Evaluer Microsoft Defender Antivirus ved hjælp af Microsoft Defender Endpoint Security Settings Management (Endpoint Security Policies)

I Windows 10 eller nyere og i Windows Server 2016 eller nyere kan du bruge næste generations beskyttelsesfunktioner, der tilbydes af Microsoft Defender Antivirus (MDAV) og Microsoft Defender Exploit Guard (Microsoft Defender EG).

I denne artikel beskrives de konfigurationsindstillinger, der er tilgængelige i Windows 10 og nyere versioner samt i Windows Server 2016 og nyere versioner. Den indeholder en trinvis vejledning i, hvordan du aktiverer og tester de vigtigste beskyttelsesfunktioner i Microsoft Defender Antivirus (MDAV) og Microsoft Defender for Endpoint (EG).

Hvis du har spørgsmål om en registrering, som MDAV foretager, eller hvis du opdager en mistet registrering, kan du sende en fil til os på vores websted med hjælp til eksempelindsendelse.

Brug Microsoft Defender Endpoint Security Settings Management (Endpoint Security Policies) til at aktivere funktionerne

I dette afsnit beskrives Microsoft Defender for Endpoint Administration af sikkerhedsindstillinger (sikkerhedspolitikker for slutpunkter), der konfigurerer de funktioner, du skal bruge til at evaluere vores beskyttelse.

MDAV angiver en registrering via windows-standardmeddelelser. Du kan også gennemse registreringer i MDAV-appen. Det kan du gøre ved at se Gennemse resultater Microsoft Defender Antivirus-scanning.

Windows-hændelsesloggen registrerer også registrering og programhændelser. Se artiklen Microsoft Defender Antivirus-hændelser for at få en liste over hændelses-id'er og deres tilsvarende handlinger. Du kan finde oplysninger om listen over hændelses-id'er og deres tilsvarende handlinger under Gennemse hændelseslogge og fejlkoder for at foretage fejlfinding af problemer med Microsoft Defender Antivirus.

Benyt følgende fremgangsmåde for at konfigurere de indstillinger, du skal bruge til at teste beskyttelsesfunktionerne:

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Endpoints>Configuration management>Endpoint security policies. Du kan også gå direkte til siden Endpoint-sikkerhedspolitikker ved at bruge https://security.microsoft.com/policy-inventory Windows-politikker.

  2. På siden Slutpunktssikkerhedspolitikker skal du kontrollere, at fanen Windows-politikker er valgt, og derefter vælge Opret ny politik

  3. Konfigurer følgende indstillinger i pop op-vinduet Opret en ny politik , der åbnes:

    • Vælg en platform: Vælg Windows.
    • Vælg skabelon: Vælg Microsoft Defender Antivirus.

    Vælg Opret politik.

  4. Guiden Opret en ny politik åbnes. Konfigurer følgende indstillinger på siden Grundlæggende :

    • Navn: Angiv et entydigt navn til politikken.
    • Beskrivelse: Angiv en valgfri beskrivelse.

    Vælg Næste

  5. Konfigurer indstillingerne i sektionen Defender på siden Konfigurationsindstillinger som beskrevet i følgende tabeller:

    • Beskyttelse i realtid:

      Indstilling Værdi
      Tillad overvågning i realtid Tilladt. Slår overvågningstjenesten i realtid til og kører den. (Standard)
      Scanningsretning i realtid Overvåg alle filer (tovejs). (Standard)
      Tillad overvågning af funktionsmåde Tilladt. Slår overvågning af funktionsmåde i realtid til (standard).
      Tillad ved Adgangsbeskyttelse Tilladt. (Standard)
      PUA-beskyttelse PUA-beskyttelse slået til. Registrerede elementer er blokeret. De vil vise i historien sammen med andre trusler.

