Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In Windows 10 of hoger en in Windows Server 2016 of hoger kunt u gebruikmaken van beveiligingsfuncties van de volgende generatie die worden aangeboden door Microsoft Defender Antivirus (MDAV) en Microsoft Defender Exploit Guard (Microsoft Defender EG).
In dit artikel worden de configuratieopties beschreven die beschikbaar zijn in Windows 10 en latere versies, evenals in Windows Server 2016 en latere versies. Het biedt stapsgewijze richtlijnen voor het activeren en testen van de belangrijkste beveiligingsfuncties in Microsoft Defender Antivirus (MDAV) en Microsoft Defender voor Eindpunt (EG).
Als u vragen hebt over een detectie die MDAV maakt of als u een gemiste detectie ontdekt, kunt u een bestand naar ons verzenden op onze helpsite voor voorbeeldinzending.
Beheer van Microsoft Defender eindpuntbeveiligingsinstellingen (eindpuntbeveiligingsbeleid) gebruiken om de functies in te schakelen
In deze sectie wordt het Microsoft Defender voor Eindpunt Beheer van beveiligingsinstellingen (eindpuntbeveiligingsbeleid) beschreven waarmee de functies worden geconfigureerd die u moet gebruiken om onze beveiliging te evalueren.
MDAV geeft een detectie aan via standaard Windows-meldingen. U kunt ook detecties bekijken in de MDAV-app. Zie Scanresultaten van Microsoft Defender Antivirus controleren om dit te doen.
In het Windows-gebeurtenislogboek worden ook detectie- en engine-gebeurtenissen vastgelegd. Zie het artikel Microsoft Defender Antivirusgebeurtenissen voor een lijst met gebeurtenis-id's en de bijbehorende acties. Zie Gebeurtenislogboeken en foutcodes controleren om problemen met Microsoft Defender Antivirus op te lossen voor meer informatie over de lijst met gebeurtenis-id's en de bijbehorende acties.
Voer de volgende stappen uit om de opties te configureren die u moet gebruiken om de beveiligingsfuncties te testen:
Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Eindpunten>Configuratiebeheer>Eindpuntbeveiligingsbeleid. Of gebruik https://security.microsoft.com/policy-inventory Windows-beleid om rechtstreeks naar de pagina Eindpuntbeveiligingsbeleid te gaan.
Controleer op de pagina Eindpuntbeveiligingsbeleid of het tabblad Windows-beleid is geselecteerd en selecteer vervolgens Nieuw beleid maken
Configureer in de flyout Een nieuw beleid maken die wordt geopend de volgende instellingen:
- Selecteer een platform: Selecteer Windows.
- Sjabloon selecteren: selecteer Microsoft Defender Antivirus.
Selecteer Beleid maken.
De wizard Een nieuw beleid maken wordt geopend. Configureer op de pagina Basisbeginselen de volgende instellingen:
- Naam: voer een unieke naam in voor het beleid.
- Beschrijving: voer een optionele beschrijving in.
Selecteer Volgende
Configureer op de pagina Configuratie-instellingen de instellingen in de sectie Defender , zoals beschreven in de volgende tabellen:
Realtime-beveiliging:
Instelling Waarde Realtime-bewaking toestaan Toegestaan. Hiermee wordt de realtime bewakingsservice ingeschakeld en uitgevoerd. (Standaard) Realtime scanrichting Alle bestanden bewaken (in twee richtingen). (Standaard) Gedragscontrole toestaan Toegestaan. Hiermee schakelt u realtime gedragscontrole in (standaard). Toegangsbeveiliging toestaan Toegestaan. (Standaard) PUA-beveiliging PUA-beveiliging ingeschakeld. Gedetecteerde items worden geblokkeerd. Ze worden in de geschiedenis weergegeven, samen met andere bedreigingen. Cloudbeveiligingsfuncties:
Instelling Waarde Cloudbeveiliging toestaan Toegestaan. Hiermee schakelt u Cloudbeveiliging in. (Standaard) Blokniveau van cloud Hoog Uitgebreide time-out voor cloud Geconfigureerd, 50 Toestemming voor het verzenden van voorbeelden Alle voorbeelden automatisch verzenden Het kan uren duren voordat updates voor standaardbeveiligingsinformatie zijn voorbereid en geleverd. Onze cloudbeveiligingsservice kan deze beveiliging binnen enkele seconden bieden. Zie Next-Gen-technologieën gebruiken in Microsoft Defender Antivirus via cloudbeveiliging voor meer informatie.
