Jaa

Pilvisuojauksen ottaminen käyttöön Microsoft Defender virustentorjuntaohjelmassa

  • Artikkeli

Koskee seuraavia:

Käyttöympäristöt

  • Windows

Microsoft Defender virustentorjuntaohjelman pilvisuojaus tarjoaa tarkan, reaaliaikaisen ja älykkään suojauksen. Pilvisuojauksen pitäisi olla oletusarvoisesti käytössä.

Huomautus

Peukaloinnin suojaus auttaa estämään pilvipalvelujen suojauksen ja muiden suojausasetusten muuttamisen. Tämän seurauksena, kun peukalointisuojaus on käytössä, kaikki peukaloinnilla suojattuihin asetuksiin tehdyt muutokset ohitetaan. Jos sinun on tehtävä muutoksia laitteeseen ja peukalointisuojaus estää kyseiset muutokset, suosittelemme vianmääritystilan avulla laitteen peukalointisuojauksen tilapäistä käytöstä poistamista. Huomaa, että vianmääritystilan päätyttyä peukaloinnilla suojattuihin asetuksiin tehdyt muutokset palautetaan määritettyihin tilaan.

Miksi pilvisuojaus tulisi ottaa käyttöön

Microsoft Defender virustentorjuntaohjelman pilvisuojaus auttaa suojaamaan haittaohjelmilta päätepisteissäsi ja verkossasi. On suositeltavaa pitää pilvisuojaus käytössä, koska jotkin Microsoft Defender for Endpoint suojausominaisuudet ja -ominaisuudet toimivat vain, kun pilvisuojaus on käytössä.

alt-text=

Seuraavassa taulukossa on yhteenveto ominaisuuksista ja ominaisuuksista, jotka riippuvat pilvipalvelun suojauksesta:

Ominaisuus tai ominaisuus Tilausvaatimus Kuvaus
Tarkistetaan pilvipalvelun metatietoja. Microsoft Defender virustentorjuntapalvelun pilvipalvelu käyttää koneoppimismalleja ylimääräisenä puolustuskerroksena. Nämä koneoppimismallit sisältävät metatietoja, joten kun havaitaan epäilyttävä tai haitallinen tiedosto, sen metatiedot tarkistetaan.

Lisätietoja on artikkelissa Blogi: Tutustu kehittyneisiin teknologioihin, jotka ovat Microsoft Defender for Endpoint seuraavan sukupolven suojauksen ytimessä		 Microsoft Defender for Endpoint palvelupaketti 1 tai palvelupaketti 2 (erillinen tai sisältyy palvelupakettiin, kuten Microsoft 365 E3 tai E5)
Pilvisuojaus ja mallien lähettäminen. Tiedostot ja suoritettavat tiedostot voidaan lähettää Microsoft Defender virustentorjuntaohjelman pilvipalveluun räjähdystä ja analyysia varten. Automaattinen mallien lähettäminen käyttää pilvisuojausta, vaikka se voidaan määrittää myös erilliseksi asetukseksi.

Lisätietoja on artikkelissa Pilvisuojauksen ja näytteen lähettäminen Microsoft Defender virustentorjuntaohjelmassa.		 Microsoft Defender for Endpoint palvelupaketti 1 tai palvelupaketti 2 (erillinen tai sisältyy palvelupakettiin, kuten Microsoft 365 E3 tai E5)
Peukaloinnin suojaus. Peukaloinnin suojaus auttaa suojaamaan organisaatiosi suojausasetusten ei-toivotuilta muutoksilta.

Lisätietoja on artikkelissa Suojausasetusten suojaaminen peukaloinnin suojauksella.		 Microsoft Defender for Endpoint palvelupaketti 2 (erillinen tai sisältyy suunnitelmaan, kuten Microsoft 365 E5)
Kortteli ensi silmäyksellä
Estä ensi silmäyksellä havaitsee uuden haittaohjelman ja estää sen muutamassa sekunnissa. Kun havaitaan epäilyttävä tai haitallinen tiedosto, estä ensi silmäyksellä -ominaisuudet kyselevät pilvisuojauksen taustalta ja soveltavat heuristiikkoja, koneoppimista ja tiedoston automatisoitua analysointia sen määrittämiseksi, onko se uhka.