    • Funktioner til cloudbeskyttelse:

      Indstilling Værdi
      Tillad cloudbeskyttelse Tilladt. Slår Cloud Protection til. (Standard)
      Niveau for skyblokering Høj
      Forlænget cloud-timeout Konfigureret, 50
      Indsend eksempelsamtykke Send alle eksempler automatisk

      Standard sikkerhedsintelligensopdateringer kan tage timer at forberede og levere. Vores skybaserede beskyttelsestjeneste kan levere denne beskyttelse på få sekunder. Du kan finde flere oplysninger under Brug næste generations teknologier i Microsoft Defender Antivirus via skybaseret beskyttelse.

    • Scanninger:

      Indstilling Værdi
      Tillad mailscanning Tilladt. Slår mailscanning til.
      Tillad scanning af alle downloadede filer og vedhæftede filer Tilladt. (Standard)
      Tillad scriptscanning Tilladt. (Standard)
      Tillad scanning af Arkiv Tilladt. Scanner arkivfilerne. (Standard)
      Tillad scanning af netværk Files Tilladt. Scanner netværksfiler. (Standard)
      Tillad scanning af flytbart drev med fuld scanning Tilladt. Scanner flytbare drev.

    • Netværksbeskyttelse:

      Indstilling Værdi
      Aktivér netværksbeskyttelse Aktiveret (bloktilstand)
      Tillad nedeniveau for netværksbeskyttelse Netværksbeskyttelse vil blive aktiveret på et lavere niveau.
      Tillad behandling af datagram på Win-server Behandling af datagram på Windows Server er aktiveret.
      Deaktiver DNS via TCP-parsing DNS via TCP-parsing er aktiveret (standard)
      Deaktiver HTTP-parsing HTTP-fortolkning er aktiveret (standard)
      Deaktiver SSH-fortolkning SSH-fortolkning er aktiveret (standard)
      Deaktiver TLS-fortolkning fortolkning er aktiveret (standard)

    • Sikkerhedsintelligensopdateringer:

      Indstilling Værdi
      Interval for signaturopdatering Konfigureret, 4
      Reserveordre for signaturopdatering
      1. Vælg Tilføj for så mange reservekilder, som du vil angive.
      2. Angiv en af følgende værdier i hvert felt i den ønskede rækkefølge:
        • InternalDefinitionUpdateServer: Din egen WSUS-server med Microsoft Defender Tilladte Antivirus-opdateringer.
        • MicrosoftUpdateServer: Microsoft Update.
        • MMPC: https://www.microsoft.com/wdsi/definitions

      Hvis du vil fjerne en reservekilde (udfyldt eller tom), skal du markere afkrydsningsfeltet ud for feltet og derefter vælge Fjern.

    • Lokal administrator-AV:

      Deaktiver av-indstillinger for lokale administratorer, f.eks. udeladelser, og angiv politikkerne fra Microsoft Defender for Endpoint Administration af sikkerhedsindstillinger som beskrevet i følgende tabel:

      Indstilling Værdi
      Deaktiver lokal Administration fletning Deaktiver lokal Administration fletning

    • Standardhandling for trussels alvorsgrad:

      Indstilling Værdi
      Afhjælpningshandling for trusler med høj alvorsgrad Karantæne. Flyt filer til karantæne.
      Afhjælpningshandling for alvorlige trusler Karantæne. Flyt filer til karantæne.
      Afhjælpningshandling for trusler med lav alvorsgrad Karantæne. Flyt filer til karantæne.
      Afhjælpningshandling for moderate alvorstrusler Karantæne. Flyt filer til karantæne.

    • Indstillinger for karantæne

      Indstilling Værdi
      Dage, hvor rengjort malware skal bevares Konfigureret, 60
      Tillad brugeradgang til brugergrænsefladen Tilladt. Giv brugerne adgang til brugergrænsefladen. (Standard)

    Når du er færdig på siden Konfigurationsindstillinger , skal du vælge Næste.

  6. På siden Tildelinger skal du klikke i feltet og vælge mellem følgende værdier:

    • Alle brugere eller Alle enheder.
    • Når du finder og vælger en eller flere tilgængelige grupper, kan du bruge værdien Måltype i gruppeposten til at inkludere eller udelade gruppemedlemmerne.

    Når du er færdig på siden Tildelinger , skal du vælge Næste.

