Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du aktiverar och testar viktiga skyddsfunktioner i Microsoft Defender Antivirus och Microsoft Defender Exploit Guard i aktuella versioner av Microsoft Windows och Windows Server.
Förhandskrav
Operativsystem som stöds
- Windows 10 eller senare
- Windows Server 2016 eller senare
Använd Microsoft Defender Antivirus med hjälp av grupprincip för att aktivera funktionerna
I det här avsnittet beskrivs hur du använder en grupprincip Central Store för att konfigurera Microsoft Defender Antivirus för utvärdering.
Ladda ned de senaste administrativa mallfilerna från Länkar för att ladda ned filerna för administrativa mallar baserat på operativsystemversionen.
Tips
Kontrollera avsnittet Systemkrav på de enskilda nedladdningssidorna:
- De flesta nedladdningar stöder Windows-klienter och Windows-servrar.
- Hämta den senaste tillgängliga och tillämpliga nedladdningen.
Gör någon av följande procedurer för att skapa en central lagringsplats som värd för de senaste .admx- och .adml-mallarna:
Domäner:
- Skapa en ny organisationsenhet för att blockera arv av principer.
- Öppna konsolen Grupprinciphantering (gpmc.msc).
- Gå till grupprincip objekt och skapa en ny grupprincip.
- Högerklicka på den nya grupprincipen och välj sedan Redigera.
- Gå till Datorkonfigurationsprinciper>>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus.
Arbetsgrupper:
- Öppna grupprincip Editor (gpedit.msc).
- Gå till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus.
Mer information finns i Skapa och hantera Central Store – Windows-klient.
MDAV och potentiellt oönskade program (PUA)
Rot:
| Beskrivning | Inställning |
|---|---|
| Inaktivera Microsoft Defender Antivirus | Inaktiverad |
| Konfigurera identifiering för potentiellt oönskade program | Aktiverad – blockera |
Realtidsskydd (alltid aktiverat skydd, genomsökning i realtid)
Realtidsskydd:
| Beskrivning | Inställning |
|---|---|
| Inaktivera realtidsskydd | Inaktiverad |
| Konfigurera övervakning för inkommande och utgående fil- och programaktivitet | Aktiverad dubbelriktad (fullständig åtkomst) |
| Aktivera beteendeövervakning | Aktiverad |
| Övervaka fil- och programaktivitet på datorn | Aktiverad |
Molnskyddsfunktioner
Standarduppdateringar för säkerhetsinformation kan ta timmar att förbereda och leverera. vår molnlevererad skyddstjänst kan leverera det här skyddet på några sekunder.
Mer information finns i Använda nästa generations tekniker i Microsoft Defender Antivirus via molnlevererad skydd.
KARTOR:
| Beskrivning | Inställning |
|---|---|
| Gå med i Microsoft MAPS | Aktiverad, Avancerade KARTOR |
| Konfigurera funktionen Blockera vid första anblicken | Aktiverad |
| Skicka filexempel när ytterligare analys krävs | Aktiverad, Skicka alla exempel |
MpEngine:
| Beskrivning | Inställning |
|---|---|
| Välj molnskyddsnivå | Aktiverad, hög blockeringsnivå |
| Konfigurera utökad molnkontroll | Aktiverad, 50 |
Skannar
| Beskrivning | Inställning |
|---|---|
| Aktivera heuristik | Aktiverad |
| Aktivera e-postgenomsökning | Aktiverad |
| Sök igenom alla nedladdade filer och bifogade filer | Aktiverad |
| Aktivera skriptgenomsökning | Aktiverad |
| Sök igenom arkivfiler | Aktiverad |
| Genomsöka körbara filer som är paketerade | Aktiverad |
| Konfigurera genomsökning av nätverksfiler (Genomsök nätverks Files) | Aktiverad |
| Sök igenom flyttbara enheter | Aktiverad |
| Aktivera genomsökning av referenspunkter | Aktiverad |
Uppdateringar av säkerhetsinformation
| Beskrivning | Inställning |
|---|---|
| Ange intervallet för att söka efter säkerhetsinformationsuppdateringar | Aktiverad, 4 |
| Definiera ordningen på källor för nedladdning av uppdateringar av säkerhetsinformation | Aktiverad under "Definiera ordningen på källor för nedladdning av säkerhetsinformationsuppdateringar"
|
Inaktivera av-inställningar för lokal administratör
Inaktivera lokala av-administratörsinställningar, till exempel undantag, och framtvinga principerna från Microsoft Defender för Endpoint Hantering av säkerhetsinställningar.