Scans:
Instelling Waarde Scannen Email toestaan Toegestaan. Hiermee schakelt u het scannen van e-mail in. Scannen van alle gedownloade bestanden en bijlagen toestaan Toegestaan. (Standaard) Scannen van scripts toestaan Toegestaan. (Standaard) Scannen Archief toestaan Toegestaan. Scant de archiefbestanden. (Standaard) Scannen van netwerk Files toestaan Toegestaan. Hiermee worden netwerkbestanden gescand. (Standaard) Scannen van verwisselbaar station volledig scannen toestaan Toegestaan. Hiermee worden verwisselbare stations gescand. Netwerkbeveiliging:
Instelling Waarde Netwerkbeveiliging inschakelen Ingeschakeld (blokmodus) Offlineniveau netwerkbeveiliging toestaan Netwerkbeveiliging wordt downlevel ingeschakeld. Datagramverwerking toestaan op Win Server Gegevensverwerking op Windows Server is ingeschakeld. DNS via TCP-parsering uitschakelen DNS via TCP parseren is ingeschakeld (standaard) HTTP-parsering uitschakelen HTTP-parsering is ingeschakeld (standaard) SSH-parsering uitschakelen SSH-parsering is ingeschakeld (standaard) TLS-parsering uitschakelen Parseren is ingeschakeld (standaard) Updates voor beveiligingsinformatie:
Instelling Waarde Interval voor bijwerken van handtekening Geconfigureerd, 4 Terugvalvolgorde voor handtekeningupdates - Selecteer Toevoegen voor zoveel terugvalbronnen als u wilt opgeven.
- Voer in elk vak een van de volgende waarden in de gewenste volgorde in:
-
InternalDefinitionUpdateServer: Uw eigen WSUS-server met Microsoft Defender Antivirus-updates toegestaan. -
MicrosoftUpdateServer: Microsoft Update. -
MMPC:https://www.microsoft.com/wdsi/definitions
-
Als u een terugvalbron (ingevuld of leeg) wilt verwijderen, schakelt u het selectievakje naast het vak in en selecteert u vervolgens Verwijderen.Lokale beheerder AV:
Schakel AV-instellingen voor lokale beheerders, zoals uitsluitingen, uit en stel het beleid in vanuit de Microsoft Defender voor Eindpunt Beheer van beveiligingsinstellingen, zoals beschreven in de volgende tabel:
Instelling Waarde Lokale Beheer samenvoegen uitschakelen Lokale Beheer samenvoegen uitschakelen Standaardactie ernst bedreiging:
Instelling Waarde Herstelactie voor bedreigingen met hoge ernst Quarantaine. Bestanden verplaatsen naar quarantaine. Herstelactie voor ernstige bedreigingen Quarantaine. Bestanden verplaatsen naar quarantaine. Herstelactie voor bedreigingen met een lage ernst Quarantaine. Bestanden verplaatsen naar quarantaine. Herstelactie voor bedreigingen met gemiddelde ernst Quarantaine. Bestanden verplaatsen naar quarantaine. Quarantaineopties
Instelling Waarde Dagen om opgeschoonde malware te behouden Geconfigureerd, 60 Gebruikersinterfacetoegang toestaan Toegestaan. Gebruikers toegang geven tot de gebruikersinterface. (Standaard)
Wanneer u klaar bent op de pagina Configuratie-instellingen , selecteert u Volgende.
Klik op de pagina Toewijzingen in het vak en selecteer een van de volgende waarden:
- Alle gebruikers of Alle apparaten.
- Wanneer u een of meer beschikbare groepen zoekt en selecteert, kunt u de waarde doeltype in de groepsvermelding gebruiken om de groepsleden op te nemen of uit te sluiten .
Wanneer u klaar bent op de pagina Toewijzingen , selecteert u Volgende.
Controleer uw instellingen op de pagina Beoordelen en maken . Selecteer Vorige of selecteer de paginanaam om wijzigingen aan te brengen.
Wanneer u klaar bent op de pagina Beoordelen en maken , selecteert u Opslaan.
Wanneer het maken van het beleid is voltooid, gaat u naar de detailpagina van het nieuwe beleid.
Selecteer Eindpuntbeveiligingsbeleid bovenaan de pagina om terug te keren naar de pagina Eindpuntbeveiligingsbeleid waar het nieuwe beleid wordt weergegeven met de waarde beleidstypeMicrosoft Defender Antivirus.