  7. Gennemse dine indstillinger på siden Gennemse + opret . Vælg Tilbage , eller vælg sidenavnet for at foretage ændringer.

    Når du er færdig på siden Gennemse + opret , skal du vælge Gem.

Når oprettelsen af politikken er fuldført, føres du til detaljesiden for den nye politik.

Vælg Slutpunktssikkerhedspolitikker øverst på siden for at vende tilbage til siden Slutpunktssikkerhedspolitikker, hvor den nye politik er angivet med værdien Politiktype Microsoft Defender Antivirus.

Regler for reduktion af angrebsoverflade

Benyt følgende fremgangsmåde for at aktivere ASR-regler (Attack Surface Reduction) ved hjælp af sikkerhedspolitikkerne for slutpunkter:

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Endpoints>Configuration management>Endpoint security policies. Du kan også gå direkte til siden Endpoint-sikkerhedspolitikker ved at bruge https://security.microsoft.com/policy-inventory Windows-politikker.

  2. På siden Slutpunktssikkerhedspolitikker skal du kontrollere, at fanen Windows-politikker er valgt, og derefter vælge Opret ny politik

  3. Konfigurer følgende indstillinger i pop op-vinduet Opret en ny politik , der åbnes:

    • Vælg en platform: Vælg Windows.
    • Vælg skabelon: Vælg regler for reduktion af angrebsoverflade.

    Vælg Opret politik.

  4. Guiden Opret en ny politik åbnes. Konfigurer følgende indstillinger på siden Grundlæggende :

    • Navn: Angiv et entydigt navn til politikken.
    • Beskrivelse: Angiv en valgfri beskrivelse.

    Vælg Næste

  5. Konfigurer indstillingerne på siden Konfigurationsindstillinger på baggrund af følgende anbefalinger:

    Indstilling Værdi
    Bloker eksekverbart indhold fra mailklient og webmail Bloker
    Bloker Adobe Reader fra at oprette underordnede processer Bloker
    Bloker udførelse af potentielt slørede scripts Bloker
    Bloker misbrug af udnyttede sårbare signerede drivere (enhed) Bloker
    Bloker Win32 API-kald fra Office-makroer Bloker
    Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til Bloker
    Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer Bloker
    Bloker alle Office-programmer, så de ikke kan oprette underordnede processer Bloker
    Bloker brugen af kopierede eller repræsenterede systemværktøjer Bloker
    Bloker JavaScript eller VBScript fra start af downloadet eksekverbart indhold Bloker
    Bloker tyveri af legitimationsoplysninger fra det lokale Windows-undersystem til sikkerhedsmyndighed Bloker
    Bloker oprettelse af Webshell for servere Bloker
    Bloker Office-programmer fra at oprette eksekverbart indhold Bloker
    Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB Bloker
    Bloker Office-programmer fra at indsætte kode i andre processer Bloker
    Bloker vedholdenhed via WMI-hændelsesabonnement Bloker
    Brug avanceret beskyttelse mod ransomware Bloker
    Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI Bloker (hvis du har Konfigurationsstyring (tidligere SCCM) eller andre administrationsværktøjer, der bruger WMI, skal du muligvis angive dette til Overvågning i stedet for Bloker)
    Bloker genstart af computeren i fejlsikret tilstand Bloker
    Aktivér adgang til styrede mapper Aktiveret

Tip

En af reglerne kan blokere funktionsmåder, som du finder acceptable i din organisation. I disse tilfælde skal du tilføje undtagelser pr. regel med navnet "Kun udeladelser for angrebsoverfladereduktion". Du kan også ændre reglen fra Aktiveret til Overvågning for at forhindre uønskede blokke.

  1. På siden Tildelinger skal du klikke i feltet og vælge mellem følgende værdier:

    • Alle brugere eller Alle enheder.
    • Når du finder og vælger en eller flere tilgængelige grupper, kan du bruge værdien Måltype i gruppeposten til at inkludere eller udelade gruppemedlemmerne.

    Når du er færdig på siden Tildelinger , skal du vælge Næste.

  2. Gennemse dine indstillinger på siden Gennemse + opret . Vælg Tilbage , eller vælg sidenavnet for at foretage ændringer.