Jos haluat lisätietoja, katso Mikä on "kortteli ensi silmäyksellä"?		 Microsoft Defender for Endpoint palvelupaketti 1 tai palvelupaketti 2 (erillinen tai sisältyy palvelupakettiin, kuten Microsoft 365 E3 tai E5)
Hätäallekirjoituksen päivitykset. Kun haitallista sisältöä havaitaan, hätäallekirjoituksen päivitykset ja korjaukset otetaan käyttöön. Sen sijaan, että odottaisit seuraavaa säännöllistä päivitystä, voit saada nämä korjaukset ja päivitykset muutamassa minuutissa.

Lisätietoja päivityksistä on artikkelissa Microsoft Defender virustentorjunnan suojaustiedot ja tuotepäivitykset.		 Microsoft Defender for Endpoint palvelupaketti 2 (erillinen tai sisältyy suunnitelmaan, kuten Microsoft 365 E5)
Päätepisteen tunnistaminen ja vastaus (EDR) lohkotilassa. Estotilassa EDR tarjoaa lisäsuojauksen, kun Microsoft Defender virustentorjunta ei ole laitteen ensisijainen virustentorjuntatuote. Estotilassa EDR korjaa EDR:n luomien tarkistusten aikana löydetyt artefaktit, joita muu kuin Microsoftin ensisijainen virustentorjuntaratkaisu ei ehkä huomannut. Kun laitteessa on käytössä Microsoft Defender virustentorjunta ensisijaisena virustentorjuntaratkaisuna, EDR:n estotilassa on lisäetuna EDR:n luomien tarkistusten aikana tunnistettujen artefaktien automaattiselle korjaamiselle.

Lisätietoja on artikkelissa EDR lohkotilassa.		 Microsoft Defender for Endpoint palvelupaketti 2 (erillinen tai sisältyy suunnitelmaan, kuten Microsoft 365 E5)
Hyökkäyspinnan vähentämissäännöt. ASR-säännöt ovat älykkäitä sääntöjä, jotka voit määrittää haittaohjelmien pysäyttämiseksi. Jotkin säännöt edellyttävät, että pilvisuojaus otetaan käyttöön, jotta se toimisi täysin. Tällaisia sääntöjä ovat esimerkiksi seuraavat:
- estää suoritettavan tiedoston suorittamisen, elleivät ne täytä levinneisyyttä, ikää tai luotettuja luetteloehtoja
- käyttää edistynyttä suojausta kiristysohjelmia vastaan
- Estää ei-luotettavia ohjelmia suorittamasta siirrettäviä asemia

Lisätietoja on artikkelissa Hyökkäyspinnan vähentämissääntöjen käyttö haittaohjelmatartuntojen ehkäisemiseksi.		 Microsoft Defender for Endpoint palvelupaketti 1 tai palvelupaketti 2 (erillinen tai sisältyy palvelupakettiin, kuten Microsoft 365 E3 tai E5)
Kompromissien indikaattorit. Defender for Endpointissa IOC:t voidaan määrittää määrittämään entiteettien tunnistaminen, estäminen ja poissulkeminen. Esimerkkejä:
Salli-ilmaisimien avulla voidaan määrittää poikkeuksia virustentorjuntatarkistuksia ja korjaustoimintoja varten.
Ilmoituksen ja esto -ilmaisimien avulla voidaan estää tiedostojen tai prosessien suorittaminen.

Lisätietoja on artikkelissa Create ilmaisimet.		 Microsoft Defender for Endpoint palvelupaketti 2 (erillinen tai sisältyy suunnitelmaan, kuten Microsoft 365 E5)

Pilvisuojauksen määritysmenetelmät

Voit ottaa Microsoft Defender virustentorjuntaohjelman pilvisuojauksen käyttöön tai poistaa sen käytöstä jollakin seuraavista tavoista:

Voit käyttää myös Configuration Manager. Voit myös ottaa pilvisuojauksen käyttöön tai poistaa sen käytöstä yksittäisissä päätepisteissä käyttämällä Windowsin suojaus -sovellusta.

Lisätietoja tietyistä verkkoyhteysvaatimuksista sen varmistamiseksi, että päätepisteet voivat muodostaa yhteyden pilvisuojauspalveluun, on artikkelissa Verkkoyhteyksien määrittäminen ja vahvistaminen.