Regels voor het verminderen van kwetsbaarheid voor aanvallen
Voer de volgende stappen uit om ASR-regels (Attack Surface Reduction) in te schakelen met behulp van het eindpuntbeveiligingsbeleid:
Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Eindpunten>Configuratiebeheer>Eindpuntbeveiligingsbeleid. Of gebruik https://security.microsoft.com/policy-inventory Windows-beleid om rechtstreeks naar de pagina Eindpuntbeveiligingsbeleid te gaan.
Controleer op de pagina Eindpuntbeveiligingsbeleid of het tabblad Windows-beleid is geselecteerd en selecteer vervolgens Nieuw beleid maken
Configureer in de flyout Een nieuw beleid maken die wordt geopend de volgende instellingen:
- Selecteer een platform: Selecteer Windows.
- Sjabloon selecteren: selecteer Regels voor het verminderen van kwetsbaarheid voor aanvallen.
Selecteer Beleid maken.
De wizard Een nieuw beleid maken wordt geopend. Configureer op de pagina Basisbeginselen de volgende instellingen:
- Naam: voer een unieke naam in voor het beleid.
- Beschrijving: voer een optionele beschrijving in.
Selecteer Volgende
Configureer de instellingen op de pagina Configuratie-instellingen op basis van de volgende aanbevelingen:
Instelling Waarde Uitvoerbare inhoud van e-mailclient en webmail blokkeren Blokkeren Voorkomen dat Adobe Reader onderliggende processen kan maken Blokkeren Uitvoering van mogelijk verborgen scripts blokkeren Blokkeren Misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren (apparaat) Blokkeren Win32 API-aanroepen blokkeren vanuit Office-macro's Blokkeren Uitvoerbare bestanden blokkeren, tenzij ze voldoen aan een criterium voor de prevalentie, leeftijd of vertrouwde lijst Blokkeren Office-communicatietoepassing blokkeren voor het maken van onderliggende processen Blokkeren Voorkomen dat alle Office-toepassingen onderliggende processen kunnen maken Blokkeren Het gebruik van gekopieerde of geïmiteerde systeemhulpprogramma's blokkeren Blokkeren JavaScript of VBScript blokkeren voor het starten van gedownloade uitvoerbare inhoud Blokkeren Het stelen van referenties van het windows-subsysteem voor lokale beveiligingsinstantie blokkeren Blokkeren Het maken van webshells voor servers blokkeren Blokkeren Office-toepassingen blokkeren voor het maken van uitvoerbare inhoud Blokkeren Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Blokkeren Voorkomen dat Office-toepassingen code in andere processen injecteren Blokkeren Persistentie blokkeren via WMI-gebeurtenisabonnement Blokkeren Geavanceerde beveiliging tegen ransomware gebruiken Blokkeren Procescreaties blokkeren die afkomstig zijn van PSExec- en WMI-opdrachten Blokkeren (als u Configuration Manager (voorheen SCCM) of andere beheerhulpprogramma's hebt die gebruikmaken van WMI, moet u dit mogelijk instellen op Controleren in plaats van Blokkeren) Het opnieuw opstarten van de computer in de veilige modus blokkeren Blokkeren Gecontroleerde maptoegang inschakelen Ingeschakeld
Tip
Een van de regels kan gedrag blokkeren dat u acceptabel vindt in uw organisatie. In deze gevallen voegt u de uitsluitingen per regel toe met de naam 'Alleen uitsluitingen voor kwetsbaarheid voor aanvallen verminderen'. Wijzig daarnaast de regel van Ingeschakeld in Controleren om ongewenste blokken te voorkomen.
Klik op de pagina Toewijzingen in het vak en selecteer een van de volgende waarden:
- Alle gebruikers of Alle apparaten.
- Wanneer u een of meer beschikbare groepen zoekt en selecteert, kunt u de waarde doeltype in de groepsvermelding gebruiken om de groepsleden op te nemen of uit te sluiten .
Wanneer u klaar bent op de pagina Toewijzingen , selecteert u Volgende.
Controleer uw instellingen op de pagina Beoordelen en maken . Selecteer Vorige of selecteer de paginanaam om wijzigingen aan te brengen.
Wanneer u klaar bent op de pagina Beoordelen en maken , selecteert u Opslaan.