    Når du er færdig på siden Gennemse + opret , skal du vælge Gem.

Når oprettelsen af politikken er fuldført, føres du til detaljesiden for den nye politik.

Vælg Slutpunktssikkerhedspolitikker øverst på siden for at vende tilbage til siden Slutpunktssikkerhedspolitikker , hvor den nye politik er angivet med værdien Politiktype Regler for reduktion af angrebsoverfladen.

Aktivér beskyttelse mod ændring

  1. Log på Microsoft Defender XDR.

  2. Gå til Slutpunkter > Konfigurationsstyring > Sikkerhedspolitikker > for slutpunkt Windows-politikker > Opret ny politik.

  3. Vælg Windows 10, Windows 11 og Windows Server på rullelisten Vælg platform.

  4. Vælg Sikkerhedsoplevelse på rullelisten Vælg skabelon .

  5. Vælg Opret politik. Siden Opret en ny politik vises.

  6. På siden Grundlæggende skal du angive et navn og en beskrivelse af profilen i felterne Navn og Beskrivelse .

  7. Vælg Næste.

  8. Udvid grupperne af indstillinger på siden Konfigurationsindstillinger .

  9. Vælg de indstillinger, du vil administrere med denne profil, i disse grupper.

  10. Angiv politikkerne for de valgte grupper af indstillinger ved at konfigurere dem som beskrevet i følgende tabel:

    Beskrivelse Indstilling
    TamperProtection (enhed) Til

Kontrollér netværksforbindelsen til Cloud Protection

Det er vigtigt at bekræfte, at Cloud Protection-netværksforbindelsen fungerer under indtrængningstest.

Kør følgende kommandoer i en kommandoprompt med administratorrettigheder (et kommandopromptvindue, du åbnede ved at vælge Kør som administrator):

Tip

Den første kommando ændrer mappen til den nyeste version af <antimalwareplatformsversionen> i %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Hvis stien ikke findes, går den til %ProgramFiles%\Windows Defender.

(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1

MpCmdRun.exe -ValidateMapsConnection

Du kan få flere oplysninger under Konfigurer og administrer Microsoft Defender Antivirus med kommandolinjeværktøjet MpCmdRun.

Kontrollér platformens opdateringsversion

Den nyeste "Platform Update"-version produktion kanal (GA) er tilgængelig i Microsoft Update Catalog.

Hvis du vil kontrollere, hvilken version af "Platform Update", du har installeret, skal du køre følgende kommando i PowerShell ved hjælp af rettigheder som administrator:

Get-MPComputerStatus | Format-Table AMProductVersion

Kontrollér versionen af Sikkerhedsintelligensopdatering

Den nyeste version af "Security Intelligence Update" er tilgængelig i Seneste sikkerhedsintelligensopdateringer til Microsoft Defender Antivirus og anden antimalware fra Microsoft – Microsoft Sikkerhedsviden.

Hvis du vil kontrollere, hvilken version af "Security Intelligence Update", du har installeret, skal du køre følgende kommando i PowerShell ved hjælp af rettigheder som administrator:

Get-MPComputerStatus | Format-Table AntivirusSignatureVersion

Kontrollér programopdateringsversionen

Den nyeste scanningsversion af "programopdatering" er tilgængelig i Seneste sikkerhedsintelligensopdateringer til Microsoft Defender Antivirus og anden Microsoft-antimalware – Microsoft Sikkerhedsviden.

Hvis du vil kontrollere, hvilken version af "Programopdatering", du har installeret, skal du køre følgende kommando i PowerShell ved hjælp af rettigheder som administrator:

Get-MPComputerStatus | Format-Table AMEngineVersion

Hvis du oplever, at dine indstillinger ikke træder i kraft, kan der være en konflikt. Du kan finde oplysninger om, hvordan du løser konflikter, under Fejlfinding Microsoft Defender Antivirusindstillinger.

FNs-indsendelser (False Negatives)

Du kan få oplysninger om, hvordan du foretager FNs-indsendelser (False Negatives), i:

  • Last updated on