Huomautus

Windows 10 ja Windows 11 tässä artikkelissa kuvattujen perus- ja lisäraportointivaihtoehtojen välillä ei ole eroa. Tämä on vanha ero, ja jommankumman asetuksen valitseminen tuottaa saman tasoisen pilvisuojauksen. Jaetun tiedon tyypissä tai määrässä ei ole eroa. Lisätietoja keräämistämme tiedoista on Microsoftin tietosuojatiedoissa.

Pilvisuojauksen ottaminen käyttöön Microsoft Intune avulla

  1. Siirry Intune hallintakeskukseen (https://intune.microsoft.com) ja kirjaudu sisään.

  2. Valitse Päätepisteen suojauksen>virustentorjunta.

  3. Valitse AV-käytännöt -osassa aiemmin luotu käytäntö tai valitse + Create Käytäntö.

    Tehtävä Ohjeet
    Create uuden käytännön 1. Valitse käyttöympäristöä varten Windows 10, Windows 11 ja Windows Server.

    2. Valitse Profiili-kohdassaMicrosoft Defender virustentorjunta.

    3. Määritä Perustiedot-sivulla käytännön nimi ja kuvaus ja valitse sitten Seuraava.

    4. Etsi Defender-osiostaSalli pilvisuojaus ja määritä sen arvoksi Sallittu. Valitse sitten Seuraava.

    5. Vieritä alaspäin kohtaan Lähetä mallien suostumus ja valitse jokin seuraavista asetuksista:
    - Lähetä kaikki mallit automaattisesti
    - Lähetä turvalliset mallit automaattisesti

    6. Jos organisaatiosi käyttää käyttöaluetunnisteita Käyttöaluetunnisteet-vaiheessa, valitse tunnisteet, joita haluat käyttää, ja valitse sitten Seuraava.

    7. Valitse Määritykset-vaiheessa ryhmät, käyttäjät tai laitteet, joissa haluat ottaa tämän käytännön käyttöön, ja valitse sitten Seuraava.

    8. Tarkista ja luo -vaiheessa tarkista käytäntösi asetukset ja valitse sitten Create.
    Muokkaa aiemmin luotua käytäntöä 1. Valitse käytäntö, jota haluat muokata.

    2. Valitse Määritysasetukset-kohdassaMuokkaa.

    3. Etsi Defender-osiostaSalli pilvisuojaus ja määritä sen arvoksi Sallittu.

    4. Vieritä alaspäin kohtaan Lähetä mallien suostumus ja valitse jokin seuraavista asetuksista:
    - Lähetä kaikki mallit automaattisesti
    - Lähetä turvalliset mallit automaattisesti

    5. Valitse Tarkista + tallenna.

Vihje

Lisätietoja Intune virustentorjunnan Microsoft Defender asetuksista on Intune kohdassa Päätepisteen suojauksen virustentorjuntakäytäntö.

Pilvisuojauksen ottaminen käyttöön ryhmäkäytäntö avulla

  1. Avaa ryhmäkäytäntö hallintalaitteessa ryhmäkäytäntö hallintakonsoli, napsauta hiiren kakkospainikkeella ryhmäkäytäntö Objekti, jonka haluat määrittää, ja valitse Muokkaa.

  2. Siirry ryhmäkäytäntö Management -Kirjoitusavustaja kohtaan Tietokoneen määritykset.

  3. Valitse Hallintamallit.

  4. Laajenna puu Windowsin osiin>Microsoft Defender virustentorjunta > MAPS

    Huomautus

    MAPS-asetukset vastaavat pilvipalveluun toimitettua suojausta.

  5. Kaksoisnapsauta Liity Microsoft MAPSIIN. Varmista, että asetus on käytössä ja että sen asetuksena on PerusKARTAT tai Lisäkartat. Valitse OK.

    Voit lähettää perustietoja tai lisätietoja havaituista ohjelmistoista:

    • PerusKARTAT: Perusjäsenyys lähettää Microsoftille perustietoja haittaohjelmista ja mahdollisesti ei-toivotuista ohjelmistoista, jotka on havaittu laitteessasi. Tietoja ovat esimerkiksi se, mistä ohjelmisto on peräisin (kuten URL-osoitteet ja osittaiset polut), toimet uhan ratkaisemiseksi ja onnistuivatko toiminnot.

    • LisäKARTAT: Perustietojen lisäksi edistynyt jäsenyys lähettää yksityiskohtaisia tietoja haittaohjelmista ja mahdollisesti ei-toivotuista ohjelmistoista, mukaan lukien koko polun ohjelmistoon, ja yksityiskohtaisia tietoja siitä, miten ohjelmisto on vaikuttanut laitteeseesi.

