Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel forklares det, hvordan du aktiverer og tester vigtige beskyttelsesfunktioner i Microsoft Defender Antivirus og Microsoft Defender Exploit Guard i aktuelle versioner af Microsoft Windows og Windows Server.
Forudsætninger
Understøttede operativsystemer
- Windows 10 eller nyere
- Windows Server 2016 eller nyere
Brug Microsoft Defender Antivirus ved hjælp af Gruppepolitik til at aktivere funktionerne
I dette afsnit beskrives det, hvordan du bruger et Gruppepolitik Central Store til at konfigurere Microsoft Defender Antivirus til evaluering.
Download de nyeste administrative skabelonfiler fra Links for at downloade filerne til administrative skabeloner baseret på versionen af operativsystemet.
Tip
Se afsnittet Systemkrav på de enkelte downloadsider:
- De fleste downloads understøtter Windows-klienter og Windows-servere.
- Få den nyeste tilgængelige og relevante download.
Benyt en af følgende fremgangsmåder for at oprette et centralt lager, der skal hoste de nyeste .admx- og .adml-skabeloner:
Domæner:
- Opret en ny organisationsenhed for at blokere nedarvning af politik.
- Åbn administrationskonsollen for gruppepolitik (gpmc.msc).
- Gå til Gruppepolitik Objekter, og opret en ny gruppepolitik.
- Højreklik på den nye gruppepolitik, og vælg derefter Rediger.
- Gå til Computerkonfigurationspolitikker>>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus.
Arbejdsgrupper:
- Åbn Gruppepolitik Editor (gpedit.msc).
- Gå til Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus.
Du kan få flere oplysninger under Opret og administrer Central Store – Windows-klient.
MDAV og potentielt uønskede programmer (PUA)
Rod:
| Beskrivelse | Indstilling |
|---|---|
| Deaktiver Microsoft Defender Antivirus | Deaktiveret |
| Konfigurer registrering for potentielt uønskede programmer | Aktiveret – blok |
Beskyttelse i realtid (altid aktiveret, scanning i realtid)
Beskyttelse i realtid:
| Beskrivelse | Indstilling |
|---|---|
| Slå beskyttelse i realtid fra | Deaktiveret |
| Konfigurer overvågning for indgående og udgående fil- og programaktivitet | Aktiveret, tovejs (fuld adgang) |
| Slå overvågning af funktionsmåde til | Aktiveret |
| Overvåg fil- og programaktivitet på computeren | Aktiveret |
Funktioner til beskyttelse i skyen
Standard sikkerhedsintelligensopdateringer kan tage timer at forberede og levere. Vores skybaserede beskyttelsestjeneste kan levere denne beskyttelse på få sekunder.
Du kan finde flere oplysninger under Brug næste generations teknologier i Microsoft Defender Antivirus via skybaseret beskyttelse.
KORT:
| Beskrivelse | Indstilling |
|---|---|
| Deltag i Microsoft MAPS | Aktiveret, Avancerede KORT |
| Konfigurer funktionen 'Blok ved første øjekast' | Aktiveret |
| Send fileksempler, når der kræves yderligere analyse | Aktiveret. Send alle eksempler |
MpEngine:
| Beskrivelse | Indstilling |
|---|---|
| Vælg skybeskyttelsesniveau | Aktiveret, højt blokeringsniveau |
| Konfigurer udvidet cloudkontrol | Aktiveret, 50 |
Scanninger
| Beskrivelse | Indstilling |
|---|---|
| Slå heuristik til | Aktiveret |
| Slå mailscanning til | Aktiveret |
| Scan alle downloadede filer og vedhæftede filer | Aktiveret |
| Slå scriptscanning til | Aktiveret |
| Scan arkivfiler | Aktiveret |
| Scan pakkede eksekverbare filer | Aktiveret |
| Konfigurer scanning af netværksfiler (Scan netværk Files) | Aktiveret |
| Scan flytbare drev | Aktiveret |
| Slå scanning af genfortolkningspunkt til | Aktiveret |
Sikkerhedsintelligensopdateringer
| Beskrivelse | Indstilling |
|---|---|
| Angiv det interval, der skal kontrolleres for sikkerhedsintelligensopdateringer | Aktiveret, 4 |
| Definer rækkefølgen af kilder til download af sikkerhedsintelligensopdateringer | Aktiveret under 'Definer rækkefølgen af kilder til download af sikkerhedsintelligensopdateringer'
|
Deaktiver lokale administrator-AV-indstillinger
Deaktiver av-indstillinger for lokale administratorer, f.eks. udeladelser, og gennemtving politikkerne fra Microsoft Defender for Endpoint Administration af sikkerhedsindstillinger.