Wanneer het maken van het beleid is voltooid, gaat u naar de detailpagina van het nieuwe beleid.
Selecteer Eindpuntbeveiligingsbeleid boven aan de pagina om terug te keren naar de pagina Eindpuntbeveiligingsbeleid , waar het nieuwe beleid wordt weergegeven met de waarde BeleidstypeKwetsbaarheidsbeperkingsregels.
Manipulatiebeveiliging inschakelen
Meld u aan bij Microsoft Defender XDR.
Ga naar Eindpunten > Configuratiebeheer > Eindpuntbeveiligingsbeleid > Windows-beleid > Nieuw beleid maken.
Selecteer Windows 10, Windows 11 en Windows Server in de vervolgkeuzelijst Platform selecteren.
Selecteer Beveiligingservaring in de vervolgkeuzelijst Sjabloon selecteren .
Selecteer Beleid maken. De pagina Een nieuw beleid maken wordt weergegeven.
Voer op de pagina Basisbeginselen een naam en beschrijving in voor het profiel in respectievelijk de velden Naam en Beschrijving .
Selecteer Volgende.
Vouw op de pagina Configuratie-instellingen de groepen instellingen uit.
Selecteer in deze groepen de instellingen die u met dit profiel wilt beheren.
Stel het beleid voor de gekozen groepen instellingen in door ze te configureren zoals beschreven in de volgende tabel:
Beschrijving Instelling TamperProtection (apparaat) Aan
De cloudbeveiligingsnetwerkverbinding controleren
Het is belangrijk om te controleren of cloudbeveiligingsnetwerkverbinding werkt tijdens uw penetratietest.
Open een opdrachtprompt met verhoogde bevoegdheid (een opdrachtpromptvenster dat u hebt geopend door Als administrator uitvoeren te selecteren). Bijvoorbeeld:
- Open het startmenu en typ cmd.
- Klik met de rechtermuisknop op het resultaat van de opdrachtprompt en selecteer vervolgens Als administrator uitvoeren.
Voer in de opdrachtprompt met verhoogde bevoegdheid de volgende opdrachten uit:
Tip
Met de eerste opdracht wijzigt u de map in de nieuwste versie van de versie> van <het antimalwareplatform in
%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Als dat pad niet bestaat, gaat het naar%ProgramFiles%\Windows Defender.(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1 MpCmdRun.exe -ValidateMapsConnection
Zie Microsoft Defender Antivirus configureren en beheren met het opdrachtregelprogramma MpCmdRun voor meer informatie.
De updateversie van het platform controleren
Het meest recente Productiekanaal (GA) van de platformupdate is beschikbaar in de Microsoft Update-catalogus.
Als u wilt controleren welke versie van Platform Update u hebt geïnstalleerd, voert u de volgende opdracht uit in PowerShell met de bevoegdheden van een beheerder:
Get-MPComputerStatus | Format-Table AMProductVersion
De versie van de Security Intelligence Update controleren
De nieuwste versie van security intelligence update is beschikbaar in De nieuwste updates voor beveiligingsinformatie voor Microsoft Defender Antivirus en andere Antimalware van Microsoft - Microsoft-beveiligingsinformatie.
Als u wilt controleren welke versie van Security Intelligence Update u hebt geïnstalleerd, voert u de volgende opdracht uit in PowerShell met de bevoegdheden van een beheerder:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
De engine-updateversie controleren
De meest recente versie van de scan 'engine-update' is beschikbaar in Meest recente updates voor beveiligingsinformatie voor Microsoft Defender Antivirus en andere Microsoft-antimalware - Microsoft-beveiligingsinformatie.
Als u wilt controleren welke versie van engine-update u hebt geïnstalleerd, voert u de volgende opdracht uit in PowerShell met de bevoegdheden van een beheerder:
Get-MPComputerStatus | Format-Table AMEngineVersion
Als u merkt dat uw instellingen niet van kracht worden, is er mogelijk een conflict. Zie Problemen met Microsoft Defender antivirusinstellingen oplossen voor meer informatie over het oplossen van conflicten.
Voor inzendingen met fout-negatieven (FN's)
Zie voor informatie over het indienen van fout-negatieven (FN's):
- Dien bestanden in Microsoft Defender voor Eindpunt als u Microsoft XDR, Microsoft Defender voor Eindpunt P2/P1 of Microsoft Defender voor Bedrijven hebt.
- Dien bestanden in voor analyse als u Microsoft Defender Antivirus hebt.