender 防毒軟體及其他 Microsoft 反惡意軟體的最新安全情報更新 - Microsoft 安全情報
要檢查安裝的是哪個「引擎更新」版本,請使用以下 PowerShell 指令 (以管理員身份執行) :
get-mpComputerStatus | ft AMEngineVersion
如果你發現設定沒有生效,可能是衝突。 要解決衝突,請參考:排除 Microsoft Defender 防毒軟體設定。
針對假陰性 (FNs) 提交
如果您對 Microsoft Defender 防毒軟體偵測到的某項偵測有任何疑問,或發現漏檢,歡迎提交檔案給我們。
如果你有 Microsoft XDR、適用於端點的 Microsoft Defender P2/P1 或 適用於企業的 Microsoft Defender:請參考 適用於端點的 Microsoft Defender 中的「提交檔案」。
如果你有 Microsoft Defender 防毒軟體,請參考:https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
Microsoft Defender 防毒軟體透過標準 Windows 通知顯示偵測。 你也可以在 Microsoft Defender 防毒軟體中查看偵測結果。
Windows 事件日誌也會記錄偵測與引擎事件。 請參閱 Microsoft Defender 防毒事件文章,了解事件 ID 及其對應的動作列表。
如果你的設定沒有正確套用,請找出你的環境中是否有啟用的政策衝突。 更多資訊請參閱「故障排除 Microsoft Defender 防毒軟體設定」。
如果你需要開啟 Microsoft 支援案件:請聯絡 適用於端點的 Microsoft Defender 支援團隊。