Rod:
| Beskrivelse | Indstilling |
|---|---|
| Konfigurer funktionsmåden for fletning af lokale administratorer for lister | Deaktiveret |
| Kontrollér, om udeladelser skal være synlige for lokale administratorer | Aktiveret |
Standardhandling for trussels alvorsgrad
Trusler:
| Beskrivelse | Indstilling | Beskedniveau | Handling |
|---|---|---|---|
| Angiv niveauer for trusselsbeskeder, hvor standardhandlingen ikke skal udføres, når den registreres | Aktiveret | ||
| 5 (svær) | 2 (karantæne) | ||
| 4 (høj) | 2 (karantæne) | ||
| 2 (mellem) | 2 (karantæne) | ||
| 1 (lav) | 2 (karantæne) |
Karantæne:
| Beskrivelse | Indstilling |
|---|---|
| Konfigurer fjernelse af elementer fra karantænemappen | Aktiveret, 60 |
Klientgrænseflade:
| Beskrivelse | Indstilling |
|---|---|
| Aktivér hovedløs brugergrænsefladetilstand | Deaktiveret |
Netværksbeskyttelse
Microsoft Defender Exploit Guard\Network Protection:
| Beskrivelse | Indstilling |
|---|---|
| Forhindre brugere og apps i at få adgang til farlige websteder | Aktiveret, Blok |
| Disse indstillinger styrer, om Netværksbeskyttelse kan konfigureres til blokerings- eller overvågningstilstand på Windows Server | Aktiveret |
Hvis du vil aktivere Netværksbeskyttelse af Windows-servere, skal du bruge PowerShell:
| Operativsystem | PowerShell-kommando |
|---|---|
| Windows Server 2012 R2 og nyere | Set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Windows Server 2016 og Windows Server 2012 R2 Unified MDE klient | Set-MpPreference -AllowNetworkProtectionOnWinServer $true -AllowNetworkProtectionDownLevel $true |
Regler for reduktion af angrebsoverflade
Gå til Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack overflade Reduction.
Vælg Næste.
*Hvis du bruger Microsoft Configuration Manager (tidligere kaldet Microsoft Endpoint Configuration Manager og Microsoft System Center Configuration Manager) eller andre administrationsværktøjer, der bruger WMI, skal du bruge værdien 2 (Overvågning). Den Konfigurationsstyring klient er meget afhængig af WMI.
Tip
Nogle regler kan blokere funktionsmåder, som du finder acceptable i din organisation. I disse tilfælde skal du ændre reglen fra 1 (blok) til 2 (overvågning) for at forhindre uønskede blokke.
Kontrolleret mappeadgang
Gå til Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack overflade Reduction.
| Beskrivelse | Indstilling |
|---|---|
| Konfigurer adgang til styrede mapper | Aktiveret, Blok |
Tildel politikkerne til den organisationsenhed, hvor testcomputerne er placeret.
Aktivér beskyttelse mod ændring
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Indstillinger>Slutpunkter>Avancerede funktioner>Tamper Protection>On.
Du kan få flere oplysninger under Hvordan gør jeg konfigurere eller administrere beskyttelse mod manipulation?.
Kontrollér netværksforbindelsen til Cloud Protection
Det er vigtigt at bekræfte, at Cloud Protection-netværksforbindelsen fungerer under indtrængningstest.
Kør følgende kommandoer i en kommandoprompt med administratorrettigheder (et kommandopromptvindue, du åbnede ved at vælge Kør som administrator):
Tip
Den første kommando ændrer mappen til den nyeste version af <antimalwareplatformsversionen> i %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Hvis stien ikke findes, går den til %ProgramFiles%\Windows Defender.
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
MpCmdRun.exe -ValidateMapsConnection
Du kan få flere oplysninger under Konfigurer og administrer Microsoft Defender Antivirus med kommandolinjeværktøjet MpCmdRun.
Kontrollér platformsopdateringsversionen
Den nyeste "Platform Update"-version produktion kanal (GA) er tilgængelig her:
Hvis du vil se den installerede version af 'Platform Update', skal du køre følgende kommando i en PowerShell-session med administratorrettigheder (et PowerShell-vindue, du åbnede ved at vælge Kør som administrator):
Get-MpComputerStatus | Format-Table AMProductVersion
Kontrollér versionen af Sikkerhedsintelligensopdatering
Den seneste version af 'Security Intelligence Update' er tilgængelig her:
Hvis du vil se den installerede version af 'Security Intelligence Update', skal du køre følgende kommando i en PowerShell-session med administratorrettigheder:
Get-MpComputerStatus | Format-Table AntivirusSignatureVersion
Kontrollér programopdateringsversionen
Den seneste scanningsversion af 'programopdatering' er tilgængelig her:
Hvis du vil se den installerede version af 'Programopdatering', skal du køre følgende kommando i en PowerShell-session med administratorrettigheder:
Get-MpComputerStatus | Format-Table AMEngineVersion
Hvis dine indstillinger ikke træder i kraft, kan der være en konflikt. Hvis du vil løse konflikter, skal du se Fejlfinding Microsoft Defender antivirusindstillinger.
FNs-indsendelser (False Negatives)
Hvis du har spørgsmål om en registrering, som Microsoft Defender AV foretager, eller hvis du opdager en mistet registrering, kan du sende en fil til os.
Hvis du har Microsoft XDR, Microsoft Defender for Endpoint P2/P1 eller Microsoft Defender til virksomheder: Se Send filer i Microsoft Defender for Endpoint.
Hvis du har Microsoft Defender Antivirus, skal du se Send filer til analyse.
Microsoft Defender AV angiver en registrering via windows-standardmeddelelser. Du kan også gennemse registreringer i Microsoft Defender AV-appen.
Windows-hændelsesloggen registrerer også registrering og programhændelser. Se artiklen Microsoft Defender Antivirus-hændelser for at få en liste over hændelses-id'er og deres tilsvarende handlinger.
Hvis dine indstillinger ikke anvendes korrekt, skal du finde ud af, om der er modstridende politikker, der er aktiveret i dit miljø. Du kan finde flere oplysninger under Fejlfinding Microsoft Defender antivirusindstillinger.
Hvis du har brug for at åbne en Microsoft-supportsag: Kontakt Microsoft Defender for Endpoint support.