Évaluer Microsoft Defender antivirus à l’aide de PowerShell
S’applique à :
- Antivirus Microsoft Defender
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
Dans Windows 10 ou version ultérieure et Windows Server 2016 ou plus récente, vous pouvez utiliser les fonctionnalités de protection de nouvelle génération offertes par Microsoft Defender Antivirus (MDAV) et Microsoft Defender Exploit Guard (Microsoft Defender EG).
Cette rubrique explique comment activer et tester les principales fonctionnalités de protection dans Microsoft Defender AV et Microsoft Defender EG, et vous fournit des conseils et des liens vers des informations supplémentaires.
Nous vous recommandons d’utiliser ce script PowerShell d’évaluation pour configurer ces fonctionnalités, mais vous pouvez activer chaque fonctionnalité individuellement avec les applets de commande décrites dans le reste de ce document.
Pour plus d’informations sur nos produits PPE, consultez les bibliothèques de documentation produit suivantes :
Cet article décrit les options de configuration dans Windows 10 ou version ultérieure et Windows Server 2016 ou plus récente.
Si vous avez des questions sur une détection que Microsoft Defender AV effectue, ou si vous découvrez une détection manquée, vous pouvez nous envoyer un fichier sur notre site d’aide sur l’exemple de soumission.
Utiliser PowerShell pour activer les fonctionnalités
Ce guide fournit les applets de commande antivirus Microsoft Defender qui configurent les fonctionnalités que vous devez utiliser pour évaluer notre protection.
Pour utiliser ces applets de commande :
1. Ouvrez une instance avec élévation de privilèges de PowerShell (choisissez Exécuter en tant qu’administrateur).
2. Entrez la commande répertoriée dans ce guide et appuyez sur Entrée.
Vous pouvez case activée l’status de tous les paramètres avant de commencer ou pendant votre évaluation à l’aide de l’applet de commande PowerShell Get-MpPreference.
Microsoft Defender AV indique une détection par le biais de notifications Windows standard. Vous pouvez également passer en revue les détections dans l’application MICROSOFT DEFENDER AV.
Le journal des événements Windows enregistre également les événements de détection et de moteur. Consultez l’article événements Microsoft Defender Antivirus pour obtenir la liste des ID d’événements et leurs actions correspondantes.
Fonctionnalités de protection cloud
La préparation et la livraison des mises à jour de définitions standard peuvent prendre des heures. notre service de protection fourni par le cloud peut fournir cette protection en quelques secondes.
Pour plus d’informations, consultez Utiliser des technologies de nouvelle génération dans Microsoft Defender Antivirus via une protection fournie par le cloud.
| Description | Commande PowerShell |
|---|---|
| Activer le cloud Microsoft Defender pour une protection quasi instantanée et une protection accrue | Set-MpPreference -MAPSReporting Avancé |
| Envoyer automatiquement des exemples pour améliorer la protection des groupes | Set-MpPreference -SubmitSamplesConsent Always |
| Toujours utiliser le cloud pour bloquer les nouveaux programmes malveillants en quelques secondes | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Analyser tous les fichiers et pièces jointes téléchargés | Set-MpPreference -DisableIOAVProtection 0 |
| Définissez le niveau de bloc cloud sur « Élevé » | Set-MpPreference -CloudBlockLevel High |
| Délai d’expiration du bloc cloud défini à 1 minute | Set-MpPreference -CloudExtendedTimeout 50 |
Protection Always On (analyse en temps réel)
Microsoft Defender AV analyse les fichiers dès qu’ils sont vus par Windows et surveille les processus en cours d’exécution pour détecter les comportements malveillants connus ou suspects. Si le moteur antivirus détecte une modification malveillante, il bloque immédiatement l’exécution du processus ou du fichier.