Rot:
| Beskrivning | Inställning |
|---|---|
| Konfigurera beteende för lokal administratörssammanslagning för listor | Inaktiverad |
| Kontrollera om undantag är synliga för lokala administratörer eller inte | Aktiverad |
Standardåtgärd för allvarlighetsgrad för hot
Hot:
| Beskrivning | Inställning | Aviseringsnivå | Åtgärd |
|---|---|---|---|
| Ange hotaviseringsnivåer där standardåtgärden inte ska vidtas när den identifieras | Aktiverad | ||
| 5 (svår) | 2 (karantän) | ||
| 4 (hög) | 2 (karantän) | ||
| 2 (medel) | 2 (karantän) | ||
| 1 (låg) | 2 (karantän) |
Karantän:
| Beskrivning | Inställning |
|---|---|
| Konfigurera borttagning av objekt från karantänmappen | Aktiverad, 60 |
Klientgränssnitt:
| Beskrivning | Inställning |
|---|---|
| Aktivera huvudlöst användargränssnittsläge | Inaktiverad |
Nätverksskydd
Microsoft Defender Exploit Guard\Network Protection:
| Beskrivning | Inställning |
|---|---|
| Förhindra användare och appar från att komma åt farliga webbplatser | Aktiverad, Blockera |
| De här inställningarna styr om nätverksskydd kan konfigureras i blockerings- eller granskningsläge på Windows Server | Aktiverad |
Om du vill aktivera nätverksskydd för Windows-servrar använder du PowerShell för tillfället:
| Operativsystem | PowerShell-kommando |
|---|---|
| Windows Server 2012 R2 och senare | Set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Windows Server 2016- och Windows Server 2012 R2-klienten för enhetliga MDE | Set-MpPreference -AllowNetworkProtectionOnWinServer $true -AllowNetworkProtectionDownLevel $true |
Regler för minskning av attackytan
Gå till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
Välj Nästa.
*Om du använder Microsoft Configuration Manager (kallades tidigare Microsoft Endpoint Configuration Manager och Microsoft System Center Configuration Manager) eller andra hanteringsverktyg som använder WMI använder du värdet 2 (Granskning). Configuration Manager-klienten är starkt beroende av WMI.
Tips
Vissa regler kan blockera beteende som du tycker är acceptabelt i din organisation. I dessa fall ändrar du regeln från 1 (Blockera) till 2 (granskning) för att förhindra oönskade block.
Kontrollerad mappåtkomst
Gå till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
| Beskrivning | Inställning |
|---|---|
| Konfigurera kontrollerad mappåtkomst | Aktiverad, Blockera |
Tilldela principerna till den organisationsenhet där testdatorerna finns.
Aktivera manipulationsskydd
I Microsoft Defender-portalen på https://security.microsoft.comgår du till Inställningar>Slutpunkter>Avancerade funktioner>Manipulationsskydd>på.
Mer information finns i Hur gör jag för att konfigurera eller hantera manipuleringsskydd?.
Kontrollera cloud protection-nätverksanslutningen
Det är viktigt att kontrollera att Cloud Protection-nätverksanslutningen fungerar under intrångstestningen.
Kör följande kommandon i en upphöjd kommandotolk (ett kommandotolksfönster som du öppnade genom att välja Kör som administratör):
Tips
Det första kommandot ändrar katalogen till den senaste versionen av <plattformen> för program mot skadlig kod i %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Om den sökvägen inte finns går den till %ProgramFiles%\Windows Defender.
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
MpCmdRun.exe -ValidateMapsConnection
Mer information finns i Konfigurera och hantera Microsoft Defender Antivirus med kommandoradsverktyget MpCmdRun.
Kontrollera versionen av plattformsuppdateringen
Den senaste versionen av Produktionskanal för plattformsuppdatering (GA) finns här:
Om du vill se den installerade versionen av "Plattformsuppdatering" kör du följande kommando i en upphöjd PowerShell-session (ett PowerShell-fönster som du öppnade genom att välja Kör som administratör):
Get-MpComputerStatus | Format-Table AMProductVersion
Kontrollera säkerhetsinformationsuppdateringsversionen
Den senaste versionen av "Security Intelligence Update" finns här:
Om du vill se den installerade versionen av "Security Intelligence Update" kör du följande kommando i en upphöjd PowerShell-session:
Get-MpComputerStatus | Format-Table AntivirusSignatureVersion
Kontrollera versionen av motoruppdateringen
Den senaste genomsökningsversionen av "motoruppdatering" finns här:
Om du vill se den installerade versionen av "Engine Update" kör du följande kommando i en upphöjd PowerShell-session:
Get-MpComputerStatus | Format-Table AMEngineVersion
Om inställningarna inte börjar gälla kan det uppstå en konflikt. Information om hur du löser konflikter finns i Felsöka Microsoft Defender Antivirus-inställningar.
För inskickade falska negativa identifieringar (FN)
Om du har frågor om en identifiering som Microsoft Defender AV gör, eller om du upptäcker en missad identifiering, kan du skicka en fil till oss.
Om du har Microsoft XDR, Microsoft Defender för Endpoint P2/P1 eller Microsoft Defender för företag: se Skicka filer i Microsoft Defender för Endpoint.
Om du har Microsoft Defender Antivirus kan du läsa Skicka filer för analys.
Microsoft Defender AV anger en identifiering via vanliga Windows-meddelanden. Du kan också granska identifieringar i Microsoft Defender AV-appen.
Windows-händelseloggen registrerar även identifierings- och motorhändelser. I artikeln Microsoft Defender Antivirushändelser finns en lista över händelse-ID:t och deras motsvarande åtgärder.
Om inställningarna inte tillämpas korrekt tar du reda på om det finns motstridiga principer som är aktiverade i din miljö. Mer information finns i Felsöka Microsoft Defender Antivirusinställningar.
Om du behöver öppna ett Microsoft-supportärende: Kontakta Microsoft Defender för Endpoint support.