在 Windows 10 (或更新的) 和 Windows Server 2016 (或更新的) 中,您可以使用具有漏洞利用保護的 Microsoft Defender Antivirus 提供的下一代保護功能。
本文說明如何使用惡意探索保護來啟用和測試 Microsoft Defender 防病毒軟體中的關鍵保護功能,並提供詳細資訊的指引和連結。
建議您使用 評估 PowerShell 腳本 來設定這些功能,但您可以使用本檔其餘部分所述的 Cmdlet 個別啟用每個功能。
如需端點保護產品和服務的詳細資訊,請參閱下列資源:
本文說明 Windows 10 或更新版本和 Windows Server 2016 或更新版本中的設定選項。 如果您對 Microsoft Defender 防病毒軟體所進行的偵測有任何疑問,或發現遺漏的偵測,您可以在我們的範例提交說明網站將檔案提交給我們。
使用 PowerShell 啟用功能
本指南提供 Microsoft Defender 防病毒軟體 Cmdlet,以設定您應該用來評估保護的功能。
若要使用這些 Cmdlet,請以系統管理員身分開啟 PowerShell,執行命令,然後按 Enter。
您可以在開始之前或評估期間檢查所有設定的狀態,方法是使用 Get-MpPreference PowerShell Cmdlet,或從 PowerShell 資源庫安裝 DefenderEval 模組,然後使用命令Get-DefenderEvaluationReport。
Microsoft Defender 防病毒軟體會指出透過標準 Windows 通知進行偵測。 您也可以檢閱 Microsoft Defender 防病毒軟體應用程式中的偵測。
Windows 事件日誌也會記錄偵測和引擎事件。 如需事件標識碼及其對應動作的清單,請參閱 Microsoft Defender 防病毒軟體事件一文。
雲端保護功能
Standard Definition 更新可能需要數小時來準備和交付;我們的雲端交付保護服務可以在幾秒鐘內提供這種保護。
如需詳細資訊,請參閱 雲端保護和 Microsoft Defender 防病毒軟體。
| 描述 | PowerShell 命令 |
|---|---|
| 啟用 Microsoft Defender Cloud 以取得近乎即時的保護和增強的保護 | Set-MpPreference -MAPSReporting Advanced |
| 自動提交樣品,增加群體保護 | Set-MpPreference -SubmitSamplesConsent Always |
| 始終使用雲端在幾秒鐘內阻止新的惡意軟體 | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| 掃描所有下載的檔案和附件 | Set-MpPreference -DisableIOAVProtection 0 |
| 將雲端區塊層級設定為 [高] | Set-MpPreference -CloudBlockLevel High |
| 高 將雲端區塊逾時設定為 1 分鐘 | Set-MpPreference -CloudExtendedTimeout 50 |
始終在線的保護 (實時掃描)
Microsoft Defender 防病毒軟體會在 Windows 看到檔案後立即掃描檔案,監視任何執行中的進程是否有已知或可疑的惡意行為。 如果防毒引擎發現惡意修改,會立即封鎖進程或檔案的執行。
如需這些選項的詳細資訊,請參閱 設定行為、啟發式和即時保護。
| 描述 | PowerShell 命令 |
|---|---|
| 持續監控檔案和進程是否有已知的惡意軟體修改 | Set-MpPreference -DisableRealtimeMonitoring 0 |
| 持續監控已知的惡意軟體行為,即使在不被視為威脅的檔案中,以及正在執行的程式 | Set-MpPreference -DisableBehaviorMonitoring 0 |
| 看到或執行指令碼後立即掃描指令碼 | Set-MpPreference -DisableScriptScanning 0 |
| 插入或安裝可移動驅動器後立即掃描它們 | Set-MpPreference -DisableRemovableDriveScanning 0 |
潛在不需要的應用程式保護
潛在有害應用程式 是指傳統上未歸類為惡意的檔案和應用程式。 這類應用程式包括一般軟體的非 Microsoft 安裝程式、廣告插入,以及瀏覽器中某些類型的工具列。
| 描述 | PowerShell 命令 |
|---|---|
| 防止安裝可能遭到的惡意軟體、廣告軟體和其他可能不需要的應用程式 | Set-MpPreference -PUAProtection Enabled |
Email 和存檔掃描
您可以將Microsoft Defender防病毒軟件設置為自動掃描某些類型的電子郵件文件並存 (文件,例如 .zip 文件,當它們被 Windows 看到時) 它們。 如需詳細資訊,請參閱 Microsoft Defender 中的受控電子郵件掃描。
| 描述 | PowerShell 命令 |
|---|---|
| 掃描電子郵件檔案和封存 |
Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0
|
管理產品和保護更新
一般而言,您每天會從 Windows 更新收到一次 Microsoft Defender 防病毒軟體更新。 不過,您可以設定下列選項,並確定您的更新是在 System Center Configuration Manager、使用群組原則或 Intune 中管理,以增加這些更新的頻率。
| 描述 | PowerShell 命令 |
|---|---|
| 每天更新簽名 | Set-MpPreference -SignatureUpdateInterval |
| 在執行排程掃描之前檢查以更新簽章 | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
進階威脅和惡意探索緩解和預防受控資料夾存取
惡意探索防護提供的功能可協助保護裝置免受已知惡意行為和對易受攻擊技術的攻擊。
| 描述 | PowerShell 命令 |
|---|---|
| 防止惡意和可疑的應用程式 (,例如勒索軟體) 透過受控資料夾存取權對受保護的資料夾進行變更 | Set-MpPreference -EnableControlledFolderAccess Enabled |
| 使用網路保護封鎖與已知錯誤 IP 位址的連線和其他網路連線 | Set-MpPreference -EnableNetworkProtection Enabled |
| 套用一組具有惡意探索保護的標準風險降低措施 | Invoke-WebRequesthttps://demo.wd.microsoft.com/Content/ProcessMitigation.xml -OutFile ProcessMitigation.xmlSet-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| 使用受攻擊面縮小來封鎖已知的惡意攻擊媒介 | Add-MpPreference -AttackSurfaceReductionRules\_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules\_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules\_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules\_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules\_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules\_Actions Enabled |
某些規則可能會封鎖您在組織中認為可接受的行為。 在這些情況下,請將規則從 Enabled 變更為 , Audit 以防止不必要的封鎖。
啟用竄改保護
在 Microsoft Defender 入口網站中,移至 [設定>] [端點]> [進階功能>] [竄改防護>] 開啟。
如需詳細資訊,請參閱 如何?設定或管理竄改保護。
檢查雲端保護網路連線
請務必檢查雲端保護網路連線在滲透測試期間是否正常運作。 以管理員身分使用命令提示字元,執行下列命令:
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
如需詳細資訊,請參閱 使用 cmdline 工具來驗證雲端傳遞的保護。
一選 Microsoft Defender 離線掃描
Microsoft Defender 離線掃描是 Windows 10 或更高版本附帶的專用工具,可讓您將機器啟動到正常作業系統之外的專用環境。 它對於強大的惡意軟體(例如 rootkit)特別有用。
如需詳細資訊,請參閱 Microsoft Defender 離線。
| 描述 | PowerShell 命令 |
|---|---|
| 確保通知允許您將裝置啟動到專門的惡意軟體清除環境 | Set-MpPreference -UILockdown 0 |