  6. Kaksoisnapsauta Lähetä tiedostonäytteet, kun lisäanalyyseja tarvitaan. Varmista, että ensimmäisen asetuksen asetuksena on Käytössä ja että muiden asetusten asetuksena on jompikumpi seuraavista:

    • Lähetä turvallisia näytteitä (1)
    • Lähetä kaikki mallit (3)

    Huomautus

    Lähetä turvalliset näytteet (1) -vaihtoehto tarkoittaa, että useimmat näytteet lähetetään automaattisesti. Tiedostot, jotka todennäköisesti sisältävät henkilökohtaisia tietoja, kehottavat käyttäjää antamaan lisävahvistuksen. Jos valitset Kysy aina (0), laitteen suojaustila pienentää. Jos asetat sen arvoksi Älä lähetä koskaan (2), Microsoft Defender for Endpoint Block at First Sight -ominaisuus ei toimi.

  7. Valitse OK.

Pilvisuojauksen ottaminen käyttöön PowerShellin cmdlet-komentojen avulla

Seuraavat cmdlet-komennot voivat ottaa käyttöön pilvisuojauksen:

Set-MpPreference -MAPSReporting Advanced
Set-MpPreference -SubmitSamplesConsent SendAllSamples

Lisätietoja PowerShellin käyttämisestä Microsoft Defender virustentorjunnan kanssa on artikkelissa PowerShellin cmdlet-komentojen käyttäminen Microsoft Defender virustentorjunnan jaMicrosoft Defender virustentorjunnan cmdlet-komentojen määrittämiseen ja suorittamiseen. Policy CSP – Defender sisältää myös lisätietoja kohdasta -SubmitSamplesConsent.

Tärkeää

Voit määrittää -SubmitSamplesConsent-arvoksiSendSafeSamples (oletus, suositeltu asetus), NeverSendtai AlwaysPrompt. Asetus SendSafeSamples tarkoittaa, että useimmat mallit lähetetään automaattisesti. Tiedostot, jotka todennäköisesti sisältävät henkilökohtaisia tietoja, johtavat kehotteeseen, että käyttäjä jatkaa ja vaatii vahvistuksen. - NeverSend ja AlwaysPrompt -asetukset laskevat laitteen suojaustasoa. Lisäksi asetus tarkoittaa, NeverSend että Block at First Sight -ominaisuus Microsoft Defender for Endpoint ei toimi.

Ota pilvisuojaus käyttöön Windowsin hallintaohjeiden (WMI) avulla

Käytä MSFT_MpPreference luokan Set-menetelmää seuraavissa ominaisuuksissa:

MAPSReporting
SubmitSamplesConsent

Lisätietoja sallituista parametreista on kohdassa Windows Defender WMIv2-ohjelmointirajapinnat.

Pilvisuojauksen ottaminen käyttöön yksittäisissä asiakkaissa Windowsin suojaus sovelluksen avulla

Huomautus

Jos Määritä paikallinen asetus -ohitus Microsoft MAPS ryhmäkäytäntö raportoinnissa -asetuksena on Ei käytössä, Pilvipohjainen suojausasetus näkyy harmaana Windowsin asetuksissa, eikä se ole käytettävissä. ryhmäkäytäntö-objektin kautta tehdyt muutokset on ensin otettava käyttöön yksittäisissä päätepisteissä, ennen kuin asetus päivitetään Windowsin asetuksissa.

  1. Avaa Windowsin suojaus sovellus valitsemalla tehtäväpalkista suojauskuvake tai etsi aloitusvalikosta Windowsin suojaus.

  2. Valitse Virus & uhkien suojaus -ruutu (tai vasemman valikkorivin suojauskuvake) ja valitse sitten Virus & uhkien suojausasetuksistaHallitse asetuksia.

    Virus & uhkien suojausasetukset

  3. Vahvista, että pilvipohjainen suojaus ja automaattinen mallien lähettäminen on vaihdettu käyttöön.

    Huomautus

    Jos automaattinen mallin lähettäminen on määritetty ryhmäkäytäntö kanssa, asetus näkyy harmaana eikä se ole käytettävissä.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Jos etsit virustentorjuntaan liittyviä tietoja muista ympäristöistä, katso:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.