Pour plus d’informations sur ces options , consultez Configurer la protection comportementale, heuristique et en temps réel .
| Description | Commande PowerShell |
|---|---|
| Surveiller constamment les fichiers et les processus pour les modifications connues des programmes malveillants | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Surveiller constamment les comportements connus des programmes malveillants, même dans les fichiers « propre » et les programmes en cours d’exécution | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Analyser les scripts dès qu’ils sont vus ou exécutés | Set-MpPreference -DisableScriptScanning 0 |
| Analyser les lecteurs amovibles dès qu’ils sont insérés ou montés | Set-MpPreference -DisableRemovableDriveScanning 0 |
Protection des applications potentiellement indésirables
Les applications potentiellement indésirables sont des fichiers et des applications qui ne sont pas traditionnellement classés comme malveillants. Il s’agit notamment des programmes d’installation tiers pour les logiciels courants, l’injection de publicité et certains types de barres d’outils dans votre navigateur.
| Description | Commande PowerShell |
|---|---|
| Empêcher l’installation des graywares, des logiciels de publicité et d’autres applications potentiellement indésirables | Set-MpPreference -PUAProtection activé |
analyse Email et archive
Vous pouvez définir Microsoft Defender Antivirus pour analyser automatiquement certains types de fichiers de courrier électronique et de fichiers d’archivage (tels que les fichiers .zip) lorsqu’ils sont vus par Windows. Pour plus d’informations sur cette fonctionnalité, consultez l’article Gérer les analyses de courrier électronique dans Microsoft Defender.
| Description | Commande PowerShell |
|---|---|
| Analyser les fichiers de courrier électronique et les archives | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Gérer les mises à jour de produits et de protection
En règle générale, vous recevez Microsoft Defender mises à jour av de Windows Update une fois par jour. Toutefois, vous pouvez augmenter la fréquence de ces mises à jour en définissant les options suivantes et en vous assurant que vos mises à jour sont gérées dans System Center Configuration Manager, avec stratégie de groupe ou dans Intune.
| Description | Commande PowerShell |
|---|---|
| Mettre à jour les signatures tous les jours | Set-MpPreference -SignatureUpdateInterval |
| Vérifier la mise à jour des signatures avant d’exécuter une analyse planifiée | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Protection avancée contre les menaces et les attaques et prévention Accès contrôlé aux dossiers
Microsoft Defender Exploit Guard fournit des fonctionnalités qui aident à protéger les appareils contre les comportements malveillants connus et les attaques sur les technologies vulnérables.
| Description | Commande PowerShell |
|---|---|
| Empêcher les applications malveillantes et suspectes (telles que les rançongiciels) d’apporter des modifications aux dossiers protégés avec accès contrôlé aux dossiers | Set-MpPreference -EnableControlFolderAccess enabled |
| Bloquer les connexions à des adresses IP incorrectes connues et à d’autres connexions réseau avec protection réseau | Set-MpPreference -EnableNetworkProtection Enabled |
| Appliquer un ensemble standard d’atténuations avec Exploit Protection | https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Bloquer les vecteurs d’attaque malveillants connus avec la réduction de la surface d’attaque | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEEEE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions Add-MpPreference activé-AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions ActivéAdd-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions ActivéAdd-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9 -9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDDC7B -AttackSurfaceReductionRules_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Activé |
Certaines règles peuvent bloquer le comportement que vous trouvez acceptable dans votre organization. Dans ce cas, remplacez la règle activé par Audit pour empêcher les blocs indésirables.
Analyse en un clic Microsoft Defender hors connexion
Microsoft Defender l’analyse hors connexion est un outil spécialisé fourni avec Windows 10 ou une version plus récente, et qui vous permet de démarrer une machine dans un environnement dédié en dehors du système d’exploitation normal. Il est particulièrement utile pour les programmes malveillants puissants, tels que les rootkits.
Pour plus d’informations sur le fonctionnement de cette fonctionnalité, consultez Microsoft Defender hors connexion.
| Description | Commande PowerShell |
|---|---|
| Vérifiez que les notifications vous permettent de démarrer le PC dans un environnement de suppression de programmes malveillants spécialisé | Set-MpPreference -UILockdown 0 |
Ressources
Cette section répertorie de nombreuses ressources qui peuvent vous aider à évaluer Microsoft Defender Antivirus.
- Microsoft Defender dans Windows 10 bibliothèque
- Microsoft Defender pour Windows Server 2016 bibliothèque
- bibliothèque de sécurité Windows 10
- Vue d’ensemble de la sécurité Windows 10
- site web Microsoft Defender Security Intelligence (Centre de protection Microsoft contre les programmes malveillants (MMPC)) – Recherche et réponse aux menaces
- Site web Microsoft Security
- Blog sur la sécurité Microsoft
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour